Datenschutz und Datensicherheit, Künstliche Intelligenz (KI), die Rechte betroffener Personen sowie die NIS-2-Richtlinie – was haben diese Dinge gemeinsam? Es sind nur einige der spannenden Inhalte, die auf dem dreitägigen Datenschutzkongress DuD 2024 – Datenschutz und Datensicherheit diskutiert wurden.
Bereits zum 26. Mal trafen sich Datenschutzbeauftragte, Anwält*innen sowie IT-Sicherheitsverantwortliche zum Erfahrungs- und Gedankenaustausch auf der DuD in Berlin. Unter dem Eindruck der sich ständig weiterentwickelnden Technik bot die diesjährige DuD-Veranstaltung wieder einmal die Möglichkeit, relevante Themen des Datenschutzes und der Datensicherheit mit Expert*innen aus Politik und Wirtschaft sowie Vertreter*innen der Aufsichtsbehörden zu diskutieren (hier finden Sie die Agenda der DuD 2024).
Nach der Eröffnung der DuD-Konferenz durch die Veranstalterin Stefanie Geuhs (COMPUTAS) und die Vorsitzende/Moderatorin RAin Dr. Britta A. Mester (DuD-Herausgeberin / Leiterin DSN Akademie, DSN GROUP) konnten sich die Teilnehmenden an den drei Tagen über die sie bewegenden Themen und Fragen informieren. Auch in diesem Jahr war der Fachkongress wieder so konzipiert, dass an Tag 1 und 2 Vorträge und Diskussionsrunden stattfanden und am Tag 3, dem „Lösungstag“, die Teilnehmenden nochmal die Möglichkeit hatten, praxisnahe Lösungsansätze, die in Vorträgen vorgestellt wurden, vertiefend zu diskutieren.
KI und Digitalzwang
Auch auf dieser Fachkonferenz wurde das zurzeit viele Menschen sowohl rechtlich als auch gesellschaftlich bewegende Thema des Einsatzes von KI in verschiedenen Vorträgen aufgegriffen.
Die mit dem KI-Einsatz verbundenen Ängste wurden durch einen Beitrag des per Videokonferenz zugeschalteten Veranstalters Hans-Peter Geuhs (COMPUTAS) deutlich, als dieser darauf hinwies, dass eine KI aus Sicht natürlicher Personen immer nur Hilfestellung bieten und nicht als Ersatz für menschliche Kreativität verstanden werden dürfte.
Während der Beitrag von Prof. Dr. Dieter Kugelmann (LfDI Rheinland-Pfalz, Leiter der Taskforce KI) sich mit der Notwendigkeit einer datenschutzgerechten Anwendung der KI unter Beachtung von Betroffenenrechten und Pflichten Verantwortlicher auseinandersetzte, griff RAin Kathrin Schürmann (Schürmann Rosenthal Dreyer Rechtsanwälte) die für KI-Systeme zu klärende Frage der Gestaltung und Umsetzung einer Legal Data Governance nach KI-VO und DSGVO auf. Sowohl durch diese Beiträge als auch durch die anschließenden Diskussionen wurde deutlich, dass die Unterstützung durch KI in vielen Bereichen zwar gewünscht ist, der Rechtsrahmen des Einsatzes und deren ausreichende Regulierung sowie Kontrolle durch den Staat aber zum jetzigen Zeitpunkt noch angezweifelt wird.
Die mit zunehmender Digitalisierung unserer Gesellschaft verbundene Überforderung mancher Personen, wurde zudem auf eindrucksvolle Weise durch RAin Kathrin Kichert und Sajora Strohner dargelegt, indem sie sowohl den inzwischen in vielen Bereichen unseres Alltages bestehenden Digitalzwang als auch dessen fehlende Barrierefreiheit aufzeigten.
Die damit verbundenen Schwierigkeiten und die Notwendigkeit, Menschen auf dem Weg einer Digitalisierung nicht aus dem Blick zu verlieren, machte eine im Anschluss unter der Moderation von RA Dr. Jens Eckhardt (pitc legal) mit den Referentinnen und den weiteren Diskussionsteilnehmenden Dr. h. c. Marit Hansen (LfD Schleswig-Holstein), Rena Tanges (digitalcourage) und dem zugeschalteten Prof. Dr. Stefan Heinemann (wissenschaftlicher Leiter, HSK Lab) durchgeführten Podiumsdiskussion nochmals deutlicher. Digitalisierung kann das Leben von Menschen leichter machen, aber nur, wenn es deren Anforderungen entsprechend umgesetzt wird und nicht Einzelne ausgrenzt, nur weil sich diese der Digitalisierung verwehren.
Dies gilt umso mehr für Beschäftigte, was durch den Beitrag von Hans-Hermann Schild (Vorsitzender Richter am VG i. R.) sehr gut veranschaulicht wurde.
Sicherheitsmaßnahmen
Das dringende Erfordernis, Menschen durch ausreichende Informationssicherheit bei der Verarbeitung ihrer Daten zu schützen, war Gegenstand eines weiteren Themenschwerpunkts auf der DuD 2024.
Nachdem zunächst Marco Di Filippo (whitelisthackers GmbH) auf sehr eindrucksvolle Weise aufzeigte, wie leicht eigentlich datenverarbeitende Stellen einen Cyberangriff ausgesetzt sein können und RA Sebastian Hofmann (NSIDE ATTACK LOGIC GmbH) die Unsicherheit des geschäftlichen E-Mail-Verkehrs aufgriff, bot Isabel Münch (BSI, Fachbereich IT-Sicherheitslage) einen gelungenen Einstieg in die derzeitige allgemeine IT-Sicherheitslage.
Die Relevanz des Themas wurde durch weitere Beiträge ergänzt bzw. unterstrichen, indem Dr. Christoph Wegener (wecon.it-consulting) mit seinem Beitrag den Anwesenden deutlich machte, dass Verantwortliche, soweit noch nicht geschehen, sich dringend auf die Vorgaben des NIS-2 sowie dem Cyber Resilience Act vorbereiten müssen.
Wie dies aussehen kann, wurde in dem Beitrag von Marie-Yeun Thomas (BNetzA, Referat 627) weiter vertieft und aufgezeigt, wie die aktuelle Entwicklung der Cybersicherheit im Energiebereich zurzeit aussieht, bevor dann am dritten Tag Dr. Jens Rose, (swb Erzeugung AG & Co. KG) nochmals die Thematik aufgriff und die Notwendigkeit der Umsetzung ausreichender Informationssicherheit und der damit verbundenen Anforderungen in der Praxis aus Sicht eines Kraftwerkbetreibers darlegte.
Risikomanagement
Welche Anforderungen an ein wirksames Risikomanagement aus rechtlicher Sicht zu stellen sind, machte zudem RA Dr. Jens Eckhardt (pitc legal) in seinem Beitrag deutlich, indem er nochmals aufzeigte, welche Pflichten sich eigentlich aus der DSGVO bereits ergeben.
Welche Anforderungen darüber hinaus sich aber auch aus anderen gesetzlichen Umsetzungserfordernissen ergeben, wurde im Vortrag von Prof. Dr. Tobias Keber (LfDI Baden-Württemberg) aufgegriffen und die Anforderungen aus dem Hinweisgeberdatenschutzgesetz (HinSchG) näher dargestellt.
Die sich aus europäischer Sicht ergebenden Anforderungen aus Sicht der Datenschutzaufsicht waren zunächst Gegenstand des Vortrages von Barbara Thiel (LfD Niedersachsen a. D.) und wurden thematisch ergänzt durch Michael Will (Präsident des BayLDA), um aufzuzeigen, welche Kontrollreichweite durch die Aufsichtsbehörde zu erwarten ist und welche notwendigen Vorkehrungen durch Verantwortliche eigentlich zu treffen wären. Insbesondere die Nachweise zur fachlichen Kompetenz und zeitlich ausreichender Einsatzfähigkeit interner und externer Datenschutzbeauftragter waren im Rahmen der anschließenden Diskussion dann ein die Teilnehmenden bewegendes Thema.
Dr. h. c. Marit Hansen (LfD Schleswig-Holstein) bot hingegen eine Möglichkeit, die Anforderungen aus Sicht der Aufsichtsbehörde zu erfüllen, indem sie aufzeigte, wie die Kriterien für eine souveräne Cloud aussehen und nachgewiesen werden sollten.
Betroffenenrechte
Dem wichtigen Thema der Umsetzung von Betroffenenrechten widmeten sich gleich mehrere Vorträge auf der DuD 2024, wobei im Rahmen des dritten Tages der Veranstaltung die Möglichkeit geboten wurde, sich über praxistaugliche Lösungen näher zu informieren bzw. die vorgestellten Ansätze in kleinerem Rahmen gemeinsam zu diskutieren.
Wie wichtig eine ausreichende Information von betroffenen Personen ist und auf welche Weise diese umgesetzt werden könnten, damit auch bei sehr umfangreichen Informationspflichten eine freiwillige und informierte Entscheidung möglich ist, zeigte u. a. Prof. Dr. Ina Schiering (Ostfalia Hochschule für angewandte Wissenschaft) auf, als sie die Ergebnisse bzw. den Stand eines gemeinsam durchgeführten Projekts darstellte, im Rahmen dessen Lösungen zur informierten Einwilligung bei Gesundheits-Apps erforscht werden.
Welchen Herausforderungen die Akteure der Datenverarbeitung in der Praxis bei der Umsetzung von Betroffenenrechten zumeist ausgesetzt sind und welche Lösungsansätze genutzt werden, wenn es bspw. um die Identitätsfeststellung von anfragenden Personen oder die Reichweite zu erfüllender Informationspflichten geht, zeigten RAin Carolin Steiger (ADAC e. V.) und Dr. Simon Menke (Otto Group) in ihren beiden Vorträgen auf.
Zudem wurden an verschiedenen Stellen die Notwendigkeit der rechtskonformen und datensicheren Kommunikation, insbesondere mit betroffenen Personen aufgezeigt, so stellte Georg Nestmann (comcrypto GmbH) nicht nur die typischen Irrtümer über die E-Mail-Verschlüsselung dar, sondern bot am dritten Tag auch eine vielversprechende Lösungsmöglichkeit.
Der Notwendigkeit, praxistaugliche Lösungen zu bieten, nahm sich zudem Mathias Kähler (T-Systems) an, der die Verwendung eines Law Monitors in der Cloud vorstellte. Zudem bot Turgut Tekkececi (One Trust) mit der Vorstellung einer „Privacy Maturity“ eine Möglichkeit, den Umgang mit Daten während eines Datenlebenszyklus abbilden zu können, während durch Dr. Jan Scharfenberg (ISiCO) und Annika Scholz (caralegal) nochmals darauf hingewiesen wurde, wie wichtig eine Kontrolle von Datenschutzvorgängen ist und eine Möglichkeit zur Überwachung und Strukturierung des Datenschutzmanagements vorgestellt wurde.
Zuletzt bot der Lösungstag auch bei diesem Thema nochmals eine beeindruckende Möglichkeit zur Diskussion, als Mario Hoffmann (ARRK) aufzeigte, wie wenig unsere Wirklichkeit mit den Anforderungen der DSGVO an die Transparenz übereinstimmt. Am Beispiel der Information in Kraftzeugen stellte er auf eindrucksvolle Weise dar, dass eigentlich keine fahrzeugnutzende Person wirklich erfährt, welche Daten auf welche Weise und durch wen verarbeitet werden!
Besuchen Sie die DuD 2025 – Anmeldung bereits möglich!
Diese Diskussion wird sicherlich aufgegriffen werden. Wir freuen uns daher auf ein Wiedersehen im nächsten Jahr auf der DuD 2025 vom 23.06. bis zum 25.06.2025 in Berlin. Interessierte können sich bereits jetzt für die DuD-Konferenz anmelden.
Noch mehr Fachwissen:
Wenn Sie sich für das Weiterbildungsangebot der DSN Akademie interessieren, dann finden Sie alle aktuellen Kurse und Termine auf unserer Website oder Sie melden sich für den Newsletter der DSN Akademie an und erhalten diese Informationen regelmäßig bequem per E-Mail.