IT Compliance Update Aktuelle Entwicklungen bei Informationssicherheit, Richtlinien, Kontrolle, Datenschutz, Haftung

Transkript

1 IT Compliance Update Aktuelle Entwicklungen bei Informationssicherheit, Richtlinien, Kontrolle, Datenschutz, Haftung Direkt in die Praxis umsetzbar durch: Checklisten Gestaltungstipps Formulierungsvorschläge Bringen Sie Ihr Wissen auf den neuesten Stand: Bring Your Own Device (BYOD) und Mobile Computing sicher umsetzen Richtlinien wirkungsvoll einsetzen Maßnahmen für sichereres Cloud Computing Änderungen durch die neue EU-Datenschutzverordnung Mitarbeiterkontrolle, Einsatz sozialer Netze für Mitarbeiterscreening s und Daten gesetzmäßig archivieren Elektronische Rechnungen und Beweissicherheit Datenschutzkonformer Einsatz der IT-Sicherheitssysteme und Aufbau eines IKS Haftungsrisiken als IT- und Datenschutz-Verantwortliche vermeiden PRAXISSEMINAR 6. und 7. November 2012, Köln 10. und 11. Dezember 2012, Frankfurt/Main

2 2 Kompakteinstieg und Update Begriff IT Compliance und interne Kontrollsysteme Relevante Gesetze für IT Compliance, Datenschutz, Informationssicherheit Grundbegriffe des Datenschutzes Umfassendes Special: BYOD (Bring Your Own Device) und Mobile Geräte Verwendung privater Endgeräte, Fluch oder Segen? Risiken und Sicherheitsanforderungen bei privaten Smartphones, Tablets etc. Heterogene Gerätelandschaften, Zugriffsschutz, Verschlüsselung Trennung privat-dienstlich durch Containerlösung, verschiedene Profile oder Clients Mobile Device Management (MDM): Kontrolle, Remote-Löschung, Datenschutzprobleme Rechtssichere Gestaltung durch Benutzer-Richtlinien, Betriebsvereinbarung und Einwilligung Wer hat das Recht an den Daten? Herausgabe der Daten bei Ausscheiden Lizenzproblematik Rechtssichere Verwaltung von Apps Lizenzierungsmodelle für Apps, Rechtsverstöße vermeiden, wer prüft die Lizenzen? Sicherheitsrisiken von Apps, Prüfungspflichten der IT Whitelist/Blacklist für Apps? Zulässigkeit von Jailbreaks Web oder App? Fragen zu Application Service Providing, SaaS Notwendige Regeln für Homeoffice und Geschäftsreisen Haftungsfragen BYOD Haftung des Arbeitgebers für Privatgeräte: Verlust, Beschädigung und Reparatur Verletzung von vertraglichen Geheimhaltungspflichten, Vertragsstrafen Eigenhaftung des Arbeitnehmers, z. B. für Roaming-Gebühren Gestaltungsmodul Mobile Benutzerrichtlinien BYOD und Mobile Geräte Betriebsvereinbarung und Datenschutzeinwilligung Disclaimer, Haftungsklausel für den Arbeitgeber Benutzerrichtlinien für Homeoffice Datenspionage, Geheimnisverrat, Know-how-Abfluss Angriffe auf Datennetze aus dem Ausland, insbesondere China USA-Patriot-Act Durchgriff der US-Behörden auf Cloud Daten, Regelungen mit IT-Bezug, mögliche Schutzmaßnahmen Juristische Reaktionsmöglichkeiten bei Geheimnisverrat im Unternehmen Whistleblowing Datenschutzkonforme Hinweissysteme durch Mitarbeiter, arbeitsrechtliche Grenzen Sensibilisierung der Mitarbeiter: Geheimnisschutz durch Richtlinien und Arbeitsvertrag Vertragsgestaltung für Zusammenarbeit mit Geschäftspartnern Gestaltungsmodul Geheimschutz Geheimschutzklauseln im Vertrag (Arbeitsvertrag + Dienstleistungsvertrag) Verpflichtungserklärung auf Geheimhaltung und Datengeheimnis nach 5 BDSG Cloud Computing Auftrags-DV Datentransfer ins Ausland Neuregelung der Auftrags-DV nach 11 BDSG Die zehn Pflichtklauseln, notwendige Anpassung der Altverträge Kontrolle des Sicherheitskonzepts Praktische Durchführung Cloud Computing Fragen zu Vertragsgestaltung und Datenschutz Neue Orientierungshilfe Cloud Computing der Aufsichtsbehörden vom Schadens- und Haftungsszenarien, Kontrolle in der Cloud Insbesondere: Auslagerung der Buchhaltung, Archivierung, Personaldaten, CRM-Systeme etc. Auslands-Datenverarbeitung Zulässiger Datentransfer ins Ausland Die neuen EU-Standardvertragsklauseln vom Binding Corporate Rules (BCR) Wichtige Inhalte nach den Working Papers der EU Ablauf Genehmigungsverfahren, Erfahrungstipps Funktion der Datenschutzerklärung (Privacy Policy) Zeitrahmen des Seminars: 1. Tag: 9.00 Empfang mit Kaffee und Tee, Ausgabe der Tagungsunterlagen 9.30 Seminarbeginn Gemeinsames Mittagessen Ende des ersten Seminartages Lassen Sie den ersten Seminartag bei einem gemeinsamen Umtrunk ausklingen. 2. Tag: 8.30 Empfang mit Kaffee und Tee 9.00 Seminarbeginn Gemeinsames Mittagessen Ende des Seminars

3 3 Gestaltungsmodul Cloud Zusatzvereinbarung für Auftrags-DV mit Dienstleister nach 11 BDSG Zusatzvereinbarung mit Auslandsdienstleister nach EU-Standardvertragsklauseln und Safe Harbor Weltweite Datenschutzrichtlinien durch Binding Corporate Rules (BCR) Social Media Soziale Netze Facebook, LinkedIn, YouTube etc., übliche Funktionalitäten Risiken (Informations-Abfluss, Reputationsrisiken) und Verhaltensrichtlinien für Mitarbeiter User Generated Content, urheberrechtswidriger Upload, Verwendung fremder Texte, Setzen von Links Haftung für Blogeinträge, BGH vom Gefällt mir -Button von Facebook, datenschutz rechtliche Z ulässigkeit Zulässigkeit der Geolokalisierung, IP-Adressen als personenbezogene Daten Auswahl neuer Mitarbeiter, Möglichkeiten der Überprüfung, zulässige Internetrecherchen Social Marketing und Targeting, neuer Gesetzentwurf des BMI: Datenschutz im Internet, neue Cookie-Richtlinie 2009/136/EG Verwendung von Fotos, Bildern, Videos von Kunden/Mitarbeitern, Vorgaben des KUG, notwendige Einwilligungen Webtracking-Tools, Google-Analytics: Einigung mit Behörden, rechtskonforme Lösung Gestaltungsmodul Social Media Social Media Guidelines für Mitarbeiter Ethik- und Verhaltensrichtlinien Datenschutzerklärung, Privacy Policy IT Compliance zulässige Mitarbeiterkontrolle Zulässige Kontroll- und Ermittlungsmaßnahmen im Unternehmen, Verhaltenskontrolle nach 32 BDSG Datenschutzkonforme Korruptionsbekämpfung, Abwehr Wirtschaftsspionage Pflicht nach 130 OWiG Aktuelle Szenarien (Fall Bahn), legaler Datenbankabgleich, Mitarbeiterscreening Rechtskonforme Terrorbekämpfung, Exportkontrolle Embargomaßnahmenz ur Terrorismusbekämpfung, EG-Verordnungen 881/2002 und 2580/2001 UN-Sanktionslisten, Sperrlisten Datenschutzkonformer Abgleich mit Mitarbeitern, Einsatz Prüfsoftware Kontrollpflichten nach 9 BDSG, rechtskonforme Zugangs- und Eingabekontrolle Rechtmäßige Zutrittskontrollen, anonyme und personenbezogene Kontrolle von Logfiles/ s Rechtsfolgen unzulässiger Kontrolle, Beweisverwertungsverbote Der Fluch des Admin Marktübliche Kontroll- und Wartungssoftware, Helpdesk, VNC-Client Novellierung Datenschutz Neue EU-Datenschutzverordnung Aktuell: Entwurf neue EU-Datenschutzverordnung vom Unmittelbare Geltung in den Mitgliedsstaaten, was ändert sich? Beschäftigtendatenschutzgesetz Aktueller Stand, Umgang mit Personaldaten aus Social Media IT-Nutzung am Arbeitsplatz, private Nutzung Privatnutzung am Arbeitsplatz, Arbeitgeber als TK-Provider, BAG-Rechtsprechung, Reichweite Fernmeldegeheimnis Keine Geltung des Fernmeldegeheimnisses für private s, LAG Berlin-Brandenburg, VGH Hessen Mitbestimmung, Duldung, betriebliche Übung, Kündigung bei missbräuchlicher Privatnutzung Recht auf IT-Nutzung und Internet für Betriebsrat Sanktionen bei Missbrauch der IT-Systeme, Überschreitung der Adminrechte Betriebsvereinbarungen für die IT-Nutzung (insbesondere , Internet), Legitimationsgrenzen, Einwilligungen der Mitarbeiter Gestaltungsmodul Kontrolle Betriebs-/Dienstvereinbarungen für die IT-Nutzung Einwilligung der Mitarbeiter bei Privatnutzung Risikomanagement IT- und Datenschutz-Audits IT-Sicherheits-Policy, notwendige Inhalte Richtlinien für Gastzugänge, Gestaltungstipps aus der Praxis Informationsmanagementsysteme (ISMS), Standards (ISO 27001, BSI, ITIL, ISO etc.) Datenschutzprüfungen durch Datenschutzbeauftragte und Revision, Vorabkontrolle Datenschutz-Baustein B 1.5 des BSI Europäischer Datenschutzstandard, EuroPriSe Vorgaben externer Auftraggeber, Anforderungskataloge der Wirtschaftsprüfer, IT-Systemprüfung, IDW-Standards (FAIT, IDW PS 330, PS 951, PS 980) MaRisk und MaComp, Mindestanforderungen an Compliance, BaFin vom Gesetzliche Pflichten zu Notfall- und Berechtigungskonzepten, Managementkonsolen Rechtsprechung zum KonTraG (LG München I) Keine Vorstandsentlastung ohne Risikomanagement Rechtsvorteile der Standards, Zertifizierung (BSI, ISO, Cobit etc.) Beweislastumkehr Gestaltungsmodul Datenschutz Verfahrensverzeichnis, Verfahrensbeschreibungen nach BDSG

4 4 Interne Kontrollsysteme (IKS) Compliance-Tools Managementsysteme Dokumentation der IT-Infrastruktur, ganzheitliches Compliance Management System Interne Kontrollsysteme (IKS) Aufbau und Funktion, PDCA-Modell Zusammenhang zwischen IT Compliance, IKS, Risikomanagement und IT Governance Ermittlung der IT-Risiken Der Baseline-Ansatz, ISO Kontrollmodelle zur Beschreibung betrieblicher Steuerungs- und Überwachungssysteme, Reifegradmodell, Schwachstellenanalyse Standards, Frameworks für interne Kontrollsysteme COSO-Modell und COBIT Tragende Prinzipien, Prozessmodell, Control Objectives, Compliance-Reporting Datenschutzkonforme Umsetzung, insbesondere Transaktionskontrollen Marktübliche Tools für Compliance, Audits und Risikomanagement Möglichkeiten und Grenzen Einsatz der Tools planen und umsetzen, die richtige Lösung finden Vorstellung GSTOOL des BSI und andere GRC-Tools Rechtssichere Filter- und IT-Sicherheitssysteme, Data Loss Prevention Data Loss Prevention (DLP) Datenschutzkonforme Kommunikations- und File-Kontrolle Identity- und Accessmanagement (IAM) Rechtssichere Identitäts- und Berechtigungskontrolle Rollenbasierte Rechteverwaltung, Gestaltung von Zugangsund Zugriffsrechten, Tools für Berechtigungsmanagement Jugendschutz am Arbeitsplatz Notwendige technische Maßnahmen URL- und Contentfilter, Spamfilter (Reputationfilter), Zugang von s trotz Filterung Zulässigkeit Deep Packet Inspection, Application Layer Firewalls, datenschutzkonformes https-scanning Das neue Internetprotokoll IPv6, rechtliche Auswirkungen Gestaltungsmodul IT-Sicherheit IT-Sicherheitsrichtlinien nach ISO und BSI IT-Benutzerrichtlinien für Mitarbeiter Gesetzliche Archivierungspflichten für s und Daten, DMS -Archivierung: Gesetzliche Pflichten, Gestaltung in der Betriebsvereinbarung Lösung der Datenschutzproblematik, Trennung privater/dienstlicher Daten ( s) Archivierung in Bezug auf Instant Messaging und interne Social Media Plattformen GDPdU GoBS Elektronische Betriebsprüfung, maschinelle Auswertbarkeit, GoBIT Stand der Weiterentwicklung GDPdU-Compliance Zugriffsrechte Finanzamt, BFH-Entscheidung vom Elektronisches Rechnungswesen Elektronische Rechnungen stark vereinfacht und rentabel, Streichung der Signaturpflicht rückwirkend zum , neue Richtlinien des BMF vom Neuregelung E DI-Verfahren D -Gesetz und E-Post-Brief: Beweisführung mit elektronischen Dokumenten E-Discovery Vorlagepflichten von im Prozess, Pre-Trial-Discovery nach US-Zivilprozessrecht, elektronische Beweismittelbeschaffung Gestaltungsmodul DMS Verfahrensdokumentation nach GoBS Archivierungsrichtlinien für Daten und Dokumente IT-Haftungsrisiken Haftungsfalle IT-Sicherheit Schadensbemessung bei Datenverlust Eigenhaftung der IT-Verantwortlichen: innerbetrieblicher Schadensausgleich des BAG Strafbarkeit: Garantenstellung des Compliance-Officers, BGH vom Haftung für offene W-LAN und Internetplattformen, neueste BGH-Rechtsprechung Managerhaftung im Wandel Persönliche Haftung der Leitungsebene nach KonTraG Störerhaftung des Admin-C für Domains des Arbeitgebers Benutzerrichtlinien für Gastzugänge von Besuchern und Geschäftspartnern Gestaltungsmodul Haftung Haftungsfreistellungsklauseln für IT- und Datenschutzverantwortliche (Admin-C) Funktions- und Stellenbeschreibungen für IT- und Datenschutzverantwortliche, Compliance-Officer Ihr Vorteil: Integrierte Gestaltungsmodule Die aufgeworfenen Rechtsfragen sollen auch aus Sicht der Gestaltung durch Richtlinien, Betriebsvereinbarungen und Einwilligungen dargestellt werden. Sie erhalten Gestaltungstipps, Musterformulierungen sowie Checklisten für Ihre tägliche Praxis!

5 5 Vorsicht Falle! Durch neue Entwicklungen in der IT (z. B. BYOD, Mobile Computing, Social Media) und notwendige Gesetzesänderungen sind die rechtlichen Spielregeln ständig im Fluss. Unternehmen müssen daher immer auf dem aktuellen Stand sein, um gesetzliche Vorgaben und Richtlinien einhalten und deren Befolgung nachweisen zu können. Bei Rechtsverletzungen müssen CIOs oder IT Compliance- Beauftragte mit erheblichen Sanktionen rechnen. Ziel des Praxisseminars IT Compliance Update ist es, das rechtliche Regelwerk für die Informationssicherheit zu erarbeiten und Sie auf den neuesten Stand zu bringen: Der durch IT-Gesetze und anerkannte IT-Standards gebildete Rahmen wird aktuell dargestellt. Sie erarbeiten anhand von Richtlinien und Arbeitsanweisungen die Ausgestaltung der Rahmenwerke. Gestaltungsmodule mit Checklisten, Gestaltungstipps und Formulierungsvorschlägen helfen Ihnen bei der Umsetzung in die tägliche Praxis. Schützen Sie sich vor Haftungsfallen und informieren Sie sich jetzt! Das Seminar bietet Ihnen: Praxistaugliche Antworten und Lösungen auf die dringendsten Fragen im Umfeld von IT Compliance Limitierte Teilnehmerzahl für intensiven Erfahrungsaustausch mit Fachkollegen Umfangreiche Dokumentationsunterlagen mit vielen Checklisten, Gestaltungstipps und Formulierungsvorschlägen Qualifizierte Teilnahmebestätigung im Anschluss an das Seminar Das Seminar richtet sich an: IT-Entscheider, IT-Leiter, CIOs IT-Sicherheitsbeauftragte, CISOs, CSOs Datenschutzbeauftragte Compliance-Officer Risikomanager IT-Architekten Verantwortliche IT-Recht Unternehmensjuristen Revisoren Geschäftsführer Betriebsräte Systemlieferanten Ihr Experte: Horst Speichert ist seit 15 Jahren als Rechtsanwalt spezialisiert auf IT-Recht und Datenschutz. Schwerpunkt in der Anwaltspraxis ist die Gestaltung von IT-Verträgen, Betriebsvereinbarungen, IT-Sicherheitsund Datenschutzkonzepten. Er ist Lehrbeauftragter für Informationsrecht und Internationales Vertragsrecht an der Universität Stuttgart und Autor des Fachbuches Praxis des IT-Rechts (2. Auflage, Vieweg-Verlag). Langjährige Tätigkeit als Referent, Seminarleiter und externer Datenschutzverantwortlicher. Infoline: +49 (0) 2 11/ Haben Sie Fragen zu dieser Veranstaltung? Wir helfen Ihnen gerne weiter. Konzeption und Inhalt: Claudia Paul (Senior-Konferenz-Managerin) Organisation: Anne Planker (Konferenz-Koordinatorin) anne.planker@euroforum.com

6 Anmeldung und Information [Kenn-Nummer] schriftlich: EUROFORUM Deutschland SE Postfach , Düsseldorf per per Fax: +49 (0)211/ telefonisch: +49 (0)211/ [Anne Planker] im Internet: Teilnahmebedingungen. Der Teilnahmebetrag für diese Veran staltung inklusive Tagungsunterlagen, Mittagessen und Pausen getränken pro Person zzgl. MwSt. ist nach Erhalt der Rechnung fällig. Nach Eingang Ihrer Anmel dung erhalten Sie eine Bestätigung. Die Stornierung (nur schriftlich) ist bis 14 Tage vor Veranstaltungsbeginn kostenlos möglich, danach wird die Hälfte des Teilnahmebetrages erhoben. Bei Nichterscheinen oder Stornierung am Veranstaltungstag wird der gesamte Teilnahme betrag fällig. Gerne akzeptieren wir ohne zusätzliche Kosten einen Ersatz teilnehmer. Pro grammänderungen aus dringendem Anlass behält sich der Veranstalter vor. Datenschutzinformation. Die EUROFORUM Deutschland SE verwendet die im Rahmen der Bestellung und Nutzung unseres Angebotes erhobenen Daten in den geltenden rechtlichen Grenzen zum Zweck der Durchführung unserer Leistungen und um Ihnen postalisch Informationen über weitere Angebote von uns sowie unseren Partner- oder Konzernunternehmen zukommen zu lassen. Wenn Sie unser Kunde sind, informieren wir Sie außerdem in den geltenden rechtlichen Grenzen per über unsere Angebote, die den vorher von Ihnen genutzten Leistungen ähnlich sind. Soweit im Rahmen der Verwendung der Daten eine Übermittlung in Länder ohne angemessenes Datenschutzniveau erfolgt, schaffen wir ausreichende Garantien zum Schutz der Daten. Außerdem verwenden wir Ihre Daten, soweit Sie uns hierfür eine Einwilligung erteilt haben. Sie können der Nutzung Ihrer Daten für Zwecke der Werbung oder der Ansprache per oder Telefax jederzeit gegenüber der EUROFORUM Deutschland SE, Postfach , Düsseldorf widersprechen. Zimmerreservierung. Im Tagungs hotel steht Ihnen ein be grenz tes Zimmer kon tingent zum er mäßigten Preis zur Verfü gung. Bitte nehmen Sie die Zimmer reservierung direkt im Hotel unter dem Stichwort EUROFORUM- Veranstaltung vor. Ihre Tagungshotels. Am Abend des ersten Seminartages lädt Sie das Pullman Cologne bzw. das The Westin Grand Frankfurt herzlich zu einem Umtrunk ein. Pullman Cologne, Helenenstraße 14, Köln, Telefon: +49 (0) 2 21/ The Westin Grand Frankfurt, HKonrad-Adenauer-Straße 7, Frankfurt/Main, Telefon: +49 (0) 69/ EUROFORUM-Praxisseminar IT Compliance Update Aktuelle Entwicklungen bei Informationssicherheit, Richtlinien, Kontrolle, Datenschutz, Haftung 6. und 7. November 2012, Pullman Cologne Helenenstraße 14, Köln, Telefon: +49 (0) 2 21/ und 11. Dezember 2012, The Westin Grand Frankfurt Konrad-Adenauer-Straße 7, Frankfurt/Main, Telefon: +49 (0) 69/ Bitte ausfüllen und faxen an: +49 (0) 2 11/ Ja, ich nehme teil zum Preis von 1.949, p. P. zzgl. MwSt. am 6. und 7. November 2012 in Köln [P M012] am 10. und 11. Dezember 2012 in Frankfurt/Main [P M012] [Ich kann jederzeit ohne zusätzliche Kosten einen Ersatzteilnehmer benennen. Im Preis sind ausführliche Tagungsunterlagen enthalten.] Ich interessiere mich für Ausstellungs- und Sponsoring möglichkeiten. Ich möchte meine Adresse wie angegeben korrigieren lassen. [Wir nehmen Ihre Adressänderung auch gerne telefonisch auf: +49 (0) 2 11/ ] Name Position/Abteilung Telefon Die EUROFORUM Deutschland SE darf mich über verschiedenste Angebote von sich, Konzern- und Partnerunternehmen wie folgt zu Werbezwecken informieren: Zusendung per Ja Nein Zusendung per Fax: Ja Nein Firma Fax Anschrift Branche Ansprechpartner im Sekretariat Datum, Unterschrift