Beratungsfeld 04

Datenschutz
Recht

Daten sind das wertvollste Gut digitaler Geschäftsmodelle — und das am stärksten regulierte. Ich setze Datenschutz so um, dass er rechtssicher ist und den Betrieb trotzdem nicht ausbremst: von der DSGVO-Struktur über Cookies und Auftragsverarbeitung bis zum internationalen Datentransfer.

/ Was ich abdecke

Tätigkeitsfelder

01

DSGVO-Compliance & Datenschutzmanagement

Verarbeitungsverzeichnis, technische und organisatorische Maßnahmen, Datenschutz-Folgenabschätzung und Rechenschaftspflicht — strukturiert und auditfest.

02

Webseiten, Cookies & Tracking

Consent-Management, rechtssichere Cookie-Banner, Analyse- und Marketing-Tools sowie die Anforderungen aus DSGVO und TDDDG.

03

Auftragsverarbeitung & Dienstleister

AV-Verträge nach Art. 28 DSGVO, gemeinsame Verantwortlichkeit (Joint Controllership) und die Einbindung von Sub-Dienstleistern in der Lieferkette.

04

Internationale Datentransfers

Drittlandübermittlungen, Standardvertragsklauseln (SCC), Transfer Impact Assessment und der Einsatz von US-Cloud- und SaaS-Diensten.

05

Betroffenenrechte & Auskunft

Auskunfts-, Lösch- und Widerspruchsersuchen rechtssicher und fristgerecht beantworten — ohne sich angreifbar zu machen.

06

Datenpannen & Aufsichtsbehörden

Meldepflichten nach Art. 33/34 DSGVO, Kommunikation mit der Aufsichtsbehörde und Verteidigung im Bußgeldverfahren.

/ Ihr Fall ist nicht dabei?

Vieles mehr — sprechen Sie mich an

Datenschutz ist breit: vom Beschäftigtendatenschutz über Videoüberwachung und KI-Training mit personenbezogenen Daten bis zum Datenschutz im Konzernverbund. Schildern Sie mir Ihre Konstellation — gemeinsam klären wir, wie ich Sie unterstützen kann.

Anliegen schildern
/ Aktuell im Fokus

Wenn KI auf personenbezogene Daten trifft

Unternehmen setzen ChatGPT, Copilot und eigene Modelle ein — und trainieren KI zunehmend auf personenbezogenen Daten. Parallel greift die KI-Verordnung gestaffelt (Pflichten für allgemeine KI-Modelle seit August 2025, Hochrisiko-Anforderungen 2026/27), während die DSGVO unverändert weitergilt.

Die praktischen Fragen bleiben dieselben, nur unter Hochdruck: Auf welche Rechtsgrundlage stützt sich das Training? Wie werden Transparenz-, Auskunfts- und Löschrechte erfüllt, wenn Daten erst einmal im Modell stecken? Und was passiert, wenn Mitarbeitende vertrauliche Informationen in ein LLM kippen? Wer KI einführt, muss DSGVO und KI-VO von Anfang an zusammen denken.

// Faustregel

KI-VO und DSGVO sind kein Entweder-oder. Eine KI, die personenbezogene Daten verarbeitet, muss beide Regime erfüllen — wer nur eines im Blick hat, übersieht das eigentliche Risiko.

/ Leitfaden

Worauf es im Datenschutz ankommt

Sechs Punkte, die über DSGVO-Konformität und Risiko entscheiden — ob Start-up, Mittelstand oder Plattformbetreiber.

01

Rechtsgrundlage zuerst

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage (Art. 6 DSGVO). Erst klären, warum verarbeitet werden darf — dann das Wie. Wer das überspringt, baut auf Sand.

02

Datenminimierung & Zweckbindung

Nur erheben, was wirklich gebraucht wird, und nur dafür nutzen, wofür es erhoben wurde. Weniger Daten bedeuten weniger Risiko — und weniger Aufwand im Ernstfall.

03

Transparenz & Informationspflichten

Datenschutzhinweise, die verständlich sind und Art. 13/14 DSGVO erfüllen. Transparenz ist nicht nur Pflicht, sondern das beste Mittel gegen Beschwerden.

04

Technische & organisatorische Maßnahmen

Security-by-Design, Zugriffskonzepte, Verschlüsselung und ein gelebtes Löschkonzept — und alles so dokumentiert, dass es im Audit standhält.

05

Auftragsverarbeiter im Griff

Wer Daten in Ihrem Auftrag verarbeitet, braucht einen AV-Vertrag und muss geprüft werden. Verantwortlich bleiben Sie — auch für die Fehler Ihrer Dienstleister.

06

Nachweisbarkeit (Accountability)

Im Zweifel zählt, was dokumentiert ist. Die Rechenschaftspflicht ernst zu nehmen, bevor die Aufsichtsbehörde fragt, ist günstiger als jede nachträgliche Rechtfertigung.

/ Wie ich helfe

Vorgehen

Stufe 1

Aufbau & Beratung

Datenschutz-Strukturen aufbauen: Verzeichnisse, Richtlinien, Verträge und Schulungen — pragmatisch, alltagstauglich und von Anfang an auditfest.

Stufe 2

Prüfung & Optimierung

Bestehende Prozesse, Tools und Webseiten auf DSGVO-Konformität prüfen, Lücken priorisiert schließen und Risiken realistisch bewerten.

Stufe 3

Vorfall & Verteidigung

Bei Datenpannen, Auskunftsersuchen oder Verfahren der Aufsichtsbehörde: schnelle, rechtssichere Reaktion und konsequente Interessenvertretung.

/ FAQ

Häufige Fragen

01 Brauche ich einen Datenschutzbeauftragten? +

Das hängt von Ihrer Konstellation ab. Eine Pflicht besteht u. a., wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, bei umfangreicher Verarbeitung besonderer Datenkategorien oder bei systematischer Überwachung. Ob intern oder extern bestellt — entscheidend ist Fachkunde und Unabhängigkeit.

02 Was kostet ein Datenschutzverstoß wirklich? +

Bußgelder können bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes betragen — je nachdem, welcher Betrag höher ist. In der Praxis kommen Abmahn-, Schadensersatz- und Reputationsrisiken hinzu. Meist ist vorbeugende Compliance um ein Vielfaches günstiger als die Aufarbeitung eines Vorfalls.

03 Reicht ein Cookie-Banner „von der Stange"? +

Selten. Ein Banner muss korrekt konfiguriert sein: keine nicht notwendigen Cookies oder Tracker vor der Einwilligung, eine echte Wahlmöglichkeit (Ablehnen so einfach wie Zustimmen) und eine saubere Dokumentation der Einwilligungen. Viele Standard-Banner erfüllen das nicht — und genau dort setzen Beschwerden an.

04 Wie schnell muss ich eine Datenpanne melden? +

Eine meldepflichtige Verletzung des Schutzes personenbezogener Daten ist der Aufsichtsbehörde grundsätzlich innerhalb von 72 Stunden zu melden (Art. 33 DSGVO). Bei hohem Risiko für die Betroffenen müssen zusätzlich diese informiert werden (Art. 34). Entscheidend ist, dass Prozess und Dokumentation vorab stehen — in der akuten Lage fehlt die Zeit.

05 Darf ich US-Dienste und US-Cloud nutzen? +

Ja, aber mit den richtigen Garantien. Für viele Anbieter trägt das EU-US Data Privacy Framework; andernfalls braucht es Standardvertragsklauseln, ein Transfer Impact Assessment und ergänzende Maßnahmen. Pauschale Verbote sind selten richtig — es kommt auf die konkrete Datenkategorie und den konkreten Anbieter an.

Aufbau, Prüfung oder Ernstfall?

Ob DSGVO-Struktur, Cookie- und Tracking-Prüfung oder eine akute Datenpanne — schildern Sie Ihr Anliegen, ich melde mich innerhalb von 24 Stunden.

// Hinweis Mandatierung

Dr. Sebastian Volk ist angestellter Rechtsanwalt der JUN Legal GmbH. Mandatsverhältnisse kommen ausschließlich mit der JUN Legal GmbH (Würzburg) zustande, nicht mit Dr. Sebastian Volk persönlich.