IT Compliance Update

Transkript

1 Praxisseminar 19. und 20. November 2013 Hotel Belvoir, Rüschlikon 14. und 15. Januar 2014 Holiday Inn Zürich Messe, Zürich IT Compliance Update Informationssicherheit Richtlinien Kontrolle Datenschutz Haftung Bringen Sie Ihr Wissen auf den neuesten Stand! Mit Bring your own Device (BYOD) und Mobile Computing sicher umgehen Cloud Computing und Outsourcing rechtskonform umsetzen Änderungen durch die neue EU-Datenschutzverordnung Mitarbeiterkontrolle, Einsatz sozialer Netze für Mitarbeiterscreening Archivierungspflicht für Daten und Dokumente Elektronische Rechnungen und Beweissicherheit Datenschutzkonformer Einsatz der IT-Sicherheitssysteme und Aufbau eines IKS Haftungsrisiken als IT- und Datenschutz-Verantwortliche vermeiden Direkt in die Praxis umsetzbar durch: Checklisten Gestaltungstipps Formulierungsvorschläge Auf Basis der Schweizer Gesetze

2 2 IT Compliance Update Programm Kompakteinstieg Begriff IT Compliance und interne Kontrollsysteme Relevante Gesetze für IT-Compliance, Datenschutz, Informationssicherheit Grundbegriffe des Datenschutzes BYOD (Bring your own Device) Verwendung privater Endgeräte Fluch oder Segen? Risiken und Sicherheitsanforderungen bei privaten Smartphones, Tablets etc. Vielzahl mobiler Endgeräte, mit heterogenen Gerätelandschaften umgehen Trennung privat-dienstlich durch Containerlösung, verschiedene Profile oder Clients Mobile Device Management (MDM): Kontrolle, Remote-Löschung, Datenschutzprobleme Rechtssichere Gestaltung durch Benutzer-Richtlinien, Unternehmensreglement und Einwilligung, Checkliste und Gestaltungstipps Wer hat das Recht an den Daten? Herausgabe der Daten bei Ausscheiden Haftung für Privatgeräte, Diebstahl und Verlust, Verletzung von Geheimhaltungspflichten Mobile Computing Schwachstellen und Bedrohungsszenarien bei mobilen Endgeräten Mobile Sicherheit: Zugriffsschutz, Verschlüsselung, datenschutzkonforme Schnittstellenkontrolle (Device Control) Lizenzproblematik rechtssichere Verwaltung von Apps Lizenzierungsmodelle für Apps, wer prüft die Lizenzen? Sicherheitsrisiken von Apps, Prüfungspflichten der IT Datenschutz auf mobilen Endgeräten, Privatnutzung, Kontrollmassnahmen, Reichweite Fernmeldegeheimnis Notwendige Regeln für Homeoffice und Geschäftsreisen Gestaltungsmodul Mobile-BYOD Benutzerrichtlinien BYOD und mobile Geräte Benutzerrichtlinien für Homeoffice Datenspionage, Geheimnisverrat, Know-how-Abfluss Wirtschaftsspionage, Angriffe auf Datennetze aus dem Ausland, insbesondere China, USA Aktuelll: PRISM, Tempora, USA-Patriot-Act Zugriff der US-Dienste auf Unternehmensdaten, rechtliche Regelungen, mögliche Schutzmassnahmen Wiki-Leaks, Stuxnet, Flame Bedrohungsszenario und rechtliche Folgen Geheimnisverrat im Unternehmen Prävention und juristische Reaktionsmöglichkeiten Whistleblowing Datenschutzkonforme Hinweissysteme durch Mitarbeiter, arbeitsrechtliche Grenzen Sensibilisierung der Mitarbeiter: Geheimnisschutz durch Richtlinien und Arbeitsvertrag Vertragsgestaltung für Zusammenarbeit mit Geschäftspartnern Gestaltungsmodul Geheimschutz Geheimschutzklauseln im Vertrag (Arbeitsvertrag + Dienstleistungsvertrag) Verpflichtungserklärung auf Geheimhaltung und Datengeheimnis nach Art. 8 Abs. 1 VDSG Cloud Computing Outsourcing Datentransfer ins Ausland Datenverarbeitung durch Dritte (Dienstleister) nach Art. 10a DSG Vertragsgestaltung, notwendige Regelungen Kontrolle des Sicherheitskonzepts (Art. 10a II DSG) praktische Durchführung (Vor-Ort-Kontrolle, Prüfkataloge) Informationspflichten gegenüber dem EDÖB, Art. 6 III DSG, Art. 6 I VDSG Cloud Computing Fragen zu Vertragsgestaltung und Datenschutz Schadens- und Haftungsszenarien, Kontrolle in der Cloud Insbesondere: Auslagerung der Buchhaltung, Archivierung, Personaldaten, CRM-Systeme etc. Zulässiger Datentransfer ins Ausland Auslands-Datenverarbeitung, Outsourcing-Konzept des EDÖB Liste der sicheren Drittstaaten des EDÖB U.S.-Swiss Safe Harbor Framework Registrierung, Zertifizierung Unsichere Drittsaaten, Art. 6 II DSG - Mustervertrag des EDÖB, die neuen EU-Standardvertragsklauseln vom Verarbeitung personenbezogener Daten deutscher Auftraggeber Neuregelung der Auftrags-DV nach 11 BDSG, schriftlicher Vertrag, die zehn Pflichtklauseln Neue Orientierungshilfe Cloud Computing der deutschen Aufsichtsbehörden vom Binding Corporate Rules (BCR) Weltweite Datenschutzrichtlinien im Konzern Working Papers der EU, Ablauf Genehmigungsverfahren, Erfahrungstipps Funktion der Datenschutzerklärung (Privacy Policy)

3 3 IT Compliance Update Gestaltungsmodul Cloud-Outsourcing Vereinbarung für Datenverarbeitung durch Dienstleister nach 10a DSG Vereinbarung mit Auslandsdienstleister nach EU-Standardvertragsklauseln und Swiss-Safe Harbor Weltweite Datenschutzrichtlinien durch Binding Corporate Rules (BCR) Social Media Internet Online-Werbung Aktuell: die neue Impressumspflicht, Anbieterkennzeichnung, Revision des UWG, wichtige Neuerungen Fanseiten bei Facebook, Facebook-Profil unter fremdem Namen Zulässigkeit der Facebook-AGB, «Like-Button» und Reichweitenanalyse User Generated Content, urheberrechtswidrige Fremdinhalte, Setzen von Links Haftungsprobleme Zulässigkeit von Personenbewertungen, Online-Pranger, isharegossip.com Blogs, Foren rechtssicher betreiben, aktuell: Haftung für Blogbeiträge Bundesgericht vom Umgang mit Cookies, Webtracking-Tools, Google- Analytics, Cookie-Richtlinie der EU Webtracking-Tools, Google-Analytics Risiken (Informations-Abfluss, Reputationsrisiken) durch Mitarbeiter Mitarbeiterrecherche in Sozialen Netzen, Zulässigkeit der Geolokalisierung Social Media Guidelines notwendige Verhaltensrichtlinien für Mitarbeiter, EuGH vom , Beispiele und Gestaltungstipps Arbeitsrechtliche Grenzen der Verhaltenssteuerung, «Pflichtmitgliedschaft» in sozialen Netzen Social Commerce, Social Shopping (Empfehlungshandel) Löschungspflichten bzgl. Negativbewertungen Social Media Monitoring, Social Targeting rechtliche Grenzen der Kundenbeobachtung und zielgerichteter Werbung Grenzen des Online-Marketing, Direktmarketing, Spam-Verbot Aufdeckung von Straftaten wie Rassismus, Pornografie (Art. 261,197 StGB), sexuelle Belästigung (Art. 198 StGB), Abwehr Wirtschaftsspionage (Art. 143 ff. StGB) Korruptionsbekämpfung, Datenbankabgleich, Mitarbeiterscreening Rechtskonforme Terrorbekämpfung, Exportkontrolle, UN-Sanktionslisten, EG-Verordnungen 881/2002 und 2580/2001 Kontrollpflichten nach Art. 9 VDSG, Zutritts-, Zugangs-, Eingabekontrolle Anonyme und personenbezogene Kontrolle von Logfiles/ s Rechtsfolgen unzulässiger Kontrolle, Beweisverwertungsverbote Marktübliche Kontroll- und Wartungssoftware Neue EU-Datenschutzverordnung Aktuell: Entwurf neue EU-Datenschutzverordnung vom Unmittelbare und exterritoriale Geltung Übermittlung von Daten in Drittländer, insbesondere USA Direktmarketing, Stärkung des Kinder- und Jugendschutzes «Recht vergessen zu werden» Informationspflichten bei Datenpannen, Bestellung Datenschutzbeauftragter Bestellung eines Datenschutzbeauftragten Spezielle Regelung bestimmter Datenkategorien (z.b. Gesundheitsdaten, Arbeitnehmerdaten) Bussgelder bis zu zwei Prozent des weltweiten Jahresumsatzes IT-Nutzung am Arbeitsplatz, private Nutzung Privatnutzung am Arbeitsplatz, Geltung des Fernmeldegeheimnisses (Art. 43 FMG) für private Daten ( s) Mitbestimmung, Duldung, betriebliche Übung, Kündigung bei missbräuchlicher Privatnutzung Sanktionen bei Missbrauch der IT-Systeme, Überschreitung der Adminrechte Nutzungs- und Überwachungsreglements für die IT-Nutzung (insbesondere , Internet), Legitimationsgrenzen, Einwilligungen der Mitarbeiter Leitfaden des EDÖB über Internet- und -Überwachung am Arbeitsplatz Gestaltungsmodul Kontrolle Gestaltungsmodul Social Media Social Media Guidelines für Mitarbeiter Ethik- und Verhaltensrichtlinien Datenschutzerklärung, Privacy Policy IT Compliance zulässige Mitarbeiterkontrolle Datenschutzkonforme Kontroll- und Ermittlungsmassnahmen im Unternehmen, Verbot der Verhaltensüberwachung (Art. 26 ArGV3) Nutzungs- und Überwachungsreglement für die IT-Nutzung am Arbeitsplatz Nutzungsreglement für die Privatnutzung von Internet und - Einwilligungen der Mitarbeiter Informationssicherheit Risikomanagement Audits IT-Sicherheits-Policy, notwendige Inhalte Richtlinien für Gastzugänge, Gestaltungstipps aus der Praxis Informationssicherheitsmanagementsysteme (ISMS), Standards (ISO 27001, BSI, Cobit)

4 4 IT Compliance Update Technisch-organisatorische Sicherheitsmassnahmen nach Leitfaden EDÖB Datenschutz-Qualitätszeichen und Zertifizierungsverfahren (Art. 11 DSG, VDSZ), Datenschutzmanagementsystem (DSMS), Richtlinien des EDÖB Datenschutzstandards, EuroPrisSe, B 1.5 des BSI Datenschutzprüfungen durch Datenschutzbeauftragte und Revision Vorgaben externer Auftraggeber, Anforderungskataloge der Wirtschaftsprüfer, IT-Systemprüfung, (ISAE 3402, IDW PS 330) Basel II-Anforderungen an IT-Compliance Gesetzliche Pflichten zu Notfall- und Berechtigungskonzepten Rechtsprechung zum Risikomanagement Im Zweifel keine Vorstandsentlastung Rechtsvorteile der Standards, Zertifizierung, Beweislastumkehr Interne Kontrollsysteme (IKS) Compliance-Tools Managementsysteme Dokumentation der IT-Infrastruktur, ganzheitliches Compliance Management System Interne Kontrollsysteme (IKS) Existenzprüfung nach PS 890 Zusammenhang zwischen IT-Compliance, IKS, Risikomanagement und IT Governance, Risikobeurteilung nach Art. 663b292 Nr. 12 OR Ermittlung der IT-Risiken der Baseline-Ansatz, ISO , PDCA-Modell Kontrollmodelle für Steuerungs- und Überwachungssysteme, Reifegradmodell, Schwachstellenanalyse Standards, Frameworks für interne Kontrollsysteme COSO-Modell und COBIT Tragende Prinzipien, Prozessmodell, Control Objectives, Compliance-Reporting Datenschutzkonforme Umsetzung, insbesondere Transaktionskontrollen Marktübliche Tools für Compliance, Audits und Risikomanagement Einsatz der Tools planen und umsetzen Vorstellung GSTOOL (BSI) und andere GRC-Tools Gestaltungsmodul IT-Sicherheit IT-Sicherheitsrichtlinien nach ISO IT-Benutzerrichtlinien für Mitarbeiter Benutzerrichtlinien für Gastzugänge von Besuchern Rechtssichere Filter- und IT-Sicherheitssysteme, Data Loss Prevention Data Loss Prevention (DLP) Datenschutzkonforme Kommunikations- und File-Kontrolle Rollenbasierte Rechteverwaltung, Gestaltung von Zugangs- und Zugriffsrechten, Tools für Berechtigungsmanagement Jugendschutz am Arbeitsplatz, Art. 41 FDV notwendige technische Massnahmen URL- und Contentfilter, Spamfilter (Reputationfilter), Zugang von s trotz Filterung Zulässigkeit Deep Packet Inspection, Application Layer Firewalls, datenschutzkonformes https-scanning Das neue Internetprotokoll IPv6, rechtliche Auswirkungen Gesetzliche Archivierungspflichten für s und Daten, DMS -Archivierung: gesetzliche Pflichten Lösung der Datenschutzproblematik, Trennung privater/dienstlicher s GeBüV Geschäftsbücherverordnung, Archivierungsgrundsätze wie Unveränderlichkeit, geordnete Verzeichnisstruktur, Dokumentation, Arbeitsanweisungen, Archivierungsfristen Elektronische Betriebsprüfung, Zugriffsrechte Steuerverwaltung, maschinelle Auswertbarkeit Elektronische Rechnungen, EDI-Verfahren der EU Beweissicherheit bei elektronischen Dokumenten (Art. 957 IV OR) E-Discovery Vorlagepflichten von im Prozess, Pre-Trial-Discovery nach US-Recht, elektronische Beweismittelbeschaffung Gestaltungsmodul DMS Verfahrensdokumentation nach GeBÜV Archivierungsrichtlinien für Daten und Dokumente IT-Haftungsrisiken Haftungsfalle IT-Sicherheit Schadensbemessung bei Datenverlust Eigenhaftung der IT-Veranwortlichen nach Art. 321e OR Strafbarkeit: Garantenstellung des Compliance-Officers Haftung für offene W-LAN und Internetplattformen Managerhaftung im Wandel persönliche Haftung der Leitungsebene Störerhaftung des Admin-C für Domains des Arbeitgebers Gestaltungsmodul Haftung Haftungsfreistellungsklauseln für IT- und Datenschutzverantwortliche (Admin-C) Funktions- und Stellenbeschreibungen für IT- und Datenschutzverantwortliche, Compliance-Officer Ihr Vorteil: Integrierte Gestaltungsmodule Die aufgeworfenen Rechtsfragen sollen auch aus Sicht der Gestaltung durch Richtlinien, Betriebsvereinbarungen und Einwilligungen dargestellt werden. Sie erhalten Gestaltungstipps, Musterformulierungen sowie Checklisten für Ihre tägliche Praxis!

5 5 IT Compliance Update Vorsicht Falle! Durch neue Entwicklungen in der IT (z.b. Mobile Computing, ByoD, Social Media, Cloud Computing) und notwendige Gesetzesänderungen sind die rechtlichen Spielregeln ständig im Fluss. Unternehmen müssen daher immer auf dem aktuellen Stand sein, um gesetzliche Vorgaben und Richtlinien einhalten und deren Befolgung nachweisen zu können. Bei Rechtsverletzungen müssen CIOs oder IT-Compliance-Beauftragte mit erheblichen Sanktionen rechnen. Infoline Haben Sie Fragen zu dieser Veranstaltung? Wir helfen Ihnen gerne weiter! Konzeption und Inhalt: Claudia Paul Senior Project Manager Das Praxisseminar «IT Compliance Update» bringt Sie zu den aktuellen Fragestellungen auf den neuesten Stand. Sie erhalten praxistaugliche IT Compliance-Lösungen, die technische, organisatorische und rechtliche Anforderungen abdecken Gestaltungsmodule mit Checklisten, Gestaltungstipps und Formulierungsvorschlägen zeigen Ihnen, wie Sie den abstrakten Rahmen aus Standards und Gesetzen konkret ausgestalten können Schützen Sie sich vor Haftungsfallen und informieren Sie sich jetzt! Organisation: Pierangela Baratti Senior Project Coordinator Telefon: Das Seminar richtet sich an: Das Seminar bietet Ihnen: Praxistaugliche Antworten und Lösungen auf die dringlichsten Fragen im Umfeld von IT Compliance Limitierte Teilnehmerzahl für intensiven Erfahrungsaustausch mit Fachkollegen Umfangreiche Dokumentationsunterlagen mit vielen Checklisten, Gestaltungstipps und Formulierungsvorschlägen Qualifizierte Teilnahmebestätigung im Anschluss an das Seminar Ihr Experte: Horst Speichert Horst Speichert ist seit 15 Jahren als Rechtsanwalt spezialisiert auf IT-Recht und Datenschutz. Schwerpunkt in der Anwaltspraxis ist die Gestaltung von IT-Verträgen, Betriebsvereinbarungen, IT-Sicherheits- und Datenschutzkonzepten. Er ist Lehrbeauftragter für Informationsrecht und internationales Vertragsrecht an der Universität Stuttgart und Autor des Fachbuches «Praxis des IT-Rechts» (2. Auflage, Vieweg-Verlag). Langjährige Tätigkeit als Referent, Seminarleiter und externer Datenschutzverantwortlicher. IT-Entscheider, IT-Leiter, CIOs IT-Sicherheitsbeauftragte, CISOs, CSOs Datenschutzbeauftragte Compliance-Officer Risikomanager IT-Architekten Verantwortliche IT-Recht Unternehmensjuristen Revisoren Geschäftsführer Betriebsräte Systemlieferanten Zeitrahmen des Seminars: Erster Seminartag 8.30 Empfang mit Kaffee und Tee, Ausgabe der Seminarunterlagen 9.00 Seminarbeginn Gemeinsames Mittagessen Ende des ersten Seminartages Am Ende des ersten Seminartages freuen wir uns, Sie zu einem Apéro willkommen zu heissen. Zweiter Seminartag 8.30 Empfang mit Kaffee und Tee 9.00 Seminarbeginn Gemeinsames Mittagessen Ende des Seminars Am Vor- und Nachmittag sind jeweils flexible Kaffeepausen vorgesehen.

6 Seminar IT Compliance Update Ihr persönlicher Anmeldecode So melden Sie sich an im Internet: per Fax: via schriftlich: Euroforum Schweiz AG Postfach/Förrlibuckstrasse 70, CH-8021 Zürich Jetzt schnell und bequem online anmelden! oder ausfüllen und faxen an: Ja, ich/wir nehme(n) teil am 19. und 20. November 2013 zum Preis von CHF zzgl. MwSt. pro Person Ja, ich/wir nehme(n) teil am 14. und 15. Januar 2014 zum Preis von CHF zzgl. MwSt. pro Person Bitte korrigieren Sie meine Adresse wie angegeben: Name [P M012] [P M012] Beachten Sie auch unsere Rabatte für Gruppenbuchungen! Wenn Sie die Veranstaltung mit mehreren Kollegen besuchen, erhält der zweite Teilnehmer aus Ihrem Unternehmen 10% und der dritte 15% Rabatt. Adressänderungen per Telefon: per Fax: per Fragen zu diesem Seminar? Claudia Paul (Senior Project Manager) Pierangela Baratti (Project Coordinator) Tel.: , Termine und Orte 19. und 20. November 2013, Hotel Belvoir Säumerstrasse 37, 8803 Rüschlikon, Telefon: Am Abend des ersten Veranstaltungtages lädt Sie das Hotel Belvoir herzlich zu einem Apéro ein. 14. und 15. Januar 2014, Holiday Inn Zürich Messe Wallisellenstrasse 48, 8050 Zürich, Am Abend des ersten Veranstaltungtages lädt Sie das Holiday Inn Zürich Messe herzlich zu einem Apéro ein. Ihre Zimmerreservierung Im Seminarhotel steht ein begrenztes Zimmerkontingent zur Ver fü gung. Bitte nehmen Sie die Zimmerreservierung direkt im Hotel unter dem Stich wort «Euroforum-Seminar» vor. Position/Abteilung Telefon Name Geburtsjahr Die Euroforum Schweiz AG darf mich über ihre Angebote sowie über Angebote von Konzern- und Partnerunternehmen zu Werbezwecken per informieren: Ja Nein Fax Teilnahmebedingungen Der Teilnahmebetrag für diese Veranstaltung inklusive Seminarunterlagen, Mittagessen und Pausengetränken ist nach Erhalt der Rechnung fällig. Nach Eingang Ihrer Anmeldung erhalten Sie eine Bestätigung. Die Stornierung (nur schriftlich) ist bis 14 Tage vor Veranstaltungsbeginn kostenlos möglich, danach wird die Hälfte des Teilnahmebetrages erhoben. Bei Nichterscheinen oder Stornierung am Veran staltungstag wird der gesamte Teilnahmebetrag fällig. Gerne akzeptieren wir ohne zusätzliche Kosten einen Ersatzteilnehmer. Programm ände rungen aus dringendem Anlass behält sich der Veranstalter vor. Position/Abteilung Telefon Firma Anschrift Fax Geburtsjahr Die Euroforum Schweiz AG darf mich über ihre Angebote sowie über Angebote von Konzern- und Partnerunternehmen zu Werbezwecken per informieren: Ja Nein Datenschutzinformation Die Euroforum Schweiz AG verwendet die im Rahmen der Bestellung und Nutzung unseres An gebotes erhobenen Daten in den geltenden rechtlichen Grenzen zum Zweck der Durchführung unserer Leistungen und um Ihnen postalisch Informationen über weitere Angebote von uns sowie unseren Partner- oder Konzernunternehmen zukommen zu lassen. Wenn Sie unser Kunde sind, informieren wir Sie ausserdem in den geltenden rechtlichen Grenzen per über unsere Angebote, die den vorher von Ihnen genutzten Leistungen ähnlich sind. Soweit im Rahmen der Verwendung der Daten eine Übermittlung in Länder ohne ange messenes Datenschutzniveau erfolgt, schaffen wir ausreichende Garantien zum Schutz der Daten. Ausserdem verwenden wir Ihre Daten, soweit Sie uns hierfür eine Einwilligung erteilt haben. Sie können der Nutzung Ihrer Daten für Zwecke der Werbung oder der Ansprache per oder Telefax jederzeit gegenüber der Euroforum Schweiz AG, Postfach/Förrlibuckstrasse 70, CH-8021 Zürich widersprechen. Position Datum, Unterschrift Bitte ausfüllen, falls die Rechnungsanschrift von der Kundenanschrift abweicht: Name Abteilung Anschrift Euroforum Quality in Business Information Der Name Euroforum steht in Europa für hochwertige Kongresse, Seminare und Workshops. In der Schweiz gehört die Euroforum Schweiz AG mit Sitz in Zürich zu den führenden Veranstaltern von Management-Tagungen und -Seminaren. Ausgewählte, praxiserfahrene Referenten berichten zu aktuellen Themen aus Wirtschaft, Wissenschaft und Verwaltung. Darüber hinaus bieten wir Führungskräften ein erstklassiges Forum für Informations- und Erfahrungsaustausch. Die Planung der Veranstaltungen erfolgt in enger Zusammenarbeit mit der Verlagsgruppe Handelszeitung.