Das Speichern und Verarbeiten personenbezogener Daten in der Cloud bleibt datenschutzrechtlich eine Herausforderung. Wir ordnen aktuelle Lösungsansätze wie die Deutsche Verwaltungscloud und die „EU Data Boundary“ von Microsoft ein und diskutieren Fallstricke beim datenschutzkonformen Cloud Computing.

Denis Lehmkemper

Landesbeauftragter für den Datenschutz Niedersachsen, Hannover

• Ausweitung der Absicherungs- und Meldepflichten
• Persönliche Risiken für die Geschäftsführung
• Die neuen Befugnisse der Aufsichtsbehörden
• Erweiterung des Bußgeldrahmens
• Aktueller Stand der Richtlinienumsetzung in Deutschland

Steve Ritter

Referatsleiter „IT-Sicherheit und Recht“, Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn

• Unter welchen Bedingungen ist ein Datenschutzaudit sinnvoll und notwendig?
• Kontrollmechanismen und Kontrollpflichten nach der DS-GVO
• Leitfaden zum erforderlichen Fachwissen für die Auditierung
• Planung des Audits, Checklisten, Prüfnachweise und Quellen
• Wirksamkeit und Schutzniveaus von technischen und organisatorischen Maßnahmen (TOM) gem. Art. 32 DS-GVO (sog. TOM-Audit)

Michael Braun

ISO 27001 Leadauditor, Prüfer gem. § 8a BSIG, Datenschutzbeauftragter, IT-Emotion & Security GmbH u. Co.KG,

• Datenschutzorganisation
• Datenschutzprozesse
• Datenschutz in operativen Prozessen
• Rollen und Verantwortlichkeiten
• Überprüfung der Wirksamkeit des DSMS im Operativen

Gerold Plachky

ZDF, Datenschutzbeauftragter, Mainz

• Grundzüge des datenschutzrechtlichen Rahmens für die KI
• Orientierungshilfe Datenschutz und KI der DSK
• Gestaltung des Prüfprogramms einer KI-Anwendung
• Instrumente der Risikominimierung

Prof. Dr. Dieter Kugelmann

Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz, Mainz

Wir nutzen – auch wenn wir keine digitalen Signaturen beim E-Mail-Versand verwenden – jeden Tag asymmetrische Kryptographie und darauf aufbauend digitale Signaturen, um die Echtheit der Server, mit denen wir kommunizieren, zu überprüfen. Kaum jemand macht sich Gedanken über die Vertrauensanker, auf denen diese Überprüfung basiert. Der Beitrag stellt die Beziehung zwischen rechtlichen Anforderungen (z.B. eIDAS-Verordnung, NIS2-Richtlinie) und den technisch-organisatorischen tatsächlichen Gegebenheiten her. Außerdem werden Empfehlungen zum Einsatz von Zertifikaten in Organisationen gegeben.

Prof. Dr. Rainer W. Gerling

Freiberuflicher Autor und Referent; Honorarprofessor für IT-Sicherheit an der Hochschule München; GDD-Vorstand, Bonn

• DS-GVO und KI-VO
• Was ist KI und was nicht?
• Welche Risikoklassen
• Pflichten für Unternehmen und Beschäftigte als Betreiber von KI-Systemen
• Sanktionen vermeiden

Prof. Dr. Rolf Schwartmann

Leiter der Kölner Forschungsstelle Medienrecht, Technische Hochschule Köln; Vorstandsvorsitzender der GDD e.V., Bonn

• Art. 25 DS-GVO verstehen: Datenschutz by Design, Datenschutz by Default
• Umsetzung: Was muss, was kann?
• Hilfestellungen: Dos and Don‘ts
• Zusammenwirken mit anderen Design-Anforderungen

Dr. h. c. Marit Hansen

Leiterin des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, Kiel

• Beratungs- und Überwachungspflicht bezogen auf die neuen Datenakte
• Übernahme von Zusatzaufgaben, etwa als KI-Beauftragter oder -Manager
• Mögliche Interessenkonflikte
• Fachkunde- und Fortbildungsanforderungen aufgrund der EU-Digitalakte

RA Yvette Reif, LL.M.

stell. Geschäftsführerin der GDD e.V., Bonn

• Beyond the Cookies: Zukunftsstrategien (z.B. Google Privacy Sandbox, Utiq, netID) für die Adressierbarkeit, das Tracking und die personalisierte Werbung im Internet
• Einwilligungsmanagement: TCF 2.2 des IAB Europe im Lichte der EUGH-Rechtsprechung (Personenbezug, Gemeinsame Verantwortlichkeit)
• PUR-Modelle: Zulässigkeit, Praxischeck verschiedener Varianten, darunterliegende Grundrechtsdebatte und Ausblick

David Pfau

Head of Data & Privacy, conreri digital development GmbH, Hamburg