9. Hamburger Datenschutztage

Folgende Themen stehen auf der Agenda:

• Zukunft des internationalen Datenverkehrs
• Grenzen der Betroffenenrechte
• Aktuelle Themen der Aufsichtsbehörden
• Live-Demos zu Schwachstellen und Risiken
• Tracking – und was wirklich geschieht
• Überwachungsaufgaben im Datenschutz

Für Datenschutzbeauftragte und -berater, sowie Datenschutzdienstleister, IT-Sicherheitsbeauftragte, Revisoren sowie Compliance-Beauftragte

 

Konferenzleitung:
Dr. Michael Foth, Geschäftsführer der IBS data protection services and consulting GmbH, ist seit über 20 Jahren als Spezialist für Datenschutz und für IT-Sicherheitsanalysen tätig. Er betreut national und international aufgestellte Mandanten als externer Datenschutzbeauftragter mit den Schwerpunkten Gesundheitswesen und Finanzdienstleister. Außerdem ist er technischer Experte (CEPE T) des European Privacy Seal (EuroPriSe).

 

 

Pre-Seminar 1 (01.06.2022: 09:30–17:00 Uhr)
Datenschutz Online – Analytics, Cloud und Co. im Unternehmen

Referent: Marc Neumann, IBS data protection services and consulting GmbH

Digitale Dienstleistungen in unterschiedlichen Ausprägungen werden von Unternehmen jeder Größe genutzt. Neben wirtschaftlichen Aspekten spielen vor allem Faktoren wie Skalierbarkeit als auch Bedienbarkeit und Akzeptanz von Mitarbeitern und Kunden eine wichtige Rolle. Dabei stellen sich Unternehmen früher oder später Fragen zum datenschutzkonformen Einsatz. Welcher Anbieter ist geeignet? Sind zusätzliche Vereinbarungen erforderlich? Hat die Auswahl eines Dienstes Auswirkungen auf die Unternehmensrisiken? In welchen Fällen ist eine Nutzung sinnvoll – wann sollte lieber auf einen Dienst verzichtet werden?
In diesem Pre-Seminar vertiefen wir die datenschutzrechtlichen Fragen und erarbeiten praxisgerechte Lösungen für digitale Services in folgenden Bereichen:

• Werbung
• Social Marketing
• Analyse und Tracking
• Newsletter
• IT-Systeme
• Platform as a service
• Software as a service
• Unternehmenskommunikation
• Messaging Dienste
• Social Intranet

 

Pre-Seminar 2 (01.06.2022: 09:30–17:00 Uhr)
Auskunft, Löschung, Widerspruch & Co.: Die DS-GVO-Betroffenenrechte – Rechtliche Anforderungen und Umsetzung in der Praxis

Referent*innen: Yvette Reif, GDD/Dr. Michael Foth, IBS data protection services and consulting GmbH

Unter den Voraussetzungen der gesetzlichen Vorschriften der Datenschutz-Grundverordnung (DS-GVO) sowie des  Bundesdatenschutzgesetzes (BDSG) haben Mitarbeiter, Kunden, Interessenten usw. eine Reihe von Betroffenenrechten. Über diese Rechte können Einzelpersonen Informationen über die von Verantwortlichen durchgeführten Verarbeitungen erhalten und ggf. beeinflussen, ob oder wie ihre personenbezogenen Daten verarbeitet werden. Betroffenenrechte sind das Herzstück der DS-GVO - in diesem Pre-Seminar geben wir einen Überblick, was aus datenschutzrechtlicher Sicht beachtet werden muss, und beleuchten praxisrelevante Fallstricke.

Im Einzelnen werden folgende Themen behandelt:

• Antragsunabhängige Pflichten des Unternehmens/der Behörde
• Pflichten bei entsprechendem Verlangen der betroffenen Person
• Voraussetzungen der einzelnen Betroffenenrechte
• Reichweite des Anspruchs auf Auskunft:
• Welche Informationen und Dokumente werden konkret erfasst?
• Zum Beispiel auch Telefon- oder Gesprächsvermerke, (E-Mail-)Korrespondenz oder Informationen, die nur aus handels- oder steuerrechtlichen Gründen noch vorgehalten werden?
• Ausnahmen von den Betroffenenrechten
• Einwand des Rechtsmissbrauchs gegenüber Antragstellern möglich?
• Fristen und Formalia beim Umgang mit Betroffenenrechten
• Überblick über relevante Gerichtsurteile
• Aufbau von internen Prozessen zum Umgang mit Betroffenenbegehren
• Umsetzungshinweise aus der Datenschutzpraxis

 

1. Konferenztag 02.06.2022

 

09:00 Uhr Empfang

09:15 Uhr  Begrüßung sowie Eröffnung der Fachkonferenz durch den Vorsitzenden

09:30 Uhr Vortrag 1 (45 min)
Tracking 2022: Innovationsbremse, verordneter Blindflug oder effektiver Datenschutz

Referent: RA Thomas Brehm, Rechtsanwalt

Der Vortrag soll dem Auditorium eine Einführung in das Thema „Tracking“ geben. Er wird eine kurze rechtliche Einordnung einer Geschichte voller Missverständnisse und Unschärfen enthalten. Auch soll Generelles zum Verwendungsbereich (Apps, Websites, Dienste), typischen Konstellationen (Auftragsverarbeitung, gemeinsame Verantwortlichkeit, On Premise), Datenarten, und zur
Verknüpfung diskutiert werden. Die rechtlichen Hintergründe zur DS-GVO, Datenschutzrichtlinie für die elektronische Kommunikation, TTDSG sowie Verarbeitung in Drittstaaten, Schrems II und Rechtsgrundlagen für unterschiedliche Konstellationen sind ebenfalls Thema des Vortrags.
Dieser wird mit rechtlichen Schlussfolgerungen 2022 beendet:

• The good: Möglichkeiten und Realisierung
• The bad: Was nach geltendem Recht nicht (mehr) zulässig ist
• The ugly: Rechtsfolgen bei Verstößen, Beispiele und Bußgelder, aktuelle Entwicklungen in DE/EU

 

10:15 Uhr Vortrag 2 (45 min)
Rechtskonformer Einsatz von MarTech- und Tracking-Tools in der Praxis

Referent: Christian Bennefeld, eBlocker Open Source

Der Vortrag vertieft die von RA Thomas Brehm diskutierten rechtlichen Grundlagen und zeigt deren konkrete Umsetzung in der Praxis. Wie müssen Consent-Banner rechtskonform gestaltet werden? Welche Anwendungen sind im Sinne des TTDSG tatsächlich „erforderlich“? Welche Möglichkeiten bietet Cookie-loses Tracking? Wie können MarTech US-Anbieter rechtskonform eingesetzt werden? Welche Fallstricke gibt es im Tag- und Consent-Management? Auf diese und viele weitere Fragen gibt Christian Bennefeld umfassende Antworten, die sich sofort in der Praxis umsetzen lassen.

 

11:00 Uhr Kurze Pause

11:15 Uhr Vortrag 3 (45 min)

Neues von den deutschen und europäischen Aufsichtsbehörden

Referentin: Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein

 

Marit Hansen greift die aktuellen Themen auf, die im Jahr 2022 bei den Aufsichtsbehörden in Deutschland und in Europa im Fokus stehen. Dazu gehören neue Stellungnahmen des Europäischen Datenschutzausschusses, Beschlüsse und Entschließungen der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, Konsultationsverfahren und interessante
Fälle und Verfahren.

 

12:00 Uhr Vortrag 4 (45 min)

Live-Hacking – Angriffe erleben – Sensibilität steigern

Referent: Sebastian Schreiber, SYSS GmbH

 

Wer sich vor digitalen Angriffen schützen will, sollte die Arbeitsweise von Hackern genau kennen. Hacking-Techniken werden stetig weiterentwickelt: Eine nur scheinbar abstrakte Bedrohung, die ganz konkret jeden treffen kann und die Herr Schreiber eindrücklich auf die Bühne bringt. Ein fruchtbarer Boden für Gespräche mit Kunden, Geschäftspartnern und Kollegen ist garantiert.

 

 

 

 

12:45 Uhr Mittagspause

14:00 Parallel-Vortrag 5a (60 min)
„Nur der Zweck heiligt die Mittel – oder warum Privacy by Design mehr ist als ein paar Features“

Referent: Volker Lehnert, Senior Director Data Protection S/4HANA, SAP SE

Obwohl Privacy by Design bereits seit den 90er Jahren des vergangenen Jahrhunderts diskutiert wird und dabei immer auf den Zweck verwiesen wird, ist die Abbildung des Zweckes in der Software nur höchst indirekt realisiert. In der technischen Umsetzung ging es mehr um einzelne „Functions and Features“ als um einen gesamthaften und somit zweckbasierten Ansatz, der allein die Features und ihre Nutzung steuern muss. Volker Lehnert wird Ihnen die Vision einer wirklich zweckbasierten Verarbeitung in einer  ERP-Lösung und ihren Satellitensystemen darstellen und dabei auch konkrete Ausblicke auf eine solche Realisierung in SAP S/4HANA geben.

 

14:00 Uhr Parallel-Vortrag 5b (60 min)
Aktuelles zum Datenschutz bei Microsoft 365 und Teams

 

Referent: Prof. Dr. Rainer W. Gerling, GDD

Microsoft 365 (der neue Name von Office 365) und Microsoft Teams werden datenschutzrechtlich kritisch gesehen. Wir stellen Ihnen die aktuellen rechtlichen Entwicklungen, die Sie beachten müssen vor. Außerdem zeigen wir Ihnen wie Sie mit Good Practice Anleitungen das datenschutzrechtliche Optimum konfigurieren können. Auch die neue „Employee Experience Plattform Microsoft Viva“ wird besprochen.

 

15:00 Uhr Kurze Pause

 

15:15 Uhr Parallel-Vortrag 6a (60 min)
Codes of Conduct im Datenschutz – Ausweg Selbstregulierung?

Referent: Dr. Thomas Nietsch, K&L Gates LLP

Die DS-GVO eröffnet Wirtschaftszweigen in diversen Szenarien die Möglichkeit, durch selbst geschaffene Verhaltensregeln (Codes of Conduct) die Einhaltung der gesetzlichen Vorgaben sicherzustellen. Hierbei können industriespezifische Standards und Besonderheiten berücksichtigt werden, sowie die generischen Vorgaben der DS-GVO konkretisiert werden. An die Erstellung und Anerkennung der Verhaltensregeln sind jedoch nicht unerhebliche Anforderungen zu stellen, die es zu überwinden gilt, um von diesen Vorteilen zu profitieren. Dieser Vortrag stellt die grundlegenden Möglichkeiten und Problemfelder der  Selbstregulierung im Datenschutzrecht dar und gewährt Einblicke in die praktische Anwendung.

 

15:15 Uhr Parallel-Vortrag 6b (60 min)
Datenschutz in SAP

Referent: Ingo Wihl, IBS Schreiber GmbH

In einem SAP-System wird eine Vielzahl von sensiblen Daten, welche unter die Regelungen der EU-DS-GVO fallen, gespeichert und verarbeitet. Aufgrund der Komplexität der Tabellenstruktur aber auch des SAP-Berechtigungskonzepts ist es daher essentiell, einerseits bereits im Vorfeld den Zugriff auf sensible Daten einzuschränken und andererseits ein Internes Kontrollsystem einzurichten, welches die korrekte und restriktive Verarbeitung dieser Daten überwacht.
In diesem Vortrag werden die wesentlichsten Fehler aber auch mögliche Lösungen aufgezeigt.

 

16:15 Uhr Kurze Pause

 

16:30 Uhr Podiumsdiskussion „Aktuelle Chancen und Herausforderungen im Datenschutz – Was ist noch zu tun“

17:15 Uhr Abschluss des ersten Tages

 

 

 

2. Konferenztag 03.06.2022

 

09:00 Uhr Vortrag 1 (45 min)
Innovationstreiber Datenschutz: Datenschutzrechtliche Entwicklungen in Deutschland und der EU

Referent: Prof. Dr. Thomas Hoeren, Universität Münster

In diesem Vortrag erhalten Sie einen Überblick über die wichtigsten Entwicklungen im deutschen und europäischen Datenschutzrecht. Dabei stehen die jüngsten Regelwerke aus Brüssel zur Diskussion, vor allem die e-Privacy Verordnung und die verschiedenen Data Acts. Hinzu kommt das TTDSG und die dazu passende aktuelle Rechtsprechung zur Zulässigkeit von Cookies, zu Auskunftspflichten
und zur Bemessung des Schadensersatzes.

 

09:45 Uhr Vortrag 2 (45 min)
Stand der Datenschutz-Zertifizierung – Ein Unterscheidungsmerkmal für Unternehmen

Referent: Sebastian Meissner, EuroPriSe Cert GmbH

Die DS-GVO ist seit Ende Mai 2018 anwendbar. Dennoch hat es danach noch mehrere Jahre gedauert, bis die ersten genehmigten Zertifizierungsverfahren in Sichtweite kamen. Der Vortrag erläutert, warum sich dieser Prozess so lange hingezogen hat, und gibt einen Überblick zum aktuellen Stand der Dinge in Sachen Zertifizierung gem. Art. 42 f. DS-GVO. Des Weiteren werden die Gründe genannt, die aus Sicht eines Unternehmens für eine Zertifizierung sprechen können, und die Vorteile herausgestellt, die sich aus einer Zertifizierung ergeben können. Schließlich werden wesentliche Aspekte eines Zertifizierungsverfahrens am Beispiel des EuroPriSe-Zertifizierungsprogramms erläutert.

 

10:30 Uhr Kurze Pause

 

10:45 Uhr Vortrag 3 (45 min)
Privacy und Security im Kontext von Home-Office und mobilem Arbeiten – eine realistische Einschätzung

Referent: Dr. Christoph Wegener, wecon.it-consulting

Home-Office und mobiles Arbeiten bewegen die Arbeitswelt nunmehr seit fast zwei Jahren und werden ein Dauerbrenner bleiben. Neben den grundsätzlichen arbeitsrechtlichen Fragestellungen rund um dieses Thema, gilt bei vielen Unternehmen bzgl. der Themen Datenschutz und Informationssicherheit im Home-Office und beim mobilen Arbeiten eher das Motto „Nichts hält so gut wie ein Provisorium“. Viele Organisationen sind von einer nachhaltigen Umsetzung der erforderlichen Maßnahmen noch weit entfernt, oft werden die Themen nach wie vor stiefmütterlich behandelt. Der Vortrag zeigt auf, welche Baustellen existieren, und bewertet zugleich die zahlreichen Praxishilfen auf ihre Alltagstauglichkeit. Dabei werden aber nicht nur die klassischen Themen „Windows- Updates“ und „VPN-Nutzung“ angesprochen, sondern auch die Sicherheit der verwendeten Infrastrukturkomponenten, wie DSL-Router, Drucker und Co., das bereits bekannte Problemfeld „BYOD“ und auch die Awareness der Anwender spielen in der Gesamtbetrachtung eine wichtige Rolle.

 

11:30 Uhr Vortrag 4 (45 min)
Vier Jahre DS-GVO – Ein Rückblick aus Perspektive der Aufsicht und worauf sich Unternehmen in Zukunft einstellen können

Referent: Thomas Fuchs, Hamburgischer Beaufragter für Datenschutz und Informationsfreiheit

In ihrer vierjährigen Anwendungszeit hat die DSGVO datenverarbeitende Stellen und Aufsichtsbehörden gleichermaßen vor neue Herausforderungen gestellt. Welche Entwicklungen lassen sich rückblickend analysieren, welche Branchen waren besonders betroffen, was ist gelungen, und was (noch) nicht? Thomas Fuchs gibt einen Einblick in die konkrete Arbeit des HmbBfDI in den letzten Jahren, einen Ausblick, welche Schwerpunkte in der nächsten Zeit zu erwarten sind und zugleich einen Überblick über aktuelle Prüfungen seiner Behörde.

 

12:15 Uhr Mittagspause

13:30 Uhr Vortrag 5 (30 min)
Aktuelle Rechtsprechung zum Auskunftsrecht nach Art. 15 DS-GVO

Referentin: Kristin Benedikt, Richterin und Datenschutzbeauftragte am Bayrischen Verwaltungsgericht

Lange Zeit war unklar, welche Daten herauszugeben sind, wenn ein Betroffener Auskunft gemäß Art. 15 DS-GVO verlangt. Nach vielen Gerichtsentscheidungen wird deutlich, wie umfassend das Auskunftsrecht nach Art. 15 DS-GVO tatsächlich ist. Hinzu kommt, dass Betroffene immer häufiger Schadensersatz verlangen und das Auskunftsrecht missbräuchlich verwenden.
Die Teilnehmer erfahren daher:

• wie im Falle einer Betroffenenanfrage die Auskunft rechtssicher erteilt werden kann
• wie der Verantwortliche einen Prozess zur rechtzeitigen Bearbeitung einrichtet
• wie man Schadensersatzansprüche abwehrt
• in welchen Fällen Verantwortliche Betroffenenanfragen zurückweisen können

 

14:00 Uhr Vortrag 5 (30 min)
Podiumsdiskussion „Aktuelle Rechtsfragen und Auswirkungen auf die Praxis“

 

14:30 Uhr Verabschiedung – Konferenzende