Die Heidrich Datenschutzberatung UG verbindet die Tiefe einer spezialisierten IT-Rechtskanzlei mit der operativen Nähe einer dedizierten Datenschutzberatung. Wir stellen externe Datenschutzbeauftragte und beraten Unternehmen, die mehr erwarten als Checklisten und Textbausteine.
Von der Bestandsaufnahme über die Bestellung als externer DSB bis zur Verteidigung in Bußgeldverfahren – alles aus einer Hand, mit anwaltlicher Tiefe.
Bestellung als externer DSB nach Art. 37 DSGVO i. V. m. § 38 BDSG. Vollständige Übernahme der Aufgaben nach Art. 39 DSGVO — Unterrichtung, Überwachung, Anlaufstelle für Aufsichtsbehörden.
Systematische Prüfung Ihrer Verarbeitungsprozesse auf DSGVO-Konformität. Identifikation von Schwachstellen mit priorisiertem Maßnahmenplan.
Fundierte Rechtsgutachten zu komplexen datenschutzrechtlichen Fragestellungen — von neuen Verarbeitungen bis zu KI-Szenarien.
DSFA nach Art. 35 DSGVO für risikobehaftete Verarbeitungen — KI-Einsatz, Scoring, Videoüberwachung.
AV-Verträge (Art. 28), Joint-Controller (Art. 26), Betriebsvereinbarungen, Datenschutzhinweise.
Drittlandtransfers nach Art. 44 ff. DSGVO: Angemessenheitsbeschlüsse (u. a. EU-US Data Privacy Framework), SCC, Transfer Impact Assessment und ergänzende Schutzmaßnahmen nach Schrems II.
Datenschutzkonforme Implementierung von KI-Systemen an der Schnittstelle von DSGVO und EU-KI-Verordnung — von der Rechtsgrundlage für Trainingsdaten über die DSFA bis zur Architektur für Betroffenenrechte nach Art. 22 DSGVO.
Die Bestellung eines Datenschutzbeauftragten ist nach Art. 37 DSGVO und § 38 BDSG für viele Unternehmen verpflichtend – insbesondere wenn in der Regel mindestens 20 Personen ständig mit automatisierter Verarbeitung befasst sind oder die Kerntätigkeit umfangreiche Verarbeitungen besonderer Datenkategorien umfasst.
Ein externer DSB muss über die erforderliche Fachkunde (Art. 37 Abs. 5 DSGVO) verfügen und seine Aufgaben weisungsfrei ausüben können (Art. 38 Abs. 3 DSGVO). Die Qualität dieser Fachkunde entscheidet darüber, ob Ihr Datenschutz funktioniert – oder nur auf dem Papier existiert.
Bei der Heidrich Datenschutzberatung UG erhalten Sie keine Standard-Betreuung durch fachfremde Mitarbeiter, sondern eine fundierte juristische Beratung durch Datenschutzexperten, die Rechtsprechung und aktuelle Entwicklungen aus erster Hand kennen – und im Ernstfall auch verteidigungsfähige Positionen erarbeiten.
Angebot als Ext. DSB anfragen →Laufende Beratung der Geschäftsleitung und Mitarbeiter zu allen datenschutzrechtlichen Fragen (Art. 39 Abs. 1 lit. a DSGVO).
Systematische Kontrolle der Einhaltung der DSGVO, des BDSG und interner Datenschutzstrategien (Art. 39 Abs. 1 lit. b DSGVO).
Fachliche Begleitung bei der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und Überwachung der Durchführung.
Beratung bei IT-Migrationen, Cloud-Einführungen, KI-Projekten und Digitalisierungsvorhaben – von der Konzeption bis zum Go-Live.
Regelmäßige Datenschutzschulungen und Sensibilisierungsmaßnahmen für die gesamte Belegschaft.
Cloud-Migrationen, KI-Roll-outs, internationale Datenflüsse, Konzern-Reorganisationen: Wo Datenschutz auf Architektur, Vertragslandschaften und Aufsichtsbehörden trifft, begleiten wir das Vorhaben als rechtlicher Lead — von der Konzeption bis zum Go-Live.
In komplexen Vorhaben entscheidet die frühe juristische Beteiligung über Erfolg oder kostspielige Nachbesserung. Eine SaaS-Migration ohne sauberen AV-Vertrag, ein KI-Pilot ohne DSFA, ein Konzern-Roll-out ohne Drittlandstransferprüfung – solche Versäumnisse werden später unter Zeitdruck und vor Aufsichtsbehörden teurer als die ursprüngliche Beratung.
Wir begleiten Datenschutzprojekte von Anfang an: als juristischer Lead in interdisziplinären Teams, im engen Austausch mit IT, Compliance, Einkauf und Fachbereich. Jedes Projekt erhält einen festen verantwortlichen Berater, eine klare Eskalationslinie zur Mutterkanzlei und eine dokumentierte Entscheidungsgrundlage – damit Sie gegenüber Geschäftsführung, Aufsichtsbehörde und Mandanten jede Entscheidung belegen können.
Verarbeitungstätigkeiten kartieren, Schutzbedarf einstufen, frühe Show-Stopper identifizieren — bevor das Projektteam Architekturentscheidungen trifft.
Datenschutz-Folgenabschätzung nach Art. 35 DSGVO, Rechtsgrundlagen-Architektur, Privacy-by-Design-Vorgaben für Entwicklung und Architektur.
AV- und Joint-Controller-Verträge, Standardvertragsklauseln, Transfer Impact Assessment für Drittländer, Betriebsvereinbarungen für den Beschäftigtendatenschutz.
Begleitung der Inbetriebnahme, Schulung der operativen Teams, Aufbau des laufenden Monitorings und – bei Bedarf – konsultative Vorabbefassung der Aufsichtsbehörde.
Auswahl typischer Vorhaben aus unserer Praxis – jedes mit eigenen rechtlichen Hebeln und Aufsichtsrisiken.
Microsoft 365, AWS, Salesforce, Workday — inkl. Drittlandstransferprüfung und AV-Architektur.
Vom Chatbot bis zum eigenen Modell: DSFA, AI-Act-Klassifikation, Trainingsdaten-Rechtsgrundlage.
Zentrale Plattformen über mehrere Gesellschaften und Jurisdiktionen – Joint-Controller, BCR, Konzernrichtlinien.
Forensik-Begleitung, Meldung Art. 33/34, Behördenkommunikation, Bußgeldverteidigung über die Mutterkanzlei.
Verarbeitungsverzeichnis, Löschkonzepte, Berechtigungs- und Rollenkonzepte – auditfest dokumentiert.
§ 26 BDSG, Hinweisgeberschutzgesetz, Betriebsvereinbarungen, Mitarbeiterüberwachung.
Strukturiert, transparent und auf Ihre Ressourcen zugeschnitten — unser Onboarding-Prozess, in keinem Schritt pauschal.
Wir lernen Ihr Unternehmen und Ihre Datenschutz-Herausforderungen kennen. Kostenlos und unverbindlich – telefonisch oder per Videokonferenz.
Auf Basis des Erstgesprächs erhalten Sie ein transparentes Angebot mit klar definierten Leistungen — keine versteckten Kosten.
Systematische Erfassung des Ist-Zustands: Verarbeitungstätigkeiten, Dokumentation, technische und organisatorische Maßnahmen, offene Risiken.
Gap-Analyse mit konkretem, priorisiertem Handlungsplan — abgestimmt auf Ihre Ressourcen und Ihren Zeitrahmen.
Gemeinsame Umsetzung der identifizierten Maßnahmen: Verarbeitungsverzeichnis, AV-Verträge, DSFA, Datenschutzhinweise.
Kontinuierliche Beratung, regelmäßige Datenschutz-Reviews, Schulungen und schnelle Reaktion bei Vorfällen oder Betroffenenanfragen.
Bei einem Datenschutzvorfall beginnt nach Art. 33 DSGVO die Meldefrist sofort. Wir unterstützen bei der Bewertung des Vorfalls, der Entscheidung über die Meldepflicht, der Kommunikation mit der Aufsichtsbehörde und der Benachrichtigung betroffener Personen – schnell, kompetent und mit anwaltlicher Vertretung im Bußgeldverfahren.
Schnittstellen zu IT-Recht, KI-Recht, Compliance und Regulierung — wo immer der Datenschutz mit anderen Disziplinen verschränkt ist.
§ 26 BDSG, Betriebsvereinbarungen, Mitarbeiterüberwachung, BYOD-Policies.
DSGVO-konforme Implementierung von KI-Systemen, KI-Training, AI Act.
Sofortberatung bei Datenpannen, Meldung nach Art. 33/34, Krisenkommunikation.
Prozesse für Auskunft (Art. 15), Löschung (Art. 17), Portabilität (Art. 20), Widerspruch (Art. 21).
TDDDG-konforme Cookie-Banner (vormals TTDSG), Consent-Management, Prüfung von Tracking-Setups.
Technische und organisatorische Maßnahmen nach Art. 32 DSGVO, IT-Sicherheitskonzepte.
Rechtskonforme Erklärungen für Websites, Apps, SaaS-Produkte und interne Prozesse.
Kommunikation, Stellungnahmen, Verteidigung im Bußgeldverfahren — mit der Mutterkanzlei.
Begleitung bei Cloud-Migrationen, KI-Integration, SaaS-Plattformen, IoT und Big Data.
Datenschutzgerechte Systemgestaltung nach Art. 25 DSGVO — von der Konzeption bis zum Go-Live.
Künstliche Intelligenz stellt das Datenschutzrecht vor besondere Herausforderungen: große Trainingsdatensätze, intransparente Entscheidungslogiken und grenzüberschreitende Datenflüsse werfen komplexe Fragen auf, auf die klassische Datenschutzberater oft keine belastbaren Antworten haben.
Wir verbinden tiefes datenschutzrechtliches Know-how mit ausgewiesener KI-Expertise. Unsere Kanzlei ist eine der führenden deutschen Kanzleien im KI-Recht – mit eigener AI-Act-Beratungspraxis, Fachpublikationen und Mandaten in Grundsatzverfahren zum KI-Training.
Ob Sie ChatGPT im Kundenservice einsetzen, ein eigenes ML-Modell trainieren oder KI-basierte Scoring-Systeme betreiben – wir begleiten Sie von der DSFA über die Rechtsgrundlage nach Art. 6 DSGVO bis zu den Informationspflichten und der Betroffenenrechte-Architektur.
KI-Datenschutzberatung anfragen →Die Heidrich Datenschutzberatung UG ist die Datenschutz-Tochtergesellschaft der Heidrich Rechtsanwälte in Hannover – einer der profiliertesten IT-Rechtskanzleien in Norddeutschland.
Gegründet, um Unternehmen eine dedizierte Datenschutzberatung auf Kanzleiniveau anzubieten, vereinen wir die Agilität einer spezialisierten Beratungsgesellschaft mit dem juristischen Tiefgang einer Fachkanzlei für IT-Recht. Unsere Berater sind keine Generalisten – sie kommen aus dem Datenschutzrecht und kennen die Materie aus Beratung, Publikation und Lehre.
Die Mutterkanzlei berät seit über 25 Jahren zu IT-Recht, Datenschutz und KI-Recht. Kanzleigründer Joerg Heidrich ist Fachanwalt für IT-Recht, zertifizierter KI-Manager und Autor eines Fachbuchs zum KI-Recht – regelmäßig als Referent und Autor in c't, heise online und dem Podcast „Auslegungssache".
Antworten zur externen Datenschutzberatung, Fachkunde, Kostenstruktur und zum Ernstfall.
Die Pflicht zur Benennung eines Datenschutzbeauftragten ergibt sich aus Art. 37 DSGVO und – in Deutschland zusätzlich verschärft – aus § 38 BDSG. Nach § 38 Abs. 1 BDSG müssen Unternehmen einen DSB benennen, sofern sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
Darüber hinaus ist ein DSB nach Art. 37 Abs. 1 DSGVO immer dann erforderlich, wenn die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung besonderer Datenkategorien (Art. 9 DSGVO) oder in der systematischen Überwachung betroffener Personen besteht. Auch bei Verarbeitungen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen, ist ein DSB nach § 38 Abs. 1 S. 2 BDSG zwingend zu benennen.
Ein externer Datenschutzbeauftragter bietet gegenüber einem internen mehrere strukturelle Vorteile. Zunächst verfügt er über spezialisierte Fachkompetenz, die ein interner Mitarbeiter – der den DSB häufig nur als Zusatzaufgabe wahrnimmt – oft nicht in gleicher Tiefe mitbringt.
Zudem ist ein externer DSB weisungsfrei in seiner fachlichen Tätigkeit (Art. 38 Abs. 3 DSGVO) und unterliegt keinem Interessenkonflikt, weil er keine Aufgaben übernimmt, die er gleichzeitig überwachen müsste (Art. 38 Abs. 6 DSGVO). Ein weiterer Vorteil: Für interne DSB greift bei pflichtiger Bestellung der besondere Kündigungsschutz nach § 38 Abs. 2 i. V. m. § 6 Abs. 4 BDSG, der eine Trennung erheblich erschwert. Bei externen DSB entfällt dieses Risiko – die Zusammenarbeit kann vertraglich flexibel gestaltet werden.
Der Datenschutz-Beratungsmarkt ist geprägt von Anbietern, die mit pauschalen Kampfpreisen werben. In der Praxis bedeutet das häufig: vorgefertigte Dokumente, kein fester Ansprechpartner, kein juristisches Verständnis der konkreten Verarbeitungsprozesse. Bei einer Anfrage der Aufsichtsbehörde oder einem Datenschutzvorfall zeigt sich dann, dass die Substanz fehlt.
Wir arbeiten anders: Jede Beratung erfolgt durch juristisch qualifizierte Datenschutzexperten. Dokumentation wird individuell erstellt, nicht aus Templates generiert. Als Tochtergesellschaft einer auf IT-Recht spezialisierten Kanzlei können wir jederzeit den Zugang zu anwaltlicher Vertretung sicherstellen – ohne Anbieterwechsel, ohne Informationsverlust.
Die Kosten richten sich nach Größe und Komplexität Ihres Unternehmens, der Anzahl der Verarbeitungstätigkeiten und dem erforderlichen Betreuungsumfang. Wir arbeiten mit transparenten Monatspauschalen, die sämtliche gesetzlichen DSB-Aufgaben abdecken – einschließlich laufender Beratung, Dokumentationspflege, Schulungen und Anlaufstelle für Aufsichtsbehörden.
Ein konkretes Angebot erstellen wir nach dem kostenlosen Erstgespräch. Unser Anspruch: Faire Preise für exzellente Qualität – nicht der günstigste Preis am Markt, aber ein Preis-Leistungs-Verhältnis, das einer ernsthaften Datenschutzberatung gerecht wird.
Ja – und gerade hier zeigt sich der Vorteil einer Datenschutzberatung mit anwaltlichem Hintergrund. Bei einem Datenschutzvorfall läuft nach Art. 33 DSGVO eine 72-Stunden-Frist für die Meldung an die Aufsichtsbehörde. In dieser kritischen Phase beraten wir zur Bewertung des Vorfalls, zur Risikoeinschätzung und zur Entscheidung über die Melde- und Benachrichtigungspflicht nach Art. 33 und 34 DSGVO.
Darüber hinaus unterstützen wir bei der internen Aufarbeitung, der Dokumentation und – in Zusammenarbeit mit der Mutterkanzlei – bei der Kommunikation mit der Aufsichtsbehörde und der Abwehr etwaiger Bußgeldverfahren.
Gerade bei komplexen technischen Projekten zeigt sich die besondere Stärke unserer Beratung. Wir begleiten Unternehmen bei der datenschutzkonformen Umsetzung anspruchsvoller Vorhaben – von der Einführung neuer Cloud-Infrastrukturen und SaaS-Plattformen über die Integration von KI-Systemen bis hin zu Digitalisierungsprojekten mit komplexen Datenflüssen. Unsere Erfahrung umfasst Microservice-Architekturen, Big-Data-Analysen, IoT und datengetriebene Geschäftsmodelle.
Der entscheidende Vorteil: Unsere Berater verstehen nicht nur die rechtlichen Anforderungen, sondern auch die technischen Zusammenhänge. Wir sprechen die Sprache Ihrer Entwickler – und übersetzen datenschutzrechtliche Anforderungen so, dass sie in der konkreten Architektur umsetzbar sind.
Selbstverständlich. Die Datenschutzberatung ist nicht ortsgebunden – wir betreuen Unternehmen in ganz Deutschland und darüber hinaus. Die laufende Kommunikation erfolgt per Videokonferenz, E-Mail und Telefon. Für die initiale Bestandsaufnahme oder größere Workshops kommen wir gern auch zu Ihnen – oder empfangen Sie in unseren Kanzleiräumen in der Prinzenstraße 3 in Hannover.
Unverbindliches Erstgespräch in der Regel innerhalb eines Werktages. Keine Pauschalangebote — wir melden uns nach einer kurzen Sichtung Ihrer Anfrage.
