IT Compliance Update Aktuelle Entwicklungen bei Informationssicherheit, Richtlinien, Kontrolle, Datenschutz, Haftung

Transkript

1 IT Compliance Update Aktuelle Entwicklungen bei Informationssicherheit, Richtlinien, Kontrolle, Datenschutz, Haftung Bringen Sie Ihr Wissen auf den neuesten Stand: Wie kann Geheimnisverrat und Datenklau vorgebeugt werden? Durch welche Maßnahmen wird Cloud Computing sicherer? Inwieweit dürfen soziale Netze zu Analysezwecken eingesetzt werden? Welchen Inhalt müssen Benutzerrichtlinien, z. B. bei privater IT-Nutzung und der Nutzung eigener Hardware (Bring your own device), haben? Wie müssen Verhaltensrichtlinien und Social Media Guidelines aussehen? Welche Daten sind archivierungspflichtig? Wie lässt sich ein wirksames internes Kontrollsystem (IKS) aufbauen? Welche Compliance Tools können eingesetzt werden? Wie kann man Haftungsrisiken für IT-Verantwortliche und Datenschutzbeauftragte ausschließen? Direkt in die Praxis umsetzbar durch: Checklisten Gestaltungstipps Formulierungsvorschläge PRAXISSEMINAR 19. und 20. Oktober 2011, Köln 29. und 30. November 2011, Frankfurt/Main

2 2 Kompakteinstieg und Update Begriff IT Compliance und interne Kontrollsysteme Relevante Gesetze für IT Compliance, Datenschutz, Informationssicherheit Grundbegriffe des Datenschutzes Datenspionage, Geheimnisverrat, Know-how-Abfluss Angriffe auf Datennetze aus dem Ausland, insbesondere China Wiki-Leaks, Stuxnet und die Folgen Nationales Cyber-Abwehrzentrum Juristische Reaktionsmöglichkeiten bei Geheimnisverrat im Unternehmen Whistleblowing Datenschutzkonforme Hinweissysteme durch Mitarbeiter, arbeitsrechtliche Grenzen Sensibilisierung der Mitarbeiter: Geheimnisschutz durch Richtlinien und Arbeitsvertrag Vertragsgestaltung für Zusammenarbeit mit Geschäftspartnern Gestaltungsmodul Geheimschutz Geheimschutzklauseln im Vertrag (Arbeitsvertrag + Dienstleistungsvertrag) Verpflichtungserklärung auf Geheimhaltung und Datengeheimnis nach 5 BDSG Cloud Computing Auftrags-DV Datentransfer ins Ausland Neuregelung der Auftrags-DV nach 11 BDSG Die zehn Pflichtklauseln, notwendige Anpassung der Altverträge Kontrolle des Sicherheitskonzepts Praktische Durchführung Cloud Computing Fragen zu Vertragsgestaltung und Datenschutz Schadens- und Haftungsszenarien Auslagerung der Buchhaltung, Personaldaten, CRM-Systeme Kontrolle in der Cloud Auslands-Datenverarbeitung Zulässiger Datentransfer ins Ausland Die neuen EU-Standardvertragsklauseln vom Funktion der Datenschutzerklärung (Privacy Policy), Binding Corporate Rules (BCR) Gestaltungsmodul Cloud Zusatzvereinbarung für Auftrags-DV mit Dienstleister nach 11 BDSG Zusatzvereinbarung mit Auslandsdienstleister nach EU-Standardvertragsklauseln und Safe Harbor Weltweite Datenschutzrichtlinien durch Binding Corporate Rules (BCR) Soziale Netzwerke und Web 2.0 Soziale Netze Facebook, LinkedIn, YouTube, etc., übliche Funktionalitäten (Profile, Statusmeldungen, Veröffentlichung) Risiken (Informations-Abfluss, Reputationsrisiken) und Verhaltensrichtlinien für Mitarbeiter User Generated Content, urheberrechtswidriger Upload, Verwendung fremder Texte, Setzen von Links Haftungsprobleme Gefällt mir -Button von Facebook, datenschutzrechtliche Zulässigkeit, LG Berlin vom Auswahl neuer Mitarbeiter, Möglichkeiten der Überprüfung, zulässige Internetrecherchen Social Marketing und Targeting, neuer Gesetzentwurf des BMI: Datenschutz im Internet Verwendung von Fotos, Bildern, Videos von Kunden/Mitarbeitern, Vorgaben des KUG, notwendige Einwilligungen Webtracking-Tools, Google-Analytics, Zulässigkeit der Geolokalisierung, IP-Adressen als personenbezogene Daten Gestaltungsmodul Social Media Social Media Guidelines für Mitarbeiter Ethik- und Verhaltensrichtlinien Datenschutzerklärung, Privacy Policy Zeitrahmen des Seminars: 1. Tag: 9.00 Empfang mit Kaffee und Tee, Ausgabe der Tagungsunterlagen 9.30 Seminarbeginn Gemeinsames Mittagessen Ende des ersten Seminartages 2.Tag: 8.30 Empfang mit Kaffee und Tee 9.00 Seminarbeginn Gemeinsames Mittagessen Ende des Seminars Am Vor- und Nachmittag sind flexible Kaffeepausen vorgesehen. Lassen Sie den ersten Seminartag bei einem gemeinsamen Umtrunk ausklingen.

3 3 Mobile Computing Bring your own device Schwachstellen und Bedrohungsszenarien bei Laptop, Smartphone, ipad, insbesondere Diebstahl und Verlust Mobile Sicherheit: Zugriffsschutz, Verschlüsselung, datenschutzkonforme Schnittstellenkontrolle (Device Control) Notwendige Regeln für Homeoffice und Geschäftsreisen Smartphones und Apps, rechtssichere Verwendung Bring your own device Verwendung privater Endgeräte Rechtliche Rahmenbedingungen privater Nutzung, Weitergabe an Dritte Kontrollmaßnahmen, Datenschutz auf mobilen Endgeräten, Reichweite Fernmeldegeheimnis Gestaltungsmodul Mobile Benutzerrichtlinien für mobile Einheiten, eigene Geräte Benutzerrichtlinien für Homeoffice IT Compliance zulässige Mitarbeiterkontrolle Zulässige Kontroll- und Ermittlungsmaßnahmen im Unternehmen, Verhaltenskontrolle nach dem neuen 32 BDSG Datenschutzkonforme Korruptionsbekämpfung, Abwehr Wirtschaftsspionage Pflicht nach 130 OWiG aktuelle Szenarien, z. B. der Fall der Bahn, legaler Datenbankabgleich Kontrollpflichten nach 9 BDSG, rechtskonforme Zugangs- und Eingabekontrolle Rechtmäßige Zutrittskontrollen; anonyme und personenbezogene Kontrolle von Logfiles/ s Rechtsfolgen unzulässiger Kontrolle, Beweisverwertungsverbote Der Fluch des Admin Marktübliche Kontroll- und Wartungssoftware, Helpdesk, VNC-Client Das neue Beschäftigtendatenschutzgesetz Novellierung des BDSG Neue Informationspflichten bei Datenpannen nach 42a BDSG, Haftung bei illegalem Datendiebstahl Geplante Einführung des Arbeitnehmerdatenschutzes in das BDSG Umgang mit Bewerberdaten, Medizinische Untersuchungen, Eignungstests Nutzung von Telekommunikation und Telemedien am Arbeitsplatz, Neuregelung der privaten Nutzung Neuer Kündigungsschutz und Fortbildungsanspruch des Datenschutzbeauftragten, verschärfter Bußgeldkatalog Videoüberwachung von Arbeitnehmern, Biometrie, Ortungssysteme (GPS und RFID) IT-Nutzung am Arbeitsplatz, private Nutzung Privatnutzung am Arbeitsplatz, Arbeitgeber als TK-Provider, BAG-Rechtsprechung Keine Geltung des Fernmeldegeheimnisses für private s, VGH Hessen vom Mitbestimmung, Duldung, betriebliche Übung, Kündigung bei missbräuchlicher Privatnutzung Recht auf IT-Nutzung und Internet für Betriebsrat, BAG vom Sanktionen bei Missbrauch der IT-Systeme, Überschreitung der Adminrechte Betriebsvereinbarungen für die IT-Nutzung (insbesondere , Internet), Legitimationsgrenzen, Einwilligungen der Mitarbeiter Gestaltungsmodul Kontrolle Benutzerrichtlinien für mobile Einheiten, eigene Geräte Benutzerrichtlinien für Homeoffice IT- und Datenschutz-Audits Risikomanagement IT-Sicherheits-Policy, notwendige Inhalte Richtlinien für Gastzugänge, Gestaltungstipps aus der Praxis Informationsmanagementsysteme (ISMS), Standards (BSI, ISO etc.) Datenschutzprüfungen durch Datenschutzbeauftragte und Revision, Vorabkontrolle Datenschutz-Baustein B 1.5 des BSI europäischer Datenschutzstandard, EuroPriSe Vorgaben externer Auftraggeber, Anforderungskataloge der Wirtschaftsprüfer, IDW-Standards (FAIT) Gesetzliche Pflichten zu Notfall- und Berechtigungskonzepten, Managementkonsolen Rechtsprechung zum KonTraG (LG München I) Keine Vorstandsentlastung ohne Risikomanagement Rechtsvorteile der Standards, Zertifizierung (BSI, ISO, Cobit etc.) Beweislastumkehr Gestaltungsmodul Datenschutz Verfahrensverzeichnis, Verfahrensbeschreibungen nach BDSG

4 4 Interne Kontrollsysteme (IKS) Einsatz von Compliance-Tools Interne Kontrollsysteme (IKS) Aufbau und Funktion Zusammenhang zwischen IT Compliance, IKS, Risikomanagement und Corporate Governance Kontrollmodelle zur Beschreibung betrieblicher Steuerungsund Überwachungssysteme Standards für interne Kontrollsysteme COSO-Modell und CobiT Tragende Prinzipien Datenschutzkonforme Umsetzung, insbesondere Transaktionskontrollen Marktübliche Tools für Compliance, Audits und Risikomanagement Möglichkeiten und Grenzen Einsatz der Tools planen und umsetzen Rechtssichere Filter- und IT-Sicherheitssysteme, Data Loss Prevention Data Loss Prevention (DLP) Datenschutzkonforme Kommunikations- und File-Kontrolle Identity- und Accessmanagement (IAM) Rechtssichere Identitäts- und Berechtigungskontrolle Rollenbasierte Rechteverwaltung, Zugangsund Zugriffsrechten, Tools für Berechtigungsmanagement Jugendschutz am Arbeitsplatz Notwendige technische Maßnahmen, der neue Jugendmedienschutz- Staatsvertrag (JMStV) URL- und Contentfilter, insbesondere Spamfilter (Reputationfilter), Zugang von s trotz Filterung, datenschutzkonformes https-scanning Gestaltungsmodul IT-Sicherheit IT-Sicherheitsrichtlinien nach ISO und BSI IT-Benutzerrichtlinien für Mitarbeiter Gestaltungsmodul DMS Verfahrensdokumentation nach GoBS Archivierungsrichtlinien für Daten und Dokumente IT-Haftungsrisiken Haftungsfalle IT-Sicherheit Schadensbemessung bei Datenverlust Eigenhaftung der IT-Verantwortlichen, Garantenstellung des Compliance-Officers, BGH vom Haftung für offene W-LAN, BGH vom Managerhaftung im Wandel Persönliche Haftung der Leitungsebene Störerhaftung des Admin-C für Domains des Arbeitgebers Gestaltungsmodul Haftung Haftungsfreistellungsklauseln für IT- und Datenschutzverantwortliche (Admin-C) Funktions- und Stellenbeschreibungen für IT- und Datenschutzverantwortliche, Compliance-Officer Ihr Vorteil: Integrierte Gestaltungsmodule Die aufgeworfenen Rechtsfragen sollen auch aus Sicht der Gestaltung durch Richtlinien, Betriebsvereinbarungen und Einwilligungen dargestellt werden. Sie erhalten Gestaltungstipps, Musterformulierungen sowie Checklisten für Ihre tägliche Praxis! Benutzerrichtlinien für Gastzugänge von Besuchern und Geschäftspartnern Gesetzliche Archivierungspflichten für s und Daten, DMS -Archivierung: Gesetzliche Pflichten, Gestaltung in der Betriebsvereinbarung Lösung der Datenschutzproblematik, Trennung privater/dienstlicher Daten ( s) Archivierung in Bezug auf Instant Messaging und interne Social Media Plattformen GDPdU GoBS GoBIT Elektronische Betriebsprüfung, Zugriffsrechte Finanzamt, maschinelle Auswertbarkeit Elektronisches Rechnungswesen, Neuregelung EDI- Verfahren, Streichung der Signaturpflicht D -Gesetz und E-Post-Brief: Beweisführung mit elektronischen Dokumenten E-Discovery Vorlagepflichten von im Prozess, elektronische Beweismittelbeschaffung Infoline: 02 11/ Haben Sie Fragen zu dieser Veranstaltung? Wir helfen Ihnen gerne weiter. Konzeption und Inhalt: Claudia Paul (Senior-Konferenz-Managerin) Organisation: Anne Planker (Konferenz-Koordinatorin)

5 5 Vorsicht Falle! Durch neue Entwicklungen in der IT (z. B. Mobile Computing, Social Media) und notwendige Gesetzesänderungen sind die rechtlichen Spielregeln ständig im Fluss. Unternehmen müssen daher immer auf dem aktuellen Stand sein, um gesetzliche Vorgaben und Richtlinien einhalten und deren Befolgung nachweisen zu können. Bei Rechtsverletzungen müssen CIOs oder IT Compliance- Beauftragte mit erheblichen Sanktionen rechnen. Ziel des Praxisseminars IT Compliance Update ist es, das rechtliche Regelwerk für die Informationssicherheit zu erarbeiten und Sie auf den neuesten Stand zu bringen: Der durch IT-Gesetze und anerkannte IT-Standards gebildete Rahmen wird aktuell dargestellt. Sie erarbeiten anhand von Richtlinien und Arbeitsanweisungen die Ausgestaltung der Rahmenwerke. Gestaltungsmodule mit Checklisten, Gestaltungstipps und Formulierungsvorschlägen helfen Ihnen bei der Umsetzung in die tägliche Praxis. Schützen Sie sich vor Haftungsfallen und informieren Sie sich jetzt! Das Seminar bietet Ihnen: Praxistaugliche Antworten und Lösungen auf die dringendsten Fragen im Umfeld von IT Compliance Limitierte Teilnehmerzahl für intensiven Erfahrungsaustausch mit Fachkollegen Umfangreiche Dokumentationsunterlagen mit vielen Checklisten, Gestaltungstipps und Formulierungsvorschlägen Qualifizierte Teilnahmebestätigung im Anschluss an das Seminar Das Seminar richtet sich an: IT-Entscheider, IT-Leiter, CIOs IT-Sicherheitsbeauftragte, CISOs, CSOs Datenschutzbeauftragte Compliance-Officer IT-Architekten Verantwortliche IT-Recht Unternehmensjuristen Revisoren Geschäftsführer Betriebsräte Systemlieferanten Ihr Experte: Horst Speichert ist seit mehr als 10 Jahren Rechts anwalt bei e/s/b Rechtsanwälte und spezialisiert auf IT-Recht und Datenschutz. Schwerpunkt in der Anwaltspraxis ist die IT-Verträgen, IT-Betriebsvereinbarungen und rechtssicheren Datenschutz konzepten im betrieblichen und behördlichen Umfeld. Er ist Lehr beauf tragter für Informationsrecht und Internationales Vertragsrecht an der Universität Stuttgart und Autor des Fachbuches Praxis des IT-Rechts (2. Auflage, Vieweg-Verlag). Zudem ist er langjähriger Referent, Seminarleiter und Datenschutzbeauftragter.

6 [Kenn-Nummer] Euroforum-Praxisseminar IT Compliance Update Aktuelle Entwicklungen bei Informationssicherheit, Richtlinien, Kontrolle, Datenschutz, Haftung 19. und 20. Oktober 2011, Pullman Cologne Helenenstraße 14, Köln, Telefon: 02 21/ und 30. November 2011, Hotel Savigny Frankfurt City MGallery Savignystraße 14-16, Frankfurt/Main, Telefon: 0 69/ Bitte ausfüllen und faxen an: 02 11/ Ja, ich nehme teil zum Preis von 1.949, p. P. zzgl. MwSt. am 19. und 20. Oktober 2011 in Köln am 29. und 30. November 2011 in Frankfurt/Main [Ich kann jederzeit ohne zusätzliche Kosten einen Ersatzteilnehmer benennen.] [Im Preis sind ausführliche Tagungsunterlagen enthalten.] Ich interessiere mich für Ausstellungs- und Sponsoring möglichkeiten. Ich möchte meine Adresse wie angegeben korrigieren lassen. [Wir nehmen Ihre Adressänderung auch gerne telefonisch auf: 0211/ ] Name Position/Abteilung Telefon Datum, Unterschrift [P M012] [P M012] Geb.-Datum (TTMMJJJJ) Die Euroforum Deutschland SE darf mich über verschiedenste Angebote von sich, Konzern- und Partnerunternehmen wie folgt zu Werbezwecken informieren: Zusendung per Ja Nein Zusendung per Fax: Ja Nein Firma Anschrift Branche Ansprechpartner im Sekretariat Bitte ausfüllen, falls die Rechnungsanschrift von der Kundenanschrift abweicht: Name Abteilung Anschrift Fax Teilnahmebedingungen. Der Teilnahmebetrag für diese Veranstaltung inklusive Tagungsunterlagen, Mittagessen und Pausen getränken pro Person zzgl. MwSt. ist nach Erhalt der Rechnung fällig. Nach Eingang Ihrer Anmel dung erhalten Sie eine Bestätigung. Die Stornierung (nur schriftlich) ist bis 14 Tage vor Veranstaltungsbeginn kostenlos möglich, danach wird die Hälfte des Teilnahmebetrages erhoben. Bei Nichterscheinen oder Stornierung am Veranstaltungstag wird der gesamte Teilnahme betrag fällig. Gerne akzeptieren wir ohne zusätzliche Kosten einen Ersatz teilnehmer. Pro grammänderungen aus dringendem Anlass behält sich der Veranstalter vor. Teilnahmebedingungen Informyou. Die informyou-flatrate berechtigt zu einer zwölfmonatigen Vollnutzung der informyou-datenbank und wird jeweils für ein Bezugsjahr in Rechnung gestellt. Datenschutzinformation. Die Euroforum Deutschland SE verwendet die im Rahmen der Bestellung und Nutzung unseres Angebotes erhobenen Daten in den geltenden rechtlichen Grenzen zum Zweck der Durchführung unserer Leistungen und um Ihnen postalisch Informationen über weitere Angebote von uns sowie unseren Partner- oder Konzernunternehmen zukommen zu lassen. Wenn Sie unser Kunde sind, informieren wir Sie außerdem in den geltenden rechtlichen Grenzen per über unsere Angebote, die den vorher von Ihnen genutzten Leistungen ähnlich sind. Soweit im Rahmen der Verwendung der Daten eine Übermittlung in Länder ohne angemessenes Datenschutzniveau erfolgt, schaffen wir ausreichende Garantien zum Schutz der Daten. Außerdem verwenden wir Ihre Daten, soweit Sie uns hierfür eine Einwilligung erteilt haben. Sie können der Nutzung Ihrer Daten für Zwecke der Werbung oder der Ansprache per oder Telefax jederzeit gegenüber der Euroforum Deutschland SE, Postfach , Düsseldorf widersprechen. Zimmerreservierung. Im Tagungs hotel steht Ihnen ein be grenz tes Zimmer kon tingent zum er mäßigten Preis zur Verfü gung. Bitte nehmen Sie die Zimmer reservierung direkt im Hotel unter dem Stichwort Euroforum-Veran staltung vor. Ihr Tagungshotel. Am Abend des ersten Seminartages laden Sie das Pullman Cologne bzw. das Hotel Savigny Frankfurt City MGallery herzlich zu einem Umtrunk ein. Wir über uns. Euroforum steht in Europa für hochwertige Kongresse, Seminare und Workshops. Ausgewählte, praxiserfahrene Referenten berichten zu aktuellen Themen aus Wirtschaft, Wissenschaft und Verwaltung. Darüber hinaus bieten wir Führungskräften ein erstklassiges Forum für Informations- und Erfahrungsaustausch. Unsere Muttergesellschaft, die Informa plc mit Hauptsitz in London, organisiert und konzipiert jährlich weltweit über Veranstaltungen. Darüber hinaus verfügt Informa über ein umfangreiches Portfolio an Publikationen für die akademischen, wissenschaftlichen und wirtschaftlichen Märkte. Informa ist in über 80 Ländern tätig und beschäftigt mehr als Mitarbeiter. Wer entscheidet über Ihre Teilnahme? Ich selbst oder Name: Position: Beschäftigtenzahl an Ihrem Standort: bis über 5000 Anmeldung und Information per Fax: +49 (0)211/ telefonisch: +49 (0)211/ [Anne Planker] Zentrale: +49 (0)211/ schriftlich: Euroforum Deutschland SE Postfach , Düsseldorf per im Internet: anmeldung@euroforum.com info@euroforum.com