• Martin Apel, gibt Einblicke in den aktuellen Bericht zur Bericht zur Lage der IT-Sicherheit in Deutschland und die Sicht der Cybersicherheitsbehörde.
• Sabine Griebsch, schildert Erfahrungen betroffener Verwaltungen, die massiven Cyberangriffen ausgesetzt waren, und zeigt auf, was sich daraus für die öffentliche Verwaltung lernen lässt.
• Dirk Koch, bringt die anwaltliche Perspektive eines Incident Responders ein und erklärt, was passiert, wenn der Ernstfall eintritt, und welche rechtlichen und strategischen Herausforderungen zu bewältigen sind.

Die Bedeutung der datenschutzrechtlichen Einwilligung hat nicht nachgelassen. Aber wie vertragen sich die hohen Anforderungen an eine wirksame Einwilligung mit der Digitalisierung und dem Wunsch nach vermehrter Datennutzung?

Wie sieht der Weg im Spannungsfeld zwischen Datenschutz und Datennutzung aus?

Datenschutz ist keine Momentaufnahme, sondern ein fortlaufender Prozess, der sich mit den Entwicklungen im Unternehmen stetig weiterentwickeln muss. Die DSGVO fordert in Art. 5 Abs. 2, dass Verantwortliche die Einhaltung der Datenschutzvorgaben jederzeit nachweisen können – die sogenannte Rechenschaftspflicht. Doch wie lässt sich diese in der Praxis sinnvoll erfüllen, ohne dass Datenschutz zur reinen Dokumentationspflicht verkommt?

Ein durchdachtes Datenschutz-Managementsystem (DSMS) schafft hier die notwendige Struktur: Es bildet datenschutzrelevante Prozesse ab, definiert klare Zuständigkeiten und sorgt dafür, dass datenschutzrechtliche Anforderungen in die betrieblichen Abläufe integriert werden.

Im Vortrag wird aufgezeigt, wie ein DSMS aufgebaut werden kann, welche typischen Stolpersteine in der Praxis auftreten und warum es sich lohnt, den Datenschutz nicht isoliert, sondern integriert in bestehende Managementsysteme zu betrachten. Ein Fokus liegt auf der Rolle des Datenschutzbeauftragten, der den Aufbau, die kontinuierliche Pflege und die Überprüfung des DSMS aktiv begleitet – von der Unterstützung bei der Prozessgestaltung über die Beratung der Fachbereiche bis hin zur Durchführung interner Audits.

Derzeit entscheidet der EuGH über Vorlagefragen der nationalen Gerichte über das Verständnis und die Auslegung der DS-GVO. Allerdings gibt es auch erste Verfahren mit datenschutzrechtlichem Bezug vor dem EuG. Dessen Entscheidungen werden meist noch zum EuGH überprüft. Aktuelle Entscheidungen sollen vorgestellt und betrachtet werden. Dabei soll auch ein Augenmerk auf die Vorlagefragen und das Verfahren geworfen werden, um ein besseres Verständnis zur Auslegung der DS-GVO zu gelangen.

Hier erfahren die Teilnehmenden, wie sie „illegale“ personenbezogene Daten sowie unverschlüsselte Login- und Passwortinformationen automatisch in unstrukturierten Datenquellen löschen können – ohne großen IT- oder organisatorischen Aufwand.

Cloud computing is the backbone of the digital age, underpinning the performance and innovation across all sectors of the economy. However, the absence of a reliable framework to evaluate data protection compliance for cloud services has significantly slowed the adoption of this critical technology and, consequently, the EU’s path toward comprehensive digitalisation.

Addressing this challenge, the EU Cloud Code of Conduct (EU Cloud CoC) has emerged as the first compliance tool officially approved by Data Protection Authorities to demonstrate and ensure GDPR compliance across all cloud service types. By providing clear, standardized criteria for GDPR adherence, the EU Cloud CoC bridges the gap between regulatory requirements and practical implementation, fostering trust and accelerating digital transformation in Europe.

This session will explore the development, implementation, and real-world impact of this pioneering initiative. Attendees will gain insights into how the EU Cloud CoC supports scalable, transparent compliance in the cloud and paves the way for aligning future regulations.

Vorstellung eines Reifegradmodells zum strukturierten Aufbau und Betrieb eines Datenschutzmanagementsystems über beliebig viele Organisationseinheiten und einer differenzierten Bestimmung des erreichten Datenschutzniveaus.

Hochschulen automatisieren zunehmend datenintensive Prozesse – von der Vorauswahl der Bewerbenden über Immatrikulation und Rückmeldung bis hin zu Prüfungen und Evaluationen. Entscheidungen werden getroffen, Bescheide erstellt und rechtsverbindliche Informationen per E-Mail versendet – oft ohne menschliches Zutun. Zukünftig wird Künstliche Intelligenz diese Abläufe weiter optimieren.

Dieser Beitrag beleuchtet typische Anwendungsfälle und ordnet sie datenschutzrechtlich ein. Mithilfe einer Checkliste wird geprüft, ob eine automatische Entscheidungsfindung gemäß Artikel 22 DSGVO vorliegt. Das Vorgehen lässt sich auf andere Szenarien übertragen.

Anhand konkreter Beispiele wird der gesetzliche Rahmen diskutiert. Mit dem Schufa-Urteil hat der Europäische Gerichtshof 2023 klargestellt, dass automatisierte Entscheidungsprozesse keine Beeinträchtigung der Betroffenen zur Folge haben dürfen. Die KI-Verordnung setzt zwar Grenzen und verweist auf die DSGVO, doch in der Praxis bleiben viele Interpretationsspielräume und ethische Fragen offen. Geregelt sind ausschließlich Entscheidungsfindungen, die rechtliche Wirkung entfalten oder eine vergleichbare Bedeutung haben.