IT Compliance Update

Aktuelle Entwicklungen bei Informationssicherheit, Richtlinien, Kontrolle, Datenschutz, Haftung EUROFORUM Praxis-SeminarBald wieder im Programm.

Bald wieder im Programm.

Programm

Kompakteinstieg

  • Begriff IT-Compliance und interne Kontrollsysteme
  • Relevante Gesetze für IT-Compliance, Datenschutz, Informationssicherheit
  • Grundbegriffe des Datenschutzes

Umfassendes Special : Mobile Ger äte + BYOD (Bring your own device)

  • Verwendung privater Endgeräte: Fluch oder Segen?
  • Risiken und Sicherheitsanforderungen bei privaten Smartphones, Tablets etc.; Zugriffsschutz, Verschlüsselung
  • Schnüffel-Apps, Ausspionieren der Nutzer
  • Trennung privat-dienstlich durch Containerlösung (Good Client)
  • Mobile Device Management (MDM): Kontrolle, Remote-Löschung, Datenschutzprobleme
  • Web oder App? Terminalnutzung als Lösung
  • Rechtssichere Gestaltung durch Nutzungsrichtlinie, Einwilligung, Betriebsvereinbarung
  • Wer hat das Recht an den Daten? Herausgabe der Daten bei Ausscheiden
  • Lizenzproblematik – Rechtssichere Verwaltung von Apps
    • Lizenzierungsmodelle für Apps, Rechtsverstöße vermeiden, wer prüft die Lizenzen?
    • Sicherheitsrisiken von Apps, Prüfungspflichten der IT, Freigabeverfahren
    • Whitelist/Blacklist für Apps? Einbindung ins Lizenzmanagement
    • Zulässigkeit von Jailbreaks
  • Notwendige Regeln für Homeoffice und Geschäftsreisen
  • Haftungsfragen BYOD
    • Haftung des Arbeitgebers für Privatgeräte: Verlust, Beschädigung und Reparatur
    • Verletzung von vertraglichen Geheimhaltungspflichten, Vertragsstrafen
    • Eigenhaftung des Arbeitnehmers, z. B. für Roaming-Gebühren

Gestaltungsmodul Mobile Geräte

  • Richtlinien, Nutzungsvereinbarung BYOD und mobile Geräte
  • Betriebsvereinbarung und Datenschutzeinwilligung
  • Disclaimer, Haftungsklausel für den Arbeitgeber
  • Benutzerrichtlinien für Homeoffice

Datenspionage, Geheimnisverrat, Know-how-Abfluss

  • Angriffe auf Datennetze aus dem Ausland, insbesondere China
  • USA-Patriot-Act – Durchgriff der US-Behörden auf Cloud Daten, mögliche Schutzmaßnahmen
  • Cyberwar – Wiki-Leaks, Stuxnet, Flame und die Folgen
  • Juristische Reaktionsmöglichkeiten bei Geheimnisverrat im Unternehmen
  • Whistleblowing – Datenschutzkonforme Hinweissysteme, arbeitsrechtliche Grenzen, WP 117, Düsseldorfer Kreis
  • Sensibilisierung der Mitarbeiter: Geheimnisschutz durch Richtlinien und Arbeitsvertrag
  • Vertragsgestaltung für Zusammenarbeit mit Geschäftspartnern

Gestaltungsmodul Geheimschutz

  • Geheimschutzklauseln im Vertrag (Arbeitsvertrag + Dienstleistungsvertrag)
  • Verpflichtungserklärungen auf Geheimhaltung und Datengeheimnis nach § 5 BDSG

Cloud Computing – Auftrags-DV – Datentransfer ins Ausland

  • Neuregelung der Auftrags-DV nach § 11 BDSG
    • Die zehn Pflichtklauseln, notwendige Anpassung der Altverträge
    • Kontrolle des Sicherheitskonzepts – Praktische Durchführung
  • Cloud Computing – Fragen zu Vertragsgestaltung und Datenschutz
    • Orientierungshilfe Cloud Computing der Aufsichtsbehörden vom 26.09.11
    • Schadens- und Haftungsszenarien, Kontrolle in der Cloud
    • Herausgabe von Daten bei Vertragsende + Insolvenz, OLG Düsseldorf vom 27.09.12
    • Insbesondere: Auslagerung der Buchhaltung, Archivierung, Personaldaten, CRM-Systeme etc.
  • Auslands-Datenverarbeitung
    • Zulässiger Datentransfer ins Ausland
    • Die neuen EU-Standardvertragsklauseln vom 15.05.10
  • Praxisbericht: Binding Corporate Rules (BCR)
    • Wesentliche Inhalte nach den Working Papers der EU
    • Praktische Umsetzung, Gestaltunsprozess
    • Ablauf Genehmigungsverfahren, Erfahrungstipps

Gestaltungsmodul Cloud

  • Zusatzvereinbarung Auftrags-DV mit IT-Dienstleister nach § 11 BDSG
  • Zusatzvereinbarung mit Auslandsdienstleister nach EU-Standardvertragsklauseln und Safe Harbor
  • Binding Corporate Rules (BCR) – Konzernweite Datenschutzrichtlinien

Social Media – Online-Werbung

  • Soziale Netze – Facebook, LinkedIn, YouTube etc., übliche Funktionalitäten, rechtliche Besonderheiten des Nutzungsvertrags, Dienste gegen Personendaten
  • Risiken (Informations-Abfluss, Reputationsrisiken) und Verhaltensrichtlinien für Mitarbeiter, Social Media Richtlinien (konkrete Musterbeispiele, umfassende Checkliste)
  • Grenzen der Verhaltenssteuerung – Zulässige Kritik am Arbeitgeber, EuGH vom 21.07.11; fristlose Kündigung bei Beleidigungen, LAG Hamm vom 10.10.12
  • Zulässigkeit der Apple-AGB, LG Berlin vom 30.04.13
  • Fanseiten bei Facebook, Zulässigkeit der Facebook-AGB, LG Berlin vom 06.03.12; Anwendbarkeit dt. Datenschutzrecht, VG Schleswig vom 14.02.13; Impressumspflicht, LG Regensburg vom 31.01.13;
  • BGH: Autocomplete – Persönlichkeitsrecht und Suchwortergänzung, Urteil vom 14.05.13
  • User Generated Content, urheberrechtswidriger Upload, Fremdtexte, Setzen von Links, BGH vom 12.07.12, Rapidshare – Haftung für Blogeinträge, BGH vom 25.10.11
  • Zulässigkeit von Bewertungsplattformen, Kundenbewertungen, Online-Pranger, OLG Düsseldorf vom 19.02.13, VGH BW vom 28.01.13
  • BGH: Framing - Einbindung von YouTube-Videos, Beschluss vom 16.05.13
  • "Gefällt mir"-Button von Facebook, datenschutzrechtliche Zulässigkeit
  • Zulässigkeit der Geolokalisierung, IP-Adressen als personenbezogene Daten
  • Publikation von Fotos, Bildern, Videos von Mitarbeitern/ Kunden, Rechtslage bei YouTube, Vorgaben des KUG, notwendige Einwilligungen
  • Webtracking-Tools, Google-Analytics: Einigung mit Behörden, rechtskonforme Lösung

Gestaltungsmodul Social Media

  • Social Media Guidelines für Mitarbeiter Ethik- und Verhaltensrichtlinien
  • Vertragsgestaltung Google-Analytics

Interne Ermittlungen und zulässige Mitarbeiterkontrolle

  • Zulässige Kontroll- und Ermittlungsmaßnahmen im Unternehmen, Verhaltenskontrolle nach § 32 BDSG, Kontrolle der Chatprotokolle, LAG Hamm vom 10.07.12
  • Kontrolle auf Social-Media, insbesondere Facebook, allgemein-zugängliche Daten? Erste Rechtsprechung
  • Datenschutzkonforme Korruptionsbekämpfung, Abwehr Wirtschaftsspionage – Pflicht nach § 130 OWiG
  • Gängige Szenarien (z. B. Fall Bahn), legaler Datenbankabgleich, Mitarbeiterscreening
  • (verdeckte) Videoüberwachung der Kunden und Mitarbeiter am Arbeitsplatz, Datenschutzgrenzen, neue Entscheidungen: BAG vom 21.06.12
  • Rechtskonforme Terrorbekämpfung, Exportkontrolle, EG-Verordnungen 881/2002 und 2580/2001, UN-Sanktionslisten, Sperrlisten
  • Kontrollpflichten nach § 9 BDSG, rechtskonforme Zugangs- und Eingabekontrolle
  • Rechtmäßige Zutrittskontrollsysteme; anonyme und personenbezogene Kontrolle von Logfiles/ E-Mails
  • Rechtsfolgen unzulässiger Kontrolle, Beweisverwertungsverbote
  • Der Fluch des Admin – marktübliche Kontroll- und Wartungssoftware, Helpdesk, VNC-Client

Update Datenschutz – Neue EU-Datenschutz-VO

  • Aktuell: neue EU-DatenschutzgrundVO vom 25.01.12 – Maßgebliche Änderungen, was kommt auf uns zu
  • Kritik: Konferenz der Datenschutzbeauftragten vom 11.06.12, Kritik BVerfG, Abschlussbericht EU-Parlament vom 13.01.13
  • Beschäftigtendatenschutzgesetz – Aktueller Stand
  • Big Data – Verarbeitung riesiger Datenmengen, Datenschutzproblematik
  • Double-opt-in-Verfahren – In Frage gestellt durch OLG München vom 27.09.12
  • Funktion der Datenschutzerklärung (Privacy Policy)
  • E-Recruiting-Plattformen – Online Bewerbungsverfahren, Datenschutzkonzept
  • Social Marketing, Retargeting, Verwendung Cookies, neue Cookie-Richtlinie 2009/136/EG
  • Undercover-Marketing – Vorgetäuschte Blogbeiträge, bezahlte Empfehlungen und Linksetzung, "Fake Banner"
  • Keyword-Advertising, Google Adwords, BGH vom 13.11.11 Bananabay, BGH vom 13.12.12 Most-Pralinen
  • Datenschutz-Einwilligung für Gewinnspiele, Telefonwerbung, KG Berlin vom 29.10.12

Gestaltungsmodul Datenschutz

  • Datenschutzkonzept E-Recruiting
  • Datenschutzerklärung, Privacy Policy
  • Verfahrensverzeichnis, Verfahrensbeschreibungen

IT-Nutzung am Arbeitsplatz, private Nutzung

  • Privatnutzung am Arbeitsplatz, Arbeitgeber als TK-Provider, BAG-Rechtsprechung, Reichweite Fernmeldegeheimnis
  • Keine Geltung des Fernmeldegeheimnisses für private E-Mails, LAG Berlin-Brandenburg vom 16.02.11, VGH Hessen
  • Ausscheidende Mitarbeiter, OLG Dresden vom 05.09.12, Löschung privater E-Mails
  • Mitbestimmung, Duldung, betriebliche Übung, Kündigung bei missbräuchlicher Privatnutzung
  • Sanktionen bei Missbrauch der IT-Systeme, Überschreitung der Adminrechte
  • Betriebsvereinbarungen für die IT-Nutzung (insbesondere E-Mail, Internet), Legitimationsgrenzen, Einwilligungen der Mitarbeiter

Gestaltungsmodul Kontrolle

  • Betriebs-/Dienstvereinbarungen für die IT-Nutzung
  • Einwilligung der Mitarbeiter bei Privatnutzung

Risikomanagement – ISMS – IT- und Datenschutz-Audits

  • IT-Sicherheitsrichtlinien, notwendige Inhalte – Richtlinien für Gastzugänge, Gestaltungstipps aus der Praxis
  • Informationsmanagementsysteme (ISMS), Standards (ISO 27001, BSI, COBIT 5, ITIL, ISO 20000 etc.)
  • Datenschutz-Audits durch DSB und Revision, Vorabkontrolle
  • Datenschutz-Baustein B 1.5 des BSI – Europäischer Datenschutzstandard, EuroPriSe
  • Softwarelizenz-Audits – Was ist erlaubt? Vertragsgestaltung, Datenschutzproblematik, Prävention durch Lizenzmanagement
  • Insolvenzfestigkeit von Softwareverträgen, LG München I vom 09.02.12, Software-Escrow
  • Vorgaben externer Auftraggeber, Anforderungskataloge der Wirtschaftsprüfer, IT-Systemprüfung, IDW-Standards (FAIT, IDW PS 330, PS 951, PS 980)
  • MaRisk und MaComp, Mindestanforderungen an Compliance, BaFin vom 07.06.10
  • Rechtsprechung zum KonTraG (LG München I) – Keine Vorstandsentlastung ohne Risikomanagement
  • Rechtsvorteile der Standards, Zertifizierung (BSI, ISO, Cobit etc.) – Beweislastumkehr

Interne Kontrollsysteme (IKS) – Compliance-Tools – Managementsysteme

  • Dokumentation der IT-Infrastruktur, ganzheitliches Compliance Management System
  • Interne Kontrollsysteme (IKS) – Aufbau und Funktion, PDCA-Modell
  • Zusammenhang zwischen IT-Compliance, IKS, Risikomanagement und IT Governance
  • Ermittlung der IT-Risiken – Der Baseline-Ansatz, ISO 13335-3
  • Kontrollmodelle zur Beschreibung betrieblicher Steuerungs- und Überwachungssysteme, Reifegradmodell, Schwachstellenanalyse
  • Standards, Frameworks für interne Kontrollsysteme – COSO-Modell und COBIT – Tragende Prinzipien, Prozessmodell, Control Objectives, Compliance-Reporting
  • Datenschutzkonforme Umsetzung, insbesondere Transaktionskontrollen
  • Marktübliche Tools für Compliance, Audits und Risikomanagement – Möglichkeiten und Grenzen
  • Einsatz der Tools planen und umsetzen, die richtige Lösung finden
  • Vorstellung GSTOOL des BSI und andere GRC-Tools

Rechtssichere Filter- und IT-Sicherheitssysteme, Data Loss Prevention

  • Data Loss Prevention (DLP) – Datenschutzkonforme Kommunikations- und File-Kontrolle
  • SIEM - Security Information and Event Management rechtssicher umsetzen
  • Identity- und Accessmanagement (IAM) – Rechtssichere Identitäts- und Berechtigungskontrolle
  • Jugendschutz am Arbeitsplatz, notwendige technische Maßnahmen
  • URL- und Contentfilter, Spamfilter (Reputationfilter), Zugang von E-Mails trotz Filterung
  • Datenvernichtung – Neue DIN-Vorschrift
  • Zulässigkeit Deep Packet Inspection, Application Layer Firewalls, datenschutzkonformes https-Scanning
  • Das neue Internetprotokoll IPv6, rechtliche Auswirkungen

Gestaltungsmodul IT-Sicherheit

  • IT-Sicherheitsrichtlinien nach ISO 27000 und BSI
  • IT-Benutzerrichtlinien für Mitarbeiter
  • Benutzerrichtlinien für Gastzugänge von Besuchern, Geschäftspartnern

GDPdU-Compliance, E-Mail-Archivierung, DMS

  • Aktuell: Neuer Entwurf GoBD des BFM vom April 2013: soll GDPdU GoBS ersetzen – Archivierung, elektronische Betriebsprüfung, maschinelle Auswertbarkeit, IKS, Einscannen etc.
  • Zugriffsrechte Finanzamt, BFH-Entscheidung vom 09.02.11
  • E-Mail-Archivierung: gesetzliche Pflichten, Gestaltung in der Betriebsvereinbarung, Lösung der Datenschutzproblematik
  • Elektronisches Rechnungswesen
    • Elektronische Rechnungen stark vereinfacht und rentabel, Streichung der Signaturpflicht rückwirkend zum 01.07.11, neue Richtlinie des BMF vom 02.07.12
    • Neuregelung EDI-Verfahren
  • Beweisführung mit elektronischen Dokumenten, De-Mail-Gesetz und E-Post-Brief

Gestaltungsmodul DMS

  • Verfahrensdokumentation nach GoBS
  • Archivierungsrichtlinien für Daten und Dokumente

IT-Haftungsrisiken

  • Schadensersatz bei Internetausfall, BGH vom 24.01.13
  • Haftungsfalle IT-Sicherheit – Schadensbemessung bei Datenverlust
  • Eigenhaftung der IT-Verantwortlichen: Innerbetrieblicher Schadensausgleich des BAG
  • Strafbare Datenlöschung durch Arbeitnehmer, OLG Nürnberg vom 23.01.13
  • Strafbarkeit: Garantenstellung des Compliance-Officers, BGH vom 17.07.09
  • Haftung des Admin-C, BGH vom 13.12.12
  • Haftung für offene W-LAN und Internetplattformen, neueste BGH-Rechtsprechung Filesharing vom 15.11.12
  • Managerhaftung im Wandel – Persönliche Haftung der Leitungsebene nach KonTraG

Gestaltungsmodul Haftung

  • Haftungsfreistellungsklauseln für IT- und Datenschutzverantwortliche (Admin-C)
  • Funktions- und Stellenbeschreibungen für IT- und Datenschutzverantwortliche, Compliance-Officer

Zeitrahmen

1. Seminartag
09.00 Empfang mit Kaffee und Tee, Ausgabe der Tagungsunterlagen
09.30 Seminarbeginn
13.00 Gemeinsames Mittagessen
17.30 Ende des ersten Seminartages

Lassen Sie den ersten Seminartag bei einem gemeinsamen Umtrunk ausklingen.

2. Seminartag
08.30 Empfang mit Kaffee und Tee
09.00 Seminarbeginn
12.30 Gemeinsames Mittagessen
17.00 Ende des Seminars

An beiden Tagen werden Kaffepausen flexibel eingeplant.