EUROFORUM-Praxisseminar

IT Compliance Update

Aktuelle Entwicklungen bei Informationssicherheit, Richtlinien, Kontrolle, Datenschutz, Haftung EUROFORUM Praxis-SeminarStets individuell buchbar.

Stets individuell buchbar.

Bestimmen Sie, wo und wann Ihre Weiterbildung stattfindet!

Bei unseren individuellen Seminaren haben wir uns noch auf keinen Ort oder auf ein Datum festgelegt. Lassen Sie sich unverbindlich als Interessent/in für ein Thema aufnehmen und äußern Sie Wünsche, was Termin und Ort anbelangt. Gemeinsam mit Ihnen und unserem Trainernetzwerk finden wir dann den Termin, der Ihnen am besten passt.

Programm

AKTUELLES SPECIAL: DAS NEUE IT-SICHERHEITSGESETZ VOM 12.06.2015

  • Auswirkungen auf Betreiber kritischer Infrastrukturen (KRITIS)
  • Wer ist betroffen? Spezielle Rechtsverordnung, Ausnahme für Kleinunternehmen
  • IT-Sicherheits-Audits nach ISO 27000 ff. gesetzliche Pflicht
  • Branchenspezifische Sicherheitsstandards – was ist "Stand der Technik"?
  • Meldepflicht: BSI als zentrale Meldestelle für Sicherheitsvorfälle
  • Warn- und Alarmierungskontakte: gesetzliche Kommunikationsstruktur
  • Korrespondierende NIS-Richtlinie der EU

ISMS – IKS - Risikomanagement

  • Aufbau + Implementierung eines Information Security Management System (ISMS) nach ISO 27001/2 und BSI
  • Standards für Informationssicherheit (BSI, ISO 27001) und Datenschutz
  • Umsetzung eines internen Kontrollsystems (IKS), COSO-Modell, COBIT
  • Kontrollmodelle für Steuerungs- und Überwachungssysteme: Reifegradmodell, Baseline-Ansatz, Schwachstellenanalyse, PDCA-Modell
  • Rollen und Funktionen, insbesondere der IT-Sicherheitsbeauftragte
  • IT-Audits Externer erfolgreich bestehen, Wirtschaftsprüfer (PS 330, FAIT)
  • Krisenbewältigung bei Datenpannen, Incidents, Informationspflichten nach § 42a BDSG
  • Messbarkeit des Datenschutz-Niveaus – Messkriterien und Messverfahren
  • Rechtsvorteile von Standards und Zertifizierung, Beweislastumkehr

PRAXISÜBUNG: RISIKOMANAGEMENT – ISMS

  • Wichtige Geschäftsprozesse identifizieren
  • Schwachstellen, Risiken, Bedrohungen analysieren, bewerten
  • Eintrittswahrscheinlichkeit von Schäden
  • Business-Impact-Analyse – mögliche Auswirkungen feststellen
  • Risikobewertung, Reporting und Risikoentscheidung
     
  • IT-Compliance-Tools: Best Practices, Vorstellung GRC-Tools rechtssicherer Einsatz

GESTALTUNGSMODUL ISMS: Rechtssichere Gestaltung von

  • IT-Sicherheitsrichtlinien nach ISO 27000 und BSI
  • IT-Benutzerrichtlinien für Mitarbeiter
  • Praxis-Checkliste: Risikomanagement – ISMS

AKTUELLES SPECIAL: SOFTWARELIZENZ-AUDIT – LIZENZMANAGEMENT

  • SW-Lizenz-Audit: Was kommt auf Sie zu? Wie bereiten Sie sich optimal vor?
  • Durchführung und Ablauf (Fragebögen, Vor-Ort-Begehung etc.)
  • Gesetzlicher/ vertraglicher Anspruch auf Audit? BGH vom 11.04.13, zahlreiche Beispielsklauseln
  • Datenschutzproblematik – Einsatz Audit-Software, Praxisbeispiele
  • Prävention durch Lizenzmanagement: Inventarisierung von SW + Lizenzen; Einsatz von Vermessungstools
  • Lizenzierungsmodelle, CAL-Lizenzen, Konzernklauseln, Unterlizenzen nach Erlöschen der Hauptlizenz
  • TOPAKTUELL: Gebrauchtsoftware wird verkehrsfähig: UsedSoft III, Online-Erschöpfung, Aufspaltung von Volumenlizenzen zulässig, BGH v. 16.06.15
  • Beweisproblematik: Lizenznachweis, Beweislast, Einscannen der Belege
  • Verhandlungstaktik: selbsterzeugte Unterlagen als Kompromiss
  • Abschlussvergleich: Musterformulierung, Nachlizenzierungen, Kostentragung

MOBILE GERÄTE – BYOD – W-LAN

  • Verwendung privater Endgeräte, Fluch oder Segen?
  • Risiken und Sicherheitsanforderungen bei Smartphones, Tablets, BYOD etc.; Zugriffsschutz, Verschlüsselung, Schnüffel-Apps
  • Trennung privat-dienstlich durch Containerlösung
  • Mobile Device Management (MDM): Kontrolle, Remote- Löschung, Datenschutz
  • Wer hat das Recht an den Daten? Herausgabe der Daten bei Ausscheiden
  • Lizenzproblematik – Lizenzierungsmodelle, Freigabeverfahren für Apps, Whitelist/Blacklist für Apps? Jailbreaks
  • Homeoffice und Geschäftsreisen: Web oder App? Terminalnutzung
  • Haftung des Arbeitgebers für Privatgeräte (Verlust, Beschädigung), Roaming-Gebühren

AKTUELL: Neues W-LAN-Gesetz vom 11.03.2015, bringt mehr Rechtssicherheit

  • Neuregelung Störerhaftung für öffentliche W-LAN, Änderung Telemediengesetz
  • Rspr. Störerhaftung für offene W-LAN, Filesharing, zumutbare Prüfungs- und Sicherungspflichten, BGH vom 08.01.14
  • W-LAN, Gastzugänge rechtssicher umsetzen

GESTALTUNGSMODUL MOBILE GERÄTE–W-LAN: Rechtssichere Gestaltung von

  • Richtlinien, Nutzungsvereinbarung Mobile Geräte, BYOD, Benutzerrichtlinien für Homeoffice
  • Betriebsvereinbarung und Datenschutzeinwilligung Disclaimer, Haftungsklausel für den Arbeitgeber
  • Nutzungsrichtlinien für Gastzugänge, W-LAN

GoBD - E-Mail-Archivierung - DMS

AKTUELL: Die neue GoBD des BMF vom 14.11.2014: ersetzt die GDPdU/GoBS – was ändert sich bei Archivierung, Einscannen etc.?

  • E-Mail-Archivierung: gesetzliche Aufbewahrungspflichten, Gestaltung in der Betriebsvereinbarung, Lösung der Datenschutzproblematik
  • Elektronische Rechnungen stark vereinfacht, Streichung der Signaturpflicht, Richtlinie des BMF
  • Beweiswert, Beweisführung mit elektronischen Dokumenten, De-Mail-Gesetz, Nachweis von Zugang/ Identität
  • E-Recruiting-Plattformen, Online Bewerbung, elektronische Personalakte, Datenschutzkonzept

Update Datenschutz – Neue Gesetze – EU-Datenschutz-VO

AKTUELL: Neue EU-DatenschutzgrundVO

  • Neuester Stand vom 03.06.2015, maßgebliche Inhalte, wie geht's weiter?
  • Kritik: insbesondere der Datenschutzbehörden, BVerfG
  • Personenbezug von IP-Adressen, Düsseldorfer Kreis, BGH vom 28.10.14

AKTUELL: Vorratsdatenspeicherung – was kommt auf uns zu?

  • Neuer Gesetzentwurf der Bundesregierung vom 27.05.15
  • Urteil des EuGH vom 08.04.14, Rspr. des BVerfG
  • Datenhehlerei: Ein neuer Straftatbestand

AKTUELLES SPECIAL: BIG DATA UND DATENSCHUTZ

  • Big Data – datenschutzkonformer Umgang mit großen Datenmengen
  • Aggregation, Anonymisierung und Pseudonymisierung
  • Rechtskonforme Analyse und Auswertung der Daten
  • Aktuell: Verwendung von personenbezogenen Testdaten bei Software-Projekten

Ihr Tagungshotel

Am Abend des ersten Veranstaltungstages lädt Sie das Lindner Hotel and Residence Main Plaza herzlich zu einem Umtrunk ein.

Zeitrahmen des 1. Seminartages

9.00 Empfang Ausgabe der Tagungsunterlagen
9.30 Seminarbeginn
13.00 Gemeinsames Mittagessen
17.30 Ende des ersten Seminartages

Lassen Sie den ersten Seminartag bei einem guten Getränk an der Hotelbar ausklingen.
An beiden Tagen werden Kaffeepausen flexibel eingeplant.

Cloud – Auftrags-DV – Datentransfer ins Ausland

  • Cloud-Problematik, Auslands-DV – Vertragsgestaltung und Sicherheit
    • Datenschutzbehörden stoppen Safe-Harbor und US-Datentransfer
    • Zulässiger Auslandstransfer, EU-Standardvertragsklauseln: notwendige Zusatzregelungen, Rahmenverträge zur Einbettung
  • Auftrags-DV nach § 11 BDSG, Funktionsübertragung, sichere Drittstaaten, z.B. Schweiz
    • Herausgabe von Daten bei Vertragsende und Insolvenz
    • Insbesondere: Auslagerung der Buchhaltung, Archivierung, Personaldaten, CRM-Systeme etc.
  • Binding Corporate Rules (BCR) – konzernweite Datenschutzrichtlinien
    • Praxisbericht, Gestaltungstipps aus konkreten Genehmigungsverfahren
    • Wesentliche Inhalte der EU-Working Papers, das neue WP 195
  • IT-Audit beim Dienstleister
    • Kontrolle des Sicherheitskonzepts, Vor-Ort + Doku-Prüfung, praktische Durchführung, Prüfkataloge
    • Neue Orientierungshilfe Cloud Computing der Aufsichtsbehörden vom 09.10.2014

GESTALTUNGSMODUL CLOUD, AUFTRAGS-DV: Rechtssichere Gestaltung von

  • Zusatzvereinbarung Auftrags-DV mit IT-Dienstleister nach § 11 BDSG
  • EU-Standardvertragsklauseln und Safe Harbor Binding Corporate Rules (BCR)

Wirtschaftsspionage – Geheimnisverrat – Know-how-Abfluss

  • Wirtschaftsspionage aus dem Ausland, insbesondere USA und China
  • NSA-Affäre: Was dürfen Geheimdienste? BVerwG vom 28.05.14
  • Gesetzliche Regelungen – G10-Gesetz, Anti-Terrorismus-Gesetze Cyberwar - Stuxnet, Flame und die Folgen
  • USA-Patriot-Act: Durchgriff der US-Behörden auf Cloud Daten

AKTUELL: US-Bundesgericht vom 29.04.14: Herausgabe von Daten aus EU-Standorten

  • Wo verlaufen internationale Datenströme? Schutzmaßnahmen, Verschlüsselung
  • Soziale Netze: Informations-Abfluss im Chat, Blog, Diskussionsgruppen
  • Datenabfluss durch Nutzungsbedingungen bei Google Docs, Dropbox etc., Schnüffel-Apps
  • Juristische Reaktionsmöglichkeiten bei Datenabfluss im Unternehmen, Sensibilisierung der Mitarbeiter
  • Whistleblowing: Datenschutzkonforme Hinweissysteme, arbeitsrechtliche Grenzen, WP 117, Düsseldorfer Kreis

GESTALTUNGSMODUL GEHEIMSCHUTZ: Rechtssichere Gestaltung von

  • Geheimschutzklauseln in Cloud-Verträgen und Auftrags-DV
    Non-Disclosure-Agreeement (NDA)
  • Verpflichtungserklärungen auf Datengeheimnis
    Geheimschutz im Arbeitsvertrag

IT-Haftung

  • Haftung für User Generated Content, Blogeinträge, Wikipedia, aktuelle Rechtsprechung
  • Haftung für Online-Plattformen wie eBay, Facebook, Haftung für Zugangskonten
  • Haftung für Links – Sinn von Disclaimern, Framing, BGH vom 09.07.15, Streaming, Redtube, EuGH vom 05.06.14

AKTUELL: "Recht auf Vergessen", EuGH vom 13.05.14, Löschungsantrag bei Google; Google-Autocomplete, Suchwortergänzung, BGH vom 14.05.13

  • Schadensersatz bei Internetausfall und Datenverlust, BGH vom 24.01.13, Haftung bei fehlender Datensicherung, OLG Düsseldorf vom 30.12.14
  • Eigenhaftung der IT-Verantwortlichen, innerbetrieblicher Schadensausgleich des BAG, Strafbarkeit bei Garantenstellung, z.B. Compliance-Officers, DSB; Haftung des Admin-C
  • Vorstandshaftung – persönliche Haftung der Leitungsebene nach KonTraG, keine Vorstandsentlastung ohne Risikomanagement

GESTALTUNGSMODUL HAFTUNG: Rechtssichere Gestaltung von

  • Haftungsfreistellungsklauseln für IT- und Datenschutzverantwortliche (Admin-C)
  • Funktions- und Stellenbeschreibungen für IT- und Datenschutzverantwortliche, Compliance-Officer

Social Media – Online-Werbung - CRM

Neu BAG vom 11.12.2014: Publikation von Bildern, Videos von Mitarbeitern/Kunden auf YouTube, Vorgaben des KUG, konkludente Einwilligung, BGH vom 11.11.14

  • Social Media Richtlinien: Grenzen der Verhaltenssteuerung – zulässige Kritik am Arbeitgeber
  • Facebook – Veröffentlichung privater Nachrichten unzulässig, OLG Hamburg vom 04.02.13
  • Unternehmensinterne Soziale Netzwerke, Auswertung des Nutzerverhaltens, Nutzungsrichtlinien

AKTUELL: Personenbewertungsportale, Kundenbewertungen, Online-Pranger, BGH vom 23.09.14

  • Social Marketing, rechtliche Grenzen der personalisierten Werbung; Cookie-Problematik, Einwilligungen durch Popup-Fenster, Gestaltungstipps
  • Webtracking-Tools, Google-Analytics, rechtskonforme Lösung des Hamburger DSB vom Feb. 2013; "Gefällt mir"-Button von Facebook, Zulässigkeit Reichweitenanalyse
  • Tell-a-friend von FB rechtswidrig, BGH vom 12.09.13
  • Bedeutung Datenschutzerklärung (Privacy Policy), OLG Hamburg vom 27.06.13
  • Datenschutzeinwilligung der Kunden, Double-opt-in-Verfahren

GESTALTUNGSMODUL SOCIAL MEDIA, DATENSCHUTZ: Rechtssichere Gestaltung von

  • Social Media Richtlinien für Mitarbeiter
    Konkrete Musterbeispiele, umfassende Checkliste
  • Datenschutzerklärung, Privacy Policy
    Datenschutzeinwilligung der Kunden

IT-Nutzung am Arbeitsplatz – private Nutzung – Industrie 4.0

AKTUELL: Industrie 4.0 – Überblick und rechtliche Rahmenbedingungen

  • Privatnutzung am Arbeitsplatz, Arbeitgeber als TK-Provider, LAG-Urteile zum Fernmeldegeheimnis
  • Duldung, betriebliche Übung → rechtssicher vermeiden
  • Ausscheidende Mitarbeiter: keine Löschung privater E-Mails; Löschungspflicht persönlicher Daten (Foto, Namen)
  • Private Logfiles: nur 7 Tage Speicherung zur Systemsicherheit, BGH vom 03.07.14
  • Steuerrecht: Geldwerter Vorteil durch Privatnutzung? § 3 Nr. 45 EStG
  • Einscannen von Personalausweisen, VG Hannover vom 28.11.13

Interne Ermittlungen, zulässige Mitarbeiterkontrolle

  • Kontroll- und Ermittlungsmaßnahmen im Unternehmen, Verhaltenskontrolle nach § 32 BDSG, E-Mail- und Logfile-Kontrolle, Stichprobenkontrollen
  • Mitarbeiterrecherchen in Sozialen Netzen, ist Facebook allgemein zugänglich?
  • Korruptionsbekämpfung, Abwehr Wirtschaftsspionage, Aufsichtspflicht nach § 130 OWiG, Datenbankabgleich, Mitarbeiterscreening
  • Geolokalisierung, Standortkontrolle durch GPS, BGH vom 04.06.13
  • Zutrittskontrollsysteme, (verdeckte) Videoüberwachung am Arbeitsplatz, Datenschutzgrenzen, neue Rspr. BGH vom 24.05.13, OVG Niedersachen vom 29.9.2014
  • Rechtsfolgen unzulässiger Kontrolle, Beweisverwertungsverbote

GESTALTUNGSMODUL IT-NUTZUNG, KONTROLLE: Rechtssichere Gestaltung von

  • Betriebs-/Dienstvereinbarungen für die IT-Nutzung (insbes. E-Mail, Internet)
  • Einwilligungen der Mitarbeiter bei Privatnutzung

AKTUELLES SPECIAL: DATENVERARBEITUNG IM KFZ

  • Gläserne Autofahrer? – Rekonstruktion des Fahrverhaltens, Standortdaten (GPS) – Datenschutzproblematik, wem gehören die Daten?
  • Leasing- oder Mietfahrzeuge, Versicherungsverträge – "Pay as you Drive"
  • "Kommunizierende" Bordsysteme: Notrufsystem eCall, Übermittlung Unfalldaten
  • Muster-Information des VDA und der Datenschutz-Behörden
  • Einsatz von Dashcam (On-Board-Kamera) im Kfz, LG Heilbronn vom 17.2.15

IT-Sicherheit, Verschlüsselung, Filtersysteme

  • Erstellung Löschkonzept, Datenvernichtung – neuer Standard DIN 66399
  • Zulässigkeit von Deep Packet Inspection, Application Layer Firewalls
  • Verschlüsselungspflichten → True Crypt nicht mehr sicher? Ende-zu-Ende-Verschlüsselung aus eigener Hand
  • OpenSSL: Heartbleed-Bug gefährdet Verschlüsselung; Zulässigkeit TLS-Decryption
  • Contentfilter, Jugendschutz durch URL-Filter
  • SIEM – Security Information + Event Management, Protokollierung, Auswertung, IKS, rechtssicher umsetzen
  • Data Loss Prevention (DLP): Kommunikations- und Datei-Kontrolle
  • Das neue Internetprotokoll IPv6, technische Grundlagen, rechtliche Auswirkungen, Datenschutz

Zeitrahmen des 2. Seminartages

8.30 Empfang
9.00 Seminarbeginn
12.30 Gemeinsames Mittagessen
17.00 Ende des Seminars

An beiden Tagen werden Kaffepausen flexibel eingeplant.