Globale Datenschutzstandards

View in English.

Datum des Inkrafttretens der Standards: September 2016
Zuletzt aktualisiert: April 2024

EINFÜHRUNG

Dieses Dokument enthält die für die Verarbeitung europäischer personenbezogener Daten (im nachstehend definierten Sinn) bei Latham & Watkins geltenden Standards („Standards“). Latham & Watkins ist eine weltweit tätige Kanzlei mit Niederlassungen in 15 Ländern. Die Kanzlei arbeitet ohne interne Grenzen. Aufgrund des internationalen Charakters ihres Geschäftsbetriebs ist es unerlässlich, dass personenbezogene Daten innerhalb der Kanzlei übertragen werden können.

Latham & Watkins hat sich durch die Kanzleiführung dazu verpflichtet, personenbezogene Daten, die in der Kanzlei verarbeitet werden, zu schützen. Diese Standards dienen insbesondere dazu, den Transfer europäischer personenbezogener Daten innerhalb von Latham & Watkins gemäß der europäischen Richtlinie 2016/679 zu ermöglichen.

Begriffsbestimmungen 

Anwendbares Recht“ ist das Recht in dem Land, in dem sich ein L&W-Büro befindet, außerdem jedes sonstige Recht, das für ein L&W-Büro gilt;

"BCR-Vereinbarung" bezeichnet die Vereinbarung, die alle L&W-Büros, die europäische personenbezogene Daten verarbeiten, zur Einhaltung der Standards verpflichtet.

„Datenschutzbehörde“ oder „DPA” ist die Aufsichtsbehörde, die für die Überwachung und die Durchsetzung der Einhaltung von Datenschutzgesetzen in einem bestimmten Land zuständig ist.

"DPIA" bedeutet Datenschutz-Folgenabschätzung gemäß der Definition in Art. 35 GDPR.

„EWR“ ist der Europäische Wirtschaftsraum.

„EU-Datenschutzgesetze“ sind nationale Gesetze zur Umsetzung der europäischen Verordnung 2016/679, der Richtlinie 2002/58 (und aller Rechtsvorschriften, die diese ändern oder ersetzen) und der entsprechenden europäischen Datenschutzgesetze.

„Europäische personenbezogene Daten“ sind personenbezogene Daten von (i) Angestellten, Rechtsanwälten, Partnern, Beratern und Auftragnehmern sowie von potenziellen Bewerbern für eine der genannten Funktionen, die im Zusammenhang mit der Neueinstellung und Personalverwaltung erhoben und verarbeitet werden, (ii) Mandanten, potenziellen Mandanten und Ehemaligen, die zu Marketing- und Kommunikationszwecken verarbeitet werden, sowie von (iii) Lieferanten, Anbietern, Auftragnehmern und Beratern, die im Rahmen der Beziehung zwischen diesen Unternehmen und Latham & Watkins bearbeitet werden (weitere Informationen dazu finden Sie in derInternen Datenschutzerklärung. oder im Datenschutzhinweis für Kunden und Dritte), von jedem L&W-Büro als Inhaber der Datenverarbeitung, das den geltenden EU-Datenschutzgesetzen unterliegt. 

"GDPR" bedeutet die Europäische Verordnung 2016/679.

„Latham & Watkins“ bzw. „die Kanzlei“ ist Latham & Watkins, eine Kanzlei die weltweit als Gesellschaft mit beschränkter Haftung nach dem Recht des Staates Delaware (USA) (Delaware LLP) mit verbundenen Partnergesellschaften mit beschränkter Haftung in Frankreich, Italien, Hongkong, Singapur, dem Königreich Saudi Arabien und Vereinigten Königreich, und als verbundene Gesellschaft, die in Japan tätig ist, operiert. Latham & Watkins ist in Südkorea über das Office of Foreign Counsel tätig und zusätzlich zu den oben genannten umfasst die Kanzlei auch alle Büros, die vollständig im Besitz der Delaware LLP sind . 

„Nationales Recht“ sind die Gesetze und/oder Verordnungen eines Landes bzw. die sonstigen von einem Land auferlegten Rechtspflichten mit Ausnahme der maßgeblichen EU-Datenschutzgesetze, die für ein L&W-Büro gelten.

„L&W-Büro“ ist jeweils eine der Partnerschaftsgesellschaften mit beschränkter Haftung, Partnerschaften und Gesellschaften mit beschränkter Haftung, aus denen die Kanzlei besteht.

„Modellklauseln“ sind die gegebenenfalls von der Europäischen Kommission veröffentlichten und genehmigten Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter oder verantwortliche Stellen, die ihren Sitz in Drittländern haben.

„Personenbezogene Daten“ sind Informationen über eine bestimmte oder bestimmbare natürliche Person („betroffene Person“); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung, wie einem Namen oder Ausweisnummer, Standortdaten, einer Onlinekennung oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, genetischen, wirtschaftlichen, kulturellen oder sozialen Identität sind. Soweit von maßgeblichen EU-Datenschutzbestimmungen vorgeschrieben, umfasst der Begriff „personenbezogene Daten“ auch Informationen über Personen, die keine natürlichen Personen sind.

„Mitarbeiter“ sind Partner, Rechtsanwälte und Angestellte von Latham & Watkins, sowohl zeitlich befristet als auch in unbefristeter Anstellung.

"Sicherheitsverletzung" ist jede Verletzung der Sicherheit, die zur zufälligen oder unrechtmäßigen Zerstörung, Verlust, Veränderung, unbefugte Weitergabe oder Zugriff auf europäische personenbezogene Daten führt, die von einem L&W-Büro verarbeitet werden.

„Sensible Daten“ sind europäische personenbezogene Daten betreffend die Rasse oder die ethnische Herkunft, politische Ansichten, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Straftaten, verhängte Strafurteile, Gesundheit, sexuelle Orientierung oder Sexualleben sowie sonstige Kategorien sensibler Daten, die unter geltende EU-Datenschutzbestimmungen fallen.

Die Begriffe „Verarbeitung“, „verantwortliche Stelle“ und „Auftragsverarbeiter“ haben die in der Datenschutz-Grundverordnung festgelegten Bedeutungen.

Geltungsbereich

Latham & Watkins ist derzeit in folgenden Ländern tätig (Länder innerhalb des EWR sind in Fettdruck):

Land

Büros

Kontaktdaten des Landes

Die Vereinigten Staaten von Amerika Austin, Boston, Century City, Chicago, Houston, Los Angeles, Los Angeles GSO, New York, Orange County, San Diego, San Francisco, Silicon Valley, Washington D.C. 1271 Avenue of the Americas, New York, NY 10020
Großbritannien London 99 Bishopsgate, London EC2M 3XF, United Kingdom
Belgien Brüssel Boulevard du Régent, 43-44, B-1000 Brussels, Belgium
Frankreich Paris 45, rue Saint-Dominique, Paris 75007, France
Italien Mailand Corso Matteotti, 22, Milano, 20121, Italy 
Deutschland Frankfurt, München, Hamburg, Düsseldorf
 
Reuterweg 20, 60323 Frankfurt am Main, Germany 
Spanien Madrid  Plaza de la Independencia 6, Madrid 28001, Spain 
Saudi-Arabien Riad Al-Tatweer Towers, 7th Floor, Tower 1, King Fahad Highway, PO Box 17411, Riyadh 11484, Saudi Arabia 
Vereinigte Arabische Emirate Dubai  ICD Brookfield Place, Level 16, Dubai International Financial Centre, PO Box 506698, Dubai, United Arab Emirates 
Israel  Tel Aviv 28 HaArba’a Street, North Tower, 34th floor, Tel Aviv, 6473925, Israel 
Südkorea Seoul 29F One IFC, 10 Gukjegeumyung-ro Yeongdeungpo-gu, Seoul 07326, Korea 
China  Beijing Unit 2318, China World Trade Office 2, 1 Jian Guo Men Wai Avenue, Beijing 100004, People's Republic of China 
Hongkong   18th Floor, One Exchange Square, 8 Connaught Place, Central, Hong Kong 
Singapur   9 Raffles Place, #42-02 Republic Plaza, Singapore 048619 
Japan  Tokyo Marunouchi Building, 32nd Floor, 2-4-1 Marunouchi, Chiyoda-ku, Tokyo 100-6332, Japan 

Diese Standards gelten für die Verarbeitung europäischer personenbezogener Daten durch L&W-Büros, die den geltenden EU-Datenschutzgesetzen unterliegen.

Diese Standards gelten für die Übermittlung von personenbezogenen Daten von Mitarbeitern, Bewerbern, Kunden und Dritten.

Zu den personenbezogenen Daten von Mitarbeitern gehören zum Beispiel:

  • Identifikatoren (z. B. Name, Kontaktinformationen, Notfallkontakte, Fotos, Nachweis der Arbeitsberechtigung und Identifikationsnummern);
  • Angaben zur Person und zur Familie (z. B. Geburtsort, Familienstand, Nationalität, Staatsangehörigkeit, Familienzusammensetzung, Pass- und VISA-Daten);
  • Angaben zur Gesundheit (z. B. Behinderungen, Krankmeldungen, Unfallmeldungen, Informationen zu Gesundheitsvorsorgeuntersuchungen, Informationen zum Gesundheitszustand am Arbeitsplatz, Essensvorlieben und Lebensmittelallergien);
  • Daten in Bezug auf die Karriereplanung und -entwicklung (z. B. Mitarbeiterkategorie, Voll-/Teilzeitstatus, Ausbildung und Qualifikationen, Sprachkenntnisse, Referenzen, Hintergrundprüfungen, Berufserfahrung);
  • Daten in Bezug auf die Durchführung und Beendigung des Arbeitsvertrags oder des Beschäftigungsverhältnisses (z. B. Beschäftigungsdaten, Mitarbeiter-ID, Zeiterfassung, Arbeitszeit und Urlaub, Leistungsbewertungen, Schulungen, Disziplinarverfahren und Beschwerden, Austrittsgespräch);
  • Finanzdaten (z. B. Vergütung, Entschädigung, Gehalt, Sozialleistungen, Bankverbindung, Steuer-/Sozialversicherungsnummer);
  • Audio- und Videoaufzeichnungen (z. B. CCTV-Aufzeichnungen, Online-Meetings und Webinare, Veranstaltungen und Veröffentlichungen);
  • Daten im Zusammenhang mit der Nutzung von Zugangskontrollsystemen für Gebäude sowie dem Zugang zu und der Nutzung von Büroausstattung und -ressourcen;
  • Daten im Zusammenhang mit Reisen für Zwecke des Arbeitsverhältnisses oder im Rahmen von Sozialleistungsprogrammen für Mitarbeiter.

Zu den personenbezogenen Daten von Bewerbern gehören zum Beispiel:

  • Informationen, die in der Bewerbung enthalten sind (z. B. Name, Kontaktinformationen, Arbeits- und Bildungserfahrungen und Qualifikationen, Nachweise der Arbeitsberechtigung und weitere Informationen zum Lebenslauf);
  • sensible Informationen (z. B. Ethnie oder ethnische Herkunft, Behinderungen);
  • Informationen, die während Vorstellungsgesprächen und Beurteilungen gesammelt werden (z. B. Gesprächsnotizen, Feedback, Informationen, die durch Beurteilungen und Videointerviews gesammelt werden);
  • Informationen über die Nutzung des Einstellungsportals und der Website (z. B. IP-Adressdaten, die über Cookies gesammelt werden);
  • Informationen von Dritten, wie z. B. Empfehlungsgebern und Personalverantwortlichen;
  • Informationen, die für die Durchführung von Hintergrunduntersuchungen vor der Einstellung erforderlich sind (z. B. Strafregisterüberprüfung, Überprüfung von Qualifikationen und Beschäftigung);
  • Informationen über den Zugang zu Gebäuden, Aufnahmen von Sicherheitskameras).

Zu den kunden- und drittbezogenen Informationen gehören zum Beispiel:

  • Identifikatoren (z. B. Name, Kontaktinformationen und Identifikationsnummern);
  • biometrische Informationen (z. B. Fotos);
  • kommerzielle Informationen;
  • berufliche oder beschäftigungsbezogene Informationen;
  • öffentlich zugängliche soziale Medien und Nachrichtenberichte;
  • Merkmale geschützter Klassifizierungen (z. B. Nationalität, politische Zugehörigkeit, Staatsangehörigkeitsstatus); und 
  • Audio- und Videoaufzeichnungen (z. B. CCTV-Aufzeichnungen, Online-Meetings und Webinare).

Die Verarbeitung Europäischer Personenbezogener Daten basiert gegebenenfalls auf 

  • Einwilligung, Art. 6 Abs. 1 Buchstabe a und Art. 9 Abs. 2 Buchstabe. a DS-GVO, 
  • die Erfüllung eines Vertrags, Art. 6 Abs. 1 Buchstabe b DSGVO,
  • Erfüllung einer rechtlichen Verpflichtung, Art. 6 Abs. 1Buchstabe c DSGVO,
  • berechtigtes Interesse, Art. 6 Abs. 1 Buchstabe. f DSGVO,
  • Erfüllung von Pflichten und Ausübung bestimmter Rechte im Bereich der Beschäftigung, Art. 9 Abs. 2 Buchstabe b DSGVO,
  • Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen, Art. 9 Abs. 2 Buchstabe f GDPR

Europäische personenbezogene Daten können innerhalb des Firmennetzes an die in der obigen Tabelle beschriebenen Orte übermittelt werden.

Die Standards gelten auch für jeden Export europäischer personenbezogener Daten aus dem EWR durch ein L&W-Büro und für die Verarbeitung solcher exportierten Daten durch ein L&W-Büro (entweder in der Eigenschaft als Datenverantwortlicher oder als Datenverarbeiter), die außerhalb des EWR ansässig ist, sowie für die Weitergabe europäischer personenbezogener Daten an L&W-Büros außerhalb des EWR.

Für die Zwecke dieser Standards wird anerkannt, dass das Vereinigte Königreich („UK“) als Drittland im Sinne der Datenschutz-Grundverordnung gilt. Dementsprechend wird Latham & Watkins (London) LLP („L&W London“) separate globale Datenschutzstandards für die Übermittlung von Daten aus dem Vereinigten Königreich innerhalb der Kanzlei einführen. In Bezug auf die jeweiligen Datenübermittlungen trägt L&W London die alleinige Verantwortung für die Ergreifung von Maßnahmen zur Behebung von Handlungen und Unterlassungen anderer L&W-Büros außerhalb des EWR, die gegen die UK-Standards verstoßen, sowie für die Zahlung von Schadenersatz für Schäden, die sich aus einem solchen Verstoß gegen die UK-Standards durch L&W-Büros außerhalb des EWR ergeben. Dementsprechend sollten sich Betroffene, die eine Beschwerde über die Verarbeitung von Daten aus dem Vereinigten Königreich einreichen möchten, an L&W London wenden.

REGELN UND GRUNDSÄTZE 

1. GRUNDSÄTZE FÜR DEN UMGANG MIT DATEN

Bei der Tätigkeit als Datenverantwortlicher wird jedes L&W-Büro, das in den EU-Datenschutzgesetzen geregelte personenbezogene Daten gemäß der Internen Datenschutzhinweise oder gemäß der Datenschutzhinweise für Kunden und Dritte verarbeitet (soweit zutreffend), diesen Grundsätzen entsprechen:

1.1 Europäische personenbezogene Daten werden transparent, fair und rechtmäßig verarbeitet: Die betroffenen Personen erhalten Informationen über die Identität des/der für die Verarbeitung Verantwortlichen, die Zwecke, für die ihre personenbezogenen Daten verwendet werden dürfen (vorbehaltlich etwaiger zulässiger Einschränkungen bei der Bereitstellung solcher Informationen, z.B. im Zusammenhang mit der Verbrechensverhütung, Gerichtsverfahren oder der Besteuerung, oder wenn dies durch geltendes Recht verboten ist), die Rechtsgrundlage für die Verarbeitung und andere relevante Informationen, wie sie in den geltenden EU-Datenschutzgesetzen vorgesehen sind, soweit diese nicht bereits bekannt sind oder erhalten werden. Diese Informationen enthalten Einzelheiten über die Rechte, die den Betroffenen nach den EU-Datenschutzgesetzen zustehen.

1.2 Europäische personenbezogene Daten werden nur für konkrete, rechtmäßige Geschäftszwecke erhoben. Soweit nicht anderweitig durch maßgebliche EU-Datenschutzbestimmungen gestattet, werden sie nicht auf eine mit diesen Zwecken unvereinbare Weise weiterverarbeitet.

1.3 Daten aus bestimmten Kategorien werden nur dann verarbeitet, wenn dies für die rechtmäßigen Geschäftszwecke der Kanzlei unbedingt erforderlich ist, wobei etwaige von maßgeblichen EU-Datenschutzgesetzen geforderte Sicherheitsvorkehrungen getroffen werden.

1.4 Durch geeignete Maßnahmen ist sicherzustellen, dass die erhobenen und verarbeiteten europäischen personenbezogenen Daten angemessen und nicht übermäßig sowie relevant, sachlich richtig und, wenn nötig, aktualisiert sind. Es werden auch geeignete Maßnahmen ergriffen, um personenbezogene Daten unverzüglich zu korrigieren oder zu löschen, wenn sie sich als unrichtig erweisen.

1.5 Europäische personenbezogene Daten werden nicht länger aufbewahrt, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist, und werden in Übereinstimmung mit den dokumentierten Datenspeicherungsrichtlinien des Unternehmens aufbewahrt (vorbehaltlich der gesetzlichen Bestimmungen und den Anforderungen der geltenden EU-Datenschutzgesetze).

2. DATENSICHERHEIT

2.1 Jedes L&W-Büro ergreift unter Berücksichtigung des Standes der Technik und der Umsetzungskosten geeignete technische und organisatorische Maßnahmen zum Schutz europäischer personenbezogener Daten gegen zufällige oder unrechtmäßige Zerstörung, zufälligen Verlust, Änderungen, unbefugte Weitergabe oder unberechtigten Zugriff, insbesondere wenn im Rahmen der Verarbeitung Daten in einem Netz übertragen werden, sowie gegen jede andere Form der unrechtmäßigen Verarbeitung. Die Maßnahmen gewährleisten ein Maß an Sicherheit, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden europäischen personenbezogenen Daten angemessen ist. Kategoriespezifische und sonstige streng vertrauliche Informationen genießen damit einen verstärkten Schutz. Solche Maßnahmen werden gegebenenfalls Folgendes umfassen.

(a) Pseudonymisierung;
(b) Verschlüsselung;
(c) Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit von Systemen und Diensten
(d) Backup- und Notfallwiederherstellungs-Einrichtungen; und
(e) Prozesse zur Prüfung, Auswertung und Bewertung der Wirksamkeit der Sicherheitsmaßnahmen.

2.2 Jedes L&W-Büro hat den weltweiten Datenschutzbeauftragten unter GlobalDPO@lw.com unverzüglich über jede Verletzung der Sicherheit zu unterrichten, die zur zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unberechtigten Weitergabe oder zum unberechtigten Zugriff auf europäische personenbezogene Daten, die von diesem L&W-Büro verarbeitet werden, führt (ein "Sicherheitsverstoß"). Das Büro des globalen Datenschutzbeauftragten führt geeignete Aufzeichnungen über die Sicherheitsverletzung, mögliche Auswirkungen auf die betroffenen Personen und die ergriffenen Abhilfemaßnahmen. Das Büro des globalen Datenschutzbeauftragten stellt auch sicher, dass Mitteilungen an die zuständigen Datenschutzbehörden und betroffenen Personen erfolgen, wie es das EU-Datenschutzgesetz vorschreibt. Das globale Datenschutzbüro teilt die Aufzeichnungen über Sicherheitsverletzungen in Bezug auf europäische personenbezogene Daten, die von einem L&W-Büro als Datenverantwortlicher im EWR verarbeitet werden, mit der DPA in seinem Land oder seiner Gerichtsbarkeit, wenn es von der DPA dazu aufgefordert wird.

2.3 Jedes L&W-Büro hat die Zuverlässigkeit jener Mitarbeiter, die Zugriff auf europäische personenbezogene Daten haben oder für diese verantwortlich sind, einschließlich der Verarbeitung von europäischen personenbezogenen Daten in Übereinstimmung mit den Anweisungen des Unternehmens, durch geeignete Maßnahmen sicherzustellen.

3. ARBEIT MIT AUFTRAGSVERARBEITEENDEN

3.1 Wenn ein L&W-Büro die Dienste eines anderen L&W-Büros als Datenverarbeiter in Anspruch nimmt, um in seinem Namen europäische personenbezogene Daten zu verarbeiten, wird dieser Datenverarbeiter die einschlägigen Anforderungen dieser Standards erfüllen, und wenn nötig, werden die Parteien zusätzliche Vereinbarungen treffen und einhalten, die von den geltenden EU-Datenschutzgesetzen verlangt werden.

3.2 Nimmt ein L&W-Büro zur Verarbeitung europäischer personenbezogener Daten in seinem Namen die Dienste eines Auftragsverarbeiters in Anspruch, bei dem es sich um einen Dritten handelt, so wählt das L&W-Büro einen Auftragsverarbeiter aus, der das für die zu verarbeitenden europäischen personenbezogenen Daten eingehaltene Maß an Sicherheit in geeigneter Weise zusichert. Das L&W-Büro stellt sicher, dass mit externen Auftragsverarbeitern ein Vertrag geschlossen wird, der die einschlägigen Vorgaben der geltenden EU-Datenschutzbestimmungen erfüllt.

3.3 Beauftragt ein L&W-Büro mit Sitz im EWR einen außerhalb des EWR ansässigen externen Auftragsverarbeiter mit der Verarbeitung europäischer personenbezogener Daten in seinem Namen, so hat das L&W-Büro entweder.

(a) sicherzustellen, dass mit dem Auftragsverarbeiter ein im Wesentlichen den Modellklauseln für Auftragsverarbeiter entsprechender bzw. deren Bestimmungen enthaltender Vertrag geschlossen wird (vorbehaltlich etwaiger durch anwendbare EU-Datenschutzbestimmungen gestatteter Änderungen) oder

(b) sicherzustellen, dass zum Schutz der europäischen personenbezogenen Daten sonstige geeignete Vorkehrungen im Einklang mit den maßgeblichen EU-Datenschutzbestimmungen getroffen werden.

Die gleichen Standards gelten für dritte Datenverarbeiter mit Sitz im Vereinigten Königreich, sobald die in Artikel FINPROV.10A Absatz 1, 4 des Handels- und Kooperationsabkommens zwischen der EU und dem Vereinigten Königreich vom 24. Dezember 2020 festgelegte Übergangsfrist abgelaufen ist. Nach Ablauf der Übergangsfrist werden die L&W-Büros europäische personenbezogene Daten nur auf der Grundlage angemessener rechtlicher Garantien im Sinne der Art. 45 ff. Allgemeine Datenschutzgrundverordnung. Entsprechende Garantien können u.a. Modellklauseln oder ein Angemessenheitsbeschluss der Europäischen Kommission sein, der feststellt, dass das Vereinigte Königreich ein vergleichbares Datenschutzniveau wie die EU gewährleisten kann.

3.4 Übermittelt ein (als für die Datenverarbeitung verantwortliche Stelle handelndes) L&W-Büro europäische personenbezogene Daten an eine externe verantwortliche Stelle außerhalb der Kanzlei, stellt das L&W-Büro sicher, dass diese Transfers im Einklang mit den Anforderungen der maßgeblichen EU-Datenschutzbestimmungen durchgeführt werden. Soweit nach den maßgeblichen EU-Datenschutzbestimmungen erforderlich oder sonst durch maßgebliche EU-Datenschutzbestimmungen gestattet und als angemessen erachtet, trifft das L&W-Büro Sicherheitsvorkehrungen zum Schutz der europäischen personenbezogenen Daten sowie der Rechte von Einzelpersonen. Bei diesen Sicherheitsvorkehrungen kann es sich um einen Vertrag handeln, der entweder den Modellklauseln für die Datenübermittlung zwischen verantwortlichen Stellen entspricht oder sonst ein angemessenes Schutzniveau vorsieht.

4. SCHULUNG VON ANGESTELLTEN

4.1 Latham & Watkins unterhält ein Programm zur Schärfung des Bewusstseins für Datenschutz und Sicherheit. Schwerpunkt dieses Programms ist die Aufklärung aller Angestellten, Rechtsanwälte und Rechtsanwaltsfachangestellten über die Datenschutz- und Sicherheitsrichtlinien der Kanzlei sowie Best Practices im Bereich Datenschutz und Sicherheit. 

4.2 Zur Verbreitung von Informationen über die Schärfung des Bewusstseins für Datenschutz und Sicherheit werden verschiedene Kommunikationskanäle genutzt. Über spezielle Intranetwebsites zu Datenschutz und Sicherheit haben alle Mitarbeiter Zugriff auf Hinweisblätter über Best Practices und die Schärfung des Bewusstseins für Datenschutz und Sicherheit sowie auf Hinweise zu entsprechenden Initiativen.

4.3 Daneben stellt jedes L&W-Büro sicher, dass Mitarbeiter, die Zugriff auf personenbezogene Daten haben oder für den Umgang mit solchen Daten verantwortlich sind, in geeigneter Weise betreut und geschult werden.

5. WIDERSPRUCH ZU MAßGEBLICHEM NATIONALEM RECHT

5.1 Erfordert Nationales Recht ein höheres Maß an Schutz für europäische personenbezogene Daten als nach diesen Standards vorgesehen, haben die Bestimmungen des Nationalen Rechts Vorrang. 

6. GEGENSEITIGE UNTERSTÜTZUNG UND ZUSAMMENARBEIT MIT DATENSCHUTZBEHÖRDEN 

6.1 Jedes L&W-Büro hat die Anweisungen der in seinem Land zuständigen Datenschutzbehörde zu befolgen, soweit sich diese auf die vorliegenden Standards oder die Verarbeitung europäischer personenbezogener Daten im Allgemeinen beziehen. Dabei hat es etwaige Hinweise der Datenschutzbehörde zur Auslegung der Standards zu berücksichtigen. 

6.2 Die L&W-Büros unterstützen sich gegenseitig bei der Beantwortung von Anfragen oder Untersuchung durch eine Datenschutzbehörde im Zusammenhang mit diesen Standards und stellen der DPA alle Informationen zur Verfügung, die die DPA in Bezug auf die Verarbeitung von europäischen personenbezogenen Daten berechtigterweise anfordert.

6.3 Die L&W-Büros unterstützen sich außerdem gegenseitig bei der Beantwortung von Anfragen oder Beschwerden einer betroffenen Person im Zusammenhang mit diesen Standards oder der Verarbeitung ihrer europäischen personenbezogenen Daten. 

7. DATENÜBERMITTLUNG

7.1 Die L&W-Büros übermitteln europäische personenbezogene Daten an Datenverarbeiter und andere Dritte gemäß den Artikeln 44 bis 46 DSGVO oder vorbehaltlich einer Ausnahmeregelung gemäß Artikel 49 DSGVO.

7.2 Das Global Data Privacy Office führt im Namen der L&W-Büros eine Folgenabschätzung für die Übermittlung europäischer personenbezogener Daten durch und dokumentiert diese, bevor es eine Übermittlung vornimmt, wobei die folgenden Elemente berücksichtigt werden:

(a) die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übermittlungskanäle; beabsichtigte Weiterübermittlungen; die Art des Empfängers; der Zweck der Verarbeitung; die Kategorien und das Format der übermittelten personenbezogenen Daten; der Wirtschaftssektor, in dem die Übermittlung erfolgt; der Speicherort der übermittelten Daten;

(b) die Gesetze und Gepflogenheiten des Bestimmungsdrittlandes – einschließlich derjenigen, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang solcher Behörden gestatten –, die angesichts der besonderen Umstände der Übermittlung relevant sind, sowie die geltenden Beschränkungen und Garantien;

(c) alle einschlägigen vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingeführt wurden, einschließlich der Maßnahmen, die bei der Übermittlung und der Verarbeitung der personenbezogenen Daten im Bestimmungsland angewendet werden.

8. LATHAM & WATKINS-RICHTLINIEN, RECHENSCHAFTSPFLICHT UND DATENSCHUTZFUNKTION

8.1 In Übereinstimmung mit den EU-Datenschutzgesetzen hat Latham & Watkins Deutschland einen Datenschutzbeauftragten bestellt. Die Kontaktdaten des DSB werden in den Datenschutzrichtlinien von Latham & Watkins veröffentlicht.

9. VERANTWORTUNG FÜR DIE EINHALTUNG DER STANDARDS

9.1 Sämtliche Mitarbeiter von Latham & Watkins sind verpflichtet, diese Standards einzuhalten. Sie müssen bei ihrem Eintritt in die Kanzlei und danach jährlich anzeigen, dass sie diese Standards in Verbindung mit der aktuellen Richtlinie über die zulässige Nutzung der Kommunikationssysteme anerkennen. 

9.2 Die Kanzlei hat die BCR-Vereinbarung unterzeichnet. L&W Deutschland wurde von der Kanzlei als L&W-Büro mit delegierter EWR-Datenschutzverantwortung benannt. L&W Deutschland ergreift Maßnahmen zur Behebung von Verstößen gegen die Standards, die sie vertraglich über die BCR-Vereinbarung durchsetzen kann. 

9.3 L&W Deutschland übernimmt die Verantwortung für die Ergreifung von Maßnahmen zur Behebung von Verstößen gegen die Standards, die andere L&W-Büros außerhalb des EWR durch Tun oder Unterlassen begehen, sowie für die Bezahlung von Schadensersatz für Schäden, die auf einen Verstoß gegen diese Standards durch ein außerhalb des EWR ansässiges L&W-Büro zurückzuführen sind. Folglich sollten alle Ansprüche gegen Latham & Watkins-Büros außerhalb des EWR gegen Latham & Watkins Deutschland erhoben werden (mit Ausnahme von Ansprüchen in Bezug auf das Vereinigte Königreich, die die gegen Latham & Watkins Germany (London) LLP vorgebracht werden sollten). Ansprüche gegen ein im EWR ansässiges Latham & Watkins-Büros ist gegen das betreffende Latham & Watkins-Büro geltend zu machen. 

10. AUDITPROGRAMM ZUR ÜBERPRÜFUNG DER EINHALTUNG DER STANDARDS

Latham & Watkins verpflichtet sich, Maßnahmen zur Beurteilung und Überprüfung der Einhaltung dieser Standards und der maßgeblichen Datenschutzgesetze zu ergreifen: 

11. AKTUALISIERUNGEN

11.1 Der Datenschutzausschuss wird diese Standards überprüfen, sicherstellen, dass sie regelmäßig aktualisiert werden und den L&W-Büros relevante Aktualisierungen mitteilen. Der Datenschutzausschuss stellt sicher, dass Änderungen an der Kanzleistruktur in diesen Standards wiedergegeben werden und neue L&W-Büros zur Annahme und Einhaltung der Bedingungen dieser Standards verpflichtet werden. Der Datenschutzausschuss wird die L&W-Büros über alle Änderungen an diesen Standards informieren.

11.2 Die nicht vertraulichen Bestimmungen dieser Standards, einschließlich des Inhalts der Anlage 1 (Datenschutz-Beschwerdeverfahren) werden auf der externen Internetwebsite von Latham & Watkins sowie auf der Latham & Watkins-Intranetwebsite veröffentlicht. Alle Aktualisierungen werden unverzüglich veröffentlicht. Der vollständige Wortlaut der Standards wird (vorbehaltlich der Unterzeichnung einer Geheimhaltungsvereinbarung) jeder betroffenen Person, die den im Datenschutz-Beschwerdeverfahren gemäß Anlage1 dargestellten Entschädigungsanspruch geltend macht, auf deren Verlangen zur Verfügung gestellt. 

12. ZUGRIFFS-, BERICHTIGUNGS- UND WIDERSPRUCHSRECHT (AUCH GEGEN MARKETING UND PROFILIERUNG) 

Jedes L&W-Büro erkennt an, dass betroffene Personen gegenüber dem L&W-Büro in dessen Eigenschaft als der für die Verarbeitung europäischer personenbezogener Daten verantwortlichen Stelle die folgenden Rechte als Drittbegünstigte geltend machen können: 

12.1 das Recht, Informationen darüber zu erhalten, wie ihre personenbezogenen Daten von dem betreffenden L&W-Büro in seiner Eigenschaft als für die Verarbeitung der europäischen personenbezogenen Daten verantwortliche Stelle verarbeitet werden, einschließlich einer Kopie dieser Standards und des Datenschutzbeschwerdeverfahrens;

12.2 das Recht, eine Kopie der über sie gespeicherten europäischen personenbezogenen Daten (einschließlich des Zwecks und der Art der Verarbeitung) von dem L&W-Büro innerhalb der im anwendbaren EU-Datenschutzgesetz festgelegten Fristen und Intervalle zu erhalten, vorbehaltlich des Rechts, eine solche Anfrage ganz oder teilweise abzulehnen, die dem L&W-Büro gemäß den geltenden EU-Datenschutzgesetzen zur Verfügung stehen könnte;

12.3 das Recht, ihre europäischen personenbezogenen Daten nach Maßgabe der Bestimmungen maßgeblicher EU-Datenschutzgesetze aktualisieren, berichtigen oder vervollständigen zu lassen, insbesondere bei Unvollständigkeit oder Unrichtigkeit der Daten;

12.4 das Recht auf Löschung europäischer personenbezogener Daten, vorbehaltlich der Bestimmungen der geltenden EU-Datenschutzgesetze;

12.5 das Recht, die Verarbeitung ihrer europäischen personenbezogenen Daten zu beschränken, vorbehaltlich der Bestimmungen der geltenden EU-Datenschutzgesetze;

12.6 das Recht, die europäischen personenbezogenen Daten, die die betroffene Person einem L&W-Büro in ihrer Eigenschaft als Inhaber europäischer personenbezogener Daten zur Verfügung gestellt hat, in einem strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format zu erhalten und diese personenbezogenen Daten an einen anderen Inhaber zu übermitteln, vorbehaltlich der Bestimmungen der geltenden EU-Datenschutzgesetze;

12.7 soweit durch die Bestimmungen maßgeblicher EU-Datenschutzbestimmungen vorgeschrieben, das Recht, ohne vorherige Zustimmung kein Direktmarketingmaterial zu erhalten sowie in jedem Fall das Recht, der Verarbeitung ihrer personenbezogenen Daten (einschließlich Profilierung) für Direktmarketingzwecke jederzeit zu widersprechen;

12.8 das Recht, der Verarbeitung ihrer europäischen personenbezogenen Daten jederzeit aus zwingenden berechtigten Gründen zu widersprechen, gemäß der Bestimmungen der anwendbaren EU-Datenschutzgesetze; und

12.9 das Recht, Einwände gegen Entscheidungen zu erheben, die ihre europäischen personenbezogenen Daten betreffen, die ausschließlich auf einer automatisierten Verarbeitung, einschließlich der Erstellung von Profilen, beruhen, wenn diese Entscheidungen ihre persönlichen Merkmale oder ihr Verhalten bewerten und Rechtswirkungen haben, die sie betreffen oder erheblich beeinträchtigen (außer in dem Umfang, in dem dies durch die geltenden EU-Datenschutzvorschriften erlaubt ist und den Schutzmaßnahmen unterliegt). 

13. VERSTÖSSE GEGEN DIESE STANDARDS 

Latham & Watkins erkennt an, dass betroffene Personen im Hinblick auf europäische personenbezogene Daten als begünstigte Dritte zur Geltendmachung der folgenden Rechte gegen die Kanzlei berechtigt sind: 

13.1 das Recht, auf Antrag eine Kopie der vorliegenden Standards zu erhalten (vorbehaltlich einer von der Kanzlei oder dem mit der Anfrage befassten L&W-Büro in angemessenem Umfang geforderten Geheimhaltungsverpflichtung);

13.2 das Recht, innerhalb angemessener Zeit, spätestens einen Monat nach Antragstellung (oder nicht später als drei Monate im Falle eines komplexen Antrags), eine Antwort auf Anfragen zur Verarbeitung der europäischen personenbezogenen Daten der betroffenen Person außerhalb des EWR zu erhalten;

13.3 das Recht, Beschwerde einzulegen und infolge eines Verstoßes gegen diese Standards durch ein L&W-Büro eine angemessene Wiedergutmachung (einschließlich des Ersatzes etwaiger Schäden) zu erhalten; ausgenommen hiervon sind Verstöße gegen Bestimmungen über die Schulung von Angestellten, die Funktion für Richtlinien und Datenschutz von Latham & Watkins, das Auditprogramm sowie Aktualisierungen dieser Standards).

13.4 das Recht, eine Beschwerde bei einer Datenschutzbehörde im europäischen Wirtschaftsraum im Land des gewöhnlichen Aufenthalts oder des Arbeitsplatzes der betroffenen Person oder am Ort des behaupteten Verstoßes gegen diese Standards einzureichen; und

13.5 das Recht, einen wirksamen Rechtsbehelf bei dem zuständigen Gericht im europäischen Wirtschaftsraum einzulegen, das sich in der Gerichtsbarkeit, in der das betreffende L&W-Büro niedergelassen ist, oder am gewöhnlichen Aufenthaltsort der betroffenen Person befinden kann.

14. GELTENDMACHUNG DER RECHTE BETROFFENER PERSONEN 

14.1 Das Verfahren zur Geltendmachung der aus Ziffer 14 ersichtlichen Rechte ist im Verfahren von Latham & Watkins bei Datenschutzbeschwerden gemäß Anlage 1 zu diesen Standards im Einzelnen dargestellt. 

14.2 Eine betroffene Person, die ihre Rechte geltend machen möchte, kann per E-Mail an den weltweiten Datenschutzbeauftragten unter GlobalDPO@lw.com oder bei der Datenschutzbehörde bzw. den Gerichten des Landes, in dem das betreffende L&W-Büro ansässig ist, Beschwerde einlegen. 

14.3 Möchte eine betroffene Person ihre Rechte aus den vorliegenden Standards geltend machen, ist sie verpflichtet, durch geeignete Nachweise glaubhaft zu machen, dass sich ein Verstoß ereignet hat. 

14.4 Die L&W-Büros erkennen an, dass die betroffene Person durch eine gemeinnützige Einrichtung, Organisation oder Vereinigung im Einklang mit den EU-Datenschutzgesetzen und vorbehaltlich einer entsprechenden Vollmacht vertreten werden kann.

15. BEENDIGUNG

15.1 Bei Beendigung dieses Standards oder bei Aussetzung der Übermittlung können die betreffenden L&W-Büros die europäischen personenbezogenen Daten und Kopien davon nach Wahl des Datenexporteurs aufbewahren, zurückgeben oder löschen.

Anhang 1 Latham & Watkins - Datenschutz-Beschwerdeverfahren