10. Hamburger Datenschutztage

Für Datenschutzbeauftragte und -berater, sowie Datenschutzdienstleister, IT-Sicherheitsbeauftragte, Revisoren sowie Compliance-Beauftragte

Konferenzleitung:
Dr. Michael Foth, Geschäftsführer der IBS data protection services and consulting GmbH, ist seit über 20 Jahren als Spezialist für Datenschutz und für IT-Sicherheitsanalysen tätig. Er betreut national und international aufgestellte Mandanten als externer Datenschutzbeauftragter mit den Schwerpunkten Gesundheitswesen und Finanzdienstleister. Außerdem ist er technischer Experte (CEPE T) des European Privacy Seal (EuroPriSe).

Pre-Seminar 1 (14.06.2023: 09:30–17:00 Uhr)

Praxistaugliches Risikomanagement
Referent: Marc Neumann, IBS data protection services and consulting GmbH

Die Verarbeitung personenbezogener Daten kann je nach Zweck, Umfang und Ausgestaltung unterschied-lich hohe Risiken für die Betroffenen mit sich bringen. Die DS-GVO sieht daher vor, dass jede Verarbeitungstätigkeit nach den zu erwartenden Risiken beurteilt wird und angemessene Schutzmaßnahmen getroffen werden, die das Risiko für die betroffenen Personen minimieren können. In diesem Seminar zeigen wir Ihnen die Möglichkeiten eines praxisgerechten Risikomanagements. Wir betrachten sowohl die initiale Risikobewertung der Verarbeitungstätigkeiten einschließlich Schwellwertanalyse und erforderlicher Daten-schutz-Folgenabschätzung als auch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen und den Umgang mit Verletzungshandlungen. Angereichert wird das Pre-Seminar mit Tipps und Tricks aus der Praxis eines langjährigen Datenschutzbeauftragten.

Risiken für die Rechte und Freiheiten natürlicher Personen

• (Brutto-) Risiken für Verarbeitungstätigkeiten bestimmen
• Risikoermittlung im Rahmen einer Datenschutz-Folgenabschätzung (DSFA)
• Risikobewertung im Rahmen einer Datenschutzverletzung

Sicherheit der Verarbeitung

• Erforderliche technische und organisatorische Maßnahmen (TOM)
• Abhilfemaßnahmen einer DSFA (vorhandene TOM und zusätzlich erforderliche Maßnahmen)
• Wiederherstellung der Sicherheit der Verarbeitung nach einer Datenschutzverletzung

Tipps und Tricks

• Gesetzliche und regulatorische Anforderungen umsetzen
• Schutzbedarfsfeststellung für personenbezogene Daten
• Praktische Übung für übergreifende Risikobewertung
• Vorlagen und Muster für Richtlinien und Dokumentationen
• Risikoorientierte Aufgabenwahrnehmung durch den Datenschutzbeauftragten

Pre-Seminar 2 (14.06.2023: 09:30–17:00 Uhr)

Datenschutzkonformer Einsatz von Microsoft 365

Referenten: Bendix-Florian Braren/Jan Morgenstern

Inhalte folgen

Konferenz
1. Tag – 15.06.2023 von 9:00-17:15 Uhr
2. Tag – 16.06.2023 von 8:45 – 14:40 Uhr

Erste Inhalte:

Gespaltene Persönlichkeit? Auftragsverarbeitung vs. Verantwortlichkeit bei Cloudprovidern

Zu Software as a Service gehört regelmäßig ein Auftragsverarbeitungsvertrag zwischen Cloudprovider und Unternehmenskunde. Gleichwohl nutzen Cloudprovider die anfallenden Daten vielfach auch für eigene Zwecke, etwa zur Gewährleistung der Sicherheit ihrer IT-Systeme oder zur Produktverbesserung. Das verträgt sich aber nicht mit der Auftragsverarbeitung und wirft die Frage auf, ob es daneben auch Verarbeitungen durch den Cloudprovider als (allein oder gemeinsam) Verantwortlicher gibt – und aus Sicht der DSGVO auch geben darf.

Referent: Sascha Kremer

Schmerzensgeldansprüche wegen DS-GVO-Verstößen – Geschäftsmodell für zukünftige Massenverfahren?

Der Vortrag wird sich inhaltlich zunächst mit den Anspruchsvoraussetzungen des Schmerzensgeldanspruchs aus Art. 82 Abs. 1 DS-GVO befassen. Im Rahmen der Prüfung wird sodann die Frage aufgeworfen, ob der bloße Verstoß gegen Vorschriften der DS-GVO ausreicht, um dem Betroffenen einen immateriellen Schadensersatzanspruch zuzusprechen, oder ob dieser einen konkret erlittenen immateriellen Schaden darzulegen und erforderlichenfalls zu beweisen hat. In diesem Zusammenhang werden die stark divergierenden Tendenzen insbesondere zwischen der zivil- und arbeitsgerichtlichen Rechtsprechung aufgezeigt und letztendlich erörtert, welche Argumente für bzw. gegen die jeweiligen Auffassungen streiten, welche Auffassung der Generalanwalt beim EuGH vertritt (sofern der EuGH bis dahin nicht bereits selbst entschieden hat) und welche Auffassung ich aus welchen Gründen für vorzugswürdig halte. Zuletzt soll der Vortrag dann die Frage erörtern, ob sich die Schmerzensgeldansprüche unter der DS-GVO an Dritte übertragen bzw. abtreten lassen und sich zukünftig aus der Durchsetzung solcher Ansprüche ein neues Geschäftsmodell für Massenverfahren ggf. unter Zuhilfenahme von Legal Tech ergeben könnte.
Referent: Andreas Müller

Die gläsernen Mitarbeiter - Datenschutz vs. Mitarbeiter(-überwachung)kontrolle

Der Begriff „gläsern“ ist negativ behaftet. Er hat sich als Metapher im Datenschutz durchgesetzt und steht seit dem Volkszählungsgesetz aus den 80er Jahren als ein Sinnbild für die ausufernde und übergriffige Sammlung personenbezogener Daten – insbesondere auf Vorrat - von öffentlichen und privaten Stellen. Wie aber sieht es im Beschäftigungsverhältnis aus? Wie weit darf ein Arbeitgeber bei der Datensammlung seiner Mitarbeiter gehen? Wie wirkt sich dabei die Digitalisierung in der Arbeitswelt aus? Darf der Einsatz digitaler Technik zu einer (umfassenden) Leistungs- und Verhaltenskontrolle führen? Welche Grenzen sieht dabei das Datenschutzrecht vor? Diese und weitere Fragen wird Frau Karakus mit Ihnen diskutieren und dabei auch die Arbeit der Aufsichtsbehörde und deren Sichtweise auf einzelne datenschutzrechtliche Frage-stellungen anhand von praxisrelevanten Beispielen vorstellen.
Referent: Okşan Karakuş- Referat W – Wirtschaft und Infrastruktur, Stellvertretende Referatsleiterin, W2

Entwicklung des internationalen Datenschutzrechts im Lichte der Datenschutz-Grundverordnung

Die Änderungen des Rechts im europäischen Raum führen nicht nur in Europa zu Veränderung. Selbst über die Grenzen hinaus wird die EU-Datenschutz-Grundverordnung als Vorbild für weitere Datenschutzgesetze herangezogen. Ein Überblick über die derzeitige Gesetzeslage, insbesondere aus dem asiatischen Raum, und deren Zusammenhang zur EU-Datenschutzgrundverodnung.
Referent: Karsten Kinast

Google Fonts & Co - Wie Sie als Datenschützer/in Risiken auf Websites finden

In nur wenigen Bereichen eines Unternehmens sind Datenschutz-Schwachstellen so leicht von außen erkennbar wie auf der Unternehmens-Website, deshalb sind Abmahnwellen wie bspw. wegen Google Fonts ein ständiges Risiko. Mithilfe der Entwickler-Tools, die jeder Browser mitbringt, können diese Schwachstellen identifiziert werden, doch die technischen Hürden schrecken viele Datenschutzbeauftragte und Rechtsanwälte ab. Dieser Vortrag demonstriert mit vielen praktischen Beispielen, wie man ohne technische Vorkenntnisse über die Entwickler-Tools einen Blick unter die Browser-Motorhaube werfen kann. Damit lassen sich Google Fonts und andere problematische Dienste zweifelsfrei nachweisen oder Consent-Banner und Kontaktformulare auf Korrektheit prüfen.
Referent: Eckhard Schneider

Drittstaatentransfers: geht nicht, gibt´s nicht!

Der Datentransfer aus der EU/EWR in sogenannte „Drittstaaten“ ist seit den beiden EuGH Entscheidungen Schrems I und Schrems II aus den Jahren 2015 und 2020 eines der umstrittensten Themen im Datenschutzrecht. Der EuGH hat höchste Maßstäbe darangesetzt, die in der Praxis nur mit großem Aufwand rechtssicher gestaltet werden können. Das ist längst nicht überall der Fall, dennoch haben die Aufsichtsbehörden noch keinen Datentransfer mit einem Bußgeld aufgehalten. Wie können sich Unternehmen absichern? Was ist die gelebte Praxis? Wie positionieren sich die Aufsichtsbehörden? Wie geht es weiter? Diese Fragen sind Gegenstand des Vortrags.
Referent: Dr. Axel Freiherr von dem Bussche

Datenschutz und künstliche Intelligenz – Prüfanforderungen aus der Praxis und die (berechtigte?) Sorge vor der Superintelligenz?

Andreas Sachs - Diplom-Informatiker, Leiter des technischen Referats sowie Vertreter des Präsidenten beim Bayerischen Landesamt für Datenschutzaufsicht, Ansbach