Zeitplan:
Beide Tage jeweils 09:00 – 13:30 Uhr, zwei kurze Pausen von insgesamt 30 Minuten.
1. Tag
Rechtliche Grundlagen: DSGVO und BDSG
- Reichweite und Geltung der DSGVO
- Verhältnis DSGVO – BDSG
- Wichtige Regelungen des BDSG (insbes. Beschäftigten-Datenschutz)
Schutzgegenstand
- Personenbezogene Daten
- Arten von Verarbeitungen
- Besondere Arten personenbezogener Daten
Rechte & Pflichten
- Verarbeitungsgrundlagen (Art. 6 DSGVO)
- Informationspflichten
- Betroffenenrechte
Haftung und Bußgelder bei DSGVO-Verstößen
- Bußgelder (Art. 83 DSGVO)
- Schadenersatz (Art. 82 DSGVO)
- Fälle aus der Rechtsprechung
Rolle der Aufsichtsbehörden
- Deutsche und europäische Aufsichtsbehörden
- Befugnisse der Aufsichtsbehörden
- Beratungsleistungen der Aufsichtsbehörden
Nach Promotion bei Prof. Dr. Hans Herbert von Arnim (Deutsche Hochschule für Verwaltungswissenschaften Speyer, Thema: Die richterliche Entscheidungsbegründung) war Dr. Brink tätig beim Wissenschaftlichen Dienst des Landtags Rheinland-Pfalz, sodann als Richter am Verwaltungsgericht Koblenz und als Wissenschaftlicher Mitarbeiter beim Bundesverfassungsgericht (1. Senat, Prof. Dr. Reinhard Gaier [Art. 12 GG, Berufsfreiheit]). Von 2008 bis 2016 war er Leiter Privater Datenschutz beim Landesbeauftragten für den Datenschutz Rheinland-Pfalz, seit 2012 zugleich stellv. Landesbeauftragter für die Informationsfreiheit Rheinland-Pfalz. Von 2017 bis 2022 war Dr. Stefan Brink Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg. Dr. Brink hat Lehraufträge der Deutschen Hochschule für Verwaltungswissenschaften Speyer und der Europauniversität Viadrina Frankfurt/Oder. Er ist Gründer und geschäftsführender Direktor des Wissenschaftlichen Instituts für die Digitalisierung der Arbeitswelt in Berlin.
2. Tag
Datenschutzmanagement im Unternehmen
- Rolle und Funktion des betrieblichen Datenschutzbeauftragten
- Einführung eines Managementsystems im Datenschutz
- Praktischer Umgang mit Beschäftigtendaten
Risikobasierter Datenschutz
- Risikoberechnung und Bewertung
- Dokumentation und Data Mapping
- Datenschutzfolgenabschätzung (Art. 35 DSGVO)
Verantwortlichkeit und Verträge
- Umfang der Verantwortlichkeit
- Auftragsverarbeitung und Kontrolle (Art. 28 DSGVO)
- Gemeinsame Verantwortlichkeit (Art. 26 DSGVO)
Übermittlung von Daten ins Drittland
- Standardvertragsklauseln und TIA
- Übermittlungen in die USA
- Binding Corporate Rules
Datensicherheit & aktuelle Herausforderungen
- Verarbeitungsbezogene TOMs (Art. 32 DSGVO)
- Nutzung von KI, etwa bei ChatGPT
- Aktuelle Urteile im Datenschutzrecht
Jörg Steinhaus ist Konzerndatenschutzbeauftragter der Gothaer Versicherung in Köln. Mit seinem Team verantwortet er die die Einhaltung datenschutzrechtlicher Vorgaben für die Gesellschaften der Gothaer in allen Versicherungssparten. Dabei berät der Konzerndatenschutz zu allen Fragen bezüglich Versicherungsnehmern und versicherten Personen, sowie zu Beschäftigtendaten, und unterstützt bei der Einführung neuer Technologien im Versicherungsumfeld. Zuvor war Herr Steinhaus Datenschutzbeauftragter von Merck und Fresenius, wo die Schwerpunkte seiner Tätigkeit vor allem beim Aufbau globaler Datenschutzmanagementsysteme lagen. Schwerpunkte waren jeweils im Umgang mit Patientendaten und dem internationalen Datenaustausch. Für Fresenius startete er die die Einführung von Binding Corporate Rules in Abstimmung mit der hessischen Aufsichtsbehörde. Jörg Steinhaus studierte Politikwissenschaft an den Universitäten Münster und Granada (Spanien) und Wirtschaftsrecht an der Hochschule Mainz, jeweils mit Auszeichnung. Er ist Lehrbeauftragter für Datenschutz im Pharmarecht an der Universität Marburg, Mitglied im Fachbeirat einer Zeitschrift für Compliance und leitet die Fachgruppe Datenschutz des Bundesverbands der Unternehmensjuristen.