Handlungsvorlage für die Hochschulen NRW betreffend den Datentransfer in Drittländer   

 


Durch Zufall ist mir die Einordnung des Schrems-II Urteils (Privacy Shield) nebst Handlungsvorschlägen des Projekts Rechtsinformationsstelle Digitale Hochschule NRW, Leitung Prof. Hoeren, Uni Münster, erstellt vom wissenschaftlichen Mitarbeiter Julian Albrecht, in die Hände gefallen.

https://www.itm.nrw/wp-content/uploads/RiDHnrw_22.09.2020_Handlungsvorschläge-infolge-des-Schrems-II-Urteils.pdf 

Erstellt für die Hochschulen des Landes NRW kann es nicht schaden, wenn sich Unternehmen an dort vorgeschlagenen Vorgehensweise orientieren (und dies entsprechend dokumentieren).

Zusammengefasst wird folgende Vorgehensweise vorgeschlagen:

  1. Erstellung einer Übersicht von allen Drittstaatentransfersinklusive genutzter Rechtsgrundlage,

  2. Kategorie und Risiko der übertragenen Daten

  3. Sofortiges Umstellen aller Verträge auf Standardvertragsklauseln

  4. Schriftlich dokumentierte Begründung einer Unzumutbarkeit von Alternativen ohne Drittstaaten-Problematik in bestimmten Fällen

  5. Anschreiben der Unternehmen unter Verwendung einer Vorlage

  6. Einordnung der Antworten; ggfs. Einschalten der Aufsichtsbehörde

  7. Abwarten der allgemeinen Handlungsempfehlungen der LDI NRW und insb. des Europäischen Datenschutzausschusses

  8. Weitere Schritte einleiten (Nachverhandlungen, teilweise Kündigung von Verträgen, organisatorische Maßnahmen)

  9. Bei zukünftigen Anschaffungsentscheidungen ist auf bestimmte Faktoren verstärkt Acht zu geben

  10. Das ist genauer nachzulesen in der detaillierteren Darstellung im Dokument unter C.III., S. 8 ff.