DSGVO-Compliance & Datenschutzmanagement
Verarbeitungsverzeichnis, technische und organisatorische Maßnahmen, Datenschutz-Folgenabschätzung und Rechenschaftspflicht — strukturiert und auditfest.
Daten sind das wertvollste Gut digitaler Geschäftsmodelle — und das am stärksten regulierte. Ich setze Datenschutz so um, dass er rechtssicher ist und den Betrieb trotzdem nicht ausbremst: von der DSGVO-Struktur über Cookies und Auftragsverarbeitung bis zum internationalen Datentransfer.
Verarbeitungsverzeichnis, technische und organisatorische Maßnahmen, Datenschutz-Folgenabschätzung und Rechenschaftspflicht — strukturiert und auditfest.
Consent-Management, rechtssichere Cookie-Banner, Analyse- und Marketing-Tools sowie die Anforderungen aus DSGVO und TDDDG.
AV-Verträge nach Art. 28 DSGVO, gemeinsame Verantwortlichkeit (Joint Controllership) und die Einbindung von Sub-Dienstleistern in der Lieferkette.
Drittlandübermittlungen, Standardvertragsklauseln (SCC), Transfer Impact Assessment und der Einsatz von US-Cloud- und SaaS-Diensten.
Auskunfts-, Lösch- und Widerspruchsersuchen rechtssicher und fristgerecht beantworten — ohne sich angreifbar zu machen.
Meldepflichten nach Art. 33/34 DSGVO, Kommunikation mit der Aufsichtsbehörde und Verteidigung im Bußgeldverfahren.
Datenschutz ist breit: vom Beschäftigtendatenschutz über Videoüberwachung und KI-Training mit personenbezogenen Daten bis zum Datenschutz im Konzernverbund. Schildern Sie mir Ihre Konstellation — gemeinsam klären wir, wie ich Sie unterstützen kann.
Unternehmen setzen ChatGPT, Copilot und eigene Modelle ein — und trainieren KI zunehmend auf personenbezogenen Daten. Parallel greift die KI-Verordnung gestaffelt (Pflichten für allgemeine KI-Modelle seit August 2025, Hochrisiko-Anforderungen 2026/27), während die DSGVO unverändert weitergilt.
Die praktischen Fragen bleiben dieselben, nur unter Hochdruck: Auf welche Rechtsgrundlage stützt sich das Training? Wie werden Transparenz-, Auskunfts- und Löschrechte erfüllt, wenn Daten erst einmal im Modell stecken? Und was passiert, wenn Mitarbeitende vertrauliche Informationen in ein LLM kippen? Wer KI einführt, muss DSGVO und KI-VO von Anfang an zusammen denken.
KI-VO und DSGVO sind kein Entweder-oder. Eine KI, die personenbezogene Daten verarbeitet, muss beide Regime erfüllen — wer nur eines im Blick hat, übersieht das eigentliche Risiko.
Sechs Punkte, die über DSGVO-Konformität und Risiko entscheiden — ob Start-up, Mittelstand oder Plattformbetreiber.
Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage (Art. 6 DSGVO). Erst klären, warum verarbeitet werden darf — dann das Wie. Wer das überspringt, baut auf Sand.
Nur erheben, was wirklich gebraucht wird, und nur dafür nutzen, wofür es erhoben wurde. Weniger Daten bedeuten weniger Risiko — und weniger Aufwand im Ernstfall.
Datenschutzhinweise, die verständlich sind und Art. 13/14 DSGVO erfüllen. Transparenz ist nicht nur Pflicht, sondern das beste Mittel gegen Beschwerden.
Security-by-Design, Zugriffskonzepte, Verschlüsselung und ein gelebtes Löschkonzept — und alles so dokumentiert, dass es im Audit standhält.
Wer Daten in Ihrem Auftrag verarbeitet, braucht einen AV-Vertrag und muss geprüft werden. Verantwortlich bleiben Sie — auch für die Fehler Ihrer Dienstleister.
Im Zweifel zählt, was dokumentiert ist. Die Rechenschaftspflicht ernst zu nehmen, bevor die Aufsichtsbehörde fragt, ist günstiger als jede nachträgliche Rechtfertigung.
Datenschutz-Strukturen aufbauen: Verzeichnisse, Richtlinien, Verträge und Schulungen — pragmatisch, alltagstauglich und von Anfang an auditfest.
Bestehende Prozesse, Tools und Webseiten auf DSGVO-Konformität prüfen, Lücken priorisiert schließen und Risiken realistisch bewerten.
Bei Datenpannen, Auskunftsersuchen oder Verfahren der Aufsichtsbehörde: schnelle, rechtssichere Reaktion und konsequente Interessenvertretung.
Das hängt von Ihrer Konstellation ab. Eine Pflicht besteht u. a., wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, bei umfangreicher Verarbeitung besonderer Datenkategorien oder bei systematischer Überwachung. Ob intern oder extern bestellt — entscheidend ist Fachkunde und Unabhängigkeit.
Bußgelder können bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes betragen — je nachdem, welcher Betrag höher ist. In der Praxis kommen Abmahn-, Schadensersatz- und Reputationsrisiken hinzu. Meist ist vorbeugende Compliance um ein Vielfaches günstiger als die Aufarbeitung eines Vorfalls.
Selten. Ein Banner muss korrekt konfiguriert sein: keine nicht notwendigen Cookies oder Tracker vor der Einwilligung, eine echte Wahlmöglichkeit (Ablehnen so einfach wie Zustimmen) und eine saubere Dokumentation der Einwilligungen. Viele Standard-Banner erfüllen das nicht — und genau dort setzen Beschwerden an.
Eine meldepflichtige Verletzung des Schutzes personenbezogener Daten ist der Aufsichtsbehörde grundsätzlich innerhalb von 72 Stunden zu melden (Art. 33 DSGVO). Bei hohem Risiko für die Betroffenen müssen zusätzlich diese informiert werden (Art. 34). Entscheidend ist, dass Prozess und Dokumentation vorab stehen — in der akuten Lage fehlt die Zeit.
Ja, aber mit den richtigen Garantien. Für viele Anbieter trägt das EU-US Data Privacy Framework; andernfalls braucht es Standardvertragsklauseln, ein Transfer Impact Assessment und ergänzende Maßnahmen. Pauschale Verbote sind selten richtig — es kommt auf die konkrete Datenkategorie und den konkreten Anbieter an.
Ob DSGVO-Struktur, Cookie- und Tracking-Prüfung oder eine akute Datenpanne — schildern Sie Ihr Anliegen, ich melde mich innerhalb von 24 Stunden.
Dr. Sebastian Volk ist angestellter Rechtsanwalt der JUN Legal GmbH. Mandatsverhältnisse kommen ausschließlich mit der JUN Legal GmbH (Würzburg) zustande, nicht mit Dr. Sebastian Volk persönlich.