Ausbildungslehrgang Datenschutz und IT-Recht im Unternehmen

1. Tag (Montag)

09:00 Uhr – 12:00 Uhr

Datenschutz und IT im Unternehmen: Einführung in zentrale Problemstellungen (Helfrich)

• Grundlagen des europäischen und nationalen Datenschutzrechts
  • Verhältnis von europäischem und nationalem Datenschutzrecht
  • Sachlicher Geltungsbereich der Datenschutzgrundverordnung (DSGVO) und Abgrenzung zu ePrivacy
  • Europäisches Datenschutzrecht im internationalen Kontext
• Zentrale Begriffe und deren praktische Bedeutung
  • Personenbezogene Daten
  • Verarbeitung
  • Verantwortlicher und Auftragsverarbeiter
• Grundsätze der Datenverarbeitung und Rechenschaftspflicht („Accountability“)
• Rechtmäßigkeit der Verarbeitung
• Bedeutung des Digital Services Act (DSA) und Digital Market Act (DMA) für IT-Recht und Datenschutz

13:00 Uhr – 17:30 Uhr

Basiswissen IT-Sicherheit – Datenschutz- und IT-Sicherheitsmanagement (Städter)

• Abgrenzung Datenschutz / IT-Sicherheit, Schutzziele
• Basiskenntnisse Kryptographie
• Technische und organisatorische Maßnahmen
• Schutzbedarfsanalyse und Risikomanagement

Informationssicherheitsmanagement-System (ISMS) und Datenschutzmanage-ment-System (DSMS)

Fakultative Abendveranstaltung

17:30 Uhr – 19:30 Uhr

Kryptoparty (Städter)

• Wie sicher sind meine eigenen Daten?
• Demonstration zu IT-Sicherheit und aktivem Datenschutz

2. Tag (Dienstag)

09:00 Uhr – 12:30 Uhr

IT- und Datenschutz-Compliance (Götz)

• IT-Outsourcing, Cloud Computing und Hosting
• Abgrenzung TKG, TMG, BDSG / DSGVO, TTDSG
• Örtlicher Anwendungsbereich der DSGVO
• Datenübermittlung zwischen (Konzern-)Unternehmen
• Grenzüberschreitender Datentransfer
• Auftragsdatenverarbeitung
• Gemeinsame Verantwortlichkeit
• Geheimnisschutz, Berufsgeheimnis, Outsourcing bei Ärzten, Anwälten und Versicherungen

13:00 Uhr – 17:30 Uhr

Grundprobleme der IT-Verträge (Kast)

• Softwareerstellung und -überlassung

• Kauf von Standardsoftware
• Besonderheiten des Vertrags über digitale Inhalte / Elemente
• Open-Source-Software (OSS)
• Miete, Application Service Provider (ASP) und Cloud Computing
• Werkvertrag / Dienstvertrag
• Projektmethodik und Vertragstyp

• Agile Entwicklung und Projekte

• Abgrenzung zu klassischen Methoden
• Vertragstypen in agilen Projekten

• Angebote und Vergabe von IT-Leistungen
• Bezüge zu Urheberrecht und Vertragsgestaltung
  • Rechteeinräumung
  • Besonderheiten der Lizenzierung
  • Problemfelder bei internationalen Bezügen im Urheberrecht
• Abnahme, Gewährleistung und Pflege
• Vertragsmanagement
• Konfliktmanagement und -regelung

3. Tag (Mittwoch)

9:00 Uhr – 12:30 Uhr

Operativer Datenschutz (Schmitz/ Schultze-Melling)

• Datenschutz-Management-System
• Verzeichnis von Verarbeitungstätigkeiten
• Stellung und Aufgaben des Datenschutzbeauftragten
• Datenschutz-Folgenabschätzung
  • Erforderlichkeit
  • Black- und Whitelisten der Aufsichtsbehörden
  • Praxisgerechte Umsetzung
• Problemfelder des Beschäftigtendatenschutzes

13:00 Uhr – 17:30 Uhr

Datenschutz-Governance (Schultze-Melling)

• Datenschutz-Governance: Grundlagen eines professionellen Data Privacy Management Systems (DPMS)
• Monitoring und Reporting als Grundelemente eines professionellen Datenschutz-Risikomanagements
• Vorabkontrollen, Privacy Impact Assessments (PIA) und sonstige Prüfungs- und Dokumentationsanforderungen
• Auditierung
• Provider-Scoring
• Umgang mit Datenpannen
• Whistleblowing, Know-how-Schutz
• Datenschutz in kleinen und mittleren Unternehmen sowie im Konzern
• Umgang mit Bußgeldrisiken

4. Tag (Donnerstag)

9:00 Uhr – 12:30 Uhr

Vertiefung Datenschutz: Betroffenenrechte und deren Erfüllung; Strategie und Taktik bei Datenschutzverstößen (Helfrich)

• Informationspflichten
• Auskunftsansprüche und deren Erfüllung
  • Art und Umfang der Auskunft
  • Datenkopie
  • Schranken des Auskunftsanspruchs nach DSGVO und BDSG
• Berichtigungsansprüche
• Löschungsansprüche
  • Voraussetzungen des Löschungsanspruchs
  • Begriff der Löschung
  • Schranken der Löschungspflicht nach DSGVO und BDSG
  • Löschungs- und Archivierungskonzepte
• Handlungs- und Organisationspflichten bei Datenschutzverletzungen
• Aufgabe und Rolle der Aufsichtsbehörde bei Datenschutzverstößen
  • Umgang mit aufsichtliche Maßnahmen
  • Bemessung von Bußgeldern und Besonderheiten im Verwaltungsprozess
• Schadensersatzansprüche, Ansprüche auf Unterlassung
  • Aktuelle Entwicklungen in der Rechtsprechungspraxis

13:00 Uhr – 17:00 Uhr

Leitlinien der Rechtsprechung

Ein gemeinsames Thema, zwei Perspektiven: Datenschutz im Lichte der aktuellen Spruchpraxis - Gerichtliche Vorgaben, Herausforderungen und Umsetzungsprobleme in der Unternehmenspraxis (Schmitz/Dieterle)

• Auskunftsansprüche
• Löschungsverlangen
• Schadensersatz
• Verantwortlichkeit
• Bußgelder

5. Tag (Freitag)

Internationaler Datenverkehr / Datenschutzaufsicht im Dialog

9:00 Uhr – 12:30 Uhr

Rechtssicherheit im internationalen Datenverkehr (Filip)

• Was ist eine Datenübermittlung in ein Drittland?
• Schrems-II-Urteil des Europäischen Gerichtshofs und Konsequenzen
• Ist der Verantwortliche „safe“, wenn scheinbar nur sein Auftragsverarbeiter die Daten ins Drittland übermittelt?
• Transfer Impact Assessment
• EU-Standardvertragsklauseln, Binding Corporate Rules und andere Instrumente für internationale Übermittlungen
• Nachfolgeregelung für den EU-U.S. Privacy Shield
• Datenanforderungen durch Behörden von Drittländern
• Schrems-II-Urteil und Verarbeitung innerhalb der EU

13:00 Uhr – 15:30 Uhr

Praxisdialog und Erfahrungsaustausch (Landesbeauftragte/r für Datenschutz) (Moderation: Helfrich)

15:45 Uhr – 16:30 Uhr

Verpflichtende Zusatzveranstaltung für den Erwerb des Hochschulzertifikats (Helfrich)

• Formale Aspekte und Verfahren zur Erlangung des Hochschulzertifikats
• Grundlagen und Methoden wissenschaftlicher Arbeit
• Themenfindung und -festlegung
• Konkrete Anforderungen an die Seminararbeit