Menü

Datenschutz

Fragen und Herausforderungen

Kaum ein Unternehmen kommt heutzutage noch ohne die Verarbeitung personenbezogener Daten aus. Auch ein reiner Hersteller industrieller Produkte verarbeitet zumindest die Daten der eigenen Mitarbeiter und die seiner Kunden. Beim Endkundengeschäft ist die Öffentlichkeit zunehmend für den Datenschutz sensibilisiert. Hier gilt es, unternehmensweit ein rechtskonformes Datenschutzkonzept zu entwickeln und die gesetzlichen Vorgaben zur Stärkung des Kundenvertrauens umzusetzen.

Ein kritischer Punkt bei Datenschutzkonzepten sind vor allem Datenübermittlungen ins Ausland. Die rechtlichen Vorgaben für solche Datenübermittlungen sind zurzeit aufgrund der EuGH- Rechtsprechung im ständigen Wandel. Hier ist es wichtig, die richtigen und geeigneten Instrumente für die jeweiligen Datenübermittlungen zu finden (EU-Standardvertragsklauseln, Binding Corporate Rules, EU-US Privacy Shield, Einwilligungslösungen), um Bußgelder zu vermeiden. Gleichermaßen wird viele Unternehmen die im Jahr 2018 in Kraft tretende Datenschutzgrundverordnung (DSGVO) beschäftigen. Die Verordnung verlangt es Unternehmen schon jetzt ab, umfangreiche Vorkehrungen zu treffen, z.B. bei der Dokumentation von Datenverarbeitungen und Datenschutzfolgeabschätzungen.

Eng verbunden mit Datenschutzkonzepten sind Fragen der IT-Sicherheit und der IT-Compliance. Unternehmen jeder Größe sind an die gesetzlichen Anforderungen aus dem Datenschutz und der IT-Sicherheit gebunden. Aufgrund nationaler und internationaler gesetzlicher (z.B. KonTraG, MiFID, SOX, TMG, BDSG) sowie regulatorischer Vorgaben und Normen (z.B. ISO 2700x, BSI-Standards, ISO 13335, ISO 20000) werden Unternehmen zunehmend in die Pflicht genommen, ein effizientes IT-Risikomanagement sowie entsprechende interne Kontrollprozesse umzusetzen. Insbesondere bei inländischen Unternehmen mit US-Börsennotierung gelten die Vorgaben des Sarbanes Oxely Act (SOX) auch für den IT-Bereich, z.B. in der Auditierung von IT-Dienstleistern nach SAS 70 Report Type II.

Darüber hinaus ergeben sich datenschutzrechtliche Problemstellungen meist mit der konkreten Nutzung oder dem Anbieten diverser Services. Wer für seine Website etwa bestimmte Tracking Tools wie Google Analytics verwendet, muss sich fragen, ob er die dafür aufgestellten Anforderungen der Datenschutzbehörden erfüllt. Auch allein dadurch, dass ein Arbeitgeber seinen Mitarbeitern die private Nutzung des Internets oder einer betrieblichen E-Mail-Adresse gestattet, sind vielfältige Vorgaben zu berücksichtigen (Fernmeldegeheimnis, Mitarbeiterdatenschutz). Gleiches gilt im umgekehrten Fall, wenn der Mitarbeiter sein privates Smartphone für dienstliche Zwecke einsetzen soll (Bring Your Own Device).

Unsere Lösungen – Ihre Vorteile

  • Wir verstehen uns darauf, Datenverarbeitungsprozesse in Unternehmen zu prüfen und datenschutzrechtliche Risikoeinschätzungen zu liefern. Mit den technischen Grundlagen, die die dafür erforderlich, sind wir bestens vertraut. Unsere Mandanten profitieren dabei von unseren persönlichen Erfahrungen mit den einzelnen Datenschutzbehörden. Denn oftmals lassen sich viele Probleme durch intensivierten Kontakt mit den Behörden frühzeitig lösen.
  • Wir liefern unseren Mandanten individuelle Lösungen, die die zum Teil kryptischen und überstrengen gesetzlichen Vorgaben in Einklang mit den praktischen Anforderungen bringen. Unsere Mandanten erhalten von uns praxisgerechte Vorschläge, die sie zur Grundlage ihrer unternehmerischen Entscheidungen über die Datenverarbeitung machen können.
  • Wir sind für unsere Mandanten da, wenn an sie Anfragen der Datenschutzbehörden gestellt werden, Bußgelder gezahlt werden sollen oder sich einmal eine Datenpanne ereignet hat. Unsere Mandanten können darauf vertrauen, dass wir sie unmittelbar unterstützen können und in kurzer Zeit die nötigen Schritte einleiten.
  • Zu unserem Kerngeschäft gehören konzernweite Datenübertragungen und der konzerninterne Datenaustausch – in aller Regel als Teil eines international aufgesetzten Projekts. Wir verfügen in unserem Partnernetzwerk über exzellente Kontakte, mit denen wir solche internationalen Herausforderungen ohne Verzögerung bewältigen können.

Unsere Leistungen

  • Datenschutzgerechte Betriebsorganisation
    • Prüfung von Prozessen zur Verarbeitung personenbezogener Daten
    • Audits und Risikoanalysen
    • Vorabkontrollen und Datenschutzfolgeabschätzungen
    • Datenschutzrechtliche Beurteilung von Verträgen mit IT-Dienstleistern und Outsourcing-Partnern
    • Durchführung nationaler und internationaler Compliance-Projekte
    • Erstellung und Überarbeitung von Vereinbarungen zur Auftragsdatenverarbeitung
    • Beurteilung von Kundendatenanalysen und Marketingaktionen zur Business Intelligence: Prozesse zur Bonitätseinschätzung von Kunden (Scoring), zulässige Durchführung von Big Data-Analysen, Data-Mining und Bildung eines Data Warehouse, etc.
    • Erarbeitung von Regelungen zu Bring Your Own Device (BYOD)
    • Rechtsfragen der Digitalisierung und automatisierter Arbeitsprozesse (Industrie 4.0)
    • Datenschutzgerechte Gestaltung von Produkten (Privacy by Design und Privacy by Default)
    • Entwurf, Überprüfung und Optimierung von Einwilligungserklärungen
    • Betrachtung von alternativen Rechtsgrundlagen für die Datenverarbeitung (Einwilligungen, Betriebsvereinbarungen, Pseudonymisierung, Anonymisierung)
  • Konzerninterner Datenaustausch
    • Prüfung der Datenflüsse im Konzern
    • Rechtliche Strukturierung der konzernweiten Datenverarbeitung (Funktionsübertragungen vs. Auftragsdatenverarbeitungen)
    • Entwicklung unternehmensübergreifender Datenschutzkonzepte
    • Unterstützung beim Aufbau von Matrixorganisationen und der Bildung von IT-Outsourcings im Konzern
    • Beurteilung der Zulässigkeit von Skill-Datenbanken und anderen Mitarbeiterverzeichnissen
    • Begleitung der Auslagerung bzw. Zentralisierung der Personalverwaltung (z.B. bei Einführung von HR-Systemen)
    • Beratung zur Einführung von weiteren übergreifenden IT-Anwendungen mit personenbezogenen Daten (z.B. CRM-Systeme)
  • Mitarbeiterdatenschutz
    • Beratung zum datenschutzgerechten Umgang mit Beschäftigtendaten, Arbeitnehmerdaten und Bewerberdaten
    • Begleitung der Einführung von Systemen mit Mitarbeiterdaten, z.B. Bewerberplattformen, E-Learning-Plattformen und Whistleblowing-Hotlines
    • Unterstützung beim Führen von Personalakten
    • Vereinbarungen und Vorgaben zur zulässigen Nutzung von Internet, E-Mail und Social Media durch die eigenen Mitarbeiter (z.B. durch angepasste Social Media-Richtlinien), Private Use Of Company Equipment (PUOCE) bzw. Corporate Owned Personally Enabled (COPE)
    • Erarbeitung von Betriebsvereinbarungen und datenschutzkonformen IT-Richtlinien
    • Verhandlung der Betriebsvereinbarungen mit dem Betriebsrat
    • Rechtliche Unterstützung bei der Überprüfung von Mitarbeitern und Ermittlungsmaßnahmen (Telefon- und E-Mail-Überwachung, Mystery Calls, Terrorlisten-Screening, Betrugsbekämpfung/Fraud Detection)
  • Internationale Datentransfers
    • Zulässigkeitsprüfung einzelner Datenübermittlungen
    • Auswahl der passenden Strukturen (Controller to Controller, Controller to Processor) und Rechtsgrundlagen (EU-Standardvertragsklauseln, Binding Corporate Rules, EU-US Privacy Shield, Einwilligungslösungen)
    • Bereitstellung von ergänzten und an das nationale Recht angepassten EU-Standardvertragsklauseln
    • Entwurf von Matrixvereinbarungen für komplexe Konzernstrukturen
    • Beratung bei der Erstellung der Binding Corporate Rules (BCRs) und Unterstützung bei der Abstimmung mit den zuständigen Aufsichtsbehörden
  • IT-Sicherheit
    • Beratung zu aktuellen Fragen der Cybersecurity und Cybercrime
    • Unterstützung bei der Einführung einer unternehmensweiten IT-Compliance
    • Risikomanagement für die IT-Umgebung
    • Rechtliche Prüfung der erforderlichen technischen und organisatorischen Maßnahmen (TOMs), z.B. Standards für Verschlüsselung
    • Assistenz bei der Auftragskontrolle
    • Datenschutz-Compliance von einzelnen Maßnahmen
  • Datenschutz bei Websites, Apps und Social Media
    • Tracking Tools (Google Analytics, Piwik, etracker, etc.)
    • Profilbildung, Profiling
    • Verhaltenswerbung (Cookies, Retargeting, E-Mail-Retargeting, Online Behavioural Advertising, Predictive Behavioural Marketing)
    • Datenschutzgerechte Konzeption von Apps
    • Gestaltung von Datenschutzerklärungen (Privacy Policy)
    • Social Plugins (z.B. Facebook Like-Button, Google +1-Button)
    • Gewinnspiele
    • Analyse weiterer Marketingmaßnahmen mit Bezug zu personenbezogenen Daten (insbesondere durch Verwendung von IP-Adressen)
  • Beratung in Krisensituationen
    • Unbeabsichtigte Datenverluste (Data Loss) und Datenpannen
    • Datenschutzverstöße
    • Kommunikation mit den Datenschutzbehörden bei Anfragen, Untersuchungen, und Bußgeldern
    • Bemessung der Informationspflichten
    • Auskunfts- und Einsichtsrechte
    • Prozessführung
  • Weitere Einzelthemen aus unserem Beratungsfeld
    • E-Mail-Archivierung
    • Affiliate Marketing
    • Cross-Channel-Marketing-Kampagnen
    • Datennutzungsverträge
    • Connected Cars
    • Loyalty-Programme, Kundenbindungsprogramme
    • Auswahl und Schulung von Datenschutzbeauftragten
    • Mobile Endgeräte, Peripherie, Netzwerke
    • Dateneigentum
    • Internet der Dinge (Internet of Things)

Aktuelle Referenzmandate

  • [Führendes weltweit operierendes Softwarehaus, größter Business-Analytics-Anbieter weltweit] Umfassende Beratung bei datenschutzrechtlicher Organisation des Unternehmens und Eingliederung der deutschen Gesellschaften, Verhandlung der Datenschutzvereinbarungen
  • [Weltweit agierendes Zulieferunternehmen für Nutzfahrzeug-Automobilindustrie mit über 10.000 Mitarbeitern] Datenschutzrechtliche Beratung bei der weltweiten Einführung von Google Apps
  • [Führender Produzent von Großrohren für Gas-, Öl- und Wasserpipelines mit 1.300 Mitarbeitern] Beratung in einem komplexeren Datenschutzprojekt zur Nutzung der Internet- und E-Mailsysteme, Begleitung der Verhandlungen zwischen Geschäftsführung und Betriebsrat
  • [US-amerikanisches Unternehmen, einer der weltgrößten Hersteller und Vermarkter von Holzschliff, Tissue, Pappe, Papier, Verpackungen und cellulosebasierten Baustoffen (Sperrholz, Gipskarton) mit über 50.000 Mitarbeiter an rund 300 Standorten] Laufende datenschutzrechtliche Beratung nach Markteintritt in Deutschland durch Übernahme eines deutschen Unternehmens (Videoüberwachung, Einführung konzernweiter E-Mail-Systeme und Datenbanken, Datenschutzbeauftragter, Whistleblowing-Hotline)
  • [Weltweiter Marktführer für Arzneimittelverabreichungslösungen mit Sitz in den USA] Rechtliche Betreuung und datenschutzrechtliche Konzeption eines konzernweiten HR-Systems

Anwälte für Datenschutz