47. DAFTA + 42. RDV-Forum - Seminar / Kurs von DATAKONTEXT GmbH

 

47. DAFTA und das 42. RDV - Forum

am 15.-17.11.2023 

HYBRID | Köln und online

 

42. RDV-Forum am 15.11.2023 in Köln

 

Der Gesetzgeber plant im Bereich des Beschäftigtendatenschutz umfangreiche Neuregelungen. Nachdem im April diesen Jahres das Bundesministerium für Arbeit und Soziales (BMAS) gemeinsam mit dem Bundesinnenministerium Eckpunkte für einen „modernen Beschäftigtendatenschutz“ vorgelegt hat, soll zeitnah ein konkreter Gesetzentwurf vorgelegt werden. Diskutiert werden u.a. detaillierte Regelungen zur Datenverarbeitung von Bewerbern/Bewerberinnen, zur Kontrolle von Beschäftigten und zum Einsatz von Künstlicher Intelligenz (KI) im Beschäftigungsverhältnis. Der Gesetzgeber steht insoweit unter Handlungsdruck, da der Europäische Gerichtshof (EuGH) Zweifel an der Europarechtskonformität einer § 26 Abs. 1 S. 1 BDSG vergleichbaren nationalen landesrechtlichen Regelung geäußert hat. Nach dem EuGH muss eine nationale Regelung zum Beschäftigtendatenschutz als eine „spezifischere Vorschrift“ einzustufen sein.

 

Neu vorgelegt wurde vom BMAS auch ein Entwurf zur Arbeitszeiterfassung, der Rechtsprechungsvorgaben umsetzt und eine uneingeschränkte Pflicht zur Arbeitszeiterfassung auf elektronischem Wege für alle Beschäftigten vorsieht. Das RDV-Forum 2023 beleuchtet, wie die neuen Vorgaben in Behörden und Unternehmen konkret datenschutzkonform umgesetzt werden können. Vergleichbare Fragen ergeben sich auch bezüglich des im Gesetzgebungsverfahren befindlichen und – angesichts der Umsetzungsfristen der zugrundeliegenden europäischen Whistleblowing Richtlinie – längst überfälligen Hinweisgeberschutzgesetzes.

 

Ein weiterer Schwerpunkt des RDV-Forums wird erneut in der komprimierten wie praxisbezogenen Darstellung der nationalen und europäischen Rechtsprechung zum Datenschutz liegen. So sind etwa beim EuGH diverse bedeutsame Fragen zur DS-GVO anhängig, die noch in diesem Jahr beantwortet werden sollen, u.a. zu den Voraussetzungen und dem Umfang des DS-GVO Schadensersatzes (Reicht die bloße Datenschutzverletzung für den Schadensersatzanspruch? Gilt eine Erheblichkeitsschwelle? Wie ist der immaterielle Schadensersatz zu bemessen?), zur Reichweite des Auskunftsanspruchs (Was ist eine Kopie?) sowie zum Begriff des (gemeinsam) Verantwortlichen. Bereits ergangen ist eine Entscheidung des EuGH zur Reichweite des Auskunftsanspruchs im Hinblick auf die Empfänger der Daten des Betroffenen.

 

Viele komplexe Rechtsfragen im Zusammenhang mit der Datenauskunft sind allerdings nach wie vor nicht verbindlich geklärt und es bedarf entsprechender praktikabler Lösungsvorschläge, die im Rahmen RDV-Forums vorgestellt werden. 

42. RDV-FORUM

Im Brennpunkt: Beschäftigtendatenschutz und Künstliche Intelligenz (KI)

 

PROGRAMM MITTWOCH, 15. NOVEMBER 2023

 

09:30 Uhr Eröffnung und Begrüßung

RA Andreas Jaspers, Geschäftsführer der GDD e.V., Bonn RAin Yvette Reif, LL.M., stellv. Geschäftsführerin der GDD e.V., Bonn 

 

BLOCK 1: HERAUSFORDERUNG BESCHÄFTIGTENDATENSCHUTZ

 

09:45 Uhr KI im Beschäftigungsverhältnis: Praktische Anwendungsszenarien und Herausforderungen

Mattias Ruchhöft, Dipl-Oec., Geschäftsführung, dtb - Datenschutz- und Technologieberatung GmbH & Co. KG, Zierenberg

 

10:15 Uhr Datenschutzkonformes Bewerbungsverfahren aus Sicht der Datenschutzaufsicht

Okşan Karakuş, Referentin beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI), Hamburg

 

10:45 Uhr Das geplante Beschäftigtendatenschutzgesetz: Bericht aus dem Bundesministerium für Arbeit und Soziales (BMAS)

Robert Räuchle, Leiter des Teams Politikgestaltung (D2) in der Denkfabrik Digitale Arbeitsgesellschaft. Bundesministerium für Arbeit und Soziales, Berlin Anne Degner, Team Politikgestaltung, Denkfabrik Digitale Arbeitsgesellschaft, Bundesministerium für Arbeit und Soziales, Berlin

 

11:15 Uhr Kommunikations- und Kaffeepause

 

11:45 Uhr Gesetzentwurf zum Beschäftigtendatenschutz: Wegweisender Fortschritt?

Prof. Dr. Gregor Thüsing, LL.M. (Harvard), Institut für Arbeitsrecht und Recht der sozialen Sicherheit der Universität Bonn; GDD-Vorstand, Bonn

 

12:15 Uhr PODIUMSDISKUSSION

Anne Degner

Okşan Karakuş

Robert Räuchle

Mattias Ruchhöft

Prof. Dr. Gregor Thüsing

Leitung der Diskussionsrunde: RA Andreas Jaspers, RAin Yvette Reif

 

13:00 Uhr Mittagspause

 

BLOCK 2: NEUES EU-RECHT UND DESSEN UMSETZUNG

 

14:00 Uhr Hohe Schadensersatzpflicht von Unternehmen für Bagatellverstöße? Datenschutzhaftung nach der Rechtsprechung des EuGH

RA Tim Wybitul, Partner Latham und Watkins, Frankfurt

 

14:45 Uhr Datenschutzkonforme Umsetzung des neuen Hinweisgeberschutzgesetzes in der Praxis

RA Andreas Rüdiger, Senior Associate, DLA Piper UK LLP, Köln

 

15:30 Uhr Kommunikations- und Kaffeepause

 

16:00 Uhr Die EU-Datenakte – praktische Auswirkungen für das EU-Datenschutzrecht

Prof. Dr. Rolf Schwartmann, Leiter Kölner Forschungsstelle für Medienrecht, Technische Hochschule Köln; Vorstandsvorsitzender der GDD e.V., Bonn

 

16:45 Uhr Abschluss

 

17:30 Uhr GDD-Mitgliederversammlung

------------------------------------------------------------------------------------

 

47. DAFTA

PROGRAMM DONNERSTAG, 16. NOVEMBER 2023 I

 

DATENPOLITISCHER VORMITTAG

 

09:00 Uhr Eröffnung und Begrüßung

Prof. Dr. Rolf Schwartmann, Vorstandsvorsitzender der GDD e.V., Bonn

 

Grußwort Stadt Köln

Bürgermeister Andreas Wolter

 

09:15 Uhr Kollege ChatGPT – KI im Unternehmenseinsatz

Prof. Dr. Tobias Keber, Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg, Stuttgart

 

09:45 Uhr Die Regulierung der EU-KI-Verordnung

Kai Zenner, Digitalreferent im Europäischen Parlament, Brüssel (per Video)

 

10:10 Uhr Datenschutzanforderungen an den Einsatz von KI

Dr. h.c. Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein, Kiel

 

10:35 Uhr Chatbots in der Google-Welt

Dr. Marek Jansen, LL.M., Privacy Policy Lead, Google

 

11:00 Uhr Kommunikations- und Kaffeepause

 

11:30 Uhr PODIUMSDISKUSSION:

Tobias Haar. LL.M., MBA, General Counsel, Aleph Alpha GmbH, Heidelberg (mit Eingangsstatement)

Marit Hansen

Andreas Jaspers

Prof. Dr. Tobias Keber

Moderation: Prof. Dr. Rolf Schwartmann, Vorstandsvorsitzender der GDD e.V., Bonn

 

12:30 Uhr Mittagspause

 

PARALLELE FOREN 1 UND 2

 

13:30 Uhr FORUM 1: Tipps zur Integration von KI in den betrieblichen Datenschutz

Zielsetzung: Gegenstand des Forums sind aktuelle praktische Fragestellungen aus dem Arbeitsalltag betrieblicher Datenschutzbeauftragter. Das Forum bietet Anhaltspunkte und Denkanstöße, wie KI in den betrieblichen Datenschutz integriert werden kann. Zum Beispiel hinsichtlich der Frage, wie Dokumentationspflichten im Kontext von KI umgesetzt werden können.

Referent: Dr. Matthias Orthwein, LL.M., Kanzlei SKW Schwarz, München Leitung: Ulrike Egle, Deputy General Counsel, Lawyer, Rechtsabteilung, Ravensburger AG, Ravensburg; GDD-Vorstand, Bonn

 

13:30 Uhr FORUM 2: Identitätsdatenleaks und Account Takeover

Zielsetzung: Passwörter sind weiterhin die häufigste Authentifizierungsmethode, jedoch besteht die Gefahr der Mehrfachverwendung und des Diebstahls durch Phishing, Spionage-Software oder Server-Hacks. Gestohlene Identitätsdaten werden illegal gehandelt, doch Sicherheitsforscher können solche Leaks aufdecken und Missbrauch verhindern.

Referent: Dr. Matthias Wübbeling, Identeco GmbH & Co KG, Bonn Leitung: Prof. Dr. Michael Meier, Inhaber des Lehrstuhls für IT-Sicherheit am Institut für Informatik der Universität Bonn, Leiter der Abteilung Cyber Security, Fraunhofer FKIE; GDD-Vorstand, Bonn

 

14:45 Uhr KURZE PAUSE WECHSEL IN ANDERES FORUM

 

 

PARALLELE FOREN 3 UND 6

 

14:55 Uhr FORUM 3: Das datenschutzrechtliche Auskunftsrecht in der Praxis

Zielsetzung: Die praktische Umsetzung der Vorgaben zum Auskunftsrecht wurde in der Vergangenheit dadurch erschwert, dass zentrale Fragen im Zusammenhang mit Art. 15 DS-GVO umstritten waren, wie u.a. das Verhältnis des allgemeinen Auskunftsanspruchs und des Anspruchs auf eine »Kopie« (Art. 15 Abs. 3 DS-GVO) oder auch die Frage, was unter dem Begriff der »Kopie« überhaupt zu verstehen ist. Wesentliche, wenn auch nicht alle Fragen wurden inzwischen durch den Europäischen Gerichtshof (EuGH) geklärt. In diesem Forum wird der gegenwärtige Stand der Erkenntnisse zum Auskunftsrecht dargestellt. Vorgestellt wird zudem die neue GDD-Praxishilfe zum Auskunftsrecht, die gemeinsam von Juristen/Juristinnen und Vertreter/-innen der Datenschutzpraxis erarbeitet wurde.

Reichweite des datenschutzrechtlichen Auskunftsanspruchs und Tipps für eine rechtssichere und zugleich praxistaugliche Umsetzung

• Grundlagen des Rechts auf Auskunft und offene Fragen
• Rechtsprechung des EuGH zum Auskunftsanspruch
• Anspruch auf »Kopie« der personenbezogenen Daten
• Ausnahmen vom Recht und Einschränkungen
• Schaffung der notwendigen unternehmens-/behördeninternen Voraussetzungen für die Erfüllung von Auskunftsansprüchen
• Typische Fragestellungen aus der Praxis
• Neue GDD-Praxishilfe zum Auskunftsanspruch

Referentin: RAin Yvette Reif, LL.M., stellv. Geschäftsführerin der GDD e.V., Bonn

Leitung: Prof. Dr. Gregor Thüsing, LL.M. (Harvard), Direktor des Instituts für Arbeitsrecht und Recht der sozialen Sicherheit, Universität Bonn; GDD-Vorstand, Bonn

 

14:55 Uhr FORUM 6: Datenschutz und Informationssicherheit neu gedacht – Machen ist wie wollen – nur besser

Zielsetzung: 

• Datenschutz aus der Sicht einer »KRITIS« (Sparkasse), was geht und was eben nicht. Was muss, was kann,was soll. Getreu dem Motto: »Sollen ist müssen, wenn man kann«.
• Praxisgerechte Umsetzung des Datenschutzes - hier erhalten Sie Einblicke in den Muster-VordruckLeitfaden-Umsetzungshilfe-Dschungel ganz ohne Machete.
• Datenschutz und Informationssicherheit – aus dem grausamen Alltag eines »menschlichen Schweizer-Taschenmessers«.

Referent: Christoph Kopper, CISO und Datenschutzbeauftragter für eine KRITIS-Sparkasse, Mitglied bei BSI-Themenarbeitskreisen (Regulatorik/KRITIS/Sensibilisierung), Lörrach

Leitung: Bettina Herman, atarax Unternehmensgruppe, Herzogenaurach; GDD-Vorstand, Bonn

 

14:55 Uhr ANBIETERFORUM: Die passende Software zur effektiven Datenschutzorganisation (nur in Präsenz)

• Einführung in die Grundfunktionen
• Collaboration-Ansatz durch klares Rollen- und Rechtekonzept
• Verwaltungs-Mandant
• Ausblick: Das Audit Modul

Referent: Kai Bieler, L&I IT-solutions GmbH & Co. KG

 

16:10 Uhr Kommunikations- und Kaffeepause

 

PARALLELE FOREN 4, 5 UND ANBIETERFORUM

 

16:45 Uhr FORUM 4: KI und IT-Sicherheit

• Einführung in die KI
• Angriffe auf die IT mit KI optimieren
• Die Erkennung und Abwehr von Angriffen mit KI verbessern
• Angriffe gegen die KI-Systeme

Referent: Prof. Dr. Thorsten Holz,, CISPA – Helmholtz-Zentrum für Informationssicherheit, Saarbrücken

Leitung: Prof. Dr. Rainer W. Gerling, Freiberuflicher Autor und Referent; Honorarprofessor für IT-Sicherheit an der Hochschule München; GDD-Vorstand, Bonn

 

16:45 Uhr FORUM 5: Aus der Bußgeldpraxis der Aufsichtsbehörden

• Was kostet es? Grundlagen der Bußgeldbemessung
• Wen trifft es? Rechts- versus Funktionsträgerprinzip
• Aktuelle Entwicklungen & Fragestellungen

Zielsetzung: 5 Jahre nach Inkrafttreten der DS-GVO haben die Durchsetzungs- und Sanktionsmaßnahmen der Datenschutzaufsichtsbehörden europaweit erkennbar zugenommen. Das Forum gibt einen Überblick über aktuelle Entwicklungen der Bußgeldbemessung und Sanktionspraxis von Aufsichtsbehörden.

Referentin: Barbara Thiel, Landesbeauftragte für den Datenschutz Niedersachsen a.D., Hannover

Leitung: Gabriela Krader, LL.M., Konzerndatenschutzbeauftragte Deutsche Post DHL Group; stellv. Vorsitzende der GDD e.V., Bonn

 

 

16:45 Uhr ANBIETERFORUM: Wie schaffe ich Mehrwert aus Compliance-Anforderungen im Datenschutz? (nur in Präsenz)

Zielsetzung: Der Vortrag beschäftigt sich mit der Frage, wie Unternehmen den Datenschutz als Chance nutzen können. Ausgehend von den essentiellen Datenschutzanforderungen, bieten die Referenten praxiserprobte Empfehlungen für Unternehmen, die den Datenschutz nicht nur als Pflicht, sondern auch als Chance begreifen möchten.

Vortragende:  Dennis Kurpierz, COO, caralegal; Jacqueline Neiazy, Director, ISiCO Datenschutz

 

Bereit für die EU Data Strategy? Alles was Sie aktuell über Data Act, AI Act und Digital Services Act wissen müssen

Referent: Andreas Beck, OneTrust

Leitung: Thomas Müthlein, Geschäftsführer, DMC Datenschutz-Management und Consulting GmbH und Co.KG, Köln; GDD-Vorstand, Bonn

 

18:00 Uhr Ende des 1. DAFTA-Tages

 

19:00 Uhr DAFTA-Treff im Maternussaal

 

PROGRAMM FREITAG, 17. NOVEMBER 2023 I

 

PARALLELE FOREN 7 UND SPEZIALFORUM

 

09:00 Uhr FORUM 7: Internationaler Datentransfer

Zielsetzung: 

• Erläuterung der wesentlichen Inhalte des neuen EU-USA-Angemessenheitsbeschlusses (Trans-Atlantic Data Privacy Framework)
• Überblick zur aktuellen Rechtslage in den USA (u.a. Executive Order, CLOUD Act, FISA)
• Anforderungen an eine rechtmäßige Datenübermittlung nach der Schrems II-Entscheidung des EuGH
• Plan B: Sollte trotz Angemessenheitsbeschluss weiterhin auf Standardvertragsklauseln gesetzt werden? Wenn ja, was ist zu beachten?

Referent: Dominik Stockem, Datenschutzbeauftragter, Microsoft Deutschland GmbH

Leitung: Kristin Benedikt, Richterin am Verwaltungsgericht Regensburg; GDD-Vorstand, Bonn

 

09:00 Uhr SPEZIALFORUM: Gesundheits- und Sozialdatenschutz

Zielsetzung: Der potenzielle Nutzen »Künstlicher Intelligenz« ist unbestritten. Auch in der Medizin hält sie zunehmend Einzug – von der Automatisierung über die Entscheidungsfindung bis hin zur Forschung. Doch wo liegen die Risiken, insbesondere beim Datenschutz? Und welchen Einfluss haben hier die aktuellen Regulierungsbestrebungen, speziell auf EU-Ebene?

• KI und Datenschutz im Gesundheitswesen – Wohin geht die Reise?

Referentin: Marie-Claire Koch, Redakteurin Heise online, Hannover

 

• Erörterungen zum betrieblichen KI-Einsatz

Leitung: David Koeppe, Vivantes Netzwerk für Gesundheit GmbH, Berlin; Leiter GDD-AK «Datenschutz und Datensicherheit im Gesundheits- und Sozialwesen”

 

10:15 Uhr Kurze Pause Wechsel in anderes Forum

 

10:25 Uhr FORUM 8: Eckpunkte für ein Gesetz zum Beschäftigten-Datenschutz

Zielsetzung: 

• Aktueller Stand des Gesetzgebungsverfahrens
• Konkrete Vorschläge zur Regulierung: - Einwilligung - Überwachung bei Straftatverdacht - Screening - Beweisverwertungsverbote - Rolle des Betriebsrats - Schadenersatz wegen Verstoß
• Kritische Diskussion aus Sicht Arbeitnehmer/-in und Arbeitgeber/-in

Referenten: Roland Wolf, Abteilungsleiter Arbeitsrecht und Tarifpolitik, BDA, Berlin; Marc-Oliver Schulze, AfA Rechtsanwälte, Arbeitsrecht für Arbeitnehmer, Nürnberg

Leitung: Dr. Stefan Brink, LfDI Baden-Württemberg a.D., Wiss. Institut für die Digitalisierung der Arbeitswelt, wida Berlin

 

10:25 Uhr FORUM 9: Die NIS-2-Richtlinie

• Wer muss jetzt mehr für die IT-Sicherheit tun?
• Welche Sanktionen drohen bei Nichtbeachtung?
• Welche weiteren Änderungen bringt die Richtlinie?

Referent: Nicolas Ziegler, Wissenschaftlicher Mitarbeiter am Lehrstuhl für Recht und Sicherheit der Digitalisierung, TU München

Leitung: Steve Ritter, Referatsleiter „IT-Sicherheit und Recht“, Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn; GDD-Vorstand, Bonn

 

11:40 Uhr Kommunikations- und Kaffeepause

 

12:10 Uhr VERGABE: GDD-Wissenschaftspreis

Moderation: Prof. Dr. Tobias Keber, Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg, Stuttgart

VERGABE: GDD-Datenschutzpreis

Moderation: Prof. Dr. Rolf Schwartmann, Leiter Kölner Forschungsstelle für Medienrecht, Technische Hochschule Köln; Vorstandsvorsitzender der GDD e.V., Bonn

 

13:10 Uhr Schlusswort

Moderation: Gabriela Krader, LL.M., Konzerndatenschutzbeauftragte Deutsche Post DHL Group; stellv. Vorsitzende der GDD e.V., Bonn

13:30 Uhr Ende der 47. DAFTA

 

Fortbildungsveranstaltung gem. Art. 38 Abs. 2 DS-GVO/§§ 5, 6, 38 BDSG