IT Compliance Update

Aktuelle Entwicklungen bei Informationssicherheit, Richtlinien, Kontrolle, Datenschutz, Haftung EUROFORUM Praxis-SeminarStets individuell buchbar.

Stets individuell buchbar.

Bestimmen Sie, wo und wann Ihre Weiterbildung stattfindet!

Bei unseren individuellen Seminaren haben wir uns noch auf keinen Ort oder auf ein Datum festgelegt. Lassen Sie sich unverbindlich als Interessent/in für ein Thema aufnehmen und äußern Sie Wünsche, was Termin und Ort anbelangt. Gemeinsam mit Ihnen und unserem Trainernetzwerk finden wir dann den Termin, der Ihnen am besten passt.

Programm

Kompakteinstieg und Update

  • Begriff IT Compliance und interne Kontrollsysteme
  • Relevante Gesetze für IT Compliance, Datenschutz, Informationssicherheit
  • Grundbegriffe des Datenschutzes

Umfassendes Special
BYOD (Bring Your Own Device) und Mobile Geräte

  • Verwendung privater Endgeräte, Fluch oder Segen?
  • Risiken und Sicherheitsanforderungen bei privaten Smartphones, Tablets etc.; Schnüffel-Apps, Ausspionieren der Nutzer
  • Heterogene Gerätelandschaften, Zugriffsschutz, Verschlüsselung
  • Trennung privat-dienstlich durch Containerlösung (Good Client), verschiedene Profile oder Clients
  • Mobile Device Management (MDM): Kontrolle, Remote-Löschung, Datenschutzprobleme
  • Web oder App? – Terminalnutzung als Lösung
  • Rechtssichere Gestaltung durch Benutzer-Richtlinien, Nutzungsvereinbarung (Einwilligung) und Betriebsvereinbarung
  • Wer hat das Recht an den Daten? Herausgabe der Daten bei Ausscheiden
  • Lizenzproblematik – Rechtssichere Verwaltung von Apps
    • Lizenzierungsmodelle für Apps, Rechtsverstöße vermeiden, wer prüft die Lizenzen?
    • Sicherheitsrisiken von Apps, Prüfungspflichten der IT, Freigabeverfahren
    • Whitelist/Blacklist für Apps? Einbindung ins Lizenzmanagement
    • Zulässigkeit von Jailbreaks
  • Notwendige Regeln für Homeoffice und Geschäftsreisen
  • Haftungsfragen BYOD
    • Haftung des Arbeitgebers für Privatgeräte: Verlust, Beschädigung und Reparatur
    • Verletzung von vertraglichen Geheimhaltungspflichten, Vertragsstrafen
    • Eigenhaftung des Arbeitnehmers, z. B. für Roaming-Gebühren

Gestaltungsmodul Mobile Geräte

  • Benutzerrichtlinien BYOD und Mobile Geräte
  • Betriebsvereinbarung und Datenschutzeinwilligung
  • Disclaimer, Haftungsklausel für den Arbeitgeber
  • Benutzerrichtlinien für Homeoffice

Datenspionage, Geheimnisverrat, Know-how-Abfluss

  • Angriffe auf Datennetze aus dem Ausland, insbesondere China
  • USA-Patriot-Act – Durchgriff der US-Behörden auf Cloud Daten, Regelungen mit IT-Bezug, mögliche Schutzmaßnahmen
  • Juristische Reaktionsmöglichkeiten bei Geheimnisverrat im Unternehmen
  • Whistleblowing – Datenschutzkonforme Hinweissysteme durch Mitarbeiter, arbeitsrechtliche Grenzen
  • Sensibilisierung der Mitarbeiter: Geheimnisschutz durch Richtlinien und Arbeitsvertrag
  • Vertragsgestaltung für Zusammenarbeit mit Geschäftspartnern

Gestaltungsmodul Geheimschutz

  • Geheimschutzklauseln im Vertrag (Arbeitsvertrag + Dienstleistungsvertrag)
  • Verpflichtungserklärung auf Geheimhaltung und Datengeheimnis nach § 5 BDSG

Cloud Computing – Auftrags-DV – Datentransfer ins Ausland

  • Neuregelung der Auftrags-DV nach § 11 BDSG
    • Die zehn Pflichtklauseln, notwendige Anpassung der Altverträge
    • Kontrolle des Sicherheitskonzepts – Praktische Durchführung
  • Cloud Computing – Fragen zu Vertragsgestaltung und Datenschutz
    • Neue Orientierungshilfe Cloud Computing der Aufsichtsbehörden vom 26.09.11
    • Schadens- und Haftungsszenarien, Kontrolle in der Cloud
    • Insbesondere: Auslagerung der Buchhaltung, Archivierung, Personaldaten, CRM-Systeme etc.
  • Auslands-Datenverarbeitung
    • Zulässiger Datentransfer ins Ausland
    • Die neuen EU-Standardvertragsklauseln vom 15.05.10
  • Praxisbericht: Binding Corporate Rules (BCR)
    • Wesentliche Inhalte nach den Working Papers der EU
    • Praktische Umsetzung, Gestaltunsprozess
    • Ablauf Genehmigungsverfahren, Erfahrungstipps
  • Funktion der Datenschutzerklärung (Privacy Policy)

Gestaltungsmodul Cloud

  • Zusatzvereinbarung Auftrags-DV mit IT-Dienstleister nach § 11 BDSG
  • Zusatzvereinbarung mit Auslandsdienstleister nach EU-Standardvertragsklauseln und Safe Harbor
  • Binding Corporate Rules (BCR) – konzernweite Datenschutzrichtlinien

Social Media – Online-Werbung

  • Soziale Netze – Facebook, LinkedIn, YouTube etc., übliche Funktionalitäten, rechtliche Besonderheiten des Nutzungsvertrags
  • Risiken (Informations-Abfluss, Reputationsrisiken) und Verhaltensrichtlinien für Mitarbeiter, Social Media Guidelines (konkrete Musterbeispiele, umfassende Checkliste)
  • Grenzen der Verhaltenssteuerung – zulässige Kritik am Arbeitgeber (EuGH vom 21.07.11); fristlose Kündigung bei Beleidigungen (LAG Hamm vom 10.10.12)
  • Fanseiten bei Facebook, Zulässigkeit der Facebook-AGB, LG Berlin vom 06.03.12, Impressumspflicht, LG Aschaffenburg vom 19.08.11
  • User Generated Content, urheberrechtswidriger Upload, Verwendung fremder Texte, Setzen von Links – Haftung für Blogeinträge, BGH vom 25.10.11
  • "Gefällt mir"-Button von Facebook, datenschutzrechtliche Zulässigkeit
  • Zulässigkeit der Geolokalisierung, IP-Adressen als personenbezogene Daten
  • E-Recruiting-Plattformen – Auswahl neuer Mitarbeiter, Möglichkeiten der Überprüfung, zulässige Internetrecherchen
  • Social Marketing, Retargeting, Verwendung Cookies, neuer Gesetzentwurf des BMI: Datenschutz im Internet, neue Cookie-Richtlinie 2009/136/EG
  • Undercover-Marketing – vorgetäuschte Blogbeiträge, bezahlte Empfehlungen und Linksetzung, "Fake Banner"
  • Publikation von Fotos, Bildern, Videos von Mitarbeitern/ Kunden, Rechtslage bei YouTube, Vorgaben des KUG, notwendige Einwilligungen
  • Webtracking-Tools, Google-Analytics: Einigung mit Behörden, rechtskonforme Lösung

Gestaltungsmodul Social Media

  • Social Media Guidelines für Mitarbeiter Ethik- und Verhaltensrichtlinien
  • Datenschutzerklärung, Privacy Policy

IT Compliance – zulässige Mitarbeiterkontrolle

  • Zulässige Kontroll- und Ermittlungsmaßnahmen im Unternehmen, Verhaltenskontrolle nach § 32 BDSG
  • Kontrolle auf Social-Media, insbesondere Facebook, allgemein-zugängliche Daten? – Erste Rechtsprechung
  • Datenschutzkonforme Korruptionsbekämpfung, Abwehr Wirtschaftsspionage – Pflicht nach § 130 OWiG
  • Gängige Szenarien (z.B. Fall Bahn), legaler Datenbankabgleich, Mitarbeiterscreening
  • (Verdeckte) Videoüberwachung der Kunden und Mitarbeiter am Arbeitsplatz, Datenschutzgrenzen, neue Entscheidungen: BAG vom 21.06.12
  • Rechtskonforme Terrorbekämpfung, Exportkontrolle, EG-Verordnungen 881/2002 und 2580/2001, UN-Sanktionslisten, Sperrlisten
  • Kontrollpflichten nach § 9 BDSG, rechtskonforme Zugangs- und Eingabekontrolle
  • Rechtmäßige Zutrittskontrollen, anonyme und personenbezogene Kontrolle von Logfiles/E-Mails
  • Rechtsfolgen unzulässiger Kontrolle, Beweisverwertungsverbote
  • Der Fluch des Admin – Marktübliche Kontroll- und Wartungssoftware, Helpdesk, VNC-Client

Novellierung Datenschutz – Neue EU-Datenschutzverordnung

  • Aktuell: Entwurf neue EU-Datenschutzverordnung vom 25.01.2012 – Unmittelbare Geltung in den Mitgliedsstaaten, was ändert sich?
  • Maßgebliche Kritikpunkte: Stellungnahme der Konferenz der Datenschutzbeauftragten vom 11.06.2012
  • Kritik des BVerfG – Verlust des nationalen Grundrechtsschutzes
  • Privacy by Design – Datenschutz durch Technikgestaltung
  • Beschäftigtendatenschutzgesetz – Aktueller Stand

IT-Nutzung am Arbeitsplatz, private Nutzung

  • Privatnutzung am Arbeitsplatz, Arbeitgeber als TK-Provider, BAG-Rechtsprechung, Reichweite Fernmeldegeheimnis
  • Keine Geltung des Fernmeldegeheimnisses für private E-Mails, LAG Berlin-Brandenburg, VGH Hessen
  • Mitbestimmung, Duldung, betriebliche Übung, Kündigung bei missbräuchlicher Privatnutzung
  • Recht auf IT-Nutzung und Internet für Betriebsrat
  • Sanktionen bei Missbrauch der IT-Systeme, Überschreitung der Adminrechte
  • Betriebsvereinbarungen für die IT-Nutzung (insbesondere E-Mail, Internet), Legitimationsgrenzen, Einwilligungen der Mitarbeiter

Gestaltungsmodul Kontrolle

  • Betriebs-/Dienstvereinbarungen für die IT-Nutzung
  • Einwilligung der Mitarbeiter bei Privatnutzung

Risikomanagement – IT- und Datenschutz-Audits

  • IT-Sicherheits-Policy, notwendige Inhalte – Richtlinien für Gastzugänge, Gestaltungstipps aus der Praxis
  • Informationsmanagementsysteme (ISMS), Standards (ISO 27001, BSI, ITIL, ISO 20000 etc.)
  • Datenschutzprüfungen durch Datenschutzbeauftragte und Revision, Vorabkontrolle
  • Datenschutz-Baustein B 1.5 des BSI – Europäischer Datenschutzstandard, EuroPriSe
  • Vorgaben externer Auftraggeber, Anforderungskataloge der Wirtschaftsprüfer, IT-Systemprüfung, IDW-Standards (FAIT, IDW PS 330, PS 951, PS 980)
  • MaRisk und MaComp, Mindestanforderungen an Compliance, BaFin vom 07.06.10
  • Gesetzliche Pflichten zu Notfall- und Berechtigungskonzepten, Managementkonsolen
  • Rechtsprechung zum KonTraG (LG München I) – Keine Vorstandsentlastung ohne Risikomanagement
  • Rechtsvorteile der Standards, Zertifizierung (BSI, ISO, Cobit etc.) – Beweislastumkehr

Gestaltungsmodul Datenschutz

  • Verfahrensverzeichnis, Verfahrensbeschreibungen nach BDSG

Interne Kontrollsysteme (IKS) – Compliance-Tools – Managementsysteme

  • Dokumentation der IT-Infrastruktur, ganzheitliches Compliance Management System
  • Interne Kontrollsysteme (IKS) – Aufbau und Funktion, PDCA-Modell
  • Zusammenhang zwischen IT Compliance, IKS, Risikomanagement und IT Governance
  • Ermittlung der IT-Risiken – Der Baseline-Ansatz, ISO 13335-3
  • Kontrollmodelle zur Beschreibung betrieblicher Steuerungsund Überwachungssysteme, Reifegradmodell, Schwachstellenanalyse
  • Standards, Frameworks für interne Kontrollsysteme – COSO-Modell und COBIT – Tragende Prinzipien, Prozessmodell, Control Objectives, Compliance-Reporting
  • Datenschutzkonforme Umsetzung, insbesondere Transaktionskontrollen
  • Marktübliche Tools für Compliance, Audits und Risikomanagement – Möglichkeiten und Grenzen
  • Einsatz der Tools planen und umsetzen, die richtige Lösung finden
  • Vorstellung GSTOOL des BSI und andere GRC-Tools

Rechtssichere Filter- und IT-Sicherheitssysteme, Data Loss Prevention

  • Data Loss Prevention (DLP) – Datenschutzkonforme Kommunikations- und File-Kontrolle
  • SIEM – Security Information and Event Management rechtssicher umsetzen
  • Identity- und Accessmanagement (IAM) – Rechtssichere Identitäts- und Berechtigungskontrolle
  • Jugendschutz am Arbeitsplatz – Notwendige technische Maßnahmen
  • URL- und Contentfilter, Spamfilter (Reputationfilter), Zugang von E-Mails trotz Filterung
  • Zulässigkeit Deep Packet Inspection, Application Layer Firewalls, datenschutzkonformes https-Scanning
  • Das neue Internetprotokoll IPv6, rechtliche Auswirkungen

Gestaltungsmodul IT-Sicherheit

  • IT-Sicherheitsrichtlinien nach ISO 27000 und BSI
  • IT-Benutzerrichtlinien für Mitarbeiter
  • Benutzerrichtlinien für Gastzugänge von Besuchern und Geschäftspartnern

Gesetzliche Archivierungspflichten für E-Mails und Daten, DMS

  • E-Mail-Archivierung: Gesetzliche Pflichten, Gestaltung in der Betriebsvereinbarung
  • Lösung der Datenschutzproblematik, Trennung privater/dienstlicher Daten (E-Mails)
  • Archivierung in Bezug auf Instant Messaging und interne Social Media Plattformen
  • GDPdU – GoBS – Elektronische Betriebsprüfung, Zugriffsrechte Finanzamt, maschinelle Auswertbarkeit, GoBIT – Stand der Weiterentwicklung
  • GDPdU-Compliance – Zugriffsrechte Finanzamt, BFH‑Entscheidung vom 09.02.11
  • Elektronisches Rechnungswesen
    • Elektronische Rechnungen stark vereinfacht und rentabel, Streichung der Signaturpflicht rückwirkend zum 01.07.11, neue Richtlinien des BMF vom 02.07.12
    • Neuregelung EDI-Verfahren
  • De-Mail-Gesetz und E-Post-Brief: Beweisführung mit elektronischen Dokumenten
  • E-Discovery – Vorlagepflichten von E-Mail im Prozess, Pre-Trial-Discovery nach US-Zivilprozessrecht, elektronische Beweismittelbeschaffung

Gestaltungsmodul DMS

  • Verfahrensdokumentation nach GoBS
  • Archivierungsrichtlinien für Daten und Dokumente

IT-Haftungsrisiken

  • Haftungsfalle IT-Sicherheit – Schadensbemessung bei Datenverlust
  • Eigenhaftung der IT-Verantwortlichen: innerbetrieblicher Schadensausgleich des BAG
  • Strafbarkeit: Garantenstellung des Compliance-Officers, BGH vom 17.07.09
  • Haftung für offene W-LAN und Internetplattformen, neueste BGH-Rechtsprechung
  • Managerhaftung im Wandel – Persönliche Haftung der Leitungsebene nach KonTraG
  • Störerhaftung des Admin-C für Domains des Arbeitgebers

Gestaltungsmodul Haftung

  • Haftungsfreistellungsklauseln für IT- und Datenschutzverantwortliche (Admin-C)
  • Funktions- und Stellenbeschreibungen für IT- und Datenschutzverantwortliche, Compliance-Officer

Zeitrahmen

1. Seminartages
09.00 Empfang mit Kaffee und Tee, Ausgabe der Tagungsunterlagen
09.30 Seminarbeginn
13.00 Gemeinsames Mittagessen
17.30 Ende des ersten Seminartages
Lassen Sie den ersten Seminartag bei einem gemeinsamen Umtrunk ausklingen.

2. Seminartages:
08.30 Empfang mit Kaffee und Tee
09.00 Seminarbeginn
12.30 Gemeinsames Mittagessen
17.00 Ende des Seminars
An beiden Tagen werden Kaffepausen flexibel eingeplant.