IT Compliance Update

Aktuelle Entwicklungen bei Informationssicherheit, Richtlinien, Kontrolle, Datenschutz, Haftung EUROFORUM Praxis-SeminarStets individuell buchbar.

Stets individuell buchbar.

Bestimmen Sie, wo und wann Ihre Weiterbildung stattfindet!

Bei unseren individuellen Seminaren haben wir uns noch auf keinen Ort oder auf ein Datum festgelegt. Lassen Sie sich unverbindlich als Interessent/in für ein Thema aufnehmen und äußern Sie Wünsche, was Termin und Ort anbelangt. Gemeinsam mit Ihnen und unserem Trainernetzwerk finden wir dann den Termin, der Ihnen am besten passt.

Programm

Kompakteinstieg und Update

  • Begriff IT Compliance und interne Kontrollsysteme
  • Relevante Gesetze für IT Compliance, Datenschutz, Informationssicherheit
  • Grundbegriffe des Datenschutzes

Umfassendes Special:
BYOD (Bring Your Own Device) und Mobile Geräte

  • Verwendung privater Endgeräte, Fluch oder Segen?
  • Risiken und Sicherheitsanforderungen bei privaten Smartphones, Tablets etc.
  • Heterogene Gerätelandschaften, Zugriffsschutz, Verschlüsselung
  • Trennung privat-dienstlich durch Containerlösung, verschiedene Profile oder Clients
  • Mobile Device Management (MDM): Kontrolle, Remote-Löschung, Datenschutzprobleme
  • Rechtssichere Gestaltung durch Benutzer-Richtlinien, Betriebsvereinbarung und Einwilligung
  • Wer hat das Recht an den Daten? Herausgabe der Daten bei Ausscheiden
  • Lizenzproblematik – Rechtssichere Verwaltung von Apps
    • Lizenzierungsmodelle für Apps, Rechtsverstöße vermeiden, wer prüft die Lizenzen?
    • Sicherheitsrisiken von Apps, Prüfungspflichten der IT
    • Whitelist/Blacklist für Apps?
    • Zulässigkeit von Jailbreaks
    • Web oder App? Fragen zu Application Service Providing, SaaS
  • Notwendige Regeln für Homeoffice und Geschäftsreisen
  • Haftungsfragen BYOD
    • Haftung des Arbeitgebers für Privatgeräte: Verlust, Beschädigung und Reparatur
    • Verletzung von vertraglichen Geheimhaltungspflichten, Vertragsstrafen
    • Eigenhaftung des Arbeitnehmers, z. B. für Roaming-Gebühren

Gestaltungsmodul Mobile

  • Benutzerrichtlinien BYOD und Mobile Geräte
  • Betriebsvereinbarung und Datenschutzeinwilligung
  • Disclaimer, Haftungsklausel für den Arbeitgeber
  • Benutzerrichtlinien für Homeoffice

Datenspionage, Geheimnisverrat, Know-how-Abfluss

  • Angriffe auf Datennetze aus dem Ausland, insbesondere China
  • USA-Patriot-Act – Durchgriff der US-Behörden auf Cloud Daten, Regelungen mit IT-Bezug, mögliche Schutzmaßnahmen
  • Juristische Reaktionsmöglichkeiten bei Geheimnisverrat im Unternehmen
  • Whistleblowing – Datenschutzkonforme Hinweissysteme durch Mitarbeiter, arbeitsrechtliche Grenzen
  • Sensibilisierung der Mitarbeiter: Geheimnisschutz durch Richtlinien und Arbeitsvertrag
  • Vertragsgestaltung für Zusammenarbeit mit Geschäftspartnern

Gestaltungsmodul Geheimschutz

  • Geheimschutzklauseln im Vertrag (Arbeitsvertrag + Dienstleistungsvertrag)
  • Verpflichtungserklärung auf Geheimhaltung und Datengeheimnis nach § 5 BDSG

Cloud Computing – Auftrags-DV – Datentransfer ins Ausland

  • Neuregelung der Auftrags-DV nach § 11 BDSG
    • Die zehn Pflichtklauseln, notwendige Anpassung der Altverträge
    • Kontrolle des Sicherheitskonzepts – Praktische Durchführung
  • Cloud Computing – Fragen zu Vertragsgestaltung und Datenschutz
    • Neue Orientierungshilfe Cloud Computing der Aufsichtsbehörden vom 26.09.11
    • Schadens- und Haftungsszenarien, Kontrolle in der Cloud
    • Insbesondere: Auslagerung der Buchhaltung, Archivierung, Personaldaten, CRM-Systeme etc.
  • Auslands-Datenverarbeitung
    • Zulässiger Datentransfer ins Ausland
    • Die neuen EU-Standardvertragsklauseln vom 15.05.10
  • Binding Corporate Rules (BCR)
    • Wichtige Inhalte nach den Working Papers der EU
    • Ablauf Genehmigungsverfahren, Erfahrungstipps
  • Funktion der Datenschutzerklärung (Privacy Policy)

Gestaltungsmodul Cloud

  • Zusatzvereinbarung für Auftrags-DV mit Dienstleister nach § 11 BDSG
  • Zusatzvereinbarung mit Auslandsdienstleister nach EU-Standardvertragsklauseln und Safe Harbor
  • Weltweite Datenschutzrichtlinien durch Binding Corporate Rules (BCR)

Social Media

  • Soziale Netze – Facebook, LinkedIn, YouTube etc., übliche Funktionalitäten
  • Risiken (Informations-Abfluss, Reputationsrisiken) und Verhaltensrichtlinien für Mitarbeiter
  • User Generated Content, urheberrechtswidriger Upload, Verwendung fremder Texte, Setzen von Links – Haftung für Blogeinträge, BGH vom 25.10.11
  • "Gefällt mir"-Button von Facebook, datenschutzrechtliche Zulässigkeit
  • Zulässigkeit der Geolokalisierung, IP-Adressen als personenbezogene Daten
  • Auswahl neuer Mitarbeiter, Möglichkeiten der Überprüfung, zulässige Internetrecherchen
  • Social Marketing und Targeting, neuer Gesetzentwurf des BMI: Datenschutz im Internet, neue Cookie-Richtlinie 2009/136/EG
  • Verwendung von Fotos, Bildern, Videos von Kunden/Mitarbeitern, Vorgaben des KUG, notwendige Einwilligungen
  • Webtracking-Tools, Google-Analytics: Einigung mit Behörden, rechtskonforme Lösung

Gestaltungsmodul Social Media

  • Social Media Guidelines für Mitarbeiter
  • Ethik- und Verhaltensrichtlinien
  • Datenschutzerklärung, Privacy Policy

IT Compliance – zulässige Mitarbeiterkontrolle

  • Zulässige Kontroll- und Ermittlungsmaßnahmen im Unternehmen, Verhaltenskontrolle nach § 32 BDSG
  • Datenschutzkonforme Korruptionsbekämpfung, Abwehr Wirtschaftsspionage – Pflicht nach § 130 OWiG
  • Aktuelle Szenarien (Fall Bahn), legaler Datenbankabgleich, Mitarbeiterscreening
  • Rechtskonforme Terrorbekämpfung, Exportkontrolle
    • Embargomaßnahmen zur Terrorismusbekämpfung, EG-Verordnungen 881/2002 und 2580/2001
    • UN-Sanktionslisten, Sperrlisten
    • Datenschutzkonformer Abgleich mit Mitarbeitern, Einsatz Prüfsoftware
  • Kontrollpflichten nach § 9 BDSG, rechtskonforme Zugangs- und Eingabekontrolle
  • Rechtmäßige Zutrittskontrollen, anonyme und personenbezogene Kontrolle von Logfiles/E-Mails
  • Rechtsfolgen unzulässiger Kontrolle, Beweisverwertungsverbote
  • Der Fluch des Admin – Marktübliche Kontroll- und Wartungssoftware, Helpdesk, VNC-Client

Novellierung Datenschutz – Neue EU-Datenschutzverordnung

  • Aktuell: Entwurf neue EU-Datenschutzverordnung vom 25.01.2012 – Unmittelbare Geltung in den Mitgliedsstaaten, was ändert sich?
  • Beschäftigtendatenschutzgesetz – Aktueller Stand, Umgang mit Personaldaten aus Social Media

IT-Nutzung am Arbeitsplatz, private Nutzung

  • Privatnutzung am Arbeitsplatz, Arbeitgeber als TK-Provider, BAG-Rechtsprechung, Reichweite Fernmeldegeheimnis
  • Keine Geltung des Fernmeldegeheimnisses für private E-Mails, LAG Berlin-Brandenburg, VGH Hessen
  • Mitbestimmung, Duldung, betriebliche Übung, Kündigung bei missbräuchlicher Privatnutzung
  • Recht auf IT-Nutzung und Internet für Betriebsrat
  • Sanktionen bei Missbrauch der IT-Systeme, Überschreitung der Adminrechte
  • Betriebsvereinbarungen für die IT-Nutzung (insbesondere E-Mail, Internet), Legitimationsgrenzen, Einwilligungen der Mitarbeiter

Gestaltungsmodul Kontrolle

  • Betriebs-/Dienstvereinbarungen für die IT-Nutzung
  • Einwilligung der Mitarbeiter bei Privatnutzung

Risikomanagement – IT- und Datenschutz-Audits

  • IT-Sicherheits-Policy, notwendige Inhalte – Richtlinien für Gastzugänge, Gestaltungstipps aus der Praxis
  • Informationsmanagementsysteme (ISMS), Standards (ISO 27001, BSI, ITIL, ISO 20000 etc.)
  • Datenschutzprüfungen durch Datenschutzbeauftragte und Revision, Vorabkontrolle
  • Datenschutz-Baustein B 1.5 des BSI – Europäischer Datenschutzstandard, EuroPriSe
  • Vorgaben externer Auftraggeber, Anforderungskataloge der Wirtschaftsprüfer, IT-Systemprüfung, IDW-Standards (FAIT, IDW PS 330, PS 951, PS 980)
  • MaRisk und MaComp, Mindestanforderungen an Compliance, BaFin vom 07.06.10
  • Gesetzliche Pflichten zu Notfall- und Berechtigungskonzepten, Managementkonsolen
  • Rechtsprechung zum KonTraG (LG München I) – Keine Vorstandsentlastung ohne Risikomanagement
  • Rechtsvorteile der Standards, Zertifizierung (BSI, ISO, Cobit etc.) – Beweislastumkehr

Gestaltungsmodul Datenschutz

  • Verfahrensverzeichnis, Verfahrensbeschreibungen nach BDSG

Interne Kontrollsysteme (IKS) – Compliance-Tools – Managementsysteme

  • Dokumentation der IT-Infrastruktur, ganzheitliches Compliance Management System
  • Interne Kontrollsysteme (IKS) – Aufbau und Funktion, PDCA-Modell
  • Zusammenhang zwischen IT Compliance, IKS, Risikomanagement und IT Governance
  • Ermittlung der IT-Risiken – Der Baseline-Ansatz, ISO 13335-3
  • Kontrollmodelle zur Beschreibung betrieblicher Steuerungs- und Überwachungssysteme, Reifegradmodell, Schwachstellenanalyse
  • Standards, Frameworks für interne Kontrollsysteme – COSO-Modell und COBIT – Tragende Prinzipien, Prozessmodell, Control Objectives, Compliance-Reporting
  • Datenschutzkonforme Umsetzung, insbesondere Transaktionskontrollen
  • Marktübliche Tools für Compliance, Audits und Risikomanagement – Möglichkeiten und Grenzen
  • Einsatz der Tools planen und umsetzen, die richtige Lösung finden
  • Vorstellung GSTOOL des BSI und andere GRC-Tools

Rechtssichere Filter- und IT-Sicherheitssysteme, Data Loss Prevention

  • Data Loss Prevention (DLP) – Datenschutzkonforme Kommunikations- und File-Kontrolle
  • Identity- und Accessmanagement (IAM) – Rechtssichere Identitäts- und Berechtigungskontrolle
  • Rollenbasierte Rechteverwaltung, Gestaltung von Zugangs- und Zugriffsrechten, Tools für Berechtigungsmanagement
  • Jugendschutz am Arbeitsplatz – Notwendige technische Maßnahmen
  • URL- und Contentfilter, Spamfilter (Reputationfilter), Zugang von E-Mails trotz Filterung
  • Zulässigkeit Deep Packet Inspection, Application Layer
  • Firewalls, datenschutzkonformes https-Scanning
  • Das neue Internetprotokoll IPv6, rechtliche Auswirkungen

Gestaltungsmodul IT-Sicherheit

  • IT-Sicherheitsrichtlinien nach ISO 27000 und BSI
  • IT-Benutzerrichtlinien für Mitarbeiter
  • Benutzerrichtlinien für Gastzugänge von Besuchern und Geschäftspartnern

Gesetzliche Archivierungspflichten für E-Mails und Daten, DMS

  • E-Mail-Archivierung: Gesetzliche Pflichten, Gestaltung in der Betriebsvereinbarung
  • Lösung der Datenschutzproblematik, Trennung privater/dienstlicher Daten (E-Mails)
  • Archivierung in Bezug auf Instant Messaging und interne Social Media Plattformen
  • GDPdU – GoBS – Elektronische Betriebsprüfung, maschinelle Auswertbarkeit, GoBIT – Stand der Weiterentwicklung
  • GDPdU-Compliance – Zugriffsrechte Finanzamt, BFH-Entscheidung vom 09.02.11
  • Elektronisches Rechnungswesen
    • Elektronische Rechnungen stark vereinfacht und rentabel, Streichung der Signaturpflicht rückwirkend zum 01.07.11, neue Richtlinien des BMF vom 02.07.12
    • Neuregelung EDI-Verfahren
  • De-Mail-Gesetz und E-Post-Brief: Beweisführung mit elektronischen Dokumenten
  • E-Discovery – Vorlagepflichten von E-Mail im Prozess, Pre-Trial-Discovery nach US-Zivilprozessrecht, elektronische Beweismittelbeschaffung

Gestaltungsmodul DMS

  • Verfahrensdokumentation nach GoBS
  • Archivierungsrichtlinien für Daten und Dokumente

IT-Haftungsrisiken

  • Haftungsfalle IT-Sicherheit – Schadensbemessung bei Datenverlust
  • Eigenhaftung der IT-Verantwortlichen: innerbetrieblicher Schadensausgleich des BAG
  • Strafbarkeit: Garantenstellung des Compliance-Officers, BGH vom 17.07.09
  • Haftung für offene W-LAN und Internetplattformen, neueste BGH-Rechtsprechung
  • Managerhaftung im Wandel – Persönliche Haftung der Leitungsebene nach KonTraG
  • Störerhaftung des Admin-C für Domains des Arbeitgebers

Gestaltungsmodul Haftung

  • Haftungsfreistellungsklauseln für IT- und Datenschutzverantwortliche (Admin-C)
  • Funktions- und Stellenbeschreibungen für IT- und Datenschutzverantwortliche, Compliance-Officer

Ihr Vorteil: Integrierte Gestaltungsmodule
Die aufgeworfenen Rechtsfragen sollen auch aus Sicht der Gestaltung durch Richtlinien, Betriebsvereinbarungen und Einwilligungen dargestellt werden. Sie erhalten Gestaltungstipps, Musterformulierungen sowie Checklisten für Ihre tägliche Praxis!


Zeitrahmen des Seminars:

1. Tag:
09.00 Empfang mit Kaffee und Tee, Ausgabe der Tagungsunterlagen
09.30 Seminarbeginn
13.00 Gemeinsames Mittagessen
17.30 Ende des ersten Seminartages
Lassen Sie den ersten Seminartag bei einem gemeinsamen Umtrunk ausklingen

2. Tag:
08.30 Empfang mit Kaffee und Tee
09.00 Seminarbeginn
12.30 Gemeinsames Mittagessen
17.00 Ende des Seminars