Der inzwischen zum 27. Mal durchgeführte Datenschutzkongress DuD 2025 – Datenschutz und Datensicherheit fand erstmalig in Potsdam statt. An drei Tagen (2. bis 4. Juni) wurden aktuelle Fragen sowie denkbare Lösungsansätze aus den Bereichen Datenschutz und Informationssicherheit diskutiert. Gegenstand der vorgestellten Inhalte waren dabei sowohl die wesentlichen Probleme zum Einsatz Künstlicher Intelligenz (KI) und deren Regulierung durch die KI-VO als auch die notwendigen Schritte zu einer dringend erforderlichen Cybersicherheit und bereits umzusetzender Anforderungen im Rahmen der Informationssicherheit (bspw. NIS-2-Richtlinie). Nach der Eröffnung des diesjährigen DuD-Kongresses durch die Veranstalterin Stefanie Geuhs (COMPUTAS) und die Vorsitzende RAin Dr. Britta A. Mester (DuD-Herausgeberin / Leiterin DSN Akademie, DSN GROUP) wurde den Teilnehmenden ein breites Angebot von Fachbeiträgen geboten, welche einen regen Erfahrungs- und Gedankenaustausch zwischen den Anwesenden ermöglichten (hier finden Sie die Agenda der DuD 2025).
Datenschutz und Künstliche Intelligenz (KI)
Ein zentrales Thema der DuD 2025 stellte die Auseinandersetzung des Datenschutzes mit der KI dar. Den Auftakt bot hierbei der Vortrag von Prof. Dr. Dieter Kugelmann (LfDI Rheinland-Pfalz) zur Konsolidierung des Datenschutzrechts, in dem deutlich wurde, dass eine datenschutzkonforme Auslegung im Rahmen der Prüfung von KI-Systemen den Schutz von Grundrechten sicherstellt und dadurch nicht zuletzt auch zur Entwicklung menschenzentrierter und vertrauenswürdiger KI beiträgt. Der Datenschutz und die KI im Rahmen der behördlichen Aufsichtspraxis wurden sodann von Maria Christina Rost (LfD Sachsen-Anhalt) nochmals aufgegriffen und es wurde auf eindringliche Weise aufgezeigt, dass die Gesetzgebung mit der Schnelligkeit der KI-Entwicklung nicht mithalten kann. Zudem bedarf es dringenden einer Harmonisierung der Digitalrechtsakte. Dabei stellte sich insbesondere die berechtigte Frage, ob ein spezieller Datenschutz auf Grundlage vorhandener Öffnungsklauseln erforderlich ist, um nicht zuletzt auch die Beantwortung der Frage nach der Aufsicht von KI-Systemen zu ermöglichen. Die Erfüllung von sich bereits in der Praxis ergebenden Anforderungen von Aufsichtsbehörden zum datenschutzkonformen Einsatz von KI war anschließend Gegenstand des anschaulichen Beitrages von RAin Kathrin Schürmann (Schürmann Rosenthal Dreyer Rechtsanwälte).
NIS 2 und Cybersicherheit
Ein weiteres Schwerpunktthema der DuD-Konferenz stellte die NIS-2-Richtlinie dar. Hier bot zunächst der Beitrag von Prof. Dr. Dennis-Kenji Kipker (cyberintelligence.institute) die Möglichkeit, sich mit den relevanten Fragen der Verantwortlichkeit und Haftung auseinanderzusetzen. Auf eindringliche Weise wurde deutlich, dass Cybersicherheit ein oftmals unterschätztes Thema ist und Führungspersonen unbedingt angeraten ist, die damit im Zusammenhang stehenden Pflichten frühzeitig für ihre jeweilige Einrichtung in den Fokus zu nehmen. Der Apell, sich zu „kümmern“, wurde nochmals durch RA Dr. Jens Eckhardt (pitc legal) unterstrichen, der in seinem Vortrag „NIS2 – Rechtsgrundlage zur Umsetzung einer Rechtspflicht ohne Rechtspflicht“ ebenfalls darstellte, dass sich bereits jetzt mit den Anforderungen auseinandergesetzt werden muss.
Die aktuelle Lage der Cybersicherheit war demgegenüber Inhalt eines Vortrages von Isabel Münch (BSI), in dem die Auswirkungen sowohl aktueller geopolitischer Verwerfungen als auch des Einsatzes neuer Technologien auf eindringliche Weise aufgezeigt wurden. Insbesondere wurde deutlich, dass die derzeitige Sicherheitslage eine verstärkte Auseinandersetzung mit Möglichkeiten von entsprechenden Schutzmaßnahmen erfordert, da Angreifende zumeist technisch heute viel besser ausgestattet sind, als dies bei den angegriffenen Einrichtungen der Fall ist. Der Appell „Sicherheit ist Chefsache“ kann hierbei nur nochmals für alle wiederholt werden.
Umsetzungsanforderungen aufgrund des Cyber Resilience Acts (CRA) waren sodann Gegenstand des Vortrages von Dr. Sven Niedner (Synamic Technologies UG). Inwieweit die Regularien des CRA jedoch durchaus auch einen Beitrag zum Datenschutz bieten können, wurde demgegenüber von Dr. h. c. Marit Hansen (LfD Schleswig-Holstein) auf sehr anschauliche und überzeugende Art und Weise dargestellt, indem anhand zahlreicher datenschutzrechtlicher Anforderungen mögliche Berührungspunkte aufgezeigt wurden.
DSGVO und Rückblick
„DSGVO – Das verflixte 7. Jahr“ und wie geht es weiter? Dies stellte den Auftakt zu einem weiteren Themenschwerpunkt des Kongresses dar. Barbara Thiel (LfD Niedersachsen a. D.) bot den Teilnehmenden damit nicht nur die Möglichkeit, sich im Rückblick mit der Entwicklung offener Umsetzungsfragen auseinanderzusetzen, sondern zeigte nochmals den vorhandenen Reformbedarf auf und machte deutlich, dass es inzwischen zahlreiche neue Herausforderungen für den Datenschutz gibt. Durch den Beitrag von Carolin Loy (BayLDA) wurde darüber hinaus auf anschauliche Weise deutlich, dass es im Rahmen der EU-Digitalstrategie zahlreiche klassische Fragestellungen gibt (bspw. Personenbezug, Rechtsgrundlage, Transparenzgrundsatz und weitere Betroffenenrechte), bei denen durchaus Synergieeffekte zur DSGVO nutzbar gemacht werden können. Fragen einer möglichen Anonymisierung genetischer Daten in der Forschung waren dann Gegenstand des Beitrages von Dr. Nuria Mackes und Michael Weiß (beide Roche Deutschland), während Fabian Diener-Fürmetz (NSIDE ATTACK LOGIC GmbH) die kriminellen Folgen von Daten im Darkweb aufzeigte.
Hilfe bei der praktischen Herangehensweise an die zahlreichen Rechtsanforderungen boten überdies die Praxisbeiträge von RA Jonas Kröger (Zalando SE) und RAin Carolin Steiger (ADAC e.V.), indem sehr anschaulich und gut nachvollziehbar zunächst eine praxisnahe Herangehensweise an den Umgang mit Betroffenenanfragen aufgezeigt wurde, bevor dann die Umsetzung von Informationspflichten und die hierzu möglichen Ansätze anhand von Praxisbeispielen zur Diskussion standen. Das Angebot praktischer Lösungen war ebenso das Hauptanliegen der für die interessierten Teilnehmenden am dritten Tag angebotenen Vorträge. Hier gab zunächst Malte Tober (2B Advice GmbH) Einblick in die Möglichkeit des „AI Impact Assessments nach EU AI Act und IDW PS 861“, bevor Tina Ehtechami (ISiCO GmbH) auf sehr strukturierte Weise die Herausforderungen und notwendigen Schritte einer Datenschutz-Folgenabschätzung für KI-Tools behandelte. Der Beitrag von Marco Müllner (Caralegal GmbH) bot im Anschluss einen praktischen Einblick darin, auf welche Weise die KI bei der Erstellung von Dokumentation gemäß der DSGVO und der KI-VO helfen kann, in dessen Anschluss Ulrich Plate (nGENn GmbH) nochmals „NIS in der Umsetzung“ aufgriff. Eine eigene Session unter der Moderation von Mario Hoffmann (ARKK Engineering) ermöglichte zuletzt allen Interessierten sich eingehender mit dem Thema „Automotive Privacy“ auseinanderzusetzen.
Zertifizierung und Ausblick
Thematisch abgerundet wurde die DuD 2025 durch den Vortrag von Dr. Sönke Maseberg (datenschutz cert GmbH), dessen Beitrag die wesentlichen Schritte in Richtung einer Zertifizierung nach Art. 42 DSGVO durch den „DSGVO – information privacy standard“ aufzeigte.
Überdies bot der Vortrag von Dr. Stefan Brink (wida – Wissenschaftliches Institut für die Digitalisierung der Arbeitswelt) zum Abschluss des zweiten Konferenztages viel Raum für eine sehr interessante und offene Diskussion. Anhand der Darstellung strategischer Überlegungen zur Zukunft europäischer Datenschutzaufsicht zeigte der Beitrag auf, dass es zahlreiche Ansätze gibt, diese neu zu strukturieren. Es bleibt spannend, wie sich diese Frage in den nächsten Jahren entwickeln wird.
Diese hochkarätigen Beiträge aller Referent*innen und deren großartige Bereitschaft, Themen auf instruktive, unverblümte und diskussionsfördernde Weise aufzugreifen, tragen maßgeblich zum Gelingen des Datenschutzkongresses DuD bei. Besonderer Dank gilt Dr. Christoph Wegener (wecon.it-consulting), der mit seiner Moderation zum Gelingen der Veranstaltung und zur angeregten Diskussion aller Anwesenden beitrug.
Rahmenprogramm der DuD 2025
Das Rahmenprogramm der DuD-Konferenz bot auch in diesem Jahr wieder die Möglichkeit in angenehmer Atmosphäre, sowohl in den Pausen als auch am Abend, beim Dinner, ins Gespräch zu kommen und sich auszutauschen. Zum Gelingen der Veranstaltung trug dabei sicherlich nicht zuletzt auch der ausgesprochen gute Service sowie die angenehme Lage des Kongresshotels Potsdam und die Möglichkeit zum abendlichen Spaziergang bei. Die Gespräche – während der Pausen oder am Abend in den Ruhezonen des Hotels – zeigten überdies, hier geht es nicht allein um den Fachaustausch, sondern um persönliche Sympathie und wertschätzendes Miteinander, wofür Familie Geuhs mit drei Generationen als Veranstalter steht. Mit den Worten einer erstmals teilnehmenden Person ausgedrückt: „Schon beim Ankommen war die Stimmung spürbar herzlich. Begrüßungen mit ehrlichem Lächeln, kleinen Gesprächen am Rande – man merkte sofort, dass sich hier Menschen treffen und nicht nur Teilnehmende. Diese Wärme zog sich durch alle Tage und schuf ein fast familiäres Miteinander, das sich nicht inszeniert, sondern echt anfühlte!“
Besuchen Sie die DuD 2026 – Anmeldung bereits möglich!
Wir freuen uns von Herzen auf ein Wiedersehen im nächsten Jahr auf der DuD 2026 vom 15. bis zum 17. Juni 2026.
Interessierte können sich bereits jetzt für die DuD-Konferenz anmelden.
Noch mehr Fachwissen:
Wenn Sie sich für das Weiterbildungsangebot der DSN Akademie interessieren, dann finden Sie alle aktuellen Kurse und Termine auf unserer Website oder Sie melden sich für den Newsletter der DSN Akademie an und erhalten diese Informationen regelmäßig bequem per E-Mail.