Globale Datenschutzstandards

View in English.

EINFÜHRUNG

Dieses Dokument enthält die für die Verarbeitung europäischer personenbezogener Daten (im nachstehend definierten Sinn) bei Latham & Watkins geltenden Standards („Standards“). Latham & Watkins ist eine weltweit tätige Kanzlei mit Niederlassungen in 16 Ländern. Die Kanzlei arbeitet ohne interne Grenzen. Aufgrund des internationalen Charakters ihres Geschäftsbetriebs ist es unerlässlich, dass personenbezogene Daten innerhalb der Kanzlei übertragen werden können.

Latham & Watkins hat sich durch die Kanzleiführung dazu verpflichtet, personenbezogene Daten, die in der Kanzlei verarbeitet werden, zu schützen. Diese Standards dienen insbesondere dazu, den Transfer europäischer personenbezogener Daten innerhalb von Latham & Watkins gemäß der europäischen Richtlinie 2016/679 zu ermöglichen.

Begriffsbestimmungen 

Anwendbares Recht“ ist das Recht in dem Land, in dem sich ein L&W-Büro befindet, außerdem jedes sonstige Recht, das für ein L&W-Büro gilt;

„Datenschutzbehörde“ oder „DPA” ist die Aufsichtsbehörde, die für die Überwachung und die Durchsetzung der Einhaltung von Datenschutzgesetzen in einem bestimmten Land zuständig ist.

„EWR“ ist der Europäische Wirtschaftsraum.

„EU-Datenschutzgesetze“ sind nationale Gesetze zur Umsetzung der europäischen Verordnung 2016/679, der Richtlinie 2002/58 (und aller Rechtsvorschriften, die diese ändern oder ersetzen) und der entsprechenden europäischen Datenschutzgesetze.

„Europäische personenbezogene Daten“ sind personenbezogene Daten von (i) Angestellten, Rechtsanwälten, Partnern, Beratern und Auftragnehmern sowie von potenziellen Bewerbern für eine der genannten Funktionen, die im Zusammenhang mit der Neueinstellung und Personalverwaltung erhoben und verarbeitet werden, (ii) Mandanten, potenziellen Mandanten und Ehemaligen, die zu Marketing- und Kommunikationszwecken verarbeitet werden, sowie von (iii) Lieferanten, Anbietern, Auftragnehmern und Beratern, die im Rahmen der Beziehung zwischen diesen Unternehmen und Latham & Watkins bearbeitet werden (weitere Informationen dazu finden Sie in derInternen Datenschutzerklärung. oder im Datenschutzhinweis für Kunden und Dritte), von jeder L&W-Einheit als Inhaber der Datenverarbeitung, die den geltenden EU-Datenschutzgesetzen unterliegt.

„Latham & Watkins“ bzw. „die Kanzlei“ ist Latham & Watkins, eine Rechtsanwaltskanzlei in der Rechtsform einer Partnerschaftsgesellschaft mit beschränkter Haftung (LLP, Limited Liability Partnership) nach dem Recht des amerikanischen Bundesstaates Delaware („Delaware LLP“), wobei die Niederlassungen in Großbritannien, Frankreich, Italien und Singapur als LLPs und die Niederlassungen in Hongkong und Japan als Partnerschaften angeschlossen sind. Eine Zusammenarbeit besteht mit der Rechtsanwaltskanzlei Salman M. Al-Sudairi in Saudi-Arabien. Daneben gehören zur Kanzlei alle Büros, die sich im Alleinbesitz der Delaware LLP befinden.

„Landesrecht“ sind die Gesetze und/oder Verordnungen eines Landes bzw. die sonstigen von einem Land auferlegten Rechtspflichten mit Ausnahme der maßgeblichen EU-Datenschutzgesetze, die für ein L&W-Büro gelten.

„L&W-Büro“ ist jeweils eine der Partnerschaftsgesellschaften mit beschränkter Haftung, Partnerschaften und Gesellschaften mit beschränkter Haftung, aus denen die Kanzlei besteht.

„Modellklauseln“ sind die gegebenenfalls von der Europäischen Kommission veröffentlichten und genehmigten Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter oder verantwortliche Stellen, die ihren Sitz in Drittländern haben.

„Personenbezogene Daten“ sind Informationen über eine bestimmte oder bestimmbare natürliche Person („betroffene Person“); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung, wie einem Namen oder Ausweisnummer, Standortdaten, einer Onlinekennung oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, genetischen, wirtschaftlichen, kulturellen oder sozialen Identität sind. Soweit von maßgeblichen EU-Datenschutzbestimmungen vorgeschrieben, umfasst der Begriff „personenbezogene Daten“ auch Informationen über Personen, die keine natürlichen Personen sind.

„Mitarbeiter“ sind Partner, Rechtsanwälte und Angestellte von Latham & Watkins.

„Sensible Daten“ sind europäische personenbezogene Daten betreffend die Rasse oder die ethnische Herkunft, politische Ansichten, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Straftaten, verhängte Strafurteile, Gesundheit, sexuelle Orientierung oder Sexualleben sowie sonstige Kategorien, die unter geltende EU-Datenschutzbestimmungen fallen.

Die Begriffe „Verarbeitung“, „verantwortliche Stelle“ und „Auftragsverarbeiter“ haben die aus der europäischen Richtlinie 2016/679 ersichtliche Bedeutung.

Latham & Watkins ist derzeit in den folgenden Ländern tätig (Länder innerhalb des EWR sind grau unterlegt):

* Latham & Watkins praktiziert in Saudi-Arabien in Zusammenarbeit mit der Anwaltskanzlei Salman M. Al-Sudairi.

REGELN UND GRUNDSÄTZE

1. Grundsätze für den Umgang mit Daten

Bei der Tätigkeit als Datenverantwortlicher wird jede L&W-Einheit, die personenbezogene Daten gemäß derInternen Datenschutzhinweise oder gemäß der Datenschutzhinweise für Kunden und Dritte verarbeitet (soweit zutreffend), diesen Grundsätzen entsprechen:

• Europäische personenbezogene Daten werden transparent, fair und rechtmäßig verarbeitet: Die betroffenen Personen erhalten Informationen über die Identität des/der für die Verarbeitung Verantwortlichen, die Zwecke, für die ihre personenbezogenen Daten verwendet werden dürfen (vorbehaltlich etwaiger zulässiger Einschränkungen bei der Bereitstellung solcher Informationen, z.B. im Zusammenhang mit der Verbrechensverhütung, Gerichtsverfahren oder der Besteuerung, oder wenn dies durch geltendes Recht verboten ist), die Rechtsgrundlage für die Verarbeitung und andere relevante Informationen, wie sie in den geltenden EU-Datenschutzgesetzen vorgesehen sind, soweit diese nicht bereits bekannt sind oder erhalten werden. Diese Informationen enthalten Einzelheiten über die Rechte, die den Betroffenen nach den EU-Datenschutzgesetzen zustehen.

• Europäische personenbezogene Daten werden nur für konkrete, rechtmäßige Geschäftszwecke erhoben. Soweit nicht anderweitig durch maßgebliche EU-Datenschutzbestimmungen gestattet, werden sie nicht auf eine mit diesen Zwecken unvereinbare Weise weiterverarbeitet.

• Daten aus bestimmten Kategorien werden nur dann verarbeitet, wenn dies für die rechtmäßigen Geschäftszwecke der Kanzlei unbedingt erforderlich ist, wobei etwaige von maßgeblichen EU-Datenschutzgesetzen geforderte Sicherheitsvorkehrungen getroffen werden.

• Durch geeignete Maßnahmen ist sicherzustellen, dass die erhobenen und verarbeiteten europäischen personenbezogenen Daten angemessen und nicht übermäßig sowie relevant, sachlich richtig und, wenn nötig, aktualisiert sind. Es werden auch geeignete Maßnahmen ergriffen, um personenbezogene Daten unverzüglich zu korrigieren oder zu löschen, wenn sie sich als unrichtig erweisen.

• Europäische personenbezogene Daten werden nicht länger aufbewahrt, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist, und werden in Übereinstimmung mit den dokumentierten Datenspeicherungsrichtlinien des Unternehmens aufbewahrt (vorbehaltlich der gesetzlichen Bestimmungen und den Anforderungen der geltenden EU-Datenschutzgesetze).

2. Datensicherheit

Jedes L&W-Büro ergreift unter Berücksichtigung des Standes der Technik und der Umsetzungskosten geeignete technische und organisatorische Maßnahmen zum Schutz europäischer personenbezogener Daten gegen zufällige oder unrechtmäßige Zerstörung, zufälligen Verlust, Änderungen, unbefugte Weitergabe oder unberechtigten Zugriff, insbesondere wenn im Rahmen der Verarbeitung Daten in einem Netz übertragen werden, sowie gegen jede andere Form der unrechtmäßigen Verarbeitung. Die Maßnahmen gewährleisten ein Maß an Sicherheit, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden europäischen personenbezogenen Daten angemessen ist. Kategoriespezifische und sonstige streng vertrauliche Informationen genießen damit einen verstärkten Schutz. Solche Maßnahmen werden gegebenenfalls Folgendes umfassen:

• Pseudonymisierung;

• Verschlüsselung;

• Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit von Systemen und Diensten;

• Backup- und Notfallwiederherstellungs-Einrichtungen; und

• Prozesse zur Prüfung, Auswertung und Bewertung der Wirksamkeit der Sicherheitsmaßnahmen.

Jede L&W-Einheit hat den weltweiten Datenschutzbeauftragten unter GlobalDPO@lw.com unverzüglich über jede Verletzung der Sicherheit zu unterrichten, die zur zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unberechtigten Weitergabe oder zum unberechtigten Zugriff auf personenbezogene europäische Daten, die von dieser L&W-Einheit verarbeitet werden, führt (ein "Sicherheitsverstoß"). Das Büro des globalen Datenschutzbeauftragten führt geeignete Aufzeichnungen über die Sicherheitsverletzung, mögliche Auswirkungen auf die betroffenen Personen und die ergriffenen Abhilfemaßnahmen. Das Büro des globalen Datenschutzbeauftragten stellt auch sicher, dass Mitteilungen an die zuständigen Datenschutzbehörden und betroffenen Personen erfolgen, wie es das EU-Datenschutzgesetz vorschreibt. Das globale Datenschutzbüro teilt die Aufzeichnungen über Sicherheitsverletzungen in Bezug auf europäische personenbezogene Daten, die von einer L&W-Einheit als Datenverantwortlicher im EWR verarbeitet werden, mit der DPA in ihrem Land oder ihrer Gerichtsbarkeit, wenn diese von der DPA dazu aufgefordert wird.

Jedes L&W-Büro hat die Zuverlässigkeit jener Mitarbeiter, die Zugriff auf europäische personenbezogene Daten haben oder für diese verantwortlich sind, einschließlich der Verarbeitung von europäischen personenbezogenen Daten in Übereinstimmung mit den Anweisungen des Unternehmens, durch geeignete Maßnahmen sicherzustellen.

Ziffer 7 befasst sich mit der Funktion für Datensicherheitsrichtlinien und Datenschutz in der Kanzlei. Der in Ziffer 7 geregelte Sicherheitsausschuss ist für alle Datensicherheitsregeln und -standards in der Kanzlei zuständig. Den Richtlinien und Verfahren der Kanzlei in ihrer jeweils gültigen Fassung ist im Einzelnen zu entnehmen, welche Standards der Kanzlei im Hinblick auf Datensicherheit einzuhalten sind.

3. Arbeit mit Auftragsverarbeitern

Wenn ein L&W-Unternehmen die Dienste eines anderen L&W-Unternehmens als Datenverarbeiter in Anspruch nimmt, um in seinem Namen europäische personenbezogene Daten zu verarbeiten, wird dieser Datenverarbeiter die einschlägigen Anforderungen dieser Standards erfüllen, und wenn nötig, werden die Parteien zusätzliche Vereinbarungen treffen und einhalten, die von den geltenden EU-Datenschutzgesetzen verlangt werden.

Nimmt ein L&W-Büro zur Verarbeitung europäischer personenbezogener Daten in seinem Namen die Dienste eines Auftragsverarbeiters in Anspruch, bei dem es sich um einen Dritten handelt, so wählt die L&W-Einheit einen Auftragsverarbeiter aus, der das für die zu verarbeitenden europäischen personenbezogenen Daten eingehaltene Maß an Sicherheit in geeigneter Weise zusichert. Das L&W-Büro stellt sicher, dass mit externen Auftragsverarbeitern ein Vertrag geschlossen wird, der die einschlägigen Vorgaben der geltenden EU-Datenschutzbestimmungen erfüllt.

Beauftragt ein L&W-Büro mit Sitz im EWR einen außerhalb des EWR ansässigen externen Auftragsverarbeiter mit der Verarbeitung europäischer personenbezogener Daten in seinem Namen, so hat das L&W-Büro entweder:

• sicherzustellen, dass mit dem Auftragsverarbeiter ein im Wesentlichen den Modellklauseln für Auftragsverarbeiter entsprechender bzw. deren Bestimmungen enthaltender Vertrag geschlossen wird (vorbehaltlich etwaiger durch anwendbare EU-Datenschutzbestimmungen gestatteter Änderungen) oder

• sicherzustellen, dass zum Schutz der europäischen personenbezogenen Daten sonstige geeignete Vorkehrungen im Einklang mit den maßgeblichen EU-Datenschutzbestimmungen getroffen werden.

Um festzustellen, ob unter diesen Umständen ein die Bestimmungen der Modellklauseln enthaltender Vertrag erforderlich ist, hat ein im EWR ansässiges L&W-Büro die aus Anlage 2 ersichtlichen Schritte zu befolgen.

Übermittelt ein (als für die Datenverarbeitung verantwortliche Stelle handelndes) L&W-Büro europäische personenbezogene Daten an eine externe verantwortliche Stelle außerhalb der Kanzlei, stellt die L&W-Einheit sicher, dass diese Transfers im Einklang mit den Anforderungen der maßgeblichen EU-Datenschutzbestimmungen durchgeführt werden. Soweit nach den maßgeblichen EU-Datenschutzbestimmungen erforderlich oder sonst durch maßgebliche EU-Datenschutzbestimmungen gestattet und als angemessen erachtet, trifft das L&W-Büro Sicherheitsvorkehrungen zum Schutz der europäischen personenbezogenen Daten sowie der Rechte von Einzelpersonen. Bei diesen Sicherheitsvorkehrungen kann es sich um einen Vertrag handeln, der entweder den Modellklauseln für die Datenübermittlung zwischen verantwortlichen Stellen entspricht oder sonst ein angemessenes Schutzniveau vorsieht.

4. Schulung von Angestellten

Latham & Watkins unterhält ein Programm zur Schärfung des Bewusstseins für Datenschutz und Sicherheit. Schwerpunkt dieses Programms ist die Aufklärung aller Angestellten, Rechtsanwälte und Rechtsanwaltsfachangestellten über die Datenschutz- und Sicherheitsrichtlinien der Kanzlei sowie Best Practices im Bereich Datenschutz und Sicherheit. Zur Verbreitung von Informationen über die Schärfung des Bewusstseins für Datenschutz und Sicherheit werden verschiedene Kommunikationskanäle genutzt. Über spezielle Intranetwebsites zu Datenschutz und Sicherheit haben alle Mitarbeiter Zugriff auf Hinweisblätter über Best Practices und die Schärfung des Bewusstseins für Datenschutz und Sicherheit sowie auf Hinweise zu entsprechenden Initiativen.

Daneben stellt jedes L&W-Büro sicher, dass Mitarbeiter, die Zugriff auf personenbezogene Daten haben oder für den Umgang mit solchen Daten verantwortlich sind, in geeigneter Weise betreut und geschult werden.

5. Widerspruch zu maßgeblichem Landesrecht 

Hat ein L&W-Büro Grund zu der Annahme, dass es durch maßgebliches Landesrecht bzw. durch Verordnungen oder sonstige Rechtspflichten an der Einhaltung der Standards gehindert ist und sich dies in erheblicher Weise auf die in den Standards vorgesehenen Garantien auswirkt, hat das L&W-Büro unverzüglich den Datenschutzausschuss (im nachstehend definierten Sinn) zu benachrichtigen, es sei denn, dies ist ihm durch Gesetz oder eine Strafverfolgungsbehörde, zum Beispiel zum Schutz der Vertraulichkeit einer strafrechtlichen Ermittlung, untersagt. Der Datenschutzausschuss führt Aufzeichnungen über alle diese Mitteilungen und die in Bezug auf sie ergriffenen Maßnahmen. 

Der Datenschutzausschuss trifft alle notwendigen Entscheidungen dahingehend, welche Maßnahmen infolge einer derartigen Benachrichtigung durch ein L&W-Büro erforderlich sind. Der Datenschutzausschuss erkennt an, dass keine Weitergabe europäischer personenbezogener Daten durch eine L&W-Einheit an eine Behörde erfolgen sollte, die massiv, unverhältnismäßig oder unterschiedslos ist und über das hinausgeht, was in einer demokratischen Gesellschaft erforderlich ist. Darüber hinaus kann sich der Datenschutzausschuss jederzeit von der jeweiligen Datenschutzbehörde beraten lassen, einschließlich darüber, wie bei einem Widerspruch zwischen maßgeblichem Landesrecht und den Standards vorzugehen ist. 

Der Datenschutzausschuss informiert die zuständige Datenschutzbehörde, wenn er festgestellt hat, dass die lokalen Gesetze die von den Standards gebotenen Garantien erheblich beeinträchtigen können, es sei denn, dies ist gesetzlich oder durch eine Strafverfolgungsbehörde verboten, beispielsweise um die Vertraulichkeit einer Strafverfolgungsuntersuchung zu wahren. Wenn ein solches Verbot in Kraft ist, wird der Datenschutzausschuss die betreffende L&W-Einheit anweisen, sich nach besten Kräften um einen Verzicht auf die Beschränkung zu bemühen, um so schnell wie möglich die Offenlegung so vieler Informationen wie möglich an die betreffende DPA zu ermöglichen und Aufzeichnungen über ihre Bemühungen zu führen. 

Der Datenschutzausschuss führt Aufzeichnungen über alle Offenlegungen europäischer personenbezogener Daten, zu denen das Unternehmen verpflichtet ist und die einen erheblichen negativen Einfluss auf die von diesen Standards gebotenen Garantien haben können, und gibt jährlich eine Zusammenfassung der Offenlegungen gegenüber dem zuständigen Datenschutzbeauftragten (unter Berücksichtigung aller gesetzlich oder durch eine Strafverfolgungsbehörde auferlegten Beschränkungen). 

Erfordert das Landesrecht ein höheres Maß an Schutz für europäische personenbezogene Daten als nach diesen Standards vorgesehen, haben die Bestimmungen des Landesrechts Vorrang. 

6. Gegenseitige Unterstützung und Zusammenarbeit mit Datenschutzbehörden 

Jedes L&W-Büro hat die Anweisungen der in seinem Land zuständigen Datenschutzbehörde zu befolgen, soweit sich diese auf die vorliegenden Standards oder die Verarbeitung europäischer personenbezogener Daten im Allgemeinen beziehen. Dabei hat es etwaige Hinweise der Datenschutzbehörde zur Auslegung der Standards zu berücksichtigen. 

Sind im Zusammenhang mit den Standards Anfragen einer Datenschutzbehörde zu beantworten oder ist auf eine datenschutzbehördliche Ermittlung zu reagieren, leisten sich die L&W-Büros gegenseitig Unterstützung. 

Die L&W-Büros unterstützen sich außerdem gegenseitig bei der Beantwortung von Anfragen oder Beschwerden einer betroffenen Person im Zusammenhang mit diesen Standards oder der Verarbeitung ihrer europäischen personenbezogenen Daten. 

VORSCHRIFTEN IN DER PRAXIS UND DEREN EINHALTUNG 

7. Latham & Watkins - Funktion für Richtlinien und Datenschutz 

7.1 Richtlinien und Hinweise 

Das Unternehmen hat detaillierte Richtlinien, Standards, Verfahren und Leitfäden eingeführt, die vom Datenschutz- und Sicherheitsausschuss in der jeweils aktualisierten und geänderten Fassung genehmigt wurden, um die Regeln und Prozesse, die eingehalten werden müssen, um die Einhaltung dieser Standards zu erreichen, insbesondere die in Abschnitt 1 dargelegten Grundsätze für den Umgang mit Daten und die in Abschnitt 2 dargelegten Verpflichtungen zur Informationssicherheit genauer zu beschreiben. Weitere Informationen über die maßgeblichen Richtlinien finden die Mitarbeiter im Abschnitt Richtlinien des Intranets der Kanzlei. 

7.2 Verantwortung 

Die Kanzlei führt Aufzeichnungen über ihre Verarbeitungsaktivitäten in Bezug auf europäische personenbezogene Daten gemäß den EU-Datenschutzgesetzen. Diese Aufzeichnungen werden den Datenschutzbehörden der EWR-Länder, in denen das Unternehmen tätig ist, auf Anfrage zur Verfügung gestellt. 

7.3 Datenschutz- und Sicherheitsausschuss 

Der Datenschutzausschuss und der Sicherheitsausschuss von Latham & Watkins sind jeweils gesonderte, jedoch eng miteinander verbundene Ausschüsse. Den Vorsitz führen Partner der Kanzlei; sie berichten der Kanzleiführung. Während der Schwerpunkt des Datenschutzausschusses auf der Sensibilisierung und Durchsetzung der Einhaltung der einschlägigen Datenschutzgesetze und der Standards (und aller damit verbundenen Richtlinien) liegt, liegt der Schwerpunkt des Sicherheitsausschusses auf der Entwicklung und Durchsetzung der Informationssicherheitsrichtlinien und -standards des Unternehmens sowie des Plans für Reaktionen auf Vorfälle des Unternehmens. Der Sicherheitsausschuss ist zuständig für die in der Kanzlei geltenden Sicherheitsrichtlinien, Standards, Leitlinien und Praktiken einschließlich der Verpflichtungserklärung im Hinblick auf die Einhaltung der Richtlinie über die zulässige Nutzung der Kommunikationssysteme. Der Datenschutzausschuss überwacht interne Datenschutzangelegenheiten, wie Vereinbarungen über Datentransfers, Verträge zur Auftragsdatenverarbeitung mit Lieferanten, Einhaltung lokaler aufsichtsrechtlicher Anforderungen, Aktualisierung des internen Datenschutzes (einschließlich der Verpflichtungserklärung im Hinblick auf die Einhaltung der Richtlinie über die zulässige Nutzung der Kommunikationssysteme), Schulung und Leitlinien sowie die Beantwortung von Datenschutzanfragen örtlicher Kanzleien. Der Datenschutzausschuss ist für die Durchsetzung der Einhaltung dieser Standards zuständig. 

Der Datenschutz- und der Sicherheitsausschuss sind gemeinsam dafür verantwortlich, dass der Ansatz des Unternehmens zum Schutz der Privatsphäre proaktiv ist und die Grundsätze des Datenschutzes durch Design und Standard berücksichtigt werden und nicht nur eine Reaktion auf Datenverstöße oder andere Fehler darstellt. Dieser Ansatz umfasst den Einsatz von Techniken (z. B. Datenminimierung), die darauf abzielen, die Verarbeitung auf das für die betreffenden Zwecke erforderliche Maß zu beschränken und die Rechte der betroffenen Personen zu schützen. 

Der Datenschutzausschuss ist für die Durchführung von Datenschutzfolgenabschätzungen (Data Protection Impact Assessments, „DPIA“) gemäß den EU-Datenschutzvorschriften zuständig. Zeigt eine DPIA, dass die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten von Personen darstellt, die Gegenstand europäischer personenbezogener Daten sind, so konsultiert der Datenschutzausschuss in Ermangelung von Maßnahmen zur Risikominimierung den zuständigen Datenschutzbeauftragten gemäß den EU-Datenschutzgesetzen. 

7.4 Datenschutzbeauftragter 

In enger Zusammenarbeit mit dem Datenschutz- bzw. Sicherheitsausschuss sowie Fachanwälten für Datenschutz an den verschiedenen Kanzleistandorten sorgt das weltweite Datenschutzbüro von Latham & Watkins für die Entwicklung, Auslegung und Überwachung der Datenschutzpraktiken, -richtlinien und -verfahren der Kanzlei. Zudem wirkt er mit an der strategischen Planung und Umsetzung von Zielen und Vorgaben im Zusammenhang mit Datenschutz-Compliance und Best Practices in den verschiedenen Latham & Watkins-Büros. Das weltweite Datenschutzbüro (Global Data Privacy Office) unterstützt und berät auch alle Führungskräfte, Vorgesetzte, Rechtsanwälte und Mitarbeiter im Hinblick auf Best Practices für Datenschutz. Im Falle eines Verstoßes oder eines möglichen Verstoßes gegen die Standards, meldet das Datenschutzbüro den Verstoß bzw. den möglichen Verstoß dem Datenschutzausschuss, der dann darüber entscheidet, ob Durchsetzungsmaßnahmen oder andere Maßnahmen zu ergreifen sind. 

Der Hauptinformationsbeauftragte (Chief Information Officer) von Latham & Watkins ist Mitglied im Sicherheitsausschuss der Kanzlei. Er überwacht die sicherheitsrelevanten Pflichten des Datensicherheitsbeauftragten. Der Informationsbeauftragte ist zuständig für die Pflege des Programms für Datensicherheitsmanagement bei Latham & Watkins. Hierzu zählt die Einführung von Prozessen zur Überwachung, Durchsetzung und Kontrolle der Einhaltung der Datensicherheitsrichtlinien und Datensicherheitsstandards der Kanzlei. 

Alle Systeme und Anwendungen, die Practice- oder Geschäftsfunktionen in der Kanzlei unterstützen, haben jeweils einen Dateneigner („Information Owner“). Der Dateneigner ist als Vertreter der Geschäftsleitung der Kanzlei für den Schutz des Systems bzw. der Anwendung verantwortlich. Darüber hinaus sind Kanzleitechnik-Manager (Office Technology Managers) und Führungskräfte an ihren jeweiligen Standorten für die Förderung und Anwendung der in der Kanzlei geltenden Datensicherheitsrichtlinien und -standards zuständig. 

In enger Zusammenarbeit mit dem geschäftsführenden Teilhaber einer Niederlassung (Office Managing Partner) und dem Geschäftsführer (Chief Operating Officer) sorgt der Bürovorsteher (Office Administrator) eines Standorts für die Entwicklung, Auslegung und Überwachung der für die Kanzlei geltenden Praktiken, Richtlinien und Umsetzungsverfahren. Zudem wirkt er an der strategischen Planung und Umsetzung von Zielen und Vorgaben im jeweiligen Latham & Watkins-Büro mit. Der Bürovorsteher unterstützt und berät alle Führungskräfte, Vorgesetzte, Rechtsanwälte und Mitarbeiter über die allgemeine Geschäftstätigkeit der Kanzlei. Er ist außerdem zuständig für die Bearbeitung eskalierter Geschäftsanfragen und Probleme. 

8. Verantwortung für die Einhaltung der Standards 

Sämtliche Mitarbeiter von Latham & Watkins sind verpflichtet, diese Standards einzuhalten. Sie müssen (mit Ausnahme des Pariser Büros) jährlich anzeigen, dass sie diese Standards in Verbindung mit der aktuellen Richtlinie über die zulässige Nutzung der Kommunikationssysteme anerkennen. Den Mitarbeitern im Pariser Büro von Latham & Watkins werden die Standards im Wege interner Regeln („règlement intérieur“) des Büros bekanntgegeben. Die Mitarbeiter können die internen Regeln über eine Seite im Intranet des Büros einsehen oder als physischen Aushang in der Cafeteria des Büros zur Kenntnis nehmen. Nach französischem Recht sind alle Mitarbeiter im französischen Büro verpflichtet, die règlement intérieur zu befolgen. Die Nichteinhaltung der Regeln (oder, im Falle des Pariser Büros, der règlement intérieur) ist ein Disziplinarverstoß, der Disziplinarmaßnahmen bis hin zur Kündigung des Beschäftigungsverhältnisses bzw. zum Ausschluss aus der Partnerschaft zur Folge haben kann. 

Die Kanzlei hat eine Vereinbarung geschlossen („BCR-Vereinbarung“), durch die alle L&W-Büros, die europäische personenbezogene Daten verarbeiten, zur Einhaltung der Standards verpflichtet werden. Die Latham & Watkins (London) LLP („L&W London“) wurde von der Kanzlei zum L&W-Büro mit delegierten EWR-Datenschutzzuständigkeiten benannt. Das weltweite Datenschutzbüro , das über GlobalDPO@lw.com werden kann, ist die Kontaktstelle für jede Anfrage oder Beschwerde betreffend die Einhaltung der Standards. Zur Behebung von Verstößen gegen die Standards ergreift L&W London Maßnahmen, die über die BCR-Vereinbarung vertraglich durchgesetzt werden können. 

L&W London übernimmt die Verantwortung für die Ergreifung von Maßnahmen zur Behebung von Verstößen gegen die Standards, die andere L&W-Büros außerhalb des EWR durch Tun oder Unterlassen begehen, sowie für die Bezahlung von Schadensersatz für Schäden, die auf einen Verstoß gegen die Standards durch ein außerhalb des EWR ansässiges L&W-Büro zurückzuführen sind. Ansprüche gegen außerhalb des EWR ansässige Latham & Watkins-Niederlassungen sind daher gegen die Londoner Niederlassung von Latham & Watkins London geltend zu machen. Ein Anspruch gegen eine im EWR ansässige Latham & Watkins-Niederlassung ist gegen die betreffende Latham & Watkins-Niederlassung geltend zu machen. 

Um sich von der Haftung für einen durch eine betroffene Person geltend gemachten Anspruch zu befreien, muss L&W London nachweisen, dass entweder kein Verstoß begangen wurde oder ein außerhalb des EWR ansässiges L&W-Büro nicht für einen Verstoß gegen die Standards haftet, der zur Geltendmachung von Schadensersatz oder anderen Ersatzansprüchen durch die betroffene Person geführt hat. 

9. Auditprogramm zur Überprüfung der Einhaltung der Standards

Latham & Watkins verpflichtet sich, die folgenden Maßnahmen zur Beurteilung und Überprüfung der Einhaltung dieser Standards und der maßgeblichen Datenschutzgesetze zu ergreifen: 

• Interne Revision – Audits werden vom internen Audit-Team des Unternehmens, den Mitgliedern des Datenschutzausschusses und/oder dem Global Data Privacy Office durchgeführt, um die Informationssicherheit und Compliance innerhalb des Unternehmens zu bewerten. Jedes L&W-Büro wird regelmäßig anhand der Vorgaben des risikoorientierten Revisionsansatzes der Kanzlei geprüft. Der Umfang dieser Prüfungen wurde um die Prüfung der Einhaltung dieser Standards durch die Kanzlei erweitert. Die Prüfungsergebnisse werden dem Prüfungsausschuss des Unternehmens mitgeteilt, soweit sie sich auf den Datenschutz oder die Informationssicherheit beziehen, und die wichtigsten Feststellungen werden dem Exekutivausschuss mitgeteilt. Jede L&W-Einheit ist verpflichtet, alle Korrekturmaßnahmen durchzuführen, die bei solchen Audits als notwendig für die Einhaltung dieser Standards identifiziert wurden, und dies wird vom Prüfungsausschuss überwacht.

• Externe Prüfung – Prüfungen der Sicherheit der Geschäftssysteme der Kanzlei werden jährlich durch die externen Wirtschaftsprüfer der Kanzlei durchgeführt. Bei Bedarf kann ein L&W-Büro weitere externe Prüfungen veranlassen. Die Prüfungsergebnisse werden dem Datenschutzausschuss der Kanzlei gemeldet, soweit sie sich auf Datenschutz oder Datensicherheit beziehen.

• Übermittlung der Prüfergebnisse an eine Datenschutzbehörde im EWR - soweit sich die Ergebnisse interner oder externer Prüfungen auf die Einhaltung dieser Standards beziehen, sind sie von einem L&W-Büro im EWR an die in seinem Land zuständige Datenschutzbehörde auf dessen Verlangen weiterzugeben.

• Gestattung einer Prüfung durch die Datenschutzbehörde – jedes L&W-Büro hat der im Land seiner Geschäftstätigkeit zuständigen Datenschutzbehörde zu gestatten, seine Tätigkeiten im betreffenden EWR-Land bzw. Zuständigkeitsbereich daraufhin zu überprüfen, ob die vorliegenden Standards sowie maßgebliche Datenschutzgesetze eingehalten werden. 

10. Aktualisierungen 

Das in Abschnitt 7.3 genannte Datenschutzkomitee wird diese Standards überprüfen, sicherstellen, dass sie regelmäßig aktualisiert werden und den L&W-Einheiten relevante Aktualisierungen mitteilen. Der Datenschutzausschuss stellt sicher, dass Änderungen an der Kanzleistruktur in diesen Standards wiedergegeben werden und neue L&W-Büros zur Annahme und Einhaltung der Bedingungen dieser Standards verpflichtet werden. 

Der Datenschutzausschuss informiert den Sicherheitsausschuss über alle Aktualisierungen und erstattet der zuständigen Datenschutzbehörde gegebenenfalls Meldung. 

Die nicht vertraulichen Bestimmungen dieser Standards (einschließlich des Inhalts der Anlage 1 - Datenschutz-Beschwerdeverfahren) werden auf der externen Internetwebsite von Latham & Watkins sowie auf der Latham & Watkins-Intranetwebsite veröffentlicht. Der vollständige Wortlaut der Standards wird (vorbehaltlich der Unterzeichnung einer Geheimhaltungsvereinbarung) jeder betroffenen Person, die den im Datenschutz-Beschwerdeverfahren gemäß Anlage 1 dargestellten Entschädigungsanspruch geltend macht, auf deren Verlangen zur Verfügung gestellt. 

RECHTE BETROFFENER PERSONEN 

11. Zugriffs-, Berichtigungs- und Widerspruchsrecht (auch gegen Marketing und Profilierung) 

Jedes L&W-Büro erkennt an, dass betroffene Personen gegenüber dem L&W-Büro in dessen Eigenschaft als der für die Verarbeitung europäischer personenbezogener Daten verantwortlichen Stelle die folgenden Rechte als Drittbegünstigte geltend machen können: 

• das Recht, Informationen darüber zu erhalten, wie ihre personenbezogenen Daten von der betreffenden L&W-Einheit in ihrer Eigenschaft als für die Verarbeitung der europäischen personenbezogenen Daten verantwortliche Stelle verarbeitet werden, einschließlich einer Kopie dieser Standards und des Datenschutzbeschwerdeverfahrens;

• das Recht, eine Kopie der über sie gespeicherten europäischen personenbezogenen Daten (einschließlich des Zwecks und der Art der Verarbeitung) von der L&W-Einheit innerhalb der im anwendbaren EU-Datenschutzgesetz festgelegten Fristen und Intervalle zu erhalten, vorbehaltlich der Zahlung einer Gebühr, die die L&W-Einheit gemäß den geltenden EU-Datenschutzgesetzen erheben darf, und vorbehaltlich des Rechts, eine solche Anfrage ganz oder teilweise abzulehnen, die der L&W-Einheit gemäß den geltenden EU-Datenschutzgesetzen zur Verfügung stehen könnte;

• das Recht, ihre europäischen personenbezogenen Daten nach Maßgabe der Bestimmungen maßgeblicher EU-Datenschutzgesetze aktualisieren, berichtigen oder vervollständigen zu lassen, insbesondere bei Unvollständigkeit oder Unrichtigkeit der Daten;

• das Recht auf Löschung europäischer personenbezogener Daten, vorbehaltlich der Bestimmungen der geltenden EU-Datenschutzgesetze;

• das Recht, die Verarbeitung ihrer europäischen personenbezogenen Daten zu beschränken, vorbehaltlich der Bestimmungen der geltenden EU-Datenschutzgesetze;

• das Recht, die europäischen personenbezogenen Daten, die die betroffene Person einer L&W-Einheit in ihrer Eigenschaft als Inhaber europäischer personenbezogener Daten zur Verfügung gestellt hat, in einem strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format zu erhalten und diese personenbezogenen Daten an einen anderen Inhaber zu übermitteln, vorbehaltlich der Bestimmungen der geltenden EU-Datenschutzgesetze;

• soweit durch die Bestimmungen maßgeblicher EU-Datenschutzbestimmungen vorgeschrieben, das Recht, ohne vorherige Zustimmung kein Direktmarketingmaterial zu erhalten sowie in jedem Fall das Recht, der Verarbeitung ihrer personenbezogenen Daten (einschließlich Profilierung) für Direktmarketingzwecke jederzeit zu widersprechen;

• das Recht, der Verarbeitung ihrer europäischen personenbezogenen Daten jederzeit aus zwingenden berechtigten Gründen zu widersprechen, gemäß der Bestimmungen der anwendbaren EU-Datenschutzgesetze; und

• das Recht, Einwände gegen Entscheidungen zu erheben, die ihre europäischen personenbezogenen Daten betreffen, die ausschließlich auf einer automatisierten Verarbeitung, einschließlich der Erstellung von Profilen, beruhen, wenn diese Entscheidungen ihre persönlichen Merkmale oder ihr Verhalten bewerten und Rechtswirkungen haben, die sie betreffen oder erheblich beeinträchtigen (außer in dem Umfang, in dem dies durch die geltenden EU-Datenschutzvorschriften erlaubt ist und den Schutzmaßnahmen unterliegt). 

12. Verstöße gegen diese Standards 

Latham & Watkins erkennt an, dass betroffene Personen im Hinblick auf europäische personenbezogene Daten als begünstigte Dritte zur Geltendmachung der folgenden Rechte gegen die Kanzlei berechtigt sind: 

• das Recht auf Benachrichtigung im Falle der Übermittlung kategoriespezifischer Daten an ein Land außerhalb des EWR, das den Daten keinen angemessenen Schutz bietet (vorbehaltlich etwaiger in maßgeblichen EU-Datenschutzgesetzen vorgesehener Ausnahmen und Befreiungen);

• das Recht, auf Antrag eine Kopie der vorliegenden Standards zu erhalten (vorbehaltlich einer von der Kanzlei oder dem mit der Anfrage befassten L&W-Büro in angemessenem Umfang geforderten Geheimhaltungsverpflichtung);

• das Recht, innerhalb angemessener Zeit, spätestens einen Monat nach Antragstellung, eine Antwort auf Anfragen zur Verarbeitung der europäischen personenbezogenen Daten der betroffenen Person außerhalb des EWR zu erhalten;

• das Recht, Beschwerde einzulegen und infolge eines Verstoßes gegen diese Standards durch ein L&W-Büro eine angemessene Wiedergutmachung (einschließlich des Ersatzes etwaiger Schäden) zu erhalten; ausgenommen hiervon sind Verstöße gegen Bestimmungen über die Schulung von Angestellten, die Funktion für Richtlinien und Datenschutz von Latham & Watkins, das Auditprogramm sowie Aktualisierungen dieser Standards).

• das Recht, eine Beschwerde bei einer Datenschutzbehörde im europäischen Wirtschaftsraum im Land des gewöhnlichen Aufenthalts oder des Arbeitsplatzes der betroffenen Person oder am Ort des behaupteten Verstoßes gegen diese Standards einzureichen; und

• das Recht, einen wirksamen Rechtsbehelf bei dem zuständigen Gericht im europäischen Wirtschaftsraum einzulegen, das sich in der Gerichtsbarkeit, in der das betreffende L&W-Unternehmen niedergelassen ist, oder am gewöhnlichen Aufenthaltsort der betroffenen Person befinden kann. 

13. Geltendmachung der Rechte betroffener Personen 

Das Verfahren zur Geltendmachung der aus Ziffer 12 ersichtlichen Rechte ist im Verfahren von Latham & Watkins bei Datenschutzbeschwerden gemäß Anlage 1 zu diesen Standards im Einzelnen dargestellt. 

Eine betroffene Person, die ihre Rechte geltend machen möchte, kann per E-Mail an den weltweiten Datenschutzbeauftragten unter GlobalDPO@lw.com oder bei der Datenschutzbehörde bzw. den Gerichten des Landes, in dem das betreffende L&W-Büro ansässig ist, Beschwerde einlegen. 

Möchte eine betroffene Person ihre Rechte aus den vorliegenden Standards geltend machen, ist sie verpflichtet, durch geeignete Nachweise glaubhaft zu machen, dass sich ein Verstoß ereignet hat. 

Datum des Inkrafttretens der Standards: September 2016
Aktualisiert im Juli 2020

Anhang 1 Latham & Watkins - Datenschutz-Beschwerdeverfahren

Datenschutz-Beschwerdeverfahren