München · Deutschland · International

Recht.
Datenschutz.
Künstliche
Intelligenz.

Ich verbinde juristische Präzision mit über 25 Jahren Erfahrung aus globalen Führungsrollen — als langjähriger globaler Datenschutzbeauftragter bei Siemens und als Senior Director Privacy, Data & AI Compliance bei Accenture. Heute begleite ich Unternehmen als unabhängiger Rechtsanwalt und Berater.

Schwerpunkte
  • DSGVO & Datenschutzrecht
  • EU AI Act Compliance
  • EU Data Act & Digitalpaket
  • Datenschutz-Folgenabschätzung
  • KI-Vertragsgestaltung
  • Behördenverfahren & DSB
  • Beirat & strategische Beratung
Leistungen

Was ich für Sie bewirken kann

Beratung auf dem Schnittpunkt von Recht und Technologie — von der strategischen Compliance-Architektur bis zum behördlichen Verfahren. Das Digitalpaket der EU (DSGVO, EU AI Act, EU Data Act, DGA, DSA, DMA) schafft einen Rechtsrahmen, der alle datenverarbeitenden Unternehmen betrifft.

01
DSGVO-Beratung

Umfassende Begleitung bei der datenschutzrechtlichen Gestaltung von Geschäftsprozessen, Einwilligungskonzepten und Auftragsverarbeitungsverträgen.

02
KI-Compliance

Risikoklassifizierung, Konformitätsbewertung und rechtliche Begleitung beim Einsatz von KI-Systemen nach dem EU AI Act und der DSGVO.

03
Datenschutz-Audits

Strukturierte Prüfung bestehender Verarbeitungstätigkeiten, Verzeichnisse und technisch-organisatorischer Maßnahmen mit Gap-Analyse und Maßnahmenplan.

04
Vertragsgestaltung

Datenschutzkonforme Vertragsklauseln, AVV nach Art. 28 DSGVO, Standardvertragsklauseln für Drittstaatentransfers, KI-Lizenzverträge sowie Datenzugangs- und -teilungsverträge nach dem EU Data Act.

05
Behördenverfahren

Vertretung gegenüber Datenschutzbehörden, Begleitung bei Bußgeldverfahren und Koordination bei grenzüberschreitenden Verfahren.

06
Beirat & strategische Beratung

Tätigkeit als Beirat, Aufsichtsrat oder strategischer Berater für Legal-Tech-, Datenschutz- und KI-Startups — von der Gründungsphase bis zur Skalierung.

Mandanten

Wer mich mandatiert

Finanzdienstleister
Banken, Hedgefonds und Asset Manager mit grenzüberschreitenden Compliance-Anforderungen.
Pharma & Life Sciences
Pharmaunternehmen und Forschungsorganisationen mit sensiblen Gesundheitsdaten und EU-Regulatorik.
Tech-Unternehmen
Start-ups und Scale-ups, die KI-Produkte entwickeln und dabei den EU AI Act sowie die DSGVO von Anfang an einhalten wollen — ich habe das erste umfassende KI-Compliance-Programm bei Accenture aufgebaut und bringe diese Erfahrung direkt ein.
Mittelstand & KMU
Unternehmen, die Datenschutz-Compliance als Wettbewerbsvorteil verstehen und strukturiert aufbauen möchten.
Institutionen
Universitäten, Forschungseinrichtungen und öffentliche Stellen beim datenschutzkonformen Einsatz von KI in Forschung und Verwaltung.
Erstgespräch

Sprechen wir über Ihr Anliegen

Das erste Orientierungsgespräch führe ich kostenlos und unverbindlich — telefonisch oder per Videokonferenz, auch kurzfristig verfügbar.

Florian Thoma / Über mich
Florian Thoma — Rechtsanwalt, Neubeuern
Rechtsanwalt · Neubeuern
Über mich

25+ Jahre globale
Datenschutz-Führung.

Ich bin Rechtsanwalt und einer der erfahrensten Datenschutz- und KI-Compliance-Experten im deutschsprachigen Raum. Meine Karriere umfasst mehr als 25 Jahre in globalen Führungsrollen bei Fortune-500-Unternehmen — als globaler Datenschutzbeauftragter bei Siemens und als Senior Director Privacy, Data & AI Compliance bei Accenture, einem der weltweit führenden Beratungsunternehmen.

Bei der Siemens AG habe ich von 2004 bis 2013 als globaler Datenschutzbeauftragter (Chief Privacy Officer) die weltweite Datenschutzorganisation des Konzerns aufgebaut und geleitet — als erster CPO, der Datenschutz bei Siemens auf globaler Ebene implementiert hat. Ich habe umfassende forensische und behördliche Untersuchungen aus datenschutzrechtlicher Sicht begleitet und die globale Datenschutzinfrastruktur des Konzerns geschaffen.

Bei Accenture habe ich als Senior Director das globale Datenschutzprogramm geleitet und zusätzlich ein umfassendes Data & AI Compliance-Programm aufgebaut — in Antizipation der KI-Regulierung und zur Unterstützung der Responsible-AI-Funktion. Dabei habe ich früh die Wechselwirkungen zwischen DSGVO, EU AI Act und dem entstehenden Digitalpaket der EU (EU Data Act, Data Governance Act, DSA, DMA) analysiert und in unternehmensweite Compliance-Architekturen übersetzt. Unter meiner Führung hat Accenture die ISO-27701-Zertifizierung des Datenschutzmanagementsystems erlangt und regulator-approved Binding Corporate Rules entwickelt.

Diese einzigartige Kombination aus juristischer Ausbildung, globaler Unternehmensverantwortung und technologischem Tiefenverständnis — von Blockchain über KI bis Cloud — bringe ich heute in die unabhängige Beratung von Unternehmen ein. Ich berate auf Deutsch, Englisch und Französisch.

  • Rechtsanwalt, Rechtsanwaltskammer München
  • CIPP/E · CIPP/US · CIPM · FIP · IAPP Fellow
  • Ehem. Mitglied des IAPP Board of Directors (2010–2014)
  • Ehem. Mitglied des IAPP European Advisory Board (2009–2014)
  • Stv. Vorsitzender Arbeitskreis Datenschutz, Bitkom e.V.
  • Ehem. Beirat der Stiftung Datenschutz
  • Studium der Rechtswissenschaften, Universität Regensburg
Expertise

Was mich auszeichnet

Globale Unternehmens­erfahrung
Über 25 Jahre Verantwortung für Datenschutz und KI-Compliance in globalen Konzernen — ich kenne die Herausforderungen von innen und auf Vorstandsebene.
Pionier der KI-Compliance
Als einer der ersten habe ich bei Accenture ein umfassendes Data & AI Compliance-Programm aufgebaut — lange bevor der EU AI Act in Kraft trat.
Internationales Netzwerk
Ehemaliges Board-Mitglied der IAPP, dem weltweit größten Datenschutz-Berufsverband. Direkte Verbindungen zu Aufsichtsbehörden, Regulierern und führenden Privacy-Experten weltweit.
Technologie-Tiefe
Fundierte Auseinandersetzung mit KI, Blockchain, Robotics und Cloud — ich übersetze technische Realitäten in rechtlich handhabbare Anforderungen und behalte dabei das gesamte EU-Digitalpaket im Blick: DSGVO, EU AI Act, EU Data Act, DGA, DSA und DMA.
Werdegang

Stationen

Seit 2014
Senior Director, Privacy, Data & AI Compliance
Accenture — Globale Leitung des Datenschutzprogramms und Aufbau des Data & AI Compliance-Programms. Geschäftsführer der deutschen Accenture GmbH. ISO-27701-Zertifizierung. Binding Corporate Rules.
2004 – 2013
Chief Data Protection Officer (globaler Datenschutzbeauftragter)
Siemens AG — Aufbau und Leitung der weltweiten Datenschutzorganisation. Erster globaler CPO bei Siemens. Begleitung forensischer und behördlicher Untersuchungen.
1998 – 2004
Rechtsabteilung — Counsel IT Products & IT Services
Siemens AG — Rechtliche Beratung der IT-Produkt- und IT-Services-Gruppe; Prokura in verschiedenen Siemens-Tochtergesellschaften.
1996 – 1998
Rechtsanwalt
Roessner Rechtsanwälte
bis 1996
Studium der Rechtswissenschaften
Universität Regensburg
Zertifizierungen & Funktionen
IAPP
CIPP/E · CIPP/US · CIPM
FIP · IAPP Fellow
IAPP Board
Board of Directors
2010–2014 · European Advisory Board 2009–2014
Bitkom
Stv. Vorsitzender
Arbeitskreis Datenschutz
Stiftung
Beirat
Deutsche Stiftung Datenschutz (ehem.)
Florian Thoma / Leistungen
Leistungen

Rechtsberatung für die digitale Ära

01 — Datenschutzrecht

DSGVO-Beratung

Praxisnahe und rechtssichere Umsetzung der DSGVO — von der Analyse bestehender Prozesse bis zur Gestaltung datenschutzkonformer Systeme und Verträge. Dabei behalte ich stets das gesamte Digitalpaket der EU im Blick: DSGVO, EU Data Act, Data Governance Act und ePrivacy-Verordnung greifen zunehmend ineinander.

  • Erstellung und Pflege von Verzeichnissen der Verarbeitungstätigkeiten (Art. 30 DSGVO)
  • Gestaltung von Einwilligungsmechanismen, Cookie-Konzepten und Datenschutzerklärungen
  • Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO und Standardvertragsklauseln
  • Beratung zu Betroffenenrechten und internem Beschwerdeverfahren
  • Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO
  • Schulung von Mitarbeitern und Führungskräften
02 — KI-Regulierung

KI-Compliance

Der EU AI Act bringt verbindliche Anforderungen für KI-Systeme ab 2025/2026. Ich helfe Ihnen, die richtigen Risikoklassen zu bestimmen und die erforderlichen Maßnahmen strukturiert umzusetzen.

  • Risikoklassifizierung von KI-Systemen nach Anhang I–III EU AI Act
  • Konformitätsbewertungsverfahren für Hochrisiko-KI-Systeme
  • Technische Dokumentationspflichten und Risikoregister
  • Datenschutzrechtliche Begleitung beim Training mit personenbezogenen Daten
  • DSGVO-Impact-Analyse für automatisierte Entscheidungen (Art. 22 DSGVO)
  • Laufende Compliance-Begleitung für KI-Anbieter und -Betreiber
  • Wechselwirkungen zwischen EU AI Act, EU Data Act und DSGVO
03 — Compliance-Prüfung

Datenschutz-Audits

Ein strukturiertes Datenschutz-Audit schafft Klarheit über den Ist-Zustand und liefert einen priorisierten Maßnahmenplan — die Grundlage für nachhaltige Compliance.

  • Bestandsaufnahme aller Verarbeitungstätigkeiten und Datenflüsse
  • Prüfung technisch-organisatorischer Maßnahmen (TOMs) nach Art. 32 DSGVO
  • Lieferanten- und Dienstleister-Screening (Third-Party-Risk)
  • Gap-Analyse mit Priorisierung nach rechtlichem Risikopotenzial
  • Detaillierter Abschlussbericht mit Handlungsempfehlungen
  • Follow-up und Maßnahmenumsetzung auf Wunsch
04 — Vertragsrecht

Vertragsgestaltung

Datenschutzrechtlich tragfähige Verträge sind das Fundament sicherer Datenverarbeitung — im Konzern, mit Dienstleistern und im internationalen Datentransfer.

  • Auftragsverarbeitungsverträge (AVV) maßgeschneidert nach Ihrer Struktur
  • EU-Standardvertragsklauseln für Drittstaatentransfers
  • KI-Lizenz- und Nutzungsverträge für Anbieter und Anwender
  • Data-Sharing-Agreements und Joint-Controller-Vereinbarungen
  • Datenschutzklauseln für M&A-Transaktionen und Due Diligence
  • Datenzugangs- und Datennutzungsverträge nach dem EU Data Act
  • Verhandlungsbegleitung und juristische Review fremder Vertragswerke
05 — Behördenverfahren

Behördenverfahren & Enforcement

Bei Anfragen, Prüfungen und Bußgeldverfahren von Datenschutzbehörden vertreten und begleite ich Mandanten mit Erfahrung aus grenzüberschreitenden Verfahren.

  • Vertretung gegenüber Datenschutzbehörden (BayLDA, BfDI u.a.)
  • Reaktion auf Beschwerden und behördliche Anfragen
  • Strategie und Verhandlungsführung in Bußgeldverfahren
  • Koordination mit ausländischen Datenschutzbehörden (CNIL, ICO u.a.)
  • Meldepflichten bei Datenpannen (Art. 33 / 34 DSGVO)
  • Gerichtliche Vertretung in datenschutzrechtlichen Streitigkeiten
06 — Beirat & Strategie

Beirat & strategische Beratung

Legal-Tech-, Datenschutz- und KI-Startups brauchen mehr als einen Anwalt — sie brauchen eine strategische Stimme mit juristischer und technologischer Substanz. Ich übernehme Beirats- und Aufsichtsratsmandate sowie die Rolle des strategischen Beraters für Gründerteams und Investoren.

  • Beirats- und Aufsichtsratsmandate in Legal-Tech- und KI-Unternehmen
  • Strategische Beratung zur regulatorischen Positionierung und Produktgestaltung
  • Begleitung in Finanzierungsrunden: Investor Due Diligence, Term-Sheet-Review
  • Aufbau von Compliance-Strukturen als Wettbewerbsvorteil in frühen Phasen
  • Brücke zwischen technischen Teams, Gründern und regulatorischen Anforderungen
  • Netzwerkzugang zu Behörden, Kanzleien und institutionellen Investoren
Florian Thoma / News & Publikationen
Aktuelles

News & Publikationen

Diese Seite befindet sich derzeit in Überarbeitung. Bitte schauen Sie bald wieder vorbei.

Florian Thoma / Kontakt
Kontakt

Lassen Sie uns sprechen

Das erste Gespräch ist unverbindlich und kostenlos. Nutzen Sie das Kontaktformular oder sprechen Sie mich direkt an.

E-Mail
post@florian-thoma.com
Telefon / Fax
T +49 8035 9554655
F +49 8035 9554657
📍
Anschrift
Am Bürgl 25
D-83115 Neubeuern
🌐
Website
www.florian-thoma.com
Erreichbarkeit
Mo–Fr 9–18 Uhr
Dringendes außerhalb der Bürozeiten nach Vereinbarung
Sprachen
Deutsch English Français

Mit dem Absenden dieses Formulars erklären Sie sich einverstanden, dass Ihre Daten zur Bearbeitung Ihrer Anfrage verwendet werden. Näheres in der .

Florian Thoma / Impressum
Rechtliche Angaben

Impressum

Angaben gemäß § 5 TMG

Florian Thoma
Rechtsanwalt
Am Bürgl 25
D-83115 Neubeuern

Telefon: +49 8035 9554655
Fax: +49 8035 9554657
E-Mail: post@florian-thoma.com
Web: www.florian-thoma.com

Berufsbezeichnung und berufsrechtliche Regelungen

Berufsbezeichnung: Rechtsanwalt (verliehen in der Bundesrepublik Deutschland)

Zuständige Kammer: Rechtsanwaltskammer München, Tal 33, 80331 München, www.rak-muenchen.de

Es gelten folgende berufsrechtliche Regelungen: Bundesrechtsanwaltsordnung (BRAO), Rechtsanwaltsvergütungsgesetz (RVG), Berufsordnung für Rechtsanwälte (BORA), Fachanwaltsordnung (FAO). Die Regelungen sind zugänglich über: www.brak.de

Streitschlichtung

Die Europäische Kommission stellt eine Plattform zur Online-Streitbeilegung (OS) bereit: https://ec.europa.eu/consumers/odr. Ich bin nicht bereit oder verpflichtet, an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen.

Haftung für Inhalte

Die Inhalte dieser Website wurden mit größter Sorgfalt erstellt. Für die Richtigkeit, Vollständigkeit und Aktualität der Inhalte wird keine Gewähr übernommen. Die Inhalte stellen keine Rechtsberatung dar.

Florian Thoma / Datenschutzerklärung
Rechtliche Angaben

Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer datenschutzrechtlicher Vorschriften ist:

Florian Thoma
Rechtsanwalt
Am Bürgl 25
D-83115 Neubeuern
Telefon: +49 8035 9554655
E-Mail: post@florian-thoma.com
Web: www.florian-thoma.com

2. Keine Tracker, Cookies oder Analyse-Tools

Diese Website verzichtet vollständig auf den Einsatz von Tracking-Technologien, Analyse-Diensten (wie Google Analytics, Matomo o.Ä.), Social-Media-Plugins und Werbe-Netzwerken. Es werden keine Cookies gesetzt — weder technisch notwendige noch optionale. Es findet kein Tracking des Nutzerverhaltens statt, und es werden keine Daten an Dritte zu Werbezwecken übermittelt.

3. Server-Logfiles

Der Hosting-Provider dieser Website speichert beim Abruf jeder Seite automatisch Informationen in sogenannten Server-Logfiles. Dabei werden folgende Daten erfasst: IP-Adresse des anfragenden Geräts, Datum und Uhrzeit des Abrufs, Name und URL der abgerufenen Datei, Referrer-URL (die Seite, von der aus der Aufruf erfolgte), verwendeter Browser und Betriebssystem sowie HTTP-Statuscode.

Die Verarbeitung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen). Das berechtigte Interesse besteht im ordnungsgemäßen Betrieb, der Sicherheit und der Stabilität der Website sowie in der Möglichkeit, Angriffe oder Missbrauch erkennen und abwehren zu können. Die Logfiles werden nach spätestens 30 Tagen automatisch gelöscht und nicht mit anderen Daten zusammengeführt.

4. Kontaktformular, E-Mail- und Telefonkontakt

Wenn Sie über das Kontaktformular oder per E-Mail mit mir in Verbindung treten, werden die dabei übermittelten personenbezogenen Daten (insbesondere Name, E-Mail-Adresse und Inhalt Ihrer Nachricht) gespeichert. Die Verarbeitung erfolgt:

— zur Bearbeitung Ihrer konkreten Anfrage auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Erfüllung eines Vertrags oder Durchführung vorvertraglicher Maßnahmen), soweit Ihre Anfrage auf die Begründung eines Mandatsverhältnisses gerichtet ist;
— im Übrigen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen), namentlich das Interesse an der Beantwortung von Anfragen und der Pflege von Geschäftskontakten.

Bei telefonischer Kontaktaufnahme speichere ich Ihre Kontaktdaten und andere — z. B. mandatsbezogene — Daten, die Sie übermitteln. Ihre mandatsbezogenen Angaben unterliegen meiner beruflichen Schweigepflicht.

Die Daten werden nach abschließender Bearbeitung Ihrer Anfrage gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten (insbesondere handels- und steuerrechtliche Aufbewahrungsfristen gemäß §§ 147 AO, 257 HGB) dem entgegenstehen.

5. Mandatsbezogene Datenverarbeitung

Im Rahmen der Anbahnung und Durchführung von Mandatsverhältnissen verarbeite ich personenbezogene Daten auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO (Erfüllung rechtlicher Verpflichtungen, insbesondere anwaltlicher Aufbewahrungs- und Dokumentationspflichten). Näheres regelt die Mandatsvereinbarung.

6. Ihre Rechte nach der DSGVO

Sie haben gegenüber mir als Verantwortlichem folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft darüber verlangen, ob und welche personenbezogenen Daten ich über Sie verarbeite.
Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
Recht auf Löschung (Art. 17 DSGVO): Sie können unter bestimmten Voraussetzungen die Löschung Ihrer Daten verlangen.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung verlangen.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten, die auf Art. 6 Abs. 1 lit. f DSGVO beruht, jederzeit widersprechen, wenn dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben.

Zur Geltendmachung Ihrer Rechte wenden Sie sich bitte an: post@florian-thoma.com

7. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch mich zu beschweren. Die für mich zuständige Aufsichtsbehörde ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Telefon: +49 981 180093-0
E-Mail: poststelle@lda.bayern.de
www.lda.bayern.de

8. Aktualität dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig. Sie kann bei Änderungen der Website oder der rechtlichen Rahmenbedingungen angepasst werden. Die jeweils aktuelle Fassung ist stets unter diesem Link abrufbar.

Munich · Germany · International

Law.
Privacy.
Artificial
Intelligence.

I combine legal precision with over 25 years of global leadership experience — as longtime global Chief Privacy Officer at Siemens and as Senior Director Privacy, Data & AI Compliance at Accenture. Today I advise companies as an independent Rechtsanwalt and consultant.

Areas of Practice
  • GDPR & Data Protection Law
  • EU AI Act Compliance
  • EU Data Act & Digital Package
  • Data Protection Impact Assessments
  • AI Contract Drafting
  • Regulatory Proceedings & DPAs
  • Advisory Board & Strategic Consulting
Services

What I can do for you

Advisory at the intersection of law and technology — from strategic compliance architecture to regulatory proceedings. The EU's Digital Package (GDPR, EU AI Act, EU Data Act, DGA, DSA, DMA) creates a regulatory framework that affects every data-processing organisation.

01
GDPR Advisory

Comprehensive support in designing data-protection-compliant business processes, consent frameworks, and data processing agreements — always with the full EU Digital Package in view.

02
AI Compliance

Risk classification, conformity assessment, and legal guidance for AI systems under the EU AI Act and GDPR — including the interplay with the EU Data Act.

03
Data Protection Audits

Structured review of existing processing activities, records, and technical-organisational measures — with gap analysis and a prioritised action plan.

04
Contract Drafting

Data-protection-compliant contract clauses, DPAs under Art. 28 GDPR, standard contractual clauses for third-country transfers, AI licence agreements, and data-sharing contracts under the EU Data Act.

05
Regulatory Proceedings

Representation before data protection authorities, management of enforcement proceedings and fines, and coordination with foreign DPAs (CNIL, ICO, etc.).

06
Advisory & Strategic Consulting

Advisory board and supervisory board mandates, strategic positioning of Legal Tech, data protection and AI start-ups — from seed stage to scale-up.

Clients

Who I advise

Financial Services
Banks, hedge funds and asset managers with cross-border compliance requirements.
Pharma & Life Sciences
Pharmaceutical companies and research organisations handling sensitive health data under EU regulation.
Tech Companies
Start-ups and scale-ups developing AI products who want to embed EU AI Act and GDPR compliance from day one — I built the first comprehensive AI Compliance programme at Accenture.
Mid-Market
Companies that view data-protection compliance as a competitive advantage and want to build it systematically.
Institutions
Universities, research organisations and public bodies on the data-protection-compliant use of AI in research and administration.
Initial Consultation

Let's talk about your matter

I offer a free, no-obligation initial consultation — by phone or video call, often at short notice.

Florian Thoma / About
Florian Thoma — Rechtsanwalt, Neubeuern
Rechtsanwalt · Neubeuern
About

25+ Years of Global
Privacy Leadership.

I am a Rechtsanwalt and one of the most experienced data protection and AI compliance experts in the German-speaking world. My career spans more than 25 years in global leadership roles at Fortune 500 companies — as global Chief Privacy Officer at Siemens and as Senior Director Privacy, Data & AI Compliance at Accenture, one of the world's leading professional services firms.

At Siemens AG I served from 2004 to 2013 as global Chief Privacy Officer, building and leading the company's worldwide data protection organisation — as the first CPO to implement privacy governance at Siemens on a global scale. I managed extensive forensic and regulatory investigations from a data protection perspective and created the group's global privacy infrastructure.

At Accenture I led the global data protection programme as Senior Director and additionally built a comprehensive Data & AI Compliance programme — anticipating the coming AI regulation and supporting the Responsible AI function. I early on analysed the interplay between GDPR, EU AI Act, and the emerging EU Digital Package (EU Data Act, Data Governance Act, DSA, DMA) and translated them into enterprise-wide compliance architectures. Under my leadership Accenture obtained ISO 27701 certification of its privacy management system and developed regulator-approved Binding Corporate Rules.

This unique combination of legal training, global corporate responsibility, and deep technology understanding — from blockchain and AI to cloud — is what I bring to independent advisory work today. I advise in German, English and French.

  • Rechtsanwalt, Munich Bar Association (Rechtsanwaltskammer München)
  • CIPP/E · CIPP/US · CIPM · FIP · IAPP Fellow
  • Former Member, IAPP Board of Directors (2010–2014)
  • Former Member, IAPP European Advisory Board (2009–2014)
  • Deputy Chair, Data Protection Working Group, Bitkom e.V.
  • Former Advisory Board Member, Deutsche Stiftung Datenschutz
  • Law degree, University of Regensburg
Expertise

What sets me apart

Global Corporate Experience
Over 25 years of accountability for privacy and AI compliance in global corporations — I know the challenges from the inside and at board level.
AI Compliance Pioneer
One of the first to build a comprehensive Data & AI Compliance programme at Accenture — long before the EU AI Act entered into force.
International Network
Former board member of the IAPP, the world's largest privacy professional association. Direct connections to regulators, supervisory authorities, and leading privacy experts worldwide.
Technology Depth
Deep engagement with AI, blockchain, robotics and cloud — I translate technical realities into legally actionable requirements across the full EU Digital Package: GDPR, EU AI Act, EU Data Act, DGA, DSA and DMA.
Career

Career Highlights

Since 2014
Senior Director, Privacy, Data & AI Compliance
Accenture — Global privacy programme leadership and creation of the Data & AI Compliance programme. Managing Director of Accenture GmbH Germany. ISO 27701 certification. Binding Corporate Rules.
2004 – 2013
Chief Privacy Officer (Global Head of Data Protection)
Siemens AG — Built and led the worldwide data protection organisation. First global CPO at Siemens. Managed forensic and regulatory investigations.
1998 – 2004
Counsel, IT Products & IT Services
Siemens AG — Legal advice to the IT products and services division; Prokura in various Siemens subsidiaries.
1996 – 1998
Rechtsanwalt
Roessner Rechtsanwälte
Until 1996
Law Studies
University of Regensburg
Certifications & Roles
IAPP
CIPP/E · CIPP/US · CIPM
FIP · IAPP Fellow
IAPP Board
Board of Directors
2010–2014 · European Advisory Board 2009–2014
Bitkom
Deputy Chair
Data Protection Working Group
Foundation
Advisory Board
Deutsche Stiftung Datenschutz (former)
Florian Thoma / Services
Services

Legal advisory for the digital era

01 — Data Protection Law

GDPR Advisory

Practical and legally sound implementation of the GDPR — from analysing existing processes to designing data-protection-compliant systems and contracts. I always keep the full EU Digital Package in view: GDPR, EU Data Act, Data Governance Act, and the ePrivacy Regulation increasingly interact.

  • Records of Processing Activities (Art. 30 GDPR) — creation and ongoing maintenance
  • Consent mechanisms, cookie frameworks, and privacy notices
  • Data Processing Agreements (Art. 28 GDPR) and Standard Contractual Clauses
  • Data Subject Rights procedures and complaint management
  • Data Protection Impact Assessments (DPIA) under Art. 35 GDPR
  • Staff and management training
02 — AI Regulation

AI Compliance

The EU AI Act imposes binding requirements for AI systems from 2025/2026. I help you determine the right risk categories and implement the required measures in a structured way — including the interplay with the EU Data Act and GDPR.

  • Risk classification of AI systems under Annexes I–III EU AI Act
  • Conformity assessment procedures for high-risk AI systems
  • Technical documentation obligations and risk registers
  • Data protection guidance for training on personal data
  • GDPR impact analysis for automated decisions (Art. 22 GDPR)
  • Interplay between EU AI Act, EU Data Act, and GDPR
  • Ongoing compliance support for AI providers and deployers
03 — Compliance Review

Data Protection Audits

A structured data protection audit creates clarity about the current state and delivers a prioritised action plan — the foundation for sustainable compliance.

  • Inventory of all processing activities and data flows
  • Review of technical and organisational measures (TOMs) under Art. 32 GDPR
  • Vendor and service-provider screening (third-party risk)
  • Gap analysis with prioritisation by legal risk potential
  • Detailed final report with recommendations
  • Optional follow-up and measure implementation
04 — Contract Law

Contract Drafting

Data-protection-sound contracts are the foundation of secure data processing — within a group, with service providers, and in international data transfers.

  • Data Processing Agreements (DPAs) tailored to your structure
  • EU Standard Contractual Clauses for third-country transfers
  • AI licence and usage agreements for providers and deployers
  • Data Access and Data Sharing Agreements under the EU Data Act
  • Data sharing agreements and joint controller arrangements
  • Data protection clauses for M&A transactions and due diligence
  • Negotiation support and legal review of third-party contracts
05 — Regulatory Proceedings

Regulatory Proceedings & Enforcement

In queries, investigations, and fine proceedings from data protection authorities, I represent and support clients drawing on experience from cross-border proceedings.

  • Representation before data protection authorities (BayLDA, BfDI, etc.)
  • Response to complaints and regulatory requests
  • Strategy and negotiation in fine proceedings
  • Coordination with foreign data protection authorities (CNIL, ICO, etc.)
  • Data breach notification obligations (Art. 33 / 34 GDPR)
  • Litigation in data protection disputes
06 — Advisory & Strategy

Advisory Board & Strategic Consulting

Legal Tech, data protection and AI start-ups need more than a lawyer — they need a strategic voice with legal and technological substance. I take on advisory board and supervisory board mandates as well as the role of strategic adviser for founding teams and investors.

  • Advisory board and supervisory board mandates in Legal Tech and AI companies
  • Strategic advice on regulatory positioning and product design
  • Fundraising support: investor due diligence, term-sheet review
  • Building compliance structures as a competitive advantage at early stages
  • Bridge between technical teams, founders, and regulatory requirements
  • Network access to regulators, law firms, and institutional investors
Florian Thoma / News & Publications
News

News & Publications

This section is currently being updated. Please check back soon.

Florian Thoma / Contact
Contact

Let's talk

The first conversation is free and without obligation. Use the contact form or reach out directly.

Email
post@florian-thoma.com
Phone / Fax
T +49 8035 9554655
F +49 8035 9554657
📍
Address
Am Bürgl 25
D-83115 Neubeuern, Germany
🌐
Website
www.florian-thoma.com
Languages
Deutsch English Français

By submitting this form you agree that your data will be used to process your enquiry. See the for details.

Florian Thoma / Legal Notice
Legal Information

Legal Notice

Information pursuant to § 5 TMG (German Telemedia Act)

Florian Thoma
Rechtsanwalt
Am Bürgl 25
D-83115 Neubeuern, Germany

Phone: +49 8035 9554655
Fax: +49 8035 9554657
Email: post@florian-thoma.com
Web: www.florian-thoma.com

Professional title and regulatory framework

Professional title: Rechtsanwalt (admitted in the Federal Republic of Germany)

Competent Bar Association: Rechtsanwaltskammer München, Tal 33, 80331 Munich, www.rak-muenchen.de

The following professional rules apply: Bundesrechtsanwaltsordnung (BRAO), Rechtsanwaltsvergütungsgesetz (RVG), Berufsordnung für Rechtsanwälte (BORA), Fachanwaltsordnung (FAO). Available at: www.brak.de

Dispute resolution

The European Commission provides a platform for online dispute resolution (ODR): https://ec.europa.eu/consumers/odr. I am neither willing nor obliged to participate in dispute resolution proceedings before a consumer arbitration board.

Liability for content

The content of this website has been compiled with the greatest care. No warranty is given as to the accuracy, completeness or currency of the content. The content does not constitute legal advice.

Florian Thoma / Privacy Policy
Legal Information

Privacy Policy

1. Controller

The controller within the meaning of the General Data Protection Regulation (GDPR) and other data protection legislation is:

Florian Thoma
Rechtsanwalt
Am Bürgl 25
D-83115 Neubeuern, Germany
Phone: +49 8035 9554655
Email: post@florian-thoma.com
Web: www.florian-thoma.com

2. No trackers, cookies or analytics

This website makes no use whatsoever of tracking technologies, analytics services (such as Google Analytics or Matomo), social-media plugins or advertising networks. No cookies are set — neither technically necessary nor optional ones. No tracking of user behaviour takes place, and no data is passed to third parties for advertising purposes.

3. Server log files

The hosting provider automatically stores information in server log files each time a page is accessed. The following data is recorded: IP address of the requesting device, date and time of access, name and URL of the file retrieved, referrer URL, browser and operating system, and HTTP status code.

This processing is carried out on the basis of Art. 6(1)(f) GDPR (legitimate interests). The legitimate interest lies in the proper operation, security and stability of the website and in the ability to detect and defend against attacks or misuse. Log files are automatically deleted after a maximum of 30 days and are not combined with other data.

4. Contact form, email and telephone contact

When you contact me via the contact form, by email or by telephone, the personal data transmitted (in particular name, email address, content of your message) will be stored. Processing takes place:

— to handle your specific enquiry on the basis of Art. 6(1)(b) GDPR (performance of a contract or pre-contractual measures), insofar as your enquiry is directed at establishing a mandate;
— otherwise on the basis of Art. 6(1)(f) GDPR (legitimate interests), namely the interest in responding to enquiries and maintaining business contacts.

If you contact me by telephone I will store your contact details and any other data — e.g. matter-related information — that you provide. Any information relating to a mandate is subject to my professional duty of confidentiality.

Data will be deleted after your enquiry has been dealt with, unless statutory retention obligations (in particular commercial and tax law retention periods under §§ 147 AO, 257 HGB) preclude deletion.

5. Mandate-related data processing

In the context of establishing and conducting mandates, I process personal data on the basis of Art. 6(1)(b) GDPR (performance of a contract) and Art. 6(1)(c) GDPR (compliance with legal obligations, in particular professional retention and documentation obligations). Further details are set out in the mandate agreement.

6. Your rights under the GDPR

You have the following rights in relation to your personal data:

Right of access (Art. 15 GDPR)
Right to rectification (Art. 16 GDPR)
Right to erasure (Art. 17 GDPR)
Right to restriction of processing (Art. 18 GDPR)
Right to data portability (Art. 20 GDPR)
Right to object (Art. 21 GDPR): you may object at any time to processing based on Art. 6(1)(f) GDPR where grounds exist relating to your particular situation.

To exercise your rights please contact: post@florian-thoma.com

7. Right to lodge a complaint

You have the right to lodge a complaint with a data protection supervisory authority. The supervisory authority competent for me is:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach, Germany
Phone: +49 981 180093-0
Email: poststelle@lda.bayern.de
www.lda.bayern.de

8. Currency of this Privacy Policy

This Privacy Policy is currently valid. It may be updated if the website or the legal framework changes. The current version is always available at this link.