EUROFORUM-Praxisseminar

IT Compliance Update

Aktuelle Entwicklungen bei Informationssicherheit, Richtlinien, Kontrolle, Datenschutz, Haftung EUROFORUM Praxis-SeminarStets individuell buchbar.

Stets individuell buchbar.

Bestimmen Sie, wo und wann Ihre Weiterbildung stattfindet!

Bei unseren individuellen Seminaren haben wir uns noch auf keinen Ort oder auf ein Datum festgelegt. Lassen Sie sich unverbindlich als Interessent/in für ein Thema aufnehmen und äußern Sie Wünsche, was Termin und Ort anbelangt. Gemeinsam mit Ihnen und unserem Trainernetzwerk finden wir dann den Termin, der Ihnen am besten passt.

Programm

Aktuelles Special: Softwarelizenz-Audit

  • SW-Lizenz-Audit – Was kommt auf Sie zu? Wie bereiten Sie sich optimal vor?
  • Durchführung + Ablauf (Fragebogen Selbstauskunft, Vor-Ort- Begehung etc.)
  • Gesetzlicher/vertraglicher Anspruch auf Audit? Vertragsgestaltung, zahlreiche Beispielsklauseln; Anspruch auf Besichtigung von Quellcode, BGH vom 11.04.2013
  • Datenschutzproblematik – Einsatz Audit-Software, Praxisbeispiele
  • Prävention durch Lizenzmanagement: Inventarisierung von SW + Lizenzen; Einsatz von Vermessungstools
  • Lizenzierungsmodelle, CAL-Lizenzen, Konzernklauseln, Unterlizenzen nach Erlöschen der Hauptlizenz
  • UsedSoft, EuGH vom 03.07.2012, BGH vom 17.07.2013, zulässiger Handel mit Gebrauchtsoftware, Online-Erschöpfung
  • Creative Commons Lizenz, aktuelle Rechtsprechung, LG Köln vom 05.03.2014
  • Beweisproblematik: Lizenznachweis, Beweislast, Einscannen der Belege
  • Verhandlungstaktik: Verweigerung versus Kooperation; selbsterzeugte Unterlagen als Kompromiss
  • Abschlussvergleich (Musterformulierung), Kostentragung, Nachlizenzierungen

Cloud-Computing – Auftrags-DV – Datentransfer ins Ausland

  • Auslands-Datenverarbeitung
    • Deutsche Datenschutzbehörden stoppen Safe-Harbor und Datentransfer in die USA
    • Zulässiger Auslandstransfer, sichere Drittstaaten, z. B. Schweiz
    • EU-Standardvertragsklauseln (EU-Model-Clauses): Ergänzungsbedarf, Rahmenverträge zur Einbettung
  • Auftrags-DV nach § 11 BDSG
    • Schriftliche Zusatzvereinbarung, zehn Pflichtklauseln,
    • Musterformulare, Beispielsklauseln und Gestaltungstipps
  • Cloud-Computing – Fragen zu Vertragsgestaltung und Datenschutz
    • Herausgabe von Daten bei Vertragsende + Insolvenz
    • Insbesondere: Auslagerung der Buchhaltung, Archivierung, Personaldaten, CRM-Systeme etc.
  • Binding Corporate Rules (BCR) – konzernweite Datenschutzrichtlinien
    • Praxisbericht/Gestaltungstipps aus zwei konkreten Genehmigungsverfahren
    • Wesentliche Inhalte der EU-Working Papers, das neue WP 195
  • IT-Audit beim Dienstleister
    • Kontrolle des Sicherheitskonzepts, Vor-Ort- und Doku-Prüfung
    • Praktische Durchführung, Prüfkataloge
    • Orientierungshilfe Cloud Computing der Aufsichtsbehörden

Gestaltungsmodul Cloud: Auftrags-DV Rechtssichere Gestaltung von

  • Zusatzvereinbarung Auftrags-DV mit IT-Dienstleister nach § 11 BDSG
  • EU-Standardvertragsklauseln und Safe Harbor Binding Corporate Rules (BCR)

Aktuelles Special: Wirtschaftsspionage – Geheimnisverrat – Know-how-Abfluss

  • Wirtschaftsspionage aus dem Ausland, insbesondere USA und China
  • NSA-Affäre, PRISM, Tempora: Was dürfen Geheimdienste in USA und BRD? Strategische Überwachung des BND, BVerwG vom 28.05.2014
  • Gesetzliche Regelungen – G10-Gesetz, Anti-Terrorismus-Gesetze
  • USA-Patriot-Act – Durchgriff der US-Behörden auf Cloud Daten
  • Aktuell: US-Gericht vom 29.04.2014: Microsoft muss Daten auch aus EU-Standorten herausgeben
  • Vor-Ort- Datenströme? Schutzmaßnahmen, insbesondere Verschlüsselung
  • Cyberwar – Stuxnet, Flame und die Folgen
  • Soziale Netze – Risiko Informations-Abfluss durch Chat, Blog, Diskussionsgruppen, Reputationsrisiken
  • Datenabfluss durch Nutzungsbedingungen bei Google Docs, Dropbox etc., Schnüffel-Apps, z. B. WhatsApp,
  • Juristische Reaktionsmöglichkeiten bei Datenabluss, Geheimnisverrat im Unternehmen, Sensibilisierung der Mitarbeiter
  • Whistleblowing – datenschutzkonforme Hinweissysteme, arbeitsrechtliche Grenzen, WP 117, Düsseldorfer Kreis

Gestaltungsmodul Geheimschutz: Rechtssichere Gestaltung von

  • Abwehr- und Geheimschutzklauseln in Cloud-Verträgen und Auftrags-DV
  • Geheimhaltungsvereinbarungen mit Geschäftspartnern Non-Disclosure-Agreement
  • Verpflichtungserklärungen auf Datengeheimnis Geheimschutz im Arbeitsvertrag

Mobile Geräte + BYOD (Bring your own device)

  • Verwendung privater Endgeräte, Fluch oder Segen?
  • Risiken und Sicherheitsanforderungen bei privaten Smartphones, Tablets etc.; Zugriffsschutz, Verschlüsselung, Schnüffel-Apps
  • Trennung privat-dienstlich durch Containerlösung (Good Client)
  • Mobile Device Management (MDM): Kontrolle, Remote-Löschung, Datenschutz
  • Wer hat das Recht an den Daten? Herausgabe der Daten bei Ausscheiden
  • Lizenzproblematik – Lizenzierungsmodelle, Freigabeverfahren für Apps, Whitelist/Blacklist für Apps? Jailbreaks
  • Homeoffice und Geschäftsreisen: Web oder App? – Terminalnutzung
  • Haftung des Arbeitgebers für Privatgeräte (Verlust, Beschädigung), Roaming-Gebühren

Gestaltungsmodul Mobile Geräte/BYOD: Rechtssichere Gestaltung von

  • Richtlinien, Nutzungsvereinbarung BYOD und mobile Geräte, Benutzerrichtlinien für Homeoffice
  • Betriebsvereinbarung und Datenschutzeinwilligung, Disclaimer, Haftungsklausel für den Arbeitgeber

GDPdU – E-Mail-Archivierung – DMS

  • Aktuell: Die GoBD des BFM vom 14.11.2014: ersetzt die GDPdU/GoBS – Archivierung, elektronische Betriebsprüfung, maschinelle Auswertbarkeit, IKS, Einscannen etc.
  • E-Mail-Archivierung: gesetzliche Aufbewahrungspflichten, Gestaltung in der Betriebsvereinbarung, Lösung der Datenschutzproblematik
  • Elektronische Rechnungen stark vereinfacht, Streichung der Signaturpflicht, Richtlinie des BMF
  • Beweiswert, Beweisführung mit elektronischen Dokumenten, De-Mail-Gesetz, Nachweis von Zugang/Identität, Altersprüfung, Postident-Verfahren

Update Datenschutz – Neue Gesetze – EU-Datenschutz-VO

  • Aktuell: Neue EU-DatenschutzgrundVO
    • aktueller Stand, EU-Parlament vom 12.03.2014, maßgebliche Inhalte, wie geht's weiter?
    • Kritik: insbesondere der Datenschutzbehörden, BVerfG
  • Urteil des EuGH vom 08.04.2014 zur Vorratsdatenspeicherung
  • Anwendbarkeit dt. Datenschutzrecht, OVG Schl.-Holstein vom 22.04.2013
  • Personenbezug von IP-Adressen, Düsseldorfer Kreis, BGH vom 28.10.2014
  • E-Recruiting-Plattformen – Online-Bewerbungsverfahren, Datenschutzkonzept
  • Das neue Internetprotokoll IPv6, technische Grundlagen, rechtliche Auswirkungen, Datenschutz
  • E-Government-Gesetz zum 01.08.2013 in Kraft getreten, Überblick zu den Neuregelungen, elektronische Schriftform

Ihr Tagungshotel

Am Abend des ersten Veranstaltungstages lädt Sie das Courtyard by Marriott Munich City East herzlich zu einem Umtrunk ein.

Zeitrahmen des 1. Seminartages

9.00 Empfang Ausgabe der Tagungsunterlagen
9.30 Seminarbeginn
13.00 Gemeinsames Mittagessen
17.30 Ende des ersten Seminartages

Lassen Sie den ersten Seminartag bei einem gemeinsamen Umtrunk ausklingen.

Aktuelles Special: Big Data und Datenschutz

  • Big Data – datenschutzkonformer Umgang mit riesigen Datenmengen
  • Datenerhebung, Verarbeitung und Aggregation der Daten
  • Möglichkeiten der Anonymisierung und Pseudonymisierung
  • rechtskonforme Analyse und Auswertung der Daten

IT-Haftung

  • BGH vom 15.08.2013, Rapidshare: Haftung für User Generated Content, Blogeinträge, Wikipedia OLG Stuttgart vom 02.10.2013 und 22.10.2013
  • Haftung Online-Plattformen, Marktplätze wie eBay, Facebook, Haftung für Zugangskonten, VGH Sch-Hol. vom 04.09.2014
  • Verantwortlichkeit für Links, EuGH vom 13.02.2014 – Sinn von Disclaimern;
  • Keine Haftung für Framing, EuGH vom 24.10.2014
  • Persönlichkeitsrecht aktuell: "Recht auf Vergessen", EuGH vom 13.05.2014, Löschungsantrag bei Google; Google-Autocomplete, Suchwortergänzung, BGH vom 14.05.2013
  • Störerhaftung für Accesprovider, offene W-LAN, Filesharing, zumutbare Prüfungs- und Sicherungspflichten, BGH vom 08.01.2014, OLG Köln vom 18.07.2014, EuGH vom 27.03.14
  • Keine Haftung für Streaming, Redtube, LG Hamburg vom 19.12.2013, EuGH vom 05.06.2014
  • Schadensersatz bei Internetausfall, BGH vom 24.01.2013, Geld-entschädigung bei Online-Persönlichkeitsrechtsverletzungen, BGH vom 17.12.2013
  • Schadensbemessung bei Datenverlust, Haftung bei fehlender Datensicherung, Eigentumsverletzung durch Datenlöschung
  • Eigenhaftung der IT-Verantwortlichen, innerbetrieblicher Schadensausgleich des BAG, Strafbarkeit durch Garantenstellung des Compliance-Officers, DSB
  • Haftung des Admin-C, OLG Frankfurt vom 21.10.2013
  • Managerhaftung – persönliche Haftung der Leitungsebene nach KonTraG

Gestaltungsmodul Haftung: Rechtssichere Gestaltung von

  • Haftungsfreistellungsklauseln für IT- und Datenschutzverantwortliche (Admin-C)
  • Funktions- und Stellenbeschreibungen für IT- und Datenschutzverantwortliche, Compliance-Officer

Social Media – Webauftritt

  • Facebook – Veröffentlichung privater Nachrichten unzulässig, OLG Hamburg vom 04.02.2013
  • Unternehmensinterne Soziale Netzwerke, Auswertung des Nutzerverhaltens, Nutzungsrichtlinien
  • Fanpages bei Facebook, Zulässigkeit der Facebook-und Apple-AGB, LG Berlin vom 30.04.2013
  • Impressumspflicht bei Xing, Facebook, WhatsApp, LG Berlin vom 09.05.2014, LG Stuttgart vom 27.06.2014; kostenpflichtige Rufnummer im Impressum, OLG Frankfurt vom 02.10.2014
  • Aktuell: Personenbewertungsportale, Kundenbewertungen, Online-Pranger, BGH vom 23.09.2014
  • Social Media Richtlinien: Grenzen der Verhaltenssteuerung – zulässige Kritik am Arbeitgeber
  • Publikation von Bildern, Videos von Mitarbeitern/Kunden auf YouTube, Webcams, Framing - Einbindung von YouTube-Videos, BGH vom 16.05.2013, EuGH vom 13.02.2014
  • Auskunftsanspruch auf Schufa-Scorewerte, BGH vom 28.01.2014

Online-Werbung – CRM-Systeme

  • Neue Richtlinien der Datenschutzaufsicht zur Werbung vom Dez. 2013
  • Listenprivileg, Datenhandel, Auswirkungen auf CRM-Systeme
  • Social Marketing, Retargeting, rechtliche Grenzen der personalisierten Werbung
  • Cookies – Umsetzung der "Cookie-Richtlinie" 2009/136/EG, Einwilligungen der Nutzer durch Popup-Fenster, Gestaltungstipps
  • Webtracking-Tools, LG Frankfurt vom 18.02.2014, Geolokalisierung, Google-Analytics, rechtskonforme Lösung vom, Feb. 2013; Adobe Analytics, Hinweise des Bay. DSB vom Juni 2013
  • "Gefällt mir"-Button von Facebook, Zulässigkeit Reichweitenanalyse
  • Tell-a-friend von FB rechtswidrig, KG Berlin vom 24.01.2014, BGH vom 12.09.2013
  • Datenschutzerklärung (Privacy Policy), OLG Hamburg vom 27.06.2013
  • Datenschutzeinwilligung der Kunden, Double-opt-in-Verfahren - in Frage gestellt durch OLG München

Gestaltungsmodul Social Media/Datenschutz: Rechtssichere Gestaltung von

  • Social Media Richtlinien für Mitarbeiter Konkrete Musterbeispiele, umfassende Checkliste
  • Datenschutzerklärung, Privacy Policy Datenschutzeinwilligung der Kunden

IT-Nutzung am Arbeitsplatz, private Nutzung

  • Einscannen von Personalausweisen, VG Hannover vom 28.11.2013
  • Privatnutzung am Arbeitsplatz, Arbeitgeber als TK-Provider, Rspr. zum Fernmeldegeheimnis, kippt die herrschende Meinung? LAG-Urteile, VG Karlsruhe vom 27.5.2013
  • Duldung, betriebliche Übung rechtssicher vermeiden
  • Ausscheidende Mitarbeiter: OLG Dresden vom 05.09.2012, keine Löschung privater E-Mails; Löschungspflicht persönlicher Daten (Foto, Namen), LAG Hessen vom 24.01.2012, LG Düsseldorf vom 10.04.2013
  • Private Logfiles: nur 7 Tage Speicherung zur Systemsicherheit, OLG Frankfurt vom 28.08.2013, BGH vom 03.07.2014
  • Steuerrecht: Geldwerter Vorteil durch Privatnutzung? § 3 Nr. 45 EStG

Interne Ermittlungen, zulässige Mitarbeiterkontrolle

  • Kontroll- und Ermittlungsmaßnahmen im Unternehmen, Verhaltenskontrolle nach § 32 BDSG
  • Mitarbeiterrecherchen in Sozialen Netzen, ist Facebook allg. zugänglich?
  • Datenschutzkonforme Korruptionsbekämpfung, Abwehr Wirtschaftsspionage – Pflicht nach § 130 OWiG
  • Legaler Datenbankabgleich, Mitarbeiterscreening
  • Zutrittskontrollsysteme, Kontrolle von Logfiles/ E-Mails
  • Strafbarkeit der Geolokalisierung, Überwachung von Personen durch GPS-Empfänger, BGH vom 04.06.2013
  • (Verdeckte) Videoüberwachung am Arbeitsplatz, Datenschutzgrenzen, neue Entscheidungen: BGH vom 24.05.2013, OVG Niedersachen vom 29.9.2014
  • Rechtskonforme Terrorbekämpfung, Exportkontrollsysteme, EG-Verordn.
  • Rechtsfolgen unzulässiger Kontrolle, Beweisverwertungsverbote

Aktuelles Special: Datenspeicherung im Kfz

Gestaltungsmodul IT-Nutzung/Kontrolle: Rechtssichere Gestaltung von

  • Betriebs-/Dienstvereinbarungen für die IT-Nutzung
  • Einwilligungen der Mitarbeiter bei Privatnutzung
     
  • Gläserne Autofahrer? - Rekonstruktion des Fahrverhaltens, Standortdaten (GPS) – Datenschutzproblematik
  • Wem gehören die Daten? Eigentum an Daten ?
  • Leasing- oder Mietfahrzeuge; Versicherungsverträge - "Pay as you Drive"
  • "Kommunizierende" Bordsysteme: Notrufsystem eCall, Übermittlung Unfalldaten
  • Muster-Information des VDA und der Datenschutz-Behörden

IT-Sicherheit, Verschlüsselung, Filtersysteme

  • Erstellung Löschkonzept, Datenvernichtung – neuer Standard DIN 66399
  • Zulässigkeit von Deep Packet Inspection, Application Layer Firewalls
  • Verschlüsselungspflichten True Crypt nicht mehr sicher?; Ende-zu-Ende-Verschlüsselung aus eigener Hand
  • OpenSSL: Heartbleed-Bug gefährdet Verschlüsselung; TLS-Decryption Contentfilter, Pflicht zur Kontrolle des Spamordners, LG Bonn vom 10.01.2014, Jugendschutz durch URL-Filter
  • SIEM - Security Information and Event Management, Protokollierung und Auswertung, IKS, rechtssicher umsetzen
  • Data Loss Prevention (DLP) – Kommunikations- + Datei-Kontrolle

ISMS - Interne Kontrollsysteme (IKS) – Compliance-Tools

  • Informationssicherheit (ISMS) vs. Datenschutz (DSMS)
  • Standards für Informationssicherheit (BSI, ISO 27001) + Datenschutz
  • Aktuell: KRITIS – das neue IT-Sicherheitsgesetz vom 18.08.2014 für kritische Infrastrukturen, Pflicht zu IT-Sicherheits-Audits, Meldepflicht
  • KonTraG, MaRisk, MaComp – keine Vorstandsentlastung ohne Risikomanagement
  • Krisenbewältigung bei Datenpannen, Informationspflichten nach § 42a BDSG
  • Messbarkeit des Datenschutz-Niveaus – Messkriterien und Messverfahren
  • Rechtsvorteile von Standards und Zertifizierung, Beweislastumkehr
  • IT-Audits Externer erfolgreich bestehen - Wirtschaftsprüfer (PS 330, FAIT)
  • Dokumentation der IT-Infrastruktur, ganzheitliches Compliance Management System
  • Interne Kontrollsysteme (IKS) – Aufbau und Funktion, PDCA-Modell
  • Ermittlung der IT-Risiken – Baseline-Ansatz
  • Kontrollmodelle für betriebliche Steuerungs- und Überwachungssysteme, Reifegradmodell, Schwachstellenanalyse
  • Standards, Frameworks für IKS - COSO-Modell und COBIT - Prozessmodell, Control Objectives, Reporting
  • IT-Compliance-Tools – Best Practices, Vorstellung GRC-Tools rechtssicherer Einsatz

Gestaltungsmodul ISMS, IT-Sicherheit: Rechtssichere Gestaltung von

  • IT-Sicherheitsrichtlinien nach ISO 27000 und BSI
  • IT-Benutzerrichtlinien für Mitarbeiter Benutzerrichtlinien für Gastzugänge

Zeitrahmen des 2. Seminartages

8.30 Empfang
9.00 Seminarbeginn
12.30 Gemeinsames Mittagessen
17.00 Ende des Seminars

An beiden Tagen werden Kaffepausen flexibel eingeplant.