Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

mehr als vier Jahre sind seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 25.05.2018 vergangen. Seitdem haben wir bereits zweimal an unserem Datenschutzrechtstag im LENKWERK Bielefeld mit verschiedenen Referenten über Fragen und Problemstellungen im Zusammenhang mit der Anwendung der DSGVO diskutiert. Wir möchten Sie nun herzlich zu unserem dritten Datenschutzrechtstag am 15.09.2022 einladen, der noch einmal im Online-Format stattfinden wird. Informationen zu den Inhalten der Veranstaltung und der Möglichkeit, bereits vorab Fragen an uns zu stellen, finden Sie in diesem Newsletter.

In dem Newsletter informieren wir Sie außerdem wie gewohnt über aktuelle Geschehnisse im Datenschutzrecht, beispielsweise über die Forderung der Datenschutzkonferenz an den Gesetzgeber, Regelungen zum Beschäftigtendatenschutz zu schaffen. Um Beschäftigtendatenschutz geht es in diesem Monat auch in unserem Schwerpunktthema.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Mitarbeiterdatenschutz – Allgemeine Grundlagen

Arbeitgeber kommen regelmäßig in Kontakt mit personenbezogenen Daten von Bewerbern und Arbeitnehmern. Zur Durchführung des Arbeitsverhältnisses muss der Arbeitgeber beispielsweise die Lohn- und Gehaltsabrechnung durchführen, den Einsatz der Arbeitnehmer im Unternehmen planen und dem Arbeitnehmer einen Arbeitsplatz sowie Kommunikationsmittel zur Verfügung stellen. Im Hinblick auf den Umgang mit personenbezogenen Daten von Mitarbeitern bestehen besondere datenschutzrechtliche Anforderungen. Einerseits ist die Verarbeitung von personenbezogenen Daten der Arbeitnehmer für den Arbeitgeber unerlässlich; andererseits haben die Arbeitnehmer ein Interesse daran und auch einen Anspruch darauf, dass ihre personenbezogenen Daten nur unter Beachtung der eigenen schutzwürdigen Interessen erhoben, verarbeitet und genutzt werden. Da das Thema insoweit im Arbeitsalltag jedes Unternehmens einen hohen Stellenwert einnimmt, wird der Umgang mit Mitarbeiterdaten im Rahmen dieses Newsletters näher beleuchtet.

Zum vollständigen Schwerpunktthema

Google Fonts: Schadensersatz als Geschäftsmodell

Die Nutzung der zumeist kostenfreien Dienste von Google wurden in der Vergangenheit regelmäßig vor dem Hintergrund diskutiert, ob durch die Einbindung von Google-Diensten eine unzulässige Weitergabe von personenbezogenen Daten in die USA erfolgt oder zumindest nicht ausgeschlossen werden kann. Alleine unter theoretischen Gesichtspunkten wird hierbei teilweise vertreten, dass grundsätzlich keine Dienste von Google mehr genutzt werden können, weil sich grundsätzlich das Problem der Drittstaatenübermittlung stellt und Google hierfür keine ausreichende Absicherung vorlegt bzw. vorlegen kann.

Im Rahmen dieser Gesamtdiskussion gibt es jetzt eine erste gerichtliche Entscheidung aus Deutschland, die allerdings mit Vorsicht zu genießen ist. Das Landgericht München (Urt. v. 20.01.2022, Az. 3 O 17493/20) hat danach entschieden, dass es angemessen sein kann, einem Nutzer einen immateriellen Schadensersatz in Höhe von 100,00 € zuzusprechen, wenn durch das dynamische Nachladen von Google Fonts ein Abfluss seiner Daten in die USA erfolgt. Bei den Google Fonts ist dabei zu berücksichtigen, dass diese entweder direkt auf dem Server des Seitenbetreibers hinterlegt sein können oder – falls dies nicht der Fall ist – für jeden Nutzer ein separater Abruf von den Servern bei Google erfolgt. In der letztgenannten Variante ist es dabei natürlich erforderlich, gegenüber Google zumindest die IP-Adresse des Nutzers offenzulegen, was bei Nutzung der ersten Variante vermieden werden kann. Vor diesem Hintergrund haben die Aufsichtsbehörden zutreffend die Auffassung vertreten, dass das dynamische Nachladen von Inhalten direkt bei Google für die Einbeziehung von Google Fonts unnötig und damit auch datenschutzwidrig ist, weil es eine gleichwertige Alternative gibt, die ohne das entsprechende Risiko auskommt.

Auf dieser Grundlage hat das Landgericht München tatsächlich entschieden, den dort Betroffenen einen vergleichsweise geringfügigen Schadensersatzanspruch zuzugestehen. Diese Entscheidung wird jetzt vermehrt von Einzelpersonen aufgegriffen, die unter Berufung auf die Entscheidung des Landgerichts München ebenfalls einen vergleichbaren Betrag von Unternehmen fordern. Bei sämtlichen Varianten des entsprechenden Aufforderungsschreibens, die jeweils an eine Vielzahl von Unternehmen gegangen sind, handelt es sich um formularmäßige Standardschreiben, die ersichtlich darauf abzielen, die Entscheidung des Landgerichts München nur zum Anlass zu nehmen, um sich neue Einnahmequellen zu erschließen. Mitunter werden dabei auch solche Unternehmen kontaktiert, die entsprechend der Empfehlung Google Fonts auf ihren eigenen Servern hinterlegt haben und daher (insoweit) keine Daten Google zur Verfügung stellen.

Bei dem entsprechenden Anspruchsschreiben stellt sich unabhängig von dem Vorliegen der behaupteten Datenschutzverletzung die Frage, ob die Geltendmachung eines Schadensersatzanspruchs nicht missbräuchlich ist. Durch das Verhalten geben die Anspruchsteller zu erkennen, dass sie nicht bei Aufruf der entsprechenden Seiten von der Einbeziehung der Google-Dienste überrascht bzw. beeinträchtigt waren, da gezielt nach solchen Seiten gesucht wurde. Es dürfte insoweit vertretbar sein, damit zu argumentieren, dass die entsprechenden Anspruchsteller sich das Verhalten sogar gewünscht haben, um hierauf basierend dann ihre Ansprüche überhaupt geltend machen zu können. Unabhängig von der Frage der Abwehr solcher Ansprüche empfiehlt es sich aber natürlich immer, die aktuelle „Abmahnwelle“ zum Anlass zu nehmen und zu prüfen, ob Schriften von Drittanbietern genutzt werden und diese entsprechend der aktuellen Empfehlungen auf den eigenen Servern vorgehalten werden.

(Dr. Sebastian Meyer)

EDSA: Europaweit einheitliche Sanktionierung von Datenschutzverstößen

Der Europäische Datenschutzausschuss (EDSA) hat in seiner Sitzung vom 12.05.2022 Leitlinien zur Bußgeldbemessung angenommen und damit einen Fortschritt hinsichtlich der einheitlichen Sanktionierung von Datenschutzverstößen in Europa erzielt (vgl. die Pressemitteilung des EDSA vom 16.05.2022).

Die Datenschutzaufsichtsbehörden können zur Sanktionierung von Datenschutzverstößen Bußgelder erlassen, die „wirksam, verhältnismäßig und abschreckend“ sein sollen und in schwerwiegenden Fällen nach den Vorgaben der DSGVO eine Höhe von bis zu 20.000.000 Euro oder 4 % des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens erreichen können. Um mehr Transparenz bei der Bemessung von Bußgeldern zu schaffen, hat die Datenschutzkonferenz, das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK), im Oktober 2019 bereits ein eigenes Konzept zur Bußgeldbemessung erstellt. Dieses Konzept sollte ausdrücklich bis zur Festlegung einheitlicher Vorgaben auf europäischer Ebene zur Anwendung kommen.

Das wesentliche Ziel der jetzt verabschiedeten Leitlinien des EDSA soll zu einer stärkeren Harmonisierung der Bußgeldpraxis durch die unterschiedlichen Aufsichtsbehörden auf europäischer Ebene führen. Ein Kernelement der Leitlinien ist, ähnlich wie in dem Bußgeldkonzept der DSK, die Festlegung eines Grundbetrags für die Zumessung. Der Grundbetrag wird auf Basis von den Komponenten bestimmt, nämlich aus der Einordnung der Tat anhand der verletzten Norm, der Schwere der konkreten Tat sowie dem Unternehmensumsatz. In den Leitlinien wird eine fünfstufige Berechnungsmethodik festgelegt, die auch Regelungen zur maximalen Bußgeldhöhe enthält.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat die vorgelegten Leitlinien bereits begrüßt. In einer Pressemitteilung weist er jedoch darauf hin, dass diese keinen „Bußgeldrechner“ darstellen, sondern dass eine wirksame, verhältnismäßige und abschreckende Sanktionierung nach wie vor einer konkreten Abwägung im Einzelfall bedarf.

(Johanna Schmale)

DSK: Forderung eines Beschäftigtendatenschutzgesetzes

Die DSK hat eine Entschließung vom 29.04.2022 veröffentlicht, in der sie die Schaffung eines Beschäftigtendatenschutzgesetzes fordert. In dem Dokument beschreibt die DSK, dass die sich dynamisch entwickelnde Digitalisierung zu tiefgreifenden Veränderungen in der Arbeitswelt führe. Die voranschreitende technische Entwicklung ermögliche eine immer weitergehende Überwachung von Beschäftigten.

Das europäische Recht ermöglicht es den Mitgliedstaaten, spezifische Regelungen für die Verarbeitung von Beschäftigtendaten zu schaffen. Eine solche Regelung hat der deutsche Gesetzgeber bereits mit § 26 des Bundesdatenschutzgesetzes (BDSG) getroffen. Die DSK ist jedoch der Ansicht, dass weitergehende Regelungen notwendig seien, da § 26 BDSG nicht hinreichend praktikabel, normenklar und sachgerecht sei. Durch die Formulierung der Norm als Generalklausel, die weite Interpretationsspielräume eröffne, führe sie zu Unklarheiten über die Zulässigkeit von Verarbeitungen personenbezogener Daten im Beschäftigungskontext. Die DSK begrüßt daher, dass sich im Koalitionsvertrag auf Bundesebene explizit zur Schaffung von Regelungen zum Beschäftigtendatenschutz bekannt wird (Koalitionsvertrag „Mehr Fortschritt wagen“, S. 17; vgl. unseren Datenschutz-Newsletter im Dezember 2021).

Die DSK fordert den Gesetzgeber auf, im Rahmen eines eigenständigen Beschäftigtendatenschutzgesetzes mindestens in von ihr als besonders wichtig empfundenen und in dem Dokument aufgezählten Bereichen gesetzliche Regelungen zu schaffen. Zu diesen Bereichen zählen unter anderem der Einsatz algorithmischer Systeme einschließlich Künstlicher Intelligenz, die Grenzen der Verhaltens- und Leistungskontrolle, Ergänzungen zu den Rahmenbedingungen der Einwilligung, Regelungen über Datenverarbeitungen auf der Grundlage von Kollektivvereinbarungen, sowie Datenverarbeitung bei Bewerbungs- und Auswahlverfahren.

Ob der Gesetzgeber zu diesem Thema zeitnah tätig wird und ob es tatsächlich zu einem neuen Beschäftigtendatenschutzgesetz kommen wird, bleibt abzuwarten.

(Johanna Schmale)

Datenschutzaufsichtsbehörde Hessen: Zoom unter bestimmten Bedingungen DSGVO-konform

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat in einer Pressmitteilung vom 17.06.2022 geäußert, dass das Videokonferenzsystem Zoom seiner Ansicht nach unter bestimmten Bedingungen DSGVO-konform an Hessischen Hochschulen für Lehrveranstaltungen eingesetzt werden könne.

Datenschutzrechtlich problematisch ist die mit der Nutzung der Software einhergehende Datenübermittlung in die USA. Hintergrund dieser Problematik ist die Entscheidung „Schrems II“ des Europäischen Gerichtshofs (EuGH, Urt. v. 16.07.2020 – C-311/18, vgl. unseren Datenschutz-Newsletter im August 2020), in der der EuGH das EU-US Privacy Shield für unwirksam erklärt hat. In dem Urteil kritisiert der EuGH das Datenschutzniveau in den USA, insbesondere aufgrund der weitreichenden Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten.

Voraussetzung für den datenschutzkonformen Einsatz von Zoom ist nach Ansicht des HBDI daher, dass die Hochschulen ausschließen, dass US-Behörden auf die Inhalts- und Metadaten aus Videokonferenzen zugreifen können. Dementsprechend habe die Universität Kassel zusammen mit dem HBDI ein „Hessisches Modell“ entwickelt, mit dem das Videokonferenzsystem Zoom von den Hochschulen konfiguriert und betrieben werden könne, ohne gegen die Datenschutzvorgaben des EuGH zu verstoßen. Bei dem Modell bewertet der HBDI das verbleibende Risiko für die Teilnehmenden an Zoom-Videokonferenzen bei den bestehenden Wahlmöglichkeiten als vereinbar mit den datenschutzrechtlichen Vorgaben. Die Hochschulen würden dabei insbesondere sicherstellen, dass sie

  • einen von Zoom unabhängigen Auftragsverarbeiter mit Sitz in der EU beauftragen, das Videokonferenzsystem auf Servern in der EU zu betreiben und mit ihnen abzurechnen,
  • eine Ende-zu-Ende-Verschlüsselung aller Inhaltsdaten zur Verfügung zu stellen,
  • den Abfluss personenbezogener Daten von Studierenden in die USA und den Zugriff auf solche Daten aus den USA heraus verhindern,
  • die Nutzung von Zoom auf Lehrveranstaltungen beschränken,
  • ein alternatives datenschutzkonformes Videokonferenzsystem für andere Zwecke oder für Lehrpersonen, die nicht mit Zoom arbeiten wollen, anbieten,
  • die Lehrenden und Studierenden über weiterführende, unterstützende Maßnahmen zum Schutz der informationellen Selbstbestimmung ausführlich informieren.

Die Äußerung in der Pressemitteilung bezieht sich zwar primär auf den Einsatz von Zoom an hessischen Hochschulen. Die grundsätzliche Einschätzung kann jedoch auch auf andere Bereiche übertragen werden. Der HBDI äußert sich dahingehend, dass die Gestaltung auch für andere Videokonferenzsysteme ein Vorbild sein und methodisch auf viele Probleme des Datenschutzes übertragen werden könne. Weitergehende Informationen zu dem Modell stellt der HBDI auf seiner Homepage zur Verfügung.

(Johanna Schmale)

EuGH soll Reichweite des Auskunftsanspruchs klären

Die Frage nach der Reichweite des Auskunftsanspruchs gem. Art. 15 Abs. 1 DSGVO ist immer wieder Gegenstand gerichtlicher Entscheidungen. Sprachlich unglücklich ist vor allem die Regelung in Art. 15 Abs. 3 DSGVO, wonach die verantwortliche Stelle auf Verlangen eine „Kopie“ der personenbezogenen Daten zur Verfügung stellen muss. Diese Formulierung wird immer wieder so verstanden, dass eine vollständige Reproduktion vorhandener Unterlagen verlangt werden kann. Bei richtiger Interpretation soll durch den Begriff der Kopie aber nur zum Ausdruck gebracht werden, dass die Daten nur in dem Sinne herausgegeben werden, dass sie gleichwohl (auch) bei der verantwortlichen Stelle verbleiben. Zu dieser Thematik gibt es bereits ein Vorlageverfahren, das von dem österreichischen Bundesverwaltungsgericht veranlasst wurde, sowie – bezogen auf die Herausgabe von Patientenakten – auch einen Vorlagebeschluss des BGH (BGH, Beschl. v. 29.03.2022, Az. VI ZR 1352/20). In einer weiteren Entscheidung hat der BGH jetzt beschlossen, dass gerichtliche Streitigkeiten, die sich insoweit auf die Pflicht zur Herausgabe von Kopien beziehen, bis zur Entscheidung des EuGH ausgesetzt werden können, ohne dass eine erneute Vorlage der Fragestellung an den EuGH erfolgen müsste (BGH, Beschl. v. 31.05.2022, Az. VI ZR 223/21).

Unabhängig von der ausstehenden gerichtlichen Klärung ist es aber natürlich empfehlenswert, Betroffenen, die Auskunft über die zu ihrer Person gespeicherten Daten verlangen, möglichst umfassend die begehrte Auskunft zu erteilen. Soweit allerdings von Seiten der Betroffenen exzessive Ansprüche geltend gemacht werden, kann es natürlich angemessen sein, schon vorgerichtlich die Thematik bis zu einer Entscheidung des EuGH zurückzustellen.

(Dr. Sebastian Meyer)

Tätigkeitsbericht der Datenschutzaufsichtsbehörde NRW

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Bettina Gayk hat kürzlich den 27. Tätigkeitsbericht der Aufsichtsbehörde für das Jahr 2021 herausgegeben. Frau Gayk berichtet zunächst, dass das Jahr 2021 noch deutlich von der Corona-Pandemie geprägt gewesen sei. Die häufig kurzfristige Anpassung der Gesetzeslage - insbesondere des Infektionsschutzgesetzes – habe ebenso kurzfristig eine Vielzahl an datenschutzrechtlichen Frage- und Problemstellungen, die es zu lösen galt, ausgelöst. Auch verschiedene andere Fragestellungen aus dem Bereich des Mitarbeiterdatenschutzes, wie zum Beispiel für alle Beschäftigten einsehbare Abwesenheitsgründe in Dienstplänen und die Weitergabe von Daten aus dem betrieblichen Eingliederungsmanagement an die Personalstelle und den Betriebsrat, werden im Rahmen des Berichts thematisiert.

Zudem verweist Frau Gayk darauf, dass es sich bei der Übermittlung von personenbezogenen Daten in Drittstaaten weiterhin um ein äußerst relevantes und aktuelles datenschutzrechtliches Problem handele und geht insoweit vor allem auch auf die Umsetzungsschwierigkeiten in der Praxis sowie mögliche Maßnahmen zur Absicherung ein. Als Reaktion auf das „Schrems II-Urteil“ des EuGH vom 16.07.2020 (Az. C-311/18) habe der Europäische Datenschutzausschuss (EDSA) Empfehlungen zu ergänzenden Absicherungsmaßnahmen erlassen, die im Berichtszeitraum noch einmal grundlegend überarbeitet wurden. Zudem habe die Europäische Kommission im Juni 2021 neue Standardvertragsklauseln zur Absicherung von Datenübermittlungen in Drittstaaten erlassen (vgl. unseren Datenschutz-Newsletter Juli 2021). Wie bei allen Garantien nach Art. 46 DSGVO sei es jedoch insoweit erforderlich, dass Datenexporteure im Einzelfall jeweils zusätzliche Prüfungen im Hinblick auf das geforderte Datenschutzniveau durchführen und bei Bedarf zusätzliche Absicherungsmaßnahmen ergreifen würden. Zudem sei grundsätzlich eine umfassende Dokumentation der jeweiligen Prozesse und Entscheidungen erforderlich.

Als wichtiges Ereignis hebt die Landesdatenschutzbeauftragte das Inkrafttreten des Telekommunikation-Telemedien-Datenschutz- Gesetzes vor (vgl. unseren Datenschutz-Newsletter Dezember 2021). Das neue TTDSG dient unter anderem auch der Cookie-Rechtsprechung des Europäischen Gerichtshofs (EuGH) und des Bundesgerichtshofs (BGH) zur Nutzung von Cookies im Rahmen von Online-Angeboten und den insoweit von der Rechtsprechung erarbeiteten Anforderungen. In § 25 TTDSG ist nunmehr ausdrücklich geregelt, dass das Setzen bestimmter Cookies der aktiven Einwilligung der Nutzer in diesen Datenverarbeitungsvorgang bedarf.

Weiterhin macht Frau Gayk auf das hohe Niveau der bei der Aufsichtsbehörde eingereichten Beschwerden aufmerksam, das sich seit dem Inkrafttreten der DSGVO verdreifacht habe. Insgesamt wurden im vergangenen Jahr über 7.000 Beschwerden von betroffenen Personen sowie Dritten eingereicht und es erfolgten 1.841 Meldungen nach Art. 33 DSGVO zu sog. Datenpannen. Darüber hinaus hat die Behörde 1.412 Beratungsanfragen von Verantwortlichen, Auftragsverarbeitern und betroffenen Personen erhalten. Zudem wurden bei der Bußgeldstelle 115 neue Verfahren registriert und 57 Bußgeldbescheide erlassen. Die Aufsichtsbehörde hat außerdem weitere 680 Maßnahmen gegen verantwortliche Stellen ergriffen.

(Christina Prowald)

In eigener Sache: Herzliche Einladung zum BRANDI Datenschutzrechtstag am 15.09.2022

Wir laden Sie herzlich zu unserem Datenschutzrechtstag am 15.09.2022 ein!

Seit dem Inkrafttreten der DSGVO konnten mittlerweile einige datenschutzrechtliche Problemstellungen im Zusammenhang mit der Anwendung der DSGVO von Gerichten und Aufsichtsbehörden ganz oder zumindest teilweise geklärt werden. Andere Fragen und Probleme stellen sich nach wie vor oder sogar gänzlich neu. Daher möchten wir die mittlerweile dritte Auflage unseres Datenschutzrechtstages im LENKWERK Bielefeld nutzen, um mit Ihnen und externen Experten gemeinsam zu dem Thema „Datenschutzvorfälle – Beteiligte, Konsequenzen und Absicherung“ zu diskutieren.

Für die Veranstaltung konnten wir erneut renommierte Experten gewinnen, die sich in ihrem Arbeitsalltag intensiv und aus verschiedenen Blickwinkeln mit Datenschutzvorfällen auseinandersetzen. Neben Herrn Carl Christoph Möller, Legal Counsel bei der Verbraucherzentrale Nordrhein-Westfalen, wird ein Referent einer deutschen Aufsichtsbehörde unseren Datenschutzrechtstag mitgestalten.

Im Wege von zwei Impulsreferaten mit jeweils anschließender Diskussionsrunde werden wir sowohl die zivilrechtliche, als auch die öffentlich-rechtliche Perspektive auf Datenschutzvorfälle näher beleuchten und unter anderem die folgenden Fragen und Themen diskutieren:

  • Wie wählt die Verbraucherzentrale ihre Verfahren aus?
  • Schadensersatzansprüche bei Datenschutzverstößen von Wettbewerbern
  • Betroffenenansprüche im Zusammenhang mit Datenschutzverstößen, insbesondere Unterlassungs- und Schmerzensgeldansprüche
  • Maßstäbe für die Bemessung von Bußgeldern
  • Rolle und Position der Aufsichtsbehörde in Verfahren wegen Datenschutzverstößen
  • Der Selbstbelastungsgrundsatz im Bußgeldverfahren
  • Kooperationsstrategien
  • Vollstreckungspraxis der Aufsichtsbehörden

Sie haben die Möglichkeit, während der Veranstaltung online Fragen zu stellen und sich dadurch aktiv an der Diskussion zu beteiligen. Gerne können Sie uns zur Vorbereitung auch bereits vorab Fragen an die folgende E-Mail-Adresse schicken: WissMit-DatenschutzBI@brandi.net.

Über die Möglichkeiten zur Anmeldung für die Veranstaltung werden wir Sie im Laufe des Monats auf unserer Homepage sowie in unserem Datenschutz-Newsletter informieren.

(Johanna Schmale)

In eigener Sache: Vorstellung von Frau Eva Ritterswürden

Seit April 2022 unterstützt Frau Eva Ritterswürden das BRANDI-Team in Bielefeld als Wissenschaftliche Mitarbeiterin. Frau Ritterswürden studierte an der Universität Bielefeld und hat im Februar 2022 ihr erstes Staatsexamen erfolgreich abgeschlossen. Sie belegte das Schwerpunktstudium „Innovation, Digitalisierung und Wettbewerb“.

Frau Ritterswürden verstärkt das Dezernat IT & Datenschutz in Bielefeld insbesondere bei der Prüfung von Datenschutzaudits. Darüber hinaus berät sie Mandanten zu allen weiteren datenschutzrechtlichen Fragestellungen.