Datenschutzrecht

Outsourcing und Cloud Computing


Outsourcing

Beim Outsourcing von IT-Leistungen haben eingeschlatete Dienstleister die Möglichkeit, auf personenbezogenen Daten in IT-Systemen Ihrer Auftraggeber zuzugreifen. Hiervon können etwa Kunden-, Mitarbeiter- oder Lieferantendaten betroffen sein.  Das gilt bei der Einschaltung von Dienstleistern zur System- und Softwarewartung, beim Hosting, beim Business Process Outsourcing, Cloud-Computing, Software as a Service (SaaS) und in vielen anderen Konstellationen des Outsourcings. Outsourcing-Projekte haben daher neben IT-rechtlichen auch datenschutzrechtliche Herausforderungen, die es zu analysieren und zu beachten gilt, damit Ihr Outsourcing-Projekt zum Erfolg und nicht zum Compliance-Risiko wird.

Wir haben umfassende Erfahrung in allen relevanten Outsourcing-Konstellationen sowohl bei kleinen und mittelständischen Unternehmen (KMU), als auch bei Großunternehmen und Unternehmensgruppen. Unser Beratungsangebot bei der Begleitung von Outsourcing und Cloud-Computing Projekten umfasst insbesondere:

  • IT-Wartung (auch Fernwartung)
  • IT-Infrastruktur (z.B. Desktopbetrieb, Help Desk)
  • ERP-Systeme (z.B. SAP, ProAlpha)
  • E-Commerce-Systeme
  • Website-Betrieb
  • Druckoutput
  • Marketing (z.B. Letter-Shop)
  • Kundenbetreuung (z.B. Call-Center)
  • Qualitäts- und Servicekontrolle (z.B. Mystery Shopping)
  • Einführung von cloudbasierten Systemen wie Office 365, Amazon Webservices oder Salesforce
  • Verhandlungen von Datenschutzverträgen

Auch mit komplexeren Fragen wie dem gesetzeskonformen Einsatz internationaler Dienstleister und der richtigen Gestaltung mehrstufiger Auftragsverhältnisse sind wir aus unserer Praxis bestens vertraut und unterstützen Sie dabei gern.

E-Health


Dienstleistungen und Geschäftsmodelle mit Bezug zu Gesundheitsdaten bedeuten stets große Herausforderungen für den Datenschutz, da betroffene Daten als sogenannte besondere Kathegorien personenbezogener Daten einen sehr strengen gesetzlichen Schutz nach § 3 Abs. 9 BDSG unterliegen. Mit der Datenschutzgrundverordnung werden diese hohen Anforderungen nicht geringer. Wir haben Erfahrungen aus der Beratung zahleicher  Leistungserbringer und Unternehmen im Gesundheitsbereich (z.B. Ärzteverbände, Apotheken, Pharmazieunternehmen) und sind daher nicht nur mit dem allgemeinen Gesundheitsdatenschutz nach dem BDSG, sondern auch mit den zahlreichen datenschutzrechtlichen Sondervorschriften gut vertraut. Hierzu zählen die Datenschutzregeln in

  • dem Sozialgesetzbuch,
  • dem Arzneimittelgesetz,
  • den Landeskrankenhausgesetzen,
  • den Heilberufe-Kammergesetzen,
  • den Berufsordnungen der Ärzte und Apotheker,
  • der Apothekenbetriebsordnung,
  • der Betäubungsmittel-Verschreibungsverordnung.

Zudem unterstützen wir sie in der datenschutzkonformen und praxisgerechten Gestaltung von Angeboten im Bereich eHealth. Mit unserem technischen Know-how durchdringen wir auch komplexe IT-Sachverhalte leicht und effizient und können Sie optimal dabei unterstützen, effiziente, innovative und rechtssichere eHealth Angebote zu entwickeln. Unser Beratungsangebot im Bereich eHealth umfasst insbesondere:

  • E-Health-Apps
  • Onlinedienste und Websites im E-Health-Bereich
  • Fernwartung medizinischer Infrastruktur
  • Wearables
  • Software zur Verarbeitung von Gesundheitsdaten
  • Einführung von Health-Data-Management-Systemen

Ergänzend zur rechtlichen Beratung bei der Produktgestaltung und Projektumsetzung werden wir als Sachverständiger für Sie tätig. Wenn Sie z.B. den Erwerb des Datenschutz-Gütesiegels des ULD anstreben, um sich vom Wettbewerb abzusetzen, erstellen wir das hierfür erforderliche Gutachten zu ihrem IT-Produkt.

Vertretung in aufsichtsbehördlichen Verfahren


Die Durchsetzung des Datenschutzrecht ist in Deutschland den 16 Datenschutz-Aufsichtsbehörden der Länder sowie der Bundesbeauftragten für den Datenschutz übertragen. Diese Aufsichtsbehörden haben umfangreiche Möglichkeiten, um die Einhaltung des Datenschutzrechts durch die Verantwortlichen zu kontrollieren, durchzusetzen und verstöße zu sanktionieren. Befugnisse der Aufsichtsbehörden umfassen das Recht Auskunft über die Verarbeitung personenbezogener Daten zu verlangen, die Änderung von Verfahren zur Verarbeitung personenbezogener Daten oder deren Unterlassung anzuordnen und mit den Mitteln des Verwaltungszwangs durchzusetzen sowie die Möglichkeit erhebliche Bußgelder zu Verhängen. Mit Inkrafttreten der Datenschutzgrundverordnung drohen Bußgelder in Höhe von bis zu € 20 Millionen pro Datenschutzverstoß oder 4% des weltweiten Konzernumsatzes.

Neben den direkten finanziellen Risiken drohen zudem drohen Reputationsschäden, wenn Datenschutzverstöße oder die Verhängung von Bußgeldern öffentlich werden. In der Kommunikation mit den Aufsichtsbehörden ist daher Professionalität gefragt um eine Eskalation und Sanktionen gegen Ihr Unternehmen zu Vermeiden und Schäden gering zu halten. PLANIT // LEGAL Anwälte kennen die Praxis der Aufsichtsbehörden aus ihrer Tätigkeit als Referenten oder Referendar bei Aufsichtsbehörden sowie aus zahlreichen Verfahren in ihrer anwaltlichen Tätigkeit. Unser Beratungsangebot bei der Vertretung im Zusammenhang mit aufsichtsbehördlichen Verfahren umfasst insbesondere:

 

  • Vertretung in Kontroll-, Verfügungs- und Bußgeldverfahren gegenüber Datenschutzaufsichtsbehörden
  • Reputationsmanagement bei „Datenschutzskandalen“
  • Aufsichtsbehördliche Kontrollverfahren etwa zum Einsatz von Videoüberwachungsanlagen
  • Aufsichtsbehördliches Bußgeldverfahren etwa wegen GPS Tracking

 

Arbeitnehmerdatenschutz


Der Schutz personnebezogener Daten von Beschäftigten liegt im Interesse jedes Unternehmens und stellt diese vor große Herausforderungen. Im Laufe einer häufig langen arbeitsrechtlichen Beziehung sammelt der Arbeitgeber zwangsläufig eine Vielzahl personenbezogener Daten seiner Beschäftigten. Ein Teil dieser Daten fällt unmittelbar im Zusammenhang mit der Personalverwaltung in der Personalabteilung an und wird dann in händisch geführten Personalakten oder elektronisch in Personalverwaltungssystemen verarbeitet. Diese Daten enthalten sensible Informationen etwa über Krankheit oder Schwangerschaft von Beschäftigten und müssen daher besonders geschützt werden.

Zudem generiert eine zunehmende Technisierung von Produktions- und Geschäftsabläufen eine große Menge an Daten über Beschäftigte in vielen anderen IT-Systemen des Arbeitgebers. Führt man diese Daten zusammen, kann man weitreichende Schlüsse über Produktions- und Geschäftsprozesse, aber auch über daran beteiligte Beschäftigte ziehen. Hier gilt es, einen angemessenen Ausgleich zwischen Interessen des Arbeitgebers an der Auswertung und Nutzung unternehmensinterner Daten einerseits und dem Recht der Beschäftigten auf Informationelle Selbstbestimmung andererseits zu finden.

Unser Beratungsangebot im Arbeitnehmerdatenschutz umfasst insbesondere Beratung und Vertretung in folgenenden Bereichen:

  • Einführung von HR- und Payroll Systemen, wie MyWorkday, ACCURAT HCM oder Manus+
  • Betriebliches Eingliederungsmanagement
  • Fraud Prevention und Fraud Detection Systeme
  • Richtlinien und Anweisungen zum Datenschutz und zur Nutzung von IT
  • Löschkonzepte für Personalakten
  • Einführung von Wissensmanagement und Lernsystemen, wie Prozubi
  • Einführung von Whistleblowing und Incident-Management-Systemen
  • Einführung von Fraud-Detection und -Prevention Systemen, wie intelliQ

Datenschutz und Mitbestimmung


Der Betriebsrat hat weitreichende Mitbestimmungsrechte bei der Einführung und Nutzung von IT-Systemen. Zudem hat er die Kompetenz, die Einhaltung des Beschäftigtendatenschutzes als arbeitnehmerschützendes Gesetz zu überwachen. Neben dem Datenschutzbeauftragten spiel der Betriebsrat daher eine wichte Rolle beim der internen Datenschutz-Organisation.

Praktisch bedeutet dies Information durch den Arbeitgeber und Einbeziehung bei datenschutzrelevanten Maßnahmen und deren Gestaltung im Rahmen der betrieblichen Mitbestimmung. Unser Beratungsangebot im Bereich Datenschutz- und Mitbestimmung umfasst insbesondere:

  • Erstellung und Verhandlung von Betriebsvereinbarung zur Einführung von IT-Systemen, zur Videoüberwachung und anderen datenschutzrechlich relevanten Themen
  • Verhandlung von Betriebsvereinbarungen zur IT-Nutzung und zum Datenschutz
  • Vertretung bei Einigungstellenverfahren zu IT- und datenschutzrechtlich relevanten Themen
  • Beratung von Arbeitgebern und Betriebsräten zur datenschutzrechtlichen Zulässigkeit von IT-Systemen
  • Vermitlung und Mediation bei mitbestimmungsrechtlichen Auseinandersetzungen zu datenschutz- und IT-rechtlichen Konflikten

Multimedia und Mobile Marketing


Neben klassischem offline Marketing gewinnen neue onlinegetriebene Marketingkanäle mit rasender Geschwindigkeit an Relevanz für die Absatzförderung sowohl im B2C, als auch im B2B Bereich. Zahlreiche neue Marketingtools bieten scheinbar unbegrenzte Möglichkeiten um Kunden anzusprechen und mit ihnen zu Kommunizieren, statt sie mit klassischer Werbung einfach nur zu „berieseln“.

Damit diese neuen Möglichkeiten nicht zum Compliance-Risiko wird, sollten sie insbesondere datenschutz- und wettbewerbsrechtliche Anforderungen für Ihre Marketing-Strategie unbedingt berücksichtigen und entsprechenden Expertenrat einbeziehen. Unser Beratungsangebot im Bereich Multi Media und Mobile Marketing umfasst insbesondere:

  • Prüfung und Bewertung der Datenschutzkonformität neue Marketingtools und -strategien
  • Prüfung datenschutzrechtlicher Anforderungen bei App-Entwicklungen
  • Erstellung der Datenschutz-Dokumentation für Apps und andere Marketingtools
  • Gestaltung der Einbindung von Tracking-Technologien
  • Überprüfung und rechtskonforme Gestaltung von Online-Auftritten und Social Media Auftritten
  • Gestaltung der Einbindung von Social-Media Plugins
  • CRM und Marketing Projekte

Versicherungsbranche


Der Versicherungssektor ist geprägt von strengen vorgaben des Aufsichtsrechts und besonderen Geheimhaltungspflichten (Versicherungsgeheimnis). Viele Informationen, die Versicherungen über ihre Versicherten erhalten sind zudem besondere Kategorien personenbezogener Daten, deren Verarbeitung erhöhten Rechtfertigungsanforderungen unterliegen. Dem Datenschutz in der Versicherungsbranche kommt daher große Bedeutung zu. Unser Beratungsangebot zum Datenschutz in der Versicherungsbranche umfasst insbesondere:

  • Rechtfertigungskonzepte für Business-Outsourcing-Projekte
  • Gestaltung von Online-Vertriebswegen
  • Gestaltung von Datenschutzerklärungen und Informationen

Finanzbranche


Banken sind in besonderem Maß zur Gewährleistung von Datenschutz und Datensicherheit verpflichtet. Die hohe Sensibilität von Daten zu Bank- oder Kreditkartenkonten kommt bereits im Bundesdatenschutzgesetz bzw. der Datenschutzgrundverordnung zum Ausdruck.

Zudem sind bei jedem Outsourcing im Finanzsektor die aufsichtsrechtlichen Anforderungen der MaRisk zu beachten. Daher muss vertraglich und technisch ein besonders hohes Datenschutzniveau sichergestellt werden. In der Personenversicherung spielt beim Outsourcing von IT-Leistungen ferner der Geheimnisschutz eine wichtige Rolle; hier gilt es, eine Strafbarkeit nach § 203 StGB (Verletzung von Privatgeheimnissen) zu vermeiden.

Wir sind mit den besonderen Anforderungen an Payment-Applikationen vertraut. So haben wir unter anderem datenschutzrechtlich beratend bei der Gestaltung einer Software zur Verarbeitung von Kreditkartendaten mitgewirkt. Auch bei Fragen bezüglich PCI-DSS, dem IT-Sicherheitsstandard der Kreditkartenbranche, helfen wir Ihnen gerne weiter und beraten Sie zu einer entsprechenden Zertifizierung.

Unser Beratungsangebot zum Datenschutz im Bereich Finance umfasst insbesondere:

  • Rechtfertigungskonzepte zum Outsourcing von Geschäftsprozessen
  • Gestaltung von Datenschutzinformationen und -erklärungen im Online-Banking
  • Rating, Scoring und das Recht der Auskunfteien
  • Payment Applicationen