EUROFORUM-Praxisseminar

IT Compliance Update

Aktuelle Entwicklungen bei Informationssicherheit, Richtlinien, Kontrolle, Datenschutz, Haftung EUROFORUM Praxis-SeminarBald wieder im Programm.

Bald wieder im Programm.

Programm

Kompakteinstieg

  • Begriffe IT Compliance und interne Kontrollsysteme
  • Relevante Gesetze für IT Compliance, Datenschutz, Informationssicherheit
  • Grundbegriffe des Datenschutzes

NSA-AFFÄRE: DATENSPIONAGE, GEHEIMNISVERRAT, KNOW-HOW-ABFLUSS

  • PRISM, Tempora, Echolon – organisierte Angriffe auf Daten und Netze, Wirtschaftsspionage aus dem Ausland, insbesondere USA und China
  • NSA-Skandal: Was dürfen Geheimdienste in den USA und Deutschland? Backdoors für Geheimdienste
  • Gesetzliche Regelungen – G10-Gesetz, Anti-Terrorismus-Gesetze
  • USA-Patriot-Act – FISA – Foreign Intelligence Surveillance Act/Court - Durchgriff der US-Behörden auf Cloud Daten
  • Aktuell: US-Gericht vom 29.04.14: Microsoft muss Daten auch aus EU-Standorten herausgeben
  • Welche internationalen Datenströme verwenden E-Mail/Internet, effiziente Schutzmaßnahmen, insbesondere Verschlüsselung?
  • Cyberwar – Stuxnet, Flame und die Folgen
  • Soziale Netze – Risiko Informations-Abfluss durch Chat, Blog, Diskussionsgruppen, Reputationsrisiken
  • Datenabfluss durch Nutzungsbedingungen bei Google Docs, Dropbox etc., E-Mail-Kontrolle bei Webmailern
  • Schnüffel-Apps, z. B. WhatsApp, Taschenlampen-App, Angry Birds etc.
  • Juristische Reaktionsmöglichkeiten bei Datenabfluss, Geheimnisverrat im Unternehmen
  • Whistleblowing – datenschutzkonforme Hinweissysteme, arbeitsrechtliche Grenzen, WP 117, Düsseldorfer Kreis
  • Sensibilisierung der Mitarbeiter – Geheimnisschutz durch Richtlinien und Arbeitsvertrag, Gestaltungstipps

Gestaltungsmodul Geheimschutz

  • Abwehr- und Geheimschutzklauseln in Cloud-Verträgen und Auftrags-DV
  • Geheimhaltungsvereinbarungen mit Geschäftspartnern Non-Disclosure-Agreeement
  • Verpflichtungserklärungen auf Datengeheimnis Geheimhaltung im Arbeitsvertrag

Aktuelles Special: Softwarelizenz-Audits

  • Softwarelizenz-Audits – Was kommt auf Sie zu? Vertragsgestaltung, Datenschutzproblematik, Prävention durch Lizenzmanagement
  • UsedSoft, EuGH vom 03.07.2012, BGH vom 17.07.13, zulässiger Handel mit Gebrauchtsoftware, Online-Erschöpfung
  • Insolvenzfestigkeit von Softwareverträgen, LG München I vom 09.02.12, Software-Escrow

Mobile Geräte + BYOD (Bring your own device)

  • Verwendung privater Endgeräte, Fluch oder Segen?
  • Risiken und Sicherheitsanforderungen bei privaten Smartphones, Tablets etc.; Zugriffsschutz, Verschlüsselung, Schnüffel-Apps, vertragliche Geheimhaltungspflichten
  • Trennung privat-dienstlich durch Containerlösung (z. B. Good Client)
  • Mobile Device Management (MDM): Kontrolle, Remote-Löschung
  • Wer hat das Recht an den Daten? Herausgabe der Daten bei Ausscheiden
  • Lizenzproblematik – Lizenzierungsmodelle, Freigabeverfahren für Apps, Whitelist/Blacklist für Apps? Jailbreaks
  • Homeoffice und Geschäftsreisen: Web oder App? – Terminalnutzung als Lösung
  • Haftung des Arbeitgebers für Privatgeräte (Verlust, Beschädigung), Roaming-Gebühren

Gestaltungsmodul Mobile Geräte – BYOD

  • Richtlinien, Nutzungsvereinbarung BYOD und mobile Geräte, Benutzerrichtlinien für Homeoffice
  • Betriebsvereinbarung und Datenschutzeinwilligung
  • Disclaimer, Haftungsklausel für den Arbeitgeber

Cloud-Computing - Auftrags-DV - Datentransfer ins Ausland

  • Aktuell: Datenschutzbehörden setzten Safe-Harbor aus und stoppen Datentransfer in die USA; Pressemitteilung vom 24.07.13
  • Zulässiger Datentransfer ins Ausland
    • Auftrags-DV nach § 11 BDSG, schriftliche Zusatzvereinbarung, zehn Pflichtklauseln, Musterformulare, Gestaltungstipps
    • Sichere Drittstaaten, z. B. Schweiz, EU-Standardvertragsklauseln
  • Cloud-Computing – Fragen zu Vertragsgestaltung und Datenschutz
    • Herausgabe von Daten bei Vertragsende + Insolvenz,
    • Insbesondere: Auslagerung ERP, HR und CRM
  • Praxisbericht: Binding Corporate Rules (BCR)
    • Konzernweite Datenschutzrichtlinien, Praxisbericht aus zwei konkreten Genehmigungsverfahren
    • EU-Working Papers, das neue WP 195
  • IT-Audit beim Dienstleister
    • Kontrolle des Sicherheitskonzepts, vor-Ort + Doku-Prüfung, praktische Durchführung, Prüfkataloge
    • Orientierungshilfe Cloud Computing der Aufsichtsbehörden

Gestaltungsmodul Cloud

  • Zusatzvereinbarung Auftrags-DV mit IT-Dienstleister nach § 11 BDSG
  • Zusatzvereinbarung mit Auslandsdienstleister nach EU – Standardvertragsklauseln und Safe Harbor
  • Binding Corporate Rules (BCR) – konzernweite Datenschutzrichtlinien

Social Media – Verhaltensrichtlinien

  • Aktuell: "Recht auf Vergessen", EuGH vom 13.05.14, Löschungsantrag bei Google
  • Fanpages bei Facebook, Zulässigkeit der Facebook-und Apple-AGB, LG Berlin vom 30.04.13; keine Haftung der Seitenbetreiber bei Datenschutzverstößen, VG Schl.-Holstein vom 09.10.13
  • Facebook – Veröffentlichung privater Nachrichten unzulässig, OLG Hamburg vom 04.02.13
  • "Gefällt mir"-Button von Facebook, datenschutzrechtliche Zulässigkeit, Zulässigkeit Reichweitenanalyse
  • Tell-a-friend-Funktion von Facebook rechtswidrig, KG Berlin vom 24.01.14, BGH vom 12.09.13
  • Unternehmensinterne Soziale Netzwerke, Auswertung des Nutzerverhaltens, Nutzungsrichtlinien
  • Personenbewertungsportale, Kundenbewertungen, Social Shopping, OLG Stuttgart vom 11.09.13
  • Social Media Richtlinien – notwendige Verhaltensrichtlinien für Mitarbeiter, konkrete Musterbeispiele, umfassende Checkliste
  • Grenzen der Verhaltenssteuerung – zulässige Kritik am Arbeitgeber
  • Publikation von Bildern, Videos von Mitarbeitern/Kunden auf YouTube, Webcams, Vorgaben des KUG, notwendige Einwilligungen
  • Framing – Einbindung von YouTube-Videos, BGH vom 16.05.13

Gestaltungsmodul Social Media

  • Social Media Richtlinien für Mitarbeiter
  • Vertragsgestaltung Google-Analytics

Online-Werbung, E-Commerce

  • Neue Richtlinien der Datenschutzaufsicht zur Werbung vom Dezember 2013
  • Listenprivileg, Datenhandel, Auswirkungen auf CRM-Systeme
  • Social Marketing, Retargeting, personalisierten Werbung
  • Cookies – Umsetzung der "Cookie-Richtlinie" 2009/136/EG, Einwilligungen der Nutzer durch Popup-Fenster, Gestaltungstipps
  • Funktion der Datenschutzerklärung (Privacy Policy), OLG Hamburg vom 27.06.2013
  • Webtracking-Tools, Tracking-Cookies, LG Frankfurt vom 18.02.2014, Geolokalisierung, Google-Analytics, rechtskonforme Lösung, neue Fassung von März 2013; Adobe Analytics, Hinweise des Bay. DSB vom Juni 2013
  • Aktuell: das neue Fernabsatzrecht 2014, Verbraucherrechterichtlinie 2011/83/EU umgesetzt, das neue Gesetz vom 13.06.2014 in Kraft, neue Widerrufsbelehrung, neues Muster, Gestaltungstipps
  • Button-Pflicht, erste Urteile: LG Berlin Urteil vom 17.07.2013, OLG Hamm vom 19.11.2013
  • Impressumspflicht für Facebook, Google,
  • Internationale Zuständigkeit deutscher Gerichte bei Rechtsverstößen im Internet

Gestaltungsmodul Datenschutz, E-Commerce

  • Datenschutzerklärung, Privacy Policy
  • Datenschutzeinwilligung der Kunden neue Widerrufsbelehrung, neues Muster

 

Zeitrahmen des 1. Seminartages:
9.00 Empfang mit Kaffee und Tee, Ausgabe der Tagungsunterlagen | 9.30 Seminarbeginn | 13.00 Gemeinsames Mittagessen
17.30 Ende des ersten Seminartages | Lassen Sie den ersten Seminartag bei einem gemeinsamen Umtrunk ausklingen.

Update Datenschutz – Neue Gesetze – EU-Datenschutz-VO

  • Aktuell: neue EU-DatenschutzgrundVO
    • Aktueller Stand LIBE-Ausschuss, EU-Parlament vom 12.03.2014, maßgebliche Inhalte, wie geht's weiter?
    • Kritik: insbesondere der Datenschutzbehörden, BVerfG
  • Urteil des EuGH vom 08.04.14 zur Vorratsdatenspeicherung
  • Anwendbarkeit dt. Datenschutzrecht, OVG Schl.-Holstein vom 22.04.13
  • E-Recruiting-Plattformen – Online Bewerbungsverfahren, Datenschutzkonzept
  • Das neue Internetprotokoll IPv6, technische Grundlagen, rechtliche Auswirkungen, Datenschutz
  • Aktuell: E-Government-Gesetz zum 01.08.2013 in Kraft getreten, Überblick zu den Neuregelungen, elektronische Schriftform

Aktuelles Special: Big Data und Datenschutz

  • Big Data – datenschutzkonformer Umgang mit riesigen Datenmengen
  • Datenerhebung, Verarbeitung und Aggregation der Daten
  • Möglichkeiten der Anonymisierung und Pseudonymisierung
  • rechtskonforme Analyse und Auswertung der Daten

IT-Nutzung am Arbeitsplatz, private Nutzung

  • Aktuell: Datenspeicherung im Kfz, Fehlermeldungen, Fahrverhalten, Standort (GPS), Muster-Information des VDA und der Datenschutz-Behörden
  • Privatnutzung am Arbeitsplatz, Arbeitgeber als TKProvider, BVerfG-Rechtsprechung zur Reichweite des Fernmeldegeheimnisses
  • Geltung des Fernmeldegeheimnisses für private E-Mails – Kippt die herrschende Meinung ? VG Karlsruhe vom 27.5.13, Mappus-Entscheidung
  • Duldung, betriebliche Übung " rechtssicher vermeiden
  • Ausscheidende Mitarbeiter, OLG Dresden vom 05.09.12, Löschung privater E-Mails; Löschungspflicht von Daten, LG Düsseldorf vom 10.04.13
  • Private Logfiles: Nur 7 Tage Speicherung, OLG Frankfurt vom 28.08.2013
  • Geldwerter Vorteil durch Privatnutzung? Bedeutung des § 3 Nr. 45 EStG

Gestaltungsmodul Kontrolle

  • Betriebs-/Dienstvereinbarungen für die IT-Nutzung
  • Einwilligungen der Mitarbeiter bei Privatnutzung

Interne Ermittlungen und zulässige Mitarbeiterkontrolle

  • Zulässige Kontroll- und Ermittlungsmaßnahmen im Unternehmen, Verhaltenskontrolle nach § 32 BDSG
  • Mitarbeiterrecherchen in Sozialen Netzen, insbesondere Facebook, allgemein-zugängliche Daten?
  • Datenschutzkonforme Korruptionsbekämpfung, Abwehr Wirtschaftsspionage – Pflicht nach § 130 OWiG
  • Legaler Datenbankabgleich (z. B. Fall Bahn), Mitarbeiterscreening
  • Aktuell: Strafbarkeit Geolokalisierung, Überwachung durch GPS-Empfänger, BGH vom 04.06.13
  • (Verdeckte) Videoüberwachung der Kunden und Mitarbeiter, Datenschutzgrenzen, BGH vom 24.05.13
  • Rechtskonforme Terrorbekämpfung, Exportkontrollsysteme, EG-Verordnungen
  • Zutrittskontrollsysteme; anonyme und personenbezogene Kontrolle von Logfiles/E-Mails
  • Rechtsfolgen unzulässiger Kontrolle, Beweisverwertungsverbote

Risikomanagement – ISMS – KRITIS – IT-Audit

  • Informationssicherheitsmanagementsystem (ISMS), Notfallkonzepte (BSI 100-4), Zusammenspiel mit Datenschutzmanagementsystem (DSMS)
  • Aktuell: KRITIS – das neue IT-Sicherheitsgesetz für kritische Infrastrukturen, Teil des neuen Koalitionsvertrages, ITSicherheits- Audits werden Pflicht, Meldepflicht bei Störungen
  • Standards für Informationssicherheit (BSI, ISO 27001, COBIT 5, ITIL, ISO 20000 etc.)
  • IT-Sicherheitsrichtlinien, Richtlinien für Gastzugänge
  • KonTraG – keine Vorstandsentlastung ohne Risikomanagement
  • MaRisk und MaComp, Mindestanforderungen an Compliance des BaFin
  • Krisenbewältigung bei Datenpannen, Informationspflichten nach § 42a BDSG
  • Messbarkeit des Datenschutz-Niveaus – Messkriterien und Messverfahren
  • Rechtsvorteile von Standards und Zertifizierung, Beweislastumkehr
  • IT-Audits erfolgreich bestehen – Anforderungen externer Auftraggeber, Wirtschaftsprüfer (IDW-Standard PS 330, PS 951, PS 980, FAIT)
  • Datenschutz-Standards und -Audits: B 1.5 des BSI; EuroPriSe

Interne Kontrollsysteme (IKS) – Compliance-Tools – Managementsysteme

  • Dokumentation der IT-Infrastruktur, ganzheitliches Compliance Management System
  • Interne Kontrollsysteme (IKS) – Aufbau und Funktion, PDCA-Modell
  • Ermittlung der IT-Risiken – Baseline-Ansatz
  • Kontrollmodelle für betriebliche Steuerungs- und Überwachungssysteme, Reifegradmodell, Schwachstellenanalyse
  • Standards, Frameworks für IKS - COSO-Modell und COBITProzessmodell, Control Objectives, Reporting
  • IT Compliance-Tools – Best Practices, Vorstellung GRC-Tools rechtssicherer Einsatz

Rechtssichere Filter- und IT-Sicherheitssysteme, Data Loss Prevention

  • Erstellung eines Löschkonzepts, Datenvernichtung – neuer Standard DIN 66399
  • Zulässigkeit von Deep Packet Inspection, Application Layer Firewalls, Zensur im Internet
  • Verschlüsselungspflichten " True Crypt " nicht mehr sicher?; Ende-zu-Ende-Verschlüsselung aus eigener Hand
  • Datenschutzkonformes SSL-/TLS-Decryption, Einsatz von Contentfiltern, Jugendschutz durch URL-Filter
  • SIEM – Security Information and Event Management, Protokollierung und Auswertung, Interne Kontrollsysteme (IKS), rechtssicher umsetzen
  • Data Loss Prevention (DLP) – Datenschutzkonzept

Gestaltungsmodul IT-Sicherheit

  • IT-Sicherheitsrichtlinien nach ISO 27000 und BSI
  • Einwilligungen der Mitarbeiter bei IT-Benutzerrichtlinien für Mitarbeiter Benutzerrichtlinien für Gastzugänge

GDPdU, E-Mail-Archivierung, DMS, Beweisführung

  • Aktuell: Neuer Entwurf GoBD des BFM vom April 2013: soll GDPdU – GoBS ersetzen
  • E-Mail-Archivierung: gesetzliche Aufbewahrungspflichten, Gestaltung in BV, Datenschutzproblematik
  • Elektronische Rechnungen stark vereinfacht, Streichung der Signaturpflicht, neue Richtlinie des BMF
  • Beweisführung mit elektronischen Dokumenten, Nachweis von Zugang und Identität, De-Mail-Gesetz

IT-Haftung

  • BGH vom 15.08.13, Rapidshare: Haftung für User Generated Content, Blogeinträge, Wikipedia, OLG Stuttgart vom 02.10.13
  • Haftung Online-Plattformen, Marktplätze wie eBay, Facebook, Haftung für Zugangskonten, VG Schl.-Holstein vom 09.10.13
  • Verantwortlichkeit für Links, EuGH vom 13.02.14 – Sinn von Disclaimern
  • BGH zu Google-Autocomplete – Suchwortergänzung
  • Störerhaftung für offene W-LAN, Filesharing, zumutbare Prüfungsund Sicherungspflichten, BGH vom 08.01.14
  • Keine Haftung für Streaming, Redtube, LG Hamburg vom 08.10.13
  • Schadensersatz bei Internetausfall, BGH vom 24.01.13, Geldentschädigung bei Online-Persönlichkeitsrechtsverletzungen, BGH vom 17.12.13
  • Schadensbemessung bei Datenverlust, Haftung bei fehlender Datensicherung, Eigentumsverletzung durch Datenlöschung
  • Eigenhaftung der IT-Verantwortlichen, Strafbarkeit des Compliance-Officers, DSB
  • Haftung des Admin-C, OLG Frankfurt vom 21.10.13, LG Potsdam vom 31.07.13
  • Managerhaftung – persönliche Haftung der Leitungsebene nach KonTraG

Gestaltungsmodul Haftung

  • Haftungsfreistellungsklauseln für IT- und Datenschutzverantwortliche (Admin-C)
  • Funktions- und Stellenbeschreibungen für IT- und Datenschutzverantwortliche, Compliance-Officer

 

Zeitrahmen des 2. Seminartages:
8.30 Empfang mit Kaffee und Tee | 9.00 Seminarbeginn | 12.30 Gemeinsames Mittagessen | 17.00 Ende des Seminars
An beiden Tagen werden Kaffepausen flexibel eingeplant.