Datenschutz bei Software as a Service (SaaS): Verträge zur Auftragsdatenverarbeitung nach § 11 BDSG praktikabel und gesetzeskonform gestalten

Author

Dr. Thomas Helbing

Date Published

Post-Standardbild
Hinweis: Der nachfolgende Beitrag bezieht sich auf die Rechtslage vor dem 25. Mai 2018. Für die Einhaltung der Anforderungen der Datenschutz-Grundverordnung (DSGVO) durch SaaS-Anbieter und andere Auftragsverarbeiter ist heute die DSGVO maßgeblich.

Zusammenfassung

  • Nach altem BDSG bleibt der SaaS-Kunde voll für die Rechtmäßigkeit der Datenverarbeitung verantwortlich und muss den Anbieter sorgfältig auswählen, kontrollieren und dies dokumentieren.
  • § 11 BDSG verlangt einen schriftlichen Vertrag zur Auftragsdatenverarbeitung, der einen verbindlichen 10-Punkte-Katalog umsetzt; mangelhafte Verträge können Bußgelder bis 50.000 Euro auslösen.
  • Die Übermittlungs-Lösung (Funktionsübertragung statt Auftragsdatenverarbeitung) umgeht § 11 BDSG, hat aber erhebliche Nebenwirkungen wie Mitverantwortung des Anbieters und das Sprengen von ADV-Ketten.
  • Bei standardisierten SaaS-Diensten lassen sich die zehn Pflichtpunkte SaaS-spezifisch ausgestalten, insbesondere bei Multi-Tenancy, Subunternehmern, Kontrollrechten und Weisungsbefugnissen.

1. Ausgangslage und Risiko

Obwohl sich Software as a Service (SaaS) immer größerer Beliebtheit erfreut, herrscht noch viel Unsicherheit und zum Teil Unkenntnis im Hinblick auf die datenschutzrechtlichen Anforderungen. Kaum ein SaaS-Vertrag, den ich zur Prüfung oder Überarbeitung erhalten habe, erfüllte die Vorgaben des § 11 Bundesdatenschutzgesetz (BDSG). Kunden, aber auch Anbieter dürfen sich der Materie nicht verschließen.

Nach dem BDSG bleibt der Kunde für die Rechtmäßigkeit der Verarbeitung seiner Mitarbeiter- und Kundendaten durch den SaaS-Anbieter voll verantwortlich und ist verpflichtet, den Anbieter sorgfältig auszuwählen, regelmäßig zu kontrollieren und das Ergebnis der Kontrollen zu dokumentieren. Das BDSG enthält zudem seit dem 1. September 2009 einen 10-Punkte-Katalog mit Regelungsgegenständen, die in einem schriftlichen Vertrag zur Auftragsdatenverarbeitung zwingend umgesetzt werden müssen. Bei mangelhaften Verträgen drohen Kunden Bußgelder bis zu 50.000 Euro.

Aber auch Anbieter sollten darauf achten, dass ihre Standardvertragsbedingungen (AGB) den gesetzlichen Anforderungen genügen. Leider ignorieren noch immer viele Anbieter die datenschutzrechtlichen Compliance-Anforderungen ihrer Kunden. Dabei würden SaaS-Provider, deren AGB den Vorgaben des BDSG genügen, bei potenziellen Kunden und deren Datenschutzbeauftragten leicht Pluspunkte sammeln; oder anders gesagt: Wessen AGB den gesetzlichen 10-Punkte-Katalog ignorieren, fällt oftmals schon von vornherein heraus, weil sich der Kunde nicht auf mühsame Vertragsverhandlungen einlassen will.

2. Umsetzung des 10-Punkte-Katalogs der Auftragsdatenverarbeitung (§ 11 BDSG) bei SaaS-Verträgen

Nachfolgend habe ich einige Punkte zusammengestellt, wie die Anforderungen des § 11 BDSG im Rahmen von SaaS-Verträgen praktisch umgesetzt werden können. Anregungen, Kommentare und Kritik sind herzlich willkommen. Wenn Sie Fragen haben oder einen Vertrag prüfen, überarbeiten oder entwerfen lassen wollen, kontaktieren Sie mich gerne.

Die Darstellung ist zugeschnitten auf Software-as-a-Service-Verträge, bei denen die zur Verfügung gestellte Anwendung stark standardisiert ist, das heißt, es können für jeden Mandanten individuelle Parametrisierungen vorgenommen werden, in der Regel erfolgen aber keine kundenspezifischen Änderungen am Service selbst. Die Regelungsvorschläge erfolgen unter besonderer Berücksichtigung der Sondersituation der SaaS-Anbieter bei gleichzeitiger Erfüllung der Compliance-Voraussetzungen (§ 11 BDSG) der Kunden.

Behandelt wird nur der Teil der Auftragsdatenverarbeitung in einem SaaS-Vertrag. Daneben sind im SaaS-Vertrag noch eine Reihe weiterer Vertragsbedingungen auf die Sondersituation bei SaaS hin auszugestalten (zum Beispiel Anwendung mietrechtlicher Regelungen nach der ASP-Rechtsprechung des BGH, Service Levels, Haftung, Service-Beschreibung etc.).

3. Abgrenzung von Auftragsdatenverarbeitung und Funktionsübertragung bei SaaS

Der 10-Punkte-Katalog zur Auftragsdatenverarbeitung nach § 11 BDSG ist natürlich nur einschlägig, wenn tatsächlich personenbezogene Daten im Auftrag verarbeitet werden. Personenbezogene Daten wie zum Beispiel Mitarbeiter- oder Kundendaten werden bei den meisten SaaS-Anwendungen verarbeitet; bereits das Speichern solcher Daten ist ein Verarbeiten. Ausnahme: Es handelt sich um rein technische Daten (etwa Bauzeichnungen) oder die Daten wurden anonymisiert, sodass der Anbieter keinerlei Rückschluss auf bestimmte Personen ziehen kann.

Keine Auftragsdatenverarbeitung liegt vor, wenn der Anbieter die Daten nicht nach den Weisungen des Kunden verarbeitet, sondern seinerseits verantwortliche Stelle ist. Dies ist der Fall bei einer sogenannten Funktionsübertragung. Die Abgrenzung zwischen Auftragsdatenverarbeitung und Funktionsübertragung ist mitunter fließend und – nach umstrittener Ansicht – in gewissem Umfang auch von den Parteien durch vertragliche Regelungen beeinflussbar.

Teilweise wird beim SaaS wie auch beim Outsourcing versucht, ein Anbieter-Kunden-Verhältnis als Funktionsübertragung auszugestalten, um so den strengen Anforderungen des § 11 BDSG zu entgehen. Juristisch steckt Folgendes dahinter: Sendet ein Unternehmen (SaaS-Kunde) personenbezogene Daten an einen Dritten (SaaS-Anbieter) oder gewährt diesem darauf Zugriff, so liegt ein Übermitteln im Sinne des § 3 (4) Nr. 3 BDSG vor. Eine solche Übermittlung ist nur zulässig, wenn hierfür eine Erlaubnisnorm existiert. Verarbeitet der Dritte hingegen personenbezogene Daten strikt nach den Weisungen (im Auftrag) des Kunden, so ist er Auftragsdatenverarbeiter und nach der Definition des § 3 (8) S. 2 BDSG kein Dritter mehr. Folge: Es findet rechtlich keine Übermittlung statt, womit für diese auch keine Erlaubnisnorm mehr benötigt wird (die Datenverarbeitung im Rahmen der SaaS-Anwendung selbst muss natürlich weiterhin datenschutzrechtlich zulässig sein).

Der Auftragsdatenverarbeiter ist nach der Vorstellung des Gesetzes so eng an den Kunden gebunden, dass er datenschutzrechtlich eine Art interne Abteilung des Kunden darstellt. Dies setzt aber voraus, dass mit dem Auftragsdatenverarbeiter ein Vertrag geschlossen wird, der den Anforderungen des § 11 BDSG genügt. Vor dem Hintergrund diverser öffentlich bekannt gewordener Datenschutzpannen hat der Gesetzgeber mit Wirkung zum 1. September 2009 die inhaltlichen Anforderungen an Verträge zur Auftragsdatenverarbeitung verschärft.

3.1 Nebenwirkungen der Übermittlungs-Lösung

Die Auftragsdatenverarbeitung ist seitdem etwas unpopulär und man versucht mitunter, darauf zu verzichten und stattdessen auf Basis einer Datenübermittlung eine Datenschutz-Compliance sicherzustellen. Doch dieser Lösungsansatz hat Nebenwirkungen:

  1. Ohne Auftragsdatenverarbeitung liegt eine Übermittlung von Daten an den Anbieter vor, die einer Erlaubnisnorm bedarf. Als Erlaubnisnorm stützt man sich häufig auf die Interessenabwägungsklausel des § 28 (1) Nr. 3 BDSG. Um eine Übermittlung nach dieser Vorschrift hinzubekommen, müssen aber oft Regelungen zum Schutz der Interessen der Betroffenen (Mitarbeiter, Kunden) getroffen werden, und hierfür braucht man dann wieder vertragliche Regelungen, die zum Teil denen einer Auftragsdatenverarbeitung ähneln.
  2. Eine Rechtfertigung nach der Interessenabwägungsklausel funktioniert nicht mehr, wenn besondere Arten von Daten im Sinne des § 3 (9) BDSG (zum Beispiel Daten zur Gesundheit, Gewerkschaftszugehörigkeit etc.) im Raum stehen, was leider häufig der Fall ist beziehungsweise nicht ausgeschlossen werden kann.
  3. Wenn das Verhältnis der Parteien einer Auftragsdatenverarbeitung ähnelt, wirkt die Übermittlungs-Lösung etwas gekünstelt oder besser gesagt: Ihr haftet der Makel an, es handle sich um eine Umgehung der gesetzlichen Anforderungen für eine Auftragsdatenverarbeitung. Damit will ich nicht sagen, dass die Übermittlungs-Lösung kein gangbarer Weg ist. Ich habe aber schon mehr als einmal erlebt, dass der Datenschutzbeauftragte beim Kunden ein solches Modell nicht durchschaut und auf einem Auftragsdatenverarbeitungsvertrag besteht.
  4. Das Übermittlungsmodell erspart dem Anbieter zwar die Einhaltung von § 11 BDSG, diesen Vorteil erkauft er sich aber dadurch, dass er als Datenempfänger mitverantwortlich für die Rechtmäßigkeit der Datenverarbeitung wird, was nach meiner Meinung ein nicht zu unterschätzender Nachteil ist.
  5. Was gerne übersehen wird: Das Übermittlungsmodell sprengt die Kette von Auftragsdatenverarbeitungsverhältnissen. Verarbeitet der Kunde die Daten seinerseits für einen Dritten, mit dem er ein Auftragsdatenverarbeitungsverhältnis geschlossen hat, kann er regelmäßig einem Übermittlungsmodell nicht zustimmen. Beispiel: Ein Callcenter übernimmt für einen TK-Anbieter den Kundensupport, hierfür erhält das Callcenter Kundendaten des TK-Anbieters, die es typischerweise als Auftragsdatenverarbeiter verarbeitet. Das Callcenter will nun eine Software im Wege des SaaS-Modells nutzen, um die Kundendaten zu verwalten. Dies ist nur möglich, wenn der SaaS-Anbieter seinerseits Auftragsdatenverarbeiter ist, da der Vertrag zwischen Callcenter und TK-Anbieter in der Regel vorsieht, dass die Daten nur an Subunternehmer weitergegeben werden, die die Daten im Auftrag des Callcenters verarbeiten (und mindestens das gleiche Schutzniveau vorsehen wie der Vertrag TK-Anbieter/Callcenter).

Der Verzicht auf eine Auftragsdatenverarbeitung (Übermittlungs-Lösung) ist also nicht der Königsweg und sollte vorher sorgfältig geprüft werden. In ihrer Stellungnahme zum Cloud Computing und Datenschutz geht auch die Datenschutzaufsichtsbehörde für Schleswig-Holstein davon aus, dass Cloud Computing technisch einer Auftragsdatenverarbeitung gleichkommt.

4. Auslandsbezug

Die Auftragsdatenverarbeitung nach § 11 BDSG ist einschlägig, wenn der Sitz des Kunden (verantwortliche Stelle) in Deutschland liegt und der Anbieter (Vertragspartner) ebenfalls seinen Sitz in Deutschland oder einem anderen Mitgliedstaat der EU oder des Europäischen Wirtschaftsraums (EWR) hat.

Sitzt die Vertragspartei auf Anbieterseite außerhalb der EU bzw. des EWR, gilt § 11 BDSG nicht mehr, sodass nach dem Wortlaut des Gesetzes eine zu rechtfertigende Daten-Übermittlung stattfindet. Dies hat nunmehr auch die Datenschutzbehörde von Schleswig-Holstein in der genannten Stellungnahme zum Cloud Computing zum Ausdruck gebracht.

Zudem müssen in diesen Fällen des EU-Datenexports regelmäßig zusätzliche Vereinbarungen getroffen werden, um ein ausreichendes Datenschutzniveau beim Anbieter im Ausland sicherzustellen. Hierbei spielen die EU-Standardvertragsklauseln eine wichtige Rolle, für die seit dem 15. Mai 2010 eine neue Fassung gilt.

5. Tabelle: Umsetzung des 10-Punkte-Katalogs des § 11 BDSG bei der Auftragsdatenverarbeitung durch SaaS-Anbieter

5.1 § 11 (1), § 11 (3) 1 BDSG: Weisungsgebundenheit

  • Verarbeitung personenbezogener Daten erfolgt im Auftrag und nach den Weisungen des Kunden – Inhalt und Umfang der Weisungsbefugnis sind SaaS-spezifisch zu konkretisieren (siehe unten)
  • Klarstellung: Kunde bleibt für Rechtmäßigkeit der Verarbeitung verantwortlich
  • ggf. Freistellungspflicht des Kunden, falls Betroffene gegen den SaaS-Anbieter mit der Behauptung vorgehen, personenbezogene Daten würden rechtswidrig verarbeitet oder genutzt

5.2 § 11 (2) 2 Nr. 1 BDSG: Gegenstand und Dauer des Auftrags

  • Gegenstand: Software as a Service, Hosting, Wartung, Betrieb und Zurverfügungstellung zum Online-Abruf einer bezeichneten Anwendung
  • ggf. Beratung (Migration, Parametrisierung) und Anpassung (Customization)
  • Dauer: Laufzeit des Vertrages, ggf. erweitert um Testphase/Migrationsphase

5.3 § 11 (2) 2 Nr. 2 BDSG: Umfang, Art und Zweck der Erhebung, Verarbeitung oder Nutzung, Art der Daten und Kreis der Betroffenen

  • Art der Daten und Kreis der Betroffenen:
    • allgemein umschreiben; verhindern, dass bei kleineren Service-Änderungen Vertragsanpassungen nötig sind
    • ggf. Klarstellung, ob besondere Arten von Daten umfasst werden bzw. ausgeschlossen sind
    • ggf. Hinweis auf Verantwortung des Kunden für Daten, die dem Berufsgeheimnis unterliegen, § 203 StGB (zum Beispiel Rechtsanwälte, Ärzte, bestimmte Versicherungen)
  • Umfang, Art und Zweck der Datenverwendung:
    • allgemeiner Verweis auf Zweck der Anwendung, Funktionsbeschreibung, Zugriffsberechtigungssystem
    • detailliertere Darstellung bei
      • besonderen Arten von Daten im Sinne des § 3 (9) BDSG (zum Beispiel gesundheitsbezogene Daten)
      • Daten/Verarbeitungsschritten, die für den Kunden unternehmenskritisch sind (zum Beispiel Finanzdaten)
      • Daten/Verarbeitungsschritten, die ein besonders hohes Risiko für Betroffene beinhalten (zum Beispiel Export von Daten, externe Schnittstellen/APIs)
    • Datenempfänger festlegen (zum Beispiel Zugriff durch Drittanbieter, die optionale Zusatzmodule für den Service bereitstellen; andere Service-Anbieter bei SOA; Subunternehmer)
    • Speicherorte/Serverstandorte positiv festlegen (Whitelist, zum Beispiel nur EU/EWR) oder ausschließen (Blacklist)

5.4 § 11 (2) 2 Nr. 3 BDSG: Nach § 9 BDSG zu treffende technische und organisatorische Maßnahmen

  • anbieterspezifische Regelung (Sicherheitskonzept) in gesonderter Anlage
  • Sicherheitskonzept sollte die in der Anlage zu § 9 BDSG genannten Punkte abbilden
  • ggf. ergänzender Verweis auf IT-Sicherheitsstandards

5.5 § 11 (2) 2 Nr. 4 BDSG: Berichtigung, Löschung und Sperrung von Daten

  • Berichtigung, Löschung und Sperrung der Daten durch den Auftraggeber erfolgt in der Regel im Rahmen der allgemeinen Bedienung/Nutzung der Anwendung durch den Kunden
  • Pflichtverletzung / Zahlungsverzug des Kunden:
    • Sperrung oder Löschung von Daten nur nach rechtzeitiger vorheriger schriftlicher Androhung
    • Löschung nur, wenn der Kunde Daten zurückerhalten konnte oder wenn bei einem Treuhänder hinterlegt wird

5.6 § 11 (2) 2 Nr. 5 BDSG: Nach § 11 (4) BDSG bestehende Pflichten des Auftragnehmers, insbesondere von ihm vorzunehmende Kontrollen

  • Pflicht des Auftragnehmers zur Verpflichtung auf das Datengeheimnis, § 5 BDSG, zur Sicherstellung von technischen und organisatorischen Maßnahmen nach § 9 BDSG und zur Beachtung von Weisungen
  • Kontrolle der technischen und organisatorischen Maßnahmen ggf. durch Vorlage aktueller Prüfberichte unabhängiger Organisationen vereinheitlichen

5.7 § 11 (2) 2 Nr. 6 BDSG: Etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen

  • Cloud-Umgebungen und Multi-Tenancy-Modell verlangen flexible Einschaltung von Subunternehmern durch den Anbieter
  • typische Subunternehmer:
    • Konzerngesellschaften des Anbieters, die die eigentliche technische Leistung erbringen
    • externe Infrastruktur- und Plattformanbieter, auf die die Anwendung aufsetzt (Speicherplatz, Rechnerinstanzen, Datenbankanbieter, Anwendungshosting-Umgebungen)
    • bei Prüfungs- und Wartungstätigkeiten (§ 11 Abs. 5) genügt unter Umständen eine abgeschwächte Regelung zur ADV
  • Einschaltung ohne Einzelzustimmung des Kunden zulässig, wenn folgende Voraussetzungen kumulativ erfüllt sind:
    • Anbieter schließt mit dem Subunternehmer eine ADV, die das gleiche Schutzniveau sicherstellt wie der Vertrag mit dem Kunden, insbesondere bezüglich technischer und organisatorischer Sicherheitsmaßnahmen, ggf. Eckpunkte für die Sub-ADV festlegen
    • Ausübung der Kontrollrechte durch den Kunden ist gegenüber dem Subunternehmer grundsätzlich möglich (zumindest über den Anbieter)
    • auf Anfrage des Kunden werden diesem Subunternehmer und datenschutzwesentliche Vertragsbedingungen der Sub-ADV mitgeteilt
    • bei Subunternehmern außerhalb der EU/des EWR wird ein ausreichendes Datenschutzniveau sichergestellt
      • ggf. hier Mitteilung oder Vorabzustimmung des Kunden nötig
      • ggf. Einschränkung / Ausschluss bestimmter Länder
    • bei serviceorientierter Architektur (SOA): klarstellen, dass Services anderer Anbieter, mit denen die SaaS-Anwendung zusammenarbeitet, keine Subunternehmer des Anbieters sind

5.8 § 11 (2) 2 Nr. 7 BDSG: Kontrollrechte des Auftraggebers und entsprechende Duldungs- und Mitwirkungspflichten des Auftragnehmers

  • Multi-Tenancy-Modell erfordert, dass der Anbieter nicht durch ständige Kontrollen der Vielzahl von Kunden unangemessen belastet wird
  • grundsätzliches Kontrollrecht des Kunden bezüglich Einhaltung der technischen und organisatorischen Schutzmaßnahmen vor Ort, außer der Anbieter legt regelmäßig geeignete Testate unabhängiger Dritter oder des internen Datenschutzbeauftragten vor
  • Recht zur anlassbezogenen Einzelprüfung bleibt unberührt (Kostentragungspflicht regeln)
  • Unterstützung des Kunden bei dessen Dokumentationspflicht, § 11 (2) 3 BDSG

5.9 § 11 (2) 2 Nr. 8 BDSG: Mitzuteilende Verstöße gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen

  • Meldepflicht darf durch schwammige Formulierungen nicht ausufern:
    • nur Verstöße meldepflichtig, nicht "Verdacht" oder "Unregelmäßigkeiten"
    • nur Verstöße meldepflichtig, bei denen personenbezogene Daten des konkreten Kunden betroffen waren
    • Verstöße gegen die im Auftrag getroffenen Festlegungen nur meldepflichtig, wenn eine Bagatellgrenze überschritten ist (konkretes Risiko)
  • Mitteilungs- und Unterstützungspflicht jedenfalls dann, wenn die Voraussetzungen der gesetzlichen Meldepflicht nach § 42a BDSG erfüllt sind (Security Breach Notification Obligation)

5.10 § 11 (2) 2 Nr. 9 BDSG: Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält

  • Allgemein: Aufgrund der Multi-Tenancy-Architektur ist eine klare Eingrenzung der Weisungsbefugnisse des Kunden nötig, da Einzelweisungen verschiedener Kunden unter Umständen nicht oder nur mit unverhältnismäßigem Aufwand abbildbar sind.
  • Einschränkung:
    • Ausübung der Weisungsbefugnisse durch den Kunden erfolgt grundsätzlich im Rahmen der Parametrisierung/Bedienung/Nutzung der Anwendung
    • darüber hinausgehende Weisungsbefugnisse ausdrücklich und abschließend regeln (zum Beispiel im Rahmen der Test-, Migrations- oder Parametrisierungsphase)
    • Weisungsfreiheit: Berechtigung des Anbieters, den Dienst angemessen fortzuentwickeln und anzupassen, ggf. Recht des Kunden zur Kündigung bei ihn benachteiligenden Änderungen
  • bei Weisungen, deren Umsetzung aufgrund der Multi-Tenancy-Architektur nicht möglich oder nur mit unverhältnismäßigem Aufwand möglich ist, Aufwandsentschädigungspflicht des Kunden oder Kündigungsrecht des Anbieters
  • Hinweispflicht des Anbieters bei vermeintlich rechtswidrigen Weisungen, § 11 (3) 2 BDSG

5.11 § 11 (2) 2 Nr. 10 BDSG: Rückgabe überlassener Datenträger und Löschung gespeicherter Daten nach Beendigung des Auftrags

  • Regelung zu Zeitpunkt, Form, Unterstützungspflichten und Kosten der Rückgabe personenbezogener Daten:
    • Zeitpunkt: Live-Daten spätestens zum Zeitpunkt des Vertragsendes, ggf. schon vorab für Backup-, Migrations- oder Testzwecke
    • Form: Format und Struktur der Daten, Art des Datenträgers, Schnittstellenbeschreibung festlegen
    • Unterstützungspflichten: bei Migration zu anderen Anbietern oder beim In-Housing regeln
    • Kosten: Offenlegung etwaig entstehender Kosten der Datenrückgabe
  • Bestätigung der Löschung der Daten beim Anbieter und ggf. bei Subunternehmern

Über den Autor

Über den Autor

Dieser Blogbeitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Newsletter

  • Over 5,000 satisfied subscribers
  • Tools, templates, checklists and explanations on data protection and IT law.
  • Unsubscribe anytime.