Das Forum für Datenschutz (FFD) der WEKA Akademie GmbH veranstaltet seit 18 Jahren die jährlichen Datenschutztage, bei denen Experten aus Politik und Wirtschaft spannende Vorträge halten. In diesem Jahr fand der Fachkongress Corona bedingt in einem virtuellen Konferenzraum statt – für die Teilnehmer ungewohnt, denn der Austausch mit Kollegen in den Kaffeepausen zwischen den Vorträgen gehört normalerweise ebenso zur Veranstaltung wie die Fachvorträge an sich. Die Diskussionsrunde am Ende der Vorträge war allerdings auch im virtuellen Raum möglich.

Die as-con Datenschutz aus Nürnberg war – vertreten durch den Inhaber Stefan Auer – ebenfalls auf dem Fachkongress vertreten und erhielt bei den verschiedenen Webinaren über zwei Wochen hinweg nützliche Informationen sowie neue Impulse und Lösungsansätzen für unseren Arbeitsalltag.

Das Tagungsprogramm des as-con-Vertreters umfasste:

Vierzehn Fachvorträge

Es wurden vierzehn Vorträge von Experten, von denen zwei kurzfristig Teil des Programms wurden, zu verschiedensten Themen der DS-GVO angeboten. Die Referenten waren zwei Vertreter der Aufsichtsbehörden, sieben Anwälte und vier Vertretern aus der Wirtschaft, die selbst in der Datenschutzberatung tätig sind.

Die Datenschutztage 2020 eröffnete der Vortrag des Leiters des Referats Wirtschaft, Arbeit und Kultur beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, Herr. Dr. Jens Ambrock. Er berichtete in seinem Vortrag „2 Jahre DSGVO – was ist umgesetzt, was muss noch getan werden?“ darüber, was sich bei der Gestaltung des Datenschutzes zur Einhaltung der neuen Regeln aus der DS-GVO in der Wirtschaft, bei den Aufsichtsbehörden und bei der Gesetzgebung zwei Jahre nach Inkrafttreten der europäische Verordnung alles getan hat. Besonders betont wurde in dem Vortag die Wichtigkeit standardisierter Prozesse für die Erfüllung von Betroffenenrechten, den Umgang mit Datenschutzvorfällen und für die Zusammenarbeit mit der Aufsichtsbehörde. Die Zahl an verhängten Bußgelder durch die Aufsichtsbehörden ist im Jahr 2019 gestiegen, wobei die Tendenz weiter nach oben geht.

Der zweite Vortrag des Tages zum Thema „Praktische Umsetzung der DSGVO – Aufgaben und Organisation des betrieblichen Datenschutzbeauftragten (bDSB)“ wurde von Arnd Fackeldey gehalten, dem langjährigen bDSB eines Großkonzerns und Leiter des ERFA-Kreises der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Hier wurden die Aufgaben eines betrieblichen Datenschutzbeauftragten mit besonderem Hinblick auf das Konzernumfeld sowie dessen Stellung in der Unternehmensorganisation aufgezeigt. Die Pflichten des bDSB wurden dabei deutlich von denen des Verantwortlichen abgegrenzt und klargestellt, dass der DSB eine reine Beratungs- und Überwachungsfunktion hat und der Geschäftsleitung gegenüber weisungsfrei ist.
Ausführliche Informationen zu den gesetzlich klar getrennten Aufgaben finden Sie in unsrem Blogartikel „Datenschutz ist Chefsache“ sowie im Datenschutz-ABC bei der Erläuterung der Begriffe „Datenschutzkoordinator“ und „Verantwortlicher“.

Am zweiten Tag wurde der Kongress mit einem Vortag des Datenschutzbeauftragten und Rechtsanwalts Peter Hense zum Thema „Gemeinsam statt einsam: Ist Joint Control die neue Auftragsverarbeitung (AV)?“ eröffnet. Zusammen mit seinem Kollegen, Tilman Herbrich, stellte er Abgrenzungskriterien für den Verantwortlichen, Gemeinsam Verantwortliche („Joint Controller“) und Auftragsverarbeiter dar. Die beiden Referenten erklärten dabei auch, welche datenschutzrechtlichen Verträge ja nach Art der Beziehung erforderlich sind und lieferten verschiedene Praxisbeispiele, um die Abgrenzung zwischen gemeinsamer Verantwortung und Auftragsverarbeitung zu verdeutlichen.

In seinem Vortrag „ Private Nutzung von Telekommunikation im Unternehmen: Was gilt?“ zeigte Dr. Jens Eckhardt, Fachanwalt für IT-Recht und Datenschutz-Auditor, das Spannungsverhältnis zwischen dem Telekommunikationsgesetz (TKG) und den Datenschutzgesetzen auf, wobei er auch die historische Entwicklung der Rechtslage schilderte. Er ging insbesondere darauf ein, welche Vorgaben bei der Privatnutzung der Telekommunikation durch Beschäftigte beachtet werden müssen und welche Rechtsgrundlagen nach der DS-GVO anwendbar sind. Zudem gab er einen kurzen Ausblick, was sich an der Rechtslage durch die e-Privacy-Verordnung ändern würde – für die Privatnutzung in Unternehmen grundsätzlich nichts.

Ein weiteres spannendes, wenn auch derzeit noch wenig praxisrelevantes Thema präsentierte Herr Cornelius von Cramm, ein Rechtsanwalt und externer Datenschutzbeauftragter. Im Vortrag „Künstliche Intelligenz (KI) und Datenschutz im Bewerbungsprozess“ wurde erklärt, was genau unter künstlicher Intelligenz zu verstehen ist, welche Formen es gibt und was KI´s bereits heute auswerten können. Zudem wurde am Beispiel des Bewerbungsprozesses dargestellt, welche Anforderungen der Datenschutz an den Einsatz von KI stellt. Der Referent schloss mit einer kritischen Analyse der Chancen und Risiken der KI ab.

Weiter ging es mit einem Vortrag vom Rechtsanwalt Sebastian Schulz zu dem für wohl jedes Unternehmen wichtigen Thema „Datenschutz und Marketing: Auswirkungen auf die betriebliche Praxis“. Der Referent stellt die besonderen Probleme und Voraussetzungen bei der Datenverarbeitung für Werbezwecke Dritter (insb. Adresshandel), Werbescoring (Analyse zur Vorhersage des künftigen Kaufverhaltens), Social Media Markting sowie dem Einsatz von Cookies dar und erläuterte die rechtlichen Hintergründe.

Gemeinsamkeiten und Unterschiede zwischen Datenschutz und Datensicherheit erläuterte der Rechtsanwalt Dr. Jens Schefzig in seinem Vortrag „Rechtliche und faktische Schnittstellen zwischen Datenschutz und Datensicherheit“. Nach einer Definition der beiden Begrifflichkeiten ging der Referent auf den Zielkonflikt von Datenschutz und Datensicherheit ein, legte die Rechtsgrundlagen dar unds zeigte anschließend die Gemeinsamkeiten der beiden Bereiche auf. In seinem Fazit betonte er, dass das Datenschutz- und Sicherheitsmanagement gemeinsam betrachtet und laufende Prozesse verknüpft werden sollten.

Einen sehr praxisorientierten Vortrag präsentierte Herr Martin Wohlrabe, Rechtsanwalt und Journalist sowie Berater bei der Kommunikation von Sondersituationen zum Thema „Krisen-PR nach der Cyber-Attacke: Worauf es in Zeiten der DSGVO ankommt“. Anhand eines reellen Praxisbeispiels erläuterte der Referent, wie Unternehmen im Falle eines Datenlecks vorgehen sollten, um den Schaden möglichst gering zu halten. Der Vortrag ging sowohl auch präventive Maßnahmen ein als auch auf Strategien nach einem Datenschutzvorfall, die sich positiv auf das Image des Unternehmens in der Öffentlichkeit und gegenüber der Aufsichtsbehörde auswirken sollen.

Zum Thema „Aktuelle Entwicklung der Bußgeldpraxis in Europa“ berichtete der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg, Dr. Stefan Brink. Der Referent schilderte zunächst die Unterschiede in der Bußgeldpraxis nach dem alten BDSG und der DS-GVO. Anschließend zählte er einige Fälle auf, in denen von seiner Behöre sowie anderen Aufsichtsbehörden innerhalb der EU Bußgelder verhängt worden sind. Zudem stellte er das Bußgeldkonzept der deutschen Datenschutzkonferenz (DSK) vor und erläuterte, wie sich die Beteiligten in einem Bußgeldverfahren verhalten sollten.

Was bei Unternehmen neben einem Bußgeld noch für finanzielle Schäden drohen können, präsentierte Dr. Robert Selk, Fachanwalt für IT-Recht und externer Datenschutzbeauftragter sowie Fachautor, in seinem Vortrag „Schadensersatz bei unzulässiger Datenverarbeitung – wem droht was?“. Nach einer genaueren Definition und Abgrenzung der Begrifflichkeiten erläuterte der Referent, welchen Personen unter welchen Voraussetzungen Schadensersatz nach der DS-GVO zusteht. Er schloss seinen Vortrag mit Tipps ab, mit denen hohe Schadensersatzforderungen in der Praxis möglichst vermieden werden sollen.

Einen praxisnahen und unmittelbar aus dem Unternehmensalltag stammenden Vortrag lieferte Frau Cornelia Sasse, Datenschutzbeauftragte der Otto Group, zum Thema „Praxisbericht aus der Otto Group: Die Betroffenenrechte nach der DSGVO“. Bei Ihrem Vortrag schilderte sie, wie innerhalb der Otto Group Prozesse zur Erfüllung von Betroffenenrechten nach der DS-GVO implementiert wurden und welche Schwierigkeiten dabei in der Praxis auftreten. Es wurden insbesondere die Prozesse zur Bearbeitung von Auskunftsersuchen, Löschbegehren und der Datenübertragbarkeit dargestellt und erläutert, wie diese bei der Otto Group umgesetzt wurden.

Einen weiteren, aus dem Unternehmensalltag stammenden Vortrag präsentierte Herr Michael Wiedemann, stellv. bDSB bei SAP SE und Leiter des Bereichs Data Protection Operations zum Thema „SAP: Das zertifizierte Datenschutzmanagementsystem (DSMS)“. Der Referent stellte dar, wie das Datenschutzmanagement bei der SAP AG über die Jahre hinweg aufgebaut wurde erklärte die Säulen der Datenschutzorganisation. Besonderes Augenmerk legte er dabei unter anderem auf die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten in der SAP AG.

Kongress-Special: Zwei zusätzliche Vorträge

Aufgrund der besonderen Herausforderungen von Corona und der Umstellung auf einen virtuellen Kongress hatten die Kongressbesucher in diesem Jahr die Möglichkeit, an zwei weiteren Vorträgen zu den Themen „Das 1×1 der Cookie-Compliance – was gilt es zu beachten?“ von Lukas Rottleb, Solutions Engineer bei OneTrust Deutschland und „Datenschutz in Corona-Zeiten – Worauf Sie achten müssen“ von Dr. Jens Eckhardt, Fachanwalt für IT-Recht und Datenschutz-Auditor, teilzunehmen.

Der erste Vortrag befasste sich damit, wann auf Websites Einwilligung für das Setzen von Cookies bzw. die damit verbundene Datenverarbeitung erforderlich sind und wie diese praktisch möglichst effizient eingeholt werden kann. Dabei wurden auch verschiedene Beispiele von Cookie-Bannern gezeigt, die von Unternehmen eingesetzt werden.

Im letzten Vortrag des Kongresses erläuterte der Referent, welche Anforderungen bei der Homeoffice-Arbeit beachtet werden müssen und was bei der Verarbeitung von Daten im Rahmen der Umsetzung von Corona-Schutzmaßnahmen bei Beschäftigten und Besuchern etc. beachtet werden muss.

Vier Intensiv-Seminare

Neben den Fachvorträgen bietet der Veranstalter außerdem vier weitere Intensiv-Seminare für die Teilnehmer an, bei denen spezielle Datenschutzthemen ausführlich erläutert und zwischen den Teilnehmern diskutiert wurden. Auch wenn die Diskussion aufgrund des rein virtuellen Raums nicht so intensiv war wie bei Präsenzveranstaltungen, waren die Seminare für Herrn Auer und seine Arbeit als externer Datenschutzbeauftragter spannend und informativ. Der Vorteil bei der virtuellen Veranstaltung war, dass Herr Auer an allen vier Seminaren teilnehmen konnten – die Präsenzveranstaltungen finden in der Regel immer parallel statt.

Das erste Intensiv-Seminar von Herrn Karsten Neumann, dem ehem. Landesbeauftragten für Datenschutz in Mecklenburg-Vorpommern und Senior Associate bei ECOVIS, beschäftigte sich mit dem Thema „Compliance-Management im Datenschutz für kleine und mittlere Unternehmen (KMU)“. Der Referent begann den Vortrag mit einer Erläuterung, ob kleine und mittelständische Unternehmen (KMU) im Gegensatz zu großen Unternehmen von der DS-GVO in ihren Datenschutzpflichten tatsächlich entlastet werden oder nicht. Anschließend wurde ausführlich erläutert, wie man in der Unternehmenspraxis das Verzeichnis der Verarbeitungstätigkeiten erstellen kann und welche Informationen neben den Pflichtinhalten nach der DS-GVO sinnvollerweise mit aufgenommen werden sollten. Der Referent beendete seinen Vortrag mit Empfehlungen zum Datenschutzmanagementsystem im Betriebsalltag und der Erfüllung datenschutzrechtlicher Anforderungen durch Unternehmen, die nicht verpflichtet sind, einen Datenschutzbeauftragten zu bestellen.

Ein für Datenschutzbeauftragte weniger in der Beratungspraxis, sondern mehr in Bezug auf die eigene Ernennung und Stellung im Unternehmen sehr interessantes Thema behandelte das Seminar von Herrn Frank Henkel, Rechtsanwalt und betrieblich Datenschutzbeauftragter, zum Thema „Aktuelle Fragen mit Lösungen zum Datenschutzbeauftragten und dessen Verhältnis zum Betriebsrat“. Der Referent gab zunächst einen Überblick darüber, wann ein DSB zu bestellen ist und welche persönlichen/fachlichen Voraussetzung er erfüllen muss und schilderte, was mit dem DSB geschieht, wenn beispielsweise zwei Personen bestellt wurden oder zwei Unternehmen fusionieren. Zudem wurde erläutert, bei der Erfüllung welcher Aufgaben der DSB aufpassen muss, nicht gegen das Rechtsdienstleistungsgesetz zu verstoßen, unter welchen Voraussetzungen DSB abberufen oder gekündigt werden kann und wann ein Datenschutzbeauftragter haftet. Zu guter Letzt wurde im Rahmen des Vortrags ausführlich erläutert, in welchem Verhältnis der Betriebsrat und der Datenschutzbeauftragte stehen, hierzu gehören unter anderem die Fragen, ob der Betriebsrat eine eigene verantwortliche Stelle ist, ob der DSB den Betriebsrat überwachen darf und wie die aktuelle Rechtslage aussieht. Zusätzlich lieferte der Referent einige Tipps für die Praxis, wie das Verhältnis zwischen dem Arbeitgeber, dem Betriebsrat und dem DSB gestaltet werden kann.

Die Intensiv-Seminare in der zweiten Kongresswochen begannen mit dem Vortrag des Rechtsanwalts Daniel Schätzle zum Thema „Online Marketing und Datenschutz“. Zu Beginn des Vortrags schilderte der Referent, wofür Cookie-Banner eigentlich eingesetzt und benötigt werden, welche rechtlichen Vorgaben es zum Einsatz von Cookies gibt und geht dabei auch auf das EuGH Urteil vom 01.10.2020 zum Thema Cookies ein. Anschließend wurde speziell Tracking und Targeting Anwendungen behandelt, wobei der Referent hier nicht nur auf die Voraussetzungen einging, sondern die Aussagen der Aufsichtsbehörden auch kritisch hinterfragte. Anschließend wurden anhand einiger Beispiele die Anforderungen an ein Content Management System erläutert. Weiter ging es mit den datenschutzrechtlichen Problematiken beim Betrieb von Social Media Seiten, insbesondere Facebook-Fanpages und dem Einsatz von Social Media Plugins auf Websites. Die für Unternehmen ebenso relevanten Themen Direktwerbung, Einsatz von CRM- und DMP-Lösungen sowie Datenverarbeitung über Ländergrenzen hinweg wurden ebenfalls erläutert und dargestellt, welche rechtlichen Voraussetzungen hier nach den relevanten Gesetzen erfüllt werden müssen.

Den Abschluss der Intensiv-Seminare bildete das Seminar von dem Rechtsanwalt Herrn Dr. Volker Wodianka zum Thema „Grenzüberschreitender Datenverkehr: Konzernmutter und deutsche Tochter“. Der Referent stellt zunächst allgemein das Verhältnis zwischen der Konzernmutter und der Tochtergesellschaft bei der Verarbeitung personenbezogener Daten dar. Anschließend erläuterte er die Voraussetzungen für den Datenaustausch zwischen Konzernunternehmen über die Ländergrenzen hinweg, wobei er zwischen einer Datenübermittlung innerhalb Europas und in ein Drittland unterschied. Daran anschließend wurde aufgezeigt, welche Voraussetzungen für die Übermittlung von Daten in ein Drittland gem. Art. 44 ff. DS-GVO erfüllt werden müssen. Dabei wurde insbesondere auf der Privacy-Shield, die Standardvertragsklauseln und sog. Binding Corporate Rules eingegangen.

Fazit

Trotz des ungewohnten Rahmens lieferten die Datenschutztage 2020 wertvolle Erkenntnisse und Lösungsansätze, die uns bei der alltäglichen Datenschutzberatung, unseren Seminaren für Datenschutzkoordinatoren, Unternehmer und Datenschutzbeauftragte sowie bei unsere Datenschutz-Tipps und unsere Informationsblätter zu Gute kommen.

Datenschutzseminare der ascon

Datenschutz-Tipps

Datenschutz-News

as-con Datenschutz Nürnberg: Angebot externer Datenschutzbeauftragter / externer DSB
as-con Datenschutz-Newsletter, Titelbild

Das Angebot unserer Datenschutzseminare reicht von den Grundlagen der DS-GVO für Kleinunternehmer oder Datenschutzkoordinatoren über spezielle Einzelthemen wie die Anforderungen an Homepages oder IT-Dienstleister bis hin zu Lehrgängen zum zertifizierten Datenschutzbeauftragten.

Unsere Datenschutz-Tipps sind zentrale Ratgeber zu wichtigen aktuellen Themen rund um den Datenschutz. Hierzu gehören neben aktuellen Urteilen und Bußgeldern auch viele Grundsatzfragen der DS-GVO. Die Tipps enthalten aktuelle Datenschutzfälle – praktikabel und verständlich aufbereitet.

Unser kostenloser Datenschutz-Newsletter sorgt dafür, dass Sie im Dschungel der vielen Anforderungen an den Umgang mit personenbezogenen Daten die Orientierung behalten. Der Newsletter versorgt Sie regelmäßig mit  aktuellen Themen rund um den Datenschutz und die as-con sowie unsere aktuellen Angebote und Seminare.

Datenschutz-Seminar finden
Datenschutz-Tipps lesen
Datenschutz-News abonnieren