Kölner Tage Datenschutzrecht 2026

• Update Digital-Omnibus-Paket: Mögliche Praxisfolgen der DSGVO-Reform

• AI & Data Act: Rechtssichere Datennutzung und KI-Training

• Risiko Massenklagen: Strategien gegen Schadensersatz-Wellen

• Meldepflichten-Chaos: Souveränität bei NIS2, DORA & Co

• Aufsicht 2.0: Die neue Rolle der Behörden im EU-Geflecht

• Koelner_Tage_Datenschutzrecht_2026.pdf

Donnerstag, 18.06.2026

9.15 Uhr
Begrüßung

9.30 Uhr
Große Diskussionsrunde – Teil 1:

Personenbezug und Anonymisierung
Isabell Conrad

• Neue Grenzziehung durch Rechtsprechung und Digital Omnibus

• Relevanz der Relativität für die Betroffenenrechte, v.a. Art. 15 Abs. 3 DSGVO

• Anonymisierungstechniken vs. KI-gestützte Analysewerkzeuge

Das Russmedia-Urteil des EuGH: Datenschutzrechtliche Zeitenwende für Plattformbetreiber?
Dr. Flemming Moos

• Betreiber von Online-Marktplätzen als gemeinsam Verantwortliche für nutzergenerierte Anzeigen

• Prüf- und Handlungspflichten des Marktplatzbetreibers in Bezug auf Art. 9-Daten

• Übertragbarkeit auf andere Inhalte und Plattformen

Reform der Datenschutzaufsicht
Stefan Brink

• Datenschutzaufsicht als europäische Verwaltung

• Lässt sich föderale Aufsicht reformieren?

• Das Gesetz ist toll, aber der Vollzug …

• Realistische Reform 2026/2027

11.00 Uhr
Kaffeepause

11.30 Uhr
Große Diskussionsrunde – Teil 2:

10 Minuten, 5 Mythen – Schadensersatz nach der DSGVO
Dr. Carlo Piltz

• Mythen und Realität des DSGVO-Schadensersatzes in der aktuellen Rechtsprechung

• Wie Gerichte immaterielle Schäden tatsächlich bewerten

• Was sich daraus für die Praxis ableiten lässt – und was nicht

 „Fairer“ Datenzugang und „faire“ Datennutzung wegen/trotz/statt/mit Data Act und DSGVO?!
Prof. Dr. Nikolaus Forgó

• (Nicht-)Verhältnis Data Act und DSGVO

• Zuständigkeitsbehördendschungel

• Datenportabilität, quo vadis?

Datenschutz und KI-Training
Prof. Dr. Sibylle Gierschmann

• Rechtmäßigkeit des KI-Trainings auf dem Prüfstand

• Grundrechtsorientiere Auslegung der DSGVO

• Privacy Enhancing Technologies als Lösung?

• Sonstige datenschutzrechtliche Pflichten

13.00 Uhr
Mittagspause

14.15 Uhr
Brücken bauen oder Gräben schaffen – Bedeutung der Omnibus-Pakete für das digitale Binnenmarktrecht
Dr. Markus Wünschelbaum

• Datenschutz im Status quo: Schnittstelle oder Barriere für den Binnenmarkt?

• Omnibus-Reform: Zwischen Vereinfachung und Fragmentierung

• Wohin führen die Brücken, wo drohen Abgründe?

14.45 Uhr
Choreografie der Meldepflichten bei Cybervorfällen
Jan Spittka

• Abgrenzung und Überscheidung von Meldepflichten gegenüber Behörden nach DSGVO, BSIG, KI-VO, DORA und TKG

• Strategische und taktische Überlegungen zur Reihenfolge der Meldungen, insb. zur Wahrung von Beweisverwendungsverboten

• Reformansätze für Meldungen und Benachrichtigungen nach Art. 33, 34 DSGVO

15.15 Uhr
Cookies und Chroniken einer never ending story
Dr. Nina Herbort

• Problemfelder beim Zusammentreffen von ePrivacy und DSGVO

• Aktuelle Rechtsprechung zu Drittanbietern und Schadenersatz beim Einsatz von Cookies

• Geplante Neuregelung durch den Digital Omnibus und Digital Networks Act

15.45 Uhr
Kaffeepause

16.15 Uhr
Art. 9 DSGVO – eine Dauerbaustelle
Stephan Hansen-Oest

• Die häufigsten Probleme in der Anwendung des Art. 9 DSGVO in der Praxis

• Auswirkungen der Auslegung von Art. 9 DSGVO durch den EuGH und daraus folgende Kollisionen mit anderen Grundrechten von Beteiligten an einer Datenverarbeitung

• Rechtspolitische Lösungsmöglichkeiten für den Konflikt

• Reformbestrebungen durch den Digital Omnibus

16.45 Uhr
Paneldiskussion zum Digital Omnibus
mit Dr. Markus Wünschelbaum, Jan Spittka, Dr. Nina Herbort, Stephan Hansen-Oest

17.15 Uhr
Digital Sovereignty and European Clouds (Vortrag in englischer Sprache)
Prof. Christopher Millard

• Geopolitics and digital dependencies

• What makes a cloud ‘European’?

• Limits to the sovereignty of ‘sovereign clouds‘

• Why ‘Availability’ is a crucial, and often neglected, GDPR security risk

• Are there credible alternatives to reliance on US hyperscale cloud providers?

18.15 Uhr
Abschlussdiskussion

18.30 Uhr
Ausklang des ersten Tages beim Kölschen Buffet 

Freitag, 19.06.2026

9.00 Uhr
Datenzugang, Datennutzung, Datensicherheit: Die Rolle des Datenschutzes als Schnittstelle
Maria Christina Rost

• Datenschutz als vereinendes, Wert schaffendes und Vertrauen aufbauendes Bindeglied

• Datennutzung: Reibungspunkte an der Schnittstelle zum Datenschutz

• Datensicherheit als unverzichtbarer Faktor im Zusammenspiel der Digitalregulierung

9.45 Uhr
Fragmentierte oder komplementäre Aufsicht in der Digitalregulierung?
Dr. Kristina Schreiber

• Behördenvielfalt nach KI-Verordnung, Data Act, NIS2 und CRA

• Datenschutzaufsicht zwischen Allein- und Mitspiel: Überschneidungen und Schnittstellen im Regelungsgeflecht

• Risiko divergierender Entscheidungen und Chancen koordinierter Aufsicht

• Synergiegewinne oder Bürokratiezuwachs? Bewertung aus Sicht der Normadressaten

10.30 Uhr
Diskussion

10.45 Uhr
Kaffeepause

11.15 Uhr
Der Datenschutz als Bestandteil europäischer Schnittstellenregulierung
Dr. Simon Menke

• Datenschutz im Zusammenspiel zentraler EU-Rechtsakte(u. a. DSA, DMA, KI-VO)

• Auswirkungen neuer Regulierungen auf die Auslegung undAnwendung der DSGVO

• Consent-Banner, Bonitätsprüfungen und „Zahlen mit Daten“im Fokus europäischer Vorgaben

• Praktische Schnittstellenprobleme zwischen DSGVO undsektoraler EU-Regulierung

11.45 Uhr
Art. 22 DSGVO in der Praxis – Scoringverfahren unter Druck
Sebastian Schulz

• Praxisbericht zu den Auswirkungen nach Schufa Holding und Dun & Bradstreet

• National Courts gone wild

• Kann der Digital Omnibus für Beruhigung sorgen?

12.15 Uhr
Massenklagen wegen DSGVO-Ansprüchen in der Praxis
Tim Wybitul

• Aktuelles: Welche neuen Entwicklungen und Rechtsprechung muss man kennen?

• Verteidigungsstrategien: Was muss man beachten, wie nutzt man hier KI, was hilft gegen DSGVO-Massenklagen?

• Achtung: Aufpassen bei DSGVO-Bußgeldverfahren, um spätere Massenklagen zu vermeiden

• Erfahrungsbericht vom BGH zu Profiling und Scoring

• Ausblick: Sind DSGVO-Massenverfahren Vorboten für ähnliche Klagen nach anderen EU Digitalrechtsakten?

12.45 Uhr
Abschlussdiskussion

13.15 Uhr
Ende der Tagung

Die Kölner Tage Datenschutzrecht ordnen die aktuellen Entwicklungen und Grundsatzfragen im Kontext der europäischen Digitalregulierung praxisnah ein. Beleuchtet werden zentrale Auslegungsfragen der DSGVO zu Personenbezug und Anonymisierung, zu immateriellem Schadensersatz und zur behördlichen Aufsicht ebenso wie ihr Zusammenspiel mit dem Data Act und mit der KI-VO beim KI-Training und ihr Einfluss auf die Haftung von Plattformbetreibern.

Ein Schwerpunkt liegt auf dem Digital-Omnibus-Paket zur Reform des europäischen Digitalrechts. Insoweit werden zunächst die Auswirkungen des Digital-Omnibus-Pakets auf das digitale Binnenmarktrecht, auf Meldepflichten bei Cybervorfällen sowie auf die Regulierung von Cookies und von sensiblen Daten analysiert. Sodann wird der Frage nachgegangen, ob das Digital-Omnibus-Paket eher Kohärenz oder neue Bruchlinien im Datenschutzrecht schafft.

Darüber hinaus wird die Rolle des Datenschutzes als vereinendes Element in der Digital Economy angesichts der aufsichtsbehördlichen Zersplitterung hinterfragt und die digitale Souveränität europäischer Clouds untersucht. Nicht fehlen dürfen praxisnahe Hinweise zum Umgang mit Bonitätsprüfungen (insb. Schufa) und zur Vermeidung von Massenverfahren wegen DSGVO-Verstößen.

Ziel der Tagung ist es, aus den Perspektiven von Aufsicht, Wissenschaft und Unternehmenspraxis eine Orientierung und konkrete Handlungsspielräume aufzuzeigen für eine rechtssichere und zukunftsorientierte Datenschutz-Compliance.