IT Compliance Update

Aktuelle Entwicklungen bei Informationssicherheit, Richtlinien, Kontrolle, Datenschutz, Haftung EUROFORUM Praxis-SeminarBald wieder im Programm.

Bald wieder im Programm.

Programm

Kompakteinstieg und Update

  • Begriff IT Compliance und interne Kontrollsysteme
  • Relevante Gesetze für IT Compliance, Datenschutz, Informationssicherheit
  • Grundbegriffe des Datenschutzes

Datenspionage, Geheimnisverrat, Know-how-Abfluss

  • Angriffe auf Datennetze aus dem Ausland, insbesondere China
  • Wiki-Leaks, Stuxnet und die Folgen – Nationales Cyber-Abwehrzentrum
  • Juristische Reaktionsmöglichkeiten bei Geheimnisverrat im Unternehmen
  • Whistleblowing – Datenschutzkonforme Hinweissysteme durch Mitarbeiter, arbeitsrechtliche Grenzen
  • Sensibilisierung der Mitarbeiter: Geheimnisschutz durch Richtlinien und Arbeitsvertrag
  • Vertragsgestaltung für Zusammenarbeit mit Geschäftspartnern

Gestaltungsmodul Geheimschutz
Gestaltung von

  • Geheimschutzklauseln im Vertrag (Arbeitsvertrag + Dienstleistungsvertrag)
  • Verpflichtungserklärung auf Geheimhaltung und Datengeheimnis nach § 5 BDSG

Cloud Computing – Auftrags-DV – Datentransfer ins Ausland

  • Neuregelung der Auftrags-DV nach § 11 BDSG
    • Die zehn Pflichtklauseln, notwendige Anpassung der Altverträge
    • Kontrolle des Sicherheitskonzepts – Praktische Durchführung
  • Cloud Computing – Fragen zu Vertragsgestaltung und Datenschutz
    • Schadens- und Haftungsszenarien
    • Auslagerung der Buchhaltung, Personaldaten, CRM-Systeme
    • Kontrolle in der Cloud
  • Auslands-Datenverarbeitung
    • Zulässiger Datentransfer ins Ausland
    • Die neuen EU-Standardvertragsklauseln vom 15.05.10
  • Funktion der Datenschutzerklärung (Privacy Policy), Binding Corporate Rules (BCR)

Gestaltungsmodul Cloud
Gestaltung von

  • Zusatzvereinbarung für Auftrags-DV mit Dienstleister nach § 11 BDSG
  • Zusatzvereinbarung mit Auslandsdienstleister nach EU-Standardvertragsklauseln und Safe Harbor
  • Weltweite Datenschutzrichtlinien durch Binding Corporate Rules (BCR)

Soziale Netzwerke und Web 2.0

  • Soziale Netze – Facebook, LinkedIn, YouTube, etc., übliche Funktionalitäten (Profile, Statusmeldungen, Veröffentlichung)
  • Risiken (Informations-Abfluss, Reputationsrisiken) und Verhaltensrichtlinien für Mitarbeiter
  • User Generated Content, urheberrechtswidriger Upload, Verwendung fremder Texte, Setzen von Links – Haftungsprobleme
  • „Gefällt mir”-Button von Facebook, datenschutzrechtliche Zulässigkeit, LG Berlin vom 14.03.11
  • Auswahl neuer Mitarbeiter, Möglichkeiten der Überprüfung, zulässige Internetrecherchen
  • Social Marketing und Targeting, neuer Gesetzentwurf des BMI: Datenschutz im Internet
  • Verwendung von Fotos, Bildern, Videos von Kunden/Mitarbeitern, Vorgaben des KUG, notwendige Einwilligungen
  • Webtracking-Tools, Google-Analytics, Zulässigkeit der Geolokalisierung, IP-Adressen als personenbezogene Daten

Gestaltungsmodul Social Media
Gestaltung von

  • Social Media Guidelines für Mitarbeiter Ethik- und Verhaltensrichtlinien
  • Datenschutzerklärung, Privacy Policy

Mobile Computing – Bring your own device

  • Schwachstellen und Bedrohungsszenarien bei Laptop, Smartphone, iPad, insbesondere Diebstahl und Verlust
  • Mobile Sicherheit: Zugriffsschutz, Verschlüsselung, datenschutzkonforme Schnittstellenkontrolle (Device Control)
  • Notwendige Regeln für Homeoffice und Geschäftsreisen
  • Smartphones und Apps, rechtssichere Verwendung
  • Bring your own device – Verwendung privater Endgeräte
  • Rechtliche Rahmenbedingungen privater Nutzung, Weitergabe an Dritte
  • Kontrollmaßnahmen, Datenschutz auf mobilen Endgeräten, Reichweite Fernmeldegeheimnis

Gestaltungsmodul Mobile
Gestaltung von

  • Benutzerrichtlinien für mobile Einheiten, eigene Geräte
  • Benutzerrichtlinien für Homeoffice

IT Compliance – zulässige Mitarbeiterkontrolle

  • Zulässige Kontroll- und Ermittlungsmaßnahmen im Unternehmen, Verhaltenskontrolle nach dem neuen § 32 BDSG
  • Datenschutzkonforme Korruptionsbekämpfung, Abwehr Wirtschaftsspionage – Pflicht nach § 130 OWiG
  • aktuelle Szenarien, z. B. der Fall der Bahn, legaler Datenbankabgleich
  • Kontrollpflichten nach § 9 BDSG, rechtskonforme Zugangs- und Eingabekontrolle
  • Rechtmäßige Zutrittskontrollen; anonyme und personenbezogene Kontrolle von Logfiles/E-Mails
  • Rechtsfolgen unzulässiger Kontrolle, Beweisverwertungsverbote
  • Der Fluch des Admin – Marktübliche Kontroll- und Wartungssoftware, Helpdesk, VNC-Client

Das neue Beschäftigtendatenschutzgesetz – Novellierung des BDSG

  • Neue Informationspflichten bei Datenpannen nach § 42a BDSG, Haftung bei illegalem Datendiebstahl
  • Geplante Einführung des Arbeitnehmerdatenschutzes in das BDSG
  • Umgang mit Bewerberdaten, Medizinische Untersuchungen, Eignungstests
  • Nutzung von Telekommunikation und Telemedien am Arbeitsplatz, Neuregelung der privaten Nutzung
  • Neuer Kündigungsschutz und Fortbildungsanspruch des Datenschutzbeauftragten, verschärfter Bußgeldkatalog
  • Videoüberwachung von Arbeitnehmern, Biometrie, Ortungssysteme (GPS und RFID)

IT-Nutzung am Arbeitsplatz, private Nutzung

  • Privatnutzung am Arbeitsplatz, Arbeitgeber als TK-Provider, BAG-Rechtsprechung
  • Keine Geltung des Fernmeldegeheimnisses für private E-Mails, VGH Hessen vom 19.05.09
  • Mitbestimmung, Duldung, betriebliche Übung, Kündigung bei missbräuchlicher Privatnutzung
  • Recht auf IT-Nutzung und Internet für Betriebsrat, BAG vom 20.01.10
  • Sanktionen bei Missbrauch der IT-Systeme, Überschreitung der Adminrechte
  • Betriebsvereinbarungen für die IT-Nutzung (insbesondere E-Mail, Internet), Legitimationsgrenzen, Einwilligungen der Mitarbeiter

Gestaltungsmodul Kontrolle
Gestaltung von

  • Betriebs-/Dienstvereinbarungen für die IT-Nutzung
  • Einwilligungen der Mitarbeiter bei Privatnutzung

IT- und Datenschutz-Audits – Risikomanagement

  • IT-Sicherheits-Policy, notwendige Inhalte – Richtlinien für Gastzugänge, Gestaltungstipps aus der Praxis
  • Informationsmanagementsysteme (ISMS), Standards (BSI, ISO 27001 etc.)
  • Datenschutzprüfungen durch Datenschutzbeauftragte und Revision, Vorabkontrolle
  • Datenschutz-Baustein B 1.5 des BSI – europäischer Datenschutzstandard, EuroPriSe
  • Vorgaben externer Auftraggeber, Anforderungskataloge der Wirtschaftsprüfer, IDW-Standards (FAIT)
  • Gesetzliche Pflichten zu Notfall- und Berechtigungskonzepten, Managementkonsolen
  • Rechtsprechung zum KonTraG (LG München I) – Keine Vorstandsentlastung ohne Risikomanagement
  • Rechtsvorteile der Standards, Zertifizierung (BSI, ISO, Cobit etc.) – Beweislastumkehr

Gestaltungsmodul Datenschutz
Gestaltung von

  • Verfahrensverzeichnis, Verfahrensbeschreibungen nach BDSG

Interne Kontrollsysteme (IKS) – Einsatz von Compliance-Tools

  • Interne Kontrollsysteme (IKS) – Aufbau und Funktion
  • Zusammenhang zwischen IT Compliance, IKS, Risikomanagement und Corporate Governance
  • Kontrollmodelle zur Beschreibung betrieblicher Steuerungsund Überwachungssysteme
  • Standards für interne Kontrollsysteme – COSO-Modell und CobiT – Tragende Prinzipien
  • Datenschutzkonforme Umsetzung, insbesondere Transaktionskontrollen
  • Marktübliche Tools für Compliance, Audits und Risikomanagement – Möglichkeiten und Grenzen
  • Einsatz der Tools planen und umsetzen

Rechtssichere Filter- und IT-Sicherheitssysteme, Data Loss Prevention

  • Data Loss Prevention (DLP) – Datenschutzkonforme Kommunikations- und File-Kontrolle
  • Identity- und Accessmanagement (IAM) – Rechtssichere Identitäts- und Berechtigungskontrolle
  • Rollenbasierte Rechteverwaltung, Gestaltung von Zugangs- und Zugriffsrechten, Tools für Berechtigungsmanagement
  • Jugendschutz am Arbeitsplatz – Notwendige technische Maßnahmen, der neue Jugendmedienschutz-Staatsvertrag (JMStV)
  • URL- und Contentfilter, insbesondere Spamfilter (Reputationfilter), Zugang von E-Mails trotz Filterung, datenschutzkonformes https-Scanning

Gestaltungsmodul IT-Sicherheit
Gestaltung von

  • IT-Sicherheitsrichtlinien nach ISO 27000 und BSI
  • IT-Benutzerrichtlinien für Mitarbeiter
  • Benutzerrichtlinien für Gastzugänge von Besuchern und Geschäftspartnern

Gesetzliche Archivierungspflichten für E-Mails und Daten, DMS

  • E-Mail-Archivierung: Gesetzliche Pflichten, Gestaltung in der Betriebsvereinbarung
  • Lösung der Datenschutzproblematik, Trennung privater/dienstlicher Daten (E-Mails)
  • Archivierung in Bezug auf Instant Messaging und interne Social Media Plattformen
  • GDPdU – GoBS – GoBIT – Elektronische Betriebsprüfung, Zugriffsrechte Finanzamt, maschinelle Auswertbarkeit
  • Elektronisches Rechnungswesen, Neuregelung EDIVerfahren, Streichung der Signaturpflicht
  • De-Mail-Gesetz und E-Post-Brief: Beweisführung mit elektronischen Dokumenten
  • E-Discovery – Vorlagepflichten von E-Mail im Prozess, elektronische Beweismittelbeschaffung

Gestaltungsmodul DMS
Gestaltung von

  • Verfahrensdokumentation nach GoBS
  • Archivierungsrichtlinien für Daten und Dokumente

IT-Haftungsrisiken

  • Haftungsfalle IT-Sicherheit – Schadensbemessung bei Datenverlust
  • Eigenhaftung der IT-Verantwortlichen, Garantenstellung des Compliance-Officers, BGH vom 17.07.09
  • Haftung für offene W-LAN, BGH vom 12.05.2010
  • Managerhaftung im Wandel – Persönliche Haftung der Leitungsebene
  • Störerhaftung des Admin-C für Domains des Arbeitgebers

Gestaltungsmodul Haftung
Gestaltung von

  • Haftungsfreistellungsklauseln für IT- und Datenschutzverantwortliche (Admin-C)
  • Funktions- und Stellenbeschreibungen für IT- und Datenschutzverantwortliche, Compliance-Officer

Ihr Tagungshotel
Am Abend des ersten Seminartages lädt Sie das Pullman Cologne herzlich zu einem Umtrunk ein.

Zeitrahmen des Seminars

1. Tag: 
09.00 Empfang mit Kaffee und Tee, Ausgabe der Tagungsunterlagen
09.30 Seminarbeginn
13.00 Gemeinsames Mittagessen
17.30 Ende des ersten Seminartages

2.Tag:
08.30 Empfang mit Kaffee und Tee
09.00 Seminarbeginn
12.30 Gemeinsames Mittagessen
17.00 Ende des Seminars

Am Vor- und Nachmittag sind flexible Kaffeepausen vorgesehen.