Unsere ersten Speaker

Cecilia Alvarez Rigaudias ist seit März 2019 EMEA Privacy Policy Director bei Meta. Von 2015 bis 2019 war sie als European Privacy Officer Lead bei Pfizer tätig sowie stellvertretende Vorsitzende der EFPIA Data Protection Group und Vorsitzende von IPPC-Europe. Übergangsweise übernahm sie zudem die Leitung des Rechtsbereichs der spanischen Pfizer-Tochtergesellschaften. Zuvor arbeitete sie 18 Jahre lang in einer renommierten spanischen Kanzlei, wo sie die Praxisbereiche Datenschutz, IT und E-Commerce sowie die LATAM Data Protection Working Group leitete. Bis Juni 2019 war Cecilia Vorsitzende der APEP (Spanish Privacy Professional Association) und verantwortet dort heute die internationalen Angelegenheiten. Darüber hinaus ist sie spanisches Mitglied der CEDPO (Confederation of European Data Protection Organisations) sowie Mitglied des Leadership Council der Sedona Conference (W-6). Cecilia ist Mitglied der spanischen Königlichen Akademie für Rechtswissenschaft und Gesetzgebung in der Sektion „Recht der Informations- und Wissensgesellschaft“. Außerdem gehörte sie der freiwilligen Expertengruppe für Datenschutz der OECD (Working Party on Information Security and Privacy – WPISP) an, die die Überarbeitung der OECD-Leitlinien zum Schutz der Privatsphäre und zu grenzüberschreitenden Datenflüssen personenbezogener Daten im Jahr 2013 betreute. Cecilia hat zahlreiche Veröffentlichungen zum Datenschutz verfasst und hält regelmäßig Vorträge zu Datenschutz, IT und E-Commerce in verschiedenen Masterstudiengängen und Fachseminaren.

Dr. Hans-Joachim Arnold (59) bekleidet seit seinem Eintritt in die Deutsche Lufthansa AG im Jahr 2018 verschiedene leitende Positionen im Bereich Corporate Legal & Compliance der Deutsche Lufthansa AG. Seit Juni 2021 ist er Leiter von Lufthansa Group Compliance & Data Protection. 

Er ist außerdem Mitglied des Aufsichtsrats der Austrian Airlines AG, Wien, sowie stellvertretender Vorsitzender des Verwaltungsrats der AMECO Aircraft Maintenance & Engineering Corporation, Peking, China. 

Als Datenschutzbeauftragter der Lufthansa Group konzipiert und entwickelt Dr. Hans-Joachim Arnold gemeinsam mit seinen Datenschutzteams das Datenschutz-Managementsystem der Lufthansa Group weiter. Er und seine Teams beraten zudem alle Unternehmen der Lufthansa Group, die für die Verarbeitung personenbezogener Daten verantwortlich sind, um die Anforderungen des Datenschutzes zu erfüllen. 

Darüber hinaus leitet er das Corporate Compliance Office der Lufthansa Group, das für die konzeptionelle Gestaltung und Weiterentwicklung des Compliance-Management-Systems der Lufthansa Group verantwortlich ist und die Unternehmen der Lufthansa Group in Compliance-Angelegenheiten unterstützt. Das Compliance-Management-System der Lufthansa Group umfasst die Compliance-Bereiche Geldwäscheprävention, Kapitalmarkt, Wettbewerb, Embargo- und Exportkontrolle, externe Arbeitskräfte sowie Integrität. Vor seinem Eintritt bei Lufthansa war er als Senior Legal Counsel sowie als General Counsel in verschiedenen Unternehmen des deutschen Energieversorgers RWE AG tätig. 

Dr. Hans-Joachim Arnold besitzt einen Doktortitel in Rechtswissenschaften und ist Volljurist mit Zulassung als Rechtsanwalt in Deutschland.

Arnd Böken is a lawyer and partner at GvW Westphalen. Arnd advises national and interna-tional clients on data protection law, IT law, the Data Governance Act, the Data Act and legal issues regarding artificial intelligence. In the automotive sector, Arnd has advised on the creation of the Mobility Data Space and advises on the use and exchange of vehicle data. Arnd is a member of the BITKOM data protection working group. He regularly speaks at con-ferences, holds webinars and is co-author of several publications: Sydow/Marsch, DSGVO und BDSG (GDPR and Federal Data Protection Act); Kipker, Cybersecurity; BITKOM guidelines „Verarbeitung personenbezogener Daten in Drittländern (Processing of personal data in third countries)" and "„Künstliche Intelligenz (KI) & Datenschutz (Artificial intelligence (AI) & data protection)".

Stephan Brenne ist Senior Syndikusrechtsanwalt für IT-Recht in der Konzernzentrale der Deutsche Bahn AG und auf die Bereiche Künstliche Intelligenz und Digitalisierung spezialisiert. Er ist zertifizierter Datenschutzbeauftragter und Datenschutzauditor (TÜV Rheinland) sowie zertifizierter KI-Manager (Deutsches Forschungszentrum für Künstliche Intelligenz). 

Seine Arbeit ist geprägt von der engen Verzahnung von Recht und Technologie: Er bringt ein tiefgehendes Verständnis für Künstliche Intelligenz in rechtliche Fragestellungen ein, sodass rechtliche Anforderungen bereits in die Produktarchitektur integriert werden.

Paula Cipierre is the Global Head of Privacy at HCLTech, where she is responsible for data protection across 60 countries and for more than 230.000 employees worldwide. Paula has spent over a decade researching and working at the intersection of privacy, data ethics, and the digital world. Prior to HCLTech, she served as the Head of Privacy & Public Policy at Palantir Technologies and as the Director of Data Ethics & Innovation at ada Learning GmbH. Paula holds a BA summa cum laude in French Literature, European Cultural Studies, and Near Eastern Studies from Princeton University, a Master of Public Policy from the Hertie School of Governance in Berlin, an MA in Media, Culture, and Communication from New York University, and an LLM with distinction in Information Technology Law from the University of Edinburgh. She is a certified expert in German, EU and Asian privacy laws, information security management lead auditor, and AI governance professional.

Valentina Daiber wurde mit Wirkung zum 1. August 2017 in den Vorstand von Telefónica Deutschland als Chief Officer für Legal & Corporate Affairs berufen. In dieser Funktion verantwortet sie die Bereiche Recht, Compliance, Corporate Security und Datenschutz sowie die regulatorischen Angelegenheiten des Unternehmens, die Beziehungen zu Behörden und staatlichen Stellen sowie Corporate Responsibility & Sustainability (ESG). Außerdem leitet sie die Repräsentanz von Telefónica in der Hauptstadt sowie das BASECAMP in Berlin. Zuvor war die Volljuristin als Director Corporate Affairs bei Telefónica Germany tätig, wo sie für Regulierungsrecht, Wettbewerbsrecht, Telekommunikationsrecht und Medienrecht sowie für die Zusammenarbeit mit politischen Gremien und Verbänden zuständig war. 

Valentina Daiber ist seit 1999 bei Telefónica Deutschland – damals noch unter dem Namen Viag Interkom – beschäftigt und arbeitete zunächst als Referentin für Regulierungsfragen. Ab 2004 übernahm sie verschiedene Führungspositionen innerhalb des Konzerns. Vor ihrer Tätigkeit bei Telefónica Deutschland arbeitete sie am Institut für Europäisches Medienrecht in Saarbrücken sowie bei der damaligen Landeszentrale für private Rundfunkveranstalter in Ludwigshafen. 

Valentina Daiber absolvierte ihr erstes juristisches Staatsexamen an der Universität Saarbrücken und ihr zweites juristisches Staatsexamen am Oberlandesgericht Zweibrücken (Pfalz). Sie wurde 1967 in Neunkirchen (Saar) geboren.

Susanne Dehmel ist seit Oktober 2014 Mitglied der Geschäftsleitung des Bitkom und verantwortet dort den Geschäftsbereich KI & Daten inklusive der Bereiche Recht und Sicherheit. 

Sie hat die Initiative #ShetransformsIT mit aus der Taufe gehoben und engagiert sich in deren Steuerungskreis, ist im Board of Directors der Gaia-X AISBL und im Datenschutzbeirat der Deutschen Telekom AG aktiv sowie als stellvertretende Vorsitzende im Verein Selbstregulierung Informationswirtschaft e.V. (SRIW). 

Von Dezember 2022-2024 begleitete sie im Beirat Digitalstrategie Deutschland des Bundesministeriums für Digitales und Verkehr die Umsetzung der Digitalstrategie. Von 2018-2020 war sie Mitglied der Enquete-Kommission des deutschen Bundestages „Künstliche Intelligenz – Gesellschaftliche Verantwortung und wirtschaftliche, soziale und ökologische Potenziale“ und vertrat von 2018-2022 die Wirtschaft im Sachverständigenrat für Verbraucherfragen des BMJV/BMUV. In den vergangenen Jahren arbeitete sie u.a. mit in der Zukunftskommission Landwirtschaft, im Deutschen Strategieforum für Standardisierung und im Vorstand der Freiwilligen Selbstkontrolle Multimedia-Diensteanbieter (FSM). 

Susanne Dehmel ist Rechtsanwältin und absolvierte ihr Jura-Studium in Passau, Freiburg und Cardiff. Bevor sie 2010 beim Bitkom den Bereich Datenschutz und Verbraucherrecht übernahm, verantwortete sie von 2002-2009 die Bereiche Urheberrecht und gewerblicher Rechtsschutz. 

Lothar Determann practices and teaches international data privacy, technology, commercial and intellectual property law. 

At Baker McKenzie in San Francisco and Palo Alto, he has been counseling companies since 1998 on data privacy law compliance and taking products and business models international. Ad-mitted to practice in California and Germany, he has been recognized as one of the top 10 Copy-right Attorneys and Top 25 Intellectual Property Attorneys in California by the San Francisco & Los Angeles Daily Journal and as a leading lawyer by Chambers, Legal 500, Thompson Reuters, IAM and others. For more information see www.bakermckenzie.com. Contact: ldeter-mann@bakermckenzie.com. 

Prof. Dr. Determann has been a member of the Association of German Public Law Professors since 1999 and teaches Data Privacy Law, Computer Law, AI Regulation and E-commerce Law at Freie Universität Berlin (since 1994), University of California, Berkeley School of Law (since 2004) and UC Law SF (since 2010), Stanford Law School (2011) and University of San Francisco School of Law (2000-2005). He has authored more than 175 articles and treatise contributions, including Healthy Data Protection (http://ssrn.com/abstract=3357990), Electronic Form over Sub-stance (http://ssrn.com/abstract=3436327) and No One Owns Data (https://ssrn.com/abstract=3123957), as well as 6 books, including Determann’s Field Guide to Data Privacy Law (6th Edition, 2025, also available in Arabic, Chinese, French, German, Greek, Hungarian, Italian, Japanese, Korean, Portuguese, Russian, Spanish, Turkish and Vietnamese), California Privacy Law - Practical Guide and Commentary on U.S. Federal and California Law (5th Ed. 2023) and Determann's Field Guide to Artificial Intelligence Law (2024, also available in Chinese, German, Spanish and Turkish – French and Korean versions forthcoming).

Jeanne Dillschneider is a Member of the German Bundestag since 2025 and the Chairwoman of Bündnis 90/Die Grünen Saarland since 2023. She serves as the group coordinator for her parliamentary group on the Digital Affairs Committee, where she advocates for cybersecurity, data protection and usage, as well as digital civil rights, among other issues. She is also a member of the Defense Committee, where she contributes her expertise in the field of cybersecurity. In addition, Jeanne Dillschneider is a lawyer specializing in data protection and IT-law.

Laura Droschinski is Team Lead Data Protection at migosens GmbH. In this role, she is responsible for the ongoing development of the area as well as the professional and personal growth of her colleagues. The Team supports clients from various industries and company sizes—both in project-based consulting and as appointed external data protection officer. 

As a consultant, she advises organizations on the practical implementation of data protection requirements and regularly conducts workshops and seminars on a wide range of privacy-related topics. 

Before joining migosens, she served as a data protection officer at a financial services company within the Sparkassen-Finanzgruppe. 

In addition, she is a co-host of the podcast "Der Datenschutz Talk", where she contributes to weekly news episodes as well as other show formats.

Er wurde 2024 zum weltweiten Datenschutzbeauftragten (Data Protection Officer) von HP ernannt, nachdem er 20 Jahre lang in verschiedenen Positionen im Bereich Government Affairs und im Privacy Office bei HP tätig war. In seiner Funktion übt er eine unabhängige Aufsicht über die globale Einhaltung von Datenschutz- und Datensicherheitsvorschriften in allen weltweiten Geschäftsbereichen von HP aus. Er fungiert als zentraler Ansprechpartner von HP für Aufsichtsbehörden und betroffene Personen, berät die Unternehmensleitung zu Datenschutzrisiken und berichtet regelmäßig dem Prüfungsausschuss (Audit Committee) des Vorstands. Zudem berät er den Chief Privacy Officer (CPO) von HP unabhängig bei der Überwachung risikoreicher Datenverarbeitungen, unterstützt die weltweite Einhaltung regulatorischer Anforderungen und wirkt an der Governance von KI- und Digitalthemen im Hinblick auf einen verantwortungsvollen und ethischen Umgang mit Daten mit. 

Jacobo Esquenazi ist ein erfahrener Datenschutzbeauftragter und Experte für Datenschutzstrategie mit Fachkenntnissen in den Bereichen Künstliche Intelligenz und digitale Governance. Zuvor war er im Bereich Government Affairs tätig und verfügt über einen fundierten Hintergrund in öffentlicher Politik, regulatorischer Zusammenarbeit und gesetzgeberischer Einflussnahme. 

Jacobo besitzt einen Master of Science (M.Sc.) in Development Studies von der London School of Economics and Political Science mit Schwerpunkt auf internationaler Informationstechnologieentwicklung und dem Einsatz von IKT (Informations- und Kommunikationstechnologien) in Entwicklungsprozessen. Er ist Spezialist mit mehr als 20 Jahren Erfahrung in den Bereichen Datenschutz und Datensicherheit. 

Er hat innovative Ansätze in der KI- und Digital-Governance entwickelt und verfügt über umfassende Kenntnisse in internationalen Beziehungen, Government Affairs sowie in internationalen und multilateralen Verhandlungen.

Als Geschäftsführender Gesellschafter verantwortet Heiko Gossen bei migosens mit 20 Beratern und Auditoren die Beratungsfelder Datenschutz und Managementsysteme. 

Seine praktische Erfahrung im Datenschutz sammelte er sowohl als interner Datenschutzbeauftragter (Telefónica Deutschland) und Datenschutzauditor (Telefónica O2) als auch später als externer Datenschutzbeauftragter (unter anderem für Postbank Systems und Amprion). 

Seit 2012 auditiert er zudem im Auftrag des TÜV Rheinland zahlreiche Unternehmen als Lead-Auditor, unter anderem nach den Standards ISO 27001 und ISO 27018. Darüber hinaus ist Heiko Gossen Host des Podcasts „Der Datenschutz Talk“ und Vorsitzender des Arbeitskreises Datenschutz beim Bitkom e.V.

Jan Grabenschröer ist Director of Privacy EMEA & Global Data Transfers bei eBay, wo er zu Fragen des Datenschutzes, der Künstlichen Intelligenz und der Data Responsibility berät. Vor seinem Wechsel zu eBay war er mehrere Jahre als Rechtsanwalt in den Bereichen IT- und Datenschutzrecht in internationalen Kanzleien tätig.

Catherine Günthner ist Data Protection & AI Trust Officer für die deutschen Einheiten der Allianz sowie stellvertretende Group Chief Privacy & AI Trust Officer bei der Allianz SE. Zuvor war sie in verschiedenen Datenschutzfunktionen bei der Allianz Deutschland AG und der Allianz SE tätig. 

Ihre berufliche Laufbahn begann sie bei Baker McKenzie mit dem Schwerpunkt Datenschutz- und IT-Recht, bevor sie in eine Compliance-Rolle bei der UniCredit Bank wechselte. Sie studierte Rechtswissenschaften an der Ludwig-Maximilians-Universität München (Deutschland) sowie an der Universität Salamanca (Spanien) und ist in Deutschland als Rechtsanwältin zugelassen. 

Geboren und aufgewachsen in Kanada, den USA und Deutschland, spricht sie fließend Deutsch, Englisch, Französisch und Spanisch.

Alain Herrmann joined the Luxembourg National Commission for Data Protection (CNPD) in 2012 and was appointed Commissioner in 2021. He currently oversees the “Compliance” and “Artificial Intelligence, Innovation and Technologies” divisions. His work focuses on AI governance, responsible innovation, GDPR certifications, international data transfers, EU large scale IT system audits, and broader digital regulatory frameworks. He is actively contributing to preparing the CNPD for its upcoming responsibilities under the AI Act and the Data Governance Act. 

Alain has extensive expertise in data protection and artificial intelligence ecosystems at national, European and international levels. Before joining the CNPD, he held several positions in the private sector, mainly in the fields of information technology and information security.

Marius Janke, LL.M. ist Fachanwalt für IT-Recht und als Syndikusrechtsanwalt für die Deutsche Bahn AG tätig. Sein Beratungsschwerpunkt liegt in Digitalisierungs- und Datenschutzprojekten. Er ist zertifiziert als Datenschutzbeauftragter (TÜV Nord) sowie als Datenschutzauditor (TÜV Nord). 

Marius Janke ist zudem seit mehreren Jahren Lehrbeauftragter am Institut für Rechtsinformatik der Leibniz Universität Hannover.

Meike Kamp wurde im Oktober 2022 zur neuen Berliner Beauftragten für Datenschutz und Informationsfreiheit gewählt. Zwischen 2010 und 2019 war die Juristin bereits bei der Behörde im Bereich Datenschutz, Medien und Informationsfreiheit tätig. Von 2005 bis 2010 arbeitete sie beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein. Vor ihrer Wahl war Meike Kamp als Sitzungsvertreterin im Bundesrat für die Vertretung des Landes Bremen in Berlin tätig.

Prof. Dr. Tobias Keber ist seit dem 1. Juli 2023 Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg. 

Tobias Keber war Professor für Medienrecht und Medienpolitik in der digitalen Gesellschaft an der Hochschule der Medien Stuttgart (HdM), Lehrbeauftragter für Internetrecht im Masterstudiengang Medienrecht am Mainzer Medieninstitut der Johannes Gutenberg-Universität Mainz sowie Mitglied des Leitungsgremiums des Instituts für Digitale Ethik (IDE) an der Hochschule der Medien Stuttgart. Vor seiner akademischen Laufbahn war er als Rechtsanwalt tätig. Keber ist Vorsitzender des Wissenschaftlichen Beirats der Gesellschaft für Datenschutz und Datensicherheit (GDD), Herausgeber der Fachzeitschrift „Recht der Datenverarbeitung“ (RDV) und Autor zahlreicher Fachveröffentlichungen zum nationalen und internationalen Medien-, IT- und Datenschutzrecht.

Elena Kouremenou ist beim Bitkom als Referentin für Datenschutz im Team „Künstliche Intelligenz und Daten“ tätig. Zuvor war sie als wissenschaftliche Mitarbeiterin bei Reusch Rechtsanwälte im Team der Digital Business Unit tätig. Ihr Studium der Rechtswissenschaften sowie das Referendariat absolvierte sie in Athen, wo sie auch zur Rechtsanwältin zugelassen wurde. Anschließend schloss sie ein Masterstudium mit Schwerpunkt Datenschutz an der Humboldt-Universität zu Berlin ab.

Prof. Dr. Dieter Kugelmann studied at the universities of Mainz and Dijon. After his Pd.D. in European media law he qualified at the university of Mainz. He is author of numerous publications especially on the European fundamental rights, European law, media law, security law and data protection law. In 2008 he became a fully tenured professor at the German Police University with a specialization for public law with a focus on police law including international and European Law. In 2015 he was elected for President of the Authority for the protection of data and the freedom of information of Rhineland-Palatinate and in 2023 he was re-elected for a second term. He is the editor of a commentary on the data protection law of Rhineland-Palatinate and co-editor of a commentary on the GDPR.

As Managing Director of SCOPE Europe, Gabriela oversees developing, implementing, and disseminating self and co-regulatory tools in the digital industry, such as the EU Cloud Code of Conduct, a market standard for GDPR compliance in the cloud sector. Together with SCOPE Europe’s growing team, Gabriela is actively working on fostering trust in the digital economy by advancing effective solutions for today’s regulatory challenges. She is an economist and a certified data protection officer who has studied and worked in different countries and is fluent in Portuguese, French, English, and Spanish.

Boris P. Paal ist Professor für Recht und Inhaber des Lehrstuhls für Recht und Regulierung der digitalen Transformation an der Technischen Universität München (TUM). Dort leitet er außerdem die Arbeitsgruppe „Data Law“ des TUM Think Tank. Er ist Of Counsel bei der Kanzlei BAUMGARTNER BAUMANN und war zuvor von 2020 bis 2023 Richter am Landgericht Hamburg (Kammer für IP- und IT-Recht).

Nach dem International Relations und Political Economy Studium in Kleve und London, der akademischen Welt als Doktorrand noch eine Weile treu geblieben, jetzt beim Bitkom als Bereichsleiter für Medienpolitik & Plattformen zuständig.

Frederick Richter, LL.M, ist seit ihrer Gründung 2013 Vorstand der Stiftung Datenschutz. Zuvor war er Referent für Netzpolitik im Deutschen Bundestag und Datenschutzbeauftragter eines Wirtschaftsverbandes. Frederick Richter studierte Rechtswissenschaften an der Universität Hamburg und erwarb einen Masterabschluss im IT-Recht an den Universitäten Wien und Hannover. 

Er ist Mitglied des Beirats der Plattform Privatheit und des Praxisbeirats der Fachzeitschrift Recht der Datenverarbeitung (RDV), sowie ständiger Autor der Fachzeitschrift Privacy in Germany (PinG). Für die vorige Bundesregierung war er Mitglied des Beirats Digitalstrategie Deutschland.

Margo Steiner is VP Global Privacy Policy at adidas. Previously, she was Chief Data Privacy Officer at CompuGroup Medical (CGM), a leading e-health company, and responsible for customer data protection at Zalando. In 2010-2014, she headed the Department of Analysis and Public Communication at the Polish Ministry of Digitalisation and was an advisor on digital strategy in the office of Polish Prime Minister Donald Tusk. Margo studied law in Hanover, Madrid and Berlin, is admitted to the bar in Germany and holds a Master's degree in Public Policy from Harvard University. Main areas of specialisation: Global privacy, data regulation, AI regulation, legal framework for digital transformation.

Isabelle Stroot ist Bereichsleiterin Datenschutzrecht & -politik beim Digitalverband Bitkom. In dieser Funktion verantwortet sie die regulatorischen sowie datenschutzpolitischen Themen des Verbands. 

Sie ist Volljuristin, studierte Rechtswissenschaften in Hamburg und Hannover mit dem Schwerpunkt IT- und IP-Recht. Zudem ist sie zertifizierte Datenschutzbeauftragte und Datenschutzauditorin.

Dan Thomsen is a partner at Data & More. For over 20 years, he has been supporting organisations in Europe and the United States in managing unstructured data, including data deletion, privacy compliance, GDPR, and NIS2. Over the past six years, he has focused particularly on the classification of privacy-related data.

Félicien Vallet is Head of AI department at the Commission Nationale de l'Informatique et des Libertés (CNIL), the French data protection authority. His role is to coordinate the actions related to Artificial Intelligence within the institution. Félicien Vallet is also a regular contributor to the LINC, CNIL's Digital Innovation Laboratory. Before joining the CNIL, he was a researcher at the French National Audiovisual Institute (INA) and working on the topics of automatic information extraction, multimedia content analysis and speech signal processing. He holds engineering and doctoral degrees in Computer Science from Télécom Paris (obtained in 2007 and 2011 respectively).

Michael Will wurde zunächst zum 1. Februar 2020 und erneut zum 1. Februar 2025 für die Dauer von jeweils fünf Jahren zum Präsidenten des Landesamts für Datenschutzaufsicht ernannt. Er wurde 1968 in Kronach geboren, ist verheiratet und Vater eines Kindes. 

Nach dem Studium der Rechtswissenschaft in Würzburg und der Referendarzeit in Bamberg begann er im Jahr 1995 bei der Regierung von Oberfranken in Bayreuth seine berufliche Tätigkeit als Verwaltungsjurist in den Diensten des Freistaats Bayern. Nach seinem Wechsel in die Oberste Baubehörde im Bayerischen Staatsministerium des Innern im Jahr 1997 und im Jahr 2000 in die Bayerische Staatskanzlei übernahm Michael Will 2002 die Leitung der Abteilung für öffentliche Sicherheit und Ordnung im Landratsamt Landshut. Zugleich war er in dieser Zeit Geschäftsführer des Zweckverbands für Rettungsdienst und Feuerwehralarmierung Landshut. 2006 kehrte er als Referent in das Sachgebiet Straßenrecht in die Oberste Baubehörde im Bayerischen Staatsministerium des Innern zurück. 

Im Jahre 2009 wurde Michael Will die Leitung des Referats "Datenschutz" im Bayerischen Staatsministerium des Innern für Sport und Integration übertragen. Er übte dort zudem das Amt des behördlichen Datenschutzbeauftragten aus und war Mitglied der Datenschutzkommission des Bayerischen Landtages. 

Im Auftrag des Bundesrates begleitete er in den Jahren 2012 bis 2015 die gesamten Beratungen der Ratsarbeitsgruppe Datenschutz und Informationsaustausch (DAPIX) zur EU Datenschutz-Grundverordnung (DSGVO) und nahm außerdem die Aufgaben des Länderbeobachters im Ausschuss nach Art. 93 der DSGVO wahr, der z.B. beim Erlass von Adäquanzentscheidungen der Europäischen Kommission beteiligt wird.

Leiter der Einheit „Überwachung und Durchsetzung“ im Büro des Europäischen Datenschutzbeauftragten (EDPS) seit Januar 2022. 

Zuvor war Thomas Leiter der EDPS-Einheit „Technologie und Datenschutz“, die sich mit neuen Technologien und deren Auswirkungen auf den Schutz personenbezogener Daten und die Privatsphäre befasst. Außerdem war er Mitglied des Kabinetts des Ersten Vizepräsidenten der Europäischen Kommission, Frans Timmermans, mit Zuständigkeit insbesondere für Fragen der Rechtsstaatlichkeit und der Grundrechte, einschließlich des Datenschutzes. 

In der Generaldirektion Justiz und Verbraucher der Europäischen Kommission war Thomas kommissarischer Leiter der Einheit Produktsicherheit sowie stellvertretender Leiter der Einheit Datenschutz. 

Thomas war ein zentrales Mitglied des Teams, das die Datenschutzreformvorschläge der Europäischen Kommission vorbereitet und verhandelt hat, insbesondere die Datenschutz-Grundverordnung (DSGVO) sowie die Richtlinie zum Datenschutz in der Strafverfolgung zwischen 2009 und 2016. 

Thomas studierte Rechtswissenschaften an der Universität Passau (Deutschland) und am Europakolleg in Brügge (Belgien). Er war deutscher Rechtsanwalt mit Schwerpunkt auf EU-Recht, IT-Recht und Datenschutzrecht und Direktor des Brüsseler Büros des Deutschen Anwaltvereins. 

Er veröffentlicht Kommentare, Bücher und Fachartikel zum Recht der Europäischen Union.