IT Compliance Update

Aktuelle Entwicklungen bei Informationssicherheit, Richtlinien, Kontrolle, Datenschutz, Haftung EUROFORUM SeminarBald wieder im Programm.

Bald wieder im Programm.

Programm

Kompakteinstieg und Update

  • Begriff IT Compliance und interne Kontrollsysteme
  • Relevante Gesetze für IT Compliance, Datenschutz, Informationssicherheit
  • Grundbegriffe des Datenschutzes

Datenspionage, Geheimnisverrat, Know-how-Abfluss

  • Angriffe auf Datennetze aus dem Ausland, insbesondere China
  • USA-Patriot-Act – Durchgriff der US-Behörden auf Cloud Daten, Regelungen mit IT-Bezug, mögliche Schutzmaßnahmen
  • Wiki-Leaks, Stuxnet und die Folgen – Nationales Cyber-Abwehrzentrum
  • Juristische Reaktionsmöglichkeiten bei Geheimnisverrat im Unternehmen
  • Whistleblowing – Datenschutzkonforme Hinweissysteme durch Mitarbeiter, arbeitsrechtliche Grenzen
  • Sensibilisierung der Mitarbeiter: Geheimnisschutz durch Richtlinien und Arbeitsvertrag
  • Vertragsgestaltung für Zusammenarbeit mit Geschäftspartnern

Gestaltungsmodul Geheimschutz

  • Geheimschutzklauseln im Vertrag (Arbeitsvertrag + Dienstleistungsvertrag)
  • Verpflichtungserklärung auf Geheimhaltung und Datengeheimnis nach § 5 BDSG

Cloud Computing – Auftrags-DV – Datentransfer ins Ausland

  • Neuregelung der Auftrags-DV nach § 11 BDSG
    • Die zehn Pflichtklauseln, notwendige Anpassung der Altverträge
    • Kontrolle des Sicherheitskonzepts – Praktische Durchführung
  • Cloud Computing – Fragen zu Vertragsgestaltung und Datenschutz
    • Neue Orientierungshilfe Cloud Computing der Aufsichtsbehörden vom 26.09.11
    • Schadens- und Haftungsszenarien, Kontrolle in der Cloud
    • Insbesondere: Auslagerung der Buchhaltung, Archivierung, Personaldaten, CRM-Systeme etc.
  • Auslands-Datenverarbeitung
    • Zulässiger Datentransfer ins Ausland
    • Die neuen EU-Standardvertragsklauseln vom 15.05.10
  • Binding Corporate Rules (BCR)
    • Wichtige Inhalte nach den Working Papers der EU
    • Ablauf Genehmigungsverfahren, Erfahrungstipps
  • Funktion der Datenschutzerklärung (Privacy Policy)

Gestaltungsmodul Cloud

  • Zusatzvereinbarung für Auftrags-DV mit Dienstleister nach § 11 BDSG
  • Zusatzvereinbarung mit Auslandsdienstleister nach EU-Standardvertragsklauseln und Safe Harbor
  • Weltweite Datenschutzrichtlinien durch Binding Corporate Rules (BCR)

Soziale Netzwerke und Web 2.0

  • Soziale Netze – Facebook, LinkedIn, YouTube etc., übliche Funktionalitäten (Profile, Statusmeldungen, Veröffentlichung)
  • Risiken (Informations-Abfluss, Reputationsrisiken) und Verhaltensrichtlinien für Mitarbeiter
  • User Generated Content, urheberrechtswidriger Upload, Verwendung fremder Texte, Setzen von Links – Haftungsprobleme
  • "Gefällt mir"-Button von Facebook, datenschutzrechtliche Zulässigkeit, LG Berlin vom 14.03.11, rechtskonforme Lösung
  • Zulässigkeit der Geolokalisierung, IP-Adressen als personenbezogene Daten
  • Auswahl neuer Mitarbeiter, Möglichkeiten der Überprüfung, zulässige Internetrecherchen
  • Social Marketing und Targeting, neuer Gesetzentwurf des BMI: Datenschutz im Internet, neue Cookie-Richtlinie 2009/136/EG
  • Verwendung von Fotos, Bildern, Videos von Kunden/ Mitarbeitern, Vorgaben des KUG, notwendige Einwilligungen
  • Webtracking-Tools, Google-Analytics: Einigung mit Behörden, rechtskonforme Lösung

Gestaltungsmodul Social Media

  • Social Media Guidelines für Mitarbeiter Ethik- und Verhaltensrichtlinien
  • Datenschutzerklärung, Privacy Policy

Mobile Computing – Bring your own device

  • Schwachstellen und Bedrohungsszenarien bei Laptop, Smartphone, Tablets, insbesondere Diebstahl und Verlust
  • Mobile Sicherheit: Zugriffsschutz, Verschlüsselung, datenschutzkonforme Schnittstellenkontrolle (Device Control)
  • Notwendige Regeln für Homeoffice und Geschäftsreisen
  • Smartphones und Apps, rechtssichere Verwendung
  • "Bring your own device" – Verwendung privater Endgeräte: Fluch oder Segen?
    • Juristische Risiken privater Datenträger
    • Wer hat das Recht an den Daten?
  • Rechtliche Rahmenbedingungen privater Nutzung, Weitergabe an Dritte
  • Kontrollmaßnahmen, Datenschutz auf mobilen Endgeräten, Reichweite Fernmeldegeheimnis

Gestaltungsmodul Mobile

  • Benutzerrichtlinien für mobile Einheiten, eigene Geräte
  • Benutzerrichtlinien für Homeoffice

IT Compliance – zulässige Mitarbeiterkontrolle

  • Zulässige Kontroll- und Ermittlungsmaßnahmen im Unternehmen, Verhaltenskontrolle nach dem neuen § 32 BDSG
  • Datenschutzkonforme Korruptionsbekämpfung, Abwehr Wirtschaftsspionage – Pflicht nach § 130 OWiG
  • Aktuelle Szenarien (Fall Bahn), legaler Datenbankabgleich, Mitarbeiterscreening
  • Rechtskonforme Terrorbekämpfung, Exportkontrolle
    • Embargomaßnahmen zur Terrorismusbekämpfung, EG‑Verordnungen 881/2002 und 2580/2001
    • UN-Sanktionslisten, Sperrlisten
    • Datenschutzkonformer Abgleich mit Mitarbeitern, Einsatz Prüfsoftware
  • Kontrollpflichten nach § 9 BDSG, rechtskonforme Zugangs- und Eingabekontrolle
  • Rechtmäßige Zutrittskontrollen; anonyme und personenbezogene Kontrolle von Logfiles/E-Mails
  • Rechtsfolgen unzulässiger Kontrolle, Beweisverwertungsverbote
  • Der Fluch des Admin – Marktübliche Kontroll- und Wartungssoftware, Helpdesk, VNC-Client

Das neue Beschäftigtendatenschutzgesetz – Novellierung des BDSG

  • Der neueste Entwurf vom 07.09.2011
  • Neue Informationspflichten, Haftungsfolgen bei Datenpannen nach § 42a BDSG
  • Umgang mit Bewerberdaten, medizinische Untersuchungen, Eignungstest
  • Neuregelung Telekommunikation und private Nutzung am Arbeitsplatz
  • Videoüberwachung Arbeitnehmer, Biometrie, Ortungssysteme (GPS, RFID)
  • Neue Leitlinien für DSB des Düsseldorfer Kreises, neuer Kündigungsschutz für DSB nach BAG-Rechtsprechung
  • Verschärfter Bußgeldkatalog

IT-Nutzung am Arbeitsplatz, private Nutzung

  • Privatnutzung am Arbeitsplatz, Arbeitgeber als TK-Provider, BAG-Rechtsprechung
  • Keine Geltung des Fernmeldegeheimnisses für private E-Mails, LAG Berlin-Brandenburg, VGH Hessen
  • Mitbestimmung, Duldung, betriebliche Übung, Kündigung bei missbräuchlicher Privatnutzung
  • Recht auf IT-Nutzung und Internet für Betriebsrat
  • Sanktionen bei Missbrauch der IT-Systeme, Überschreitung der Adminrechte
  • Betriebsvereinbarungen für die IT-Nutzung (insbesondere E-Mail, Internet), Legitimationsgrenzen, Einwilligungen der Mitarbeiter

Gestaltungsmodul Kontrolle

  • Betriebs-/Dienstvereinbarungen für die IT-Nutzung
  • Einwilligung der Mitarbeiter bei Privatnutzung

Risikomanagement – IT- und Datenschutz-Audits

  • IT-Sicherheits-Policy, notwendige Inhalte – Richtlinien für Gastzugänge, Gestaltungstipps aus der Praxis
  • Informationsmanagementsysteme (ISMS), Standards (ISO 27001, BSI, ITIL, ISO 20000 etc.)
  • Datenschutzprüfungen durch Datenschutzbeauftragte und Revision, Vorabkontrolle
  • Datenschutz-Baustein B 1.5 des BSI – europäischer Datenschutzstandard, EuroPriSe
  • Vorgaben externer Auftraggeber, Anforderungskataloge der Wirtschaftsprüfer, IT-Systemprüfung, IDW-Standards (FAIT, IDW PS 330, PS 951, PS 980)
  • MaRisk und MaComp, Mindestanforderungen an Compliance, BaFin vom 07.06.10
  • Gesetzliche Pflichten zu Notfall- und Berechtigungskonzepten, Managementkonsolen
  • Rechtsprechung zum KonTraG (LG München I) – Keine Vorstandsentlastung ohne Risikomanagement
  • Rechtsvorteile der Standards, Zertifizierung (BSI, ISO, Cobit etc.) – Beweislastumkehr

Gestaltungsmodul Datenschutz

  • Verfahrensverzeichnis, Verfahrensbeschreibungen nach BDSG

Interne Kontrollsysteme (IKS) – Compliance-Tools – Managementsysteme

  • Dokumentation der IT-Infrastruktur, ganzheitliches Compliance Management System
  • Interne Kontrollsysteme (IKS) – Aufbau und Funktion, PDCA-Modell
  • Zusammenhang zwischen IT-Compliance, IKS, Risikomanagement und IT Governance
  • Ermittlung der IT-Risiken – der Baseline-Ansatz, ISO 13335-3
  • Kontrollmodelle zur Beschreibung betrieblicher Steuerungs- und Überwachungssysteme, Reifegradmodell, Schwachstellenanalyse
  • Standards, Frameworks für interne Kontrollsysteme – COSO-Modell und COBIT – tragende Prinzipien, Prozessmodell, Control Objectives, Compliance-Reporting
  • Datenschutzkonforme Umsetzung, insbesondere Transaktionskontrollen
  • Marktübliche Tools für Compliance, Audits und Risikomanagement – Möglichkeiten und Grenzen
  • Einsatz der Tools planen und umsetzen, die richtige Lösung finden
  • Vorstellung GSTOOL des BSI und andere GRC-Tools

Rechtssichere Filter- und IT-Sicherheitssysteme, Data Loss Prevention

  • Data Loss Prevention (DLP) – Datenschutzkonforme Kommunikations- und File-Kontrolle
  • Identity- und Accessmanagement (IAM) – Rechtssichere Identitäts- und Berechtigungskontrolle
  • Rollenbasierte Rechteverwaltung, Gestaltung von Zugangs- und Zugriffsrechten, Tools für Berechtigungsmanagement
  • Jugendschutz am Arbeitsplatz – notwendige technische Maßnahmen
  • URL- und Contentfilter, Spamfilter (Reputationfilter), Zugang von E-Mails trotz Filterung
  • Zulässigkeit Deep Packet Inspection, Application Layer
  • Firewalls, datenschutzkonformes https-Scanning
  • Das neue Internetprotokoll IPv6, rechtliche Auswirkungen

Gestaltungsmodul IT-Sicherheit

  • IT-Sicherheitsrichtlinien nach ISO 27000 und BSI
  • IT-Benutzerrichtlinien für Mitarbeiter
  • Benutzerrichtlinien für Gastzugänge von Besuchern und Geschäftspartnern

Gesetzliche Archivierungspflichten für E-Mails und Daten, DMS

  • E-Mail-Archivierung: Gesetzliche Pflichten, Gestaltung in der Betriebsvereinbarung
  • Lösung der Datenschutzproblematik, Trennung privater/dienstlicher Daten (E-Mails)
  • Archivierung in Bezug auf Instant Messaging und interne Social Media Plattformen
  • GDPdU – GoBS – elektronische Betriebsprüfung, maschinelle Auswertbarkeit, GoBIT – Stand der Weiterentwicklung
  • GDPdU-Compliance – Zugriffsrechte Finanzamt, BFH‑Entscheidung vom 09.02.11
  • Elektronisches Rechnungswesen
    • Elektronische Rechnungen stark vereinfacht und rentabel, Streichung der Signaturpflicht rückwirkend zum 01.07.11, neuer Anforderungskatalog des BMF
    • Neuregelung EDI-Verfahren
  • De-Mail-Gesetz und E-Post-Brief: Beweisführung mit elektronischen Dokumenten
  • E-Discovery – Vorlagepflichten von E-Mail im Prozess, Pre-Trial-Discovery nach US-Zivilprozessrecht, elektronische Beweismittelbeschaffung

Gestaltungsmodul DMS

  • Verfahrensdokumentation nach GoBS
  • Archivierungsrichtlinien für Daten und Dokumente

IT-Haftungsrisiken

  • Haftungsfalle IT-Sicherheit – Schadensbemessung bei Datenverlust
  • Eigenhaftung der IT-Verantwortlichen: innerbetrieblicher Schadensausgleich des BAG
  • Strafbarkeit: Garantenstellung des Compliance-Officers, BGH vom 17.07.09
  • Haftung für offene W-LAN und Internetplattformen, neueste BGH-Rechtsprechung
  • Managerhaftung im Wandel – Persönliche Haftung der Leitungsebene nach KonTraG
  • Störerhaftung des Admin-C für Domains des Arbeitgebers

Gestaltungsmodul Haftung

  • Haftungsfreistellungsklauseln für IT- und Datenschutzverantwortliche (Admin-C)
  • Funktions- und Stellenbeschreibungen für IT- und Datenschutzverantwortliche, Compliance-Officer

Zeitrahmen des Seminars:

1. Tag: 

0 9.00 Empfang mit Kaffee und Tee, Ausgabe der Tagungsunterlagen
09.30 Seminarbeginn
13.00 Gemeinsames Mittagessen
17.30 Ende des ersten Seminartages

2. Tag:
0 8.30 Empfang mit Kaffee und Tee
09.00 Seminarbeginn
12.30 Gemeinsames Mittagessen
17.00 Ende des Seminars
Am Vor- und Nachmittag sind flexible Kaffeepausen vorgesehen.

Lassen Sie den ersten Seminartag bei einem gemeinsamen Umtrunk ausklingen.