Präventive Datenschutz-Compliance Beratung

Datenschutz-Compliance

Im Bereich Datenschutz-Compliance und Datenschutzrecht unterstütze ich Sie beratend und forensisch – Angefangen bei der Entwicklung und Umsetzung rechtssicherer Regelungen für den Umgang mit Kundendaten, besonders sensitiver Daten (besondere Kategorien personenbezogener Daten), Mitarbeiterdaten und Online-Benutzerdaten bis hin zur Abwehr von Abmahnungen und strafrechtlichen Vorwürfen.

Die Möglichkeiten, die die fortschreitende Digitalisierung von Geschäftsmodellen und Datenverarbeitungsvorgängen bietet, sind nahezu grenzenlos, ebenso unüberschaubar sind die im Umgang mit den Rahmen Datennutzung zu beachtenden Datenschutz-Compliance Problemstellungen und Haftungsrisiken. Dagegen sind die die Rechtsberatungskosten zur präventiven Abwehr und Vermeidung von Sanktionen oder Folgekosten für die nachträgliche Anpassung von IT-Projekten an Datenschutz-Compliance Bestimmungen verschwindend gering.

Haftungsrisiken, Abmahnungen und Bußgelder

Datenschutz-Compliance bzw. Unternehmens-Datenschutzverstöße können nicht nur empfindliche Bußgelder oder die zivilrechtliche Haftung der verantwortlichen Manager auslösen – sie gefährden fast immer auch die Reputation des Unternehmens sowie der verantwortlichen Entscheider und führen zu Vertrauensverlusten bei Kunden und Mitarbeitern.

Auch wenn Sie kein Internet-Unternehmen sind oder Online-Shop betreiben – und unabhängig davon, ob Sie Cloud-Services oder andere Formen der Auftragsverarbeitung nutzen – in jedem Fall sind Sie für den Schutz der Daten Ihrer Mitarbeiter-, Kunden-, Zulieferern- und Dienstleistern verantwortlich. Wissen Sie, wer, wann und wozu, mit welchen Zugriffsrechten mit Ihren Daten umgeht? Haben Sie entsprechende vertragliche Absicherungen getroffen, die die rechtssichere Transparenz, Integrität und Revisionssicherheit Ihrer Datenverarbeitung garantieren?

HR-Systeme und Mitarbeiterdatenschutz

Ich berate Sie umfassend bei der Erstellung von Vereinbarungen für eine Vielzahl von datenschutzrechtlich regelungsbedürftigen Betriebsabläufen, in denen personenbezogene Daten von Mitarbeitern verarbeitet werden.

Typische Themen sind dabei z.B.: Nutzung von HR-Systemen und Cloud-Lösungen (IBM Kenexa, SAP SuccessFactors, Workday, Personalakten-Verwaltung (E-Personalakte), Outsourcing der Lohn- und Gehaltsbuchhaltung, Datenweitergaben im Unternehmensverbund (Zentralisierung von Human Resources Aufgaben), Elektronische Zeiterfassungssysteme, Bewerberdatenbanken (ATS Applicant-Tracking Systeme, E-Recruiting), Skill-Datenbanken (Personalfragebögen, Talent Management Software), Leistungs- und Verhaltenskontrollen (Screenings), Videoüberwachung am Arbeitsplatz, Überwachung von Firmenfahrzeugen mittels GPS oder die Privatnutzung(BYOD Bring-Your-Own-Device-Programme)von E-Mail-Konten, Internet, Smartphones oder Social-Media-Plattformen.

Cloud-Computing

Auch bei der Nutzung von Cloud-Computing müssen Sie den betroffenen Personen – Ihren Kunden, Mitarbeitern, Bewerbern etc. – Transparenz, Integrität und Revisionssicherheit der Datenverarbeitung garantieren und entsprechend über vertragliche Vereinbarungen mit dem Cloud-Service-Anbieter absichern.

Viele bekannten Anbieter operieren global, aber wenige haben ihren Firmensitz und und eigene Rechenzentren in Deutschland oder der EU. Dementsprechend garantieren die wenigsten, dass Ihre Daten ausschließlich in Deutschland oder der EU gespeichert und verarbeitet werden. Unabhängig von den dann notwendigen Vereinbarungen für internationale Datentransfers, kommen auch bei nur bei national operierenden Anbietern, neue Beteiligte beim Umgang mit Ihren Daten hinzu, deren Rechte und Mitwirkungspflichten sie auf jeden Fall vertraglich festlegen müssen. Dazu gehören explizit die Vereinbarung von Weisungsrechten, zugehöriger Kontrollmechanismen und die Festlegung von Vertragsstrafen für auftragswidriges Verhalten.

Outsourcing / Auslagerung von IT-Dienstleistungen - Auftragsbearbeitung

Ohne die Einhaltung der Vorschriften für die Datenverarbeitungen im Auftrag drohen nach § 43 BDSG empfindliche Bußgelder. Ich unterstütze Sie bei der rechtssicheren Vereinbarung von Auftragsverarbeitungen – Von der Erstellung von Auftrags-Datenverarbeitungsvereinbarungen für die Zusammenarbeit mit externen Dienstleistern für einmalige Projekte (Marketingkampagnen, Kundenmailing-Aktionen etc.) über die Regelungen für Shared-Services im Unternehmensverbund bis hin zur Auslagerung von Geschäftsprozessen (Outsourcing von IT-Umgebungen, externe Lohn- und Gehaltsabrechnungen, Betrieb eines Call-Centers etc.).

Analyse Ihrer Datenverarbeitungsprozesse im Hinblick auf die Anforderungen der EU-DSVGO

Ich überprüfe Ihre Datenabläufe sowie bestehende Auftragsverarbeitungsverträge, Dienstleistungs- und Betriebsvereinbarungen oder Datenschutzhinweise und unterstütze Sie mit Handlungsempfehlungen bei der rechtzeitigen Anpassung an die neuen Regelungen der Europäischen Datenschutzgrundverordnung.

Je früher Sie Ihre mit der Umsetzung der EU-DSVGO beginnen, desto besser. So können Sie spätere Rechtsrisiken oder kosten- und zeitaufwändige Anpassungen vermeiden. Warum Sie jetzt handeln sollten erfahren Sie hier.

CRM-Systeme und Kundendatenschutz

Geschäftsprozesse rund um Kundendatenbanken und Customer Relationship Management Syteme (CRM) sind mit datenschutzrechtliche Risiken verbunden. Bereits seit 2012 müssen Unternehmen für alle Kundendatensätze nachweisen können, woher die Daten stammen und im Falle einer behördlichen Überprüfung eine Dokumentation der zugehörigen Geschäftsvorgänge oder entsprechende Einverständniserklärungen vorlegen.

Datenverarbeitung in Nicht-EU-Ländern

Wenn personenbezogene Daten die EU verlassen sind vertragliche Absicherungen unerlässlich, weil das Datenschutzniveau in fast allen anderen Ländern nicht ausreichend ist. Unter Einbeziehung der EU-Standardvertragsklauseln, der Erstellung verbindlicher Unternehmensregelungen (Binding Corporate Rules), oder der Verwendung ähnlicher Instrumente, wie zum Beispiel den Regelungen des EU-US Privacy Shields (Nachfolger des Safe-Harbor-Abkommens) für Datentransfers in die USA, sowie der Einbeziehung aktueller Rechtsprechung und Gesetzesvorhaben, helfe ich Ihnen dabei entsprechende Absicherungen zu erstellen.

Mobile Apps, Webseiten und Webshops

Ich erstelle rechtskonforme Datenschutz- und Einwilligungserklärungen, prüfe Ihren Internetauftritt und Mobile-App Nutzungsbedingungen bezüglich des zulässigen Einsatzes von Tracking-Tools (Geo-Location etc.), Cookies, Web- und App-Analyse-Tools, Zugriffsberechtigungen von native Apps, Social-Media-Einbindungen sowie Formularen zur Newsletter-Bestellung oder Einverständniserklärungen zur Zusendung von Werbe-Mails.

Online-Marketing

Ich sorge dafür, dass Ihre Online-Marketing-Kampagnen, Gewinnspiele, Kundenbindungsprogramme oder sonstige digitale Werbeformen datenschutzkonform umgesetzt werden und wettbewerbsrechtlich Bestand haben. Insbesondere überprüfe ich Profiling-Maßnahmen, zu denen u.a. die Erfassung von Standortdaten sowie Scoring-Maßnahmen gehören, die häufig nur noch mit ausdrücklicher Einwilligung möglich sind.