4. Hamburger Datenschutztage

Transkript

1 4. Hamburger Datenschutztage Pre-Seminare: 02. März 2016 Konferenz: März 2016 Themen Vom Wettlauf zwischen Hase und Igel - zum Verhältnis von Datenschutz und Technik Datenschutz gehackt - Live und Lösungen Security Intelligence: Angriffe erkennen, Daten gefährden? Werbung, Direktmarketing, Kundendaten - datenschutzrechtliche Möglichkeiten und Grenzen Datenschutz und Administratoren Das Verfahrensverzeichnis - Heute vorbereitet für die DS-GVO EU-Datenschutz-Grundverordnung - Wann, Was, Wie oder abwarten? Sensibilisierung für den Datenschutz - Werkzeuge und Lösungen Biometrische Systeme im Unternehmenseinsatz Vertrauen ist gut, Kontrolle ist besser? Technische Arbeitnehmerüberwachung und Datenschutzrecht Datenschutz und Technik - ist das vereinbar? Datenschutz als Spaßbremse - (Un)-Sinn technischer Lösungen? Referenten der Konferenz sind u.a.: Marit Hansen Landesbeauftragte für Datenschutz Schleswig-Holstein RA Andreas Jaspers Geschäftsführer - GDD e.v. Prof. Dr. Thomas Hoeren ITM - Institut f. Informations-, Telekommunikations- & Medienrecht

2 Ihre Referenten RA Dr. Frank Bongers Esche Schümann Commichau Marit Hansen Landesbeauftragte für Datenschutz Schleswig-Holstein Dr. Frank Bongers ist Rechtsanwalt mit dem Beratungsschwerpunkt Daten- Dipl.-Inf. Marit Hansen ist seit 2015 die Landesbeauftragte für Datenschutz schutzrecht sowie Fachanwalt für Arbeitsrecht bei der Sozietät Esche Schümann Schleswig-Holstein und damit Leiterin des Unabhängigen Landeszentrums für Commichau ( Dort berät er seine Mandanten insbesondere in Datenschutz Schleswig-Holstein (ULD). Davor war sie sieben Jahre die stellver- den spezifischen Rechtsfragen des Kunden- und Arbeitnehmerdatenschutzes. Herr Dr. Bongers tretende Landesdatenschutzbeauftragte und hat im ULD den Bereich der Projekte für technischen ist Autor zahlreicher Veröffentlichungen. Datenschutz aufgebaut. Dr. Friederike Gräfin von Brühl, M.A. K&L Gates LLP Prof. Dr. Thomas Hoeren ITM - Institut für Informations-, Tele- Dr. Friederike Gräfin von Brühl ist Rechtsanwältin und Partnerin im Berliner Büro kommunikations- und Medienrecht, Universität Münster von K&L Gates und Mitglied der Praxisgruppe Telekommunikation, Medien und Prof. Dr. Thomas Hoeren studierte Theologie und Rechtswissenschaften. Von Technologie mit dem Schwerpunkt IP/IT. Sie berät Ecommerce-, Software- und 1996 bis Ende 2011 war Hoeren Richter am OLG Düsseldorf. Seit 1997 leitet er Technologieanbieter sowie Unternehmen aus der Kunst- und Medienbranche, insbesondere bei die Zivilrechtliche Abteilung des Instituts für Informations-, Telekommunikations- und Medienrecht komplexen Lizenzverträgen, Transaktionen und Rechtsstreitigkeiten. Neben dem IT- und Daten- der Universität Münster. Zudem ist er Mitglied des Wissenschaftlichen Beirats der DENIC sowie schutzrecht decken ihre Erfahrungen im Recht des geistigen Eigentums das gesamte Spektrum Kuratoriumsmitglied des Research Center for Information Law der Universität St. Gallen. des Urheber-, Marken- und Wettbewerbsrechts ab. Dr. Werner Degenhardt Fakultät für Psychologie der Ludwig- RA Andreas Jaspers Geschäftsführer - Gesellschaft für Daten- Maximilians-Universität München schutz und Datensicherheit (GDD) e.v. Dr. Werner Degenhardt ist Akademischer Direktor und CIO. Seine Hauptinter- Andreas Jaspers ist Geschäftsführer der Gesellschaft für Datenschutz und Da- essen als Wissenschaftler sind Human Factors in der IT-Sicherheit, computer- tensicherheit (GDD) e.v. In dieser Funktion begleitet er die Gesetzgebungsvorha- gestützte Zusammenarbeit und Benutzbarkeit von IT-Systemen. Seine IT-Karriere begann er als ben zum Datenschutz und steht unterstützend und beratend den über Mitgliedern im Bereich Software-Entwickler für wissenschaftlich-statistische Anwendungen. Herr Degenhardt berät Unter- Datenschutz und den 29 regionalen ERFA-Kreisen mit über Mitgliedern in Deutschland zur nehmen und Behörden bei Fragen der IT-Sicherheit und bei Awareness-Maßnahmen. Verfügung. Daniela Duda Datenschutzbeauftragte GDDcert. - ASINARIUS RAin Kathrin Schürmann Schürmann Wolschendorf Dreyer Daniela Duda ist langjährige externe Datenschutzbeauftragte, berät und begleitet Kathrin Schürmann ist seit 2007 als Rechtsanwältin bei Schürmann Wolschen- KMUs sowie Konzerne verschiedener Branchen im Fachbereich Datenschutz dorf Dreyer tätig und berät Unternehmen der Film-, Fernseh- und Verlagsbranche und steht dem ERFA-Kreis Bayern der GDD e.v. vor. sowie Agenturen, Autoren und Kreativschaffende. Ein weiterer Schwerpunkt der Tätigkeit von Frau Schürmann liegt in der Beratung und Betreuung von Unternehmen in datenschutzrechtlichen Angelegenheiten sowie in Fragen des IT- und Internetrechts. Holger Freundlich Datenschutzbeauftragter - IBS Schreiber GmbH Holger Freundlich ist seit Februar 2011 Mitarbeiter der IBS Schreiber GmbH und Oliver Schonschek Freier Journalist und Fachautor war vorher 25 Jahre in der Siemens AG tätig. Zuletzt hat er in Schweden mehrere Oliver Schonschek ist Diplom-Physiker (Universität Bonn), Analyst und IT-Fach- internationale Projekte geleitet. Weiterhin hat sich Holger Freundlich qualifiziert journalist im Bereich IT-Sicherheit und Datenschutz. Zudem ist er Herausgeber als: Globaler Zertifizierungsmanager und Auditor im Bereich Netzwerk (CISCO) sowie Projektma- und Fachautor zahlreicher Fachpublikationen. nager im Bereich Telekommunikationssysteme (HiPath4000 und OpenScape Voice). Konstantin Gork IBS Schreiber GmbH Thomas Tiede Geschäftsführer - IBS Schreiber GmbH Dipl.-Geophys. Konstantin Gork ist seit Mitte 2007 bei der IBS Schreiber GmbH Thomas Tiede ist seit 2000 Geschäftsführer der IBS Schreiber GmbH. Seine um- als Prüfer IT und Security tätig und war vorher 8 Jahre für den Betrieb eines Re- fangreichen Erfahrungen im Bereich der Unternehmensprüfung fließen in seine chenzentrums bei der Siemens AG verantwortlich. Zu seinen Aufgaben gehörte langjährige Seminartätigkeit ein. Er gilt als anerkannter Experte der Zugriffs- und das Planen und Einrichten von Kundenanbindungen, das Betreiben einer Firewall und der Netzin- Sicherheitsphilosophien von Betriebssystemen, Datenbanken und SAP. An der Entwicklung des frastruktur sowie die Unterstützung des technischen Vertriebes. Weiterhin war er verantwortlich für GRC-Tools CheckAud for SAP Systems war und ist Thomas Tiede maßgeblich beteiligt. die Umsetzung kundenspezifischer ITIL-Prozesse. 2

3 Vorwort Liebe Interessenten und Freunde des IBS! Datenschutz und IT-Technik sind eng miteinander verknüpft. Ein großes Problem besteht darin, dass datenschutzrelevante Regelungen der rasanten IT-technischen Entwicklung weit hinterherhinken. Cloud-Computing, mobile Geräte, flexibles Arbeiten und soziale Netzwerke beinhalten betreffs des Datenschutzes ein großes Risiko-Potential. Und auf diese aktuellen Techniken müssen wir noch heute Datenschutzvorschriften der 90er Jahre anwenden! Fragen zur Vereinbarkeit von neuen IT-Technologien und datenschutzrechtlichen Anforderungen für Kunden und für Beschäftigte sind daher zu stellen und zu beantworten. Die Kontrolle auf Einhaltung von Regelungen und Vorschriften ist zu gewährleisten im Sinne der Unternehmen und im Sinne der Betroffenen. Es sollte ein Selbstverständnis für Beschäftigte und auch Kunden sein, Datenschutzregelungen und -vorschriften zu akzeptieren und danach zu handeln gestützt durch umfassende Sensibilisierungs- und Awareness-Maßnahmen. Die IBS Schreiber GmbH nimmt sich dieser Themen jeweils frühzeitig an mit der Intention, das interne Kontrollsystem (IKS) zeitnah neuen Risiken anzupassen - sei es aus Sicht des Datenschutzbeauftragten, sei es aus Sicht der internen Revision. Dabei liegt der Fokus stets auf der angemessenen praktischen Umsetzung dieser Anpassung unter rechtlichen und IT-technischen Aspekten. Wir freuen uns, Sie zu den 4. Hamburger Datenschutztagen vom 3. bis zum 4. März 2016 hier in Hamburg begrüßen zu dürfen. Mit herzlichen Grüßen Ihr Dr. Michael Foth Konferenzleitung: Dr. Michael Foth - IBS Schreiber GmbH Michael Foth ist Spezialist für Datenschutz und für Sicherheitsanalysen von LAN- und WAN-Infrastrukturen. Er ist zugelassener Datenschutzgutachter des europäischen Datenschutzgütesiegels. Zudem ist Herr Foth Leiter der Anerkannten Datenschutzprüfstelle der IBS Schreiber GmbH. Er betreut national und international aufgestellte Mandanten als externer Datenschutzbeauftragter. 3

4 Pre-Seminar am Technik und Datenschutz bei mobilen Geräten Die Nachfrage nach dem Einsatz mobiler Geräte und Kommunikationsmedien in Unternehmen steigt. Den Beginn machte zweifellos das Handy, das am Anfang nur geringe bis keine Risiken mit sich trug. Die Zeiten, in denen das Handy als reines Telefon eingesetzt wurde, sind jedoch längst vorbei. Inzwischen hat sich aus dem Mobiltelefon ein mobiler Computer entwickelt, mit einem vielfältigen Angebot an Funktionen und Diensten. Dieses vielfältige Angebot birgt jedoch viele Risiken und Gefahren. Im Rahmen von Prüfungen muss daher ein intensives Augenmerk auf diese Kommunikationsmedien (Smartphones, Tablets, USB- Sticks, Notebooks, externe Festplatten usw.) gelegt werden, vor allem auf Regelungen und Weisungen im Umgang mit ihnen. Der Nachteil dieser Systeme besteht darin, dass sie sich nicht permanent stationär in einer zentralen Infrastruktur befinden und daher keiner kontinuierlichen Kontrolle unterliegen können. In diesem Seminar werden Möglichkeiten und Risiken des Einsatzes der mobilen Kommunikation aufgezeigt. Ziel des Seminars ist die Erarbeitung einer strukturierten Vorgehensweise bei der Prüfung notwendiger organisatorischer und technischer Maßnahmen. Mobile Kommunikationsgeräte Smartphone Netbook, Notebook, externe Festplatte USB-Stick Mobile Kommunikation USB, Bluetooth Wireless LAN, Infrarot Risiken Bewegungsprofile Abhörbarkeit Datenverlust Regelungen / Verfahrensanweisungen Handhabungen Konfiguration Software Kommunikation Organisatorisches Umfeld Backup Verlust des Gerätes oder der Daten Unbefugte Einsichtnahme Beschaffungsweg Gefährdung anderer Systeme Datenverschlüsselung Prüfmittel Prüfleitfäden Prüftools Termin: :30 17:00 Uhr Kosten: 400,- zzgl. MwSt. inkl. Mittagessen, Getränke und Seminarunterlagen Durchführung: Vortrag, Diskussion, Beispiele am Rechner/Beamer. Jeder Teilnehmer hat eine eigene Workstation. Teilnehmerzahl: max. 12 Personen Veranstaltungsort: IBS Schreiber GmbH Zirkusweg 1, Hamburg Referenten: Holger Freundlich, IBS Schreiber GmbH Konstantin Gork, IBS Schreiber GmbH 4

5 Pre-Seminar am Datenschutzgerechte Löschkonzepte Sind vertrauliche Vollstreckungsinformationen oder Abmahnungen in Personalakten für die Ewigkeit? Das Gegenstück zu der Pflicht von Unternehmen, bestimmte Daten für einen bestimmten Zeitraum verfügbar zu halten, ist aus Datenschutzsicht die Verpflichtung, diese Daten nach Ablauf dieser Zeiträume zu löschen. Wie datenschutzgerechte Löschkonzepte aussehen können, ist das Thema dieses Ein-Tagesseminars. Die Entwicklung von Löschkonzepten in Konzernen und Unternehmen hat sich in den letzten Jahren zum Dauerbrenner entwickelt. Insbesondere aufgrund der Relationalität komplexer IT-Infrastrukturen sind die Lösungen nicht einfach zu finden. Nach der Erörterung der rechtlichen Grundlagen der Löschverpflichtung werden mit den Teilnehmern die gesetzlichen, organisatorischen und technischen Anforderungen an Löschkonzepte unter der Zugrundelegung einschlägiger DIN-Normen besprochen. Die Teilnehmer erhalten Hinweise zur Bildung verschiedener Datenkategorien und zur besonderen Berücksichtigung der jeweiligen Zweckbestimmung der Daten. Checklisten und Prozessbeschreibungen geben den Teilnehmern Arbeitshilfen für die Entwicklung und Prüfung von Löschkonzepten im Unternehmen. Rechtsgrundlagen Das BDSG und die Löschpflicht Die Bedeutung der Zweckbestimmung Löschfristen Definitionen: Löschen, Sperren, Archivieren Datenarten Systematische Erfassung von Datenarten Kriterien für die Kategorisierung Datenarten kategorisieren Vertraulichkeitsklassifikation Löschklassen Matrix der Löschklassen Datenarten, Löschklassen und Löschregeln Festlegung von Löschfristen Vorhaltefristen und Löschfristen Regellöschfristen Definition von Beginn und Ende Gesetzlich geforderte Fristen Zweckdefinierte Fristen Zweckänderung und Friständerung Besondere Datenarten (Sicherungskopien und Logdaten) Vorgaben für die Umsetzung von Löschregeln Inhalt von Umsetzungsvorgaben Regelungsbereiche im Unternehmen Termin: :30 17:00 Uhr Kosten: 400,- zzgl. MwSt. inkl. Mittagessen, Getränke und Seminarunterlagen Durchführung: Vortrag, Diskussion, Beispiele am Rechner/Beamer. Jeder Teilnehmer hat eine eigene Workstation. Teilnehmerzahl: max. 12 Personen Veranstaltungsort: IBS Schreiber GmbH Zirkusweg 1, Hamburg Referenten: Melanie Dörholt, IBS Schreiber GmbH Dr. Michael Foth, IBS Schreiber GmbH 5

6 Programm 1. Tag ( ) - Vormittags 09:00 Uhr Empfang 09:15 Uhr Begrüßung und Eröffnung der Fachkonferenz durch den Vorsitzenden 09:30 Uhr Vom Wettlauf zwischen Hase und Igel - zum Verhältnis von Datenschutz und Technik Prof. Dr. Thomas Hoeren, ITM Institut für Informations-, Telekommunikations- und Medienrecht, Universität Münster Konkret geht es darum, das Verhältnis von Technik und Datenschutz näher zu beleuchten. Technik unterläuft notwendig alle territorialen Vorgaben der Juristen, wie die jüngsten Fälle rund um Google, Facebook & Co zeigen. Gleichzeitig kann Technik Datenschutz unterstützen, wie Privacy by design -Konzepte demonstrieren. Im Vortrag wird, anhand aktueller Fälle und Gerichtsentscheidungen, die komplexe und verworrene Beziehung von Technikern und Juristen im Datenschutzrecht aufgezeigt. 10:15 Uhr Live: Datenschutz gehackt - und Lösungen Konstantin Gork, IBS Schreiber GmbH Sehr viele Unternehmen und Organisationen speichern ihre Daten in Datenbanken oder in der Cloud, um sie persistent zu speichern und verfügbar für verschiedene Standorte zu haben. Bei diesen Daten sind unter anderem Unternehmensdaten wie Mitarbeiter oder wohl möglich noch Kundendaten dabei. Je nach Umsetzung oder Lösung gibt es eine oder mehrere Schnittstellen, die mittels Login oder einer anderen Authentifikation geschützt sind. Diese Schnittstellen oder Verbindungen bilden meist die Schwachstellen des Informationsaustausches. Live Hacking einer Webbasierten Schnittstelle mittels: SQL Injektion Account-Hijacking / Man-In-The-Middle Mögliche Maßnahmen zum Schutz: Schnittstelle absichern Daten gesichert speichern 11:15 Uhr Kaffeepause 11:30 Uhr Security Intelligence: Angriffe erkennen, Daten gefährden? Oliver Schonschek, Freier Fachjournalist und Fachautor Zur Erkennung und Abwehr der zunehmend komplexen Angriffe werden sicherheitsrelevante Daten aus Clouds, Netzwerken, Geräten und Anwendungen gesammelt und ausgewertet. Dabei tauschen sich Sicherheitsanbieter und Anwenderunternehmen auch untereinander aus. Die daraus entstehende Security Intelligence kann dabei helfen, Daten besser zu schützen. Sie kann aber auch Daten gefährden. Der Vortrag klärt die Fragen: Was ist Security / Threat Intelligence? Welche Daten werden gesammelt und ausgewertet? Wie hilft Security Intelligence der Datensicherheit? Was ist bei Security Intelligence aus der Cloud zu beachten? 12:30 Uhr Mittagspause 6

7 Programm 1. Tag ( ) - Nachmittags 14:00 Uhr Parallel-Vorträge Werbung, Direktmarketing, Kundendaten - datenschutzrechtliche Möglichkeiten und Grenzen RA Dr. Frank Bongers, Esche Schümann Commichau Wer bei Werbung und Direktmarketing an Datenschutz denkt, dem fallen häufig Schlagwörter ein wie: Einwilligung, Double Opt-In, UWG, Bestätigungsmail, Kundenzufriedenheitsbefragung, Newsletter, AGB oder Adresshandel. Wie diese zusammenhängen und welche werbliche Nutzung der Kundendaten zulässig ist, verlangt häufig viel Klärungsaufwand und Diskussionen zwischen Geschäftsleitung und Datenschutzbeauftragten. Eine sorgfältige Prüfung wird immer wichtiger, um Risiken zu vermeiden. Es wird u. a. um folgende Fragen gehen: Wann ist Werbung ohne Einwilligung möglich und zulässig? Wie muss eine Einwilligung erfolgen und dokumentiert werden? BDSG und UWG: Wie ist das Spannungsverhältnis aufzulösen? Was sind die Risiken bei Nicht-Einhaltung der Vorschriften? Welche Risiken entstehen durch neue Regelungen? Datenschutz und Administratoren Holger Freundlich, IBS Schreiber GmbH Ich bin Administrator, ich darf das ist ein sehr bekannter Spruch, der bezüglich des Datenschutzes sehr kritisch gesehen werden muss. Denn der Benutzer Administrator kommt jederzeit an alle Daten des Servers. Diese kann er einsehen und verändern, wenn dies nicht durch ein spezielles Berechtigungskonzept geregelt ist. Daher ist wichtig, dass folgende Punkte betrachtet und realisiert sind: Sensibilisierung der Administratoren Manipulationssichere Protokollierung Kontrolle der administrativen Zugänge Nachvollziehbarkeit der administrativen Tätigkeit(en) 15:00 Uhr Kaffeepause 15:15 Uhr Das Verfahrensverzeichnis Heute vorbereitet für die DS-GVO Daniela Duda, ASINARIUS - Datenschutzbeauftragte GDDcert. Die EU-Datenschutzverordnung steht vor der Tür. Bis diese Tür sich öffnet besteht keinesfalls Stillstand im Datenschutz. Manches in Ihren heutigen Unternehmensprozessen kann wegweisend und investitionssichernd diesen Schritt vorbereiten. Das Verfahrensverzeichnis von heute kann für Sie zur übersichtlichen Bewertungsgrundlage der Veränderungen von morgen werden. Aktueller Stand Erfordernis und Inhalt des Verfahrensverzeichnisses heute Das Verfahrensverzeichnis [und Sanktionen] im Licht der EU-Datenschutz-Verordnung Konkreter Nutzen eines gut geführten Verzeichnisses im Licht der kommenden Verordnung Was sollte ein Unternehmen heute beachten? 16:15 Uhr Kaffeepause 16:30 Uhr EU-Datenschutz-Grundverordnung Wann, Was, Wie oder abwarten? RA Andreas Jaspers, Gesellschaft für Datenschutz und Datensicherheit (GDD) e.v. - Geschäftsführer Die Diskussionen über ein neues EU-Datenschutzrecht beschäftigt Verbände, verunsichert Geschäftsführungen und erschwert schon jetzt den Alltag der betrieblichen Datenschutztbeauftragten. Die Verordnung wird unmittelbare Rechtswirkung bei Inkrafttreten für ganz Europa haben. Vieles ist zwar dem deutschen Datenschutzrecht angelehnt, aber auch für die Datenschutzbeauftragten wird nach dem jetzigen Stand mit weitreichenden Änderungen und neuen Anforderungen zu rechnen sein. Wie ist der aktuelle Stand zum Inhalt und zu Entscheidungen? Was sind neue Anforderungen an den betrieblichen Datenschutzbeauftragten? Was kann schon jetzt getan oder umgesetzt werden? Wie sieht der Zeitplan der Umsetzung und des Inkrafttretens aus? 17:15 Uhr 18:30 Uhr Ende des 1. Tages Hamburger Abend (Networking) 7

8 Programm 2. Tag ( ) - Vormittags 08:30 Uhr 09:00 Uhr Empfang Parallel-Vorträge Sensibilisierung für den Datenschutz - Werkzeuge und Lösungen Dr. Werner Degenhardt, Fakultät für Psychologie und Pädagogik der Ludwig-Maximilians-Universität München Informationstechnologie gibt ihren Betreibern alle Möglichkeiten für Datensammlung und Massenüberwachung in die Hand. Die Betroffenen arbeiten nach Kräften mit daran, dass Datensammler Bürgerrechte aushöhlen können. Datenschützer beobachten das mit Resignation, Verhaltensänderung erscheint allzu schwierig. Es ist aber nur die Wahl des richtigen Mittels, die schwierig ist. Ursachen der freiwilligen Selbstpreisgabe Warum Sensibilisierungsmaßnahmen fehlschlagen: Zur Logik des Misslingens Verhaltenswirksame Sensibilisierung: Wie geht das? Welche Risiken entstehen durch neue Regelungen? Live: Hacking von SAP-Systemen - Die unterschätzte Gefahr Thomas Tiede, IBS Schreiber GmbH SAP-Systeme stehen nicht nur im Fokus von Hackern um Geldflüsse zu manipulieren, sondern insbesondere auch um an sensible Unternehmensdaten zu gelangen. In SAP-Systemen werden u.a. Mitarbeiter-, Kunden- und Lieferantendaten gespeichert. In der Vergangenheit sind viele solcher Fälle von Datenklau durch die Presse gegangen, die Dunkelziffer liegt allerdings um einiges höher. Daher muss auf der Absicherung der SAP- Systeme insbesondere auch aus Datenschutzsicht ein besonderer Fokus liegen. Komplexität von SAP-Systemen Der typische Hacker gibt es ihn? SAP Standardfunktionalitäten zum Datenklau Lösungsansätze zum Datenschutz in SAP-Systemen 10:00 Uhr 10:15 Uhr Kaffeepause Parallel-Vorträge Biometrische Systeme im Unternehmenseinsatz RAin Kathrin Schürmann, Schürmann Wolschendorf Dreyer Biometrische Verfahren gehören zu den wichtigsten automatisierten Authentifikationsmethoden beim Zugang zu Rechnern oder Gebäuden. Dennoch werden die Systeme in Unternehmen nur sehr zurückhaltend eingesetzt, obwohl die Vorteile solcher Systeme beim Schutz vor unberechtigtem Zutritt und Zugriff auf der Hand liegen. Aus Sicht des Datenschutzes spielt der Schutz der biometrischen Referenzdaten eine wichtige Rolle, nicht zuletzt um auch die eigenen Mitarbeiter vom Einsatz des Systems zu überzeugen. Welche biometrischen Verfahren gibt es? Welche Daten werden gespeichert? Was ist aus Sicht des Datenschutzes zu beachten? Welche Anforderungen bestehen an die Systeme und die Speicherung biometrischer Daten? Was müssen Unternehmen bei der Einführung biometrischer Systeme beachten? Vertrauen ist gut, Kontrolle ist besser? Technische Arbeitnehmerüberwachung und Datenschutzrecht Dr. Friederike Gräfin von Brühl, M.A., K&L Gates LLP Arbeitgeber können ein nachvollziehbares Interesse daran haben, zur Gewinnung betriebsrelevanter Informationen auf die Daten ihrer Mitarbeiter zuzugreifen. Problematisch ist der Zugriff allerdings im Lichte des Rechts auf informationelle Selbstbestimmung und auf Vertraulichkeit der Information. Wichtig ist daher das Verständnis der Schranken, die ein Arbeitgeber in der Praxis zu beachten hat, um die Kontrolle seiner Mitarbeiter zulässigerweise durchzuführen. Klare Regelungen im Vorfeld ermöglichen den Schutz des Unternehmens unter Wahrung der Persönlichkeitsrechte der Beschäftigten. Folgende Fragestellungen stehen im Fokus der Betrachtung: Welche Grenzen hat der Arbeitgeber beim Zugriff auf die s seiner Mitarbeiter einzuhalten? Unter welchen Voraussetzungen darf eine Videoüberwachung von Mitarbeitern stattfinden? Welche Möglichkeiten hat der Arbeitgeber, seine Mitarbeiter auf IT-sicherheitskonformes Verhalten zu überprüfen? 8

9 Programm 2. Tag ( ) - Nachmittags 11:15 Uhr Kaffepause 11:30 Uhr Datenschutz und Technik - ist das vereinbar? Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein Mit dem technischen Fortschritt geht einher, dass immer mehr personenbezogene Daten verarbeitet werden. Ist Technik also eine Bedrohung für die Persönlichkeitsrechte? Ja. Aber zugleich ist sie ein wesentlicher Teil der Lösung für einen zukunftsfähigen Datenschutz. In diesem Beitrag werden der Einfluss der Technik auf die Gesellschaft, Gestaltungsoptionen und ihr Potenzial für einen besseren Datenschutz diskutiert. Technik als Bedrohung für den Datenschutz? Technik als Lösung: Privacy-Enhancing Technologies Eine Frage der Gestaltung: Privacy by Design = eingebauter Datenschutz Datenschutz durch Technik in der EU-Datenschutz-Grundverordnung 12:30 Uhr Mittagspause 14:00 Uhr Podiumsdiskussion Datenschutz als Spaßbremse (Un)-Sinn technischer Lösungen? RA Frank Bongers, Dr. Werner Degenhardt, Daniela Duda, Konstantin Gork, Marit Hansen, RAin Kathrin Schürmann Moderation: Dr. Michael Foth Die Technik bietet heute viele Möglichkeiten Daten zu erzeugen, zu verarbeiten, zu nutzen und zu verteilen. Der Datenschutz bremst viele durch die IT-Technik gegebenen Nutzungsmöglichkeiten von Daten aus. Oder fehlt die Berücksichtigung des Datenschutzes schon bei der Entwicklung neuer technischer Lösungen? Bremst der Datenschutz technische Entwicklungen aus? Ist jede technische Neuerung aus Datenschutzsicht überhaupt sinnvoll? Wie kann der Datenschutz als Partner für technische Innovationen dienen? Lässt sich Vertrauen auf Grund der gegebenen schnellen technischen Entwicklungen bei den Betroffenen überhaupt noch erreichen? 15:30 Uhr Verabschiedung - Konferenzende...nächster Termin Hamburger Datenschutztage Pre-Seminare: Datenschutztage:

10 Anmeldung Pre-Seminare ( ) Für eine Anmeldung faxen Sie diesen Abschnitt an: , nutzen Sie unsere Online-Anmeldung unter: oder senden Sie eine an Name: Straße: Vorname: PLZ Ort: Firma: Tel.: Abteilung: Veranstaltungsort*: IBS Schreiber GmbH Zirkusweg 1, Hamburg Tel Pre-Seminare: Bitte wählen Sie ein Pre-Seminar aus: a Pre-Seminar 1: Technik und Datenschutz bei mobilen Geräten a Pre-Seminar 2: Datenschutzgerechte Löschkonzepte Teilnahmegebühr 1 : 400,- zzgl. MwSt. (pro Seminar/Teilnehmer) Ort/Datum: Unterschrift: *HINWEIS Der Veranstaltungsort der Pre-Seminare ist 2 min Fußweg vom Konferenzhotel entfernt. 10

11 Anmeldung 4. Hamburger Datenschutztage ( ) Für eine Anmeldung faxen Sie diesen Abschnitt an: , nutzen Sie unsere Online-Anmeldung unter: oder senden Sie eine an seminare@ibs-schreiber.de. Name: Straße: Vorname: PLZ Ort: Firma: Tel.: Abteilung: Veranstaltungsort: (Konferenzhotel) Empire Riverside Hotel Bernhard-Nocht-Straße 97, Hamburg Tel Teilnahmegebühr 1 : 1.200,- zzgl. MwSt. pro Person (inkl. Fachkonferenzunterlagen als Ausdruck und auf USB-Stick, Mittagessen und Pausengetränke). Teilnehmer aus dem öffentlich-rechtlichen Bereich erhalten Sonderkonditionen. Sprechen Sie uns gern an! a Ja, ich nehme am gern am Hamburger Abend teil. Ort/Datum: Unterschrift: 1 Fachkonferenzen (inkl. Pre-Seminare) sind von den Rabattierungen für DIIR-, ISACA- & ISC 2 -Mitglieder ausgeschlossen. Hotelreservierung Empire Riverside Hotel Anreise: Abreise: Einzelzimmer inkl. Frühstück 99,00 Doppelzimmer inkl. Frühstück 119,00 Nichtraucher Raucher HINWEIS: Bei den genannten Hotelpreisen handelt es sich um IBS-Sonderkonditionen. Diese gelten NUR für den Zeitraum vom und NUR bei direkter Buchung über die IBS Schreiber GmbH. 11

12 Wir können mehr für Sie tun. Unser Produktportfolio: Seminare & Fachkonferenzen Prüfung & Beratung (IT-/SAP -Sicherheit) Unterstützung im Bereich Datenschutz GRC Prüfsoftware - CheckAud for SAP Systems Sprechen Sie uns gern an! IBS Schreiber GmbH International Business Services for Auditing and Consulting Zirkusweg Hamburg Fon: Fax: seminare@ibs-schreiber.de 12