Welche Pflichten und Rechte sind typisch?
Das Datenschutzrecht regelt den gesamten Umgang mit personenbezogenen Daten.
Es normiert sowohl Pflichten für Unternehmen als auch Rechte der betroffenen Personen.
In der Praxis stehen insbesondere folgende Themen im Fokus:
- • Transparenz- und Informationspflichten (Website, Tracking, HR, Kundenprozesse)
- • Rechtsgrundlagen der Verarbeitung (Einwilligung, Vertrag, berechtigtes Interesse, gesetzliche Pflicht)
- • Dokumentation und Accountability (Verzeichnis von Verarbeitungstätigkeiten, TOM, Löschkonzept)
- • Verträge mit Dienstleistern (z. B. Auftragsverarbeitungsvertrag / AVV)
- • Betroffenenrechte (z. B. Auskunftsersuchen, Löschung, Widerspruch)
- • Datenpannen-Management (Risikobewertung, Meldepflicht, Kommunikation)
- • Risikoprojekte wie eine Datenschutz-Folgenabschätzung (DSFA)
- • internationale Datentransfers und Drittlandübermittlungen
Wenn Sie ein belastbares Fundament benötigen:
Starten Sie mit einem strukturierten Datenschutz Set-up oder einem unabhängigen Datenschutz-Audit.
Rechtsgrundlagen: DSGVO, BDSG, TDDDG
Datenschutzrecht ist kein Einzelnorm-Thema. In der Praxis greifen mehrere Regelungsebenen ineinander:
- • DSGVO (EU) als zentraler Rechtsrahmen für Verarbeitung, Betroffenenrechte, Transfers und Sanktionen
- • BDSG (DE) als nationale Ergänzung, u. a. für Beschäftigtendaten und Sonderkonstellationen
- • TDDDG (DE) für Datenschutz im Bereich Telekommunikation und digitale Dienste (insbesondere Endgeräte-/Cookie-Themen)
Wichtig: Viele Risiken entstehen in Schnittstellen – z. B. wenn Tracking „technisch“ umgesetzt ist, aber Transparenz, Einwilligungslogik, Vendor-Kette oder Drittlandtransfer nicht sauber dokumentiert sind.
Vertiefung (Website/Tracking): Datenschutzerklärung & Website-Check
Warum Datenschutz essenziell ist
- • Rechtssicherheit: Vermeiden Sie Bußgelder, Abmahnungen und Schadensersatzforderungen.
- • Wettbewerbsvorteil: Datenschutz-Compliance stärkt Kundenvertrauen und Markenreputation.
- • Risikominimierung: Frühzeitige Audits verhindern kostspielige Datenpannen und Litigation-Risiken.
- • Deal-Fähigkeit: Enterprise-Kunden verlangen belastbare Datenschutzstrukturen.
Datenschutz ist heute häufig Voraussetzung für:
- • Ausschreibungen und Vendor-Assessments
- • SaaS- und Plattformverträge
- • internationale Kooperationen
- • Investoren- oder Due-Diligence-Prozesse
Fehlende Compliance führt nicht selten zu Vertragsabbrüchen oder erheblichen Haftungsabschlägen.
Praxis-Einblick: Kann ein DSGVO-Auskunftsanspruch missbräuchlich sein?
Website, Tracking & Consent-Management
Website-Compliance ist einer der häufigsten Streit- und Prüfungsanlässe – weil Verstöße sichtbar sind und sich skalieren lassen.
Typische Risikotreiber:
- • Consent-Mechanik (Banner-Design, Granularität, Ablehnen-Optionen)
- • Tracking-/Analytics-Tools (Tag Manager, Pixels, Heatmaps, A/B-Testing)
- • Marketing-Integrationen (CRM, Newsletter, Retargeting)
- • Drittlandtransfer und Vendor-Ketten
- • unvollständige oder unklare Datenschutzerklärung
Unsere Praxis: Wir prüfen nicht nur Texte, sondern das Zusammenspiel aus Technik, Transparenz und Nachweisführung.
Einstieg: Datenschutzerklärung & Website-Check · Datenschutz-Audit
Vertiefung aus dem Blog: Google Analytics & Datenschutz · Datenschutzerklärung abmahngefährdet?
Dienstleister, AVV & Joint Controller
Ein Großteil des Haftungsrisikos entsteht in der Tool- und Dienstleisterkette – nicht im eigenen Rechenzentrum.
Typische Praxisfragen:
- • Liegt Auftragsverarbeitung vor – oder gemeinsame Verantwortlichkeit?
- • Ist der AVV vollständig und technisch „stimmig“?
- • Gibt es Subunternehmerketten und Transfer-Risiken?
- • Sind TOM, Löschfristen, Rollen und Weisungslogik dokumentiert?
Wir erstellen, prüfen und verhandeln u. a.:
Vertiefung (Rechtsprechung Joint Controller): Gemeinsame Verantwortlichkeit – EuGH-Rechtsprechung · Facebook Fanpages / Betreiberpflichten
Internationale Datentransfers & EU-Vertreter
Internationale Datenübermittlungen sind häufig „unsichtbar“ – bis zur Prüfung oder zum Incident.
Praxisrelevant sind insbesondere:
- • Transfers in Drittländer über Tools/Cloud-Anbieter
- • konzerninterne Datenflüsse und internationale HR-Setups
- • Vendor-Assessments und Transfer-Dokumentation
- • Pflichten für Nicht-EU-Unternehmen (Art. 27 DSGVO)
Einstieg:
EU-Vertreter nach Art. 27 DSGVO
Internationale Datentransfers & Drittlandübermittlungen
Datenschutz-Folgenabschätzung (DSFA)
Bei risikoreichen Verarbeitungen verlangt die DSGVO eine strukturierte Risikoanalyse – häufig als DSFA.
Typische Auslöser:
- • Profiling, Scoring, automatisierte Entscheidungen
- • umfangreiches Tracking und Verhaltensanalysen
- • Videoüberwachung oder Monitoring in Arbeitskontexten
- • KI-Systeme mit Personenbezug
- • neue Plattformprozesse oder Datenanreicherungen
Einstieg: DSFA / Datenschutz-Folgenabschätzung
KI, AI Act & Datenschutz-Governance
KI-Projekte sind selten rein „Tech“. Sie sind Compliance-, Governance- und Haftungsprojekte.
Datenschutzrechtliche Praxisfragen:
- • Welche personenbezogenen Daten fließen in Training/Prompting/Outputs?
- • Welche Rechtsgrundlage trägt die Verarbeitung?
- • Welche Transparenz- und Informationspflichten greifen?
- • Ist eine DSFA erforderlich?
- • Wie wird Governance, Zugriff, Logging und Löschung organisiert?
Vertiefung: ChatGPT/KI in Unternehmen – Risiken & Pflichten · AI Act / KI-Verordnung umsetzen · DSFA
Datenschutz für SaaS, Plattformen & KI-Unternehmen – Governance für digitale Geschäftsmodelle
Digitale Geschäftsmodelle stellen besondere Anforderungen an das Datenschutzrecht.
SaaS-Anbieter, Plattformbetreiber, datengetriebene Start-ups und KI-Unternehmen verarbeiten personenbezogene Daten regelmäßig:
- • grenzüberschreitend
- • in komplexen Tool- und Dienstleisterketten
- • in Echtzeit
- • in skalierbaren Cloud-Strukturen
- • unter Einbindung externer APIs und Drittanbieter
Datenschutz ist hier kein Annex – sondern integraler Bestandteil des Geschäftsmodells.
SaaS-Modelle & Auftragsverarbeitung
Typische Fragestellungen bei SaaS-Unternehmen:
- • Auftragsverarbeitung oder eigene Verantwortlichkeit?
- • Subunternehmerketten und Transparenzpflichten
- • Mandantenfähigkeit und Zugriffskonzepte
- • Datentrennung bei Multi-Tenant-Systemen
- • Incident-Response-Management
Fehlerhafte Einordnung kann zu:
- • Bußgeldern
- • Haftungsdurchgriff
- • Vertragskündigungen
- • Reputationsschäden
führen. Wir strukturieren Ihre Datenrollen sauber und belastbar – technisch und juristisch.
Vertiefung: Auftragsverarbeitungsvertrag (AVV)
Plattformmodelle & gemeinsame Verantwortlichkeit
Plattformbetreiber bewegen sich häufig im Spannungsfeld zwischen:
- • eigener Verantwortlichkeit
- • Auftragsverarbeitung
- • gemeinsamer Verantwortlichkeit (Joint Controller)
Besonders kritisch sind:
- • Tracking-Integrationen
- • Werbetechnologien
- • Nutzerprofile
- • API-Schnittstellen
- • Social-Login-Modelle
Die EuGH-Rechtsprechung zur gemeinsamen Verantwortlichkeit hat die Anforderungen deutlich verschärft.
Unklare Verantwortungszuweisungen führen regelmäßig zu Haftungsrisiken.
Vertiefung: Gemeinsame Verantwortlichkeit – EuGH-Rechtsprechung
Internationale Datentransfers & Cloud-Strukturen
SaaS- und KI-Unternehmen sind regelmäßig global tätig.
Relevante Themen:
- • Drittlandübermittlungen
- • Standardvertragsklauseln
- • Transfer Impact Assessments
- • US-Cloud-Dienste
- • hybride Serverstrukturen
Internationale Datenflüsse sind einer der häufigsten Angriffspunkte für Aufsichtsbehörden und Abmahnungen.
Wir entwickeln belastbare Transfer- und Dokumentationskonzepte – inklusive Risikoanalyse.
Vertiefung: Hilfe bei internationalen Datentransfer
KI-Systeme, Training & AI Act
KI-Modelle verarbeiten häufig personenbezogene Daten – etwa:
- • Trainingsdaten
- • Nutzungsdaten
- • Verhaltensdaten
- • Feedback-Daten
Datenschutzrechtlich relevant sind insbesondere:
- • Rechtsgrundlagen für Trainingsdaten
- • Transparenzpflichten
- • Profiling-Bewertungen
- • automatisierte Entscheidungen
- • Datenschutz-Folgenabschätzungen
Hinzu kommt der europäische AI Act, der Governance-, Risiko- und Dokumentationspflichten normiert.
Datenschutz-Compliance und KI-Governance sind nicht getrennt zu betrachten.
Vertiefung: KI in Unternehmen – Risiken & Pflichten · AI Act umsetzen · DSFA
Datenschutz als Bestandteil von Investoren- & Enterprise-Readiness
Im digitalen Mittelstand und bei Venture-finanzierten Unternehmen ist Datenschutz häufig Bestandteil von:
- • Due-Diligence-Prozessen
- • Enterprise-Vendor-Assessments
- • ISO-/SOC-Implementierungen
- • Cyber-Versicherungsprüfungen
Fehlende Dokumentation oder unklare Datenrollen führen hier regelmäßig zu:
- • Deal-Verzögerungen
- • Bewertungsabschlägen
- • Vertragsrisiken
Ein strukturiertes Datenschutzmanagement ist daher Teil der Unternehmensbewertung.
Governance statt Flickwerk
Digitale Geschäftsmodelle benötigen:
- • klare Datenarchitektur
- • dokumentierte Verantwortlichkeiten
- • saubere Vertragsketten
- • Incident-Response-Strukturen
- • Schulungs- und Awareness-Systeme
Datenschutz ist Führungs- und Organisationsaufgabe.
Wir verbinden juristische Expertise mit technischer Strukturkenntnis – insbesondere im Bereich IT-Recht, Plattformmodelle und KI-Governance.
Unsere Rolle: Strategischer Datenschutzpartner digitaler Unternehmen
Wir begleiten:
- • SaaS-Anbieter
- • Plattformbetreiber
- • E-Commerce-Strukturen
- • MarTech- und AdTech-Unternehmen
- • KI-Start-ups
- • internationale Tech-Unternehmen
Unsere Beratung umfasst:
- • präventive Strukturierung
- • Vertrags- und Governance-Architektur
- • Begleitung von Produktentwicklungen
- • Verteidigung in Bußgeld- und Haftungsverfahren
- • strategische Litigation
Digitale Unternehmen benötigen kein Formularrecht.
Sie benötigen Governance-Struktur.
Datenschutz ist kein Hindernis für Innovation, sondern Rahmen für skalierbare und belastbare Geschäftsmodelle.
