Ich übersetze zwischen der rechtlichen Anforderung und der technischen Umsetzung — aus der Praxis, nicht aus dem Lehrbuch. I translate between legal requirement and technical implementation — from hands-on practice, not from a textbook.
Datenschutz ist bei mir kein Thema, das am Ende eines Projekts auf einer Checkliste auftaucht. Ich denke ihn von Anfang an mit — bei der Wahl der Infrastruktur, bei der Datenmodellierung, bei der Auswahl von KI-Modellen, bei der Frage, wer auf welche Daten zugreifen darf und wie lange sie gespeichert werden. Privacy is not something I add at the end of a project via a checklist. I think it through from the start — when choosing infrastructure, modelling data, selecting AI models, and deciding who can access which data and for how long.
Diese Haltung stammt aus der Praxis: aus realen Softwareprojekten mit sensiblen Daten, aus meinem betriebswirtschaftlichen Hintergrund (duales Studium, Controlling in einem DAX-Konzern) und aus der täglichen Arbeit an DSGVO-konformen Architekturen. Kein juristischer Titel — aber praxiserprobte Architektur-Entscheidungen, die im Alltag funktionieren. This approach comes from practice: from real software projects with sensitive data, from my business background (dual study programme, controlling at a DAX corporation), and from daily work on GDPR-compliant architectures. No legal title — but battle-tested architecture decisions that work in the real world.
Diese Punkte sind keine Marketingversprechen, sondern konkrete Architektur-Entscheidungen, die ich in jedem Projekt einbringe. These are not marketing claims but concrete architectural decisions I bring to every project.
Datensparsamkeit ist keine Option, sondern Standard. Ich erhebe nur Daten, die für den konkreten Zweck benötigt werden, und modelliere das Datenmodell von Anfang an entsprechend — nicht nachträglich. Data minimisation is not optional, it's the default. I collect only data needed for the specific purpose and model the data structure accordingly from the start — not retrospectively.
Alle von mir betriebenen Systeme laufen auf europäischer Infrastruktur (Hetzner Cloud, Deutschland). Keine Daten in US-amerikanischen Clouds, kein Drittanbieter mit unklaren Datenwegen. Auf Wunsch auch Betrieb auf kundeneigener Infrastruktur. All systems I operate run on European infrastructure (Hetzner Cloud, Germany). No data in US clouds, no third-party services with opaque data flows. On request, deployment on client-owned infrastructure is also possible.
Open-Source-Sprachmodelle (Mistral, Llama u. a.) laufen auf eigener oder kundeneigener Hardware — sensible Geschäftsdaten verlassen das Unternehmen auch für die KI-Verarbeitung nicht. Das ist besonders relevant für Bereiche mit Personaldaten, Finanzdaten oder vertraulichen Geschäftsinformationen. Open-source language models (Mistral, Llama, and others) run on my or the client's own hardware — sensitive business data never leaves the organisation, even for AI processing. This is especially relevant for HR data, financial data, or confidential business information.
Klare Rollen- und Rechte-Konzepte: Wer darf auf welche Daten zugreifen? Wie werden verschiedene Datenkategorien (z. B. Personaldaten vs. Lagerdaten) technisch getrennt? Diese Trennung ist Teil des Entwurfs, nicht ein nachträglicher Einbau. Clear role and permission models: who can access which data? How are different data categories (e.g. HR data vs. inventory data) technically separated? This separation is part of the design, not an afterthought.
Wie lange werden Daten gespeichert, und was passiert danach? Automatische Lösch- oder Archivierungsroutinen, die den gesetzlichen Anforderungen entsprechen, sind Standard in meinen Projekten — keine manuellen Prozesse, die im Alltag vergessen werden. How long is data stored, and what happens after? Automated deletion or archiving routines that meet legal requirements are standard in my projects — no manual processes that get forgotten in day-to-day operations.
HTTPS auf allen Verbindungen (automatisches TLS via Caddy), verschlüsselte Datenbanken auf Wunsch, sichere Geheimnisspeicherung (Umgebungsvariablen, keine Hardcoded-Secrets). Sensible Daten werden nicht in URL-Parametern oder Logs gespeichert. HTTPS on all connections (automatic TLS via Caddy), encrypted databases on request, secure secrets management (environment variables, no hardcoded secrets). Sensitive data is never stored in URL parameters or logs.
Neben der technischen Umsetzung helfe ich dabei, Datenschutzanforderungen zu verstehen, zu bewerten und in konkrete Maßnahmen zu übersetzen — bevor entwickelt wird. Beyond technical implementation, I help understand, assess, and translate privacy requirements into concrete measures — before development begins.
Bewertung bestehender oder geplanter Datenflüsse: Welche Daten fließen wohin, wer hat Zugriff, wo entstehen Risiken? Ich zeige auf, wo DSGVO-Anforderungen noch nicht erfüllt sind — und wie man sie mit vertretbarem Aufwand umsetzt. Assessment of existing or planned data flows: what data goes where, who has access, where do risks arise? I identify where GDPR requirements are not yet met — and how to address them with reasonable effort.
Welches KI-Modell, welche API, welcher Cloud-Anbieter ist für sensible Daten geeignet? Ich bewerte Optionen nach Datenschutz-Kriterien und gebe eine klare Empfehlung — keine Anbieter-Werbung, sondern sachliche Abwägung. Which AI model, which API, which cloud provider is suitable for sensitive data? I assess options against privacy criteria and give a clear recommendation — no vendor pitch, just objective analysis.
Die datenschutzfreundlichste Einstellung als Standardvoreinstellung — nicht das Maximum an Funktionalität. Das betrifft Formulare, Benutzerprofile, Cookie-Handling und die Entscheidung, welche Daten überhaupt erhoben werden. The most privacy-friendly setting as the default — not the maximum functionality. This applies to forms, user profiles, cookie handling, and the decision of what data is collected in the first place.
Ich übersetze rechtliche Anforderungen (DSGVO-Artikel, AI-Act-Risikoklassen, Auftragsverarbeitungsverträge) in technische Maßnahmen — verständlich für beide Seiten. So entsteht keine Lücke zwischen dem, was die Rechtsabteilung fordert, und dem, was die Technik liefert. I translate legal requirements (GDPR articles, AI Act risk classes, data processing agreements) into technical measures — understandable for both sides. This prevents the gap between what legal demands and what technology delivers.
Ein konkretes Beispiel, wie Datenschutz in der Realität aussieht: A concrete example of what privacy looks like in reality:
Für einen Einzelhandelsbetrieb habe ich eine browserbasierte Zeiterfassungs-Web-App entwickelt, die Arbeitszeitdaten erfasst und für die Lohnbuchhaltung aufbereitet. Das klingt technisch simpel — ist datenschutzrechtlich aber anspruchsvoll, da Arbeitszeiten personenbezogene Daten sind. For a retail business I developed a browser-based time-tracking web app that records working hours and prepares them for payroll. This sounds technically simple — but is privacy-sensitive, since working hours are personal data.
Die Architektur-Entscheidungen: Daten auf eigenem Server in Deutschland, kein externer Cloud-Dienst, Foto-Dokumentation nur für die gesetzlich relevante Zweckerfüllung, klare Zugriffstrennung zwischen Mitarbeitern und Verwaltung, automatische Aufbereitung für die Lohnbuchhaltung ohne manuelle Exportwege. Ergebnis: 100 % Erfassungsquote, ca. 15 Std. Entlastung pro Monat — und ein System, das den DSGVO-Anforderungen standhält. The architecture decisions: data on our own server in Germany, no external cloud service, photo documentation only for the legally relevant purpose, clear access separation between employees and management, automatic payroll data preparation without manual export steps. Result: 100% capture rate, approx. 15 hours saved per month — and a system that holds up to GDPR requirements.
Ähnliche Anforderungen entstehen überall dort, wo sensible Daten verarbeitet werden: Personaldaten, Finanzdaten, Kundendaten im B2B-Umfeld. Der Ansatz ist übertragbar — die technische Umsetzung ist jeweils projektspezifisch. Similar requirements arise wherever sensitive data is processed: HR data, financial data, customer data in B2B environments. The approach is transferable — the technical implementation is project-specific each time.
Seit August 2024 gilt der EU AI Act schrittweise. Er klassifiziert KI-Systeme nach Risikoklassen und knüpft daran unterschiedliche Pflichten. Das klingt abstrakt — ich helfe, das auf ein konkretes Vorhaben herunterzubrechen. The EU AI Act has been phasing in since August 2024. It classifies AI systems by risk level and attaches different obligations to each. This sounds abstract — I help break it down to a concrete project.
Interne Automatisierung, Empfehlungssysteme ohne kritische Entscheidungen, Chatbots mit klar erkennbarer KI-Natur. Empfohlene Maßnahme: saubere Dokumentation, transparente Kommunikation. Internal automation, recommendation systems without critical decisions, chatbots with clearly recognisable AI nature. Recommended: clean documentation, transparent communication.
KI in Personalentscheidungen, Kreditvergabe, medizinischen Kontexten, kritischer Infrastruktur. Hier greifen Pflichten zu Risikomanagement, Datenverwaltung, menschlicher Aufsicht und Registrierungspflichten. AI in HR decisions, credit scoring, medical contexts, critical infrastructure. Obligations apply: risk management, data governance, human oversight, registration requirements.
Ich helfe dabei, ein KI-Vorhaben in die richtige Risikoklasse einzuordnen, die sich daraus ergebenden Pflichten zu verstehen und technische Maßnahmen zu definieren — bevor das System gebaut wird. I help classify an AI project into the right risk category, understand the resulting obligations, and define technical measures — before the system is built.
Ich biete keine Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes (RDG) an und stelle mich nicht als externer Datenschutzbeauftragter zur Verfügung. Meine Leistung ist technischer und konzeptioneller Natur: Ich entwickle und begleite DSGVO-konforme Architekturen und helfe dabei, rechtliche Anforderungen in technische Maßnahmen zu übersetzen. I do not provide legal advice within the meaning of the German Legal Services Act (RDG), and I do not act as an external data protection officer. My services are technical and conceptual in nature: I develop and support GDPR-compliant architectures and help translate legal requirements into technical measures.
Bei rechtlich verbindlichen Fragestellungen — etwa zu Haftungsfragen, zur konkreten Auslegung von DSGVO-Artikeln oder zur Erstellung von Datenschutz-Folgeabschätzungen mit Rechtswirkung — empfehle ich die Einbindung eines qualifizierten Datenschutzbeauftragten oder Rechtsanwalts. Ich arbeite dabei gerne mit Ihrem Datenschutzbeauftragten oder Justiziar zusammen. For legally binding matters — such as liability questions, the concrete interpretation of GDPR articles, or the preparation of data protection impact assessments with legal effect — I recommend involving a qualified data protection officer or lawyer. I am happy to collaborate with your existing DPO or legal counsel.