Pre-Seminar 1 (09:30–17:00 Uhr)

Effektives Datenschutzmanagement nach ISO 27701: Anforderungen und Best Practices ergänzend zum ISMS

Marc Neumann

In diesem Seminar erhalten Sie einen kompakten Überblick über die Anforderungen und Implementierung von Datenschutzmanagementsystemen nach der ISO 27701. Die Norm hilft Unternehmen, ihre Datenschutzprozesse zu optimieren und die Anforderungen der DS-GVO effizient umzusetzen. Marc Neumann zeigt auf, wie ISO 27701 in bestehende Informationssicherheitsmanagementsysteme (ISMS) integriert werden kann und welche Best Practices bei der Umsetzung helfen. Der Fokus liegt auf praktischen Anwendungen, die direkt im Unternehmensalltag umgesetzt werden können. Das Seminar richtet sich an die Datenschutzorganisationen in Unternehmen und öffentlichen Institutionen.

• Einführung in ISO 27701
• Überblick und Zielsetzung der Norm
• Zusammenhang mit ISO 27001 und DS-GVO

• Grundlagen des Privacy Information Management Systems (PIMS)
• Komponenten und Struktur eines PIMS
• Integration in bestehende ISMS

• Implementierung nach ISO 27701
• Schritt-für-Schritt-Anleitung zur Einführung eines PIMS
• Durchführung von Gap-Analysen und Risikobewertungen

• Best Practices für die Umsetzung
• Entwicklung von Datenschutzrichtlinien und -prozessen
• Schulung und Sensibilisierung von Mitarbeitern

• Optimierung und Aufrechterhaltung des PIMS
• Methoden zur regelmäßigen Überprüfung und Evaluation
• Anpassung an neue gesetzliche Anforderungen

• Abschlussdiskussion und Fragen

Pre-Seminar 2 (09:30–17:00 Uhr)

Was macht KI mit unseren Daten? Insights zum Datenschutz beim Einsatz von KI

Dr. Patrick Grosmann

Das Pre-Seminar bietet Ihnen einen umfassenden Einblick in die datenschutzrechtlichen Aspekte beim Einsatz von KI und befähigt Sie, KI-Systeme rechtskonform zu implementieren und zu nutzen. Dabei erhalten Sie einen praxisorientierten Überblick über die datenschutzrechtlichen Herausforderungen und Anforderungen, die beim Einsatz von Künstlicher Intelligenz (KI) zu beachten sind. Sie erhalten eine Einführung in die Funktionsweise von KI-Systemen und erfahren, wie diese mit den Vorgaben der Datenschutz-Grundverordnung (DS-GVO) sowie der KI-Verordnung in Einklang gebracht werden können. Ein Schwerpunkt liegt auf den verschiedenen Phasen der Datenverarbeitung von KI-Systemen und den datenschutzrechtlichen Anforderungen in jeder dieser Phasen.

Weiterhin werden die datenschutzrechtlichen Verantwortlichkeiten sowie die Nachweisbarkeit und Informationspflichten beleuchtet. Das Pre-Seminar zeigt zudem Best Practices auf, wie Unternehmen Daten minimieren, Bias vermeiden und ethische Prinzipien bei der Implementierung von KI-Systemen sicherstellen können. In praktischen Anwendungsbeispielen wird dargestellt, wie datenschutzkonforme KI-Lösungen aussehen und welche Fallstricke es zu vermeiden gilt.

• Grundlagen der KI und Datenschutz:
• Einführung in KI-Systeme und ihre Funktionsweise
• Überblick über relevante Rechtsnormen (DS-GVO, KI-Verordnung)

• Verarbeitungsphasen bei KI-Systemen:
• Analyse der verschiedenen Stufen der Datenverarbeitung durch KI
• Datenschutzrechtliche Relevanz in jeder Phase

• Personenbezogene Daten und KI:
• Definition personenbezogener Daten im KI-Kontext
• Szenarien mit und ohne DS-GVO-Relevanz

• Rechtliche Grundlagen für KI-basierte Datenverarbeitung:
• Anwendbare Rechtsgrundlagen der DS-GVO
• Spezifische Anforderungen der KI-Verordnung (ab 2025)

• Datenschutzrechtliche Verantwortlichkeiten:
• Rollen und Pflichten von Verantwortlichen und Auftragsverarbeitern
• Rechenschaftspflicht und Nachweisbarkeit

• Herausforderungen und Best Practices:
• Datenminimierung und Anonymisierung
• Vermeidung von Bias und ethische Aspekte
• Implementierung von Privacy by Design und Privacy by Default

• Praktische Anwendungsfälle:
• Beispiele für datenschutzkonforme KI-Implementierungen
• Fallstudien zu typischen Problemstellungen

• Ausblick und zukünftige Entwicklungen:
• Erwartete Auswirkungen der KI-Verordnung
• Trends im Bereich KI und Datenschutz

09:00 Uhr Eröffnung und Begrüßung durch die Konferenzleitung

Dr. Michael Foth – IBS data protection services and consulting GmbH

09:20 Uhr Vortrag 1 (45 min)

Datenschutz im Wandel: Politik, Gesetzgebung, Aufsicht und Beratung

Prof. Ulrich Kelber

Prof. Ulrich Kelber beleuchtet in seinem Vortrag den dynamischen Wandel im Datenschutz und geht dabei auf zentrale Fragestellungen ein:

• Welche Auswirkungen haben die sukzessiv in Kraft tretenden digitalen Rechtsakte der EU auf den Datenschutz?
• Wie gestaltet sich die Weiterentwicklung des Datenschutzes angesichts aktueller Vorhaben auf EU- und nationaler Ebene?
• Welche Antworten liefern die Aufsichtsbehörden zu technischen und rechtlichen Fragestellungen, insbesondere im Kontext der Künstlichen Intelligenz?
• Wie können Unternehmen durch die Zusammenarbeit mit den Aufsichtsbehörden mehr Rechtssicherheit erlangen – und welche Best-Practice-Ansätze erwarten diese von den Unternehmen?

Im Vortrag wird aufgezeigt, wie diese Entwicklungen den rechtlichen Rahmen und die praktische Umsetzung des Datenschutzes nachhaltig beeinflussen.

10:05 Uhr Vortrag 2 (50 min)

DS-GVO und neue EU Digital-Rechtsakte: Ehe mit Spannungen?

Dr. Axel Freiherr von dem Bussche

• Einfluss KI-VO, Data Act, NIS-2 & Co auf die DS-GVO
• Quo vadis „Datenminimierung“?
• Digital-Rechtsakte als neuer Rechtfertigungsgrund
• Positionierung der Aufsichtsbehörden

10:55 Kommunikationspause

11:15 Uhr Vortrag 3 (45 min)

Data Act: Theorie trifft Praxis – Wie Unternehmen den gesetzlichen Rahmen umsetzen

Dr. Hans Markus Wulf

Ab September greifen die neuen Vorgaben des Data Act. Insbesondere Dateninhaber und Datenverarbeitungsdienste haben Vorkehrungen zu treffen, um die neuen Vorgaben fristgemäß einzuhalten. Für sogenannte Datenempfänger ergeben sich dagegen Chancen zum Aufbau neuer Geschäftsmodelle. Dr. Hans Markus Wulf gibt einen Überblick zu den Inhalten der neuen EU-Verordnung und Praxishinweise zur Umsetzung im Unternehmen.

12:00 Uhr Vortrag 4 (45 min)

Cloud-Dienste neu denken: Innovation, Effizienz und Sicherheit – Praxisnahe Einblicke in die digitale Zukunft

Jan Morgenstern

Der Vortrag bietet einen umfassenden Überblick über aktuelle Cloud-Modelle und Technologietrends. Anhand praxisnaher Beispiele mit Microsoft Cloud-Diensten – darunter Microsoft Entra ID, Microsoft Intune, Microsoft SharePoint und Microsoft Copilot – werden zentrale Anwendungsszenarien vorgestellt.

Ein weiterer Schwerpunkt liegt auf den Herausforderungen der Cloud-Nutzung, insbesondere: 

• Die Abhängigkeit vom Cloud-Anbieter
• Sicherheitsrisiken und Schutzmaßnahmen
• Datenschutz- und Compliance-Anforderungen

Abschließend werden Best Practices für eine sichere Cloud-Strategie beleuchtet, darunter: 

• Zero Trust & Least Privilege
• Data Loss Prevention und Datenklassifizierung
• Der Einsatz von SIEM/SOAR
• Security Awareness & Schulungen

Der Vortrag zeigt praxisorientierte Lösungsansätze auf, um eine sichere, effiziente und datenschutzkonforme Cloud-Umgebung zu gestalten.

12:45 Mittagspause

14:00 Uhr Sponsorenvortrag (15 min)

Ein praktischer Einblick – Wie die caralegal KI bei der Erstellung der Dokumentation für die DSG-VO und KI-VO hilft.

Marco Müllner

Immer mehr Dokumentationslast für Datenschutz-Teams bei gleichbleibenden Kapazitäten? Wir zeigen, wie die Synergien von KI-VO & DSG-VO mit caralegal und KI optimal genutzt werden können.

Marco Müllner ist Experte für Datenschutz-Management und Enterprise-Lösungen bei caralegal. Mit langjähriger Erfahrung an der Schnittstelle von Recht, Technologie und Unternehmenspraxis begleitet er Organisationen dabei, Datenschutzprozesse nicht nur rechtskonform, sondern auch effizient und zukunftsfähig zu gestalten.

Ein besonderer Fokus seiner Arbeit liegt auf dem Zusammenspiel von Mensch und Maschine: Marco ist überzeugt, dass echte Effizienzgewinne im Datenschutz nur dann möglich sind, wenn intelligente Automatisierung und menschliche Verantwortung sinnvoll zusammenspielen.

14:15 Uhr Parallel-Vortrag 5a (45 min)

KI-Praxisbericht: Wie man DS-GVO- und Compliance Anforderungen bei ChatBots bewältigen kann

Christian Bennefeld 

Immer mehr Unternehmen entdecken das Potenzial von KI-ChatBots, um mit Hilfe von Retrieval Augmented Generation (RAG) den internen Datenschatz zu heben. Große Effizienzsteigerungen in allen Unternehmensbereichen sind damit möglich: Von der Aufbereitung umfangreicher Dokumente für Management-Entscheidungen, über Analysen komplexer Zusammenhänge in der Produktenwicklung bis hin zur gezielten Unterstützung im Kundensupport.

Doch wie kann man KI-Bots DS-GVO-konform einführen und gleichzeitig kritische Betriebsgeheimnisse schützen? Wie löst man die Fragen nach Betroffenenrechten und Transparenzpflichten? Warum sind US-Cloud-Anbieter nicht immer die beste Wahl und welche Alternativen gibt es in Europa? Und welche Anforderungen bringt die KI-VO in den RAG-System Betrieb?

Christian Bennefeld stellt in seinem Praxisvortrag ein Projekt vor, in dem ein lokales RAG-System bei einem IT-Beratungshaus eingeführt wurde. Von der ersten Idee bis zur erfolgreichen Umsetzung zeigt er offen die gemachten Fehler und die gefundenen Lösungen.

Der Vortrag ist ein Denkanstoß und Leitfaden für jeden, der die Einführung eines KI-ChatBots im Unternehmen plant und sowohl die rechtlichen als auch technischen Herausforderungen kennen lernen möchte.

14:15 Uhr Parallel-Vortrag 5b (45 min)

Mission Datenschutz: Wie Sie SAP-Systeme in der heutigen Zeit sicher und compliant halten

Sebastian Schreiber 

In einer Zeit zunehmender Cyber-Bedrohungen und immer strengerer Datenschutzvorgaben stehen Datenschutzbeauftragte vor der Herausforderung, SAP-Systeme sicher und rechtskonform zu halten. In diesem Vortrag erfahren Sie, welche aktuellen Risiken bestehen, welche neuen Herausforderungen in Cloud Umgebungen entstehen und wie Sie mit diesen umgehen.

15:00 Uhr Wechselpause Workshops

15:10 Uhr Parallel-Vortrag 6a (50 min)

Cybersecurity, Datenschutz und Resilienz: NIS-2 und der Cyber Resilience Act im Fokus

Alexandra Palandrani

Digitale Bedrohungen werden immer komplexer und es ist nicht mehr die Frage „ob“, sondern „wann“ die Bedrohung zur Realität wird. Die EU-Richtlinien NIS-2 und der Cyber Resilience Act sollen Unternehmen widerstandsfähiger für derartige Angriffe machen. Dieser Vortrag nimmt die beiden Richtlinien unter die Lupe und zeigt mit Hilfe von praxisorientierten Einblicken auf, wie Unternehmen ihre Sicherheitsstrategien und Datenschutzpraktiken anpassen können, um gesetzliche Anforderungen zu erfüllen und das Informationssicherheitsniveau zu stärken.

15:10 Uhr Parallel-Vortrag 6b (50 min)

Synergie zwischen DSMS und KI-ManagementSystemen (nach KI-VO, ISO 42001) sowie konkrete Pflichten für Datenschutzbeauftragte

Ben R. Hansen 

Der Vortrag beleuchtet die Synergien zwischen Datenschutz-Management-Systemen (DSMS) und KI-Management-Systemen gemäß der KI-VO und der ISO 42001. Dabei wird aufgezeigt, wie Unternehmen Datenschutz- und KI-Compliance effizient verbinden können.

Ein zentraler Fokus liegt auf den konkreten Pflichten, die sich für Beauftragte, Koordinatoren und Manager ergeben. Der Vortrag gibt praxisnahe Einblicke zur Umsetzung und stellt Methoden vor, um regulatorische Anforderungen systematisch in bestehende Datenschutz- und KI-Management-Prozesse zu integrieren. Ziel ist es, den Teilnehmenden eine Handlungsanleitung für den rechtskonformen und sicheren Einsatz von KI in ihrem Unternehmen zu vermitteln.

16:00 Kommunikationspause

16:30 Uhr Podiumsdiskussion

„Regulierung versus Innovation: Die Balance zwischen Datenschutz und digitalem Fortschritt“ 

17:15 Abschluss des ersten Tages

18:30 Hamburger Abend: Fahrt mit dem Schiff

08:45 Empfang

09:00 Uhr Vortrag 1 (45 min)

Künstliche Intelligenz im Unternehmenseinsatz – wenn Technologien wie MS Copilot, ChatGPT und Deep-Seek auf die KI-Verordnung und den Datenschutz treffen

Andreas Sachs

Moderne KI-Technologien wie MS Copilot, ChatGPT und DeepSeek verändern bereits heute die Arbeitsprozesse in Unternehmen und treffen mit der neuen KI-VO zusätzlich zur DS-GVO auf eine mitunter komplexe Technikregulierung. Anhand praxisnaher Beispiele wird aufgezeigt, wie Firmen ihre KI-Anwendungen rechtskonform einsetzen können und welche Herausforderungen noch bestehen bleiben. Dabei werden sowohl technische als auch rechtliche Aspekte beleuchtet und konkrete Handlungsempfehlungen für einen auf den Menschen ausgerichteten Einsatz künstlicher Intelligenz gegeben.

09:45 Uhr Vortrag 2 (45 min)

Datenschutz, Solidarität und Demokratie: Warum Datenethik die Grundlage für eine freie und gerechte Gesellschaft ist

Dr. Felix Sühlmann-Faul 

Datenschutz ist weit mehr als ein technisches oder juristisches Thema – er ist eine zentrale Voraussetzung für Solidarität und den Schutz demokratischer Werte. In einer zunehmend digitalen Welt ermöglicht Datenschutz den Menschen, frei zu denken, zu handeln und sich auszutauschen, ohne Angst vor Überwachung oder Manipulation. Dieser Vortrag zeigt, wie ethischer Umgang mit Daten nicht nur die Privatsphäre schützt, sondern auch das Fundament für Meinungsvielfalt, gesellschaftlichen Zusammenhalt und die Integrität demokratischer Prozesse bildet. Europa hat hier die Chance, einen „dritten Weg“ zu gestalten: einen datenethischen Ansatz, der Innovation mit den Grundwerten von Freiheit, Würde und Solidarität verbindet. 

10:30 Uhr Kommunikationspause