Data Economy & Daten­schutz

Eine Reihe unmittelbar geltender EU-Verordnungen formt zusammen mit zahlreichen weiteren Rechtsakten das hochkomplexe neue europäische Datenrecht. Nach der Datenschutz-Grund­verordnung (DS-GVO) im Jahr 2016 und dem Data Governance Act (DGA) im Jahr 2022 hat der europäische Gesetzgeber 2024 mit dem Data Act (DA) und dem Artificial Intelligence Act (AIA) 2024 zwei weitere Meilensteine zur Regulierung von Daten und künstlicher Intelligenz in der Europäischen Union gesetzt. Regulatorische Anforderungen an künstliche Intelligenz und an den Zugang zu, den Austausch und die Nutzung von sowohl personen­bezogenen als auch nicht-personen­bezogenen Daten stehen im Spannungsfeld zu den bereits etablierten Vorgaben des Daten­schutzes. Weitere europäische Rechtsakte werden den regulatorischen Rahmen für Daten und KI zukünftig noch weiter verdichten.

Bei der Sicherheit von Daten sind zusätzlich auch regulatorische Vorgaben des IT-Sicherheits­rechts zu beachten. Hinzu kommen zum Umgang mit Daten die strengen Vorgaben des Kartell­rechts. Die Rechtsakte des europäischen Daten­rechts stellen keinen allgemeinen Safe Harbour für Kartell­verstöße, wie den verbotenen Austausch wettbewerblich sensibler Informationen, dar. Weiterhin gelten die Vorgaben des Produkt­haftungs­rechts, das nun auch auf digitale Produkte, Software und Produktions­dateien ausgeweitet wird, und, etwa wenn Daten Einfluss auf die sichere Nutzung eines Produkts haben, auch des Produkt­sicherheits­rechts. Bei der Kommerzialisierung von Daten ist entlang der gesamten Wert­schöpfungskette nicht zuletzt auch das Vertriebs­recht im Blick zu behalten.

Die Einhaltung gesetzlicher Vorschriften ist eine der Kern­­komponenten der „Data Compliance“, unabhängig von der Branche und Größe eines Unternehmens. Data Compliance umfasst im Wesentlichen alle geltenden Regeln, die Unternehmen bei der Verarbeitung (personen­bezogener und nicht personen­bezogener) Daten einhalten müssen, einschließlich gesetzlicher Vorschriften, Vertrags­­bedingungen, Zertifi­zierungen, Verhaltens­­kodizes, Branchen­standards sowie verbindlicher Unternehmens­regeln und interner Richtlinien.

Die umfangreichen daten­­rechtlichen Anforderungen bilden nicht nur den regula­torischen Rahmen für Geschäfts­­prozesse sowie die Gestaltung und Nutzung von Anwendungen und Systemen innerhalb einer Organisation. Die frühzeitige proaktive Berück­sichtigung daten­­rechtlicher Vorgaben im Sinne von „Data Compliance by Design“ bei der Entwicklung neuer Geschäfts­prozesse und Produkte ist eine Voraussetzung für Effizienz und nachhaltigen Erfolg.

Mit unserer laufend aktualisierten „Landkarte“ zum europäischen Datenrecht (Lesezeichen: europeandatalaw.com) behalten unsere Mandanten im datenregulatorischen Dickicht den Überblick. Mit unserem Data Compliance Compass navigieren Sie sicher durch die Datenlandschaft.

Wir beraten insbesondere bei:

• Anpassung von Geschäftsprozessen, Produkten und Geschäftsmodellen an datenrechtliche Anforderungen
• Erstellung datenrechtlich erforderlicher Dokumentationen, seien es Datenschutzverträge, Datenschutzerklärungen, Rechtmäßigkeitsprüfungen, Einwilligungserklärungen oder Datenschutz-Folgenabschätzungen
• Gap-Analyse zum Soll-Zustand und Umsetzung nach risikobasiertem Ansatz

Um die Vielzahl der Data Compliance-Anforderungen in der Praxis effektiv zu bewältigen, ist eine robuste und effiziente Data Compliance Governance unerlässlich. Dazu gehören effektive organisatorische Strukturen und praktikable Prozesse zur Umsetzung der Data Compliance-Anforderungen mit klar definierten Rollen und Verantwortlichkeiten.

Data Compliance Management Systeme (DCMS) ergänzen und erweitern bereits etablierte Datenschutz-Management-Systeme (DPMS). Gemeinsam zielen diese Systeme darauf ab, Maßnahmen zur Einhaltung der rechtlichen Anforderungen sowohl für personenbezogene als auch für nicht personenbezogene Daten sowie für künstliche Intelligenz systematisch zu planen, umzusetzen, kontinuierlich zu überwachen und zu verbessern.

Wir beraten insbesondere bei

• Strukturierung, Aufbau und Implementierung der Data Compliance Governance im Unternehmen oder Konzern, einschließlich Data Protection Governance
• Interne Richtlinien zur Data Compliance, etwa zur datenschutzkonformen Gestaltung von Geschäftsprozessen und Systemen, zum Umgang mit Daten durch Beschäftigte, zum Umgang mit Datenschutzvorfällen und zum Umgang mit datenbezogenen Anträgen betroffener Personen (z.B. Auskunftsanträge)

Die Regulierung des Daten- und insbesondere des Datenschutzrechts wird durch weitgehende Durchsetzungs- und Streitbeilegungsmechanismen auf europäischer und nationalstaatlicher Ebene und Private Enforcement flankiert. Dabei geben die neuen europäischen Rechtsakte den zuständigen Behörden nach dem Vorbild in der DS-GVO ein Instrumentarium an empfindlichen Sanktionen an die Hand. Ein Schwerpunkt liegt einerseits auf behördlichen Verfahren und dem gerichtlichen Vorgehen gegen entsprechende Entscheidungen vor den nationalen und den europäischen Gerichten. Daneben steht die private Rechtsdurchsetzung, die auch durch neue kollektive Klageverfahren in ganz Europa eine immer größere Rolle spielt und ein erhebliches wirtschaftliches Risiko für Unternehmen darstellen kann. Insoweit beraten wir in integrierten Teams mit einem vollständigen Blick auf alle denkbaren Möglichkeiten und Risiken und entwickeln für Ihr Unternehmen eine Gesamtstrategie, wie Sie mit den Risiken von Public und Private Enforcement bestmöglich umgehen. Selbstverständlich unterstützen wir im Falle eines Fallen auch in Umsetzung der gemeinsam abgestimmten Strategie mit unserer breiten Erfahrung -  bei der Abwehr von Kollektivklagen und im effizienten Management von Massenverfahren -  bei der Verteidigung Ihrer Rechte vor Behörden und Gerichten.

Wir unterstützen Unternehmen insbesondere in allen Feldern der Data Protection Litigation:

• Verwaltungsverfahren bei Datenschutz-Aufsichtsbehörden, z.B. Untersagungsverfügungen
• Abwehr von Bußgeldern
• Zivil- und Massenverfahren, etwa zu immateriellen Schadensersatzansprüchen Betroffener wg. Verletzungen des Datenschutzrechts
• Unterstützung bei der Vorbereitung auf eingehende Auskunftsersuchen („DSAR Readiness“), der Beantwortung von Auskunftsersuchen („DSAR Reaction“), im Fall aufsichtsbehördlicher Maßnahmen und Bußgelder sowie bei außergerichtlichen Forderungen und gerichtlichen Klagen betroffener Personen auf Auskunft und Schadensersatz („DSAR Defense“)

Handhabung von Datenschutzvorfällen (insbesondere Meldung an Behörden und Benachrichtigung betroffener Personen), einschließlich der Unterstützung bei Cyber-Vorfällen

• Datenschutzkonforme Gestaltung von Datentransfers, insbesondere beim Einsatz internationaler Dienstleister im Outsourcing und Cloud-Computing
• Konzernweite Zentralisierung von IT-Infrastrukturen und IT-Dienstleistungen
• Binding Corporate Rules

Implementierung von Löschkonzepten (Rechte und Pflichten zur Aufbewahrung versus datenschutzrechtliche Löschpflichten)

• Datenschutzkonforme Gestaltung von HR-Prozessen und Beratung bei deren Digitalisierung
• Gestaltung von Regelungen zur (Privat-)Nutzung betrieblicher IT-Infrastruktur und privater IT im betrieblichen Kontext
• Gestaltung von Regelungen zur (Video-)Überwachung von Mitarbeitern
• Konzeptionierung von Whistleblowing-Systemen und Begleitung bei der Implementierung

• Prüfung und datenschutzkonforme Gestaltung von digitalen Angeboten und Werbung im digitalen Umfeld, etwa im Bereich (Behavioral) Targeted Advertising
• Konzeptionierung und Begleitung bei der Implementierung von Customer-Relationship-Management-Systemen und Kundenbindungsprogrammen

Unternehmensspezifische Mitarbeiterschulungen und Datenschutz-Workshops (einschließlich E-Learning)

Konzeptionierung und Begleitung von Monitoringmaßnahmen und Datenschutz-Audits