IT Compliance Update

Aktuelle Entwicklungen bei Informationssicherheit, Richtlinien, Kontrolle, Datenschutz, Haftung EUROFORUM Praxis-SeminarStets individuell buchbar.

Stets individuell buchbar.

Bestimmen Sie, wo und wann Ihre Weiterbildung stattfindet!

Bei unseren individuellen Seminaren haben wir uns noch auf keinen Ort oder auf ein Datum festgelegt. Lassen Sie sich unverbindlich als Interessent/in für ein Thema aufnehmen und äußern Sie Wünsche, was Termin und Ort anbelangt. Gemeinsam mit Ihnen und unserem Trainernetzwerk finden wir dann den Termin, der Ihnen am besten passt.

Programm

Kompakteinstieg

  • Begriff IT Compliance und interne Kontrollsysteme
  • Relevante Gesetze für IT Compliance, Datenschutz, Informationssicherheit
  • Grundbegriffe des Datenschutzes

NSA-Affäre : Datenspionage, Geheimnisverrat, Know-how-Abfluss

  • PRISM, Tempora, Echolon – organisierte Angriffe auf Daten und Netze, Wirtschaftsspionage aus dem Ausland, insbesondere USA und China
  • NSA – Skandal: Was dürfen Geheimdienste in den USA und Deutschland? Backdoors für Geheimdienste
  • Gesetzliche Regelungen – G10-Gesetz, Anti-Terrorismus-Gesetze
  • USA-Patriot-Act – FISA – Foreign Intelligence Surveillance Act/Court – Durchgriff der US-Behörden auf Cloud Daten
  • Welche internationalen Datenströme verwenden E-Mail/Internet, effiziente Schutzmaßnahmen, insbesondere Verschlüsselung
  • Cyberwar – militärische Angriffsszenarien, Stuxnet, Flame
  • Soziale Netze – Risiko Informations-Abfluss, Reputationsrisiken
  • Juristische Reaktionsmöglichkeiten bei Geheimnisverrat im Unternehmen
  • Whistleblowing – datenschutzkonforme Hinweissysteme, arbeitsrechtliche Grenzen, WP 117, Düsseldorfer Kreis
  • Sensibilisierung der Mitarbeiter: Geheimnisschutz durch Richtlinien und Arbeitsvertrag, Gestaltungstipps

Gestaltungsmodul Geheimschutz

  • Abwehr- und Geheimschutzklauseln in Cloud-Verträgen und Auftrags-DV
  • Verpflichtungserklärungen auf Datengeheimnis, Geheimhaltung im Arbeitsvertrag

Aktuelles Special: Softwarelizenz-Audits

  • Softwarelizenz-Audits Was kommt auf Sie zu? Vertragsgestaltung, Datenschutzproblematik, Prävention durch Lizenzmanagement
  • UsedSoft, EuGH vom 03.07.2012, BGH vom 17.07.13, zulässiger Handel mit Gebrauchtsoftware
  • Insolvenzfestigkeit von Softwareverträgen, LG München I vom 09.02.12, Software-Escrow

Mobile Geräte + BYOD (Bring your own device)

  • Verwendung privater Endgeräte, Fluch oder Segen?
  • Risiken und Sicherheitsanforderungen bei privaten Smartphones, Tablets etc.; Zugriffsschutz, Verschlüsselung, Schnüffel-Apps, vertragliche Geheimhaltungspflichten
  • Trennung privat-dienstlich durch Containerlösung (z. B. Good Client)
  • Mobile Device Management (MDM): Kontrolle, Remote-Löschung, Datenschutz
  • Wer hat das Recht an den Daten? Herausgabe der Daten bei Ausscheiden
  • Lizenzproblematik – Lizenzierungsmodelle, Freigabeverfahren für Apps, Whitelist/Blacklist für Apps? Jailbreaks
  • Web oder App? – Terminalnutzung als Lösung
  • Homeoffice und Geschäftsreisen: Web oder App? – Terminalnutzung
  • Haftung des Arbeitgebers für Privatgeräte (Verlust, Beschädigung), Eigenhaftung des Arbeitnehmers, z. B. für Roaming-Gebühren

Gestaltungsmodul Mobile Geräte – BYOD

  • Richtlinien, Nutzungsvereinbarung BYOD und mobile Geräte
  • Betriebsvereinbarung und Datenschutzeinwilligung
  • Disclaimer, Haftungsklausel für den Arbeitgeber

Cloud-Computing - Auftrags-DV - Datentransfer ins Ausland

  • Aktuell: Datenschutzbehörden setzten Safe-Harbor aus und stoppen Datentransfer in die USA; Pressemitteilung vom 24.07.13
  • Sichere Drittstaaten, z.B. Schweiz, die EU-Standardvertragsklauseln
    • Auftrags-DV nach § 11 BDSG schriftliche Zusatzvereinbarung, zehn Pflichtklauseln, Musterformulare, Gestaltungstipps
  • Cloud-Computing – Fragen zu Vertragsgestaltung und Datenschutz
    • Herausgabe von Daten bei Vertragsende + Insolvenz, OLG Düsseldorf vom 27.09.12
    • Insbesondere: Auslagerung der Buchhaltung, Archivierung, Personaldaten, CRM-Systeme etc.
  • Praxisbericht: Binding Corporate Rules (BC R)
    • Konzernweite Datenschutzrichtlinien, Praxisbericht aus zwei konkreten Genehmigungsverfahren
    • Wesentliche Inhalte der EU-Working Papers, das neue WP 195 vom 06.06.12, Gestaltungstipps für BCR
  • IT-Audit beim Dienstleister
    • Kontrolle des Sicherheitskonzepts, Vor-Ort-Kontrolle, Doku-Prüfung, praktische Durchführung, Prüfkataloge
    • Orientierungshilfe Cloud Computing der Aufsichtsbehörden

Gestaltungsmodul Cloud

  • Zusatzvereinbarung Auftrags-DV mit IT-Dienstleister nach § 11 BDSG
  • Zusatzvereinbarung mit Auslandsdienstleister nach EU-Standardvertragsklauseln und Safe Harbor
  • Binding Corporate Rules (BCR) – konzernweite Datenschutzrichtlinien

Social Media – Online-Werbung

  • Fanseiten bei Facebook, Zulässigkeit der Facebook-und Apple-AGB , LG Berlin vom 06.03.12 und 30.04.13; keine Haftung der Seitenbetreiber bei Datenschutzverstößen, VG Schl.-Holstein vom 09.10.13
  • Impressumspflicht, LG Regensburg vom 31.01.13
  • „Gefällt mir”-Button von Facebook, datenschutzrechtliche Zulässigkeit, Zulässigkeit Reichweitenanalyse
  • Facebook – Veröffentlichung privater Nachrichten unzulässig, OLG Hamburg vom 04.02.13
  • Social Shopping, Zulässigkeit von Personen- und Kundenbewertungen, Online-Pranger , OLG Düsseldorf vom 19.02.13, VGH BW vom 28.01.13, spickmich.de, iShareGossip.com
  • Webtracking-Tools, Tracking-Cookies, Google-Analytics: rechtskonforme Lösung durch Einigung mit Behörden, neue Fassung von Feb. 2013
  • Cookies – Umsetzung der „Cookie-Richtlinie“ 2009/136/EG, Einwilligungen der Nutzer durch Popup-Fenster, Gestaltungstipps
  • Funktion der Datenschutzerklärung (Privacy Policy), OLG Hamburg vom 27.06.13
  • Publikation von Fotos, Bildern, Videos von Mitarbeitern/Kunden, Rechtslage bei YouTube, Vorgaben des KUG , notwendige Einwilligungen
  • Risiken (Informations-Abfluss, Reputationsrisiken) und Social Media Richtlinien
  • Grenzen der Verhaltenssteuerung – zulässige Kritik am Arbeitgeber, fristlose Kündigung bei Beleidigungen

Gestaltungsmodul Social Media

  • Social Media Richtlinien für Mitarbeiter
  • Vertragsgestaltung Google-Analytics

Ihr Tagungshotel

Am Abend des ersten Veranstaltungstages lädt Sie das Maritim Hotel Frankfurt herzlich zu einem Umtrunk ein.

Zeitrahmen des 1. Seminartages

9.00 Empfang mit Kaffee und Tee, Ausgabe der Tagungsunterlagen
9.30 Seminarbeginn
13.00 Gemeinsames Mittagessen
17.30 Ende des ersten Seminartages
Lassen Sie den ersten Seminartag bei einem gemeinsamen Umtrunk ausklingen.

Update Datenschutz - neue EU-Datenschutz-VO

  • Aktuell: EU-Datenschutz-GrundVO, Änderungsentwurf vom 21.10.2013 – maßgebliche Inhalte, was kommt auf uns zu. Kritik: Konferenz der Datenschutzbeauftragten, BVerfG, Abschlussbericht EU-Parlament vom 13.01.13
  • Aktuell: anwendbares Datenschutzrecht: im internationalen Geschäftsverkehr, LG Berlin vom 30.04.13; Anwendbarkeit dt. Datenschutzrecht, OVG Schl.-Holstein vom 22.04.13
  • Big Data – Verarbeitung riesiger Datenmengen, Datenschutzproblematik
  • Neue Richtlinien der Datenschutzaufsicht zur Werbung vom Dez. 2013
  • Double-opt-in-Verfahren – in Frage gestellt durch OLG München vom 27.09.2012
  • E-Recruiting-Plattformen – Online Bewerbungsverfahren, Datenschutzkonzept

Gestaltungsmodul Datenschutz

  • Datenschutzerklärung, Privacy Policy
  • Verfahrensverzeichnis, Verfahrensbeschreibungen

IT-Nutzung am Arbeitsplatz, private Nutzung

  • Privatnutzung am Arbeitsplatz, Arbeitgeber als TK-Provider, BVerfG-Rechtsprechung zur Reichweite Fernmeldegeheimnis
  • Aktuell: Geltung des Fernmeldegeheimnisses für private E-Mails – Kippt die herrschende Meinung ? LAG Berlin-Brandenburg vom 16.02.11, VG Karlsruhe vom 27.5.13, Mappus-Entscheidung
  • Duldung, betriebliche Übung rechtssicher vermeiden
  • Ausscheidende Mitarbeiter, OLG Dresden vom 05.09.12, Löschung privater E-Mails; Löschungspflicht von Daten, LG Düsseldorf vom 10.04.13, LAG Hessen vom 24.01.12
  • Mitbestimmungsrechte, Kündigung bei missbräuchlicher Privatnutzung, Überschreitung der Adminrechte
  • Private Logfiles: nur 7 Tage Speicherung zur Systemsicherheit, OLG Frankfurt vom 28.08.13
  • Prüfungs- und Identifizierungspflichten bei WLAN-Hotspot, LG München vom 12.01.12
  • Geldwerter Vorteil durch Privatnutzung? Bedeutung des § 3 Nr. 45 EStG

Gestaltungsmodul Kontrolle

  • Betriebs-/Dienstvereinbarungen für die IT-Nutzung
  • Einwilligungen der Mitarbeiter bei Privatnutzung

Interne Ermittlungen und zulässige Mitarbeiterkontrolle

  • Zulässige Kontroll- und Ermittlungsmaßnahmen im Unternehmen, Verhaltenskontrolle nach § 32 BD SG, Kontrolle der Chatprotokolle, LAG Hamm vom 10.07.12
  • Mitarbeiterrecherchen in Sozialen Netzen, insbesondere Facebook, allgemein-zugängliche Daten?
  • Datenschutzkonforme Korruptionsbekämpfung, Abwehr Wirtschaftsspionage – Pflicht nach § 130 OWiG
  • Legaler Datenbankabgleich (z.B. Fall Bahn), Mitarbeiterscreening
  • Aktuell: Strafbarkeit der Geolokalisierung, Überwachung von Personen durch GPS-Empfänger, BGH vom 04.06.13
  • (Verdeckte) Videoüberwachung der Kunden und Mitarbeiter, Datenschutzgrenzen, BGH vom 24.05.13
  • Strafbarkeit nach § 201a StGB, Geldentschädigung bei unzulässiger Videoüberwachung
  • Rechtskonforme Terrorbekämpfung, Exportkontrollsysteme, EG-Verordnungen
  • Kontrollpflichten nach § 9 BD SG, Zugangs- und Eingabekontrolle, Zutrittskontrollsysteme; anonyme und personenbezogene Kontrolle von Logfiles/E-Mails
  • Admin-Zugriffe, Helpdesk, VNC-Client
  • Rechtsfolgen unzulässiger Kontrolle, Beweisverwertungsverbote

Risikomanagement – ISMS – IT- und Datenschutz-Audit

  • IT-Sicherheitsrichtlinien, notwendige Inhalte – Richtlinien für Gastzugänge, Gestaltungstipps aus der Praxis
  • Informationsmanagementsysteme (ISMS), Standards (ISO 27001, BSI, COBIT 5, ITIL, ISO 20000 etc.)
  • Aktuell: KRITIS – das neue IT-Sicherheitsgesetz für kritische Infrastrukturen, betroffene Branchen, IT-Sicherheits-Audits vorgeschrieben, Meldepflicht bei Störungen
  • IT-Audits erfolgreich bestehen – Vorgaben externer Auftraggeber, Anforderungskataloge der Wirtschaftsprüfer, IT-Systemprüfung, IDW-Standards (FAIT, IDW PS 330, PS 951, PS 980)
  • Datenschutz-Audits durch DSB und Revision; Datenschutzstandards: B 1.5 des BSI; EuroPriSe
  • MaRisk und MaComp, Mindestanforderungen an Compliance des BaFin
  • Informationspflichten bei Datenpannen nach § 42a BDSG, praktische Umsetzung im Unternehmen
  • Rechtsvorteile der Standards, Zertifizierung – Beweislastumkehr
  • Rechtsprechung zum KonTraG (LG München I) – keine Vorstandsentlastung ohne Risikomanagement

Interne Kontrollsysteme (IKS) – Compliance-Tools - Managementsysteme

  • Dokumentation der IT-Infrastruktur, ganzheitliches Compliance Management System
  • Interne Kontrollsysteme (IKS) – Aufbau und Funktion, PDCA-Modell
  • Zusammenhang zwischen IT Compliance, IKS, Risikomanagement und IT Governance
  • Ermittlung der IT-Risiken – der Baseline-Ansatz, ISO 13335-3
  • Kontrollmodelle zur Beschreibung betrieblicher Steuerungs- und Überwachungssysteme, Reifegradmodell, Schwachstellenanalyse
  • Standards, Frameworks für interne Kontrollsysteme – CO SO-Modell und COB IT – tragende Prinzipien, Prozessmodell, Control Objectives, Compliance-Reporting
  • IT Compliance-Tools – Best Practices, rechtssicherer Einsatz Vorstellung GSTOOL des BSI und andere GRC-Tools

Rechtssichere Filter- und IT-Sicherheitssysteme, Data Loss Prevention

  • Zulässigkeit von Deep Packet Inspection, Application Layer Firewalls, Zensur im Internet
  • Einsatz von URL- und Contentfiltern, datenschutzkonformes https-Scanning, Einsatz von Spamfiltern, Reputationfilter , Jugendschutz, notwendige Einsatz URL-Filter
  • SIEM – Security Information and Event Management, Protokollierung und Auswertung, rechtssicher umsetzen
  • Data Loss Prevention (DL P) – Datenschutzkonzept für die rechtssichere Kommunikations- und Datei-Kontrolle
  • Datenvernichtung – neue DIN-Vorschrift
  • Das neue Internetprotokoll IPv6, technische Grundlagen, rechtliche Auswirkungen, Datenschutz

Gestaltungsmodul IT-Sicherheit

  • IT-Sicherheitsrichtlinien nach ISO 27000 und BSI
  • IT-Benutzerrichtlinien für Mitarbeiter, Benutzerrichtlinien für Gastzugänge

GD PdU-Compliance, E-Mail-Archivierung, DMS

  • Aktuell: Neuer Entwurf GoBD des BFM vom April 2013: soll GDPdU – GoBS ersetzen – Archivierung, elektronische Betriebsprüfung, maschinelle Auswertbarkeit, IKS, Einscannen etc.
  • GDPdU-Compliance – Zugriffsrechte Finanzamt, BFH-Rechtsprechung
  • E-Mail-Archivierung: gesetzliche Aufbewahrungspflichten, Gestaltung in der Betriebsvereinbarung, Lösung der Datenschutzproblematik
  • Elektronisches Rechnungswesen
    • Elektronische Rechnungen stark vereinfacht, Streichung der Signaturpflicht, neue Richtlinie des BMF vom 02.07.12
    • Neuregelung EDI-Verfahren Beweisführung mit elektronischen Dokumenten, De-Mail-Gesetz

Gestaltungsmodul DMS

  • Verfahrensdokumentation nach GoBS
  • Archivierungsrichtlinien für Daten und Dokumente

IT-Haftungsrisiken

  • Haftungsfalle IT-Sicherheit – Schadensersatz bei Internetausfall, BGH vom 24.01.13, Schadensbemessung bei Datenverlust, Haftung bei fehlender Datensicherung, Eigentumsverletzung durch Datenlöschung
  • Aktuell: Haftung für User Generated Content: BGH vom 15.08.13, Rapidshare: umfassende Kontrolle der Blogeinträge – Haftung für Wiki-Einträge, OLG Stuttgart vom 02.10.13
  • Verantwortlichkeit für Links, Sinn von Disclaimern
  • Haftung für Empfehlungs-E-Mails Dritter, BGH vom 12.09.13
  • Störerhaftung für offene W-LAN und Filesharing, zumutbare Prüfungs- und Sicherungspflichten
  • Aktuell: BGH zu Google-Autocomplete – Suchwortergänzung, Persönlichkeitsrecht und Prüfungspflichten, Urteil vom 14.05.13
  • Eigenhaftung der IT-Verantwortlichen: innerbetrieblicher Schadensausgleich des BAG; Haftung des Admin-C, BGH vom 13.12.12
  • Strafbarkeit: bei Datenlöschung durch Arbeitnehmer, OLG Nürnberg vom 23.01.13; Garantenstellung des Compliance-Officers, BGH-Urteil
  • Managerhaftung – persönliche Haftung der Leitungsebene nach KonTraG

Gestaltungsmodul Haftung

  • Haftungsfreistellungsklauseln für IT- und Datenschutzverantwortliche (Admin-C)
  • Funktions- und Stellenbeschreibungen für IT- und Datenschutzverantwortliche, Compliance-Officer

Zeitrahmen des 2. Seminartages

8.30 Empfang mit Kaffee und Tee
9.00 Seminarbeginn
12.30 Gemeinsames Mittagessen
17.00 Ende des Seminars

An beiden Tagen werden Kaffepausen flexibel eingeplant.