Anwalt für Datenschutzrecht

Datenschutz

Datenschutzberatung, die Projekte starten lässt.

Wir schaffen Datenschutzlösungen, die Risiken abfedern und digitale Freiräume öffnen – damit Projekte von KI bis Marketing nicht gebremst werden.

Erstgespräch vereinbaren

Herausforderungen

Typische Stolperfallen beim Datenschutz

  1. Datenschutz mit Data Act & AI Act verzahnen
    Rollen, Rechtsgrundlagen und Nachweise konsistent gestalten – ohne Widersprüche und doppelte Arbeit.
  2. Branchenspezifische Vorgaben erfüllen
    Finanz, Gesundheit, KRITIS & öffentlicher Sektor: besondere Anforderungen sauber ins Datenschutzmanagement integrieren.
  3. Komplexe Systemlandschaften steuern
    AV-Ketten, gemeinsame Verantwortlichkeit, Cloud/SaaS und internationale Transfers (SCC/TIA) Audit-fest abbilden.
  4. Mit Behörden & Verfahren richtig umgehen
    Anfragen strukturiert beantworten, Dokumentation konsistent halten, Fristen sicher einhalten.
  5. Dokumentation harmonisieren
    VVT, Betroffenenrechte, Löschkonzept, DSFA, TOMs und Incident-Response so verzahnen, dass Sie Audits und Prüfungen bestehen.

Relevanz

Wem wir helfen und warum

Für Datenschutzbeauftragte bis Inhouse-Juristen: Wir begleiten Bestandsaufnahme, Bewertung und rechtliche Einordnung Ihrer Datenverarbeitung – pragmatisch, nachvollziehbar und prüfbar.

Interne Datenschutzbeauftragte

Wir unterstützen gerne, wenn es mal etwas komplexer wird.

Interne Datenschutzbeauftragte

Wir brauchen einen Sparings-Partner, der uns bei den speziellen Anforderungen unterstützt

Inhouse-JuristInnen

Wir zeigen Ihnen, wie Sie Synergien erkennen und nutzen.

Inhouse-JuristInnen

Wir müssen DSGVO, Data Act und AI Act effizient zusammenbringen.

Mittelständische Unternehmen

Wir springen ein. Und sorgen dafür, dass der Rollout klappt.

Mittelständische Unternehmen

Wir würden gerne innovative Technologien einführen, ohne vom Datenschutz gebremst zu werden.

Unternehmen im Gesundheitssektor

Wir helfen auch in besonders regulierten Bereichen.

Unternehmen im Gesundheitssektor

Wir brauchen datenschutzfeste Abläufe für die Nutzung sensibler Daten.

So beraten wir Sie

Klarheit statt Risiko: Datenschutz mit System

Unser Beratungsangebot im Datenschutz:

  1. Branchenspezifischer Datenschutz (Energie, Health, E-Commerce, Mobilität, Finance)
  2. Datenschutz für KI, Big Data, IoT, Scoring, Blockchain/Smart Contracts
  3. Datenschutzkonforme Nutzung von Marketingdaten
  4. Datenschutz in IT-Projekten – von Outsourcing bis Vertragsgestaltung
  5. Grenzüberschreitender Datenschutz und Datenübermittlungen in Drittländer
  6. Datenschutz & IT-Sicherheit an der Schnittstelle
  7. Korrespondenz mit Behörden und Unterstützung in Bußgeldverfahren
  8. Allgemeiner Datenschutz: DSMS aufbauen, DSFA und VVT erstellen

Ihr Ergebnis

Klare Maßnahmen, sichere 
Verträge, handfeste Lösungen

Sie wissen, welche Pflichten Sie haben

Wir klären Anwendungsbereich und Verantwortlichkeiten und leiten Ihre Pflichten nachvollziehbar ab.

Sie wissen, welche Maßnahmen notwendig sind

Wir priorisieren Anforderungen und übersetzen sie in konkrete Schritte mit Zuständigkeiten und Zeitplan.

Sie können neue Technologien rechtssicher einsetzen

Wir bewerten Ihre Einsatzszenarien und definieren klare Spielregeln für Nutzung, Datenflüsse und Grenzen.

Ihre Verträge sind datenschutzkonform

Wir prüfen und gestalten alle Vertragsbestandteile – von der Datenschutzerklärung bis zum AVV.

Ihre Marketingkampagnen sind kein Risiko

Wir helfen bei der Implementierung von CRMs und Kundenbindungsprogrammen

Ihre Dokumentation ist auditfest

Wir strukturieren Prozesse, Nachweise und Vorlagen so, dass sie Prüfungen bestehen.

Erstgespräch kostenlos

In 30 Minuten zu klaren Datenschutz-Prioritäten

Erstgespräch vereinbaren

Sie erklären uns, was Sie brauchen – wir sagen Ihnen klar, was möglich ist.

Kathrin Schürmann
Rechtsanwältin, Partnerin | Berlin

Intro

Bei uns gilt: sicher, radikal, digital

SRD ist die Boutique-Kanzlei für digitale Projekte – vom Kick-off bis zum Go-Live. Wir vereinbaren technische Innovationen mit Compliance. Und schaffen dafür radikal klare rechtliche Spielräume.

Unsere Auszeichnungen

Unsere Auszeichnungen

Unsere Marktlösungen

Unsere Marktlösungen

Sprechen Sie uns an

Ihre Experten und Expertinnen für
Datenschutz

Simone Rosenthal

Rechtsanwältin, Partnerin Berlin

Kathrin Schürmann

Rechtsanwältin, Partnerin Berlin

Philipp Müller-Peltzer

Rechtsanwalt, Partner Berlin

Kontakt

Starten, während die anderen warten

Kein Standby, kein Stillstand – Sie launchen rechtssicher

SRD ins Projekt holen

FAQs

Häufige Fragen zum Datenschutz

Sie erklären uns Ihre Herausforderungen und wir sagen Ihnen, ob und wie wir unterstützen können, wie lange das voraussichtlich dauert und welche Kosten dafür in etwa anfallen würden.

  • Rechtsgrundlage zuerst: Jede Verarbeitung personenbezogener Daten (Training, Inputs, Ausgaben) braucht eine tragfähige Rechtsgrundlage (Art. 6 DSGVO); für besondere Kategorien gelten Art. 9-Voraussetzungen.

  • Zweckbindung & Zweckänderung: Bestandsdaten nicht „einfach so“ fürs KI-Training verwenden. Vor einer Zweckänderung ist eine Kompatibilitätsprüfung nach Art. 6 Abs. 4 durchzuführen; Betroffene sind zu informieren (Art. 13/14).

  • Datenminimierung: Nur so viel personenbezogene Daten wie nötig; wo möglich anonymisierte/synthetische Daten einsetzen – ohne die Modellqualität zu gefährden.

  • Schatten-KI stoppen: Interne KI-Nutzungsrichtlinie, zugelassene Tools benennen, klare Vorgaben für Datenarten und Freigaben; Need-to-know-Zugriffe sicherstellen.

  • DSFA früh verankern: Bei risikobehafteten KI-Anwendungen DSFA vor Beginn der Verarbeitung durchführen; Orientierung geben DSGVO-Tatbestände und die DSK-Positivliste (KI zur Interaktion/Profilbewertung).

  • AI-Governance: AIMS/Policies in bestehende DSMS/ISMS integrieren; Risikoklassifizierung nach AI Act (Rollen: Anbieter/Betreiber) und Dokumentation aller KI-Assets/Use-Cases.

In Deutschland ist ein/e DSB zu benennen, wenn mindestens 20 Personen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG). Unabhängig von der Personenzahl besteht eine Pflicht, wenn die Kerntätigkeit in umfangreicher Überwachung, in der umfangreichen Verarbeitung besonderer Kategorien (Art. 9 DSGVO) liegt oder wenn eine DSFA erforderlich ist. Ein/e externe/r DSB ist oft die pragmatische Lösung für KMU.

  • Sofort handeln: Vorfall sichern, Fakten klären, Kategorien und Umfang der Daten bewerten (Risikoeinschätzung).

  • 72-Stunden-Frist: Besteht ein Risiko für Betroffene, Meldung an die Aufsichtsbehörde binnen 72 Stunden (Art. 33).

  • Benachrichtigung Betroffener: Bei hohem Risiko unverzüglich informieren (Art. 34), inkl. Art des Vorfalls, Folgen, Maßnahmen.

  • Dokumentation: Jeden Vorfall intern protokollieren – auch wenn nicht meldepflichtig.

  • Abhilfe & Prävention: Sofortmaßnahmen (z. B. Passwortrücksetzung, Sperrungen, Patches), Ursachenanalyse, TOMs nachschärfen, Team schulen, Notfall-Playbook testen.

Eine DSFA ist eine strukturierte Risikoanalyse nach Art. 35 DSGVO für Verarbeitungsvorgänge, die voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen mit sich bringen (z. B. der Einsatz neuer Technologien, umfangreiche Profile, Scoring). Sie beschreibt die geplante Verarbeitung, prüft Notwendigkeit & Verhältnismäßigkeit, bewertet Risiken für Betroffene und definiert Abhilfemaßnahmen (technisch & organisatorisch). Ziel: Risiken vorab erkennen und auf ein akzeptables Maß senken – dokumentiert und prüffest.

Ein Datenschutzaudit ist eine unabhängige Prüfung Ihrer Prozesse, Systeme und Dokumentation auf DSGVO-Konformität. Geprüft werden u. a. Verzeichnis von Verarbeitungstätigkeiten, Rechtsgrundlagen, TOMs (Art. 32), Auftragsverarbeitung, Lösch- & Aufbewahrungskonzept, Betroffenenrechte und Website/Tracking-Setup. Ergebnis: ein Befundbericht mit Prioritätenplan (Quick Wins, Maßnahmen, Roadmap) – nützlich für Management, Zertifizierungen oder Due Diligence.