Datenschutzrecht für Ihr Unternehmen

Die DSGVO ist seit vielen in Kraft – und dennoch stellt sie viele Unternehmen täglich vor praktische Fragen: Welche Verträge brauche ich mit meinen Dienstleistern? Darf ich Kundendaten in die USA übertragen? Wie dokumentiere ich meine Verarbeitungstätigkeiten? Ich helfe Ihnen, Datenschutz nicht als Bürde, sondern als Teil sauberer Unternehmensführung zu verstehen.

Meine Leistungen im Datenschutzrecht

Auftragsverarbeitungsverträge (AVV): Erstellung, Prüfung und Verhandlung von AVVs mit Dienstleistern, Subunternehmern und Cloud-Anbietern – auf Deutsch und Englisch.

Drittlandtransfers: Rechtssichere Gestaltung von Datenübertragungen in Länder außerhalb der EU, etwa in die USA oder nach Indien. Nutzung von Standardvertragsklauseln (SCCs) und Transfer Impact Assessments.

Datenschutz in Vertragswerken: Integration von Datenschutzanforderungen in IT-Projektverträge, Softwareverträge und Dienstleistungsvereinbarungen.

Aus der Praxis

Einige typische Situationen, in denen ich Unternehmen im Datenschutzrecht begleitet habe:

Fallbeispiel: Fehlende AVVs mit Subunternehmern

Ein IT-Dienstleister nutzte für seine Kunden mehrere Cloud-Tools amerikanischer Anbieter, ohne dass Auftragsverarbeitungsverträge vorlagen. Im Zuge eines Kundenaudits wurde das Problem sichtbar. Ich erstellte eine vollständige Liste der relevanten Verarbeitungen, holte die passenden AVVs ein bzw. passte sie an und half dem Unternehmen, seinen Kunden eine strukturierte Antwort zu geben.

Fallbeispiel: Datenschutz-Compliance bei internationaler HR-Systemkonsolidierung

Ein internationaler Konzern mit Hauptsitz in den USA plante, die HR-Systeme seiner europäischen Tochtergesellschaften auf eine zentrale US-amerikanische Plattform zu migrieren. Dabei sollten Mitarbeiterdaten aus Deutschland, Frankreich und den Niederlanden künftig in den USA verarbeitet werden. Die Frage: Ist diese Zusammenführung unter der DSGVO zulässig – und unter welchen Bedingungen? Ich begleitete das Projekt in drei Schritten: Zunächst prüfte ich, welche Kategorien personenbezogener Daten betroffen sind und ob eine Rechtsgrundlage für den Drittlandtransfer besteht. Anschließend erstellte ich eine Transfer Impact Analysis (TIA), in der die rechtlichen Rahmenbedingungen in den USA – insbesondere das CLOUD Act-Risiko und die Zugriffsmöglichkeiten US-amerikanischer Behörden – bewertet wurden. Auf dieser Grundlage entwarf ich die erforderlichen internen Verträge: Standardvertragsklauseln (SCCs) zwischen den EU-Gesellschaften und der US-Muttergesellschaft sowie eine konzerninterne Datenschutzvereinbarung (Intra-Group Agreement), die die Rollen von Verantwortlichem und Auftragsverarbeiter klar abgrenzt. Das Ergebnis: Eine rechtssichere Grundlage für die Migration – dokumentiert und behördenfest.