IT Compliance Update

Aktuelle Entwicklungen bei Informationssicherheit, Richtlinien, Kontrolle, Datenschutz, Haftung EUROFORUM SeminarBald wieder im Programm.

Bald wieder im Programm.

Programm

Kompakteinstieg und Update

  • Begriff IT Compliance und interne Kontrollsysteme
  • Relevante Gesetze für IT Compliance, Datenschutz, Informationssicherheit
  • Grundbegriffe des Datenschutzes

Datenspionage, Geheimnisverrat, Know-how-Abfluss

  • Angriffe auf Datennetze aus dem Ausland, insbesondere China
  • USA-Patriot-Act – Durchgriff der US-Behörden auf Cloud Daten, Regelungen mit IT-Bezug, mögliche Schutzmaßnahmen
  • Wiki-Leaks, Stuxnet und die Folgen – Nationales Cyber-Abwehrzentrum
  • Juristische Reaktionsmöglichkeiten bei Geheimnisverrat im Unternehmen
  • Whistleblowing – Datenschutzkonforme Hinweissysteme durch Mitarbeiter, arbeitsrechtliche Grenzen
  • Sensibilisierung der Mitarbeiter: Geheimnisschutz durch Richtlinien und Arbeitsvertrag
  • Vertragsgestaltung für Zusammenarbeit mit Geschäftspartnern

Gestaltungsmodul Geheimschutz

  • Geheimschutzklauseln im Vertrag (Arbeitsvertrag + Dienstleistungsvertrag)
  • Verpflichtungserklärung auf Geheimhaltung und Datengeheimnis nach § 5 BDSG

Cloud Computing – Auftrags-DV – Datentransfer ins Ausland

  • Neuregelung der Auftrags-DV nach § 11 BDSG
    • Die zehn Pflichtklauseln, notwendige Anpassung der Altverträge
    • Kontrolle des Sicherheitskonzepts – Praktische Durchführung
  • Cloud Computing – Fragen zu Vertragsgestaltung und Datenschutz
    • Neue Orientierungshilfe Cloud Computing der Aufsichtsbehörden vom 26.09.11
    • Schadens- und Haftungsszenarien, Kontrolle in der Cloud
    • Insbesondere: Auslagerung der Buchhaltung, Archivierung, Personaldaten, CRM-Systeme etc.
  • Auslands-Datenverarbeitung
    • Zulässiger Datentransfer ins Ausland
    • Die neuen EU-Standardvertragsklauseln vom 15.05.10
  • Binding Corporate Rules (BCR)
    • Wichtige Inhalte nach den Working Papers der EU
    • Ablauf Genehmigungsverfahren, Erfahrungstipps
  • Funktion der Datenschutzerklärung (Privacy Policy)

Gestaltungsmodul Cloud

  • Zusatzvereinbarung für Auftrags-DV mit Dienstleister nach § 11 BDSG
  • Zusatzvereinbarung mit Auslandsdienstleister nach EU-Standardvertragsklauseln und Safe Harbor
  • Weltweite Datenschutzrichtlinien durch Binding Corporate Rules (BCR)

Soziale Netzwerke und Web 2.0

  • Soziale Netze – Facebook, LinkedIn, YouTube etc., übliche Funktionalitäten (Profile, Statusmeldungen, Veröffentlichung)
  • Risiken (Informations-Abfluss, Reputationsrisiken) und Verhaltensrichtlinien für Mitarbeiter
  • User Generated Content, urheberrechtswidriger Upload, Verwendung fremder Texte, Setzen von Links – Haftungsprobleme
  • "Gefällt mir"-Button von Facebook, datenschutzrechtliche Zulässigkeit, LG Berlin vom 14.03.11, rechtskonforme Lösung
  • Zulässigkeit der Geolokalisierung, IP-Adressen als personenbezogene Daten
  • Auswahl neuer Mitarbeiter, Möglichkeiten der Überprüfung, zulässige Internetrecherchen
  • Social Marketing und Targeting, neuer Gesetzentwurf des BMI: Datenschutz im Internet, neue Cookie-Richtlinie 2009/136/EG
  • Verwendung von Fotos, Bildern, Videos von Kunden/ Mitarbeitern, Vorgaben des KUG, notwendige Einwilligungen
  • Webtracking-Tools, Google-Analytics: Einigung mit Behörden, rechtskonforme Lösung

Gestaltungsmodul Social Media

  • Social Media Guidelines für Mitarbeiter Ethik- und Verhaltensrichtlinien
  • Datenschutzerklärung, Privacy Policy

BYOD (Bring your own device) - Mobile Computing

  • Special BYOD: Verwendung privater Endgeräte, Fluch oder Segen?
    • Sicherheitsprobleme und Bedrohungsszenarien bei privaten Smartphones, Tablets etc.
    • Haftung für Privatgeräte, Diebstahl und Verlust, Verletzung von Geheimhaltungspflichten
    • Wer hat das Recht an den Daten? Trennung privat-dienstlich
    • Mobile Device Management (MDM): Kontrolle, Remote-Löschung, Datenschutzprobleme
    • Rechtssicher gestalten durch Benutzer-RL, Betriebsvereinbarung und Einwilligung
  • Mobile Sicherheit: Zugriffsschutz, Verschlüsselung, datenschutzkonforme Schnittstellenkontrolle (Device Control)
  • Notwendige Regeln für Homeoffice und Geschäftsreisen
  • Smartphones und Apps, lizenzsichere Verwendung
  • Datenschutz auf mobilen Endgeräten, Privatnutzung, Kontrollmaßnahmen, Reichweite Fernmeldegeheimnis

Gestaltungsmodul Mobile

  • Benutzerrichtlinien BYOD und mobile Geräte
  • Benutzerrichtlinien für Homeoffice

IT Compliance – zulässige Mitarbeiterkontrolle

  • Zulässige Kontroll- und Ermittlungsmaßnahmen im Unternehmen, Verhaltenskontrolle nach dem neuen § 32 BDSG
  • Datenschutzkonforme Korruptionsbekämpfung, Abwehr Wirtschaftsspionage – Pflicht nach § 130 OWiG
  • Aktuelle Szenarien (Fall Bahn), legaler Datenbankabgleich, Mitarbeiterscreening
  • Rechtskonforme Terrorbekämpfung, Exportkontrolle
    • Embargomaßnahmen zur Terrorismusbekämpfung, EG‑Verordnungen 881/2002 und 2580/2001
    • UN-Sanktionslisten, Sperrlisten
    • Datenschutzkonformer Abgleich mit Mitarbeitern, Einsatz Prüfsoftware
  • Kontrollpflichten nach § 9 BDSG, rechtskonforme Zugangs- und Eingabekontrolle
  • Rechtmäßige Zutrittskontrollen; anonyme und personenbezogene Kontrolle von Logfiles/E-Mails
  • Rechtsfolgen unzulässiger Kontrolle, Beweisverwertungsverbote
  • Der Fluch des Admin – Marktübliche Kontroll- und Wartungssoftware, Helpdesk, VNC-Client

Das neue Beschäftigtendatenschutzgesetz – Novellierung des BDSG

  • Der neueste Entwurf vom 07.09.2011
  • Neue Informationspflichten, Haftungsfolgen bei Datenpannen nach § 42a BDSG
  • Umgang mit Bewerberdaten, medizinische Untersuchungen, Eignungstest
  • Neuregelung Telekommunikation und private Nutzung am Arbeitsplatz
  • Videoüberwachung Arbeitnehmer, Biometrie, Ortungssysteme (GPS, RFID)
  • Neue Leitlinien für DSB des Düsseldorfer Kreises, neuer Kündigungsschutz für DSB nach BAG-Rechtsprechung
  • Verschärfter Bußgeldkatalog

IT-Nutzung am Arbeitsplatz, private Nutzung

  • Privatnutzung am Arbeitsplatz, Arbeitgeber als TK-Provider, BAG-Rechtsprechung
  • Keine Geltung des Fernmeldegeheimnisses für private E-Mails, LAG Berlin-Brandenburg, VGH Hessen
  • Mitbestimmung, Duldung, betriebliche Übung, Kündigung bei missbräuchlicher Privatnutzung
  • Recht auf IT-Nutzung und Internet für Betriebsrat
  • Sanktionen bei Missbrauch der IT-Systeme, Überschreitung der Adminrechte
  • Betriebsvereinbarungen für die IT-Nutzung (insbesondere E-Mail, Internet), Legitimationsgrenzen, Einwilligungen der Mitarbeiter

Gestaltungsmodul Kontrolle

  • Betriebs-/Dienstvereinbarungen für die IT-Nutzung
  • Einwilligung der Mitarbeiter bei Privatnutzung

Risikomanagement – IT- und Datenschutz-Audits

  • IT-Sicherheits-Policy, notwendige Inhalte – Richtlinien für Gastzugänge, Gestaltungstipps aus der Praxis
  • Informationsmanagementsysteme (ISMS), Standards (ISO 27001, BSI, ITIL, ISO 20000 etc.)
  • Datenschutzprüfungen durch Datenschutzbeauftragte und Revision, Vorabkontrolle
  • Datenschutz-Baustein B 1.5 des BSI – europäischer Datenschutzstandard, EuroPriSe
  • Vorgaben externer Auftraggeber, Anforderungskataloge der Wirtschaftsprüfer, IT-Systemprüfung, IDW-Standards (FAIT, IDW PS 330, PS 951, PS 980)
  • MaRisk und MaComp, Mindestanforderungen an Compliance, BaFin vom 07.06.10
  • Gesetzliche Pflichten zu Notfall- und Berechtigungskonzepten, Managementkonsolen
  • Rechtsprechung zum KonTraG (LG München I) – Keine Vorstandsentlastung ohne Risikomanagement
  • Rechtsvorteile der Standards, Zertifizierung (BSI, ISO, Cobit etc.) – Beweislastumkehr

Gestaltungsmodul Datenschutz

  • Verfahrensverzeichnis, Verfahrensbeschreibungen nach BDSG

Interne Kontrollsysteme (IKS) – Compliance-Tools – Managementsysteme

  • Dokumentation der IT-Infrastruktur, ganzheitliches Compliance Management System
  • Interne Kontrollsysteme (IKS) – Aufbau und Funktion, PDCA-Modell
  • Zusammenhang zwischen IT-Compliance, IKS, Risikomanagement und IT Governance
  • Ermittlung der IT-Risiken – der Baseline-Ansatz, ISO 13335-3
  • Kontrollmodelle zur Beschreibung betrieblicher Steuerungs- und Überwachungssysteme, Reifegradmodell, Schwachstellenanalyse
  • Standards, Frameworks für interne Kontrollsysteme – COSO-Modell und COBIT – tragende Prinzipien, Prozessmodell, Control Objectives, Compliance-Reporting
  • Datenschutzkonforme Umsetzung, insbesondere Transaktionskontrollen
  • Marktübliche Tools für Compliance, Audits und Risikomanagement – Möglichkeiten und Grenzen
  • Einsatz der Tools planen und umsetzen, die richtige Lösung finden
  • Vorstellung GSTOOL des BSI und andere GRC-Tools

Rechtssichere Filter- und IT-Sicherheitssysteme, Data Loss Prevention

  • Data Loss Prevention (DLP) – Datenschutzkonforme Kommunikations- und File-Kontrolle
  • Identity- und Accessmanagement (IAM) – Rechtssichere Identitäts- und Berechtigungskontrolle
  • Rollenbasierte Rechteverwaltung, Gestaltung von Zugangs- und Zugriffsrechten, Tools für Berechtigungsmanagement
  • Jugendschutz am Arbeitsplatz – notwendige technische Maßnahmen
  • URL- und Contentfilter, Spamfilter (Reputationfilter), Zugang von E-Mails trotz Filterung
  • Zulässigkeit Deep Packet Inspection, Application Layer
  • Firewalls, datenschutzkonformes https-Scanning
  • Das neue Internetprotokoll IPv6, rechtliche Auswirkungen

Gestaltungsmodul IT-Sicherheit

  • IT-Sicherheitsrichtlinien nach ISO 27000 und BSI
  • IT-Benutzerrichtlinien für Mitarbeiter
  • Benutzerrichtlinien für Gastzugänge von Besuchern und Geschäftspartnern

Gesetzliche Archivierungspflichten für E-Mails und Daten, DMS

  • E-Mail-Archivierung: Gesetzliche Pflichten, Gestaltung in der Betriebsvereinbarung
  • Lösung der Datenschutzproblematik, Trennung privater/dienstlicher Daten (E-Mails)
  • Archivierung in Bezug auf Instant Messaging und interne Social Media Plattformen
  • GDPdU – GoBS – elektronische Betriebsprüfung, maschinelle Auswertbarkeit, GoBIT – Stand der Weiterentwicklung
  • GDPdU-Compliance – Zugriffsrechte Finanzamt, BFH‑Entscheidung vom 09.02.11
  • Elektronisches Rechnungswesen
    • Elektronische Rechnungen stark vereinfacht und rentabel, Streichung der Signaturpflicht rückwirkend zum 01.07.11, neuer Anforderungskatalog des BMF
    • Neuregelung EDI-Verfahren
  • De-Mail-Gesetz und E-Post-Brief: Beweisführung mit elektronischen Dokumenten
  • E-Discovery – Vorlagepflichten von E-Mail im Prozess, Pre-Trial-Discovery nach US-Zivilprozessrecht, elektronische Beweismittelbeschaffung

Gestaltungsmodul DMS

  • Verfahrensdokumentation nach GoBS
  • Archivierungsrichtlinien für Daten und Dokumente

IT-Haftungsrisiken

  • Haftungsfalle IT-Sicherheit – Schadensbemessung bei Datenverlust
  • Eigenhaftung der IT-Verantwortlichen: innerbetrieblicher Schadensausgleich des BAG
  • Strafbarkeit: Garantenstellung des Compliance-Officers, BGH vom 17.07.09
  • Haftung für offene W-LAN und Internetplattformen, neueste BGH-Rechtsprechung
  • Managerhaftung im Wandel – Persönliche Haftung der Leitungsebene nach KonTraG
  • Störerhaftung des Admin-C für Domains des Arbeitgebers

Gestaltungsmodul Haftung

  • Haftungsfreistellungsklauseln für IT- und Datenschutzverantwortliche (Admin-C)
  • Funktions- und Stellenbeschreibungen für IT- und Datenschutzverantwortliche, Compliance-Officer

Zeitrahmen des Seminars:

1. Tag: 

0 9.00 Empfang mit Kaffee und Tee, Ausgabe der Tagungsunterlagen
09.30 Seminarbeginn
13.00 Gemeinsames Mittagessen
17.30 Ende des ersten Seminartages

2. Tag:
0 8.30 Empfang mit Kaffee und Tee
09.00 Seminarbeginn
12.30 Gemeinsames Mittagessen
17.00 Ende des Seminars
Am Vor- und Nachmittag sind flexible Kaffeepausen vorgesehen.

Lassen Sie den ersten Seminartag bei einem gemeinsamen Umtrunk ausklingen.

Am Abend des ersten Seminartages lädt Sie das Hotel Mondial am Dom Cologne herzlich zu einem Umtrunk ein.