Globale Datenschutzstandards

Datum des Inkrafttretens der Standards: September 2016
Zuletzt aktualisiert: July 2024

EINFÜHRUNG

Dieses Dokument enthält die für die Verarbeitung europäischer personenbezogener Daten (im nachstehend definierten Sinn) bei Latham & Watkins geltenden Standards („Standards“). Latham & Watkins ist eine weltweit tätige Kanzlei mit Niederlassungen in 15 Ländern. Die Kanzlei arbeitet ohne interne Grenzen. Aufgrund des internationalen Charakters ihres Geschäftsbetriebs ist es unerlässlich, dass personenbezogene Daten innerhalb der Kanzlei übertragen werden können.

Latham & Watkins hat sich durch die Kanzleiführung dazu verpflichtet, personenbezogene Daten, die in der Kanzlei verarbeitet werden, zu schützen. Diese Standards dienen insbesondere dazu, den Transfer europäischer personenbezogener Daten innerhalb von Latham & Watkins gemäß der europäischen Richtlinie 2016/679 zu ermöglichen.

Begriffsbestimmungen

„Anwendbares Recht“ ist das Recht in dem Land, in dem sich ein L&W-Büro befindet, außerdem jedes sonstige Recht, das für ein L&W-Büro gilt.

„BCR-Vereinbarung“ bezeichnet die Vereinbarung, die alle L&W-Büros, die europäische personenbezogene Daten verarbeiten, zur Einhaltung der Standards verpflichtet.

„Datenschutzbehörde“ oder „DPA“ ist die Aufsichtsbehörde, die für die Überwachung und die Durchsetzung der Einhaltung von Datenschutzgesetzen in einem bestimmten Land zuständig ist.

„DPIA“ bedeutet Datenschutz-Folgenabschätzung gemäß der Definition in Art. 35 GDPR.

„EWR“ ist der Europäische Wirtschaftsraum.

„EU-Datenschutzgesetze“ sind nationale Gesetze zur Umsetzung der europäischen Verordnung 2016/679, der Richtlinie 2002/58 (und aller Rechtsvorschriften, die diese ändern oder ersetzen) und der entsprechenden europäischen Datenschutzgesetze.

„Europäische personenbezogene Daten“ sind personenbezogene Daten von (i) Angestellten, Rechtsanwälten, Partnern, Beratern und Auftragnehmern sowie von potenziellen Bewerbern für eine der genannten Funktionen, die im Zusammenhang mit der Neueinstellung und Personalverwaltung erhoben und verarbeitet werden, (ii) Mandanten, potenziellen Mandanten und Ehemaligen, die zu Marketing- und Kommunikationszwecken verarbeitet werden, sowie von (iii) Lieferanten, Anbietern, Auftragnehmern und Beratern, die im Rahmen der Beziehung zwischen diesen Unternehmen und Latham & Watkins bearbeitet werden (weitere Informationen dazu finden Sie in der Internen Datenschutzerklärung (All Personnel Fair Data Processing Statement), Recruitment Datenschutzinformation (Recruitment Privacy Policy), Alumni Datenschutzerklärung (Alumni Privacy Policy[A1] ) oder Datenschutzerklärung für Mandanten und Dritte (Client and Third Party Data Privacy Notice)), von jedem L&W-Büro als Inhaber der Datenverarbeitung, das den geltenden EU-Datenschutzgesetzen unterliegt.

„GDPR“ bedeutet die Europäische Verordnung 2016/679.

„Latham & Watkins“ bzw. „die Kanzlei“ ist Latham & Watkins, eine Kanzlei die weltweit als Gesellschaft mit beschränkter Haftung nach dem Recht des Staates Delaware (USA) („Delaware LLP“) mit verbundenen Partnergesellschaften mit beschränkter Haftung in Frankreich, Italien, Hongkong, Singapur, dem Königreich Saudi Arabien und Vereinigten Königreich, und als verbundene Gesellschaft, die in Japan tätig ist, operiert. Latham & Watkins ist in Südkorea über das Office of Foreign Counsel tätig. Zusätzlich zu den oben genannten umfasst die Kanzlei auch alle Büros, die vollständig im Besitz der Delaware LLP sind.

„Nationales Recht“ sind die Gesetze und/oder Verordnungen eines Landes bzw. die sonstigen von einem Land auferlegten Rechtspflichten mit Ausnahme der maßgeblichen EU-Datenschutzgesetze, die für ein L&W-Büro gelten.

„L&W-Büro“ ist jeweils eine der Partnerschaftsgesellschaften mit beschränkter Haftung, Partnerschaften und Gesellschaften mit beschränkter Haftung, aus denen die Kanzlei besteht.

Mit „L&W Deutschland“ ist das Frankfurter Büro von Latham & Watkins gemein.

„Modellklauseln“ sind die gegebenenfalls von der Europäischen Kommission veröffentlichten und genehmigten Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter oder verantwortliche Stellen, die ihren Sitz in Drittländern haben.

„Personenbezogene Daten“ sind Informationen über eine bestimmte oder bestimmbare natürliche Person („betroffene Person“); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung, wie einem Namen oder Ausweisnummer, Standortdaten, einer Onlinekennung oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, genetischen, wirtschaftlichen, kulturellen oder sozialen Identität sind. Soweit von maßgeblichen EU-Datenschutzbestimmungen vorgeschrieben, umfasst der Begriff „personenbezogene Daten“ auch Informationen über Personen, die keine natürlichen Personen sind.

„Mitarbeiter“ sind Partner, Rechtsanwälte und Angestellte von Latham & Watkins, sowohl zeitlich befristet als auch in unbefristeter Anstellung.

„Sicherheitsverletzung“ ist jede Verletzung der Sicherheit, die zur zufälligen oder unrechtmäßigen Zerstörung, Verlust, Veränderung, unbefugte Weitergabe oder Zugriff auf europäische personenbezogene Daten führt, die von einem L&W-Büro verarbeitet werden.

„Sensible Daten“ sind europäische personenbezogene Daten betreffend die Rasse oder die ethnische Herkunft, politische Ansichten, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Straftaten, verhängte Strafurteile, Gesundheit, sexuelle Orientierung oder Sexualleben sowie sonstige Kategorien sensibler Daten, die unter geltende EU-Datenschutzbestimmungen fallen.

Die Begriffe „Verarbeitung“, „verantwortliche Stelle“ und „Auftragsverarbeiter“ haben die in der Datenschutz-Grundverordnung festgelegten Bedeutungen.

Geltungsbereich

Latham & Watkins ist derzeit in folgenden Ländern tätig (Länder innerhalb des EWR sind in grau hervorgehoben):

Land	Büros	Kontaktdaten des Landes
Die Vereinigten Staaten von Amerika	Austin, Boston, Century City, Chicago, Houston, Los Angeles, Los Angeles GSO, New York, Orange County, San Diego, San Francisco, Silicon Valley, Washington D.C.	1271 Avenue of the Americas, New York, NY 10020
Großbritannien	London	99 Bishopsgate, London EC2M 3XF, United Kingdom
Belgien	Brüssel	Boulevard du Régent, 43-44, B-1000 Brussels, Belgium
Frankreich	Paris	45, rue Saint-Dominique, Paris 75007, France
Italien	Mailand	Corso Matteotti, 22, Milano, 20121, Italy
Deutschland	Frankfurt, München, Hamburg, Düsseldorf	Reuterweg 20, 60323 Frankfurt am Main, Germany
Spanien	Madrid	Plaza de la Independencia 6, 28001 Madrid, Spain
Saudi-Arabien	Riad	Al-Tatweer Towers, 7th Floor, Tower 1, King Fahad Highway, P.O. Box 17411, Riyadh 11484, Saudi Arabia
Vereinigte Arabische Emirate	Dubai	ICD Brookfield Place, Level 16, Dubai International Financial Centre, P.O. Box 506698, Dubai, United Arab Emirates
Israel	Tel Aviv	28 HaArba’a Street, North Tower, 34thfloor, Tel Aviv 6473925, Israel
Südkorea	Seoul	29F One IFC, 10 Gukjegeumyung-ro Yeongdeungpo-gu, Seoul 07326, Korea
China	Peking	Unit 2318, China World Trade Office 2, 1 Jian Guo Men Wai Avenue, Beijing 100004, People’s Republic of China
Hongkong		18th Floor, One Exchange Square, 8 Connaught Place, Central, Hong Kong
Singapur		9 Raffles Place, #42-02 Republic Plaza, Singapore 048619
Japan	Tokyo	Marunouchi Building, 32nd Floor, 2-4-1 Marunouchi, Chiyoda-ku, Tokyo 100-6332, Japan

Diese Standards gelten für die Verarbeitung europäischer personenbezogener Daten durch L&W-Büros, die den geltenden EU-Datenschutzgesetzen unterliegen.

Diese Standards gelten für die Übermittlung von personenbezogenen Daten von Mitarbeitern, Bewerbern, Kunden und Dritten.

Zu den personenbezogenen Daten von Mitarbeitern gehören zum Beispiel:

Identifikatoren (z. B. Name, Kontaktinformationen, Notfallkontakte, Fotos, Nachweis der Arbeitsberechtigung und Identifikationsnummern);
Angaben zur Person und zur Familie (z. B. Geburtsort, Familienstand, Nationalität, Staatsangehörigkeit, Familienzusammensetzung, Pass- und VISA-Daten);
Angaben zur Gesundheit (z. B. Behinderungen, Krankmeldungen, Unfallmeldungen, Informationen zu Gesundheitsvorsorgeuntersuchungen, Informationen zum Gesundheitszustand am Arbeitsplatz, Essensvorlieben und Lebensmittelallergien);
Daten in Bezug auf die Karriereplanung und -entwicklung (z. B. Mitarbeiterkategorie, Voll-/Teilzeitstatus, Ausbildung und Qualifikationen, Sprachkenntnisse, Referenzen, Hintergrundprüfungen, Berufserfahrung);
Daten in Bezug auf die Durchführung und Beendigung des Arbeitsvertrags oder des Beschäftigungsverhältnisses (z. B. Beschäftigungsdaten, Mitarbeiter-ID, Zeiterfassung, Arbeitszeit und Urlaub, Leistungsbewertungen, Schulungen, Disziplinarverfahren und Beschwerden, Austrittsgespräch);
Finanzdaten (z. B. Vergütung, Entschädigung, Gehalt, Sozialleistungen, Bankverbindung, Steuer-/Sozialversicherungsnummer);
Audio- und Videoaufzeichnungen (z. B. CCTV-Aufzeichnungen, Online-Meetings und Webinare, Veranstaltungen und Veröffentlichungen);
Daten im Zusammenhang mit der Nutzung von Zugangskontrollsystemen für Gebäude sowie dem Zugang zu und der Nutzung von Büroausstattung und -ressourcen;
Daten im Zusammenhang mit Reisen für Zwecke des Arbeitsverhältnisses oder im Rahmen von Sozialleistungsprogrammen für Mitarbeiter.

Zu den personenbezogenen Daten von Bewerbern gehören zum Beispiel:

Informationen, die in der Bewerbung enthalten sind (z. B. Name, Kontaktinformationen, Arbeits- und Bildungserfahrungen und Qualifikationen, Nachweise der Arbeitsberechtigung und weitere Informationen zum Lebenslauf);
sensible Informationen (z. B. Ethnie oder ethnische Herkunft, Behinderungen);
Informationen, die während Vorstellungsgesprächen und Beurteilungen gesammelt werden (z. B. Gesprächsnotizen, Feedback, Informationen, die durch Beurteilungen und Videointerviews gesammelt werden);
Informationen über die Nutzung des Einstellungsportals und der Website (z. B. IP-Adressdaten, die über Cookies gesammelt werden);
Informationen von Dritten, wie z. B. Empfehlungsgebern und Personalverantwortlichen;
Informationen, die für die Durchführung von Hintergrunduntersuchungen vor der Einstellung erforderlich sind (z. B. Strafregisterüberprüfung, Überprüfung von Qualifikationen und Beschäftigung);
Informationen über den Zugang zu Gebäuden, Aufnahmen von Sicherheitskameras.

Zu den kunden- und drittbezogenen Informationen gehören zum Beispiel:

Identifikatoren (z. B. Name, Kontaktinformationen und Identifikationsnummern);
biometrische Informationen (z. B. Fotos);
kommerzielle Informationen;
berufliche oder beschäftigungsbezogene Informationen;
öffentlich zugängliche soziale Medien und Nachrichtenberichte;
Merkmale geschützter Klassifizierungen (z. B. Nationalität, politische Zugehörigkeit, Staatsangehörigkeitsstatus); und
Audio- und Videoaufzeichnungen (z. B. CCTV-Aufzeichnungen, Online-Meetings und Webinare).

Die Verarbeitung Europäischer Personenbezogener Daten basiert gegebenenfalls auf

Einwilligung, Art. 6 Abs. 1 Buchstabe a und Art. 9 Abs. 2 Buchstabe. a DS-GVO,
die Erfüllung eines Vertrags, Art. 6 Abs. 1 Buchstabe b DSGVO,
Erfüllung einer rechtlichen Verpflichtung, Art. 6 Abs. 1Buchstabe c DSGVO,
berechtigtes Interesse, Art. 6 Abs. 1 Buchstabe. f DSGVO,
Erfüllung von Pflichten und Ausübung bestimmter Rechte im Bereich der Beschäftigung, Art. 9 Abs. 2 Buchstabe b DSGVO,
Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen, Art. 9 Abs. 2 Buchstabe f GDPR.

Europäische personenbezogene Daten können innerhalb des Firmennetzes an die in der obigen Tabelle beschriebenen Orte übermittelt werden.

Die Standards gelten auch für jeden Export europäischer personenbezogener Daten aus dem EWR durch ein L&W-Büro und für die Verarbeitung solcher exportierten Daten durch ein L&W-Büro (entweder in der Eigenschaft als Datenverantwortlicher oder als Datenverarbeiter), die außerhalb des EWR ansässig ist, sowie für die Weitergabe europäischer personenbezogener Daten an L&W-Büros außerhalb des EWR.

Für die Zwecke dieser Standards wird anerkannt, dass das Vereinigte Königreich („UK“) als Drittland im Sinne der Datenschutz-Grundverordnung gilt. Dementsprechend wird Latham & Watkins (London) LLP („L&W London“) separate globale Datenschutzstandards für die Übermittlung von Daten aus dem Vereinigten Königreich innerhalb der Kanzlei einführen. In Bezug auf die jeweiligen Datenübermittlungen trägt L&W London die alleinige Verantwortung für die Ergreifung von Maßnahmen zur Behebung von Handlungen und Unterlassungen anderer L&W-Büros außerhalb des EWR, die gegen die UK-Standards verstoßen, sowie für die Zahlung von Schadenersatz für Schäden, die sich aus einem solchen Verstoß gegen die UK-Standards durch L&W-Büros außerhalb des EWR ergeben. Dementsprechend sollten sich Betroffene, die eine Beschwerde über die Verarbeitung von Daten aus dem Vereinigten Königreich einreichen möchten, an L&W London wenden. Weitere Einzelheiten finden Sie in den UK Global Data Privacy Standards, die unter https://www.lw.com/Privacy abrufbar sind.

1. Grundsätze für den Umgang mit Daten

Bei der Tätigkeit als Datenverantwortlicher wird jedes L&W-Büro, das in den EU-Datenschutzgesetzen geregelte personenbezogene Daten gemäß der Internen Datenschutzhinweise (All Personnel Fair Data Processing Statement), Recruitment Datenschutzinformation (Recruitment Privacy Policy), Alumni Datenschutzerklärung (Alumni Privacy Policy) oder Datenschutzerklärung für Mandanten und Dritte (Client and Third Party Data Privacy Notice) verarbeitet (soweit zutreffend), diesen Grundsätzen entsprechen:

1.1 Europäische personenbezogene Daten werden transparent, fair und rechtmäßig verarbeitet: Die betroffenen Personen erhalten Informationen über die Identität des/der für die Verarbeitung Verantwortlichen, die Zwecke, für die ihre personenbezogenen Daten verwendet werden dürfen (vorbehaltlich etwaiger zulässiger Einschränkungen bei der Bereitstellung solcher Informationen, z. B. im Zusammenhang mit der Verbrechensverhütung, Gerichtsverfahren oder der Besteuerung, oder wenn dies durch geltendes Recht verboten ist), die Rechtsgrundlage für die Verarbeitung und andere relevante Informationen, wie sie in den geltenden EU-Datenschutzgesetzen vorgesehen sind, soweit diese nicht bereits bekannt sind oder erhalten werden. Diese Informationen enthalten Einzelheiten über die Rechte, die den Betroffenen nach den EU-Datenschutzgesetzen zustehen.

1.2 Europäische personenbezogene Daten werden nur für konkrete, rechtmäßige Geschäftszwecke erhoben. Soweit nicht anderweitig durch maßgebliche EU-Datenschutzbestimmungen gestattet, werden sie nicht auf eine mit diesen Zwecken unvereinbare Weise weiterverarbeitet.

1.3 Daten aus bestimmten Kategorien werden nur dann verarbeitet, wenn dies für die rechtmäßigen Geschäftszwecke der Kanzlei unbedingt erforderlich ist, wobei etwaige von maßgeblichen EU-Datenschutzgesetzen geforderte Sicherheitsvorkehrungen getroffen werden.

1.4 Durch geeignete Maßnahmen ist sicherzustellen, dass die erhobenen und verarbeiteten europäischen personenbezogenen Daten angemessen und nicht übermäßig sowie relevant, sachlich richtig und, wenn nötig, aktualisiert sind. Es werden auch geeignete Maßnahmen ergriffen, um personenbezogene Daten unverzüglich zu korrigieren oder zu löschen, wenn sie sich als unrichtig erweisen.

1.5 Europäische personenbezogene Daten werden nicht länger aufbewahrt, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist, und werden in Übereinstimmung mit den dokumentierten Datenspeicherungsrichtlinien der Kanzlei aufbewahrt (vorbehaltlich der gesetzlichen Bestimmungen und den Anforderungen der geltenden EU-Datenschutzgesetze).

2. Datensicherheit

2.1 Jedes L&W-Büro ergreift unter Berücksichtigung des Standes der Technik und der Umsetzungskosten geeignete technische und organisatorische Maßnahmen zum Schutz europäischer personenbezogener Daten gegen zufällige oder unrechtmäßige Zerstörung, zufälligen Verlust, Änderungen, unbefugte Weitergabe oder unberechtigten Zugriff, insbesondere wenn im Rahmen der Verarbeitung Daten in einem Netz übertragen werden, sowie gegen jede andere Form der unrechtmäßigen Verarbeitung. Die Maßnahmen gewährleisten ein Maß an Sicherheit, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden europäischen personenbezogenen Daten angemessen ist. Kategoriespezifische und sonstige streng vertrauliche Informationen genießen damit einen verstärkten Schutz. Solche Maßnahmen werden gegebenenfalls Folgendes umfassen.

(a) Pseudonymisierung;

(b) Verschlüsselung;

(d) Backup- und Notfallwiederherstellungs-Einrichtungen; und

(e) Prozesse zur Prüfung, Auswertung und Bewertung der Wirksamkeit der Sicherheitsmaßnahmen.

2.2 Jedes L&W-Büro hat den weltweiten Datenschutzbeauftragten unter GlobalDPO@lw.com unverzüglich über jede Verletzung der Sicherheit zu unterrichten. Das Büro des globalen Datenschutzbeauftragten führt geeignete Aufzeichnungen über die Sicherheitsverletzung, mögliche Auswirkungen auf die betroffenen Personen und die ergriffenen Abhilfemaßnahmen. Das Büro des globalen Datenschutzbeauftragten stellt auch sicher, dass Mitteilungen an die zuständigen Datenschutzbehörden und betroffenen Personen erfolgen, wie es das EU-Datenschutzgesetz vorschreibt. Das globale Datenschutzbüro teilt die Aufzeichnungen über Sicherheitsverletzungen in Bezug auf europäische personenbezogene Daten, die von einem L&W-Büro als Datenverantwortlicher im EWR verarbeitet werden, mit der DPA in seinem Land oder seiner Gerichtsbarkeit, wenn es von der DPA dazu aufgefordert wird.

2.3 Jedes L&W-Büro hat die Zuverlässigkeit jener Mitarbeiter, die Zugriff auf europäische personenbezogene Daten haben oder für diese verantwortlich sind, einschließlich der Verarbeitung von europäischen personenbezogenen Daten in Übereinstimmung mit den Anweisungen der Kanzlei, durch geeignete Maßnahmen sicherzustellen.

2.4 Ziffer 8 beschreibt die Informationssicherheitspolitik der Kanzlei und die Funktion des Datenschutzes. Der Sicherheitsausschuss, der in Ziffer 8.3 beschrieben wird, ist für alle Informationssicherheitsrichtlinien und Standards innerhalb der Kanzlei verantwortlich. Die Richtlinien und Verfahren der Kanzlei werden von Zeit zu Zeit geändert und legen in ihrer jeweils gültigen Fassung die detaillierten Standards der Kanzlei für die Informationssicherheit fest, die eingehalten werden müssen.

3. Zusammenarbeit mit Auftragsverarbeiteenden

3.1 Wenn ein L&W-Büro die Dienste eines anderen L&W-Büros als Datenverarbeiter in Anspruch nimmt, um in seinem Namen europäische personenbezogene Daten zu verarbeiten, wird dieser Datenverarbeiter die einschlägigen Anforderungen dieser Standards erfüllen, und wenn nötig, werden die Parteien zusätzliche Vereinbarungen treffen und einhalten, die von den geltenden EU-Datenschutzgesetzen verlangt werden.

3.2 Nimmt ein L&W-Büro zur Verarbeitung europäischer personenbezogener Daten in seinem Namen die Dienste eines Auftragsverarbeiters in Anspruch, bei dem es sich um einen Dritten handelt, so wählt das L&W-Büro einen Auftragsverarbeiter aus, der das für die zu verarbeitenden europäischen personenbezogenen Daten eingehaltene Maß an Sicherheit in geeigneter Weise zusichert. Das L&W-Büro stellt sicher, dass mit externen Auftragsverarbeitern ein Vertrag geschlossen wird, der die einschlägigen Vorgaben der geltenden EU-Datenschutzbestimmungen erfüllt.

3.3 Beauftragt ein L&W-Büro mit Sitz im EWR einen außerhalb des EWR ansässigen externen Auftragsverarbeiter mit der Verarbeitung europäischer personenbezogener Daten in seinem Namen, so hat das L&W-Büro entweder

(a) sicherzustellen, dass mit dem Auftragsverarbeiter ein im Wesentlichen den Modellklauseln für Auftragsverarbeiter entsprechender bzw. deren Bestimmungen enthaltender Vertrag geschlossen wird (vorbehaltlich etwaiger durch anwendbare EU-Datenschutzbestimmungen gestatteter Änderungen) oder

(b) sicherzustellen, dass zum Schutz der europäischen personenbezogenen Daten sonstige geeignete Vorkehrungen im Einklang mit den maßgeblichen EU-Datenschutzbestimmungen getroffen werden.

Die gleichen Standards gelten für dritte Datenverarbeiter mit Sitz im Vereinigten Königreich, sobald die in Artikel FINPROV.10A Absatz 1, 4 des Handels- und Kooperationsabkommens zwischen der EU und dem Vereinigten Königreich vom 24. Dezember 2020 festgelegte Übergangsfrist abgelaufen ist. Nach Ablauf der Übergangsfrist werden die L&W-Büros europäische personenbezogene Daten nur auf der Grundlage angemessener rechtlicher Garantien im Sinne der Art. 45 ff übermitteln. Allgemeine Datenschutzgrundverordnung. Entsprechende Garantien können u.a. Modellklauseln oder ein Angemessenheitsbeschluss der Europäischen Kommission sein, der feststellt, dass das Vereinigte Königreich ein vergleichbares Datenschutzniveau wie die EU gewährleisten kann.

3.4 Übermittelt ein (als für die Datenverarbeitung verantwortliche Stelle handelndes) L&W-Büro europäische personenbezogene Daten an eine externe verantwortliche Stelle außerhalb der Kanzlei, stellt das L&W-Büro sicher, dass diese Transfers im Einklang mit den Anforderungen der maßgeblichen EU-Datenschutzbestimmungen durchgeführt werden. Soweit nach den maßgeblichen EU-Datenschutzbestimmungen erforderlich oder sonst durch maßgebliche EU-Datenschutzbestimmungen gestattet und als angemessen erachtet, trifft das L&W-Büro Sicherheitsvorkehrungen zum Schutz der europäischen personenbezogenen Daten sowie der Rechte von Einzelpersonen. Bei diesen Sicherheitsvorkehrungen kann es sich um einen Vertrag handeln, der entweder den Modellklauseln für die Datenübermittlung zwischen verantwortlichen Stellen entspricht oder sonst ein angemessenes Schutzniveau vorsieht.

4. Schulung von Angestellten

4.1 Latham & Watkins unterhält ein Programm zur Schärfung des Bewusstseins für Datenschutz und Sicherheit. Schwerpunkt dieses Programms ist die Aufklärung aller Angestellten, Rechtsanwälte und Paralegals über die Datenschutz- und Sicherheitsrichtlinien der Kanzlei sowie Best Practices im Bereich Datenschutz und Sicherheit. Alle Mitarbeiter sind verpflichtet, ein E-Learning-Modul zum Datenschutz zu absolvieren, wenn sie in die Kanzlei eintreten und danach alle zwei Jahre. Die Erfüllungsquoten für dieses Modul werden von der Kanzlei nachgehalten. Maßgeschneiderte Datenschutzschulungen werden bei Bedarf auch für Mitarbeiter mit besonderer Verantwortung für personenbezogene Daten angeboten.

4.2 Zur Verbreitung von Informationen über die Schärfung des Bewusstseins für Datenschutz und Sicherheit werden verschiedene Kommunikationskanäle genutzt. Über spezielle Intranetwebsites zu Datenschutz und Sicherheit haben alle Mitarbeiter Zugriff auf Hinweisblätter über Best Practices und die Schärfung des Bewusstseins für Datenschutz und Sicherheit sowie auf Hinweise zu entsprechenden Initiativen.

4.3 Daneben stellt jedes L&W-Büro sicher, dass Mitarbeiter, die Zugriff auf personenbezogene Daten haben oder für den Umgang mit solchen Daten verantwortlich sind, in geeigneter Weise betreut und geschult werden.

5. Widerspruch zu maßgeblichem Nationalem Recht

5.1 Wenn ein L&W-Büro Grund zu der Annahme hat, dass lokale Gesetze, Vorschriften oder andere rechtliche Verpflichtungen das L&W-Büro daran hindern, die Standards einzuhalten und dass dies eine die durch die Standards gebotenen Garantien erheblich beeinträchtigen könnte, informiert das L&W-Büro unverzüglich den Datenschutzausschuss (wie unten definiert) (es sei denn, dies ist Gesetz oder von einer Strafverfolgungsbehörde untersagt, z. B. zur Wahrung der Vertraulichkeit einer Strafverfolgungsuntersuchung) und setzt die geplante Übermittlung von europäischen personenbezogener Daten aus. Der Datenschutzausschuss führt Aufzeichnungen über alle derartigen Meldungen und die in diesem Zusammenhang getroffenen Maßnahmen

5.2 Der Datenschutzausschuss wird alle notwendigen Entscheidungen bezüglich aller Maßnahmen treffen, die aufgrund einer solchen Meldung durch ein L&W-Büro erforderlich sind, und das L&W-Büro wird alle Anweisungen des Datenschutzausschusses befolgen. Der Datenschutzausschuss erkennt an, dass ein L&W-Büro keine Übermittlung europäischer personenbezogener Daten an eine Behörde vornehmen sollte, die massiv, unverhältnismäßig oder wahllos unverhältnismäßig oder wahllos in einer Weise über das hinausgehen, was in einer demokratischen Gesellschaft notwendig ist. Der Datenschutzausschuss kann jederzeit die zuständige Datenschutzbehörde um Rat fragen, einschließlich der Frage, wie ein Konflikt zwischen lokalen Gesetzen und den Standards zu lösen ist.

5.3 Der Datenschutzausschuss informiert die zuständige Datenschutzbehörde, wenn er festgestellt hat, dass die lokalen Gesetze wahrscheinlich eine wesentliche nachteilige Auswirkung auf die von den Standards gebotenen Garantien haben würden, es sei denn, dies ist gesetzlich oder von einer Strafverfolgungsbehörde untersagt, zum Beispiel zur Wahrung der Vertraulichkeit einer strafrechtlichen Untersuchung. Ist ein solches Verbot in Kraft, so weist der Datenschutzausschuss das betreffende L&W-Büro an, sich nach besten Kräften zu bemühen, eine Aufhebung der Beschränkung zu erwirken, um die Offenlegung von so vielen Informationen so schnell wie möglich an die zuständige Datenschutzbehörde weiterzugeben, und Aufzeichnungen über ihre Bemühungen zu führen. Alle Streitigkeiten mit der Datenschutzbehörde im Zusammenhang mit der Ausübung der Aufsicht durch die Datenschutzbehörde über der Einhaltung dieser Standards wird vor einem Gericht innerhalb des Europäischen Wirtschaftsraum verhandelt.

5.4 Der Datenschutzausschuss führt Aufzeichnungen über alle Offenlegungen europäischer personenbezogener Daten zu denen die Kanzlei verpflichtet ist und die wahrscheinlich eine wesentliche nachteilige Auswirkung auf die auf die durch diese Standards gebotenen Garantien haben könnten, und legt der zuständigen Weitergabe an die zuständige Datenschutzbehörde auf jährlicher Basis (unter Berücksichtigung etwaiger Einschränkungen oder von einer Strafverfolgungsbehörde auferlegten Beschränkungen).

5.5 Erfordert Nationales Recht ein höheres Maß an Schutz für europäische personenbezogene Daten als nach diesen Standards vorgesehen, haben die Bestimmungen des Nationalen Rechts Vorrang.

6. Gegenseitige Unterstützung und Zusammenarbeit mit Datenschutzbehörden

6.1 Jedes L&W-Büro hat die Anweisungen der in seinem Land zuständigen Datenschutzbehörde zu befolgen, soweit sich diese auf die vorliegenden Standards oder die Verarbeitung europäischer personenbezogener Daten im Allgemeinen beziehen. Dabei hat es etwaige Hinweise der Datenschutzbehörde zur Auslegung der Standards zu berücksichtigen.

6.2 Die L&W-Büros unterstützen sich gegenseitig bei der Beantwortung von Anfragen oder Untersuchung durch eine Datenschutzbehörde im Zusammenhang mit diesen Standards und stellen der DPA alle Informationen zur Verfügung, die die DPA in Bezug auf die Verarbeitung von europäischen personenbezogenen Daten berechtigterweise anfordert.

6.3 Die L&W-Büros unterstützen sich außerdem gegenseitig bei der Beantwortung von Anfragen oder Beschwerden einer betroffenen Person im Zusammenhang mit diesen Standards oder der Verarbeitung ihrer europäischen personenbezogenen Daten.

7. Datenübermittlung

7.1 Die L&W-Büros übermitteln europäische personenbezogene Daten an Datenverarbeiter und andere Dritte gemäß den Artikeln 44 bis 46 DSGVO oder vorbehaltlich einer Ausnahmeregelung gemäß Artikel 49 DSGVO.

7.2 Das Global Data Privacy Office führt im Namen der L&W-Büros eine Folgenabschätzung für die Übermittlung europäischer personenbezogener Daten durch und dokumentiert diese, bevor es eine Übermittlung vornimmt, wobei die folgenden Elemente berücksichtigt werden:

(a) die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übermittlungskanäle; beabsichtigte Weiterübermittlungen; die Art des Empfängers; der Zweck der Verarbeitung; die Kategorien und das Format der übermittelten personenbezogenen Daten; der Wirtschaftssektor, in dem die Übermittlung erfolgt; der Speicherort der übermittelten Daten;

(b) die Gesetze und Gepflogenheiten des Bestimmungsdrittlandes – einschließlich derjenigen, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang solcher Behörden gestatten –, die angesichts der besonderen Umstände der Übermittlung relevant sind, sowie die geltenden Beschränkungen und Garantien;

(c) alle einschlägigen vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingeführt wurden, einschließlich der Maßnahmen, die bei der Übermittlung und der Verarbeitung der personenbezogenen Daten im Bestimmungsland angewendet werden.

7.3 Die L&W-Büros informieren das Global Data Privacy Office und den Datenschutzausschuss, sofern zusätzliche Sicherheitsvorkehrungen vor der Übermittlung europäischer personenbezogener Daten getroffen werden müssen.

7.4 Ist das als Datenimporteur handelnde L&W-Büro der Ansicht, dass es aufgrund der Gesetze oder Praktiken im Bestimmungsland ihren Verpflichtungen aus diesen Standards nicht nachkommen kann, so benachrichtigt das als Datenimporteur handelnde L&W-Büro das als Datenexporteur handelnde L&W-Büro sowie den Datenschutzausschuss und legt zusätzliche Maßnahmen fest, um Sicherheit und Vertraulichkeit der europäischen personenbezogenen Daten zu gewährleisten. Stellen die L&W Büros und der Datenschutzausschuss fest, dass die ermittelten zusätzlichen Maßnahmen die Einhaltung dieser Standards nicht gewährleisten können, setzen die L&W-Büros die geplante Übermittlung europäischer personenbezogener Daten aus.

7.5 Die L&W-Büros nehmen regelmäßig eine Bewertung der Folgen für den Transfer vor und informieren die anderen L&W-Büros darüber.

8. Latham & Watkins-Richtlinien, Rechenschaftspflicht und Datenschutzfunktion

8.1 Richtlinien und Leitfäden

Die Kanzlei hat detaillierte Richtlinien, Standards, Verfahren und Leitfäden eingeführt, die vom Datenschutzausschuss und vom Sicherheitsausschuss genehmigt wurden und von Zeit zu Zeit aktualisiert und geändert werden, um die Regeln und Prozesse genauer zu beschreiben, die befolgt werden müssen, um die Einhaltung dieser Standards zu erreichen. Insbesondere die in Ziffer 1 dargelegten Grundsätze der Datenverarbeitung und die in Ziffer 2 dargelegten Verpflichtungen zur Informationssicherheit.

8.2 Haftung

Die Kanzlei führt Aufzeichnungen über ihre Verarbeitungstätigkeiten in Bezug auf europäische personenbezogene Daten gemäß den EU-Datenschutzgesetzen. Insbesondere werden die in Artikel 30.1 GDPR geforderten Aufzeichnungen über die Verarbeitungstätigkeiten in elektronischer Form gespeichert. Diese Aufzeichnungen werden den Datenschutzbehörden in den EWR-Ländern, in denen die Kanzlei tätig ist, auf Anfrage zur Verfügung gestellt.

8.3 Datenschutz- und Sicherheitsausschüsse

Der Datenschutzausschuss und der Sicherheitsausschuss von Latham & Watkins sind separate, aber eng miteinander verbundene Ausschüsse, die von Partnern der Kanzlei geleitet werden und dem Exekutivausschuss der Kanzlei unterstehen. Während der Datenschutzausschuss (über das Global Data Privacy Office) vor allem für die Sensibilisierung und Durchsetzung der Einhaltung der einschlägigen Datenschutzgesetze und der Standards (und aller zugehörigen Richtlinien) liegt, liegt der Schwerpunkt des Sicherheitsausschusses auf der Entwicklung und Durchsetzung der Informationssicherheitsrichtlinie und -standards sowie des Plans zur Reaktion auf Vorfälle in der Kanzlei. Der Sicherheitsausschuss ist verantwortlich für die Sicherheitsrichtlinien, -standards und -praktiken der Kanzlei, einschließlich der Unterzeichnung der zulässigen Nutzung von Kommunikationssystemen, während der Datenschutzausschuss (über das das Global Data Privacy Office) interne Datenschutzangelegenheiten überwacht, wie Datenübertragungsvereinbarungen, Datenverarbeitungsverträge mit Lieferanten, die Einhaltung lokaler gesetzlicher Vorschriften, interne Datenschutz-Updates (einschließlich jener der Richtlinie zur akzeptablen Nutzung von Kommunikationssystemen), Schulungen und Leitfäden sowie Datenschutzanfragen von lokalen Niederlassungen. Der Datenschutzausschuss (und das Global Data Privacy Office) sind für die Durchsetzung der Einhaltung dieser Standards verantwortlich.

Der Datenschutzausschuss (über das Global Data Privacy Office) und der Sicherheitsausschuss sind gemeinsam dafür verantwortlich, dass die Kanzlei in Bezug auf Datenschutz proaktiv handelt und die Grundsätze des Datenschutzes standardmäßig durch konstruktive Maßnahmen umgesetzt werden und nicht nur eine Reaktion auf Datenschutzverletzungen oder andere Fehler sind. Dieser Ansatz umfasst den Einsatz von Techniken (wie Daten Datenminimierung), die darauf abzielen, die Verarbeitung auf das zu beschränken, was für bestimmte Zwecke erforderlich ist und die Rechte der betroffenen Personen schützt.

Der Datenschutzausschuss ist (über das Global Data Privacy Office) für die Durchführung der in den EU-Datenschutzgesetzen vorgeschriebenen Datenschutz-Folgenabschätzungen verantwortlich. Wenn eine Datenschutz-Folgenabschätzung ergibt, dass die Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten von Personen, die Gegenstand von europäischen personenbezogener Daten sind, konsultiert der Datenschutzausschuss die die zuständige Datenschutzbehörde in Übereinstimmung mit den EU Datenschutzgesetzen.

8.4 In Übereinstimmung mit den EU-Datenschutzgesetzen hat Latham & Watkins Deutschland einen Datenschutzbeauftragten bestellt. Die Kontaktdaten des DSB werden in den Datenschutzrichtlinien von Latham & Watkins veröffentlicht.

8.5 Datenschutz-Personal

Das Global Data Privacy Office von Latham & Watkins ist die Verwaltungsfunktion des Datenschutzausschusses der Kanzlei und für die Förderung der Einhaltung von Datenschutzbestimmungen und bewährter Praktiken in der gesamten Kanzlei verantwortlich. Das Global Data Privacy Office arbeitet eng mit den Datenschutz- und Sicherheitskomitees und den Datenschutzanwälten an den verschiedenen Standorten der Kanzlei zusammen, um Datenschutzpraktiken, -richtlinien und -verfahren der Kanzlei zu entwickeln und zu überwachen. Ferner trägt es zur strategischen Planung und Umsetzung von datenschutzrelevanten Zielen und Best Practices in den verschiedenen Büros von Latham & Watkins bei. Das Global Data Privacy Office unterstützt und berät Partner, Manager, Vorgesetzte, Anwälte und Mitarbeiter in Bezug auf bewährte Datenschutzpraktiken. Für den Fall eines Verstoßes oder eines möglichen Verstoßes gegen die Standards meldet das Global Data Privacy Office einen solchen Verstoß oder potenziellen Verstoß an den Datenschutzausschuss, der entscheiden kann, ob Durchsetzungs- oder andere Maßnahmen ergriffen werden müssen.

Der Chief Information Officer von Latham & Watkins ist Mitglied des Sicherheitsausschusses der Kanzlei und beaufsichtigt die Sicherheits-Verantwortlichkeiten. Der Informationssicherheitsbeauftragte ist verantwortlich für die Aufrechterhaltung des Managementprogramms für Informationssicherheit von Latham & Watkins. Dies umfasst die Einrichtung von Prozessen zur Überwachung, Durchsetzung und Kontrolle der Einhaltung der firmeneigenen Informationssicherheitsrichtlinien und Informationssicherheitsstandards der Kanzlei zu überwachen.

Jedes System bzw. jede Anwendung, das/die eine Praxis oder Geschäftsfunktion in der Kanzlei unterstützt, hat einen Informationseigentümer. Der Informationseigentümer ist ein Vertreter der der Firmenleitung und ist für den Schutz des Systems oder der Anwendung verantwortlich. Darüber hinaus sind die Office Technology Manager und Leads verantwortlich für die Unterstützung und Verwaltung der Informationssicherheitsrichtlinien und -standards der Kanzlei an ihrem jeweiligen Standort.

Der Office Administrator an jedem Standort arbeitet mit dem Office Managing Partner und dem Chief Operating Officer zusammen, um Praktiken, Richtlinien und Verfahren der Kanzlei zu entwickeln, auszulegen und zu überwachen und trägt zur strategischen Planung und Umsetzung von Zielen und Vorgaben im jeweiligen Büro von Latham & Watkins bei. Der Office Administrator berät und unterstützt alle Manager, Vorgesetzten, Anwälte und Mitarbeiter in Bezug auf den allgemeinen Geschäftsbetrieb der Kanzlei; außerdem ist er für die Bearbeitung gemeldeter geschäftlicher Anfragen und Probleme verantwortlich.

9. Verantwortung für die Einhaltung der Standards

9.1 Sämtliche Mitarbeiter von Latham & Watkins sind verpflichtet, diese Standards einzuhalten. Sie müssen (mit Ausnahme des Pariser Büros) bei ihrem Eintritt in die Kanzlei und danach jährlich anzeigen, dass sie diese Standards in Verbindung mit der aktuellen Richtlinie über die zulässige Nutzung der Kommunikationssysteme anerkennen. Mitarbeiter des Pariser Büros von Latham & Watkins können die Standards über die internen Regeln („règlement intérieur“) auf der Intranetseite der Kanzlei oder durch Aushang in der Kanzlei eingesehen werden. Darüber hinaus wird das Règlement intérieur jährlich per E-Mail an alle Mitarbeiter per E-Mail versandt, um sicherzustellen, dass alle Mitarbeiter Kenntnis von den Vorschriften und deren Inhalt haben. Nach französischem Recht ist das gesamte Personal des Pariser Büros verpflichtet, die Bestimmungen des Règlement intérieur einzuhalten. Die Nichteinhaltung der Normen (oder des Règlement intérieur im Falle des Pariser Büros) ist ein Disziplinarvergehen, das Disziplinarmaßnahmen bis hin zur Kündigung des Arbeitsverhältnisses oder zum Ausschluss aus der der Partnerschaft führen kann. In Paris gelten die Disziplinarmaßnahmen für die einzelnen Personalkategorien wie folgt: Für das Personal sind die Disziplinarmaßnahmen im französischen Arbeitsgesetzbuch festgelegt (die von einer Verwarnung und bei schwerem Fehlverhalten bis zu einer Entlassung reichen können); bei Rechtsanwälten können die Sanktionen von der Disziplinarkammer der Anwaltskammer und/oder von der Kanzlei ausgesprochen werden (bis hin zur Beendigung des Vertrags als selbständiger Mitarbeiter oder Ausschluss aus der Sozietät).

9.2 Die Kanzlei hat die BCR-Vereinbarung unterzeichnet. L&W Deutschland wurde von der Kanzlei als L&W-Büro mit delegierter EWR-Datenschutzverantwortung benannt. L&W Deutschland ergreift Maßnahmen zur Behebung von Verstößen gegen die Standards, die sie vertraglich über die BCR-Vereinbarung durchsetzen kann.

9.3 L&W Deutschland übernimmt die Verantwortung für die Ergreifung von Maßnahmen zur Behebung von Verstößen gegen die Standards, die andere L&W-Büros außerhalb des EWR durch Tun oder Unterlassen begehen, sowie für die Bezahlung von Schadensersatz für Schäden, die auf einen Verstoß gegen diese Standards durch ein außerhalb des EWR ansässiges L&W-Büro zurückzuführen sind. Folglich sollten alle Ansprüche gegen Latham & Watkins-Büros außerhalb des EWR gegen Latham & Watkins Deutschland erhoben werden (mit Ausnahme von Ansprüchen in Bezug auf das Vereinigte Königreich, die die gegen Latham & Watkins Germany (London) LLP vorgebracht werden sollten). Ansprüche gegen ein im EWR ansässiges Latham & Watkins-Büros ist gegen das betreffende Latham & Watkins-Büro geltend zu machen.

9.4 Um sich von der Haftung im Falle einer Klage einer betroffenen Person zu entbinden, muss L&W Deutschland entweder nachweisen, dass kein solcher Verstoß stattgefunden hat oder dass ein L&W-Büro außerhalb des EWR nicht für einen Verstoß gegen die Standards haftbar ist, der zu dem von der betroffenen Person geltend gemachten Schadensersatz oder zu anderen Rechtsmitteln führte.

9.5 L&W-Büros übermitteln Europäische Persönliche Daten, die diesen Standards unterliegen, nur an L&W-Büros, die tatsächlich an diese Standards gebunden sind.

10. Auditprogramm zur Überprüfung der Einhaltung der Standards

Latham & Watkins verpflichtet sich, folgende Maßnahmen zur Beurteilung und Überprüfung der Einhaltung dieser Standards und der maßgeblichen Datenschutzgesetze zu ergreifen:

10.1 Interne Prüfung - Das interne Prüfungsteam der Kanzlei führt mit Unterstützung von Mitgliedern des Datenschutzausschusses und/oder des Global Data Privacy Office laufend Prüfungen durch, um die Einhaltung dieser Standards zu bewerten, z. B. Tests von Anwendungen, IT-Systemen und Datenbanken, die europäische personenbezogene Daten verarbeiten, Übertragungen europäischer personenbezogener Daten, Überprüfung der Gesetze der Empfängerländer, Überprüfung von Verträgen mit Lieferanten. Der angemessene Umfang des Audits wird von Fall zu Fall festgelegt. Diese Standards werden regelmäßig geprüft, soweit dies im Rahmen des risikobasierten Prüfungsansatzes der Kanzlei angemessen ist. Die Prüfungsergebnisse werden gegebenenfalls an das Global Data Privacy Office der Kanzlei, die Geschäftsführung von L&W Deutschland und die Unternehmensleitung weitergeleitet. Alle Korrekturmaßnahmen, die bei solchen Prüfungen als notwendig für die Einhaltung dieser Standards identifiziert werden, werden umgesetzt und vom Audit Committee überwacht.

10.2 Externe Prüfung - Die Sicherheit der Geschäftssysteme der Kanzlei wird jährlich von den externen Wirtschaftsprüfern der Kanzlei geprüft. Zusätzliche externe Audits können von jeder L&W-Einheit auf Ad-hoc-Basis veranlasst werden. Die Prüfungsergebnisse werden je nach Sachlage dem Datenschutzausschuss (Privacy Committee) und/oder dem Sicherheitsausschuss (Security Committee) der Kanzlei mitgeteilt, soweit sie sich auf den Datenschutz oder die Informationssicherheit beziehen.

10.3 Zusätzlich zu den in Ziffer 10.1 und 10.2 beschriebenen Prüfungen können der Exekutivausschuss, der Prüfungsausschuss, der DSB, der Datenschutzausschuss oder der Sicherheitsausschuss weitere Prüfungen verlangen.Übermittlung von Prüfungsergebnissen an Datenschutzbehörden innerhalb des EWR - soweit sie sich auf die Einhaltung dieser Standards beziehen, wird ein L&W-Büro im EWR die Ergebnisse solcher internen oder externen Prüfungen an die Datenschutzbehörde in seinem Land oder seiner Gerichtsbarkeit weitergeben, wenn es von dieser Behörde dazu aufgefordert wird.

10.4 Unterwerfung unter die Prüfung der Datenschutzbehörde - jedes L&W-Büro muss der Datenschutzbehörde des EWR-Landes, in dem es geschäftlich tätig ist, gestatten, seine Tätigkeiten in diesem EWR-Land zu prüfen, um die Einhaltung dieser Standards und der geltenden EU-Datenschutzgesetze zu verifizieren.

11. Auskunftsverlangen durch RegierungsBehörden

11.1 Wenn ein L&W-Büro eine Aufforderung zur Bereitstellung, Aufbewahrung, Offenlegung, Gewährung von Zugang oder anderweitigen Verarbeitung europäischer personenbezogener Daten von einem Dritten erhält, einschließlich, aber nicht beschränkt auf Strafverfolgungs- oder Regierungsbehörden („Aufforderung durch Dritte“), dann ist das L&W-Büro verpflichtet:

(a) die anderen betroffenen L&W-Büros und den Datenschutzausschuss unverzüglich über das Ersuchen oder die Anordnung zu unterrichten und angemessene Anstrengungen zu unternehmen, um das als Datenexporteur handelnde L&W-Büro bei seinen Bemühungen zu unterstützen, sich dem Ersuchen oder der Anordnung zu widersetzen;

(b) für den Fall, dass es ihm nach geltendem Recht untersagt ist, die anderen betroffenen L&W-Büros und den Datenschutzausschuss über das Ersuchen oder die Anordnung zu unterrichten, angemessene Anstrengungen zu unternehmen, um das Ersuchen oder die Anordnung vor einem zuständigen Gericht anzufechten und die entsprechende Erlaubnis einzuholen, damit die anderen betroffenen L&W-Büros dem Verfahren beitreten können; und

(c) für den Fall, dass ein solches Ersuchen oder eine spätere Offenlegung oder eine andere Maßnahme seitens des L&W-Büros, das die Forderung eines Dritten erhalten hat, das betreffende L&W-Büro daran hindert oder hindern würde, diese Standards einzuhalten, erklärt sich das betreffende L&W-Büro bereit, die anderen betreffenden L&W-Büros und den Datenschutzausschuss unverzüglich darüber zu informieren, dass es nicht in der Lage ist, diesen Standards nachzukommen.

11.2 Die L&W-Büros dokumentieren ihre rechtliche Bewertung der Anfrage von Dritten und bewahren die Informationen für die Dauer der Geltungsdauer dieser Standards auf. Die Bewertung wird der Datenschutzbehörde auf Anfrage zur Verfügung gestellt.

11.3 Vorbehaltlich Ziffer 11.1 geben L&W-Büros nur angemessene und erforderliche europäische personenbezogene Daten an Dritte weiter, um der Forderung des Dritten nachzukommen. Eine solche Übermittlung darf nicht übertrieben, unverhältnismäßig und wahllos in einer Weise erfolgen, die über das in einer demokratischen Gesellschaft erforderliche Maß hinausgeht.

12. Aktualisierungen

12.1 Der in Ziffer 8.3 erwähnte Datenschutzausschuss überprüft diese Standards und stellt sicher, dass sie regelmäßig aktualisiert werden, Relevante Aktualisierungen werden den L&W-Büros mitgeteilt. Der Datenschutzausschuss stellt sicher, dass Änderungen an der Kanzleistruktur in diesen Standards wiedergegeben werden und neue L&W-Büros zur Annahme und Einhaltung der Bedingungen dieser Standards verpflichtet werden. Der Datenschutzausschuss informiert die L&W-Büros über alle Änderungen an diesen Standards.

12.2 Der Datenschutzausschuss hält den Sicherheitsausschuss und die L&W-Büros über alle Aktualisierungen auf dem Laufenden und meldet diese gegebenenfalls unverzüglich den zuständigen Datenschutzbehörden.

12.3 Die nicht vertraulichen Bestimmungen dieser Standards, einschließlich des Inhalts der Anlage 1 (Datenschutz-Beschwerdeverfahren) werden auf der externen Internetseite von Latham & Watkins sowie auf der Latham & Watkins-Intranetseite veröffentlicht. Alle Aktualisierungen werden unverzüglich veröffentlicht. Der vollständige Wortlaut der Standards wird (vorbehaltlich der Unterzeichnung einer Geheimhaltungsvereinbarung) jeder betroffenen Person, die den im Datenschutz-Beschwerdeverfahren gemäß Anlage1 dargestellten Entschädigungsanspruch geltend macht, auf deren Verlangen zur Verfügung gestellt.

13. Zugriffs-, Berichtigungs- und Widerspruchsrecht (auch gegen Marketing und Profilierung)

Jedes L&W-Büro erkennt an, dass betroffene Personen gegenüber dem L&W-Büro in dessen Eigenschaft als der für die Verarbeitung europäischer personenbezogener Daten verantwortlichen Stelle die folgenden Rechte als Drittbegünstigte geltend machen können:

13.1 das Recht, Informationen darüber zu erhalten, wie ihre personenbezogenen Daten von dem betreffenden L&W-Büro in seiner Eigenschaft als für die Verarbeitung der europäischen personenbezogenen Daten verantwortliche Stelle verarbeitet werden, einschließlich einer Kopie dieser Standards und des Datenschutzbeschwerdeverfahrens;

13.2 das Recht, eine Kopie der über sie gespeicherten europäischen personenbezogenen Daten (einschließlich des Zwecks und der Art der Verarbeitung) von dem L&W-Büro innerhalb der im anwendbaren EU-Datenschutzgesetz festgelegten Fristen und Intervalle zu erhalten, vorbehaltlich des Rechts, eine solche Anfrage ganz oder teilweise abzulehnen, die dem L&W-Büro gemäß den geltenden EU-Datenschutzgesetzen zur Verfügung stehen könnte;

13.3 das Recht, ihre europäischen personenbezogenen Daten nach Maßgabe der Bestimmungen maßgeblicher EU-Datenschutzgesetze aktualisieren, berichtigen oder vervollständigen zu lassen, insbesondere bei Unvollständigkeit oder Unrichtigkeit der Daten;

13.4 das Recht auf Löschung europäischer personenbezogener Daten, vorbehaltlich der Bestimmungen der geltenden EU-Datenschutzgesetze;

13.5 das Recht, die Verarbeitung ihrer europäischen personenbezogenen Daten zu beschränken, vorbehaltlich der Bestimmungen der geltenden EU-Datenschutzgesetze;

13.6 das Recht, die europäischen personenbezogenen Daten, die die betroffene Person einem L&W-Büro in ihrer Eigenschaft als Inhaber europäischer personenbezogener Daten zur Verfügung gestellt hat, in einem strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format zu erhalten und diese personenbezogenen Daten an einen anderen Inhaber zu übermitteln, vorbehaltlich der Bestimmungen der geltenden EU-Datenschutzgesetze;

13.7 soweit durch die Bestimmungen maßgeblicher EU-Datenschutzbestimmungen vorgeschrieben, das Recht, ohne vorherige Zustimmung kein Direktmarketingmaterial zu erhalten sowie in jedem Fall das Recht, der Verarbeitung ihrer personenbezogenen Daten (einschließlich Profilierung) für Direktmarketingzwecke jederzeit zu widersprechen;

13.8 das Recht, der Verarbeitung ihrer europäischen personenbezogenen Daten jederzeit aus zwingenden berechtigten Gründen zu widersprechen, gemäß der Bestimmungen der anwendbaren EU-Datenschutzgesetze; und

13.9 das Recht, Einwände gegen Entscheidungen zu erheben, die ihre europäischen personenbezogenen Daten betreffen, die ausschließlich auf einer automatisierten Verarbeitung, einschließlich der Erstellung von Profilen, beruhen, wenn diese Entscheidungen ihre persönlichen Merkmale oder ihr Verhalten bewerten und Rechtswirkungen haben, die sie betreffen oder erheblich beeinträchtigen (außer in dem Umfang, in dem dies durch die geltenden EU-Datenschutzvorschriften erlaubt ist und den Schutzmaßnahmen unterliegt).

14. Verstösse gegen diese Standards

Latham & Watkins erkennt an, dass betroffene Personen im Hinblick auf europäische personenbezogene Daten als begünstigte Dritte zur Geltendmachung der folgenden Rechte gegen die Kanzlei berechtigt sind:

14.1 das Recht, auf Antrag eine Kopie der vorliegenden Standards zu erhalten (vorbehaltlich einer von der Kanzlei oder dem mit der Anfrage befassten L&W-Büro in angemessenem Umfang geforderten Geheimhaltungsverpflichtung);

14.2 das Recht, innerhalb angemessener Zeit, spätestens einen Monat nach Antragstellung (oder nicht später als drei Monate im Falle eines komplexen Antrags), eine Antwort auf Anfragen zur Verarbeitung der europäischen personenbezogenen Daten der betroffenen Person außerhalb des EWR zu erhalten;

14. 3 das Recht, Beschwerde einzulegen und infolge eines Verstoßes gegen diese Standards durch ein L&W-Büro eine angemessene Wiedergutmachung (einschließlich des Ersatzes etwaiger Schäden) zu erhalten; ausgenommen hiervon sind Verstöße gegen Bestimmungen über die Schulung von Angestellten, die Funktion für Richtlinien und Datenschutz von Latham & Watkins, das Auditprogramm sowie Aktualisierungen dieser Standards);

14.4 das Recht, eine Beschwerde bei einer Datenschutzbehörde im europäischen Wirtschaftsraum im Land des gewöhnlichen Aufenthalts oder des Arbeitsplatzes der betroffenen Person oder am Ort des behaupteten Verstoßes gegen diese Standards einzureichen; und

14.5 das Recht, einen wirksamen Rechtsbehelf bei dem zuständigen Gericht im europäischen Wirtschaftsraum einzulegen, das sich in der Gerichtsbarkeit, in der das betreffende L&W-Büro niedergelassen ist, oder am gewöhnlichen Aufenthaltsort der betroffenen Person befinden kann.

15. Geltendmachung der Rechte betroffener Personen

15.1 Das Verfahren zur Geltendmachung der aus Ziffer 14 ersichtlichen Rechte ist im Verfahren von Latham & Watkins bei Datenschutzbeschwerden gemäß Anlage 1 zu diesen Standards im Einzelnen dargestellt.

15.2 Eine betroffene Person, die ihre Rechte geltend machen möchte, kann per E-Mail an den weltweiten Datenschutzbeauftragten unter GlobalDPO@lw.com oder bei der Datenschutzbehörde bzw. den Gerichten des Landes, in dem das betreffende L&W-Büro ansässig ist, Beschwerde einlegen.

15.3 Möchte eine betroffene Person ihre Rechte aus den vorliegenden Standards geltend machen, ist sie verpflichtet, durch geeignete Nachweise glaubhaft zu machen, dass sich ein Verstoß ereignet hat.

15.4 Die L&W-Büros erkennen an, dass die betroffene Person durch eine gemeinnützige Einrichtung, Organisation oder Vereinigung im Einklang mit den EU-Datenschutzgesetzen und vorbehaltlich einer entsprechenden Vollmacht vertreten werden kann.

16. Beendigung

16.1 Bei Beendigung dieses Standards oder bei Aussetzung der Übermittlung können die betreffenden L&W-Büros die europäischen personenbezogenen Daten und Kopien davon nach Wahl des Datenexporteurs aufbewahren, zurückgeben oder löschen.

16.2 Soweit der Datenexporteur zustimmt, dass das entsprechende L&W-Büro die personenbezogenen Datenaufbewahren darf, muss der Datenimporteur sicherstellen, dass der Schutz der europäischen personenbezogenen Daten gemäß den Datenübermittlungsbestimmungen der DSGVO aufrechterhalten wird.

16.3 Soweit lokale Gesetze dem als Datenimporteur handelnden L&W-Büro die Rückgabe oder Löschung der Europäischen Personenbezogenen Daten untersagen, muss der Datenimporteur sicherstellen, dass der Schutz der europäischen personenbezogenen Daten in Übereinstimmung mit diesen Standards aufrechterhalten wird.

Datum des Inkrafttretens der Standards: September 2016

Aktualisiert April 2024