Partnerin
Anna Cardillo
Anna berät Unternehmen und Behörden im Datenschutz- und Informationssicherheitsrecht. Ihr besonderer Schwerpunkt liegt auf der Prüfung digitaler Dienstleister- und Lieferketten, insbesondere von Auftragsverarbeitern und deren Subunternehmen – auch im Kontext neuer regulatorischer Anforderungen wie NIS2 und dem Cyber Resilience Act. Als langjährige externe Datenschutzbeauftragte verbindet Anna strategische Beratung mit umfassender praktischer Umsetzungserfahrung. Die Wirtschaftswoche zeichnete sie mehrfach als Top-Anwältin für Datenschutzrecht (2023, 2024, 2025) aus; zudem wurde Anna im Ranking „Top Anwälte 2026“ für IT-Recht des F.A.Z. Instituts empfohlen.
Partnerin
Anna Cardillo
Anna ist eine anerkannte Beraterin für Unternehmen und Behörden im Bereich des Datenschutz- und Informationssicherheitsrechts. Sie ist spezialisiert auf strategische Beratung, Konfliktlösung und digitale Transformation und wurde von der Wirtschaftswoche als Top-Anwältin für Datenschutzrecht in den Jahren 2023 und 2024 ausgezeichnet.
Zusatzqualifikationen
- Business Coach
- Datenschutz-Auditorin
- Datenschutzbeauftragte
- Beraterin für Datenschutzmanagementsysteme
Werdegang
- Studium der Rechtswissenschaften an der Universität Hamburg (Erstes Staatsexamen)
- Mitglied der Geschäftsleitung eines Hamburger Bauträgers
- Referendariat in Hamburg
- Zulassung als Rechtsanwältin seit 2003 und seitdem als solche tätig
- Geschäftsführende Gesellschafterin der PrivCom Datenschutz GmbH in Hamburg
- Zertifikat Fachanwaltslehrgang Informationstechnologierecht
- In 2018 Gründung der Anna Cardillo Management Consulting in Berlin, die externe Datenschutzbeauftragte sowie externe Datenschutzmanager:innen stellt, bei der Implementierung von Datenschutzmanagementsystemen unterstützt, Datenschutzbeauftragte coacht und trainiert, Datenschutzaudits durchführt und Datenschutzschulungen durchführt
- 2019 bis 2024 Of Counsel bei einer führenden IT-& IP-Rechts Boutique-Kanzlei
Beratungsschwerpunkte
Anna berät seit 2006 Unternehmen und Behörden im Datenschutz-, IT- und Informationssicherheitsrecht. Ihr Schwerpunkt liegt auf der strategischen Beratung an der Schnittstelle von Recht, Technologie und Organisation.
Ein besonderer Fokus ihrer Tätigkeit liegt auf der Prüfung von Dienstleistern und digitalen Lieferketten, insbesondere von Auftragsverarbeitern und deren Subunternehmen. Anna unterstützt Unternehmen bei der rechtlichen und organisatorischen Absicherung komplexer IT-Dienstleistungsstrukturen – von der Vertragsgestaltung über Audit- und Prüfprozesse bis zur Umsetzung regulatorischer Anforderungen. Dieses Thema gewinnt zunehmend an Bedeutung, insbesondere durch aktuelle Entwicklungen in der datenschutzrechtlichen Bußgeldpraxis und Rechtsprechung sowie durch neue regulatorische Anforderungen aus NIS2, dem Cyber Resilience Act und anderen europäischen Digitalregulierungen.
Durch ihre langjährige Tätigkeit als externe Datenschutzbeauftragte verfügt Anna über umfassende praktische Erfahrung in der Organisation und Umsetzung von Datenschutz- und Informationssicherheitsstrukturen in Unternehmen. Diese Perspektive ermöglicht es ihr, rechtliche Anforderungen nicht nur juristisch zu bewerten, sondern auch pragmatisch und organisatorisch umsetzbar zu gestalten.
Anna begleitet Organisationen zudem bei der Implementierung und Governance digitaler Prozesse, der Integration von Datenschutz und Informationssicherheit in Unternehmensstrukturen sowie bei Konflikt- und Krisensituationen. Mandanten schätzen ihre Fähigkeit, rechtliche Anforderungen mit unternehmerischen und technischen Realitäten zu verbinden.
Sie verfügt über langjährige Führungserfahrung, eine ausgeprägte unternehmerische Perspektive und eine Zusatzausbildung als Business Coach.
Anna ist regelmäßig Referentin sowie Podcast- und Interviewgast und publiziert in juristischen Fachzeitschriften, Kommentaren und Handbüchern, insbesondere zu Themen an der Schnittstelle von Informationssicherheit, Datenschutz und digitaler Regulierung.
Sie berät Mandanten auf Deutsch, Englisch und Türkisch.
Anna wurde 2023 und 2024 von der Wirtschaftswoche als Top-Anwältin für Datenschutzrecht ausgezeichnet. Zudem wurde sie im Ranking „Top Anwälte 2026“ des F.A.Z. Instituts empfohlen, das auf einer umfassenden Analyse von Mandantenbewertungen und Kollegenempfehlungen basiert.
Veröffentlichungen (Auszug)
- 2025
- Vorgehensmodell zur generischen DSFA im Kontext der Mitarbeiter:innen-Überwachung, DuD – Datenschutz und Datensicherheit, 2025, 468-473 (Mitautorenschaft mit Martin Rost)
- 2025
- „Im Verborgenen überwacht? Ein Kommentar und Praxisbericht“, Datenschutz-Berater 2025, 13-16
- 2024
- in: Auer-Reinsdorff/Conrad (Hrsg.), C.H. Beck Verlag, Handbuch IT- und Datenschutzrecht, 4. Auflage, im Erscheinen (Mitautorenschaft)
- 2024
- Datenschutzrechtliche Dienstleisterkontrolle|ISO/IEC 27001-Zertifikat – Irrtümer und Chancen, in: Sowa (Hrsg.), Springer Fachmedien
- 2024
- IT-Prüfung, Datenschutzmanagement und KI-Audit. Neue Ansätze für die Arbeit der IT-Revision. Im Erscheinen (Mitautorenschaft)
- 2024
- Der SDM-Würfel für Jurist*innen, DuD – Datenschutz und Datensicherheit, 2024, 646-650 (Mitautorenschaft mit Martin Rost)
- 2023
- Koordinierte Prüfung zu Stellung und Aufgaben von Datenschutzbeauftragten, Datenschutz-Berater, 2023, 142-145 (Mitautorenschaft mit Guido Hansch, Wolfgang Lehna und Heiko Markus Roth)
- 2021
- Zertifikat nach ISO/IEC 27001: Wie können Auftragsverarbeiter beim Verantwortlichen punkten?, Datenschutz-Berater 2021, 38-41 (Mitautorenschaft mit Andreas Bethke)
- 2021
- Bußgeldbescheid des ICO gegen Marriott: PCI DSS und trotzdem nicht sicher?, Datenschutz-Berater, 2021, 104-107 (Mitautorenschaft mit Manuel Atug)
- 2021
- Der „nichtverhandelbare“ Hauptteil der ISO/IEC 27001 und die Bedeutung für den Datenschutz, Datenschutz-Berater 2020, 273-276 (Mitautorenschaft mit Andreas Bethke)
- 2020
- Zertifikat nach ISO/IEC 27001: Hinreichende Garantie des Auftragsverarbeiters im Sinne von Art. 28 Abs. 1 DSGVO?, Datenschutz-Berater 2020, 200-202
- 2017
- Richtlinien 10010 zum strukturierten Dateschutzmanagement, VdS Schadenverhütung GmbH, 2017, Verlag (Mitautorenschaft)
Vorträge (Auszug)
- 2024
- Datenschutzkonferenz Düsseldorf (Datenschutz-Berater) 2024: „Sicherheit? Fehlanzeige! Wie Auftragsverarbeiter bei den Nachweisen versagen“
- 2024
- Deutscher Anwaltstag 2024: Beschäftigtendatenschutz und Übermittlung in internationalen Konzernen
- 2024
- BvD Herbstkonferenz 2024: Zulässigkeit von Protokollierungen – ein Blick auf den Datenschutz in der IT
- 2023
- 12. Frankfurter IT-Rechtstag: Hinweisgeberschutzgesetz und die datenschutzrechtlichen Implikationen
Interviews / Podcasts
- c’t / heise „Auslegungssache“ (Episode 123): „Neue Dimensionen der Mitarbeiterüberwachung“
https://www.heise.de/hintergrund/Auslegungssache-123-Neue-Dimensionen-der-Mitarbeiterueberwachung-10181275.html - Rechtsanwalter & Lebenskünstner – der Compliance-Podcast von Schulte Rechtsanwälte (S04E11): „Zweiter Anlauf zum NIS-2-Umsetzungsgesetz“
https://podcasts.apple.com/ca/podcast/s04e11-zweiter-anlauf-zum-nis-2-umsetzungsgesetz/id1649563379?i=1000721006413 - c’t / heise „Auslegungssache“: „Jahresrückblick 2025: Datenschutz unter Beschuss“
https://ct-auslegungssache.podigee.io/149-new-episode - Podcast Datenschutz-Guru: ISO 27001 als Freifahrtschein für Auftragsverarbeiter – Im Gespräch mit Rechtsanwältin Anna Cardillo
https://podcasts.apple.com/us/podcast/iso-27001-als-freifahrtschein-f%C3%BCr-auftragsverarbeiter/id1034321062?i=1000491147023 - Heise Online: Auslegungssache: Datenschutz leben lernen.
https://www.heise.de/hintergrund/Auslegungssache-33-Datenschutz-leben-lernen-5069736.html - Stiftung Datenschutz: Datenschutz am Mittag – Spannungsfall(e) Datenschutzbeauftragte?
https://stiftungdatenschutz.org/veranstaltungen/unsere-veranstaltungen-detailansicht/spannungsfall-datenschutzbeauftragte-388 - Im Interview: Anna Cardillo. Mit Michael Rohrlich und Marc Oliver Thoma
https://www.youtube.com/watch?v=afofNLacOqY
Lehre
Anna ist Lehrbeauftragte an der Universität Bamberg, Lehrstuhl Privatsphäre und Sicherheit in Informationssystemen (Modul Datenschutz)
Zusatzqualifikationen
- Business Coach
- Datenschutz-Auditorin
- Datenschutzbeauftragte
- Beraterin für Datenschutzmanagementsysteme
Werdegang
- Studium der Rechtswissenschaften an der Universität Hamburg (Erstes Staatsexamen)
- Mitglied der Geschäftsleitung eines Hamburger Bauträgers
- Referendariat in Hamburg
- Zulassung als Rechtsanwältin seit 2003 und seitdem als solche tätig
- Geschäftsführende Gesellschafterin der PrivCom Datenschutz GmbH in Hamburg
- Zertifikat Fachanwaltslehrgang Informationstechnologierecht
- In 2018 Gründung der Anna Cardillo Management Consulting in Berlin, die externe Datenschutzbeauftragte sowie externe Datenschutzmanager:innen stellt, bei der Implementierung von Datenschutzmanagementsystemen unterstützt, Datenschutzbeauftragte coacht und trainiert, Datenschutzaudits durchführt und Datenschutzschulungen durchführt
- 2019 bis 2024 Of Counsel bei einer führenden IT-& IP-Rechts Boutique-Kanzlei
Beratungsschwerpunkte
Anna berät seit 2006 Unternehmen und Behörden im Datenschutz-, IT- und Informationssicherheitsrecht. Ihr Schwerpunkt liegt auf der strategischen Beratung an der Schnittstelle von Recht, Technologie und Organisation.
Ein besonderer Fokus ihrer Tätigkeit liegt auf der Prüfung von Dienstleistern und digitalen Lieferketten, insbesondere von Auftragsverarbeitern und deren Subunternehmen. Anna unterstützt Unternehmen bei der rechtlichen und organisatorischen Absicherung komplexer IT-Dienstleistungsstrukturen – von der Vertragsgestaltung über Audit- und Prüfprozesse bis zur Umsetzung regulatorischer Anforderungen. Dieses Thema gewinnt zunehmend an Bedeutung, insbesondere durch aktuelle Entwicklungen in der datenschutzrechtlichen Bußgeldpraxis und Rechtsprechung sowie durch neue regulatorische Anforderungen aus NIS2, dem Cyber Resilience Act und anderen europäischen Digitalregulierungen.
Durch ihre langjährige Tätigkeit als externe Datenschutzbeauftragte verfügt Anna über umfassende praktische Erfahrung in der Organisation und Umsetzung von Datenschutz- und Informationssicherheitsstrukturen in Unternehmen. Diese Perspektive ermöglicht es ihr, rechtliche Anforderungen nicht nur juristisch zu bewerten, sondern auch pragmatisch und organisatorisch umsetzbar zu gestalten.
Anna begleitet Organisationen zudem bei der Implementierung und Governance digitaler Prozesse, der Integration von Datenschutz und Informationssicherheit in Unternehmensstrukturen sowie bei Konflikt- und Krisensituationen. Mandanten schätzen ihre Fähigkeit, rechtliche Anforderungen mit unternehmerischen und technischen Realitäten zu verbinden.
Sie verfügt über langjährige Führungserfahrung, eine ausgeprägte unternehmerische Perspektive und eine Zusatzausbildung als Business Coach.
Anna ist regelmäßig Referentin sowie Podcast- und Interviewgast und publiziert in juristischen Fachzeitschriften, Kommentaren und Handbüchern, insbesondere zu Themen an der Schnittstelle von Informationssicherheit, Datenschutz und digitaler Regulierung.
Sie berät Mandanten auf Deutsch, Englisch und Türkisch.
Anna wurde 2023 und 2024 von der Wirtschaftswoche als Top-Anwältin für Datenschutzrecht ausgezeichnet. Zudem wurde sie im Ranking „Top Anwälte 2026“ des F.A.Z. Instituts empfohlen, das auf einer umfassenden Analyse von Mandantenbewertungen und Kollegenempfehlungen basiert.
Veröffentlichungen (Auszug)
- 2025
- Vorgehensmodell zur generischen DSFA im Kontext der Mitarbeiter:innen-Überwachung, DuD – Datenschutz und Datensicherheit, 2025, 468-473 (Mitautorenschaft mit Martin Rost)
- 2025
- „Im Verborgenen überwacht? Ein Kommentar und Praxisbericht“, Datenschutz-Berater 2025, 13-16
- 2024
- in: Auer-Reinsdorff/Conrad (Hrsg.), C.H. Beck Verlag, Handbuch IT- und Datenschutzrecht, 4. Auflage, im Erscheinen (Mitautorenschaft)
- 2024
- Datenschutzrechtliche Dienstleisterkontrolle|ISO/IEC 27001-Zertifikat – Irrtümer und Chancen, in: Sowa (Hrsg.), Springer Fachmedien, IT-Prüfung, Datenschutzmanagement und KI-Audit. Neue Ansätze für die Arbeit der IT-Revision. Im Erscheinen (Mitautorenschaft)
- 2024
- Der SDM-Würfel für Jurist*innen, DuD – Datenschutz und Datensicherheit, 2024, 646-650 (Mitautorenschaft mit Martin Rost)
- 2023
- Koordinierte Prüfung zu Stellung und Aufgaben von Datenschutzbeauftragten, Datenschutz-Berater, 2023, 142-145 (Mitautorenschaft mit Guido Hansch, Wolfgang Lehna und Heiko Markus Roth)
- 2021
- Zertifikat nach ISO/IEC 27001: Wie können Auftragsverarbeiter beim Verantwortlichen punkten?, Datenschutz-Berater 2021, 38-41 (Mitautorenschaft mit Andreas Bethke)
- 2021
- Bußgeldbescheid des ICO gegen Marriott: PCI DSS und trotzdem nicht sicher?, Datenschutz-Berater, 2021, 104-107 (Mitautorenschaft mit Manuel Atug)
- 2021
- Der „nichtverhandelbare“ Hauptteil der ISO/IEC 27001 und die Bedeutung für den Datenschutz, Datenschutz-Berater 2020, 273-276 (Mitautorenschaft mit Andreas Bethke)
- 2020
- Zertifikat nach ISO/IEC 27001: Hinreichende Garantie des Auftragsverarbeiters im Sinne von Art. 28 Abs. 1 DSGVO?, Datenschutz-Berater 2020, 200-202
- 2017
- Richtlinien 10010 zum strukturierten Dateschutzmanagement, VdS Schadenverhütung GmbH, 2017, Verlag (Mitautorenschaft)
Vorträge (Auszug)
- 2024
- Datenschutzkonferenz Düsseldorf (Datenschutz-Berater) 2024: „Sicherheit? Fehlanzeige! Wie Auftragsverarbeiter bei den Nachweisen versagen“
- 2024
- Deutscher Anwaltstag 2024: Beschäftigtendatenschutz und Übermittlung in internationalen Konzernen
- 2024
- BvD Herbstkonferenz 2024: Zulässigkeit von Protokollierungen – ein Blick auf den Datenschutz in der IT
- 2023
- 12. Frankfurter IT-Rechtstag: Hinweisgeberschutzgesetz und die datenschutzrechtlichen Implikationen
Interviews / Podcasts
- c’t / heise „Auslegungssache“ (Episode 123): „Neue Dimensionen der Mitarbeiterüberwachung“
https://www.heise.de/hintergrund/Auslegungssache-123-Neue-Dimensionen-der-Mitarbeiterueberwachung-10181275.html - Rechtsanwalter & Lebenskünstner – der Compliance-Podcast von Schulte Rechtsanwälte (S04E11): „Zweiter Anlauf zum NIS-2-Umsetzungsgesetz“
https://podcasts.apple.com/ca/podcast/s04e11-zweiter-anlauf-zum-nis-2-umsetzungsgesetz/id1649563379?i=1000721006413 - c’t / heise „Auslegungssache“: „Jahresrückblick 2025: Datenschutz unter Beschuss“
https://ct-auslegungssache.podigee.io/149-new-episode - Podcast Datenschutz-Guru: ISO 27001 als Freifahrtschein für Auftragsverarbeiter – Im Gespräch mit Rechtsanwältin Anna Cardillo
https://podcasts.apple.com/us/podcast/iso-27001-als-freifahrtschein-f%C3%BCr-auftragsverarbeiter/id1034321062?i=1000491147023 - Heise Online: Auslegungssache: Datenschutz leben lernen.
https://www.heise.de/hintergrund/Auslegungssache-33-Datenschutz-leben-lernen-5069736.html - Stiftung Datenschutz: Datenschutz am Mittag – Spannungsfall(e) Datenschutzbeauftragte?
https://stiftungdatenschutz.org/veranstaltungen/unsere-veranstaltungen-detailansicht/spannungsfall-datenschutzbeauftragte-388 - Im Interview: Anna Cardillo. Mit Michael Rohrlich und Marc Oliver Thoma
https://www.youtube.com/watch?v=afofNLacOqY
Lehre
Anna ist Lehrbeauftragte an der Universität Bamberg, Lehrstuhl Privatsphäre und Sicherheit in Informationssystemen (Modul Datenschutz)
