IT Compliance Update Aktuelle Entwicklungen bei Informationssicherheit, Richtlinien, Kontrolle, Datenschutz, Haftung

Transkript

1 Praxisseminar 20. und 21. Mai 2014 Holiday Inn Zürich Messe, Zürich 9. und 10. Juli 2014 Hotel Sedartis, Thalwil IT Compliance Update Aktuelle Entwicklungen bei Informationssicherheit, Richtlinien, Kontrolle, Datenschutz, Haftung Bringen Sie Ihr Wissen auf den neuesten Stand! Richtlinien für die Gestaltung und Dokumentation der IT Compliance Software-Audits Was ist erlaubt? Wie bereiten Sie sich optimal vor? NSA-Affäre Informations-Update Wirtschaftsspionage und Geheimnisverrat Big Data SIEM etc. grosse Datenmengen rechtssicher managen Mobile Geräte + BYOD rechtskonform und sicher umsetzen Setzen Sie Cloud Computing und Outsourcing rechtskonform um Social Media Richtlinien gestalten Kontrolle in sozialen Netzen Interne Ermittlungen und Kontrollen datenschutzkonform umsetzen Nutzungs- und Überwachungsreglemente nach EDÖB Welche Daten sind archivierungspflichtig? Elektronisches Rechnungswesen Wirksames internes Kontrollsystem (IKS) aufbauen Einsatz von Compliance Tools Haftungsrisiken als IT- und Datenschutz-Verantwortliche vermeiden Direkt in die Praxis umsetzbar durch: w Checklisten w Gestaltungstipps w Formulierungsvorschläge Auf Basis aktueller Schweizer Gesetze

2 2 IT Compliance Update Erster Tag Kompakteinstieg Begriff IT Compliance und interne Kontrollsysteme Relevante Gesetze für IT Compliance, Datenschutz, Informationssicherheit Grundbegriffe des Datenschutzes Web oder App? Terminalnutzung als Lösung Homeoffice und Geschäftsreisen: Web oder App? Terminalnutzung Haftung des Arbeitgebers für Verlust, Beschädigung, Roaming-Gebühren Gestaltungsmodul Mobile Geräte BYOD NSA-Affäre: Datenspionage, Geheimnisverrat, Know-how-Abfluss PRISM, Tempora, Echolon organisierte Angriffe auf Daten und Netze, Wirtschaftsspionage aus dem Ausland, insbesondere USA und China NSA Skandal: Was dürfen Geheimdienste in den USA und Schweiz? Backdoors für Geheimdienste Gesetzliche Regelungen Anti-Terrorismus-Gesetze u USA-Patriot-Act FISA Foreign Intelligence Surveillance Act/ Court Durchgriff der US-Behörden auf Cloud Daten u Welche internationalen Datenströme verwenden /Internet? Effiziente Schutzmassnahmen, insbesondere Verschlüsselung Cyberwar militärische Angriffsszenarien, Stuxnet, Flame Soziale Netze Risiko Informations-Abfluss, Reputationsrisiken Juristische Reaktionsmöglichkeiten bei Geheimnisverrat im Unternehmen u Whistleblowing datenschutzkonforme Hinweissysteme, arbeitsrechtliche Grenzen, WP 117 Sensibilisierung der Mitarbeiter: Geheimnisschutz durch Richtlinien und Arbeitsvertrag, Gestaltungstipps Gestaltungsmodul Geheimschutz Abwehr- und Geheimschutzklauseln in Cloud-Verträgen und Auftrags-DV Verpflichtungserklärungen auf Datengeheimnis, Geheimhaltung im Arbeitsvertrag Aktuelles Special: Softwarelizenz-Audits u Softwarelizenz-Audits Was kommt auf Sie zu? Vertragsgestaltung, Datenschutzproblematik, Prävention durch Lizenzmanagement UsedSoft, EuGH vom , zulässiger Handel mit Gebrauchtsoftware Insolvenzfestigkeit von Softwareverträgen, Software-Escrow Mobile Geräte + BYOD (Bring your own device) Verwendung privater Endgeräte, Fluch oder Segen? Risiken und Sicherheitsanforderungen bei privaten Smartphones, Tablets etc.; Zugriffsschutz, Verschlüsselung, Schnüffel-Apps, vertragliche Geheimhaltungspflichten Trennung privat-dienstlich durch Containerlösung (z.b. Good Client) Mobile Device Management (MDM): Kontrolle, Remote-Löschung Wer hat das Recht an den Daten? Herausgabe der Daten bei Ausscheiden Lizenzproblematik Lizenzierungsmodelle, Freigabeverfahren für Apps, Whitelist/Blacklist für Apps? Jailbreaks Richtlinien, Nutzungsvereinbarung BYOD und mobile Geräte, Benutzerrichtlinien für Homeoffice Betriebsvereinbarung und Datenschutzeinwilligung Disclaimer, Haftungsklausel für den Arbeitgeber Cloud-Computing Outsourcing Datentransfer ins Ausland Datenverarbeitung durch Dritte (Dienstleister) nach Art. 10a DSG Vertragsgestaltung, notwendige Regelungen Informationspflichten gegenüber EDÖB, 6 III DSG, Art. 6 I VDSG Cloud-Computing Fragen zu Vertragsgestaltung und Datenschutz Schadens- und Haftungsszenarien, Kontrolle in der Cloud Insbesondere: Auslagerung der Buchhaltung, Archivierung, Personaldaten, CRM-Systeme etc. Zulässiger Datentransfer ins Ausland Auslands-Datenverarbeitung, Outsourcing-Konzept des EDÖB Liste der sicheren Drittstaaten des EDÖB U.S.-Swiss Safe Harbor Framework Registrierung, Zertifizierung Unsichere Drittsaaten, Art. 6 II DSG Mustervertrag des EDÖB, die neuen EU-Standardvertragsklauseln u IT-Audit beim Dienstleister Kontrolle des Sicherheitskonzepts (Art. 10a II DSG), vor-ort + Doku-Prüfung, praktische Durchführung, Prüfkataloge Herausgabe von Daten bei Vertragsende + Insolvenz u Binding Corporate Rules (BCR) Konzernweite Datenschutzrichtlinien, Praxisbericht wesentliche Inhalte der EU-Working Papers, das neue WP 195 vom , Gestaltungstipps Verarbeitung personenbezogener Daten deutscher Auftraggeber Neuregelung der Auftrags-DV nach 11 BDSG, schriftlicher Vertrag, die zehn Pflichtklauseln Neue Orientierungshilfe Cloud Computing der deutschen Aufsichtsbehörden vom Gestaltungsmodul Cloud-Outsourcing Vereinbarung für Datenverarbeitung durch Dienstleister nach 10a DSG Vereinbarung mit Auslandsdienstleister EU-Standardvertragsklauseln und Swiss-Safe Harbor Weltweite Datenschutzrichtlinien im Konzern, Binding Corporate Rules (BCR)

3 3 IT Compliance Update Social Media Online-Werbung u Aktuell: die neue Impressumspflicht, Anbieterkennzeichnung, Revision des UWG Fanseiten bei Facebook, Zulässigkeit der Facebook- und Apple-AGB, «Like-Button» und Reichweitenanalyse Blogs, Foren rechtssicher betreiben, User Generated Content (Fremdinhalte); aktuell: Haftung für Blogbeiträge: Bundesgericht vom ; Haftung für Links u Umgang mit Cookies, Tracking Cookies, Cookie-Richtlinie der EU, Einwilligungen der Nutzer durch Popup-Fenster Webtracking-Tools, Google-Analytics, Lösung durch Einigung mit Behörden, neue Fassung von Feb Funktion der Datenschutzerklärung (Privacy Policy) Zulässigkeit von Personenbewertungen, Online-Pranger, isharegossip.com Social Shopping (Empfehlungshandel) Löschungspflichten bezüglich Negativbewertungen Risiken durch Mitarbeiter: Informations-Abfluss, Reputationsrisiken u Social Media Guidelines notwendige Verhaltensrichtlinien für Mitarbeiter, EuGH vom , Beispiele und Gestaltungstipps Arbeitsrechtliche Grenzen der Verhaltenssteuerung, «Pflichtmitgliedschaft» in sozialen Netzen Social Media Monitoring, Social Targeting rechtliche Grenzen der Kundenbeobachtung und zielgerichteter Werbung Grenzen des Online-Marketing, Direktmarketing, Spam-Verbot u Publikation von Fotos, Bildern, Videos von Mitarbeitern/ Kunden, Rechtslage bei YouTube, notwendige Einwilligungen Gestaltungsmodul Social Media Social Media Guidelines für Mitarbeiter Datenschutzerklärung, Privacy Policy Zweiter Tag Update Datenschutz - neue EU-Datenschutz-VO u Aktuell: neue EU-Datenschutz-GrundVO, Änderungsentwurf vom massgebliche Inhalte, was kommt auf uns zu? Kritik: Abschlussbericht EU-Parlament vom Unmittelbare und extraterritoriale Geltung Übermittlung von Daten in Drittländer, insbesondere USA Direktmarketing, Stärkung des Kinder- und Jugendschutz «Recht vergessen zu werden» Informationspflichten bei Datenpannen, Bestellung Datenschutzbeauftragter Spezielle Regelung bestimmter Datenkategorien (z.b. Gesundheitsdaten, Arbeitnehmerdaten) Bussgelder bis zu zwei Prozent des weltweiten Jahresumsatzes u Big Data Verarbeitung riesiger Datenmengen, Datenschutzproblematik E-Recruiting-Plattformen Online Bewerbungsverfahren, Datenschutzkonzept IT-Nutzung am Arbeitsplatz, private Nutzung Privatnutzung am Arbeitsplatz, Geltung des Fernmeldegeheimnisses (Art. 43 FMG) für private Daten ( s) Duldung, betriebliche Übung, Kündigung bei missbräuchlicher Privatnutzung Sanktionen bei Missbrauch der IT-Systeme, Überschreitung der Adminrechte u Ausscheidende Mitarbeiter, Löschungspflicht privater s und Daten Nutzungs- und Überwachungsreglements für die IT-Nutzung (insbesondere , Internet), Legitimationsgrenzen, Einwilligungen der Mitarbeiter Leitfaden des EDÖB über Internet- und - Überwachung am Arbeitsplatz Gestaltungsmodul Kontrolle Nutzungs- und Überwachungsreglement für die IT-Nutzung am Arbeitsplatz Nutzungsreglement für die Privatnutzung von Internet und Einwilligungen der Mitarbeiter Interne Ermittlungen und zulässige Mitarbeiterkontrolle Datenschutzkonforme Kontroll- und Ermittlungsmassnahmen im Unternehmen, Abwehr Wirtschaftsspionage, Verbot der Verhaltensüberwachung (Art. 26 ArGV3) Aufdeckung von Straftaten wie Rassismus, Pornographie (Art. 261, 197 StGB), sexuelle Belästigung (Art. 198 StGB); Abwehr Wirtschaftsspionage (Art. 143 ff. StGB) u Mitarbeiterkontrolle in Sozialen Netzen, Geolokalisierung, Überwachung durch GPS-Empfänger Anonyme und personenbezogene Kontrolle von Logfiles/ s Korruptionsbekämpfung, Datenbankabgleich, Mitarbeiterscreening (verdeckte) Videoüberwachung der Kunden und Mitarbeiter Rechtskonforme Terrorbekämpfung, Exportkontrolle, UN- Sanktionslisten, EG-Verordnungen 881/2002 und 2580/2001 Kontrollpflichten nach Art. 9 VDSG, Zutrittskontrollsysteme Marktübliche Kontroll- und Wartungssoftware, Admin-Zugriffe, Helpdesk, VNC-Client Rechtsfolgen unzulässiger Kontrolle, Beweisverwertungsverbote Informationssicherheit Risikomanagement Audits IT-Sicherheits-Policy, notwendige Inhalte Richtlinien für Gastzugänge, Gestaltungstipps aus der Praxis Informationssicherheitsmanagementsysteme (ISMS), Standards (ISO 27001, BSI, Cobit) Technisch-organisatorische Sicherheitsmassnahmen nach Leitfaden EDÖB Datenschutz-Qualitätszeichen und Zertifizierungsverfahren (Art. 11 DSG, VDSZ), Datenschutzmanagementsystem (DSMS), Richtlinien des EDÖB

4 4 IT Compliance Update Datenschutzstandards, EuroPriSe, B 1.5 des BSI Datenschutzprüfungen durch Datenschutzbeauftragte und Revision IT-Audits erfolgreich bestehen: Vorgaben externer Auftraggeber, Anforderungskataloge der Wirtschaftsprüfer, IT-Systemprüfung, (ISAE 3402, IDW PS 330) Basel III-Anforderungen an IT Compliance Gesetzliche Pflichten zu Notfall- und Berechtigungskonzepten Rechtsprechung zum Risikomanagement im Zweifel keine Vorstandsentlastung Rechtsvorteile der Standards, Zertifizierung, Beweislastumkehr Interne Kontrollsysteme (IKS) Compliance-Tools Managementsysteme Dokumentation der IT-Infrastruktur, ganzheitliches Compliance Management System Interne Kontrollsysteme (IKS) Existenzprüfung nach PS 890 Zusammenhang zwischen IT Compliance, IKS, Risikomanagement und IT Governance, Risikobeurteilung nach Art. 663b292 Nr. 12 OR Ermittlung der IT-Risiken der Baseline-Ansatz, ISO , PDCA-Modell Kontrollmodelle für Steuerungs- und Überwachungssysteme, Reifegradmodell, Schwachstellenanalyse Standards, Frameworks für interne Kontrollsysteme COSO-Modell und COBIT tragende Prinzipien, Prozessmodell, Control Objectives, Compliance-Reporting Datenschutzkonforme Umsetzung, insbesondere Transaktionskontrollen Marktübliche Tools für Compliance, Audits, Risikomanagement Vorstellung GSTOOL (BSI) und andere GRC-Tools Gestaltungsmodul IT-Sicherheit Archivierungspflichten für s und Daten, DMS -Archivierung: gesetzliche Pflichten, Lösung der Datenschutzproblematik, Trennung private/ dienstliche s GeBüV Geschäftsbücherverordnung, Archivierungsgrundsätze wie Unveränderlichkeit, geordnete Verzeichnisstruktur, Dokumentation, Arbeitsanweisungen, Archivierungsfristen Elektronische Betriebsprüfung, Zugriffsrechte Steuerverwaltung, maschinelle Auswertbarkeit Elektronische Rechnungen, EDI-Verfahren der EU Beweissicherheit bei elektronischen Dokumenten (Art. 957 IV OR) Vorlagepflichten von im Prozess Gestaltungsmodul DMS Verfahrensdokumentation nach GeBÜV Archivierungsrichtlinien für Daten und Dokumente IT-Haftungsrisiken Haftungsfalle IT-Sicherheit Schadensbemessung bei Datenverlust Eigenhaftung der IT-Verantwortlichen nach Art. 321e OR Strafbarkeit: Garantenstellung des Compliance-Officers Haftung für offene W-LAN und Internetplattformen Managerhaftung im Wandel persönliche Haftung der Leitungsebene Störerhaftung des Admin-C für Domains des Arbeitgebers Gestaltungsmodul Haftung Haftungsfreistellungsklauseln für IT- und Datenschutzverantwortliche (Admin-C) IT-Sicherheitsrichtlinien nach ISO Funktions- und Stellenbeschreibungen für IT- und Datenschutzverantwortliche, Compliance-Officer IT-Benutzerrichtlinien für Mitarbeiter Benutzerrichtlinien für Gastzugänge von Besuchern Rechtssichere Filter- und IT-Sicherheitssysteme, Data Loss Prevention Data Loss Prevention (DLP) datenschutzkonforme Kommunikations- und File-Kontrolle Rollenbasierte Rechteverwaltung u SIEM Security Information and Event Management, Protokollierung und Auswertung, rechtssicher umsetzen Jugendschutz am Arbeitsplatz, Art. 41 FDV, URLund Contentfilter, Spamfilter Zulässigkeit Deep Packet Inspection, Application Layer Firewalls, datenschutzkonformes https-scanning Datenvernichtung neuer Standard DIN Das neue Internetprotokoll IPv6, rechtliche Auswirkungen Zeitrahmen des Seminars: Erster Seminartag 8.30 Empfang mit Kaffee und Tee, Ausgabe der Seminarunterlagen 9.00 Seminarbeginn Gemeinsames Mittagessen Ende des ersten Seminartages Am Ende des ersten Seminartages freuen wir uns, Sie zu einem Apéro willkommen zu heissen. Zweiter Seminartag 8.30 Empfang mit Kaffee und Tee 9.00 Seminarbeginn Gemeinsames Mittagessen Ende des Seminars Am Vor- und Nachmittag sind jeweils flexible Kaffeepausen vorgesehen.

5 5 IT Compliance Update Vorsicht Falle! Cloud, Big Data, Mobile Computing, BYOD, Social Media IT und Internet setzen Business-Trends und entwickeln sich pausenlos fort. Der Gesetzgeber reagiert mit der Anpassung bestehender Paragraphen sowie mit neuen Verordnungen, Datenschutzrichtlinien und Haftungsvorgaben. Infoline Haben Sie Fragen zu dieser Veranstaltung? Wir helfen Ihnen gerne weiter! Für Unternehmen bedeutet das: Am Ball bleiben, um die Befolgung und Einhaltung von Gesetzen nachzuweisen und nicht die Kontrolle über die Systeme zu verlieren. IT Compliance-Beauftragte und CIOs sind gefordert! Denn Rechtsverletzungen haben erhebliche Sanktionen zur Folge. Teilnehmer von IT Compliance Update sind nach dem Seminar auf dem aktuellsten Stand des rechtlichen Regelwerks für die Informationssicherheit. Mithilfe von Checklisten, Gestaltungshinweise und Formulierungsvorschlägen haben Sie nach dem Seminar die Chance zur einwandfreien Umsetzung in die tägliche Praxis. Nutzen Sie die Gelegenheit und schützen Sie Ihre IT durch wertvolle Tipps unseres Experten! Konzeption und Inhalt: Tobias Knoben Senior Project Manager Organisation: Ester Ami Project Coordinator Telefon: Das Seminar bietet Ihnen: Praxistaugliche Antworten und Lösungen auf die dringlichsten Fragen im Umfeld von IT Compliance Limitierte Teilnehmerzahl für intensiven Erfahrungsaustausch mit Fachkollegen Umfangreiche Dokumentationsunterlagen mit vielen Checklisten, Gestaltungstipps und Formulierungsvorschlägen Qualifizierte Teilnahmebestätigung im Anschluss an das Seminar Das Seminar richtet sich an: IT-Entscheider, IT-Leiter, CIOs IT-Sicherheitsbeauftragte, CISOs, CSOs Datenschutzbeauftragte Compliance-Officer Risikomanager IT-Architekten Verantwortliche IT-Recht Unternehmensjuristen Revisoren Geschäftsführer Betriebsräte Systemlieferanten Ihr Experte: Horst Speichert Horst Speichert ist seit 15 Jahren als Rechtsanwalt spezialisiert auf IT-Recht und Datenschutz. Schwerpunkt in der Anwaltspraxis ist die Gestaltung von IT-Verträgen, Betriebsvereinbarungen, IT-Sicherheits- und Datenschutzkonzepten. Er ist Lehrbeauftragter für Informationsrecht und internationales Vertragsrecht an der Universität Stuttgart und Autor des Fachbuches «Praxis des IT-Rechts» (2. Auflage, Vieweg-Verlag). Langjährige Tätigkeit als Referent, Seminarleiter und externer Datenschutzverantwortlicher. Ihr Vorteil: Integrierte Gestaltungsmodule Die aufgeworfenen Rechtsfragen sollen auch aus Sicht der Gestaltung durch Richtlinien, Betriebsvereinbarungen und Einwilligungen dargestellt werden. Sie erhalten Gestaltungstipps, Musterformulierungen sowie Checklisten für Ihre tägliche Praxis!

6 Seminar IT Compliance Update Ihr persönlicher Anmeldecode So melden Sie sich an im Internet: per Fax: via schriftlich: Euroforum Schweiz AG Postfach/Förrlibuckstrasse 70, CH-8021 Zürich Jetzt schnell und bequem online anmelden! Ja, ich/wir nehme(n) teil am 20. und 21. Mai 2014 zum Preis von CHF zzgl. MwSt. pro Person Ja, ich/wir nehme(n) teil am 9. und 10. Juli 2014 zum Preis von CHF zzgl. MwSt. pro Person oder ausfüllen und faxen an: [P M012] [P M012] Adressänderungen per Telefon: per Fax: per Fragen zu diesem Seminar? Tobias Knoben (Senior Project Manager) Ester Ami (Project Coordinator) Tel.: , Termine und Orte 20. und 21. Mai 2014, Holiday Inn Zürich Messe Wallisellenstrasse 48, 8050 Zürich, Am Abend des ersten Veranstaltungtages lädt Sie das Holiday Inn Zürich Messe herzlich zu einem Apéro ein. Bitte korrigieren Sie meine Adresse wie angegeben: Name Position/Abteilung Telefon Name Position/Abteilung Telefon Firma Anschrift Beachten Sie auch unsere Rabatte für Gruppenbuchungen! Wenn Sie die Veranstaltung mit mehreren Kollegen besuchen, erhält der zweite Teilnehmer aus Ihrem Unternehmen 10% und der dritte 15% Rabatt. Fax Geburtsjahr Die Euroforum Schweiz AG darf mich über ihre Angebote sowie über Angebote von Konzern- und Partnerunternehmen zu Werbezwecken per informieren: Ja Nein Geburtsjahr Die Euroforum Schweiz AG darf mich über ihre Angebote sowie über Angebote von Konzern- und Partnerunternehmen zu Werbezwecken per informieren: Ja Nein Fax 9. und 10. Juli 2014, Hotel Sedartis, Thalwil Bahnhofstrasse 16, 8800 Thalwil, Telefon: Am Abend des ersten Veranstaltungtages lädt Sie das Hotel Sedartis herzlich zu einem Apéro ein. Ihre Zimmerreservierung Im Seminarhotel steht ein begrenztes Zimmerkontingent zur Ver fü gung. Bitte nehmen Sie die Zimmerreservierung direkt im Hotel unter dem Stich wort «Euroforum-Seminar» vor. Teilnahmebedingungen Der Teilnahmebetrag für diese Veranstaltung inklusive Seminarunterlagen, Mittagessen und Pausengetränken ist nach Erhalt der Rechnung fällig. Nach Eingang Ihrer Anmeldung erhalten Sie eine Bestätigung. Die Stornierung (nur schriftlich) ist bis 14 Tage vor Veranstaltungsbeginn kostenlos möglich, danach wird die Hälfte des Teilnahmebetrages erhoben. Bei Nichterscheinen oder Stornierung am Veran staltungstag wird der gesamte Teilnahmebetrag fällig. Gerne akzeptieren wir ohne zusätzliche Kosten einen Ersatzteilnehmer. Programm ände rungen aus dringendem Anlass behält sich der Veranstalter vor. Datenschutzinformation Die Euroforum Schweiz AG verwendet die im Rahmen der Bestellung und Nutzung unseres An gebotes erhobenen Daten in den geltenden rechtlichen Grenzen zum Zweck der Durchführung unserer Leistungen und um Ihnen postalisch Informationen über weitere Angebote von uns sowie unseren Partner- oder Konzernunternehmen zukommen zu lassen. Als Kunde informieren wir Sie ausserdem in den geltenden rechtlichen Grenzen per über unsere Angebote, die den vorher von Ihnen genutzten Leistungen ähnlich sind. Soweit im Rahmen der Verwendung der Daten eine Übermittlung in Länder ohne angemessenes Datenschutzniveau erfolgt, schaffen wir ausreichende Garantien zum Schutz der Daten. Ausserdem verwenden wir Ihre Daten, soweit Sie uns hierfür eine Einwilligung erteilt haben. Sie können der Nutzung Ihrer Daten für Zwecke der Werbung oder der Ansprache per oder Telefax jederzeit gegenüber der Euroforum Schweiz AG, Postfach/Förrlibuckstrasse 70, CH-8021 Zürich widersprechen. Position Datum, Unterschrift Bitte ausfüllen, falls die Rechnungsanschrift von der Kundenanschrift abweicht: Name Abteilung Anschrift Euroforum Quality in Business Information Der Name Euroforum steht in Europa für hochwertige Kongresse, Seminare und Workshops. In der Schweiz gehört die Euroforum Schweiz AG mit Sitz in Zürich zu den führenden Veranstaltern von Management-Tagungen und -Seminaren. Ausgewählte, praxiserfahrene Referenten berichten zu aktuellen Themen aus Wirtschaft, Wissenschaft und Verwaltung. Darüber hinaus bieten wir Führungskräften ein erstklassiges Forum für Informations- und Erfahrungsaustausch. Die Planung der Veranstaltungen erfolgt in enger Zusammenarbeit mit der Verlagsgruppe Handelszeitung.