IT Compliance Update. Bringen Sie Ihr Wissen auf den neuesten Stand:

Transkript

1 IT Compliance Update Aktuelle Entwicklungen bei Informationssicherheit, Richtlinien, Kontrolle, Datenschutz, Haftung Direkt in die Praxis umsetzbar durch: Checklisten Gestaltungstipps Formulierungsvorschläge Bringen Sie Ihr Wissen auf den neuesten Stand: Geheimnisverrat und Datenklau richtig vorbeugen Cloud Computing sicher nutzen Soziale Netze rechtmäßig analysieren Benutzerrichtlinien, Verhaltens- und Social Media Guideline optimal gestalten s und Daten gesetzmäßig archivieren Interne Kontrollsysteme (IKS) wirksam aufbauen Compliance Tools sinnvoll einsetzen Haftungsrisiken für IT-Verantwortliche und Datenschutzbeauftragte vermeiden P r a x I S S E M I N A r 27. und 28. Februar 2012, München 24. und 25. April 2012, Köln w w w. e u r o f o r u m. d e

2 2 Kompakteinstieg und Update Begriff IT Compliance und interne Kontrollsysteme Relevante Gesetze für IT Compliance, Datenschutz, Informationssicherheit Grundbegriffe des Datenschutzes Datenspionage, Geheimnisverrat, Know-how-Abfluss Angriffe auf Datennetze aus dem Ausland, insbesondere China USA-Patriot-Act Durchgriff der US-Behörden auf Cloud Daten, Regelungen mit IT-Bezug, mögliche Schutzmaßnahmen Wiki-Leaks, Stuxnet und die Folgen Nationales Cyber-Abwehrzentrum Juristische Reaktionsmöglichkeiten bei Geheimnisverrat im Unternehmen Whistleblowing Datenschutzkonforme Hinweissysteme durch Mitarbeiter, arbeitsrechtliche Grenzen Sensibilisierung der Mitarbeiter: Geheimnisschutz durch Richtlinien und Arbeitsvertrag Vertragsgestaltung für Zusammenarbeit mit Geschäftspartnern Gestaltungsmodul Geheimschutz Geheimschutzklauseln im Vertrag (Arbeitsvertrag + Dienstleistungsvertrag) Verpflichtungserklärung auf Geheimhaltung und Datengeheimnis nach 5 BDSG Cloud Computing Auftrags-DV Datentransfer ins Ausland Neuregelung der Auftrags-DV nach 11 BDSG Die zehn Pflichtklauseln, notwendige Anpassung der Altverträge Kontrolle des Sicherheitskonzepts Praktische Durchführung Cloud Computing Fragen zu Vertragsgestaltung und Datenschutz Neue Orientierungshilfe Cloud Computing der Aufsichtsbehörden vom Schadens- und Haftungsszenarien, Kontrolle in der Cloud Insbesondere: Auslagerung der Buchhaltung, Archivierung, Personaldaten, CRM-Systeme etc. Auslands-Datenverarbeitung Zulässiger Datentransfer ins Ausland Die neuen EU-Standardvertragsklauseln vom Binding Corporate Rules (BCR) Wichtige Inhalte nach den Working Papers der EU Ablauf Genehmigungsverfahren, Erfahrungstipps Funktion der Datenschutzerklärung (Privacy Policy) Gestaltungsmodul Cloud Zusatzvereinbarung für Auftrags-DV mit Dienstleister nach 11 BDSG Zusatzvereinbarung mit Auslandsdienstleister nach EU-Standardvertragsklauseln und Safe Harbor Weltweite Datenschutzrichtlinien durch Binding Corporate Rules (BCR) Soziale Netzwerke und Web 2.0 Soziale Netze Facebook, LinkedIn, YouTube etc., übliche Funktionalitäten (Profile, Statusmeldungen, Veröffentlichung) Risiken (Informations-Abfluss, Reputationsrisiken) und Verhaltensrichtlinien für Mitarbeiter User Generated Content, urheberrechtswidriger Upload, Verwendung fremder Texte, Setzen von Links Haftungsprobleme Gefällt mir -Button von Facebook, datenschutzrechtliche Zulässigkeit, LG Berlin vom , rechtskonforme Lösung Zulässigkeit der Geolokalisierung, IP-Adressen als personenbezogene Daten Auswahl neuer Mitarbeiter, Möglichkeiten der Überprüfung, zulässige Internetrecherchen Social Marketing und Targeting, neuer Gesetzentwurf des BMI: Datenschutz im Internet, neue Cookie-Richtlinie 2009/136/EG Verwendung von Fotos, Bildern, Videos von Kunden/ Mit arbeitern, Vorgaben des KUG, notwendige Einwilligungen Webtracking-Tools, Google-Analytics: Einigung mit Behörden, rechtskonforme Lösung Gestaltungsmodul Social Media Social Media Guidelines für Mitarbeiter Ethik- und Verhaltensrichtlinien Datenschutzerklärung, Privacy Policy Zeitrahmen des Seminars: 1. Tag: 9.00 Empfang mit Kaffee und Tee, 2. Tag: 8.30 Empfang mit Kaffee und Tee Ausgabe der Tagungsunterlagen 9.00 Seminarbeginn 9.30 Seminarbeginn Gemeinsames Mittagessen Gemeinsames Mittagessen Ende des Seminars Ende des ersten Seminartages Am Vor- und Nachmittag sind flexible Kaffeepausen vorgesehen. Lassen Sie den ersten Seminartag bei einem gemeinsamen Umtrunk ausklingen.

3 3 BYOD (Bring your own device) - Mobile Computing Special BYOD: Verwendung privater Endgeräte, Fluch oder Segen? Sicherheitsprobleme und Bedrohungsszenarien bei privaten Smartphones, Tablets etc. Haftung für Privatgeräte, Diebstahl und Verlust, Verletzung von Geheimhaltungspflichten Wer hat das Recht an den Daten? Trennung privat-dienstlich Mobile Device Management (MDM): Kontrolle, Remote- Löschung, Datenschutzprobleme Rechtssicher gestalten durch Benutzer-RL, Betriebsvereinbarung und Einwilligung Mobile Sicherheit: Zugriffsschutz, Verschlüsselung, datenschutzkonforme Schnittstellenkontrolle (Device Control) Notwendige Regeln für Homeoffice und Geschäftsreisen Smartphones und Apps, lizenzsichere Verwendung Datenschutz auf mobilen Endgeräten, Privatnutzung Kontrollmaßnahmen, Reichweite Fernmeldegeheimnis Gestaltungsmodul Mobile Videoüberwachung Arbeitnehmer, Biometrie, Ortungssysteme (GPS, RFID) Neue Leitlinien für DSB des Düsseldorfer Kreises, neuer Kündigungsschutz für DSB nach BAG-Rechtsprechung Verschärfter Bußgeldkatalog IT-Nutzung am Arbeitsplatz, private Nutzung Privatnutzung am Arbeitsplatz, Arbeitgeber als TK-Provider, BAG-Rechtsprechung Keine Geltung des Fernmeldegeheimnisses für private s, LAG Berlin-Brandenburg, VGH Hessen Mitbestimmung, Duldung, betriebliche Übung, Kündigung bei missbräuchlicher Privatnutzung Recht auf IT-Nutzung und Internet für Betriebsrat Sanktionen bei Missbrauch der IT-Systeme, Überschreitung der Adminrechte Betriebsvereinbarungen für die IT-Nutzung (insbesondere , Internet), Legitimationsgrenzen, Einwilligungen der Mitarbeiter Benutzerrichtlinien BYOD und mobile Geräte Gestaltungsmodul Kontrolle Benutzerrichtlinien für Homeoffice Betriebs-/Dienstvereinbarungen für die IT-Nutzung IT Compliance zulässige Mitarbeiterkontrolle Zulässige Kontroll- und Ermittlungsmaßnahmen im Unternehmen, Verhaltenskontrolle nach dem neuen 32 BDSG Datenschutzkonforme Korruptionsbekämpfung, Abwehr Wirtschaftsspionage Pflicht nach 130 OWiG Aktuelle Szenarien (Fall Bahn), legaler Datenbankabgleich, Mitarbeiterscreening Rechtskonforme Terrorbekämpfung, Exportkontrolle Embargomaßnahmen zur Terrorismusbekämpfung, EG Verordnungen 881/2002 und 2580/2001 UN-Sanktionslisten, Sperrlisten Datenschutzkonformer Abgleich mit Mitarbeitern, Einsatz Prüfsoftware Kontrollpflichten nach 9 BDSG, rechtskonforme Zugangs- und Eingabekontrolle Rechtmäßige Zutrittskontrollen; anonyme und personenbezogene Kontrolle von Logfiles/ s Rechtsfolgen unzulässiger Kontrolle, Beweisverwertungsverbote Der Fluch des Admin Marktübliche Kontroll- und Wartungssoftware, Helpdesk, VNC-Client Das neue Beschäftigtendatenschutzgesetz Novellierung des BDSG Der neueste Entwurf vom Neue Informationspflichten, Haftungsfolgen bei Datenpannen nach 42a BDSG Umgang mit Bewerberdaten, medizinische Untersuchungen, Eignungstest Neuregelung Telekommunikation und private Nutzung am Arbeitsplatz Einwilligung der Mitarbeiter bei Privatnutzung Risikomanagement IT- und Datenschutz-Audits IT-Sicherheits-Policy, notwendige Inhalte Richtlinien für Gastzugänge, Gestaltungstipps aus der Praxis Informationsmanagementsysteme (ISMS), Standards (ISO 27001, BSI, ITIL, ISO etc.) Datenschutzprüfungen durch Datenschutzbeauftragte und Revision, Vorabkontrolle Datenschutz-Baustein B 1.5 des BSI europäischer Datenschutzstandard, EuroPriSe Vorgaben externer Auftraggeber, Anforderungskataloge der Wirtschaftsprüfer, IT-Systemprüfung, IDW-Standards (FAIT, IDW PS 330, PS 951, PS 980) MaRisk und MaComp, Mindestanforderungen an Compliance, BaFin vom Gesetzliche Pflichten zu Notfall- und Berechtigungskonzepten, Managementkonsolen Rechtsprechung zum KonTraG (LG München I) Keine Vorstandsentlastung ohne Risikomanagement Rechtsvorteile der Standards, Zertifizierung (BSI, ISO, Cobit etc.) Beweislastumkehr Gestaltungsmodul Datenschutz Verfahrensverzeichnis, Verfahrensbeschreibungen nach BDSG

4 4 Interne Kontrollsysteme (IKS) Compliance-Tools Managementsysteme Dokumentation der IT-Infrastruktur, ganzheitliches Compliance Management System Interne Kontrollsysteme (IKS) Aufbau und Funktion, PDCA-Modell Zusammenhang zwischen IT-Compliance, IKS, Risikomanagement und IT Governance Ermittlung der IT-Risiken der Baseline-Ansatz, ISO Kontrollmodelle zur Beschreibung betrieblicher Steuerungs- und Überwachungssysteme, Reifegradmodell, Schwachstellenanalyse Standards, Frameworks für interne Kontrollsysteme COSO-Modell und COBIT tragende Prinzipien, Prozessmodell, Control Objectives, Compliance-Reporting Datenschutzkonforme Umsetzung, insbesondere Transaktionskontrollen Marktübliche Tools für Compliance, Audits und Risikomanagement Möglichkeiten und Grenzen Einsatz der Tools planen und umsetzen, die richtige Lösung finden Vorstellung GSTOOL des BSI und andere GRC-Tools Rechtssichere Filter- und IT-Sicherheitssysteme, Data Loss Prevention Data Loss Prevention (DLP) Datenschutzkonforme Kommunikations- und File-Kontrolle Identity- und Accessmanagement (IAM) Rechtssichere Identitäts- und Berechtigungskontrolle Rollenbasierte Rechteverwaltung, Gestaltung von Zugangs- und Zugriffsrechten, Tools für Berechtigungsmanagement Jugendschutz am Arbeitsplatz notwendige technische Maßnahmen URL- und Contentfilter, Spamfilter (Reputationfilter), Zugang von s trotz Filterung Zulässigkeit Deep Packet Inspection, Application Layer Firewalls, datenschutzkonformes https-scanning Das neue Internetprotokoll IPv6, rechtliche Auswirkungen Gestaltungsmodul IT-Sicherheit IT-Sicherheitsrichtlinien nach ISO und BSI IT-Benutzerrichtlinien für Mitarbeiter Benutzerrichtlinien für Gastzugänge von Besuchern und Geschäftspartnern Gesetzliche Archivierungspflichten für s und Daten, DMS -Archivierung: Gesetzliche Pflichten, Gestaltung in der Betriebsvereinbarung Lösung der Datenschutzproblematik, Trennung privater/dienstlicher Daten ( s) Archivierung in Bezug auf Instant Messaging und interne Social Media Plattformen GDPdU GoBS elektronische Betriebsprüfung, maschinelle Auswertbarkeit, GoBIT Stand der Weiterentwicklung GDPdU-Compliance Zugriffsrechte Finanzamt, BFH Entscheidung vom Elektronisches Rechnungswesen Elektronische Rechnungen stark vereinfacht und rentabel, Streichung der Signaturpflicht rückwirkend zum , neuer Anforderungskatalog des BMF Neuregelung EDI-Verfahren D -Gesetz und E-Post-Brief: Beweisführung mit elektronischen Dokumenten E-Discovery Vorlagepflichten von im Prozess, Pre-Trial-Discovery nach US-Zivilprozessrecht, elektronische Beweismittelbeschaffung Gestaltungsmodul DMS Verfahrensdokumentation nach GoBS Archivierungsrichtlinien für Daten und Dokumente IT-Haftungsrisiken Haftungsfalle IT-Sicherheit Schadensbemessung bei Datenverlust Eigenhaftung der IT-Verantwortlichen: innerbetrieblicher Schadensausgleich des BAG Strafbarkeit: Garantenstellung des Compliance-Officers, BGH vom Haftung für offene W-LAN und Internetplattformen, neueste BGH-Rechtsprechung Managerhaftung im Wandel Persönliche Haftung der Leitungsebene nach KonTraG Störerhaftung des Admin-C für Domains des Arbeitgebers Gestaltungsmodul Haftung Haftungsfreistellungsklauseln für IT- und Datenschutzverantwortliche (Admin-C) Funktions- und Stellenbeschreibungen für IT- und Datenschutzverantwortliche, Compliance-Officer Ihr Vorteil: Integrierte Gestaltungsmodule Die aufgeworfenen Rechtsfragen sollen auch aus Sicht der Gestaltung durch Richtlinien, Betriebsvereinbarungen und Einwilligungen dargestellt werden. Sie erhalten Gestaltungstipps, Musterformulierungen sowie Checklisten für Ihre tägliche Praxis!

5 5 Vorsicht Falle! Durch neue Entwicklungen in der IT (z. B. Mobile Computing, Social Media) und notwendige Gesetzesänderungen sind die rechtlichen Spielregeln ständig im Fluss. Unternehmen müssen daher immer auf dem aktuellen Stand sein, um gesetzliche Vorgaben und Richtlinien einhalten und deren Befolgung nachweisen zu können. Bei Rechtsverletzungen müssen CIOs oder IT Compliance- Beauftragte mit erheblichen Sanktionen rechnen. Ziel des Praxisseminars IT Compliance Update ist es, das rechtliche Regelwerk für die Informationssicherheit zu erarbeiten und Sie auf den neuesten Stand zu bringen: Der durch IT-Gesetze und anerkannte IT-Standards gebildete Rahmen wird aktuell dargestellt. Sie erarbeiten anhand von Richtlinien und Arbeitsanweisungen die Ausgestaltung der Rahmenwerke. Gestaltungsmodule mit Checklisten, Gestaltungstipps und Formulierungsvorschlägen helfen Ihnen bei der Umsetzung in die tägliche Praxis. Schützen Sie sich vor Haftungsfallen und informieren Sie sich jetzt! Das Seminar bietet Ihnen: Praxistaugliche Antworten und Lösungen auf die dringendsten Fragen im Umfeld von IT Compliance Limitierte Teilnehmerzahl für intensiven Erfahrungsaustausch mit Fachkollegen Umfangreiche Dokumentationsunterlagen mit vielen Checklisten, Gestaltungstipps und Formulierungsvorschlägen Qualifizierte Teilnahmebestätigung im Anschluss an das Seminar Das Seminar richtet sich an: IT-Entscheider, IT-Leiter, CIOs IT-Sicherheitsbeauftragte, CISOs, CSOs Datenschutzbeauftragte Compliance-Officer Risikomanager IT-Architekten Verantwortliche IT-Recht Unternehmensjuristen Revisoren Geschäftsführer Betriebsräte Systemlieferanten Ihr Experte: Horst Speichert ist seit mehr als 10 Jahren als Rechtsanwalt spezialisiert auf IT-Recht und Datenschutz. Schwerpunkt in der Anwaltspraxis ist die Gestaltung von IT-Verträgen, IT Betriebsvereinbarungen und rechtssicheren Datenschutzkonzepten im betrieblichen und behördlichen Umfeld. Er ist Lehrbeauftragter für Informationsrecht und Internationales Vertragsrecht an der Universität Stuttgart und Autor des Fachbuches Praxis des IT-Rechts (2. Auflage, Vieweg-Verlag). Langjährige Tätigkeit als Referent, Seminarleiter und externer Datenschutzbeauftragter. Infoline: 02 11/ Haben Sie Fragen zu dieser Veranstaltung? Wir helfen Ihnen gerne weiter. K o n z e p t i o n u n d I n h a l t : Claudia Paul (Senior-Konferenz-Managerin) O r g a n i s a t i o n : Anne Planker (Konferenz-Koordinatorin) anne.planker@euroforum.com

6 [Kenn-Nummer] Euroforum-Praxisseminar IT Compliance Update Aktuelle Entwicklungen bei Informationssicherheit, Richtlinien, Kontrolle, Datenschutz, Haftung Ja, ich nehme teil zum Preis von 1.949, p. P. zzgl. MwSt. am 27. und 28. Februar 2012 in München am 24. und 25. April 2012 in Köln [Ich kann jederzeit ohne zusätzliche Kosten einen Ersatzteilnehmer benennen. Im Preis sind ausführliche Tagungsunterlagen enthalten.] Ich interessiere mich für Ausstellungs- und Sponsoring möglichkeiten. Ich möchte meine Adresse wie angegeben korrigieren lassen. [Wir nehmen Ihre Adressänderung auch gerne telefonisch auf: 02 11/ ] [P M012] [P M012] Anmeldung und Information per Fax: +49 (0)2 11/ telefonisch: +49 (0)2 11/ [Anne Planker] Zentrale: +49 (0)2 11/ schrif tlich: per E- Mail: im Internet : Euroforum Deutschland SE Postfach , Düsseldorf anmeldung@euroforum.com info@euroforum.com [München] [Köln] Name Position/Abteilung Telefon Fax Ort und Datum 27. und 28. Februar 2012, Hotel Excelsior Schützenstraße 11, München, Telefon: 0 89/ und 25. April 2012, Hotel Mondial am Dom Cologne Kurt-Hackenberg-Platz 1, Köln, Telefon: 02 21/ Geb.-Datum (TTMMJJJJ) Die Euroforum Deutschland SE darf mich über verschiedenste Angebote von sich, Konzern- und Partnerunternehmen wie folgt zu Werbezwecken informieren: Zusendung per Ja Nein Zusendung per Fax: Ja Nein Firma Anschrift Branche Ansprechpartner im Sekretariat Datum, Unterschrift Bitte ausfüllen, falls die Rechnungsanschrift von der Kundenanschrift abweicht: Name Abteilung Anschrift Wer entscheidet über Ihre Teilnahme? Ich selbst oder Name: Position: Beschäftigtenzahl an Ihrem Standort: bis über 5000 Teilnahmebedingungen. Der Teilnahmebetrag für diese Veran staltung inklusive Tagungsunterlagen, Mittagessen und Pausen getränken pro Person zzgl. MwSt. ist nach Erhalt der Rechnung fällig. Nach Eingang Ihrer Anmel dung erhalten Sie eine Bestätigung. Die Stornierung (nur schriftlich) ist bis 14 Tage vor Veranstaltungsbeginn kostenlos möglich, danach wird die Hälfte des Teilnahmebetrages erhoben. Bei Nichterscheinen oder Stornierung am Veranstaltungstag wird der gesamte Teilnahme betrag fällig. Gerne akzeptieren wir ohne zusätzliche Kosten einen Ersatz teilnehmer. Pro grammänderungen aus dringendem Anlass behält sich der Veranstalter vor. Datens c hut zinf or mation. Die Euroforum Deutschland SE verwendet die im Rahmen der Bestellung und Nutzung unseres Angebotes erhobenen Daten in den geltenden rechtlichen Grenzen zum Zweck der Durchführung unserer Leistungen und um Ihnen postalisch Informationen über weitere Angebote von uns sowie unseren Partner- oder Konzernunternehmen zukommen zu lassen. Wenn Sie unser Kunde sind, informieren wir Sie außerdem in den geltenden rechtlichen Grenzen per über unsere Angebote, die den vorher von Ihnen genutzten Leistungen ähnlich sind. Soweit im Rahmen der Verwendung der Daten eine Übermittlung in Länder ohne angemessenes Datenschutzniveau erfolgt, schaffen wir ausreichende Garantien zum Schutz der Daten. Außerdem verwenden wir Ihre Daten, soweit Sie uns hierfür eine Einwilligung erteilt haben. Sie können der Nutzung Ihrer Daten für Zwecke der Werbung oder der Ansprache per oder Telefax jederzeit gegenüber der Euroforum Deutschland SE, Postfach , Düsseldorf widersprechen. Zimmerreser v ier ung. Im Tagungs hotel steht Ihnen ein be grenz tes Zimmer kon tingent zum er mäßigten Preis zur Verfü gung. Bitte nehmen Sie die Zimmer reservierung direkt im Hotel unter dem Stichwort Euroforum-Veran staltung vor. Am Abend des ersten Seminartages lädt Sie das Hotel Mondial am Dom Cologne herzlich zu einem Umtrunk ein. Wir üb er uns. Euroforum steht in Europa für hochwertige Kongresse, Seminare und Workshops. Ausgewählte, praxiserfahrene Referenten berichten zu aktuellen Themen aus Wirtschaft, Wissenschaft und Verwaltung. Darüber hinaus bieten wir Führungskräften ein erstklassiges Forum für Informations- und Erfahrungsaustausch. Unsere Muttergesellschaft, die Informa plc mit Hauptsitz in London, organisiert und konzipiert jährlich weltweit über Veranstaltungen. Darüber hinaus verfügt Informa über ein umfangreiches Portfolio an Publikationen für die akademischen, wissenschaftlichen und wirtschaftlichen Märkte. Informa ist in über 40 Ländern/150 Standorten tätig und beschäftigt mehr als Mitarbeiter. Bitte ausfüllen und faxen an: 02 11/