IT Compliance Update

Transkript

1 IT Compliance Update Aktuelle Entwicklungen bei Informationssicherheit, Richtlinien, Kontrolle, Datenschutz, Haftung BRINGEN SIE IHR WISSEN AUF DEN NEUESTEN STAND: Neues IT-Sicherheitsgesetz, Implementierung eines ISMS, Risiko-Analyse Richtlinien und Betriebsvereinbarungen für Gestaltung und Dokumentation von IT-Sicherheit, Einsatz von Compliance-Tools Softwarelizenz-Audits: Wie bereiten Sie sich optimal vor? Gebrauchtsoftware Neues W-LAN-Gesetz, Gesetz zur Vorratsdatenspeicherung, Stand der EU-Datenschutzverordnung Big Data SIEM Datenverarbeitung im Kfz Richtlinien für Mobile Geräte, BYOD und private Nutzung Cloud Computing, globaler Datentransfer, Binding Corporate Rules sicher umsetzen NSA-Affäre, Wirtschaftsspionage: Was dürfen Geheimdienste? Neue GoBD, Archivierungspflichten und elektronische Rechnungen Mitarbeiterkontrolle, Interne Ermittlungen datenschutzkonform umsetzen Online-Marketing, Cookies, Gestaltung der Datenschutzerklärung Social Media Richtlinien gestalten, Kontrollen in sozialen Netzen Haftungsrisiken für IT-Verantwortliche, IT-Sicherheitssysteme DIREKT IN DIE PRAXIS UMSETZBAR DURCH: Checklisten Gestaltungstipp Formulierungsvorschläge Mit allem Wichtigen zum neuen IT- Sicherheitsgesetz PRAXISSEMINAR 1. und 2. Dezember 2015 Frankfurt/Main 12. und 13. April 2016 Köln

2 1. TAG AKTUELLES SPECIAL: DAS NEUE IT-SICHERHEITSGESETZ VOM Auswirkungen auf Betreiber kritischer Infrastrukturen (KRITIS) Wer ist betroffen? Spezielle Rechtsverordnung, Ausnahme für Kleinunternehmen IT-Sicherheits-Audits nach ISO ff. gesetzliche Pflicht Branchenspezifische Sicherheitsstandards was ist Stand der Technik? Meldepflicht: BSI als zentrale Meldestelle für Sicherheits vorfälle Warn- und Alarmierungskontakte: gesetzliche Kommunikationsstruktur Korrespondierende NIS-Richtlinie der EU ISMS IKS - Risikomanagement Aufbau + Implementierung eines Information Security Management System (ISMS) nach ISO 27001/2 und BSI Standards für Informationssicherheit (BSI, ISO 27001) und Datenschutz Umsetzung eines internen Kontrollsystems (IKS), COSO-Modell, COBIT Kontrollmodelle für Steuerungs- und Überwachungs systeme: Reifegradmodell, Baseline-Ansatz, Schwach stellen analyse, PDCA-Modell Rollen und Funktionen, insbesondere der IT-Sicherheitsbeauftragte IT-Audits Externer erfolgreich bestehen, Wirtschaftsprüfer (PS 330, FAIT) Krisenbewältigung bei Datenpannen, Incidents, Informationspflichten nach 42a BDSG Messbarkeit des Datenschutz-Niveaus Messkriterien und Messverfahren Rechtsvorteile von Standards und Zertifizierung, Beweislastumkehr PRAXISÜBUNG: RISIKOMANAGEMENT ISMS Wichtige Geschäftsprozesse identifizieren Schwachstellen, Risiken, Bedrohungen analysieren, bewerten Eintrittswahrscheinlichkeit von Schäden Business-Impact-Analyse mögliche Auswirkungen feststellen Risikobewertung, Reporting und Risikoentscheidung IT-Compliance-Tools: Best Practices, Vorstellung GRC-Tools rechtssicherer Einsatz AKTUELLES SPECIAL: SOFTWARELIZENZ-AUDIT LIZENZMANAGEMENT SW-Lizenz-Audit: Was kommt auf Sie zu? Wie bereiten Sie sich optimal vor? Durchführung und Ablauf (Fragebögen, Vor-Ort-Begehung etc.) Gesetzlicher/ vertraglicher Anspruch auf Audit? BGH vom , zahlreiche Beispielsklauseln Datenschutzproblematik Einsatz Audit-Software, Praxisbeispiele Prävention durch Lizenzmanagement: Inventarisierung von SW + Lizenzen; Einsatz von Vermessungstools Lizenzierungsmodelle, CAL-Lizenzen, Konzernklauseln, Unterlizenzen nach Erlöschen der Hauptlizenz TOPAKTUELL: Gebrauchtsoftware wird verkehrsfähig: UsedSoft III, Online-Erschöpfung, Aufspaltung von Volumenlizenzen zulässig, BGH v Beweisproblematik: Lizenznachweis, Beweislast, Einscannen der Belege Verhandlungstaktik: selbsterzeugte Unterlagen als Kompromiss Abschlussvergleich: Musterformulierung, Nachlizenzierungen, Kostentragung MOBILE GERÄTE BYOD W-LAN Verwendung privater Endgeräte, Fluch oder Segen? Risiken und Sicherheitsanforderungen bei Smartphones, Tablets, BYOD etc.; Zugriffsschutz, Verschlüsselung, Schnüffel-Apps Trennung privat-dienstlich durch Containerlösung Mobile Device Management (MDM): Kontrolle, Remote- Löschung, Datenschutz Wer hat das Recht an den Daten? Herausgabe der Daten bei Ausscheiden Lizenzproblematik Lizenzierungsmodelle, Freigabeverfahren für Apps, Whitelist/Blacklist für Apps? Jailbreaks Homeoffice und Geschäftsreisen: Web oder App? Terminalnutzung Haftung des Arbeitgebers für Privatgeräte (Verlust, Beschädigung), Roaming-Gebühren AKTUELL: Neues W-LAN-Gesetz vom , bringt mehr Rechtssicherheit Neuregelung Störerhaftung für öffentliche W-LAN, Änderung Telemediengesetz Rspr. Störerhaftung für offene W-LAN, Filesharing, zumutbare Prüfungs- und Sicherungspflichten, BGH vom W-LAN, Gastzugänge rechtssicher umsetzen GESTALTUNGSMODUL ISMS: IT-Sicherheitsrichtlinien nach ISO und BSI IT-Benutzerrichtlinien für Mitarbeiter GESTALTUNGSMODUL MOBILE GERÄTE W-LAN: Praxis-Checkliste: Risikomanagement ISMS Richtlinien, Nutzungsvereinbarung Mobile Geräte, BYOD, Benutzerrichtlinien für Homeoffice Betriebsvereinbarung und Datenschutzeinwilligung Disclaimer, Haftungsklausel für den Arbeitgeber Nutzungsrichtlinien für Gastzugänge, W-LAN

3 GoBD - -Archivierung - DMS AKTUELL: Die neue GoBD des BMF vom : ersetzt die GDPdU/GoBS was ändert sich bei Archivierung, Einscannen etc.? -Archivierung: gesetzliche Aufbewahrungspflichten, Gestaltung in der Betriebsvereinbarung, Lösung der Datenschutzproblematik Elektronische Rechnungen stark vereinfacht, Streichung der Signaturpflicht, Richtlinie des BMF Beweiswert, Beweisführung mit elektronischen Dokumenten, D -Gesetz, Nachweis von Zugang/ Identität E-Recruiting-Plattformen, Online Bewerbung, elektronische Personalakte, Datenschutzkonzept Update Datenschutz Neue Gesetze EU-Datenschutz-VO AKTUELL: Neue EU-DatenschutzgrundVO Neuester Stand vom , maßgebliche Inhalte, wie geht s weiter? Kritik: insbesondere der Datenschutzbehörden, BVerfG Personenbezug von IP-Adressen, Düsseldorfer Kreis, BGH vom AKTUELL: Vorratsdatenspeicherung was kommt auf uns zu? Neuer Gesetzentwurf der Bundesregierung vom Urteil des EuGH vom , Rspr. des BVerfG Datenhehlerei: Ein neuer Straftatbestand AKTUELLES SPECIAL: BIG DATA UND DATENSCHUTZ Big Data datenschutzkonformer Umgang mit großen Datenmengen Aggregation, Anonymisierung und Pseudonymisierung Rechtskonforme Analyse und Auswertung der Daten Aktuell: Verwendung von personenbezogenen Testdaten bei Software-Projekten GESTALTUNGSMODUL CLOUD, AUFTRAGS-DV: Zusatzvereinbarung Auftrags-DV mit IT-Dienstleister nach 11 BDSG EU-Standardvertragsklauseln und Safe Harbor Binding Corporate Rules (BCR) Wirtschaftsspionage Geheimnisverrat Know-how-Abfluss Wirtschaftsspionage aus dem Ausland, insbesondere USA und China NSA-Affäre: Was dürfen Geheimdienste? BVerwG vom Gesetzliche Regelungen G10-Gesetz, Anti-Terrorismus-Gesetze Cyberwar - Stuxnet, Flame und die Folgen USA-Patriot-Act: Durchgriff der US-Behörden auf Cloud Daten AKTUELL: US-Bundesgericht vom : Herausgabe von Daten aus EU-Standorten Wo verlaufen internationale Datenströme? Schutzmaßnahmen, Verschlüsselung Soziale Netze: Informations-Abfluss im Chat, Blog, Diskussionsgruppen Datenabfluss durch Nutzungsbedingungen bei Google Docs, Dropbox etc., Schnüffel-Apps Juristische Reaktionsmöglichkeiten bei Datenabfluss im Unternehmen, Sensibilisierung der Mitarbeiter Whistleblowing: Datenschutzkonforme Hinweissysteme, arbeitsrechtliche Grenzen, WP 117, Düsseldorfer Kreis GESTALTUNGSMODUL GEHEIMSCHUTZ: Geheimschutzklauseln in Cloud-Verträgen und Auftrags-DV Non-Disclosure-Agreeement (NDA) 2. TAG Verpflichtungserklärungen auf Datengeheimnis Geheimschutz im Arbeitsvertrag Cloud Auftrags-DV Datentransfer ins Ausland Cloud-Problematik, Auslands-DV Vertragsgestaltung und Sicherheit Datenschutzbehörden stoppen Safe-Harbor und US-Datentransfer Zulässiger Auslandstransfer, EU-Standardvertragsklauseln: notwendige Zusatzregelungen, Rahmenverträge zur Einbettung Auftrags-DV nach 11 BDSG, Funktionsübertragung, sichere Drittstaaten, z.b. Schweiz Herausgabe von Daten bei Vertragsende und Insolvenz Insbesondere: Auslagerung der Buchhaltung, Archivierung, Personaldaten, CRM-Systeme etc. Binding Corporate Rules (BCR) konzernweite Datenschutzrichtlinien Praxisbericht, Gestaltungstipps aus konkreten Genehmigungs verfahren Wesentliche Inhalte der EU-Working Papers, das neue WP 195 IT-Audit beim Dienstleister Kontrolle des Sicherheitskonzepts, Vor-Ort + Doku-Prüfung, praktische Durchführung, Prüfkataloge Neue Orientierungshilfe Cloud Computing der Aufsichtsbehörden vom IT-Haftung Haftung für User Generated Content, Blogeinträge, Wikipedia, aktuelle Rechtsprechung Haftung für Online-Plattformen wie ebay, Facebook, Haftung für Zugangskonten Haftung für Links Sinn von Disclaimern, Framing, BGH vom , Streaming, Redtube, EuGH vom AKTUELL: Recht auf Vergessen, EuGH vom , Löschungsantrag bei Google; Google-Autocomplete, Suchwortergänzung, BGH vom Schadensersatz bei Internetausfall und Datenverlust, BGH vom , Haftung bei fehlender Datensicherung, OLG Düsseldorf vom Eigenhaftung der IT-Verantwortlichen, innerbetrieblicher Schadensausgleich des BAG, Strafbarkeit bei Garanten stellung, z.b. Compliance-Officers, DSB; Haftung des Admin-C Vorstandshaftung persönliche Haftung der Leitungsebene nach KonTraG, keine Vorstandsentlastung ohne Risikomanagement

4 GESTALTUNGSMODUL HAFTUNG: Haftungsfreistellungsklauseln für IT- und Datenschutz verantwortliche (Admin-C) Funktions- und Stellenbeschreibungen für IT- und Datenschutzverantwortliche, Compliance-Officer Social Media Online-Werbung - CRM Neu BAG vom : Publikation von Bildern, Videos von Mitarbeitern/Kunden auf YouTube, Vorgaben des KUG, konkludente Einwilligung, BGH vom Social Media Richtlinien: Grenzen der Verhaltenssteuerung zulässige Kritik am Arbeitgeber Facebook Veröffentlichung privater Nachrichten unzulässig, OLG Hamburg vom Unternehmensinterne Soziale Netzwerke, Auswertung des Nutzerverhaltens, Nutzungsrichtlinien AKTUELL: Personenbewertungsportale, Kundenbewertungen, Online-Pranger, BGH vom Social Marketing, rechtliche Grenzen der personalisierten Werbung; Cookie-Problematik, Einwilligungen durch Popup- Fenster, Gestaltungstipps Webtracking-Tools, Google-Analytics, rechtskonforme Lösung des Hamburger DSB vom Feb. 2013; Gefällt mir -Button von Facebook, Zulässigkeit Reichweitenanalyse Tell-a-friend von FB rechtswidrig, BGH vom Bedeutung Datenschutzerklärung (Privacy Policy), OLG Hamburg vom Datenschutzeinwilligung der Kunden, Double-opt-in-Verfahren GESTALTUNGSMODUL SOCIAL MEDIA, DATENSCHUTZ: Interne Ermittlungen, zulässige Mitarbeiterkontrolle Kontroll- und Ermittlungsmaßnahmen im Unternehmen, Verhaltenskontrolle nach 32 BDSG, - und Logfile- Kontrolle, Stichprobenkontrollen Mitarbeiterrecherchen in Sozialen Netzen, ist Facebook allgemein zugänglich? Korruptionsbekämpfung, Abwehr Wirtschaftsspionage, Aufsichtspflicht nach 130 OWiG, Datenbankabgleich, Mitarbeiterscreening Geolokalisierung, Standortkontrolle durch GPS, BGH vom Zutrittskontrollsysteme, (verdeckte) Videoüberwachung am Arbeitsplatz, Datenschutzgrenzen, neue Rspr. BGH vom , OVG Niedersachen vom Rechtsfolgen unzulässiger Kontrolle, Beweisverwertungsverbote GESTALTUNGSMODUL IT-NUTZUNG, KONTROLLE: Betriebs-/Dienstvereinbarungen für die IT-Nutzung (insbes. , Internet) Einwilligungen der Mitarbeiter bei Privatnutzung AKTUELLES SPECIAL: DATENVERARBEITUNG IM KFZ Gläserne Autofahrer? Rekonstruktion des Fahrverhaltens, Standortdaten (GPS) Datenschutzproblematik, wem gehören die Daten? Leasing- oder Mietfahrzeuge, Versicherungsverträge Pay as you Drive Kommunizierende Bordsysteme: Notrufsystem ecall, Übermittlung Unfalldaten Muster-Information des VDA und der Datenschutz-Behörden Einsatz von Dashcam (On-Board-Kamera) im Kfz, LG Heilbronn vom Social Media Richtlinien für Mitarbeiter Konkrete Musterbeispiele, umfassende Checkliste Datenschutzerklärung, Privacy Policy Datenschutzeinwilligung der Kunden IT-Nutzung am Arbeitsplatz private Nutzung Industrie 4.0 AKTUELL: Industrie 4.0 Überblick und rechtliche Rahmenbedingungen Privatnutzung am Arbeitsplatz, Arbeitgeber als TK-Provider, LAG-Urteile zum Fernmeldegeheimnis Duldung, betriebliche Übung rechtssicher vermeiden Ausscheidende Mitarbeiter: keine Löschung privater s; Löschungspflicht persönlicher Daten (Foto, Namen) Private Logfiles: nur 7 Tage Speicherung zur Systemsicherheit, BGH vom Steuerrecht: Geldwerter Vorteil durch Privatnutzung? 3 Nr. 45 EStG Einscannen von Personalausweisen, VG Hannover vom IT-Sicherheit, Verschlüsselung, Filtersysteme Erstellung Löschkonzept, Datenvernichtung neuer Standard DIN Zulässigkeit von Deep Packet Inspection, Application Layer Firewalls Verschlüsselungspflichten True Crypt nicht mehr sicher? Ende-zu-Ende-Verschlüsselung aus eigener Hand OpenSSL: Heartbleed-Bug gefährdet Verschlüsselung; Zulässigkeit TLS-Decryption Contentfilter, Jugendschutz durch URL-Filter SIEM Security Information + Event Management, Protokollierung, Auswertung, IKS, rechtssicher umsetzen Data Loss Prevention (DLP): Kommunikations- und Datei- Kontrolle Das neue Internetprotokoll IPv6, technische Grundlagen, rechtliche Auswirkungen, Datenschutz WEITERBILDUNG INDIVIDUELL GESTALTEN Sie können dieses Seminar auch Inhouse buchen.

5 Schützen Sie Ihr Unternehmen mit aktuellem IT-Compliance-Wissen! (IT) Compliance-Beauftrage sind insbesondere von zwei Seiten gefordert. Zum einen rütteln aktuelle Geschehnisse wie der NSA-Skandal ihr Unternehmen auf: Wo sind Daten sicher gelagert? Wie dürfen Daten für Analysen verwendet werden? Was muss ich tun, um Datenschutzrichtlinien und Haftungsvorgaben ein zu halten? Wie setze ich ISMS um, welche konkreten Kontrollmaßnahmen sind erforderlich? Zum anderen reagiert der Gesetzgeber fortlaufend auf Trends und Entwicklungen in IT und Internet, z. B. Social Media und Big Data. Bestehende Paragraphen werden angepasst, neue Verordnungen definiert. Für die (IT) Compliance-Abteilung bedeutet das, am Ball zu bleiben und die Einhaltung von Gesetzen nachzuweisen. Denn Rechtsverletzungen haben erhebliche Sanktionen zur Folge! Als Teilnehmer von IT Compliance Update sind Sie nach dem Seminar auf dem aktuellen Stand des rechtlichen Regelwerks für die Informationssicherheit. Mithilfe von Checklisten, Gestaltungs hinweisen und Formulierungsvorschlägen können Sie die Vorgaben einwandfrei in die tägliche Praxis umsetzen. Nutzen Sie die Gelegenheit und schützen Sie Ihr Unternehmen durch wertvolle Tipps unseres Experten! IHRE VORTEILE: Praxistaugliche Antworten und Lösungen auf die dringendsten Fragen im Umfeld von IT-Compliance Umfangreiche Dokumentationsunterlagen mit Gestaltungstipps, Musterformulierungen sowie Checklisten für Ihre tägliche Praxis. Alles Relevante zur rechtssicheren Gestaltung von Richtlinien, Betriebsvereinbarungen und Einwilligungen. Limitierte Teilnehmerzahl für intensiven Erfahrungsaustausch mit Fachkollegen Sie profitieren von wertvollen Tipps, um Ihr Unternehmen unter Einhaltung aktueller Gesetze zu schützen. Aktuelle Specials zu Softwarelizenz-Audits und Big Data. Die Teilnahme bestätigt eine Fortbildungsmaßnahme im Umfang von 12 Zeitstunden gemäß 15 FAO. IHR EXPERTE: Horst Speichert ist seit mehr als 15 Jahren als Rechts anwalt spezialisiert auf IT-Recht und Datenschutz. Schwerpunkt in der Anwaltspraxis ist die Gestaltung von IT- Verträgen, Betriebsvereinbarungen, IT-Sicherheits- und Datenschutzkonzepten. Er ist Lehrbeauftragter für Informations recht und internationales Vertragsrecht an der Universität Stuttgart und Autor des Fachbuches Praxis des IT-Rechts (2. Auflage, Vieweg-Verlag). AN WEN RICHTET SICH DIESES SEMINAR? Die Veranstaltung ist als Update zu verstehen und behandelt in erster Linie die Neuerungen in den einzelnen Rechtsbereichen. Sie vermittelt Aufbau- und strate gisches Wissen und richtet sich an (IT) Compliance-Verantwortliche Datenschutzbeauftragte Juristen und IT-Fachanwälte Entscheider über Informationssicherheit CIOs und IT-Leiter Geschäfts- und Behördenleiter Revisoren Betriebsräte Personalräte ZEITRAHMEN 1. Seminartag 2. Seminartag Empfang Seminarbeginn Gemeinsames Mittagessen Ende des ersten bzw. zweiten Seminartages Lassen Sie den ersten Seminartag bei einem guten Getränk an der Hotelbar ausklingen. An beiden Tagen werden Kaffeepausen flexibel eingeplant. QUALITY IN BUSINESS INFORMATION Wir stehen zu unserem Wort! Wir sind von der Qualität unseres Seminars überzeugt. Daher gewähren wir Ihnen eine Geld-zurück-Garantie, wenn das Seminar Ihre Erwartungen nicht erfüllt. Wenden Sie sich in diesem Fall bitte bis zur Mittagspause des ersten Seminartages an unsere Mitarbeiter und wir werden versuchen, eine Lösung zu finden. Sollte uns dies nicht gelingen, erstatten wir Ihnen die Teilnahmegebühr zurück.

6 Ihr persönlicher Anmeldecode INFOLINE +49 (0) Haben Sie Fragen zu dieser Veranstaltung? Wir helfen Ihnen gerne weiter. Kundenberatung und Anmeldung Petra Großmann-Schmitz Telefon: +49 (0) Inhalt und Konzeption RAin Nicole Büren-Lorenz, Senior-Konferenz-Managerin Telefon: +49 (0) Adresse aktualisieren? Wir nehmen Ihre Adressänderung gerne telefonisch oder per auf. Telefon: +49 (0) 2 11/ info@euroforum.com EUROFORUM-PRAXISSEMINAR IT Compliance Update Aktuelle Entwicklungen bei Informationssicherheit, Richtlinien, Kontrolle, Datenschutz, Haftung 1. und 2. Dezember 2015 Frankfurt/Main 12. und 13. April 2016 Köln Mit allem Wichtigen zum neuen IT- Sicherheitsgesetz anmeldung@euroforum.com Telefon: +49 (0) Preis PREISE 1. und 2. Dezember 2015 Frankfurt/Main [P ] 1.999* 12. und 13. April 2016 Köln [P ] 1.999* Jetzt einfach online anmelden * p.p. zzgl. MwSt. IHRE TAGUNGSHOTELS 1. und 2. Dezember 2015, Lindner Hotel and Residence Main Plaza, Frankfurt Walther-von-Cronberg-Platz 1, Frankfurt, Tel.: +49 (0) 69 / und 13. April 2016, Hotel Mondial am Dom Cologne, Köln Kurt-Hackenberg-Platz 1, Köln, Tel.: +49 (0) 221/ Im Tagungs hotel steht Ihnen ein be grenz tes Zimmer kontingent zum er mäßigten Preis zur Verfü gung. Bitte nehmen Sie die Zimmerreservierung direkt im Hotel unter dem Stichwort EUROFORUM-Veran staltung vor. Am Abend des ersten Veranstaltungstages lädt Sie das Seminarhotel herzlich zu einem Umtrunk ein. Unsere ausführlichen Teilnahmebedingungen finden Sie unter: agb Abonnieren Sie den monatlichen Newsletter und erhalten aktuelle und interessante Informationen zu IT-Themen. [SIMA01] DATENSCHUTZINFORMATION. Die EUROFORUM Deutschland SE verwendet die im Rahmen der Bestellung und Nutzung unseres Angebotes erhobenen Daten in den geltenden rechtlichen Grenzen zum Zweck der Durchführung unserer Leistungen und um Ihnen posta lisch Informationen über weitere Angebote von uns sowie unseren Partner- oder Konzernunternehmen zukommen zu lassen. Wenn Sie unser Kunde sind, informieren wir Sie außerdem in den geltenden rechtlichen Grenzen per über unsere Angebote, die den vorher von Ihnen genutzten Leistungen ähnlich sind. Soweit im Rahmen der Verwendung der Daten eine Übermittlung in Länder ohne angemessenes Datenschutz niveau erfolgt, schaffen wir ausreichende Garantien zum Schutz der Daten. Außerdem verwenden wir Ihre Daten, soweit Sie uns hierfür eine Einwilligung erteilt haben. Sie können der Nutzung Ihrer Daten für Zwecke der Werbung oder der An sprache per oder Telefax jederzeit gegenüber der EUROFORUM Deutschland SE, Postfach , Düsseldorf widersprechen.