Sie sind auf Seite 1von 1

Checkliste zum Privacy Shield-Urteil des EuGH

1) Identifizierung von Drittlandtransfers (Verträge, Verarbeitungsverzeichnis) legal data | Schröder


Rechtsanwaltsgesellschaft mbH
2) Wenn Drittlandtransfer ausschließlich aufgrund Privacy Shield: Aussetzung des
Prannerstr. 10 | 80333 München
Transfers bis zum Abschluss von Standardvertragsklauseln (SCCs)
Telefon +49 (0)89 954 597 520
Telefax +49 (0)89 954 597 522
3) Führung eines zentralen Registers von Drittlandtransfers im Unternehmen unter office@legaldata.law | www.legaldata.law
Berücksichtigung des Schutzbedarfs der Daten
Geschäftsführer:
4) Bewertung des Datenschutzstandards in Drittland: Kann Empfänger Garantien in Dr. Georg F. Schröder, LL.M.
SCCs oder Binding Corporate Rules (BCR) einhalten? Rechtsanwalt | Datenschutzbeauftragter

5) Identifizierung nicht geschäftswesentlicher Drittlandtransfers und Büro Berlin


- Aufnahme zusätzlicher Garantien in SCCs (v.a. bei kleineren Friedrichstraße 171 | 10117 Berlin
Dienstleistern),
- Einstellung des Datentransfers, oder
- Umstellung auf Dienstleister mit Sitz im EWR oder zumindest Datenhosting
im EWR

6) Überführung besonders sensibler Datenkategorien (z.B. Gesundheitsdaten) in


Systeme im EWR (unternehmenseigene oder von Dienstleistern)

7) Wann immer möglich: Einholung von Einwilligungen der Betroffenen bzgl.


Drittlandtransfer (z.B. im Cookie-Banner bzgl. Tracking- und Analysetools, da
hier in vielen Fällen auch unabhängig vom Drittlandtransfer bereits eine
Einwilligung erforderlich ist)

8) Wann immer möglich: Vereinbarung einer „Treuhänderlösung“: Treuhänder mit


Sitz im EWR verwaltet Zugriffe auf Daten in der EWR-Cloud von Drittland-
Anbieter (vgl. z.B. EU- Cloud von Microsoft – Deutsche Telekom als Treuhänder)

9) Reduzierung konzerninterner Datenübermittlungen an Niederlassungen in


Drittländern auf ein Minimum

10) Soweit praktikabel: Zusätzlich zur Verschlüsselung durch den Dienstleister auch
eigene Verschlüsselung vor dem Hochladen in die Cloud

11) Soweit praktikabel: Pseudonymisierung (und Vorhalten der


Zuordnungsinformation außerhalb des Drittland-Systems) oder Anonymisierung
von Daten, die in eine Drittland-Cloud hochgeladen werden

12) Bei geschäftskritischen Verarbeitungen: Vorbereitung auf etwaige Untersagung


eines Drittlandtransfers durch die Aufsichtsbehörde (z.B. nach einer
Kundenbeschwerde o.ä.) und Schaffung einer kurzfristigen Ausweichmöglichkeit
auf EWR-Systeme

13) Verfolgen des aktuell laufenden Modernisierungsprozesses bzgl. der EU-


Standardvertragsklauseln

14) Verfolgen der weiteren aufsichtsbehördlichen Positionierung zu geeigneten


Garantien bei Drittlandtransfers im Allgemeinen und US-Datentransfers im
Besonderen

15) Berücksichtigung des verbleibenden Risikos im Gesamtrisiko des Unternehmens


(v.a. neben anderen aufsichtsrechtlichen Anforderungen, z.B. aus dem Finanz-
oder Gesundheitsbereich)

Das könnte Ihnen auch gefallen