EUROFORUM-Praxisseminar

IT Compliance Update

Aktuelle Entwicklungen bei Informationssicherheit, Richtlinien, Kontrolle, Datenschutz, Haftung EUROFORUM Praxis-SeminarStets individuell buchbar.

Stets individuell buchbar.

Bestimmen Sie, wo und wann Ihre Weiterbildung stattfindet!

Bei unseren individuellen Seminaren haben wir uns noch auf keinen Ort oder auf ein Datum festgelegt. Lassen Sie sich unverbindlich als Interessent/in für ein Thema aufnehmen und äußern Sie Wünsche, was Termin und Ort anbelangt. Gemeinsam mit Ihnen und unserem Trainernetzwerk finden wir dann den Termin, der Ihnen am besten passt.

Programm

Kompakteinstieg

  • Begriffe IT Compliance und interne Kontrollsysteme
  • Relevante Gesetze für IT Compliance, Datenschutz, Informationssicherheit
  • Grundbegriffe des Datenschutzes

NSA-AFFÄRE: DATENSPIONAGE, GEHEIMNISVERRAT, KNOW-HOW-ABFLUSS

  • PRISM, Tempora, Echolon – organisierte Angriffe auf Daten und Netze, Wirtschaftsspionage aus dem Ausland, insbesondere USA und China
  • NSA-Skandal: Was dürfen Geheimdienste in den USA und Deutschland? Backdoors für Geheimdienste
  • Gesetzliche Regelungen – G10-Gesetz, Anti-Terrorismus-Gesetze
  • USA-Patriot-Act – FISA – Foreign Intelligence Surveillance Act/Court - Durchgriff der US-Behörden auf Cloud Daten
  • Aktuell: US-Gericht vom 29.04.14: Microsoft muss Daten auch aus EU-Standorten herausgeben
  • Welche internationalen Datenströme verwenden E-Mail/Internet, effiziente Schutzmaßnahmen, insbesondere Verschlüsselung?
  • Cyberwar – Stuxnet, Flame und die Folgen
  • Soziale Netze – Risiko Informations-Abfluss durch Chat, Blog, Diskussionsgruppen, Reputationsrisiken
  • Datenabfluss durch Nutzungsbedingungen bei Google Docs, Dropbox etc., E-Mail-Kontrolle bei Webmailern
  • Schnüffel-Apps, z. B. WhatsApp, Taschenlampen-App, Angry Birds etc.
  • Juristische Reaktionsmöglichkeiten bei Datenabfluss, Geheimnisverrat im Unternehmen
  • Whistleblowing – datenschutzkonforme Hinweissysteme, arbeitsrechtliche Grenzen, WP 117, Düsseldorfer Kreis
  • Sensibilisierung der Mitarbeiter – Geheimnisschutz durch Richtlinien und Arbeitsvertrag, Gestaltungstipps

Gestaltungsmodul Geheimschutz

  • Abwehr- und Geheimschutzklauseln in Cloud-Verträgen und Auftrags-DV
  • Geheimhaltungsvereinbarungen mit Geschäftspartnern Non-Disclosure-Agreeement
  • Verpflichtungserklärungen auf Datengeheimnis Geheimhaltung im Arbeitsvertrag

Aktuelles Special: Softwarelizenz-Audits

  • Softwarelizenz-Audits – Was kommt auf Sie zu? Vertragsgestaltung, Datenschutzproblematik, Prävention durch Lizenzmanagement
  • UsedSoft, EuGH vom 03.07.2012, BGH vom 17.07.13, zulässiger Handel mit Gebrauchtsoftware, Online-Erschöpfung
  • Insolvenzfestigkeit von Softwareverträgen, LG München I vom 09.02.12, Software-Escrow

Mobile Geräte + BYOD (Bring your own device)

  • Verwendung privater Endgeräte, Fluch oder Segen?
  • Risiken und Sicherheitsanforderungen bei privaten Smartphones, Tablets etc.; Zugriffsschutz, Verschlüsselung, Schnüffel-Apps, vertragliche Geheimhaltungspflichten
  • Trennung privat-dienstlich durch Containerlösung (z. B. Good Client)
  • Mobile Device Management (MDM): Kontrolle, Remote-Löschung
  • Wer hat das Recht an den Daten? Herausgabe der Daten bei Ausscheiden
  • Lizenzproblematik – Lizenzierungsmodelle, Freigabeverfahren für Apps, Whitelist/Blacklist für Apps? Jailbreaks
  • Homeoffice und Geschäftsreisen: Web oder App? – Terminalnutzung als Lösung
  • Haftung des Arbeitgebers für Privatgeräte (Verlust, Beschädigung), Roaming-Gebühren

Gestaltungsmodul Mobile Geräte – BYOD

  • Richtlinien, Nutzungsvereinbarung BYOD und mobile Geräte, Benutzerrichtlinien für Homeoffice
  • Betriebsvereinbarung und Datenschutzeinwilligung
  • Disclaimer, Haftungsklausel für den Arbeitgeber

Cloud-Computing - Auftrags-DV - Datentransfer ins Ausland

  • Aktuell: Datenschutzbehörden setzten Safe-Harbor aus und stoppen Datentransfer in die USA; Pressemitteilung vom 24.07.13
  • Zulässiger Datentransfer ins Ausland
    • Auftrags-DV nach § 11 BDSG, schriftliche Zusatzvereinbarung, zehn Pflichtklauseln, Musterformulare, Gestaltungstipps
    • Sichere Drittstaaten, z. B. Schweiz, EU-Standardvertragsklauseln
  • Cloud-Computing – Fragen zu Vertragsgestaltung und Datenschutz
    • Herausgabe von Daten bei Vertragsende + Insolvenz,
    • Insbesondere: Auslagerung ERP, HR und CRM
  • Praxisbericht: Binding Corporate Rules (BCR)
    • Konzernweite Datenschutzrichtlinien, Praxisbericht aus zwei konkreten Genehmigungsverfahren
    • EU-Working Papers, das neue WP 195
  • IT-Audit beim Dienstleister
    • Kontrolle des Sicherheitskonzepts, vor-Ort + Doku-Prüfung, praktische Durchführung, Prüfkataloge
    • Orientierungshilfe Cloud Computing der Aufsichtsbehörden

Gestaltungsmodul Cloud

  • Zusatzvereinbarung Auftrags-DV mit IT-Dienstleister nach § 11 BDSG
  • Zusatzvereinbarung mit Auslandsdienstleister nach EU – Standardvertragsklauseln und Safe Harbor
  • Binding Corporate Rules (BCR) – konzernweite Datenschutzrichtlinien

Social Media – Verhaltensrichtlinien

  • Aktuell: "Recht auf Vergessen", EuGH vom 13.05.14, Löschungsantrag bei Google
  • Fanpages bei Facebook, Zulässigkeit der Facebook-und Apple-AGB, LG Berlin vom 30.04.13; keine Haftung der Seitenbetreiber bei Datenschutzverstößen, VG Schl.-Holstein vom 09.10.13
  • Facebook – Veröffentlichung privater Nachrichten unzulässig, OLG Hamburg vom 04.02.13
  • "Gefällt mir"-Button von Facebook, datenschutzrechtliche Zulässigkeit, Zulässigkeit Reichweitenanalyse
  • Tell-a-friend-Funktion von Facebook rechtswidrig, KG Berlin vom 24.01.14, BGH vom 12.09.13
  • Unternehmensinterne Soziale Netzwerke, Auswertung des Nutzerverhaltens, Nutzungsrichtlinien
  • Personenbewertungsportale, Kundenbewertungen, Social Shopping, OLG Stuttgart vom 11.09.13
  • Social Media Richtlinien – notwendige Verhaltensrichtlinien für Mitarbeiter, konkrete Musterbeispiele, umfassende Checkliste
  • Grenzen der Verhaltenssteuerung – zulässige Kritik am Arbeitgeber
  • Publikation von Bildern, Videos von Mitarbeitern/Kunden auf YouTube, Webcams, Vorgaben des KUG, notwendige Einwilligungen
  • Framing – Einbindung von YouTube-Videos, BGH vom 16.05.13

Gestaltungsmodul Social Media

  • Social Media Richtlinien für Mitarbeiter
  • Vertragsgestaltung Google-Analytics

Online-Werbung, E-Commerce

  • Neue Richtlinien der Datenschutzaufsicht zur Werbung vom Dezember 2013
  • Listenprivileg, Datenhandel, Auswirkungen auf CRM-Systeme
  • Social Marketing, Retargeting, personalisierten Werbung
  • Cookies – Umsetzung der "Cookie-Richtlinie" 2009/136/EG, Einwilligungen der Nutzer durch Popup-Fenster, Gestaltungstipps
  • Funktion der Datenschutzerklärung (Privacy Policy), OLG Hamburg vom 27.06.2013
  • Webtracking-Tools, Tracking-Cookies, LG Frankfurt vom 18.02.2014, Geolokalisierung, Google-Analytics, rechtskonforme Lösung, neue Fassung von März 2013; Adobe Analytics, Hinweise des Bay. DSB vom Juni 2013
  • Aktuell: das neue Fernabsatzrecht 2014, Verbraucherrechterichtlinie 2011/83/EU umgesetzt, das neue Gesetz vom 13.06.2014 in Kraft, neue Widerrufsbelehrung, neues Muster, Gestaltungstipps
  • Button-Pflicht, erste Urteile: LG Berlin Urteil vom 17.07.2013, OLG Hamm vom 19.11.2013
  • Impressumspflicht für Facebook, Google,
  • Internationale Zuständigkeit deutscher Gerichte bei Rechtsverstößen im Internet

Gestaltungsmodul Datenschutz, E-Commerce

  • Datenschutzerklärung, Privacy Policy
  • Datenschutzeinwilligung der Kunden neue Widerrufsbelehrung, neues Muster

 

Zeitrahmen des 1. Seminartages:
9.00 Empfang mit Kaffee und Tee, Ausgabe der Tagungsunterlagen | 9.30 Seminarbeginn | 13.00 Gemeinsames Mittagessen
17.30 Ende des ersten Seminartages | Lassen Sie den ersten Seminartag bei einem gemeinsamen Umtrunk ausklingen.

Update Datenschutz – Neue Gesetze – EU-Datenschutz-VO

  • Aktuell: neue EU-DatenschutzgrundVO
    • Aktueller Stand LIBE-Ausschuss, EU-Parlament vom 12.03.2014, maßgebliche Inhalte, wie geht's weiter?
    • Kritik: insbesondere der Datenschutzbehörden, BVerfG
  • Urteil des EuGH vom 08.04.14 zur Vorratsdatenspeicherung
  • Anwendbarkeit dt. Datenschutzrecht, OVG Schl.-Holstein vom 22.04.13
  • E-Recruiting-Plattformen – Online Bewerbungsverfahren, Datenschutzkonzept
  • Das neue Internetprotokoll IPv6, technische Grundlagen, rechtliche Auswirkungen, Datenschutz
  • Aktuell: E-Government-Gesetz zum 01.08.2013 in Kraft getreten, Überblick zu den Neuregelungen, elektronische Schriftform

Aktuelles Special: Big Data und Datenschutz

  • Big Data – datenschutzkonformer Umgang mit riesigen Datenmengen
  • Datenerhebung, Verarbeitung und Aggregation der Daten
  • Möglichkeiten der Anonymisierung und Pseudonymisierung
  • rechtskonforme Analyse und Auswertung der Daten

IT-Nutzung am Arbeitsplatz, private Nutzung

  • Aktuell: Datenspeicherung im Kfz, Fehlermeldungen, Fahrverhalten, Standort (GPS), Muster-Information des VDA und der Datenschutz-Behörden
  • Privatnutzung am Arbeitsplatz, Arbeitgeber als TKProvider, BVerfG-Rechtsprechung zur Reichweite des Fernmeldegeheimnisses
  • Geltung des Fernmeldegeheimnisses für private E-Mails – Kippt die herrschende Meinung ? VG Karlsruhe vom 27.5.13, Mappus-Entscheidung
  • Duldung, betriebliche Übung " rechtssicher vermeiden
  • Ausscheidende Mitarbeiter, OLG Dresden vom 05.09.12, Löschung privater E-Mails; Löschungspflicht von Daten, LG Düsseldorf vom 10.04.13
  • Private Logfiles: Nur 7 Tage Speicherung, OLG Frankfurt vom 28.08.2013
  • Geldwerter Vorteil durch Privatnutzung? Bedeutung des § 3 Nr. 45 EStG

Gestaltungsmodul Kontrolle

  • Betriebs-/Dienstvereinbarungen für die IT-Nutzung
  • Einwilligungen der Mitarbeiter bei Privatnutzung

Interne Ermittlungen und zulässige Mitarbeiterkontrolle

  • Zulässige Kontroll- und Ermittlungsmaßnahmen im Unternehmen, Verhaltenskontrolle nach § 32 BDSG
  • Mitarbeiterrecherchen in Sozialen Netzen, insbesondere Facebook, allgemein-zugängliche Daten?
  • Datenschutzkonforme Korruptionsbekämpfung, Abwehr Wirtschaftsspionage – Pflicht nach § 130 OWiG
  • Legaler Datenbankabgleich (z. B. Fall Bahn), Mitarbeiterscreening
  • Aktuell: Strafbarkeit Geolokalisierung, Überwachung durch GPS-Empfänger, BGH vom 04.06.13
  • (Verdeckte) Videoüberwachung der Kunden und Mitarbeiter, Datenschutzgrenzen, BGH vom 24.05.13
  • Rechtskonforme Terrorbekämpfung, Exportkontrollsysteme, EG-Verordnungen
  • Zutrittskontrollsysteme; anonyme und personenbezogene Kontrolle von Logfiles/E-Mails
  • Rechtsfolgen unzulässiger Kontrolle, Beweisverwertungsverbote

Risikomanagement – ISMS – KRITIS – IT-Audit

  • Informationssicherheitsmanagementsystem (ISMS), Notfallkonzepte (BSI 100-4), Zusammenspiel mit Datenschutzmanagementsystem (DSMS)
  • Aktuell: KRITIS – das neue IT-Sicherheitsgesetz für kritische Infrastrukturen, Teil des neuen Koalitionsvertrages, ITSicherheits- Audits werden Pflicht, Meldepflicht bei Störungen
  • Standards für Informationssicherheit (BSI, ISO 27001, COBIT 5, ITIL, ISO 20000 etc.)
  • IT-Sicherheitsrichtlinien, Richtlinien für Gastzugänge
  • KonTraG – keine Vorstandsentlastung ohne Risikomanagement
  • MaRisk und MaComp, Mindestanforderungen an Compliance des BaFin
  • Krisenbewältigung bei Datenpannen, Informationspflichten nach § 42a BDSG
  • Messbarkeit des Datenschutz-Niveaus – Messkriterien und Messverfahren
  • Rechtsvorteile von Standards und Zertifizierung, Beweislastumkehr
  • IT-Audits erfolgreich bestehen – Anforderungen externer Auftraggeber, Wirtschaftsprüfer (IDW-Standard PS 330, PS 951, PS 980, FAIT)
  • Datenschutz-Standards und -Audits: B 1.5 des BSI; EuroPriSe

Interne Kontrollsysteme (IKS) – Compliance-Tools – Managementsysteme

  • Dokumentation der IT-Infrastruktur, ganzheitliches Compliance Management System
  • Interne Kontrollsysteme (IKS) – Aufbau und Funktion, PDCA-Modell
  • Ermittlung der IT-Risiken – Baseline-Ansatz
  • Kontrollmodelle für betriebliche Steuerungs- und Überwachungssysteme, Reifegradmodell, Schwachstellenanalyse
  • Standards, Frameworks für IKS - COSO-Modell und COBITProzessmodell, Control Objectives, Reporting
  • IT Compliance-Tools – Best Practices, Vorstellung GRC-Tools rechtssicherer Einsatz

Rechtssichere Filter- und IT-Sicherheitssysteme, Data Loss Prevention

  • Erstellung eines Löschkonzepts, Datenvernichtung – neuer Standard DIN 66399
  • Zulässigkeit von Deep Packet Inspection, Application Layer Firewalls, Zensur im Internet
  • Verschlüsselungspflichten " True Crypt " nicht mehr sicher?; Ende-zu-Ende-Verschlüsselung aus eigener Hand
  • Datenschutzkonformes SSL-/TLS-Decryption, Einsatz von Contentfiltern, Jugendschutz durch URL-Filter
  • SIEM – Security Information and Event Management, Protokollierung und Auswertung, Interne Kontrollsysteme (IKS), rechtssicher umsetzen
  • Data Loss Prevention (DLP) – Datenschutzkonzept

Gestaltungsmodul IT-Sicherheit

  • IT-Sicherheitsrichtlinien nach ISO 27000 und BSI
  • Einwilligungen der Mitarbeiter bei IT-Benutzerrichtlinien für Mitarbeiter Benutzerrichtlinien für Gastzugänge

GDPdU, E-Mail-Archivierung, DMS, Beweisführung

  • Aktuell: Neuer Entwurf GoBD des BFM vom April 2013: soll GDPdU – GoBS ersetzen
  • E-Mail-Archivierung: gesetzliche Aufbewahrungspflichten, Gestaltung in BV, Datenschutzproblematik
  • Elektronische Rechnungen stark vereinfacht, Streichung der Signaturpflicht, neue Richtlinie des BMF
  • Beweisführung mit elektronischen Dokumenten, Nachweis von Zugang und Identität, De-Mail-Gesetz

IT-Haftung

  • BGH vom 15.08.13, Rapidshare: Haftung für User Generated Content, Blogeinträge, Wikipedia, OLG Stuttgart vom 02.10.13
  • Haftung Online-Plattformen, Marktplätze wie eBay, Facebook, Haftung für Zugangskonten, VG Schl.-Holstein vom 09.10.13
  • Verantwortlichkeit für Links, EuGH vom 13.02.14 – Sinn von Disclaimern
  • BGH zu Google-Autocomplete – Suchwortergänzung
  • Störerhaftung für offene W-LAN, Filesharing, zumutbare Prüfungsund Sicherungspflichten, BGH vom 08.01.14
  • Keine Haftung für Streaming, Redtube, LG Hamburg vom 08.10.13
  • Schadensersatz bei Internetausfall, BGH vom 24.01.13, Geldentschädigung bei Online-Persönlichkeitsrechtsverletzungen, BGH vom 17.12.13
  • Schadensbemessung bei Datenverlust, Haftung bei fehlender Datensicherung, Eigentumsverletzung durch Datenlöschung
  • Eigenhaftung der IT-Verantwortlichen, Strafbarkeit des Compliance-Officers, DSB
  • Haftung des Admin-C, OLG Frankfurt vom 21.10.13, LG Potsdam vom 31.07.13
  • Managerhaftung – persönliche Haftung der Leitungsebene nach KonTraG

Gestaltungsmodul Haftung

  • Haftungsfreistellungsklauseln für IT- und Datenschutzverantwortliche (Admin-C)
  • Funktions- und Stellenbeschreibungen für IT- und Datenschutzverantwortliche, Compliance-Officer

 

Zeitrahmen des 2. Seminartages:
8.30 Empfang mit Kaffee und Tee | 9.00 Seminarbeginn | 12.30 Gemeinsames Mittagessen | 17.00 Ende des Seminars
An beiden Tagen werden Kaffepausen flexibel eingeplant.