12. Hamburger Datenschutztage

Pre-Seminar 1 (09:30–17:00 Uhr)

Effektives Datenschutzmanagement nach ISO 27701: Anforderungen und Best Practices ergänzend zum ISMS

Marc Neumann

In diesem Seminar erhalten Sie einen kompakten Überblick über die Anforderungen und Implementierung von Datenschutzmanagementsystemen nach der ISO 27701. Die Norm hilft Unternehmen, ihre Datenschutzprozesse zu optimieren und die Anforderungen der DS-GVO effizient umzusetzen. Marc Neumann zeigt auf, wie ISO 27701 in bestehende Informationssicherheits managementsysteme (ISMS) integriert werden kann und welche Best Practices bei der Umsetzung helfen. Der Fokus liegt auf praktischen Anwendungen, die direkt im Unternehmensalltag umgesetzt werden können. Das Seminar richtet sich an die Datenschutzorganisationen in Unternehmen und öffentlichen Institutionen.

• Einführung in ISO 27701
• Überblick und Zielsetzung der Norm
• Zusammenhang mit ISO 27001 und DS-GVO

• Grundlagen des Privacy Information Management Systems (PIMS)
• Komponenten und Struktur eines PIMS
• Integration in bestehende ISMS

• Implementierung nach ISO 27701
• Schritt-für-Schritt-Anleitung zur Einführung eines PIMS
• Durchführung von Gap-Analysen und Risikobewertungen

• Best Practices für die Umsetzung
• Entwicklung von Datenschutzrichtlinien und -prozessen
• Schulung und Sensibilisierung von Mitarbeitern

• Optimierung und Aufrechterhaltung des PIMS
• Methoden zur regelmäßigen Überprüfung und Evaluation
• Anpassung an neue gesetzliche Anforderungen

• Abschlussdiskussion und Fragen

Pre-Seminar 2 (09:30–17:00 Uhr)

Was macht KI mit unseren Daten? Insights zum Datenschutz beim Einsatz von KI

Dr. Patrick Grosmann

Das Pre-Seminar bietet Ihnen einen umfassenden Einblick in die datenschutzrechtlichen Aspekte beim Einsatz von KI und befähigt Sie, KI-Systeme rechtskonform zu implementieren und zu nutzen. Dabei erhalten Sie einen praxisorientierten Überblick über die datenschutzrechtlichen Herausforderungen und Anforderungen, die beim Einsatz von Künstlicher Intelligenz (KI) zu beachten sind. Sie erhalten eine Einführung in die Funktionsweise von KI-Systemen und erfahren, wie diese mit den Vorgaben der Datenschutz-Grundverordnung (DS-GVO) sowie der KI-Verordnung in Einklang gebracht werden können. Ein Schwerpunkt liegt auf den verschiedenen Phasen der Datenverarbeitung von KI-Systemen und den datenschutzrechtlichen Anforderungen in jeder dieser Phasen. Weiterhin werden die datenschutzrechtlichen Verantwortlichkeiten sowie die Nachweisbarkeit und Informationspflichten beleuchtet. Das Pre-Seminar zeigt zudem Best Practices auf, wie Unternehmen Daten minimieren, Bias vermeiden und ethische Prinzipien bei der Implementierung von KI-Systemen sicherstellen können. In praktischen Anwendungsbeispielen wird dargestellt, wie datenschutzkonforme KI-Lösungen aussehen und welche Fallstricke es zu vermeiden gilt.

• Grundlagen der KI und Datenschutz:
• Einführung in KI-Systeme und ihre Funktionsweise
• Überblick über relevante Datenschutzgesetze (DS-GVO, KI-Verordnung)

• Verarbeitungsphasen bei KI-Systemen:
• Analyse der verschiedenen Stufen der Datenverarbeitung durch KI
• Datenschutzrechtliche Relevanz in jeder Phase

• Personenbezogene Daten und KI:
• Definition personenbezogener Daten im KI-Kontext
• Szenarien mit und ohne DS-GVO-Relevanz

• Rechtliche Grundlagen für KI-basierte Datenverarbeitung:
• Anwendbare Rechtsgrundlagen der DS-GVO
• Spezifische Anforderungen der KI-Verordnung (ab 2025)

• Datenschutzrechtliche Verantwortlichkeiten:
• Rollen und Pflichten von Verantwortlichen und Auftragsverarbeitern
• Rechenschaftspflicht und Nachweisbarkeit

• Herausforderungen und Best Practices:
• Datenminimierung und Anonymisierung
• Vermeidung von Bias und ethische Aspekte
• Implementierung von Privacy by Design und Privacy by Default

• Praktische Anwendungsfälle:
• Beispiele für datenschutzkonforme KI-Implementierungen
• Fallstudien zu typischen Problemstellungen

• Ausblick und zukünftige Entwicklungen:
• Erwartete Auswirkungen der KI-Verordnung
• Trends im Bereich KI und Datenschutz

09:00 Uhr Eröffnung und Begrüßung durch die Konferenzleitung

Dr. Michael Roth – IBS data protection services and consulting GmbH

09:20 Uhr Vortrag 1 (45 min)

Datenschutz im Wandel: Politik, Gesetzgebung,Aufsicht und Beratung

Prof. Ulrich Kelber

• Was bedeuten die Stück für Stück in Kraft tretenden weiteren digitalen Rechtsakte der Europäischen Union?
• Wie steht es um die Vorhaben auf EU- und nationaler Ebene zur Weiterentwicklung des Datenschutzes?
• Welche Antworten geben die Aufsichtsbehörden zu technischen und rechtlichen Fragestellungen, insbesondere zu Konstellationen der KI?
• Wie erhalten Unternehmen durch Aufsichtsbehörden Rechtssicherheit, was können Aufsichtsbehörden als gute Praxis von Unternehmen erwarten?

10:05 Uhr Vortrag 2 (50 min)

DS-GVO und neue EU Digital-Rechtsakte: Ehe mit Spannungen?

Dr. Axel Freiherr von dem Bussche

• Einfluss KI-VO, Data Act, NIS-2 & Co auf die DS-GVO
• Quo vadis „Datenminimierung“?
• Digital-Rechtsakte als neuer Rechtfertigungsgrund
• Positionierung der Aufsichtsbehörden

In den letzten Jahren ist eine Flut neuer europäischer Digital- und Cybersicherheitsregulierungen über uns hereingebrochen, deren Umsetzung nicht aktueller sein könnte. Dazu gehören beispielsweise die KI-VO, der Data Act oder die NIS-2-Richtlinie. Welche Auswirkungen dies auf das Datenschutzrecht und allen voran die DS-GVO haben wird, ist noch unklar. Dieser Vortrag zeigt auf, welches Spannungsverhältnis zwischen der DS-GVO und den neuen europäischen Gesetzen besteht, ob die DS-GVO heute noch so auszulegen und zu verstehen ist wie zu Beginn ihrer Geltung im Jahr 2018 und welche Schlussfolgerungen sich daraus für die Praxis ergeben.

10:55 Kommunikationspause

11:15 Uhr Vortrag 3 (45 min)

Data Act: Theorie trifft Praxis – Wie Unternehmen den gesetzlichen Rahmen umsetzen

Dr. Hans Markus Wulf

In den letzten Jahren ist eine Flut neuer europäischer Digital- und Cybersicherheitsregulierungen über uns hereingebrochen, deren Umsetzung nicht aktueller sein könnte. Dazu gehören beispielsweise die KI-VO, der Data Act oder die NIS-2-Richtlinie. Welche Auswirkungen dies auf das Datenschutzrecht und allen voran die DS-GVO haben wird, ist noch unklar. Dieser Vortrag zeigt auf, welches Spannungsverhältnis zwischen der DS-GVO und den neuen europäischen Gesetzen besteht, ob die DS-GVO heute noch so auszulegen und zu verstehen ist wie zu Beginn ihrer Geltung im Jahr 2018 und welche Schlussfolgerungen sich daraus für die Praxis ergeben.

12:00 Uhr Vortrag 4 (45 min)

Cloud-Dienste neu denken: Innovation, Effizienz und Sicherheit – Praxisnahe Einblicke in die digitale Zukunft

Jan Morgenstern

Überblick über Cloud-Modelle und aktuelle Technologietrends

• Praxisbeispiele anhand Microsoft Cloud-Diensten
• Microsoft Entra ID, Microsoft Intune, Microsoft SharePoint, Microsoft Copilot

• Herausforderungen bei der Cloud-Nutzung
• Abhängigkeit vom Cloud-Anbieter
• Sicherheitsherausforderungen
• Datenschutz & Compliance Aspekte

• Praxisorientierte Best Practices für eine sichere Cloud-Strategie
• Zero Trust & Least Privilege, Data Loss Prevention, Datenklassifizierung, Einsatz von SIEM/SOAR, Security Awareness & Schulungen

12:45 Mittagspause

14:00 Uhr Sponsorenvortrag (15 min)

Parallele Vorträge S1 und S2

Referenten und Inhalte folgen

14:15 Uhr Parallel-Vortrag 5a (45 min)

KI-Praxisbericht: Wie man DS-GVO- und ComplianceAnforderungen bei ChatBots bewältigen kann

Christian Bennefeld

Immer mehr Unternehmen entdecken das Potenzial von KI-ChatBots, um mit Hilfe von Retrieval Augmented Generation (RAG) den internen Datenschatz zu heben. Große Effizienzsteigerungen in allen Unternehmensbereichen sind damit möglich: Von der Aufbereitung umfangreicher Dokumente für Management-Entscheidungen, über Analysen komplexer Zusammenhänge in der Produktenwicklung bis hin zur gezielten Unterstützung im Kundensupport.

Doch wie kann man KI-Bots DS-GVO-konform einführen und gleichzeitig kritische Betriebsgeheimnisse schützen? Wie löst man die Fragen nach Betroffenenrechten und Transparenzpflichten? Warum sind US-Cloud-Anbieter nicht immer die beste Wahl und welche Alternativen gibt es in Europa? Und welche Anforderungen bringt die KI-VO in den RAG-System Betrieb?

Christian Bennefeld stellt in seinem Praxisvortrag ein Projekt vor, in dem ein lokales RAG-System bei einem IT-Beratungshaus eingeführt wurde. Von der ersten Idee bis zur erfolgreichen Umsetzung zeigt er ungeschminkt gemachte Fehler und gefundene Lösungen.

Der Vortrag ist ein Denkanstoß und Leitfaden für jeden, der die Einführung eines KI-ChatBots im Unternehmen plant und sowohl die rechtlichen als auch technischen Herausforderungen kennen lernen möchte.

14:15 Uhr Parallel-Vortrag 5b (45 min)

Mission Datenschutz: Wie Sie SAP-Systeme in der heutigen Zeit sicher und compliant halten

Sebastian Schreiber

In einer Zeit zunehmender Cyber-Bedrohungen und immer strengerer Datenschutzvorgaben stehen Datenschutzbeauftragte vor der Herausforderung, SAP-Systeme sicher und rechtskonform zu halten. In diesem Vortrag erfahren Sie, welche aktuellen Risiken bestehen, welche neuen Herausforderungen in Cloud Umgebungen entstehen und wie Sie mit diesen umgehen.

15:10 Uhr Parallel-Vortrag 6a (50 min)

Cybersecurity, Datenschutz und Resilienz: NIS-2 und der Cyber Resilience Act im Fokus

Alexandra Palandrani

Digitale Bedrohungen werden immer komplexer und es ist nicht mehr die Frage „ob“, sondern „wann“ die Bedrohung zur Realität wird. Die EU-Richtlinien NIS-2 und der Cyber Resilience Act sollen Unternehmen widerstandsfähiger für derartige Angriffe machen. Dieser Vortrag nimmt die beiden Richtlinien unter die Lupe und zeigt mit Hilfe von praxisorientierten Einblicken auf, wie Unternehmen ihre Sicherheitsstrategien und Datenschutzpraktiken anpassen können, um gesetzliche Anforderungen zu erfüllen und das Informationssicherheitsniveau zu stärken.

15:10 Uhr Parallel-Vortrag 6a (50 min)

Synergie zwischen DSMS und KI-ManagementSystemen (nach KI-VO, ISO 42001) sowie konkrete Pflichten für Datenschutzbeauftragte

Ben R. Hansen

Der Vortrag beleuchtet die Synergien zwischen Datenschutz-Management-Systemen (DSMS) und KI-Management-Systemen gemäß der KI-VO und der ISO 42001. Dabei wird aufgezeigt, wie Unternehmen Datenschutz- und KI-Compliance effizient verbinden können.

Ein zentraler Fokus liegt auf den konkreten Pflichten, die sich für Beauftragte, Koordinatoren und Manager ergeben. Der Vortrag gibt praxisnahe Einblicke zur Umsetzung und stellt Methoden vor, um regulatorische Anforderungen systematisch in bestehende Datenschutz- und KI-ManagementProzesse zu integrieren. Ziel ist es, den Teilnehmenden eine Handlungsanleitung für den rechtskonformen und sicheren Einsatz von KI in ihrem Unternehmen zu vermitteln

16:00 Kommunikationspause

16:30 Uhr Podiumsdiskussion

„Regulierung versus Innovation: Die Balance zwischen Datenschutz und digitalem Fortschritt“

Alexandra Palandrani

17:15 Abschluss des ersten Tages

18:30 Hamburger Abend: Fahrt mit dem Schiff

08:45 Empfang

09:00 Uhr Vortrag 1 (45 min)

Künstliche Intelligenz im Unternehmenseinsatz – wenn Technologien wie MS Copilot, ChatGPT und Deep-Seek auf die KI-Verordnung und den Datenschutz treffen

Andreas Sachs

Moderne KI-Technologien wie MS Copilot, ChatGPT und DeepSeek verändern bereits heute die Arbeitsprozesse in Unternehmen und treffen mit der neuen KI-VO zusätzlich zur DS-GVO auf eine mitunter komplexe Technikregulierung. Anhand praxisnaher Beispiele wird aufgezeigt, wie Firmen ihre KI-Anwendungen rechtskonform einsetzen können und welche Herausforderungen noch bestehen bleiben. Dabei werden sowohl technische als auch rechtliche Aspekte beleuchtet und konkrete Handlungsempfehlungen für einen auf den Menschen ausgerichteten Einsatz künstlicher Intelligenz gegeben.

09:45 Uhr Vortrag 2 (45 min)

Datenschutz, Solidarität und Demokratie: Warum Datenethik die Grundlage für eine freie und gerechte Gesellschaft ist

Dr. Felix Sühlmann-Faul

Datenschutz ist weit mehr als ein technisches oder juristisches Thema – er ist eine zentrale Voraussetzung für Solidarität und den Schutz demokratischer Werte. In einer zunehmend digitalen Welt ermöglicht Datenschutz den Menschen, frei zu denken, zu handeln und sich auszutauschen, ohne Angst vor Überwachung oder Manipulation. Dieser Vortrag zeigt, wie ethischer Umgang mit Daten nicht nur die Privatsphäre schützt, sondern auch das Fundament für Meinungsvielfalt, gesellschaftlichen Zusammenhalt und die Integrität demokratischer Prozesse bildet. Europa hat hier die Chance, einen „dritten Weg“ zu gestalten: einen datenethischen Ansatz, der Innovation mit den Grundwerten von Freiheit, Würde und Solidarität verbindet.

10:30 Uhr Vortrag S3 (15 min)

Sponsorenvortrag

Referent und Inhalte folgen

10:45 Kommunikationspause