Datenschutzrecht
Im Bereich Datenschutz-Compliance und Datenschutzrecht unterstütze ich beratend und forensisch. Angefangen bei der Entwicklung und Umsetzung rechtssicherer Regelungen für den Umgang mit besonders sensitiven personenbezogenen Daten wie Personaldaten, Gesundheitsdaten, Finanzdaten u.a., Verhandlung von Auftragsverarbeitungsverträgen, Datenschutzfolgeabschätzungen, Audits, Webseitenchecks, Beratung zum Umgang mit Auskunftsersuchen, Anpassung von Datenschutzleitlinien etwa für den Einsatz von KI oder Bewerbermanagementsystemen bis hin zum Umgang mit Aufsichtsbehörden, Abwehr von Abmahnungen und Compliance-Vorwürfen sind die praktischen Herausforderungen immer wieder an aktuelle Rechtsprechung oder Neuerungen bei den Diensteanbietern anzupassen. Die sehr verbraucherfreundliche Rechtsprechung des EUGH hat hier in 2023 klargestellt, dass auch in Schadenersatzprozessen Betroffener aus Art. 82 DSGVO das verantwortliche Unternehmen von der Haftung nur befreit ist, wenn es nachweist, dass es an einer Datenpanne in keiner Weise ein Verschulden trifft. Dazu gehört auch der Nachweis der angemessenen Auswahl, vertraglichen und technischen Maßnahmen und Kontrolle hinsichtlich der Diensteanbieter, die Daten von Kunden oder Mitarbeitern im Auftrag des Unternehmens verarbeiten.
Die Möglichkeiten, die die fortschreitende Digitalisierung von Geschäftsmodellen und Datenverarbeitungsvorgängen bietet, entwickeln sich in einem hohen Tempo. Die Datennutzung und Weitergabe ist entsprechend herausfordernd und bedarf verstärkter Maßnahmen rechtlicher und technisch-organisatorischer Art, um mit den Auflagen der verschiedenen Branchenspezifischen und plattformspezifischen Digitalisierungsgesetzen konform zu bleiben oder zu werden (Compliance). Im Verhältnis zu den hohen Bußgeldern und Haftungsgefahren sind die Rechtsberatungskosten zur präventiven Abwehr und Vermeidung von Sanktionen oder Folgekosten für die nachträgliche Anpassung von IT-Projekten an Datenschutz-Compliance Bestimmungen verschwindend gering.
Datenschutz-Compliance bzw. Unternehmens-Datenschutzverstöße können nicht nur empfindliche Bußgelder oder die zivilrechtliche Haftung der verantwortlichen Manager auslösen – sie gefährden fast immer auch die Reputation des Unternehmens sowie der verantwortlichen Entscheider und führen zu Vertrauensverlusten bei Kunden und Mitarbeitern.
Auch wenn Sie kein Internet-Unternehmen sind oder Online-Shop betreiben – und unabhängig davon, ob Sie Cloud-Services oder andere Formen der Auftragsverarbeitung nutzen – in jedem Fall sind Sie für den Schutz der Daten Ihrer Mitarbeiter-, Kunden-, Zulieferern- und Dienstleistern verantwortlich. Wissen Sie, wer, wann und wozu, mit welchen Zugriffsrechten mit Ihren Daten umgeht? Haben Sie entsprechende vertragliche Absicherungen getroffen, die die rechtssichere Transparenz, Integrität und Revisionssicherheit Ihrer Datenverarbeitung garantieren?
HR-Systeme und Mitarbeiterdatenschutz
Um Bewerberdaten und Mitarbeiterdaten zu schützen, sind datenschutzkonforme Personalsysteme einzusetzen. Denn Auskunftsersuchen und Nachfragen nehmen zu und zeigen, dass Bewerber und Mitarbeiter zunehmend mehr Wert auf den Schutz ihrer personenbezogenen Daten legen. Die Einladung der Bewerber in Stellenanzeigen, die Bewerbungen per E-mails zu senden, ist daher von Arbeitsgerichten und Datenschutzaufsichtsbehörden bereits als nicht DSGVO-konform gewertet worden, weil die Bewerberdaten zu sensibel sind. Die reine Transportverschlüsselung dürfte daher meist nicht risikoangemessen sein, weil die privaten Mailaccounts der Bewerber oft nicht ausreichend geschützt sind und zudem die Verteilung über mehrere E-mail Empfänger im Zuge des Bewerberungsverfahrens in vielen Unternehmen nicht mit einem datenschutzkonformen Löschkonzept vereinbar ist.
Typische Dauer-Themen sind somit Auskunftsersuchen nach Art. 15 DSGVO, Klassifizierung von Daten, richtige Einbindung von HR-Dienstleistern, Nutzung von HR-Systemen und Cloud-Lösungen wie beispielsweise Personio, IBM Kenexa, SAP SuccessFactors, Workday, Soundgarten nicht ohne Datenschutzfolgeabschätzung und Auftragsverarbeitungsverträgen. Erstellen und Aktualisierung von Datenschutzhinweisen für Bewerber (und deren Anwendung und Dokumentation). Die Personalakten-Verwaltung (E-Personalakte), Outsourcing der Lohn- und Gehaltsbuchhaltung, Datenweitergaben im Unternehmensverbund (Zentralisierung von Human Resources Aufgaben), Elektronische Zeiterfassungssysteme, Bewerberdatenbanken (ATS Applicant-Tracking Systeme, E-Recruiting), Skill-Datenbanken (Personalfragebögen, Talent Management Software), Leistungs- und Verhaltenskontrollen (Screenings), Videoüberwachung am Arbeitsplatz, Überwachung von Firmenfahrzeugen mittels GPS oder die Privatnutzung von E-Mail-Konten, Internet, Smartphones oder Social-Media-Plattformen.
Die Landesdatenschutzbehörde in NRW hat inzwischen auch für Kleinunternehmen Mustertexte in einem Online-Werkzeugkasten veröffentlicht, die Sie unter https://www.ldi.nrw.de/kmu mit verständlichen Orientierungshilfen für kleine Unternehmen finden.
Cloud-Computing, Künstliche Intelligenz und die Digitalisierungsgesetze der EU
Auch bei der Nutzung von Cloud-Computing müssen Sie den betroffenen Personen – Ihren Kunden, Mitarbeitern, Bewerbern etc. – Transparenz, Integrität und Revisionssicherheit der Datenverarbeitung garantieren und entsprechend über vertragliche Vereinbarungen mit dem Cloud-Service-Anbieter absichern.
Viele bekannten Anbieter operieren global, aber wenige haben ihren Firmensitz und und eigene Rechenzentren in Deutschland oder der EU. Dementsprechend garantieren die wenigsten, dass Ihre Daten ausschließlich in Deutschland oder der EU gespeichert und verarbeitet werden. Unabhängig von den dann notwendigen Vereinbarungen für internationale Datentransfers, kommen auch bei nur bei national operierenden Anbietern, neue Beteiligte beim Umgang mit Ihren Daten hinzu, deren Rechte und Mitwirkungspflichten sie auf jeden Fall vertraglich festlegen müssen. Dazu gehören explizit die Vereinbarung von Weisungsrechten, zugehöriger Kontrollmechanismen und die Festlegung von Vertragsstrafen für auftragswidriges Verhalten.
Seitdem die Cloud-Diensteanbieter zusätzlich KI-gestützte Dienste anbieten, um immer mehr Prozesse zu standardisieren und automatisieren, sind wirksame Strategien umzusetzen, um den hohen rechtlichen Anforderungen zu entsprechen, die die EU mit einigen weiteren Digitalisierungsgesetzen an die Unternehmen und Verwaltungen in den EU Ländern stellt. Im Frühjahr 2024 wird der finale Text der im Trilog-Verfahren erzielten politische Einigung zu einer KI-Verordnung (AI-Act) erwartet. Unternehmen, die KI zunehmend einsetzen, sollten sich bereits jetzt die sich abzeichnenden Rechenschaftspflichten vorbereiten, um Risiken einer Haftung wegen Rechtsverletzungen wie etwa Urheberrechtsverletzungen, Verletzungen von Betriebsgeheimnissen oder Datenschutzvorschriften zu kontrollieren und begrenzen.
Was kann ich für Sie tun? Jetzt Kontakt aufnehmen für eine Ersteinschätzung oder Terminvereinbarung.
Outsourcing / Auslagerung von IT-Dienstleistungen - Auftragsbearbeitung
Ohne die Einhaltung der Vorschriften für die Datenverarbeitungen im Auftrag drohen nach § 43 BDSG empfindliche Bußgelder. Ich unterstütze Sie bei der rechtssicheren Vereinbarung von Auftragsverarbeitungen – Von der Erstellung von Auftrags-Datenverarbeitungsvereinbarungen für die Zusammenarbeit mit externen Dienstleistern für einmalige Projekte (Marketingkampagnen, Kundenmailing-Aktionen etc.) über die Regelungen für Shared-Services im Unternehmensverbund bis hin zur Auslagerung von Geschäftsprozessen (Outsourcing von IT-Umgebungen, externe Lohn- und Gehaltsabrechnungen, Betrieb eines Call-Centers etc.).
Analyse Ihrer Datenverarbeitungsprozesse im Hinblick auf die Anforderungen der EU-DSVGO
Ich überprüfe Ihre Datenabläufe sowie bestehende Auftragsverarbeitungsverträge, Dienstleistungs- und Betriebsvereinbarungen oder Datenschutzhinweise und unterstütze Sie mit Handlungsempfehlungen bei der rechtzeitigen Anpassung an die neuen Regelungen der Europäischen Datenschutzgrundverordnung.
Je früher Sie Ihre mit der Umsetzung der EU-DSVGO beginnen, desto besser. So können Sie spätere Rechtsrisiken oder kosten- und zeitaufwändige Anpassungen vermeiden. Warum Sie jetzt handeln sollten erfahren Sie hier.
CRM-Systeme und Kundendatenschutz
Geschäftsprozesse rund um Kundendatenbanken und Customer Relationship Management Syteme (CRM) sind mit datenschutzrechtliche Risiken verbunden. Bereits seit 2012 müssen Unternehmen für alle Kundendatensätze nachweisen können, woher die Daten stammen und im Falle einer behördlichen Überprüfung eine Dokumentation der zugehörigen Geschäftsvorgänge oder entsprechende Einverständniserklärungen vorlegen.
Datenverarbeitung in Nicht-EU-Ländern
Wenn personenbezogene Daten die EU verlassen sind vertragliche Absicherungen unerlässlich, weil das Datenschutzniveau in fast allen anderen Ländern nicht ausreichend ist. Unter Einbeziehung der EU-Standardvertragsklauseln, der Erstellung verbindlicher Unternehmensregelungen (Binding Corporate Rules), oder der Verwendung ähnlicher Instrumente, wie zum Beispiel den Regelungen des EU-US Privacy Shields (Nachfolger des Safe-Harbor-Abkommens) für Datentransfers in die USA, sowie der Einbeziehung aktueller Rechtsprechung und Gesetzesvorhaben, helfe ich Ihnen dabei entsprechende Absicherungen zu erstellen.
Mobile Apps, Webseiten und Webshops
Ich erstelle rechtskonforme Datenschutz- und Einwilligungserklärungen, prüfe Ihren Internetauftritt und Mobile-App Nutzungsbedingungen bezüglich des zulässigen Einsatzes von Tracking-Tools (Geo-Location etc.), Cookies, Web- und App-Analyse-Tools, Zugriffsberechtigungen von native Apps, Social-Media-Einbindungen sowie Formularen zur Newsletter-Bestellung oder Einverständniserklärungen zur Zusendung von Werbe-Mails.
Online-Marketing
Ich sorge dafür, dass Ihre Online-Marketing-Kampagnen, Gewinnspiele, Kundenbindungsprogramme oder sonstige digitale Werbeformen datenschutzkonform umgesetzt werden und wettbewerbsrechtlich Bestand haben. Insbesondere überprüfe ich Profiling-Maßnahmen, zu denen u.a. die Erfassung von Standortdaten sowie Scoring-Maßnahmen gehören, die häufig nur noch mit ausdrücklicher Einwilligung möglich sind.