Bringen Sie Ihr Wissen auf den neuesten Stand!

Transkript

1 Praxisseminar 2. und 3. Oktober 2012 Holiday Inn Zürich Messe, Zürich 27. und 28. November 2012 Seedamm Plaza, Pfäffikon (SZ) IT Compliance Update Informationssicherheit Richtlinien Kontrolle Datenschutz Haftung Bringen Sie Ihr Wissen auf den neuesten Stand! Mit Bring your own Device (BYOD) und Mobile Computing sicher umgehen Cloud Computing und Outsourcing rechtskonform umsetzen Änderungen durch die neue EU-Datenschutzverordnung Mitarbeiterkontrolle, Einsatz sozialer Netze für Mitarbeiterscreening Archivierungspflicht für Daten und Dokumente Elektronische Rechnungen und Beweissicherheit Datenschutzkonformer Einsatz der IT-Sicherheitssysteme und Aufbau eines IKS Haftungsrisiken als IT- und Datenschutz-Verantwortliche vermeiden Direkt in die Praxis umsetzbar durch: Checklisten Gestaltungstipps Formulierungsvorschläge

2 2 IT Compliance Update Programm Kompakteinstieg Begriff IT Compliance und interne Kontrollsysteme Relevante Gesetze für IT-Compliance, Datenschutz, Informationssicherheit Grundbegriffe des Datenschutzes BYOD (Bring your own Device) Verwendung privater Endgeräte Fluch oder Segen? Risiken und Sicherheitsanforderungen bei privaten Smartphones, Tablets etc. Vielzahl mobiler Endgeräte, mit heterogenen Gerätelandschaften umgehen Trennung privat-dienstlich durch Containerlösung, verschiedene Profile oder Clients Mobile Device Management (MDM): Kontrolle, Remote-Löschung, Datenschutzprobleme Rechtssichere Gestaltung durch Benutzer-Richtlinien, Unternehmensreglement und Einwilligung, Checkliste und Gestaltungstipps Wer hat das Recht an den Daten? Herausgabe der Daten bei Ausscheiden Haftung für Privatgeräte, Diebstahl und Verlust, Verletzung von Geheimhaltungspflichten Mobile Computing Schwachstellen und Bedrohungsszenarien bei mobilen Endgeräten Mobile Sicherheit: Zugriffsschutz, Verschlüsselung, datenschutzkonforme Schnittstellenkontrolle (Device Control) Lizenzproblematik rechtssichere Verwaltung von Apps Lizenzierungsmodelle für Apps, wer prüft die Lizenzen? Sicherheitsrisiken von Apps, Prüfungspflichten der IT Datenschutz auf mobilen Endgeräten, Privatnutzung, Kontrollmassnahmen, Reichweite Fernmeldegeheimnis Notwendige Regeln für Homeoffice und Geschäftsreisen Gestaltungsmodul Mobile-BYOD Benutzerrichtlinien BYOD und mobile Geräte Benutzerrichtlinien für Homeoffice Datenspionage, Geheimnisverrat, Know-how-Abfluss Angriffe auf Datennetze aus dem Ausland, insbesondere China USA-Patriot-Act Durchgriff der US-Behörden auf Cloud Daten, Regelungen mit IT-Bezug, mögliche Schutzmassnahmen Wiki-Leaks, Stuxnet, Flame Bedrohungsszenario und rechtliche Folgen Juristische Reaktionsmöglichkeiten bei Geheimnisverrat im Unternehmen Whistleblowing Datenschutzkonforme Hinweissysteme durch Mitarbeiter, arbeitsrechtliche Grenzen Sensibilisierung der Mitarbeiter, Geheimnisschutz durch Richtlinien und Arbeitsvertrag Vertragsgestaltung für Zusammenarbeit mit Geschäftspartnern Gestaltungsmodul Geheimschutz Geheimschutzklauseln im Vertrag (Arbeitsvertrag + Dienstleistungsvertrag) Verpflichtungserklärung auf Geheimhaltung und Datengeheimnis nach Art. 8 Abs. 1 VDSG Cloud Computing Outsourcing Datentransfer ins Ausland Datenverarbeitung durch Dritte (Dienstleister) nach Art. 10a DSG Vertragsgestaltung, notwendige Regelungen Kontrolle des Sicherheitskonzepts (Art. 10a II DSG) praktische Durchführung (Vor-Ort-Kontrolle, Prüfkataloge) Informationspflichten gegenüber dem EDÖB, Art. 6 III DSG, Art. 6 I VDSG Cloud Computing Fragen zu Vertragsgestaltung und Datenschutz Schadens- und Haftungsszenarien, Kontrolle in der Cloud Insbesondere: Auslagerung der Buchhaltung, Archivierung, Personaldaten, CRM-Systeme etc. Zulässiger Datentransfer ins Ausland Auslands-Datenverarbeitung, Outsourcing-Konzept des EDÖB Liste der sicheren Drittstaaten des EDÖB U.S.-Swiss Safe Harbor Framework Registrierung, Zertifizierung Unsichere Drittsaaten, Art. 6 II DSG - Mustervertrag des EDÖB, die neuen EU-Standardvertragsklauseln vom Verarbeitung personenbezogener Daten deutscher Auftraggeber Neuregelung der Auftrags-DV nach 11 BDSG Notwendiger schriftlicher Vertrag, die zehn Pflichtklauseln Neue Orientierungshilfe Cloud Computing der deutschen Aufsichtsbehörden vom Binding Corporate Rules (BCR) Weltweite Datenschutzrichtlinien im Konzern Wichtige Inhalte nach den Working Papers der EU Ablauf Genehmigungsverfahren, Erfahrungstipps Funktion der Datenschutzerklärung (Privacy Policy)

3 3 IT Compliance Update Gestaltungsmodul Cloud-Outsourcing Vereinbarung für Datenverarbeitung durch Dienstleister nach 10a DSG Vereinbarung mit Auslandsdienstleister nach EU-Standardvertragsklauseln und Swiss-Safe Harbor Weltweite Datenschutzrichtlinien durch Binding Corporate Rules (BCR) Social Media Rechtliche Leitplanken Fanseiten bei Facebook, Impressumspflicht, Facebook- Profil unter fremdem Namen Zulässigkeit der Facebook-AGB, «Like-Button» und Reichweitenanalyse User Generated Content, urheberrechtswidriger Upload, Verwendung fremder Texte, Setzen von Links Haftungsprobleme Zulässigkeit von Personenbewertungen, Online-Pranger, isharegossip.com Blogs, Foren rechtssicher betreiben, Haftung für Blogbeiträge Webtracking-Tools, Google-Analytics Risiken durch Mitarbeiter Mitarbeiterrecherche in Sozialen Netzen, Zulässigkeit der Geolokalisierung Social Media Guidelines notwendige Verhaltensrichtlinien für Mitarbeiter, EuGH vom , Beispiele und Gestaltungstipps Arbeitsrechtliche Grenzen der Verhaltenssteuerung, «Pflichtmitgliedschaft» in sozialen Netzen Social Commerce, Social Shopping (Empfehlungshandel) Löschungspflichten bzgl. Negativbewertungen Social Media Monitoring, Social Targeting rechtliche Grenzen der Kundenbeobachtung und zielgerichteter Werbung Rechtskonforme Terrorbekämpfung, Exportkontrolle, UN-Sanktionslisten, Sperrlisten, EG-Verordnungen 881/2002 und 2580/2001 Kontrollpflichten nach Art. 9 VDSG, Zutritts-, Zugangs-, Eingabekontrolle Anonyme und personenbezogene Kontrolle von Logfiles/ s Rechtsfolgen unzulässiger Kontrolle, Beweisverwertungsverbote Marktübliche Kontroll- und Wartungssoftware Neue EU-Datenschutzverordnung Aktuell: Entwurf neue EU-Datenschutzverordnung vom Unmittelbare und exterritoriale Geltung Übermittlung von Daten in Drittländer, insbesondere USA Direktmarketing, Stärkung des Kinder- und Jugendschutzes «Recht vergessen zu werden» Informationspflichten bei Datenpannen Bestellung eines Datenschutzbeauftragten Spezielle Regelung bestimmter Datenkategorien Bussgelder IT-Nutzung am Arbeitsplatz, private Nutzung Privatnutzung am Arbeitsplatz, Geltung des Fernmeldegeheimnisses (Art. 43 FMG) für private Daten Mitbestimmung, Duldung, betriebliche Übung, Kündigung bei missbräuchlicher Privatnutzung Sanktionen bei Missbrauch der IT-Systeme, Überschreitung der Adminrechte Nutzungs- und Überwachungsreglements für die IT-Nutzung, Legitimationsgrenzen, Einwilligungen der Mitarbeiter Leitfaden des EDÖB über Internet- und -Überwachung am Arbeitsplatz Gestaltungsmodul Kontrolle Gestaltungsmodul Social Media Social Media Guidelines für Mitarbeiter Ethik- und Verhaltensrichtlinien Datenschutzerklärung, Privacy Policy IT Compliance zulässige Mitarbeiterkontrolle Zulässige Kontroll- und Ermittlungsmassnahmen im Unternehmen, Verbot der Verhaltensüberwachung (Art. 26 ArGV3) Aufdeckung von Straftaten wie Rassismus, Pornografie (Art. 261,197 StGB), sexuelle Belästigung (Art. 198 StGB), Abwehr von Wirtschaftsspionage (Art. 143 ff. StGB) Korruptionsbekämpfung, Datenbankabgleich, Mitarbeiterscreening Nutzungs- und Überwachungsreglement für die IT-Nutzung am Arbeitsplatz Nutzungsreglement für die Privatnutzung von Internet und - Einwilligungen der Mitarbeiter Informationssicherheit Risikomanagement Audits IT-Sicherheits-Policy, notwendige Inhalte Richtlinien für Gastzugänge, Gestaltungstipps aus der Praxis Informationssicherheitsmanagementsysteme (ISMS), Standards (ISO 27001, BSI, ITIL, ISO etc.) Technisch-organisatorische Sicherheitsmassnahmen nach Leitfaden EDÖB Datenschutz-Qualitätszeichen und Zertifizierungsverfahren (Art. 11 DSG, VDSZ), Datenschutzmanagementsystem (DSMS), Richtlinien des EDÖB Datenschutzstandards, EuroPrisSe, B 1.5 des BSI

4 4 IT Compliance Update Datenschutzprüfungen durch Datenschutzbeauftragte und Revision Vorgaben externer Auftraggeber, Anforderungskataloge der Wirtschaftsprüfer, IT-Systemprüfung, (FAIT, IDW PS 330) Basel II-Anforderungen an IT-Compliance Gesetzliche Pflichten zu Notfall- und Berechtigungskonzepten, Managementkonsolen Rechtsprechung zum Risikomanagement Im Zweifel keine Vorstandsentlastung Rechtsvorteile der Standards, Zertifizierung (BSI, ISO, Cobit etc.) Beweislastumkehr Interne Kontrollsysteme (IKS) Compliance-Tools Managementsysteme Dokumentation der IT-Infrastruktur, ganzheitliches Compliance Management System Interne Kontrollsysteme (IKS) PDCA-Modell Zusammenhang zwischen IT-Compliance, IKS, Risikomanagement und IT Governance Ermittlung der IT-Risiken der Baseline-Ansatz, ISO Kontrollmodelle für Steuerungs- und Überwachungs-systeme, Reifegradmodell, Schwachstellenanalyse Standards, Frameworks für interne Kontrollsysteme COSO-Modell und COBIT Tragende Prinzipien, Prozessmodell, Control Objectives, Compliance-Reporting Datenschutzkonforme Umsetzung Marktübliche Tools für Compliance, Audits und Risikomanagement Möglichkeiten und Grenzen Einsatz der Tools planen und umsetzen Vorstellung GSTOOL des BSI und andere GRC-Tools Gestaltungsmodul IT-Sicherheit IT-Sicherheitsrichtlinien nach ISO Gesetzliche Archivierungspflichten für s und Daten, DMS -Archivierung: gesetzliche Pflichten Lösung der Datenschutzproblematik, Trennung privater/dienstlicher Daten ( s) GeBüV Geschäftsbücherverordnung, Archivierungsgrundsätze wie Unveränderlichkeit, geordnete Verzeichnisstruktur, Dokumentation, Arbeitsanweisungen, Archivierungsfristen Elektronische Betriebsprüfung, Zugriffsrechte Steuerverwaltung, maschinelle Auswertbarkeit Elektronische Rechnungen, EDI-Verfahren der EU Beweissicherheit bei elektronischen Dokumenten (Art. 957 IV OR) E-Discovery Vorlagepflichten von im Prozess, Pre-Trial-Discovery nach US-Zivilprozessrecht, elektronische Beweismittelbeschaffung Gestaltungsmodul DMS Verfahrensdokumentation nach GeBÜV Archivierungsrichtlinien für Daten und Dokumente IT-Haftungsrisiken Haftungsfalle IT-Sicherheit Schadensbemessung bei Datenverlust Eigenhaftung der IT-Verantwortlichen Strafbarkeit: Garantenstellung des Compliance- Officers Haftung für offene W-LAN und Internetplattformen, neueste Rechtsprechung Managerhaftung im Wandel persönliche Haftung der Leitungsebene Störerhaftung des Admin-C für Domains des Arbeitgebers IT-Benutzerrichtlinien für Mitarbeiter und Gastzugänge von Besuchern und Geschäftspartnern Rechtssichere Filter- und IT-Sicherheitssysteme, Data Loss Prevention Data Loss Prevention (DLP) Datenschutzkonforme Kommunikations- und File-Kontrolle Rollenbasierte Rechteverwaltung, Gestaltung von Zugangs- und Zugriffsrechten, Tools für Berechtigungsmanagement Jugendschutz am Arbeitsplatz, notwendige technische Massnahmen URL- und Contentfilter, Spamfilter (Reputationfilter), Zugang von s trotz Filterung Zulässigkeit Deep Packet Inspection, Application Layer Firewalls, datenschutzkonformes https-scanning Das neue Internetprotokoll IPv6 Gestaltungsmodul Haftung Haftungsfreistellungsklauseln für IT- und Datenschutzverantwortliche (Admin-C) Funktions- und Stellenbeschreibungen für IT- und Datenschutzverantwortliche, Compliance-Officer Ihr Vorteil: Integrierte Gestaltungsmodule Die aufgeworfenen Rechtsfragen sollen auch aus Sicht der Gestaltung durch Richtlinien, Betriebsvereinbarungen und Einwilligungen dargestellt werden. Sie erhalten Gestaltungstipps, Musterformulierungen sowie Checklisten für Ihre tägliche Praxis!

5 5 IT Compliance Update Vorsicht Falle! Durch neue Entwicklungen in der IT (z.b. Mobile Computing, ByoD, Social Media) und notwendige ndig Gesetzesänderungen esän ngen sind die rechtlichen hen Spielregeln egeln ständig im Fluss. Unternehmen müssen daher immer auf dem aktuellen Stand sein, um gesetzliche Vorgaben und Richtlinien einhalten und deren Befolgung nachweisen zu können. Bei Rechtsverletzungen müssen CIOs oder IT-Compliance-Beauftragte mit erheblichen Sanktionen rechnen. Ziel des Praxisseminars «IT Compliance Update» ist es, das rechtliche Regelwerk für die Informationssicherheit zu erarbeiten und Sie auf den neuesten Stand zu bringen. Infoline ne Haben Sie Fragen zu dieser er Veranstaltung? tung? Wir helfen Ihnen gerne weiter! Konzeption und Inhalt: Claudia Paul Senior Project Manager Der durch IT-Gesetze und anerkannte IT-Standards gebildete Rahmen wird aktuell dargestellt Sie erarbeiten anhand von konkreten Richtlinien und Arbeitsanweisungen die Ausgestaltung der Rahmenwerke Gestaltungsmodule mit Checklisten, Gestaltungstipps und Formulierungsvorschlägen helfen Ihnen bei der Umsetzung in die tägliche Praxis. Schützen Sie sich vor Haftungsfallen und informieren Sie sich jetzt! Das Seminar bietet Ihnen: Praxistaugliche Antworten und Lösungen auf die dringlichsten Fragen im Umfeld von IT Compliance Limitierte Teilnehmerzahl für intensiven Erfahrungsaustausch mit Fachkollegen Umfangreiche Dokumentationsunterlagen mit vielen Checklisten, Gestaltungstipps und Formulierungsvorschlägen Qualifizierte Teilnahmebestätigung im Anschluss an das Seminar Ihr Experte: Horst Speichert Horst Speichert ist seit 15 Jahren als Rechtsanwalt spezialisiert auf IT-Recht und Datenschutz. Schwerpunkt in der Anwaltspraxis ist die Gestaltung von IT-Verträgen, Betriebsvereinbarungen, IT-Sicherheits- und Datenschutzkonzepten. Er ist Lehrbeauftragter für Informationsrecht und internationales Vertragsrecht an der Universität Stuttgart und Autor des Fachbuches «Praxis des IT-Rechts» (2. Auflage, Vieweg-Verlag). Langjährige Tätigkeit als Referent, Seminarleiter und externer Datenschutzverantwortlicher. Organisation: Pierangela Baratti Project Coordinator Telefon: Das Seminar richtet sich an: IT-Entscheider, IT-Leiter, CIOs IT-Sicherheitsbeauftragte, CISOs, CSOs Datenschutzbeauftragte Compliance-Officer Risikomanager IT-Architekten Verantwortliche IT-Recht Unternehmensjuristen Revisoren Geschäftsführer Betriebsräte Systemlieferanten Zeitrahmen des Seminars: Erster Seminartag 8.30 Empfang mit Kaffee und Tee, Ausgabe der Seminarunterlagen 9.00 Seminarbeginn Gemeinsames Mittagessen Ende des ersten Seminartages Am Ende des ersten Seminartages freuen wir uns, Sie zu einem Apéro willkommen zu heissen. Zweiter Seminartag 8.30 Empfang mit Kaffee und Tee 9.00 Seminarbeginn Gemeinsames Mittagessen Ende des Seminars Am Vor- und Nachmittag sind jeweils flexible Kaffeepausen vorgesehen.

6 Fax-Antwort: IT Compliance Update So melden Sie sich an Bitte verwenden Sie möglichst diese Seite als Anmeldeformular, ggf. in Kopie. per Fax: via im Internet: schriftlich: Euroforum Schweiz AG Postfach/Förrlibuckstrasse 70, CH-8021 Zürich Adressänderungen per Telefon: per Fax: per Weitere Fragen zu dieser Veranstaltung? Claudia Paul (Senior Project Manager) Pierangela Baratti (Project Coordinator) Tel.: , Ja, ich/wir nehme(n) teil am 2. und 3. Oktober 2012 in Zürich zum Preis von CHF zzgl. MwSt. pro Person Ja, ich/wir nehme(n) teil am 27. und 28. November 2012 in Pfäffikon (SZ) zum Preis von CHF zzgl. MwSt. pro Person Ich interessiere mich für Ausstellungs- und Sponsoringmöglichkeiten. Bitte korrigieren Sie meine Adresse wie angegeben: [P M012] [P M012] Name-1: Position: Abteilung: Name-2: Position: Abteilung: Firma: Ansprechpartner im Sekretariat: Adresse: Tel.: Fax: Beschäftigtenanzahl an Ihrem Standort bis über 5000 Termine und Orte 2. und 3. Oktober 2012, Holiday Inn Zürich Messe, Zürich Wallisellenstrasse 48, 8050 Zürich, Schweiz Telefon: Fax: und 28. November 2012, Seedamm Plaza Seedammstrasse 3, 8808 Pfäffikon (SZ) Telefon: , Am Ende des Veranstaltungstages lädt Sie das Holiday Inn Zürich Messe und das Hotel Seedamm Plaza herzlich zu einem Apéro ein. Ihre Zimmerreservierung Im Tagungshotel steht ein begrenztes Zimmerkontingent zur Ver fü gung. Bitte nehmen Sie die Zimmerreservierung direkt im Hotel unter dem Stich wort «Euroforum- Veranstaltung» vor. Teilnahmebedingungen Der Teilnahmebetrag für diese Veranstaltung inklusive Tagungsunterlagen,Mittagessen und Pausengetränken ist nach Erhalt der Rechnung fällig. Nach Eingang Ihrer Anmeldung erhalten Sie eine Bestätigung. Die Stornierung (nur schriftlich) ist bis 14 Tage vor Veran staltungsbeginn kostenlos möglich, danach wird die Hälfte des Teilnahmebetrages erhoben. Bei Nichterscheinen oder Stornierung am Veranstaltungstag wird der gesamte Teilnahmebetrag fällig. Gerne akzeptieren wir ohne zusätzliche Kosten einen Ersatzteilnehmer. Programm ände rungen aus dringendem Anlass behält sich der Veranstalter vor. Rechnung an (Name): Abteilung: Adresse: Euroforum Quality in Business Information Datum, Unterschrift: Per Fax an Pierangela Baratti: Der Name Euroforum steht in Europa für hochwertige Kongresse, Seminare und Workshops. In der Schweiz gehört die Euroforum Schweiz AG mit Sitz in Zürich zu den führenden Veranstaltern von Management-Tagungen und -Seminaren. Ausgewählte, praxiserfahrene Referenten berichten zu aktuellen Themen aus Wirtschaft, Wissenschaft und Verwaltung. Darüber hinaus bieten wir Führungskräften ein erstklassiges Forum für Informations- und Erfahrungsaustausch. Die Planung der Veranstaltungen erfolgt in enger Zusammenarbeit mit der Verlagsgruppe Handelszeitung.