10. Hamburger Datenschutztage

Für Datenschutzbeauftragte und -berater, sowie Datenschutzdienstleister, IT-Sicherheitsbeauftragte, Revisoren sowie Compliance-Beauftragte

 
Konferenzleitung:
Dr. Michael Foth, Geschäftsführer der IBS data protection services and consulting GmbH, ist seit über 20 Jahren als Spezialist für Datenschutz und für IT-Sicherheitsanalysen tätig. Er betreut national und international aufgestellte Mandanten als externer Datenschutzbeauftragter mit den Schwerpunkten Gesundheitswesen und Finanzdienstleister. Außerdem ist er technischer Experte
(CEPE T) des European Privacy Seal (EuroPriSe).

Pre-Seminar 1 (14.06.2023: 09:30 – 17:00 Uhr)
Praxistaugliches Risikomanagement
Referent: Marc Neumann

Die Verarbeitung personenbezogener Daten kann je nach Zweck, Umfang und Ausgestaltung unterschiedlich hohe Risiken für die Betroffenen mit sich bringen. Die DS-GVO sieht daher vor, dass jede Verarbeitungstätigkeit nach den zu erwartenden Risiken beurteilt wird und angemessene Schutzmaßnahmen getroffen werden, die das Risiko für die betroffenen Personen minimieren können. In diesem Seminar zeigen wir Ihnen die Möglichkeiten eines praxisgerechten Risikomanagements. Wir betrachten sowohl die initiale Risikobewertung der Verarbeitungstätigkeiten einschließlich Schwellwertanalyse und erforderlicher Datenschutz-Folgenabschätzung als auch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen und den Umgang mit
Verletzungshandlungen. Angereichert wird das Seminar mit Tipps und Tricks aus der Praxis eines langjährigen Datenschutzbeauftragten.

Risiken für die Rechte und Freiheiten natürlicher Personen

• (Brutto-) Risiken für Verarbeitungstätigkeiten bestimmen
• Risikoermittlung im Rahmen einer Datenschutz-Folgenabschätzung (DS-FA)
• Risikobewertung im Rahmen einer Datenschutzverletzung

Sicherheit der Verarbeitung

• Erforderliche technische und organisatorische Maßnahmen (TOM)
• Abhilfemaßnahmen einer DS-FA (vorhandene TOM und zusätzlich erforderliche Maßnahmen)
• Wiederherstellung der Sicherheit der Verarbeitung nach einer Datenschutzverletzung

Tipps und Tricks

• Gesetzliche und regulatorische Anforderungen umsetzen
• Schutzbedarfsfeststellung für personenbezogene Daten
• Praktische Übung für übergreifende Risikobewertung
• Vorlagen und Muster für Richtlinien und Dokumentationen
• Risikoorientierte Aufgabenwahrnehmung durch den Datenschutzbeauftragten

Pre-Seminar 2 (14.06.2023: 09:30 – 17:00 Uhr)
Microsoft 365 – rechtssicher einführen und nutzen
Referent: Jan Morgenstern

• Rätselhaftes Universum Microsoft 365: Ausgangsposition aus technischer und rechtlicher Sicht
• Datenschutz- und (kollektiv-)arbeitsrechtlicher Fokus
• Aktuelle Stellungnahmen der Aufsichtsbehörden
• Konkrete Risiken beim Einsatz
• Risiken beim Cloud Einsatz generell
• Kritische Apps, Dienste und Funktionen
• Risiken erkennen und minimieren: Datenschutz-Folgenabschätzung und Abhilfemaßnahmen
• Umsetzung in der Praxis; Drittstaatentransfer, Schrems II und Transfer Impact Assessment
• Technisch-organisatorische Maßnahmen, IT-Sicherheit und die Relevanz des Lizenzplans
• Datenschutzmanagement, Dokumentation und Rechenschaftspflicht

1. Tag- 15.06.2023

09.00 Uhr Eröffnung und Begrüßung durch die Konferenzleitung
Dr. Michael Foth – IBS data protection services and consulting GmbH

09.10 Uhr Die Sponsoren stellen sich vor.

09.20 Uhr Vortrag 1 (45 min)
Vom Datenschutzrecht zum Datenwirtschaftsrecht
Prof. Dr. Rolf Schwartmann / Prof. Dr. Boris Paal
Mit den im Rahmen der Datenstrategie neu entstehenden Datenakten, insbesondere dem Data Act und der KI-Verordnung soll sich das Datenrecht der EU für Geschäftsmodelle der Digitalisierung öffnen. Der Vortrag setzt die DS-GVO in ein Verhältnis zu diesen Datenakten und zum Data Governance Act. Besonderes Augenmerk liegt auf den Auswirkungen des anstehenden Rechts für die Unternehmenspraxis und die Rolle des betrieblichen Datenschutzes.

10.05 Uhr Vortrag 2 (45 min)
Gespaltene Persönlichkeit? Auftragsverarbeitung vs. Verantwortlichkeit bei Cloudprovidern
Sascha Kremer
Zu Software as a Service gehört regelmäßig ein Auftragsverarbeitungsvertrag zwischen Cloudprovider und Unternehmenskunde. Gleichwohl nutzen Cloudprovider die anfallenden Daten vielfach auch für eigene Zwecke, etwa zur Gewährleistung der Sicherheit ihrer IT-Systeme oder zur Produktverbesserung. Das verträgt sich aber nicht mit der Auftragsverarbeitung und wirft die Frage, ob es daneben auch Verarbeitungen durch den Cloudprovider als (allein oder gemeinsam) Verantwortlicher gibt – und aus Sicht der DS-GVO auch geben darf.

10.55 Uhr Kommunikationspause

11.15 Uhr Vortrag 3 (45 min)
Schmerzensgeldansprüche wegen DS-GVO-Verstößen – Geschäftsmodell für zukünftige Massenverfahren?
Andreas Müller
Der Vortrag wird sich inhaltlich zunächst mit den Anspruchsvoraussetzungen des Schmerzensgeldanspruchs aus Art. 82 Abs. 1 DS-GVO befassen. Im Rahmen der Prüfung wird sodann die Frage aufgeworfen, ob der bloße Verstoß gegen Vorschriften der DS-GVO ausreicht, um dem Betroffenen einen immateriellen Schadensersatzanspruch zuzusprechen, oder ob dieser einen konkret erlittenen immateriellen Schaden darzulegen und erforderlichenfalls zu beweisen hat. In diesem Zusammenhang werden die stark divergierenden Tendenzen insbesondere zwischen der zivil- und arbeitsgerichtlichen Rechtsprechung aufgezeigt und letztendlich erörtert, welche Argumente für bzw. gegen die jeweiligen Auffassungen streiten, welche Auffassung der Generalanwalt beim EuGH vertritt (sofern der EuGH bis dahin nicht bereits selbst entschieden hat) und welche Auffassung ich aus welchen Gründen für vorzugswürdig halte. Zuletzt soll der Vortrag dann die Frage erörtern, ob sich die Schmerzensgeldansprüche unter der DS-GVO an Dritte übertragen bzw. abtreten
lassen und sich zukünftig aus der Durchsetzung solcher Ansprüche ein neues Geschäftsmodell für Massenverfahren ggf. unter Zuhilfenahme von Legal Tech ergeben könnte.

12:00 Uhr Vortrag 4 (45 min)
Die gläsernen Mitarbeiter – Datenschutz vs. Mitarbeiter(-überwachung)kontrolle
Okşan Karakuş – Referat W – Wirtschaft und Infrastruktur, Stellvertretende Referatsleiterin, W2

Der Begriff „gläsern“ ist negativ behaftet. Er hat sich als Metapher im Datenschutz durchgesetzt und steht seit dem Volkszählungsgesetz aus den 80er-Jahren als ein Sinnbild für die ausufernde und übergriffige Sammlung personenbezogener Daten – insbesondere auf Vorrat – von öffentlichen und privaten Stellen. Wie aber sieht es im Beschäftigungsverhältnis aus? Wie weit darf ein
Arbeitgeber bei der Datensammlung seiner Mitarbeiter gehen? Wie wirkt sich dabei die Digitalisierung in der Arbeitswelt aus? Darf der Einsatz digitaler Technik zu einer (umfassenden) Leistungs- und Verhaltenskontrolle führen? Welche Grenzen sieht dabei das Datenschutzrecht vor? Diese und weitere Fragen wird Frau Karakus mit Ihnen diskutieren und dabei auch die Arbeit der Aufsichtsbehörde und deren Sichtweise auf einzelne datenschutzrechtliche Fragestellungen anhand von praxisrelevanten Beispielen
vorstellen.

12.45 Uhr Mittagspause

14.00 Uhr Vortrag 5 (15 min)
Sponsorenvortrag 5a/5b
Inhalte folgen.

14.15 Uhr Parallel-Vortrag 6a (45 min)
Datenschutz in SAP S/4HANA HCM und SAP Success Factors
Thomas Tiede
Im Oktober 2022 hat SAP das Modul HCM für SAP S/4HANA veröffentlicht (auch H4S4 genannt). In dem Zuge wurden Funktionen überarbeitet und teilweise auch abgekündigt. Die Prozesse im Personalwesen sind häufig schon verwoben zwischen der Public-Cloud-Komponente Success Factors und SAP S/4HANA HCM, welches größtenteils noch On-Premise betrieben wird.
Die Themen dieses Vortrags sind:

• Migration von SAP ERP HCM und SAP S/4HANA HCM
• Abgrenzung SAP S/4HANA HCM zu SAP Success Factors
• Datenschutzanforderungen in SAP S/4HANA HCM und SAP Success Factors
• Absicherung von Eigenentwicklungen On-Premise und Cloud-basiert (SAP BTP)
• Anforderungen an ein datenschutzkonformes Berechtigungskonzept in SAP S/4HANA HCM und SAP Success Factors

14.15 Uhr Parallel-Vortrag 6b (45 min)
Entwicklung des internationalen Datenschutzrechts im Lichte der DS-GVO
Karsten Kinast
Die Änderungen des Rechts im europäischen Raum führen nicht nur in Europa zu Veränderung. Selbst über die Grenzen hinaus wird die EU-Datenschutz-Grundverordnung als Vorbild für weitere Datenschutzgesetze herangezogen. Ein Überblick über die derzeitige Gesetzeslage, insbesondere aus dem asiatischen Raum und deren Zusammenhang zur DS-GVO.

15.00 Uhr Wechselpause Workshops

15.10 Uhr Parallel-Vortrag 7a (50 min)
Datenschutzanforderungen bei Social Media Auftritten
Michelle Petruzzelli
Die Nutzung von Social Media Angeboten eröffnet den Unternehmen nach wie vor eine enorme Möglichkeit, sich selbst und ihre Produkte und Dienstleistungen zu vermarkten. Soziale Netzwerke bringen weitreichende Chancen, sich in der Arbeitswelt zu positionieren. Die dabei einzuhaltenden datenschutzrechtlichen Anforderungen werden von den Seitenbetreibern häufig als Last empfunden, da diese zum einen den innovativen Ideen der Unternehmen zuwiderlaufen, oder aber im Verhältnis Plattformbetreiber
schlichtweg nicht ohne weiteres umsetzbar sind. Dies gilt insbesondere für die Anforderungen bei gemeinsamer Verantwortlichkeit, datenschutzrechtlichen Verträgen, Belehrungen oder auch der Haftungsrisiken. Der Vortrag soll einen Einblick darüber geben, wie Unternehmen den daraus resultierenden Risiken begegnen können.

15.10 Uhr Parallel-Vortrag 7b (50 min)
Analytics and Consent Management für Website, Apps und IoT
Tilmann Herbrich
Erfahren Sie, was unter Analysen, Attributionen, Reichweitenmessung im Kontext von Websites, Apps und Internet of Things zu verstehen ist und warum im E-Commerce und für datengetriebene Geschäftsmodelle Tracking-Anwendungen zur Sicherstellung der Datenqualität unabdingbar sind.

Was gibt es eigentlich für Tracking-Technologien, welche Vor- und Nachteile sind mit ihnen verknüpft und welche Auswirkungen haben Sie auf die Anwendung auf die DS-GVO und das TTDSG? Anhand des Praxisbeispiels „Google Analytics 4“ sollen  Technologiegrundlagen, Alternativen sowie die Nutzung von Privacy Enhancing Technologies für den rechtskonformen Einsatz diskutiert
werden.
Tracking-Konzepte werden selten von verantwortlichen Unternehmen umgesetzt, sondern in der Regel von Agenturen. Was bei der Zusammenarbeit mit Agenturen schieflaufen kann, wie man Missverständnisse bei der Kommunikation vermeiden und Haftungsrisiken reduzieren kann, wird ebenfalls aufgezeigt.
Als Hilfestellung für Verantwortliche werden in Abhängigkeit der gelebten Unternehmenskultur Strategien zur Risk Mitigation bei Tracking-Diensten und ein Prozessmanagement für die „Tracking- Compliance“ vorgestellt.
Erfahren Sie auch, wie Sie gerichtliche Verfahren vermeiden und sich entlasten können. Sie erhalten Handlungsempfehlungen im Umgang mit Behörden und Gerichten.

16.00 Uhr Kommunikationspause

16.30 Uhr Podiumsdiskussion
„Aktuelle Chancen und Herausforderungen im Datenschutz – Was ist noch zu tun“

17.15 Uhr Abschluss des ersten Tages

18.15 Uhr Hamburger Abend: Fahrt mit dem Schiff

2. Tag- 16.06.2023

08.45 Uhr Empfang

09.00 Uhr Vortrag 1 (45 min)
Google Fonts & Co. – Wie Sie als Datenschützer/in Risiken auf Websites finden
Eckhard Schneider
In nur wenigen Bereichen eines Unternehmens sind Datenschutz-Schwachstellen so leicht von außen erkennbar wie auf der Unternehmens-Website, deshalb sind Abmahnwellen wie bspw. wegen Google Fonts ein ständiges Risiko. Mithilfe der Entwickler-Tools, die jeder Browser mitbringt, können diese Schwachstellen identifiziert werden, doch die technischen Hürden schrecken viele Datenschutzbeauftragte und Rechtsanwälte ab. Dieser Vortrag demonstriert mit vielen praktischen Beispielen, wie man ohne technische Vorkenntnisse über die Entwickler-Tools einen Blick unter die Browser-Motorhaube werfen kann. Damit lassen sich Google Fonts und andere problematische Dienste zweifelsfrei nachweisen oder Consent-Banner und Kontaktformulare auf Korrektheit prüfen.

 09.45 Uhr Vortrag 2 (45 min)
DS-GVO-Betroffenenrechte – Aktuelle Entwicklungen und best practice
Carlo Piltz
Die Rechte der Betroffenen spielen in der Praxis der DS-GVO-Compliance eine wichtige Rolle. Gerade Auskunfts- und Löschanfragen verlangen von datenverarbeitenden Stellen ein schnelles als auch sauberes Agieren. Fehler bei der Erfüllung dieser Rechte führen sehr oft zu Beschwerden bei Aufsichtsbehörden und in letzter Zeit auch vermehrt zu Klagen auf Schadenersatz. In dem Vortrag erhalten Sie einen Überblick über wichtige Entscheidungen von Gerichten, sowohl in Deutschland als auch in der Europäischen Union. Zudem wird auf relevante Ansichten und Empfehlungen der Aufsichtsbehörden eingegangen.

10.30 Uhr Vortrag 3 (15 min)
Sponsorenvortrag
Inhalte folgen.

10.45 Uhr Kommunikationspause

11.10 Uhr Vortrag 4 (45 min)
Drittstaatentransfers: geht nicht, gibt´s nicht!
Dr. Axel Freiherr von dem Bussche
Der Datentransfer aus der EU/EWR in sogenannte „Drittstaaten“ ist seit den beiden EuGH Entscheidungen Schrems I und Schrems II aus den Jahren 2015 und 2020 eines der umstrittensten Themen im Datenschutzrecht. Der EuGH hat höchste Maßstäbe darangesetzt, die in der Praxis nur mit großem Aufwand rechtssicher gestaltet werden können. Das ist längst nicht überall der Fall, dennoch haben die Aufsichtsbehörden noch keinen Datentransfer mit einem Bußgeld aufgehalten. Wie können sich Unternehmen absichern? Was ist die gelebte Praxis? Wie positionieren sich die Aufsichtsbehörden? Wie geht es weiter? Diese Fragen sind Gegenstand des Vortrags.

11.55 Uhr Vortrag 5 (30 min)
Podiumsdiskussion
„Aktuelle Rechtsfragen und Auswirkungen auf die Praxis“

12.25 Uhr Mittagspause

13.30 Uhr Vortrag 6 (60 min)
Datenschutz und künstliche Intelligenz – Prüfanforderungen aus der Praxis und die (berechtigte?) Sorge vor der Superintelligenz?
Andreas Sachs – Diplom-Informatiker, Leiter des technischen Referats sowie Vertreter des Präsidenten beim Bayerischen Landesamt für Datenschutzaufsicht, Ansbach
Es vergeht keine Woche, in der nicht von neuen Anwendungsfällen der künstlichen Intelligenz in den Medien berichtet wird. Die sich anbahnende KI-Verordnung soll insbesondere Hochrisikoverarbeitungen regulieren und innovative Start-ups haben mittlerweile schnell eine Bewertung in Milliardenhöhe erreicht. Abseits dieser zu begrüßenden dynamischen Entwicklung dieses sehr spannenden Themenfelds gibt es aber auch Stimmen, die Fragen aufwerfen, wohin der „Goldrausch“ führen wird. Und dann sind da noch die Praktiker im Datenschutzalltag, die Position beziehen müssen, wenn die Geschäftsleitung innovative neue Wege im Einsatz von KI-Systemen einschlagen will und der Datenschutz plötzlich mit Begriffen wie „Datenschutz-Folgenabschätzung“ die Bühne betritt. Der Vortrag gibt eine schnelle Einführung am Beispiel des Systems „GTP-3“, was künstliche Intelligenz eigentlich ist (oder es eine solche überhaupt gibt), welchen Blickwinkel der Datenschutz bei der Entwicklung und dem Einsatz derartiger Systeme einnimmt und vor allem, wo die Reise hingehen könnte. Wird bald eine künstliche Intelligenz Aufgaben des Datenschutzes übernehmen können – oder als allmächtige Superintelligenz unser aller Arbeit sogar überflüssig machen?

14.30 Uhr Verabschiedung – Konferenzende