Jahresfachkonferenz Datenschutz in Unternehmen und Behörden 20.03.-21.03.2014 in Hamburg www.ibs-schreiber.de
Anmeldung FKDS 2014 (20.03.-21.03.2014) Für eine Anmeldung faxen Sie diesen Abschnitt an: +49 40 69 69 85-31 oder nutzen Sie unsere Online-Anmeldung unter: www.ibs-schreiber.de/fachkonferenzen.html. Nachname: Vorname: Firma: Abteilung: Veranstaltungsort: Teilnahmegebühr: Frühbucherrabatt: Straße: PLZ, Ort: Tel.: E-Mail: Hotel Hafen Hamburg Seewartenstraße 9, 20459 Hamburg Tel. +49 40 31 11 3-0 pro Person (2 Tage) 1.100,- zzgl. MwSt (inkl. Fachkonferenzunterlagen als Ausdruck und auf USB-Stick, Mittagessen und Pausengetränke). Teilnehmer aus dem öffentlich-rechtlichen Bereich erhalten Sonderkonditionen. Sprechen Sie uns gerne an! Bei Anmeldung bis zum 30.01.2014 bieten wir Ihnen die Teilnahme zu einem Preis von 950,- zzgl. MwSt an. Ort/Datum: Unterschrift: Hotelreservierung Hotel Hafen Hamburg (auf Wunsch) Anreise: Abreise: Einzelzimmer inkl. Frühstück 99,00 * Doppelzimmer inkl. Frühstück 119,00 * Nichtraucher Raucher WICHTIGER HINWEIS: Bei den genannten Hotelpreisen handelt es sich um IBS- Sonderkonditionen. Diese werden NUR im Zeitraum vom 19.03.-21.03.2014 und NUR bei direkter Buchung über die IBS Schreiber GmbH angeboten. Die Übernachtungskosten werden Ihnen über IBS in Rechnung gestellt. *Das Zimmerkontingent ist begrenzt. 2
Vorwort Liebe Interessenten und Freunde des IBS, die aktuellen Enthüllungen über das Abhören von Daten und die immer wieder auftretenden Meldungen über Datenschutzlecks und Datenschutzskandale werfen die Frage auf, ob ein internationaler Datenverkehr heute überhaupt noch sicher gewährleistet werden kann. Ebenso müssen die Unternehmen sich fragen, wie sie gegenüber den Betroffenen den Schutz der Daten sicherstellen und vor allem darstellen können. Technische Innovationen und neue Formen des Arbeitens entwickeln sich und müssen auch unter dem Aspekt des Datenschutzes betrachtet und beherrscht werden. Die IBS Schreiber GmbH nimmt sich dieser Themen an, sei es aus Sicht der Prüfungen durch die Interne Revisionen oder aus Sicht der Datenschutzbeauftragten sowie im Hinblick auf die Anpassung des Internen Kontrollsystems an neue Risiken. So bieten wir Ihnen mit unserer Datenschutzkonferenz aktuelle Themen mit Blick auf eine praktische Umsetzung unter rechtlichen und technischen Aspekten. Wir freuen uns, Sie zur Jahresfachkonferenz Datenschutz in Unternehmen und Behörden vom 20.03.-21.03.2014 hier in Hamburg begrüßen zu dürfen. Ihr Michael Foth 3
Programm 1. Tag (20.03.2014) ab 09:00 Uhr 09:30 Uhr 09:45 Uhr 11:00 Uhr 11:30 Uhr 12:45 Uhr 14:00 Uhr Empfang Begrüßung und Eröffnung der Fachkonferenz durch den Vorsitzenden MICHAEL FOTH, IBS SCHREIBER GMBH PRISM und der deutsche und europäische Datenschutz PROF. DR. JOHANNES CASPAR, HAMBURGISCHER BEAUFTRAGTER FÜR DATENSCHUTZ UND INFORMATIONSFREIHEIT Die Bedrohung von personenbezogenen Daten durch rechtswidrige Angriffe und die Auswirkungen auf unsere Persönlichkeitsrechte wurde uns durch die Enthüllungen über das Spionageprogramm PRISM und die Aktivitäten der NSA deutlich vor Augen geführt. Die dennoch anhaltende Tendenz hin zur vollautomatisierten Datenverarbeitung wirft die Frage auf: Wie können personenbezogene Daten geschützt werden und was leistet der deutsche und europäische Datenschutz? PRISM und die NSA Verwicklung von Google & Co Auswirkungen auf unsere Privatsphäre Herr Prof. Dr. Caspar behält sich eine Änderung des Vortragsthemas bei aktuellen datenschutzrelevanten Ereignissen vor. Kaffeepause Österreich die EU-Datenschutzoase für Konzerne? DR. HANS G. ZEGER, ARGE DATEN - PRIVACY AUSTRIA Mit den Änderungen der Standard- und Musterverordnung 2012 und 2013 wurde es für Konzerne möglich den internationalen Datenverkehr für bestimmte Datenarten über Österreich ohne jede Genehmigung oder Registrierung abzuwickeln. Welche Unternehmen fallen unter diese Bestimmungen? Welche Daten und Datenverarbeitungen sind davon betroffen? Unter welchen Voraussetzungen ist der genehmigungsfreie Datentransfer zulässig? Anmerkungen zur Praxis der Genehmigung des internationalen Datenverkehrs durch die österreichische Datenschutzbehörde Mittagspause Workshops Session 1 1.1 Datenschutz und Verbraucher RA SEBASTIAN SCHULZ, BUNDES- VERBAND DES DEUTSCHEN VER- SANDHANDELS E.V. (BVH) Verbraucherdatenschutz! Das ist eines der Kernthemen des modernen Datenschutzes, denn wo sonst ist der Betroffene so auf sich allein gestellt, wie als Ein- 1.2 Datenschutz und Datenanalyse MARCUS HEROLD, MELANIE DÖR- HOLT, IBS SCHREIBER GMBH Die Datenanalyse ist ein notwendiges Mittel, um Informationen über den inneren Zustand eines Unternehmens zu gewinnen, Schwachstellen und Stärken zu erkennen und daraus Entscheidungs- 4
Programm 1. Tag (20.03.2014) zelperson ohne Mitarbeitervertretungen oder einer anderen Lobby hinter sich. Angesichts der neuen technischen und rechtlichen Entwicklungen müssen sich die Unternehmen fragen, wo die datenschutzrechtlichen Grenzen der Nutzung von Verbraucher- bzw. Kundendaten liegen. Verzahnung Datenschutz/Verbraucherschutz; v.a. auch unter Herausstellung der Nachteile für den Verbraucher bei zu restriktivem Datenschutz Mobile/ everywhere Commerce zwischen Daten- und Verbraucherschutz Rechtsprechung zur Frage, in welchen Fällen datenschutzrechtliche Vorgaben zugleich den Verbraucher schützende Normen sind ( 4 Nr. 11 UWG), jüngst OLG Hamburg zu DSE grundlagen für die Unternehmensführung abzuleiten. Datenschutzskandale der jüngsten Vergangenheit zeigen, dass im Hinblick auf die Analyse personenbezogener Daten nicht alles erlaubt ist. Gesetzliche Rahmenbedingungen für die Nutzung von personenbezogenen Daten im Zusammenhang mit Datenanalysen Risiken und Möglichkeiten des Missbrauchs Datenanalysen bei Beschäftigten Regelungen und Vereinbarungen Kaffeepause EU-Datenschutzverordnung aktueller Stand und Folgen PROF. DR. IUR. RALF BERND ABEL, RECHTSANWALT INFORMATIONS- UND DATENSCHUTZRECHT Der Entwurf der EU-Datenschutzverordnung liegt nun lange vor. Die Enthüllungen und Skandale der letzten Monate zeigen mehr denn je, dass eine Reform und Vereinheitlichung nötig ist. Kann eine neue Verordnung den veränderten Bedingungen und Risiken überhaupt gerecht werden, und wann kann eine einheitliche Regelung realistisch greifen? Aktueller Stand zur EU-Datenschutz-Verordnung Änderungen und möglicher Zeitplan Auswirkungen im Verhältnis zum BDSG Was kann das Unternehmen jetzt schon machen? Resümee des 1. Tages Ende des 1. Tages Hamburger Abend 15:30 Uhr 16:00 Uhr 17:15 Uhr 17:30 Uhr 18:30 Uhr 5
Programm 2. Tag (21.03.2014) 08:30 Uhr 09:00 Uhr 10:00 Uhr 10:15 Uhr Empfang Cloud-Computing Umsetzung und Anforderungen PROF. DR. ARMIN HERB, DATENSCHUTZBEAUFTRAGTER DES SWR Die Nutzung von Cloud-Diensten bietet für Unternehmen heute große Flexibilität und wirtschaftliche Vorteile. Können nach den aktuellen Erkenntnissen Cloud-Dienste heute sicher aus rechtlicher und technischer Sicht genutzt werden? Anforderungen und Vorgehensweisen zur Anwendung sind für die Entscheider und Datenschutzbeauftragten nötig. Funktionsweise weltweiter Cloud-Dienste Rechtliche Anforderungen an die Datenhaltung Tatort der Datenverwendung im Ausland Datenschutz und Mitbestimmungsrechte bei technischen Lösungen Prüfpunkte ( Checkliste ) vor dem Einsatz Kaffeepause Workshops Session 2 2.1 Vorabkontrolle ANDREAS SCHMIDT, FLUGHAFEN KÖLN/BONN Bestimmte Verfahren unterliegen nach dem 4d Abs. 5 Bundesdatenschutzgesetz (BDSG) einer sogenannten Vorabkontrolle. Der Inhalt, der Umfang und vor allem der Sinn der Vorabkontrolle führt in den Unternehmen immer wieder zu Diskussionen mit dem Datenschutzbeauftragten. Oft wird diese auch mit der gesetzl. vorgeschriebenen Verfahrensmeldung 4g Abs. 2 BDSG verwechselt. Im Rahmen des Vortrages werden die rechtlichen Hintergründe, die Risiken bei Unterlassen, die Vorgehensweise bei der Erstellung und die notwendigen Dokumente, die der Datenschutzbeauftragte für die Vorabkontrolle benötigt, erläutert. Gesetzlicher Hintergrund der Vorabkontrolle Anforderungen an eine Vorabkontrolle Verfahren, die einer Vorabkontrolle unterliegen Meldepflichten, Verfahren im Ausland und Informationspflichten Dokumente und Dokumentation der Vorabkontrolle Praktische Hinweise 6 2.2 Datenschutz und Forensik ALEXANDER GESCHONNECK, KPMG RAin BARBARA SCHEBEN, KPMG Forensische Aktivitäten in Unternehmen gehören immer mehr zu den Methoden, dolose oder deliktische Handlungen mittels IT-Systemen vor allem durch Beschäftigte aufzudecken und zu analysieren. Sehr schnell geraten diese Tätigkeiten mit den Bestimmungen des Datenschutzes in Konflikte. Möglichkeiten forensischer Untersuchungen Zulässigkeit der Analyse von Beschäftigtendaten Sichere Vorgehensweise bei forensischen Untersuchungen Risiken, Grenzen und Informationspflichten
Programm 2. Tag (21.03.2014) Kaffeepause Workshops Session 3 3.1 Bring your own device DR. CHRISTIAN SCHRÖDER, BDO LEGAL RECHTSANWALTSGESELL- SCHAFT MBH Bringt die Nutzung von eigenen IT-Geräten der Beschäftigten mehr Vorteile oder Nachteile für das Unternehmen und die Mitarbeiter? Nicht unerhebliche rechtliche und technische Risiken für alle Beteiligten sind dabei zu berücksichtigen, wobei eine Betrachtung der Wirtschaftlichkeit nicht außer Acht gelassen werden sollte. Vor- und Nachteile von BYOD Rechtsrahmen Übersicht Datenschutzrecht Urheber- und Vertragsrecht Arbeitsrecht Mittagspause 3.2 Datenschutz im internationalen Kontext PATRICK KAUL, SPARKASSENVER- BAND NIEDERSACHSEN Der internationale Austausch von Daten bekommt immer mehr Bedeutung und wird durch die laufenden aktuellen Medien immer mehr in Punkto Sicherheit und Vertraulichkeit in Frage gestellt. Reichen vertragliche Regelungen aus oder müssen zusätzliche Maßnahmen und Kontrollen getroffen werden, um gegenüber den Betroffenen die Sicherheit der Daten auch vertreten zu können. Anforderungen an internationalen Datentransfer Vertragliche und gesetzliche Anforderungen Maßnahmen zur Kontrolle der Einhaltung Vorgehensweise bei der Umsetzung Theorie und Wirklichkeit 11:15 Uhr 11:45 Uhr 12:45 Uhr Podiumsdiskussion Datenschutz International (Un)Sicher in Deutschland, Europa und dem Rest der Welt? DR. HANS ZEGER, PROF. DR. IUR. RALF BERND ABEL, ANDREAS SCHMIDT, PAUL GÜRTLER, HOLGER FREUNDLICH MODERATION: MICHAEL FOTH In welche Länder können Daten heute noch sicher übertragen und wo können sie sicher verarbeitet werden? Die Veröffentlichungen von Abhörskandalen und Datenlecks machen es den Unternehmen schwer, gegenüber den Betroffenen den Schutz der anvertrauten Daten glaubhaft zu garantieren. Brauchen wir einen Datenschutz-Sicherheits-Index für alle Länder? Wie können wir den Betroffenen heute noch den Schutz der anvertrauten Daten zusichern? Was kann der betriebliche Datenschutzbeauftragte dazu beitragen, den Datenschutz als Vorteil für das Unternehmen im Markt zu sehen? Birgt der internationale Datenverkehr mehr Chancen oder mehr Risiken? Abschlussdiskussion und Verabschiedung 14:00 Uhr 15:30 Uhr 7
Referenten der Fachkonferenz Prof. Dr. iur. Ralf Bernd Abel Prof. Dr. iur. Ralf Bernd Abel ist Rechtsanwalt in Hamburg und befasst sich in seiner beratenden und gutachterlichen Tätigkeit schwerpunktmäßig mit Informations- und Datenschutzrecht. Er berät Unternehmen, Verbände und Institutionen sowohl im Alltagsgeschäft beim Umgang mit personenbezogenen Daten als auch strategisch im Hinblick auf künftige Entwicklungen im deutschen, europäischen und internationalen Datenschutz. Prof. Dr. Johannes Caspar Professor Dr. Johannes Caspar promovierte 1992 an der Fakultät für Rechtswissenschaften der Universität Göttingen. Im Jahr 1999 folgte seine Habilitation im Staatsund Verwaltungsrecht sowie in der Rechtsphilosophie. Danach verfolgte er Tätigkeiten als Rechtsanwalt in Hamburg und Berlin sowie als Wissenschaftler in Frankfurt am Main. Im Landtag von Schleswig-Holstein leitete er stellvertretend von 2002 bis 2009 den Wissenschaftlichen Dienst. Seit Mai 2009 ist Prof. Dr. Johannes Caspar der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit. Melanie Dörholt Melanie Dörholt ist seit 1996 als Rechtsanwältin in Hamburg tätig. Als Wirtschaftsund Insolvenzanwältin hat sie Kenntnisse verschiedener Branchen erworben, die sie seit einigen Jahren im Bereich des Datenschutzes gewinnbringend einsetzt. Sie berät das Team der IBS Schreiber GmbH als Syndikusanwältin in rechtlichen Fragen und ergänzt das technische Know-how der Prüfstelle Datenschutz. Alexander Geschonneck Alexander Geschonneck leitet als Partner der KPMG Rechtsanwaltsgesellschaft mbh in Berlin den Bereich Forensic Technology. Sein Tätigkeitsschwerpunkt ist neben der Durchführung forensischer Sonderuntersuchungen die Sicherstellung und Analyse von digitalen Beweismitteln im Rahmen der Korruptions- und Betrugsbekämpfung sowie der Aufklärung von IT-Sicherhiet und Cybercrimevorfällen. Als anerkannter Experte verfasste er neben zahlreichen Artikeln auch das deutsche Standardwerk zur Computer-Forensik und zum richtigen Vorgehen bei der Erkennung und Analyse von Computerstraftaten. Alexander Geschonneck verantwortet die regelmäßig erscheinende repräsentative KPMG-Studie zu e-crime. 8
Referenten der Fachkonferenz Paul Gürtler Paul Gürtler arbeitet seit 2009 als Konzerndatenschutzbeauftragter für Gesellschaften der TARGOBANK-Gruppe in Deutschland. Seine Hauptfunktion dort ist die Bereichsleitung Datenschutz & Informationssicherheit. Er ist Mitglied im GDD-Arbeitskreis Datenschutz-Praxis sowie Vice-Chairman des GSE Arbeitskreises Datenschutz & Datensicherheit. Herr Gürtler ist zusätzlich Autor des Fachanwaltshandbuchs für Bank- und Kapitalmarktrecht zum Thema Datenschutz in der Bankpraxis sowie zahlreicher Aufsätze und Berichte. Prof. Dr. Armin Herb Rundfunkbeauftragter für den Datenschutz und IT-Sicherheitsbeauftragter - CISO SÜDWESTRUNDFUNK Prof. Dr. Armin Herb betätigt sich seit seiner Promotion im Datenschutzrecht nicht nur wissenschaftlich, sondern auch praktisch mit Fragen des Datenschutzes. Er ist Rechtsanwalt in Stuttgart und Mitherausgeber und Mitautor des Standardkommentars zum Datenschutzrecht Bergmann/Möhrle/Herb. Zudem ist er seit Jahren Datenschutzbeauftragter einer öffentlich-rechtlichen Rundfunkanstalt und Mitautor im Beck schen Kommentar zum Rundfunkrecht. Schließlich ist er Mitgründer und Dozent bei der Ulmer Akademie für Datenschutz. Dipl.-Inf. Marcus Herold Marcus Herold verfügt über eine langjährige Berufserfahrung als IT-Experte und Revisor. Der studierte Informatiker und Statistiker ist seit 2008 bei der IBS Schreiber GmbH als Prüfer und Dozent beschäftigt. Ein Schwerpunkt seiner Tätigkeit ist der Bereich Datenanalyse. Als anerkannter Experte für den Einsatz von datenanalytischen Methoden im Prüfungswesen gibt er sein Wissen in zahlreichen Seminaren, Fachvorträgen und Veröffentlichungen weiter. Andreas H. Schmidt Andreas H. Schmidt hat am Flughafen Köln-Bonn die Position ICT-Compliance Officer inne. Zusätzlich wurde er als behördlicher Datenschutzbeauftragter bestellt. Er ist zertifizierter IT-Auditor (CISA) sowie zertifizierter Datenschutz-Auditor (TÜV). Herr Schmidt leitet die Fachgruppe Datenschutz des ISACA Germany Chapter e.v., ist Mitglied im Berufsverband der Compliance Manager (BCM) sowie Dozent an der Europäischen Fachhochschule (EUFH) in Brühl. Neben mehreren Beiträgen in den letzten Jahren in der PRev war er zuletzt einer der Autoren des Beitrags IT-Revision 3.0 im HMD Heft 289. 9
Referenten der Fachkonferenz Barbara Scheben Barbara Scheben ist Rechtsanwältin und leitet das Frankfurter Forensic Office der KPMG. Ihr Tätigkeitsschwerpunkt liegt neben der Durchführung forensischer Sonderuntersuchungen und der Beratung in compliancerelavanten Themen im Bereich der Korruptions- und Betrugsbekämpfung bei dem Thema Datenschutz. Dabei geht es unter anderem um die Umsetzung von Datenschutzaspekten in Compliance-Management-Systemen, die Unterstützung der unternehmensinternen Revision bei der Einhaltung datenschutzrechtlicher Vorgaben, die datenschutzkonforme Einrichtung von Monitoringmaßnahmen sowie die Aufklärung von Datenschutzverstößen. Dr. Christian Schröder Dr. Christian Schröder ist Leiter der IP/IT Practice Group von BDO Legal. Er besitzt umfassende Erfahrung in der Beratung und Rechtsvertretung nationaler wie multinationaler Unternehmen in IP-, IT- und datenschutzrechtlichen Angelegenheiten. Herr Dr. Schröder ist Mitglied des Wissenschaftlichen Beirats der Zeitschrift für Datenschutz (ZD) und veröffentlicht insbesondere zu datenschutzrechtlichen Themen regelmäßig Beiträge in Zeitschriften und Monographien, zuletzt über Cloud Computing und E- Discovery. Sebastian Schulz Sebastian Schulz ist Rechtsanwalt im Land Brandenburg. Als zertifizierter Datenschutzbeauftragter und -auditor verantwortet Herr Schulz gegenwärtig die Bereiche Public Affairs und Datenschutz für den Bundesverband des Deutschen Versandhandels (bvh) e.v. Zuvor war er als Referent für Datenschutz im Deutschen Bundestag sowie als Senior Consultant für eine auf Datenschutzmanagement spezialisierte Unternehmensberatung tätig. Zusätzlich ist er Kommentator des BDSG und Redakteur einer Datenschutzfachzeitschrift. Dr. Hans G. Zeger ARGE DATEN - Privacy Austria Dr. Hans Zeger ist seit 1990 Obmann der ARGE DATEN, die sich seit 1983 intensiv mit Fragen des Informationsrechts, des Datenschutzes, der Telekommunikation und des Einsatzes neuer Techniken beschäftigt. Die Organisation will darauf hinwirken, dass Informationstechnik und Telekommunikation menschengerecht, gesellschaftlich verantwortbar und unter Wahrung des Schutzes personenbezogener Daten sowie des Rechts auf informationelle Selbstbestimmung eingesetzt und weiterentwickelt werden. Dabei stellt der Verein auch eigene Informationsangebote vor, die diesem Anspruch Rechnung tragen. 10
Anfahrt Mit der Bahn: Vom Hauptbahnhof: Nehmen Sie die S-Bahn Linie 1 Richtung Wedel oder die S-Bahn Linie 3 Richtung Pinneberg bis zur Station Landungsbrücken. Sie verlassen den Bahnhof in Richtung Landungsbrücken und sehen das Hotel Hafen Hamburg auf der Anhöhe. Sie gelangen über eine Treppe zum Hotel. Vom Flughafen: Nehmen Sie die S-Bahn Linie 1 Richtung Wedel oder Blankenese bis zur Station Landungsbrücken. Sie verlassen den Bahnhof in Richtung Landungsbrücken und sehen das Hotel Hafen Hamburg auf der Anhöhe. Sie gelangen über eine Treppe zum Hotel. Veranstaltungsort: Hotel Hafen Hamburg Seewartenstraße 9 20459 Hamburg Tel. +49 40 31 11 3-0 11
IBS Schreiber GmbH International Business Services for auditing and consulting Zirkusweg 1 20359 Hamburg Telefon: +49 40 69 69 85-15 Telefax: +49 40 69 69 85-31 www.ibs-schreiber.de www.checkaud.de