IT-Compliance-Beratung
Aufgrund der stetig zunehmenden Fülle an gesetzlichen Vorgaben, vor allem im IT-Bereich, wird auch das Thema Compliance zunehmend wichtiger für Unternehmen. In unserer Beratung helfen wir unseren Mandanten den Überblick über die vielfältigen Regelungskomplexe zu behalten und so Risiken zu minimieren.
Inhaltsübersicht
WAS VERSTEHT MAN UNTER COMPLIANCE
Was versteht man unter Compliance
Compliance hat sich in den letzten Jahren zu einem unverzichtbaren Teil einer verantwortungsvollen Unternehmenskultur entwickelt. Sinn und Zweck der Einführung von Compliance-Strukturen ist es, Risiken innerhalb von Unternehmen zu analysieren und auf Basis dieser Analyse Gesetzesverstöße zu verhindern und für Führungskräfte, Mitarbeiter und Partner rechtssichere Strukturen zu etablieren. Dadurch werden zugleich Haftungsrisiken des Unternehmens und insbesondere auch der Unternehmensführung persönlich minimiert.
Unsere Kanzlei verfügt in diesem Bereich über jahrelange Erfahrung. Diese Kenntnisse hat Rechtsanwalt Heidrich 2021 durch das erfolgreiche Ablegen der Prüfung zum „Zertifizierten Compliance Officer“ bei der Steinbeis Hochschule unter Beweis gestellt. Auch seine nachgewiesenen Qualifikationen als Fachanwalt für IT-Recht und Datenschutzauditor sind dabei von Nutzen.
Die Schwerpunkte der Arbeit unserer Kanzlei liegen dabei auf den besonders praxisrelevanten Bereichen IT- und Datenschutz-Compliance sowie im Umgang mit Data Breaches, die so genannte Digital Compliance.
IT-Compliance
Unter IT-Compliance versteht man die Einhaltung der für die IT des Unternehmens relevanten Gesetze und Vorgaben. Dabei stehen vor allem solche Prozesse im Vordergrund, die ein hohes Risiko aufweisen und die für das Bestehen des Unternehmens von zentraler Bedeutung sind. Darunter fallen auch fundamentale Anforderungen, die in jeder Firma geregelt sein müssen.
Hierunter fallen beispielsweise:
- Möglichkeiten und Grenzen der Überwachung von Mitarbeitern am Arbeitsplatz oder im Homeoffice
- Erlaubnis oder Verbot der privaten Nutzung von Internet und E-Mail im Unternehmen
- Regelung des Umgangs mit IT im Bereich des mobilen Arbeitens oder im Homeoffice
- Bring Your Own Device (BYOD): Nutzung dienstlicher Daten auf privaten Geräten
- Umgang mit Schatten-IT
- Haftungsrisiken von Mitarbeitern im IT-Bereich, insbesondere von Administratoren
- Gestaltung von Dienstanweisungen und Begleitung bei der Ausarbeitung von Betriebsvereinbarungen im IT-Bereich
- Rechtliche Risiken und Vertragsgestaltung bei der Nutzung von Cloud-Angeboten
- Umgang mit Dienstleistern und Freelancern: Gestaltung von rechtssicheren Werks-, Dienstleistungs-, Hosting- und Auftragsverarbeitungsverträgen
- Umgang mit Verdachtsfällen bezüglich Straftaten durch Mitarbeiter
Datenschutz-Compliance
Unter Datenschutz-Compliance versteht man die Einhaltung der rechtlichen Vorgaben aus DSGVO, BDSG und verwandten Rechtsbereichen. Neben allgemeinen Vorgaben wie dem Führen von Verfahrensverzeichnissen, Datenschutzerklärungen und ähnlichen Anforderungen beraten wir auch in diesem Bereich in den Grenzgebieten von Technik und Recht.
- Formulierung von technischen und organisatorischen Maßnahmen (TOM)
- Anforderungen an die IT-Sicherheit: Stand der Technik & Co.
- Rechtssichere Protokollierung (intern/Web)
- Rechtlich korrekte Backups und Archivierung
- Umgang mit Daten: Löschpflichten und Löschkonzepte
- Beratung hinsichtlich des Datenexports ins Ausland, insbesondere in die USA und nach Indien, aber auch nach UK
- Rechte der Betroffen: Auskunftspflichten gegenüber Kunden im technischen Bereich und ihre praktische Umsetzung
- Durchführung von Datenschutzfolgenabschätzungen
- Fortbildung von Mitarbeitern
- Vertretung in anschließenden behördlichen oder gerichtlichen Verfahren
Umgang mit Incidents und Data Breaches
IT-Unfälle lassen sich nicht immer vermeiden und passieren auch Unternehmen, die technisch und organisatorisch gut aufgestellt sind. Wichtig ist es, schnell, gut vorbereitet sowie professionell darauf zu reagieren. Die DSGVO stellt hier in Art. 33 und 34 strenge Anforderungen an die Meldepflichten bei solchen Vorfällen. Werden hierbei Fehler gemacht, drohen hohe Bußgelder.
Unsere Kanzlei unterstützt Sie in diesem Bereich:
- Vorbeugung: Einführung eines interdisziplinären Incident Responce Managements
- Einordnung von Vorfällen: Handelt es sich um einen meldepflichtigen Vorfall? Müssen „nur“ die Behörden informiert werden oder auch die betroffenen Kunden?
- Analyse und Aufarbeitung von Data Breaches, ggf. auch in Zusammenarbeit mit unseren Kooperationspartnern aus dem technischen Bereich
- Formulierung der Meldungen nach Vorgabe der DSGVO und der Behörden
- Kontaktaufnahme mit der zuständigen Aufsichtsbehörde
- Formulierung der Benachrichtigungen an betroffene Kunden, ggf. unter Hinzuziehung von PR-Profis
- Beratung beim Umgang mit Medienberichterstattung
- Umgang mit Bußgeldern und Schadensersatzansprüchen
Warum Heidrich Rechtsanwälte?
Unsere Kanzlei verfügt über besondere Qualifikationen im Bereich Digital Compliance und über viel Erfahrung in der Umsetzung der juristischen Regeln im technischen Bereich. Wir zeigen Ihnen auf, wie Sie Aufgaben, Prozesse und Verträge rechtskonform gestalten können und das Unternehmen nicht trotz, sondern wegen Compliance-Anforderungen funktionieren kann.