50. DAFTA vom 12.–13. November 2026 in Köln

Donnerstag: 12.11.2026

09.00 Uhr - Eröffnung und Begrüßung

Prof. Dr. Rolf Schwartmann, Vorstandsvorsitzender der GDD e.V., Bonn

9.15 - 12.30 Uhr - Datenpolitischer Vormittag

Am Vormittag widmen wir uns spannenden Fragen rund um Datenpolitik, Regulierung und digitale Souveränität. Es erwarten Sie wie in den letzten Jahren hochrangige Experten.

12.30 - 13.30 Uhr - Mittagessen

Beginn parallele Foren

Auch in diesem Jahr bietet die DAFTA wieder ein vielseitiges Programm mit aktuellen Themen, praxisnahen Diskussionen und hochkarätigen Referentinnen und Referenten. Einige der Fachforen und Themenschwerpunkte stehen bereits fest – weitere befinden sich noch in finaler Abstimmung. Freuen Sie sich schon jetzt auf spannende Impulse und wertvolle Einblicke in zentrale Fragestellungen.

13.30 - 14.45 Uhr - Forum 1: Videokonferenzen mit KI protokollieren

Die KI-gestützte Transkription von Videokonferenzen bietet praktische Chancen, wirft aber zugleich datenschutz-, arbeits- und strafrechtliche Fragen auf, zu denen bislang keine gefestigte Rechtsprechung besteht. Der Vortrag stellt ein Konzept mit Empfehlungen für einen risikobewussten Einsatz vor und beleuchtet mögliche rechtliche Grundlagen, organisatorische Rahmenbedingungen sowie praktische Anforderungen an Transparenz, Beteiligung und Schutz der Teilnehmer. Ziel ist es, Orientierung für eine verantwortungsvolle betriebliche Umsetzung zu geben.

Referent: Georg Karl Bittorf, Konzern-Datenschutzbeauftragter beim Bezirksverband Westliches Westfalen der Arbeiterwohlfahrt, Leiter GDD-Erfa-Kreise Dortmund und Essen

Leitung: Bettina Herman, atarax Unternehmensgruppe, Herzogenaurach; GDD Erfa-Kreis-Leiterin Freiburg; GDD Vorstand, Bonn

13.30 - 14.45 Uhr - Forum 2: Aktuelle Gesetzgebung – Auswirkungen auf die TOM

Die aktuelle europäische und deutsche Gesetzgebung macht zum Teil sehr konkrete Vorgaben zu technisch-organisatorischen Anforderungen. Neue Begriffe wie Cyber-Hygiene tauchen auf und die Durchführungsverordnung (EU) 2024/2690 zur NIS-2-Richtlinie enthält ein Muster für ein vollständiges IT-Sicherheitskonzept (für bestimmte Branchen). Welche Auswirkungen haben diese Vorgaben auf die Anforderungen an die TOMs nach „Stand der Technik“ in der DS-GVO. Wird durch diese Gesetzgebung der „Stand der Technik“ neu kalibriert?

Referent: Prof. Dr.-Ing. Sebastian R. Gärtner LL.M., Chief Digital Officer / Chief Information Officer der Universität Hamburg

Leitung: Prof. Dr. Rainer W. Gerling, Freiberuflicher Autor und Referent; Honorarprofessor für IT-Sicherheit an der Hochschule München; stellv. Vorsitzender der GDD e.V., Bonn

13.30 - 14.45 Uhr - Anbieterforum

Leitung: Thomas Müthlein, Geschäftsführer, DMC Datenschutz-Management und Consulting GmbH und Co. KG, Köln; GDD-Vorstand, Bonn

14.45 - 14.50 Uhr - Wechsel in andere Foren

14.50 - 16.10 Uhr - Forum 3: KI-Tools für Datenschützer

Referent: Dr. Niels Lepperhoff, Xamit Bewertungsgesellschaft mbH, Düsseldorf
Leitung: RA Andreas Jaspers, Geschäftsführer der GDD e.V., Bonn

14.50 - 16.10 Uhr - Forum 4: Rechtliche Aspekte bei Lösegeldforderungen nach Cyberangriffen

Referent: Jan Spittka, Rechtsanwalt | Partner, Clyde & Co
Leitung: Prof. Dr. Michael Meier, Inhaber des Lehrstuhls für IT-Sicherheit am Institut für Informatik der Universität Bonn, Leiter der Abteilung Cyber Security, Fraunhofer FKIE; GDD-Vorstand, Bonn

16.10 - 16.45 Uhr - Kaffeepause/Networking

16.45 - 18.00 Uhr - Forum 5: KI im Arbeitsverhältnis

KI durchdringt die Welt, auch die Arbeitswelt. Die praktischen Anwendungen scheinen der Regulierung voranzugehen: Was ist erlaubt? Was nicht? Was sind Best practice models, an denen sich die Praxis orientieren kann? Wie nutze ich KI in Compliance Situationen? Wie im Einstellungsverfahren? Diesen und andere Fragen begegnen Personaler und Datenschützer in ihrem Alltag - im großen wie im kleinen Unternehmen. Wir wollen diesen Fragen auf den Grund gehen mit Hinweisen, Daumenregeln und hoffentlich einer spannenden Diskussion.

Impuls: „Agentic HR - welche Grenzen setzen DSGVO und KI-VO?“ Dr. Ruben Plum-Schneider, Persönlicher Referent der BfDI, Bonn

Impuls "KI-Systeme als Meldestellen nach AGG und HinSchG - Effektivere Compliance durch Maschinen?" Dr. Johannes Dilling, Dilling Rechtsanwälte, Köln

Leitung: Prof. Dr. Gregor Thüsing LL.M. (Harvard), Institut für Arbeitsrecht und Recht der sozialen Sicherheit der Universität Bonn; GDD-Vorstand, Bonn

16.45 - 18.00 Uhr - Forum 6 (in englischer Sprache): CEDPO-Forum: Navigate the EU Digital Omnibus – Challenges and Solutions for Data Protection Professionals

What does the EU’s Digital Omnibus proposal mean for practitioners? This panel brings together experts from CEDPO member associations to discuss proposed amendments, such as limiting the necessity of maintaining a record of processing activities, amending the definition of personal data, and limiting data subject access requests. Speakers will provide insights and practical advice how DPOs can prepare in light of shifting regulatory expectations.

Speaker:

Paul Jordan (Senior Policy Advisor, CEDPO), Jared Browne (Global Head of Privacy and AI Governance at Fexco Group, Chair of the CEDPO AI Working Group),   Michael Hofmann (President APDL, the Luxembourg Association of Data Protection Officers),   Florence Gaullier (Partner at Vercken &Gaullier, AFCDP Board member) - attendance to be confirmed.

Leitung: Gabriela Krader, LL.M., Konzerndatenschutzbeauftragte, Deutsche Post DHL Group; stellv. Vorsitzende der GDD e.V., Bonn

19.00 Uhr - DAFTA-Treff

Freitag: 13.11.2026

Parallele Foren

9.00 - 10.15 Uhr - Forum 7: General Purpose AI im unternehmerischen Alltag

Kaum ein Unternehmen kommt heute noch ohne KI-Systeme mit allgemeinem Verwendungszweck aus. Für Datenschutzbeauftragte wirft dies zentrale Fragen an der Schnittstelle von KI-Verordnung und DS-GVO auf. Der Vortrag beleuchtet typische Anwendungsfälle, schafft Klarheit bei Verantwortlichkeiten, Rechtsgrundlagen und Betroffenenrechten und nimmt insbesondere Art. 22 DS-GVO sowie datenschutzrechtliche Risiken beim Einsatz solcher KI-Systeme in den Blick.

Referent: NN

Leitung: Kristin Benedikt, Richterin am Verwaltungsgericht Regensburg; GDD-Vorstand, Bonn

9.00 - 10.15 Uhr - Forum 8: Spezialforum: Gesundheits- und Sozialdatenschutz KI in der Medizin: Von der Forschung in die Versorgung

KI ermöglicht es, große Datenmengen aus Genetik, klinischen Studien und Bildgebung effizient auszuwerten – was diverses Potential für die medizinische Forschung beinhaltet. Aber damit aus einem KI-Forschungsprojekt ein zugelassenes Medizinprodukt wird, müssen strenge regulatorische Anforderungen erfüllt werden. Insbesondere Anforderungen aus der KI-Verordnung in Kombination mit der Anwendung der DS-GVO wie auch dem Medizinprodukterecht verursachen aufgrund der Neuheit der Regulierung Verunsicherung. Dieses Forum bietet eine Einführung in diese Thematik und eine grundlegende Orientierung zum Umgang mit diesen Anforderungen.

Referent: Dr. Bernd Schütze, Leiter AG „Datenschutz und IT-Sicherheit“ der GMDS, stellv. Leiter GDD-Arbeitskreis „Datenschutz und Datensicherheit im Gesundheits- und Sozialwesen“, Düsseldorf

Leitung: David Koeppe, Vivantes Netzwerk für Gesundheit GmbH, Berlin; Leiter GDD-AK „Datenschutz und Datensicherheit im Gesundheits- und Sozialwesen“ und Erfa-Kreis Berlin

10.15 - 10.45 Uhr - Kaffeepause/Networking

10.45 - 12.00 Uhr - Forum 9: Screening, illegales Verhalten im Zusammenhang mit Wirtschaftsprüfern

Das Forum beleuchtet Fragen rund um die datenschutzrechtliche Zulässigkeit von Screening-Maßnahmen im Unternehmenskontext und prüft, wo die Grenze zwischen rechtmäßigem Vorgehen und unzulässiger Datennutzung liegt. Im Mittelpunkt stehen dabei die eingesetzten Datenarten und die damit verbundenen Informationspflichten des Arbeitgebers. Ebenso wird erörtert, ob Screening-Systeme als Anwendungen von KI einzustufen sind und welche praktischen sowie rechtlichen Konsequenzen sich daraus ergeben. Anhand von § 26 Abs. 1 S. 2 BDSG werden die maßgeblichen Rechtsgrundlagen geprüft, um den rechtssicheren Umgang mit personenbezogenen Daten im Screening-Prozess zu klären. Abschließend wird diskutiert, inwieweit sogenannte Background-Checks zulässig sind und wie Unternehmen rechtliche Anforderungen und Prüfungsrealität in Einklang bringen können.

Referent: RA Stephan Schmidt, TCI Rechtsanwälte, Mainz

Leitung: Dr. Stefan Brink, Geschäftsführender Direktor des Instituts wida/Berlin, LfDI Baden-Württemberg a.D., GDD-Vorstand, Bonn

10.45 - 12.00 Uhr - Forum 10: Update Informationssicherheitsrecht

Auch nach der Umsetzung der NIS-2-Richtlinie in deutsches Recht, bleibt der Gesetzgeber nicht untätig. Der Europäische Gesetzgeber will die NIS-2-Richtlinie und weitere Rechtsakte schon wieder ändern. Auch der Deutsche Gesetzgeber arbeitet an neuen Gesetzen im Bereich der IT-Sicherheit, die neue Pflichten für Unternehmen mit sich bringen. Der Vortrag gibt einen Überblick über den aktuellen Stand der europäischen und nationalen Gesetzgebung:

• Welche EU-Vorschriften werden schon wieder überarbeitet?
• Was plant der deutsche Gesetzgeber?
• Was bedeuten diese Vorhaben für Unternehmen und andere Einrichtungen?
• Wie sollten sich Unternehmen und Einrichtungen vorbereiten?

Referent: Stefan Hessel, Rechtsanwalt für Cybersicherheit, Datenrecht & KI | Head of Digital Business und Partner bei reuschlaw
Leitung: Steve Ritter, Leiter des Referats „IT-Sicherheitsbehörden" beim BfDI, Bonn; GDD-Vorstand, Bonn

12.00 - 12.05 Uhr - Wechsel in den großen Saal

12.05 - 12.45 Uhr - Schlussvortrag

NN

12.45 - 13.00 Uhr - Schlusswort

Prof. Dr. Rainer Gerling