Beratung dort, wo Recht und Technik sich treffen
Zimmermann Legal berät an der Schnittstelle von Datenschutz, KI-Governance, IT-/IP-Recht sowie Hochschul- und Forschungs-Compliance.
Die Themen greifen in der Praxis häufig ineinander: Ein KI-System wirft Datenschutzfragen auf. Ein Forschungsprojekt benötigt Datenzugang, Kooperationsverträge und klare Verantwortlichkeiten. Ein Cloud-Dienst betrifft IT-Vertrag, Auftragsverarbeitung, Informationssicherheit und interne Governance zugleich.
Der Einstieg kann eine einzelne Vertragsklausel sein, eine Datenschutz-Folgenabschätzung, eine KI-Richtlinie oder die Governance-Struktur einer ganzen Einrichtung. Der Zuschnitt richtet sich nach Ihrem konkreten Anwendungsfall.
Datenschutz, der im Alltag trägt und einer Prüfung standhält
Datenschutz ist mehr als Dokumentation. Entscheidend ist, ob Rollen, Prozesse, Verträge und technische Umsetzung zusammenpassen. Ich unterstütze Organisationen dabei, Datenschutzanforderungen rechtlich sauber, nachvollziehbar und praktisch handhabbar umzusetzen.
- Aufbau und Weiterentwicklung von Datenschutzmanagementsystemen
- Datenschutz-Folgenabschätzungen und Risikoabwägungen
- Prüfung und Gestaltung von Auftragsverarbeitungsverträgen und DPAs
- Abgrenzung von Auftragsverarbeitung, gemeinsamer und eigener Verantwortlichkeit
- Verzeichnisse von Verarbeitungstätigkeiten
- Informationspflichten, Betroffenenrechte und Auskunftsprozesse
- Lösch- und Aufbewahrungskonzepte
- Internationale Datentransfers, SCC und Transfer-Impact-Assessments
- Datenschutzverletzungen, Meldeprozesse und interne Eskalation
- Datenschutz in Cloud-, SaaS- und IT-Dienstleisterkonstellationen
- Schulungen, Sensibilisierung und praxistaugliche Handreichungen
Geeignet für Hochschulen, Forschungseinrichtungen, öffentliche Einrichtungen, Unternehmen und Startups, die Datenschutz nicht nur formal abbilden, sondern organisatorisch tragfähig gestalten wollen.
KI rechtlich einordnen, verantwortlich nutzen und belastbar dokumentieren
Der EU AI Act gilt schrittweise. Die Pflicht zur KI-Kompetenz gilt bereits; weitere Pflichten folgen. Viele Organisationen nutzen KI-Systeme längst, ohne dass Inventar, Verantwortlichkeiten, Freigabeprozesse oder Dokumentation ausreichend geklärt sind. Ich unterstütze beim Aufbau schlanker, belastbarer KI-Governance-Strukturen — vom ersten Überblick über eingesetzte Systeme bis zur rechtlichen Einordnung konkreter Anwendungen.
- Inventarisierung eingesetzter und geplanter KI-Systeme
- Erste Risikoklassifizierung nach dem EU AI Act
- Einordnung der Rollen: Anbieter, Betreiber, Importeur, Händler
- Prüfung verbotener Praktiken und sensibler Einsatzkontexte
- Aufbau von KI-Richtlinien und internen Nutzungsregeln
- KI-Kompetenz nach Art. 4 AI Act und Schulungskonzepte
- Transparenz-, Dokumentations- und Informationspflichten
- Freigabeprozesse für KI-Tools in Organisationen
- Zusammenspiel von KI, Datenschutz, IT-Sicherheit und Urheberrecht
- KI in Forschung, Lehre, Verwaltung und Geschäftsprozessen
- Vorbereitung auf Hochrisiko-Anforderungen und Kontrollstrukturen
Ziel ist keine überdimensionierte Compliance-Bürokratie, sondern eine Governance, die Risiken sichtbar macht, Verantwortlichkeiten klärt und rechtssichere Nutzung ermöglicht.
Verträge, Rechte und Risiken rund um Software, Daten und digitale Leistungen
Digitale Projekte stehen und fallen mit sauber geregelten Rechten, Pflichten und Verantwortlichkeiten. SaaS-, Cloud- und Softwareverträge, Datenzugänge, Lizenzmodelle und Open-Source-Komponenten müssen so gestaltet sein, dass sie zum technischen und organisatorischen Einsatz passen. Ich unterstütze bei Prüfung, Gestaltung und Verhandlung von Verträgen und Rahmenbedingungen für digitale Produkte, Plattformen, Software, Daten und technische Kooperationen.
- SaaS-, Cloud- und Softwareverträge
- IT-Projektverträge und Service-Level-Agreements
- Lizenz- und Nutzungsrechte
- Rechte an Daten, Datenbanken, Arbeitsergebnissen und Werken
- Open-Source-Compliance
- Vertraulichkeit, Know-how-Schutz und Geheimhaltungsvereinbarungen
- Datenüberlassungs- und Datennutzungsvereinbarungen
- Schnittstellen zwischen IT-Vertrag, Datenschutz und IT-Sicherheit
- Begleitung von Plattformen, digitalen Diensten und KI-Produkten
- Vertragliche Risikoverteilung, Haftung und Gewährleistung
Im Mittelpunkt steht eine verständliche und belastbare Vertragsstruktur: Was darf genutzt werden? Wer ist wofür verantwortlich? Welche Risiken werden übernommen? Und welche Regelungen braucht es, damit das Projekt praktisch funktioniert?
Rechtliche Strukturierung für Forschung, Lehre und digitale Hochschulprozesse
Forschung, Lehre und Hochschulverwaltung arbeiten zunehmend datenbasiert, digital und kooperativ. Daraus entstehen rechtliche Fragestellungen, die selten nur einem Rechtsgebiet zugeordnet werden können: Datenschutz, Forschungsdaten, KI, Drittmittel, Kooperationsverträge, Ethik, Governance, IP- und Nutzungsrechte greifen häufig ineinander. Ich unterstütze Hochschulen, Forschungseinrichtungen, Fakultäten, Institute, Forschungsgruppen und wissenschaftsnahe Organisationen bei der rechtlichen Strukturierung solcher Vorhaben.
- Forschungskooperations- und Verbundverträge
- Datenüberlassungs-, Data-Sharing- und Data-Access-Vereinbarungen
- Datenschutz in Forschungsprojekten (Einwilligung, Rechtsgrundlagen, Pseudonymisierung, Rollen)
- KI in Forschung, Lehre und Hochschulverwaltung
- Ethik-, Datenschutz- und Governance-Strukturen
- Drittmittel- und Förderkonformität
- IP-, Nutzungs- und Publikationsrechte in Kooperationen
- Rechtliche Begleitung digitaler Verwaltungsprozesse
- Entscheidungsgrundlagen für Leitung, Dekanate, Forschungsgruppen und Verwaltung
- Schnittstellen zwischen Rechtsdienst, Datenschutz, IT-Sicherheit, IT und Forschung
Ziel ist eine Lösung, die wissenschaftliche Arbeit ermöglicht, rechtliche Risiken kontrolliert und Verantwortlichkeiten nachvollziehbar dokumentiert.
Wie eine Zusammenarbeit beginnt
Eine gute rechtliche Beratung beginnt mit einem klaren Rahmen. Deshalb ist der Einstieg bewusst strukturiert.
- Erstkontakt
Sie schildern Ihr Anliegen in Stichpunkten — zunächst ohne vertrauliche Einzelheiten. Für eine erste Einordnung genügt regelmäßig eine kurze Beschreibung des Themas, der beteiligten Organisationen und der gewünschten Unterstützung.
- Kollisionsprüfung
Vor jeder inhaltlichen Beratung prüfe ich mögliche Interessenkollisionen. Erst danach können vertrauliche Informationen ausgetauscht und das Anliegen näher besprochen werden.
- Erstgespräch
Wir klären Ziel, Umfang, Dringlichkeit und den passenden Einstieg — insbesondere, ob eine punktuelle Prüfung, ein klar umrissenes Einstiegspaket oder eine laufende Beratung sinnvoll ist.
- Angebot und Mandat
Sie erhalten ein klares Angebot mit Leistungsumfang, Vergütungsgrundlage und nächstem Schritt. Ein Mandatsverhältnis entsteht erst mit ausdrücklicher Annahme.
- Bearbeitung und Ergebnis
Die Bearbeitung erfolgt digital, strukturiert und nachvollziehbar dokumentiert. Je nach Mandat erhalten Sie eine rechtliche Einschätzung, Vertragsfassung, Risikomatrix, Maßnahmenliste, Richtlinie, Stellungnahme oder Entscheidungsgrundlage.
Klarer Zuschnitt statt unklarer Beratungsumfang
Viele Mandate beginnen mit einer abgegrenzten ersten Prüfung. Dafür eignen sich insbesondere:
AI Governance Quick Check
Bestandsaufnahme eingesetzter oder geplanter KI-Systeme, erste rechtliche Einordnung, Risikofelder und priorisierte nächste Schritte.
DSMS Quick Scan
Standortbestimmung Ihres Datenschutzmanagements mit Blick auf Rollen, Prozesse, Dokumentation, Verträge und wesentliche Lücken.
Datenschutz- & KI-Policy-Paket
Praxistaugliche Richtlinien, Rollenmodelle, Nutzungsregeln und Dokumentationsbausteine für Organisationen, die schnell belastbare interne Vorgaben benötigen.
Hochschul-Compliance-Review
Prüfung von Strukturen, Verträgen und Prozessen in Forschung, Lehre und Hochschulverwaltung — mit konkreten Empfehlungen und Priorisierung.
Welches Feld betrifft Ihr Anliegen?
Oft greifen mehrere Themen ineinander. Entscheidend ist nicht die perfekte Einordnung vorab, sondern ein sauberer erster Einstieg — zunächst ohne vertrauliche Details.