IT - Compliance Alter Wein in neuen Schläuchen?
|
|
- Pia Gerstle
- vor 8 Jahren
- Abrufe
Transkript
1 IT Compliance Alter Wein in neuen Schläuchen? Dr. Lars Lensdorf Heymann & Partner Rechtsanwälte DGRI Fachausschuss Vertragsrecht Frankfurt 8. Mai 2009
2 Übersicht 1. Begriff und rechtliche Grundlagen der IT Compliance 2. Warum IT Compliance? 3. Hot Spots IT Compliance Anforderungen Abs. 2 AktG: Einrichtung eines Überwachungssystems 3.2. MaRisk und MaRisk VA 3.3. Datenschutzauditgesetz 3.4. Richtlinien, Standards und Referenzmodelle 3.5. Das neue IT Grundrecht des BVerfG 4. Fazit und Ausblick DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 2
3 Übersicht 1. Begriff und rechtliche Grundlagen der IT Compliance 2. Warum IT Compliance? 3. Hot Spots IT Compliance Anforderungen Abs. 2 AktG: Einrichtung eines Überwachungssystems 3.2. MaRisk und MaRisk VA 3.3. Datenschutzauditgesetz 3.4. Richtlinien, Standards und Referenzmodelle 3.5. Das neue IT Grundrecht des BVerfG 4. Fazit und Ausblick DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 3
4 1. Begriff und rechtliche Grundlagen der IT Compliance (1) IT IT Compliance Compliance Befolgung Befolgung Einhaltung Einhaltung von von Gesetzen, Gesetzen, Richtlinien Richtlinien und und anderen anderen Verhaltensmaßregeln Verhaltensmaßregeln IT IT Compliance ITCompliance ITCompliance bedeutet bedeutet generell generell die die Einhaltung Einhaltung der der rechtlichen rechtlichen Anforderungen, Anforderungen, die die sich sich auf auf den den Einsatz Einsatz von von Informationstechnologie Informationstechnologie beziehen. beziehen. DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 4
5 1. Begriff und rechtliche Grundlagen der IT Compliance (2) IT IT Compliance ist ist eine eine Querschnittsmaterie Gesetzliche Gesetzliche Grundlagen Grundlagen Z.B: Z.B: BDSG BDSG Datenschutzauditgesetz Datenschutzauditgesetz (Entwurf) (Entwurf) KonTraG KonTraG TMG TMG TKG TKG UWG UWG StGB StGB Abgabenordnung Abgabenordnung (AO) (AO) HGB HGB Verwaltungsvorschriften Verwaltungsvorschriften Z.B: Z.B: Ministerialerlasse, Ministerialerlasse, Verfügungen, Verfügungen, Richtlinien Richtlinien oder oder Anordnungen. Anordnungen. Z.B: Z.B: GoB, GoB, GoBS GoBS GDPdU GDPdU Rundschreiben/Verlautbarungen Rundschreiben/Verlautbarungen der der BaFin BaFin MaRisk, MaRisk, RS RS 05/ /2007 MaRisk MaRisk VA, VA, RS RS 03/ /2009 Richtlinien, Richtlinien, Standards Standards und und Referenzmodelle Referenzmodelle Z.B: Z.B: DIN, DIN, ISO ISO Normen. Normen. Z.B. Z.B. ISO ISO 2700x 2700x Reihe Reihe CobiT, CobiT, ITIL ITIL IDW IDW Prüfungsstandards Prüfungsstandards / / Stellungnahmen/Checklisten Stellungnahmen/Checklisten BSI BSI Standards Standards und und Grundschutzkataloge Grundschutzkataloge DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 5
6 1. Begriff und rechtliche Grundlagen der IT Compliance (3) IT IT Compliance Anforderungen IT IT Compliance Compliance Anforderungen Anforderungen im im engeren engeren Sinn Sinn Regelkonforme Regelkonforme ITSysteme ITSysteme ITSysteme ITSysteme müssen müssen geltenden geltenden Vorgaben Vorgaben genügen genügen IT IT Compliance Compliance Anforderungen Anforderungen im im weiteren weiteren Sinn Sinn Compliance Compliance mit mit Hilfe Hilfe von von ITSystemen ITSystemen Abbildung Abbildung von von Unternehmensfunktionen Unternehmensfunktionen mit mit ITSystemen ITSystemen z.b: z.b: BDSG BDSG Datenschutzauditgesetz Datenschutzauditgesetz (Entwurf) (Entwurf) TMG, TMG, TKG TKG StGB StGB GDPdU, GDPdU, GoBS GoBS Nationale Nationale und und internationale internationale Qualitätsstandards Qualitätsstandards (CobiT, (CobiT, ITIL, ITIL, ISO ISO etc.) etc.) BSI BSI Grundschutzkataloge Grundschutzkataloge Basel Basel II II Solvency Solvency II II SarbanesOxley SarbanesOxley Act Act Abs.3 Abs.3 Nr. Nr. 6 AktG 6 AktG 239, 239, HGB HGB AO AO z.b: z.b: Übergreifende Anforderung: 91 Abs. 2 AktG DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 6
7 Übersicht 1. Begriff und rechtliche Grundlagen der IT Compliance 2. Warum IT Compliance? 3. Hot Spots IT Compliance Anforderungen Abs. 2 AktG: Einrichtung eines Überwachungssystems 3.2. MaRisk und MaRisk VA 3.3. Datenschutzauditgesetz 3.4. Richtlinien, Standards und Referenzmodelle 3.5. Das neue IT Grundrecht des BVerfG 4. Fazit und Ausblick DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 7
8 2. Warum IT Compliance? (1) / Haftungsrisiken Haftungsrisiken der Unternehmensleitung bei mangelhafter IT Compliance Die Verpflichtung rechtskonform zu handeln trifft zunächst das Unternehmen als solches Aber: Darüber hinaus gem. 93 Abs. 1 AktG und 43 Abs. 1 GmbHG auch die Unternehmensleitung Pflichtverletzung kann zu Schadensersatz führen, 93 Abs. 2 AktG, 43 Abs. 2 GmbHG Bei 93 Abs. 2 AktG ggf. Beweislastumkehr Strengere Rechtsprechung zu 93 Abs. 2, 116 S.1 AktG seit BGH: ARAG / Garmenbeck, in NJW 1997, 1966 ff. Pflicht zur Durchsetzung von Ansprüchen der Gesellschaft gegen die Geschäftsführung, falls erfolgversprechend) Aktuell: Telekom fordert von Zumwinkel und Ricke Schadensersatz wegen Spitzelaffäre Siemens fordert Schadensersatz von ehemaligen Vorständen, darunter Ex Siemens Chef Heinrich von Pierer DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 8
9 2. Warum IT Compliance? (2) Imageschäden des Unternehmens Evtl. erhöhte Kosten bei Nichtbeachtung; Ratingrisiko bei Finanzierung (Basel II) Bei Nichtbeachtung unter Umständen Versagung des Wirtschaftsprüfertestats Nichteinhaltung der IDW Prüfungsstandards Gem. 317 Abs. 4 HGB bzgl. Frühwarnsystem bei börsennotierter AG Schätzung der Besteuerungsgrundlagen durch Finanzbehörden ( 162 AO) Evtl. strafrechtliche Folgen ITbezogene Straftatbestände im StGB: Ausspähen/Unterdrücken von Daten ( 202a StGB), besondere Geheimhaltungspflichten ( 203 StGB), Datenveränderung ( 303a StGB), Verletzung von Buchführungspflichten ( 283 b StGB) weitere Straftatbestände z.b. im BDSG ( 44), KWG ( 54 ff.), AktG ( 399 ff.), HGB ( 331 ff.); insbesondere unrichtige Darstellung, Überschuldung Vorliegen einer Ordnungswidrigkeit (z.b. 43 BDSG) Nach der geplanten BDSG Novelle Bußgeldhöhe nunmehr: Im Fall von 43 Abs. 1 BDSG max Im Fall von 43 Abs. 2 BDSG max DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 9
10 2. Warum IT Compliance? (3) Aufsichtsrechtliche Maßnahmen möglich BaFin: z.b. 6 Abs. 3 KWG: Anordnungsbefugnis; 35 KWG : Aufhebung der Erlaubnis; 36 KWG: Abberufung des Geschäftsleiters Maßnahmen der Datenschutzbehörden gem. 38 Abs. 5 BDSG (Anordnungsbefugnis) Der Ausschluss von der Vergabe öffentlicher Aufträge droht ITStandards, Zertifizierungen werden immer häufiger als Wertungskriterien und Vertragsbestandteile verwendet Dadurch faktische Bindungswirkung Gesetzliche und vertragliche Obliegenheiten Verhaltensnormen, die bei Nichtbeachtung zum Rechtsverlust führen können (z. B. 254 BGB) Insbesondere im Versicherungsvertragsrecht (VVG): z.b. Pflicht, bedeutende Umstände anzuzeigen, 19 VVG z.b. Pflicht, keine Gefahrerhöhung nach Vertragsschluss vorzunehmen oder dies zuzulassen, 23 VVG Verletzung von Obliegenheit kann zu Verlust von Versicherungsschutz führen DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 10
11 Übersicht 1. Begriff und rechtliche Grundlagen der IT Compliance 2. Warum IT Compliance? 3. Hot Spots IT Compliance Anforderungen Abs. 2 AktG: Einrichtung eines Überwachungssystems 3.2. MaRisk und MaRisk VA 3.3. Datenschutzauditgesetz 3.4. Richtlinien, Standards und Referenzmodelle 3.5. Das neue IT Grundrecht des BVerfG 4. Fazit und Ausblick DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 11
12 Abs. 2 AktG: Einrichtung eines Überwachungssystems Risikofrüherkennung ist Teil des gesamten Risikomanagementsystems Risikofrüherkennung beinhaltet: Definition/Erkennung von möglichen Risiken Analyse der Risiken (Beurteilung der Tragweite der erkannten Risiken) Rolle der IT bei Risikofrüherkennung? Maßnahmen bestimmen sich nach Rolle der IT im Unternehmen: IT lediglich zur Unterstützung (MS Office / ERP) IT zur Steuerung von Geschäfts/Produktionsprozessen (produzierende Industrie/ Banken, Finanzdienstleister) IT als Geschäftsgegenstand (ITDienstleister) IT als Mittel für Risikofrüherkennungssystem Schaffung/Fortentwicklung eines Risikobewusstseins Berichtswesen, Kommunikation (wer wird wann wie über welche Risiken informiert) Eskalationsprozesse 317 Abs. 4 HGB: Abschlussprüfer hat das Vorhandensein eines geeigneten Überwachungssystems zu prüfen (Dokumentation! Siehe LG München, Urt. v , CR 2007, 423 f.) DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 12
13 3.2. MaRisk und MaRisk VA (1) Mindestanforderungen an Risikomanagement (MaRisk) Rundschreiben 05/2007 v Mindestanforderungen an das Risikomanagement in deutschen Versicherungsunternehmen (MaRisk VA) Rundschreiben 03/2009 v MaRisk enthalten: flexiblen und praxisnahen Rahmen für die Ausgestaltung des Risikomanagements Präzisierung der Anforderungen an ordnungsgemäße Geschäftsorganisation für ausgelagerte Prozesse Adressaten: Kredit und Finanzdienstleistungsinstitute ( 1 Abs. 1b KWG, 53 Abs. 1 KWG) Für Versicherungsunternehmen: MaRisk VA ( 64a, 104s VAG) Aber: Anforderungen lassen sich teilweise unter dem Aspekt ordnungsgemäßer Geschäftsführung auf andere Unternehmen übertragen Übertragbarkeit gilt insbesondere für Vorgaben zur Ausstattung von ITSystemen (MaRisk AT 7.2) und Notfallvorsorge (MaRisk AT 7.3), sowie entsprechend bei MaRisk VA für betriebliche Anreizsysteme und Ressourcen (MaRisk VA Nr. 3, Nr. 4) und Notfallplanung (MaRisk VA 9.) DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 13
14 3.2. MaRisk und MaRisk VA (2) MaRisk AT 7.2 ( Technischorganisatorische Ausstattung ) / MaRisk VA Nr. 3, Nr. 4 ( Betriebliche Anreizsysteme und Ressourcen ): ITSysteme und zugehörige ITProzesse müssen die Integrität, die Verfügbarkeit, die Authentizität, sowie die Vertraulichkeit der Daten sicherstellen Bei der Ausgestaltung der ITSysteme und der zugehörigen ITProzesse ist grds. auf gängige Standards abzustellen (ITGrundschutzkataloge des BSI, Normenreihe ISO 2700x, etc.) Maßnahmen, die sicherstellen, dass ITSysteme vor ihrem erstmaligen Einsatz und nach wesentlichen Veränderungen von den technisch zuständigen Mitarbeitern abzunehmen sind Trennung von Produktions und Testumgebung MaRisk AT 7.3 ( Notfallkonzept ) / MaRisk VA 9. ( Notfallplanung ): Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept) Maßnahmen müssen geeignet sein, das Ausmaß möglicher Schäden zu reduzieren Notfallkonzept muss Geschäftsfortführungs und Wiederanlaufpläne umfassen; abhängig von Bedeutung der IT Regelmäßige Überprüfung durch Notfalltests Bei Outsourcing aufeinander abgestimmte Notfallkonzepte (nur MaRisk AT 7.3) DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 14
15 3.3. Datenschutzauditgesetz (RegE v ) Hintergrund Erfüllung der Ankündigung eines Datenschutzauditgesetzes in 9a S.2 BDSG Datenskandale mit Fällen des rechtswidrigen Handels mit personenbezogenen Daten Gesetzgeberische Intention Förderung des Datenschutzes in Unternehmen allgemein Wettbewerbsvorteil derjenigen Unternehmen, die sich einem Datenschutzaudit unterziehen Dadurch Marktorientierung zugunsten datenschutzgerechter Produkte, bzw. Dienstleistungen Wesentlicher Regelungsgehalt Einführung eines freiwilligen, gesetzlich geregelten Datenschutzaudits Verantwortliche Stellen (nichtöffentliche Stellen) können ihr Datenschutzkonzept sowie Anbieter von DV Anlagen und Programmen (informationstechnische Einrichtungen) durch zugelassene Prüfunternehmen auditieren lassen. Datenschutzauditierung erfolgt durch private Kontrollstellen Bildung eines Datenschutzauditausschusses, welcher die zu erfüllenden Richtlinien zur Verbesserung des Datenschutzes erlässt Reaktionen Ziel des Gesetzes wird weitgehend begrüßt Aber: Teilweise erhebliche Kritik; siehe bspw. Kritik des unabhängigen Landeszentrums für Datenschutz Schleswig Holstein (ULD) DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 15
16 3.4. Richtlinien, Standards, Referenzmodelle (1) Gesetzliche IT Compliance Anforderungen sind teils vage und legen das WAS und WIE nicht genau fest Im ITBereich i.d.r. keine technische Gesetzgebung, anders z.b. im Bauordnungsrecht Richtlinien, Standards, Referenzmodelle sind teilweise wesentlich konkreter haben keinen unmittelbaren Rechtscharakter und sind nicht unmittelbar durchsetzbar können bei der Ausgestaltung des WAS und des WIE helfen und als Orientierungshilfe dienen Ausgewählte Richtlinien, Standards, Referenzmodelle: 6. IDW Prüfungsstandards Checklisten und Stellungnahmen 1. ISO IT Grundschutz & 3. BSI Standards 5. CobiT Ausgewählte Standards, Richtlinien und Referenzmodelle 4. ITIL DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 16
17 3.4. Richtlinien, Standards, Referenzmodelle (2) 1. ISO (Information technology Security techniques Information security management systems Requirements ) ISO wurde entwickelt, um eine Anleitung für den Aufbau und den Betrieb eines Informationssicherheits Managementsystems (ISMS) bereitzustellen Die Norm wurde aus dem britischen Standard BS 77992:2002 entwickelt und als internationale Norm erstmals am veröffentlicht Die Einhaltung von ISO kann durch entsprechend akkreditierte Unternehmen geprüft und zertifiziert werden 2. IT Grundschutzkataloge des BSI Sammlung von Dokumenten des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI), die der Erkennung und Bekämpfung sicherheitsrelevanter Schwachstellen in ITUmgebungen dienen ITGrundschutz geht von einer üblichen generalisierten Gefährdungslage aus, die in 80 % der Fälle zutreffend ist und empfiehlt hierzu adäquate Gegenmaßnahmen BSI ITGrundschutz umfasst StandardSicherheitsmaßnahmen für typische ITSysteme mit normalem Schutzbedarf DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 17
18 3.4. Richtlinien, Standards, Referenzmodelle (3) Aufbau der IT Grundschutzkataloge Aufbau der IT Grundschutzkataloge Bausteine Gefährdungskataloge Maßnahmenkataloge Übergeordnete Aspekte der der IT IT Sicherheit Höhere Gewalt Höhere Gewalt Infrastruktur Sicherheit der Infrastruktur Sicherheit der Infrastruktur Organisatorische Mängel Organisatorische Mängel Organisation Sicherheit der IT Systeme Sicherheit der IT Systeme Menschliche Fehlhandlungen Personal Sicherheit im Netz Sicherheit im Netz Technisches Versagen Technisches Versagen Hard und Software Hard und Software Sicherheit in Anwendungen Sicherheit in Anwendungen Vorsätzliche Handlungen Vorsätzliche Handlungen Kommunikation Notfallvorsorge DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 18
19 3.4. Richtlinien, Standards, Referenzmodelle (4) 3. BSI Standards Enthalten Empfehlungen des Bundesamts für Sicherheit in der Informationstechnologie (BSI) zu Methoden, Prozessen und Verfahren, sowie Vorgehensweisen und Maßnahmen mit Bezug zur Informationssicherheit BSI Standards BSI Standards BSI Standard Managementsysteme für für Informationssicherheit (ISMS) Definiert allg. allg. Anforderungen an an ein ein ISMS Kompatibel zu zu ISO ISO Berücksichtig ferner die die Empfehlungen der der anderen ISO ISO Standards BSI Standard IT IT Grundschutz Vorgehensweise beschreibt wie wie ein ein ISMS in in der der Praxis aufgebaut und und betrieben werden kann kann be Sicherheitsmanagement und und der der Aufbau von von Organisationsstrukturen für für IT IT Sicherheitwerden erörtert heit BSI Standard Risikoanalyse auf auf der der Basis von von IT IT Grundschutz Richtet sich sich an an Anwender die die mit mit dem dem IT IT Grundschutz Ansatsatzarbeiten Standard zur zurrisikoanalyse auf auf der der Basis von von ITGrundschutz An BSI Standard Notfallmanagement Zeigt Zeigt einen systematischen Weg Weg auf, auf, wie wie ein ein Notfallmanagement in in einer einer Behörde oder oder einem Unternehmen aufzubauen ist, ist, um um Be die die Kontinuität des des Geschäftsbetriebs sicherzustellen Ge DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 19
20 3.4. Richtlinien, Standards, Referenzmodelle (5) 4. ITIL (IT Infrastructure Library) Sammlung von Best Practice Ansätzen im Hinblick auf ITProzesse Seit Mai 2007 überarbeiteten Version (ITIL V3), die sich am sog. Lebenszyklus von Services orientiert (Strategie/Design/Überführung/Operations/Verbesserung, Stilllegung) Verbreitung: Laut einer von der Materna GmbH in Auftrag gegebenen Studie griffen bereits im Jahr % aller befragten Unternehmen in Deutschland Ansätze von ITIL auf Nach einer weiteren Studie aus dem Jahr 2008, welche von Dimension Data in Auftrag gegeben wurde, setzen 87 % der Unternehmen mit über Mitarbeitern ITIL bereits ein, während es bei Unternehmen mit weniger als 100 Mitarbeitern laut dieser Studie kaum Beachtung findet Bedeutung bei ITVerträgen: wachsende Bedeutung bei Erstellung von Leistungsbeschreibungen (z. B. Change Management, Service Desk, Incident Management, Problem Management); Aber: häufig uneinheitliche Verwendung von Definitionen im Vertragswerk, mangelnde Abstimmung zwischen technisch getriebenen Begriffen von ITIL und rechtlich getriebenen Begriffen des übrigen Vertragswerks DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 20
21 3.4. Richtlinien, Standards, Referenzmodelle (6) Aufbau von ITIL V3 ITIL V3 V3 Publikationen Service Strategy Service Strategy Service Design Service Design Service Transition Service Transition Service Operation Service Operation Continual Service Improvement (CSI) Zugehörige Prozesse: Strategy Generation Financial Management Service Portfolio Management Demand Management Zugehörige Prozesse: Service Level Managemenment Service Catalogue Management Information Security Management Supplier Management IT IT Service Continuity Management Availability Managemenment Capacity Management Zugehörige Prozesse: Knowledge Managemenment Change Management Service Asset and and Configuration Management Transition Planning and and Con Support Release and and DeploymentManagement Service Validation and and ment Testing Evaluation Funktionen: Service Desk Technical Management IT IT Operations Management Application Managemenment Incident Management Request Fullfillment Event Management Access Management Problem Management The The7Step ImprovementProcess Service Reporting Measurement Business Questions for for ment CSI CSI Return on on Investment for for CSI CSI DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 21
22 3.4. Richtlinien, Standards, Referenzmodelle (7) 5. CobiT (Control Objectives for Information and Related Technologies) Framework zur ITGovernance; gliedert sich in Prozesse und Control Objectives Ursprünglich Prüfungstools für ITAuditoren, heute Steuerungstool für Unternehmensführung Weniger Definition des WIE, als vielmehr Definition des WAS CobiT definiert für jeden ITProzess sowohl die Geschäftsziele, die durch diesen Prozess unterstützt werden sollen, als auch die Kontroll und Steuerungsziele für diesen Prozess Bindeglied zw. allgemeinen ProzessFrameworks und spez. ITModellen (ITIL, ISO 2700xReihe) 6. IDW Prüfungsstandards, Stellungnahmen und Checklisten IDW PS 330 (Prüfungsstandard zur Abschlussprüfung bei Einsatz von Informationstechnologie) IDW PH (Checkliste zur Abschlussprüfung bei Einsatz von Informationstechnologie) IDW PS 340 (Prüfung des Risikofrüherkennungssystems nach 317 Abs. 4 HGB) IDW PS 850 (Projektbegleitende Prüfung bei Einsatz von IT) IDW PS 880 (Erteilung und Verwendung von Softwarebescheinigungen) IDW RS FAIT 1 (Stellungnahme zur Rechnungslegung: Grundsätze ordnungsgemäßer Buchführung bei Einsatz von IT) IDW RS FAIT 2 (Stellungnahme zur Rechnungslegung: Grundsätze ordnungsgemäßer Buchführung bei Einsatz von Electronic Commerce) IDW RS FAIT 3 (Stellungnahme zur Rechnungslegung: Grundsätze ordnungsgemäßer Buchführung bei Einsatz elektronischer Archivierungsverfahren) DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 22
23 3.4. Richtlinien, Standards, Referenzmodelle (8) Die praktische Bedeutung von IT Compliance Standards für Juristen (1): IT Verträge: Standards sind meist gut strukturiert und übersichtlich Standards liefern wichtige Hinweise für die praktische Umsetzung von IT Compliance Anforderungen Damit können sie zu einer höheren Qualität und Präzision beitragen Aber:» Kein Ersatz für eine detaillierte und präzise Leistungsbeschreibung im Vertrag, da Standards meist keine konkreten vertraglichen Regelungen treffen (bsp. ITIL), sondern Prozessabläufe und Mindeststandards definieren» Sind in der Regel generalisierend; Analyse des Einzelfalls bleibt weiterhin ratsam» Zertifizierungen sind zudem i.d.r. stichtagsbezogen => Änderungen werden ggf. nicht ausreichend berücksichtigt Bestimmung des Sorgfaltsmaßstabes: Standards können den Sorgfaltsmaßstab bestimmen, BGH Urteil v , NJW RR 2005, 386 ff; BGHZ 103, 341; BGHZ 139, 17 DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 23
24 3.4. Richtlinien, Standards, Referenzmodelle (9) Die praktische Bedeutung von IT Compliance Standards für Juristen (2): Haftung Die Abweichung von Standards führt zu einer Umkehr der Beweislast. Für DINNormen = BGH Urteil v , BB 1991, 1149; OLG München Urteil v , NJW RR 1992, 1523 ff. Objektiver Fehlerbegriff Die Abweichung von Standards wie bsp. DIN Normen, kann einen Sachmangel darstellen, muss dies aber nicht. Es kommt vorwiegend auf die konkreten Vereinbarungen zwischen den Parteien an, OLG München Urteil v , NJWRR 1992, 1523 Ausfüllen von lückenhaften Leistungsbeschreibungen Mangels Pflichtenheft oder anderer konkreter Absprachen ist ein Ergebnis geschuldet, das dem Stand der Technik bei einem mittleren Ausführungsstandard entspricht, BGH Urteil v , CR 1992, 543 f. ( Zugangskontrollsystem, das vergessene Pflichtenheft ) Ausschreibungen Bei Nichterfüllung bzw. Nichtbeachtung droht der Ausschluss von öffentlichen Ausschreibungen Zumindest für den Bieter entfalten Standards dadurch einen faktischen Bindungszwang DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 24
25 3.5. Das neue IT Grundrecht des BVerfG (1) BVerfG, Urteil vom , NJW 2008, 822 ff. Begründung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ; Herleitung aus dem allgemeinen Persönlichkeitsrecht (Art. 2 I i.v.m. Art. 1 I GG.) Neues Grundrecht ist subsidiär zu Fernmeldegeheimnis (Art. 10 GG), Unverletzlichkeit der Wohnung (Art. 13 GG) und Recht auf informationelle Selbstbestimmung (Art. 2 I i.v.m. Art. 1 I GG) Anwendungsbereich lückenschließende Gewährleistung, um den neuartigen Gefährdungen durch tech. Fortschritt/ Wandel der Lebensverhältnisse zu begegnen. wenn Zugriff auf ITSysteme es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild zu erhalten. (Gefahr der Profilbildung) Weites Verständnis von informationstechnischen Systemen, Zugriff (muss wohl nicht heimlich sein) Einschränkung durch Gesetz in engen Grenzen und nur unter Richtervorbehalt möglich. Erforderlich sind a) tatsächliche Anhaltspunkte einer konkreten Gefahr für b) überragend wichtiges Rechtsgut. DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 25
26 3.5. Das neue IT Grundrecht des BVerfG (2) Auswirkungen auf einzelne IT Compliance Anforderungen 1. Beispiel: Bundesdatenschutzgesetz BDSG 9 9 BDSG BDSG Regelt Regelt die die Anforderungen Anforderungen an an die die erforderlichen erforderlichen technischorganisatorischetorischenmaßnahmen zur zur Datensicherheit technischorganisa Datensicherheit 9 9 S. S. 2 2 BDSG BDSG = = Abwägung Abwägung Maßnahmen Maßnahmen sind sind nur nur erforderlich, erforderlich, wenn wenn ihr ihr Aufwand Aufwand in in einem einem angemessenen angemessenen Verhältnis Verhältnis zum zum angestrebten angestrebten Schutzzweck Schutzzweck steht. steht Durch Durch das das IT IT Grundrecht Grundrecht ist ist der der Datensicherheit Datensicherheit ein ein größerer größerer Stellenwert Stellenwert beizumessen. beizumessen Das Das kann kann dazu dazu führen, führen, dass dass im im Rahmen Rahmen einer einer Abwägung Abwägung i.s.d. i.s.d. 9 S. 9 S. 2 BDSG 2 BDSG zukünftig zukünftig Maßnahmen Maßnahmen verhältnismäßig verhältnismäßig sind, sind, die die es es früher früher nicht nicht waren. waren. DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 26
27 3.5. Das neue IT Grundrecht des BVerfG (3) 2. Beispiel: Private Nutzung am Arbeitsplatz VG Frankfurt, Urteil vom K 628/08 F.) Hintergrund» Möglichkeit des Zugriffs des Arbeitgebers auf s der Mitarbeiter bei zulässiger privater Nutzung des Firmenaccounts wegen 88 II TKG (Verletzung Fernmeldegeheimnis) strittig» VG Frankfurt hatte Fall zu entscheiden, in dem BaFin von einem Unternehmen E Mails herausverlangte, weil Verdacht auf Inssiderhandel vorlag» Besonderheit: Teilweise s betroffen, die Mitarbeiter selber archivieren/speichern konnten Entscheidung» BVerfG, Urt. v BvR 2099/04: Schutz des Fernmeldegeheimnisses endet in dem Moment, in dem die Nachricht bei dem Empfänger angekommen und der Übertragungsvorgang beendet ist» Spezifische Gefahren der räumlich distanzierten Kommunikation bestehen im Bereich des Empfängers, der eigene Schutzvorkehrungen treffen kann, nicht mehr» VG Frankfurt: basierend auf Urteil des BVerfG v Fernmeldegeheimnis nicht tangiert DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 27
28 3.5. Das neue IT Grundrecht des BVerfG (4) 2. Beispiel: Private Nutzung am Arbeitsplatz (2) Bewertung:» Mögliche Verletzung des neuen IT Grundrechts wurde nicht geprüft (!!!)» Unzulässigkeit des Zugriff auf private s auch bei Nichteingreifen des Fernmeldegeheimnisses wegen ITGrundrecht zumindest denkbar; Abwägungsfrage 3. Beispiel: Auswirkungen auf 91 Abs. 2 AktG? Drittwirkung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme wirkt möglicherweise auch über 91 Abs. 2 AktG Nicht nur Vorkehrungen gegen wirtschaftliche Schäden und Risiken, sondern auch Vorkehrungen zur Gewährleistung der Vertraulichkeit und Integrität der IT Systeme (???) Aber: ursprünglicher Schutzzweck von 91 Abs. 2 AktG, ist der Schutz vor den Fortbestand der Gesellschaft gefährdenden Entwicklungen, also der Schutz vor bestandsgefährdenden und damit vorwiegend wirtschaftlichen Risiken DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 28
29 Übersicht 1. Begriff und rechtliche Grundlagen der IT Compliance 2. Warum IT Compliance? 3. Hot Spots IT Compliance Anforderungen Abs. 2 AktG: Einrichtung eines Überwachungssystems 3.2. MaRisk und MaRisk VA 3.3. Datenschutzauditgesetz 3.4. Richtlinien, Standards und Referenzmodelle 3.5. Das neue IT Grundrecht des BVerfG 4. Fazit und Ausblick DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 29
30 4. Fazit Zunehmende Regelungs und Regulierungsdichte, Komplexität: ITCompliance ist aufgrund der zunehmenden Regelungsdichte, sowie dem stetigen Wandel der Anforderungen komplexes Thema Insbesondere Auswirkungen des ITGrundrechts auf ITCompliance Anforderungen wirft spannende Fragen auf Komplexität erfordert eine kontinuierliche, enge Zusammenarbeit aller Einheiten des Unternehmens (und ggf. Externer), um eine möglichst umfassende Abdeckung des (rechtlich) Erforderlichen durch das (technisch) Machbare und (wirtschaftlich) Vernünftige zu gewährleisten Verstärkte Inanspruchnahme der Unternehmensleitung: Unternehmensleitung muss sich aufgrund der drohenden Nachteile mit Fragen der IT Compliance befassen (Chefsache) Zunehmende Bedeutung von (IT)Standards, Richtlinien, Referenzmodellen (IT)Standards, Richtlinien, Referenzmodelle erlauben eine systematische Vorgehensweise Aber: Hilfsmittel, kein Allheilmittel! DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 30
31 Literaturhinweise Thümmel, Persönliche Haftung von Managern und Aufsichtsräten, 3. Aufl Rodewald/Unger, Corporate Compliance Organisatorische Vorkehrungen zur Vermeidung von Haftungsfällen der Geschäftsleitung, BB 2006, 113 ff. Hauschka, Compliance: Geeignete Reaktion auf gestiegene Haftungsrisiken für Manager?, NJW 2004, 257 ff. Hauschka, Corporate Compliance Unternehmensorganisatorische Ansätze zur Erfüllung der Pflichten von Vorständen und Geschäftsführern, AG 2004, 461 ff. DSRI, ITCompliance als RisikomanagementInstrument, OlWIR Verlag Lensdorf/Steger, IT Compliance im Unternehmen, ITRB 2006, 206 ff. Lensdorf, ITCompliance Maßnahmen zur Reduzierung von Haftungsrisiken von IT Verantwortlichen, CR 2007, 413 ff. Nolte/Becker, ITCompliance, BB Special 5 (zu BB 2008, Heft 25), S. 23 BITKOM Kompass der ITSicherheitsstandards, Hrsg. BITKOM (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.v.) und DIN (Deutsches Institut der Normung e.v.), Version 3.0., 10/2007 Stögmüller, Vertraulichkeit und Integrität informationstechnischer Systeme in Unternehmen, CR 2008, 435 ff. Hoppen/Frank, ITIL Die IT Infrastructure Library, CR 2008, 199 ff. DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 31
32 Vielen Dank! Kontakt: Dr. Lars Lensdorf Heymann & Partner Rechtsanwälte Taunusanlage Frankfurt am Main Tel l.lensdorf@heylaw.de
Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5
Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat
MehrIT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS
IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit
MehrITIL V3 zwischen Anspruch und Realität
ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service
MehrGÖRG Wir beraten Unternehmer.
GÖRG Partnerschaft von Rechtsanwälten München Berlin Essen Frankfurt/M. Köln München GÖRG Wir beraten Unternehmer. Unternehmerfrühstück 18. Februar 2009 C o m p l i a n c e IT - Compliance Rechtliche Aspekte
MehrAgenda: Richard Laqua ISMS Auditor & IT-System-Manager
ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit
MehrRechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.
NetworkedAssets GmbH Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. Dezember 2006 Rechtliche Aspekte Administration Gliederung Praktische
MehrAusgewählte Rechtsfragen der IT-Security
Ausgewählte Rechtsfragen der IT-Security Steht man als Verantwortlicher für IT-Security bereits mit einem Bein im Gefängnis? Dr. Markus Junker, Rechtsanwalt markus.junker@de.pwc.com HEUSSEN Rechtsanwaltsgesellschaft
MehrTeil I Überblick... 25
Inhaltsverzeichnis Vorwort... 17 Motivation und Intention... 18 ITIL ist nicht nur reine Technik... 18 ITIL ist mehr... 19 ITIL ist auch ein Thema für die Organisation... 19 Zurück zum Thema Motivation...
MehrSitz der Gesellschaft Bonn/Handelsregister Amtsgericht Bonn HRB 18119 /Geschäftsführer Thomas Michel FBCS
Compliance Cert-IT GmbH Am Bonner Bogen 6 53227 Bonn fon: +49(0)228 688 228 0 fax: +49(0)228 688 228 29 Sitz der Gesellschaft Bonn/Handelsregister Amtsgericht Bonn HRB 18119 /Geschäftsführer Thomas Michel
MehrInformations- / IT-Sicherheit Standards
Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für
MehrIT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen
IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung
MehrRisikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement
SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor Risikomanagement Gesetzlicher Rahmen IBR INSTITUT FÜR BETRIEBS- UND REGIONALÖKONOMIE Thomas Votruba, Leiter MAS Risk Management, Projektleiter, Dozent
MehrITIL V3 Basis-Zertifizierung
Nadin Ebel ITIL V3 Basis-Zertifizierung Grundlagenwissen und Zertifizierungsvorbereitung für die ITIL Foundation-Prüfung ^- ADDISON-WESLEY An imprint of Pearson Education München Boston San Francisco Harlow,
MehrDer Schutz von Patientendaten
Der Schutz von Patientendaten bei (vernetzten) Software-Medizinprodukten aus Herstellersicht 18.09.2014 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Spezialisiert
MehrIT-Sicherheit. ein Thema für das Management? Herzlich Willkommen. IT-Security für das Management. Vortrag vom 17.06.2004 netformat GmbH
IT-Sicherheit ein Thema für das Management? Herzlich Willkommen Zirngibl Langwieser Inhaltsübersicht 1. Pflichten des Managements in Bezug auf die IT-Sicherheit 2. Instrumente der Pflichterfüllung und
MehrManagements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY
Grundlagen des Change Managements Anforderungen und Möglichkeiten für einen sauberen Änderungsprozess Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Hauptrisikofaktoren für IT-Sicherheit Patches
Mehr6. Petersberg-Regulierungs-Konferenz Cybersicherheit und globale Bedrohung Was kann Regulierung leisten?
6. Petersberg-Regulierungs-Konferenz Cybersicherheit und globale Bedrohung Was kann Regulierung leisten? Europa: Entwurf einer Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit
MehrDienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden
Dienstleistungen Externer Datenschutz Beschreibung der Leistungen, die von strauss esolutions erbracht werden Markus Strauss 14.11.2011 1 Dienstleistungen Externer Datenschutz Inhalt 1. Einleitung... 2
MehrITIL 2011. Überblick. der. Einstieg und Anwendung. Justus Meier, Bodo Zurhausen ^- ADDISON-WESLEY. Martin Bucksteeg, Nadin Ebel, Frank Eggert,
Martin Bucksteeg, Nadin Ebel, Frank Eggert, Justus Meier, Bodo Zurhausen ITIL 2011 - der Überblick Alles Wichtige für Einstieg und Anwendung ^- ADDISON-WESLEY An imprint of Pearson München Boston San Francisco
MehrInformationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter
Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem
MehrGPP Projekte gemeinsam zum Erfolg führen
GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.
Mehr4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management
1 4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management Bernhard Barz, regio it aachen 2 Gliederung Informationssicherheit Anforderungen der ÖV Informationssicherheit im IT
MehrWie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner
MehrEmpfehlungen von ITIL zu ITSM Einführung. Jacqueline Batt, 12. Juni 2012
Empfehlungen von ITIL zu ITSM Einführung Jacqueline Batt, 12. Juni 2012 Wo ist das WIE in ITIL?! Service Strategy! Service Design! Service Transition! Service Operation! C. Service Improvement Kapitel
MehrInhaltsverzeichnis. Christian Wischki, Lutz Fröhlich. ITIL & ISO/IEC 20000 für Oracle Datenbanken. Praxisleitfaden für die Einführung und den Betrieb
sverzeichnis Christian Wischki, Lutz Fröhlich ITIL & ISO/IEC 20000 für Oracle Datenbanken Praxisleitfaden für die Einführung und den Betrieb ISBN: 978-3-446-41978-0 Weitere Informationen oder Bestellungen
MehrInformationssicherheitsmanagement
Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und
MehrVom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements
Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen
Mehr«Zertifizierter» Datenschutz
«Zertifizierter» Datenschutz Dr.iur. Bruno Baeriswyl Datenschutzbeauftragter des Kantons Zürich CH - 8090 Zürich Tel.: +41 43 259 39 99 datenschutz@dsb.zh.ch Fax: +41 43 259 51 38 www.datenschutz.ch 6.
MehrProzessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am 14.08.08
Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements von Stephanie Wilke am 14.08.08 Überblick Einleitung Was ist ITIL? Gegenüberstellung der Prozesse Neuer
MehrIT-Revision als Chance für das IT- Management
IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT
MehrDr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen
Dr. Christian Thiel Institut für Informations- und Prozessmanagement FHS ST. Gallen Und was meinst Du mit IT Sicherheit? Was ist IT-Sicherheit aus rechtlicher Sicht? Definition in 2 Abs. 2 BSI-Gesetz:
MehrCloud-Computing - rechtliche Aspekte. Forum 7-it. RA Rainer Friedl
Cloud-Computing - rechtliche Aspekte Forum 7-it RA Rainer Friedl München, 16. November 2015 Verpflichtung zur IT-Compliance: Haftung des Vorstands/Geschäftsführer für IT-Risiken» Vorstandspflicht bei AGs
MehrRechtliche Aspekte der IT-Security.
Rechtliche Aspekte der IT-Security. Gesellschaft für Informatik, 27.05.2005 IT Security und Recht. IT-Security hat unterschiedliche juristische Aspekte: Strafrecht: Hacking, Computerbetrug, DoS, etc. Allg.
MehrGeprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz
www.tekit.de Geprüfter TÜV Zertifikat für Geprüften TÜV-zertifizierter Der Schutz von personenbezogenen Daten ist in der EU durch eine richtlinie geregelt. In Deutschland ist dies im Bundesdatenschutzgesetz
MehrITIL & IT-Sicherheit. Michael Storz CN8
ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung
MehrSicherheitsnachweise für elektronische Patientenakten
Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele
MehrITSM Executive Studie 2007
ITSM Executive Studie 2007 Ergebnisse der Befragung in Österreich und Deutschland Patrick Schnebel Geschäftsführer Niederlassung Wien Telefon: +43 6410820-0 E-Mail: Patrick.Schnebel@materna.de Ines Gebel
MehrFachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik
Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver
MehrEinstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)
32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter
MehrInhaltsverzeichnis. Martin Beims. IT-Service Management mit ITIL. ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN: 978-3-446-43087-7
sverzeichnis Martin Beims IT-Service Management mit ITIL ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN: 978-3-446-43087-7 Weitere Informationen oder Bestellungen unter http://www.hanser.de/978-3-446-43087-7
MehrRudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz
Rudolf Schraml Beratung und Vertrieb IT-Security und Datenschutz Effektives IT-Risikomanagement Chance oder Risiko Was vor einiger Zeit nur für die großen Unternehmen galt, ist jetzt auch im Mittelstand
MehrIT-Governance und COBIT. DI Eberhard Binder
IT-Governance und COBIT DI Eberhard Binder wir alle wollen, dass Die IT in unserem Unternehmen anerkannt und gut positioniert ist Die IT Abteilung als bestens geführt gilt Was will der CEO von seiner IT?
MehrKorruption im Unternehmen Gesetzliche Verpflichtung zur Einrichtung eines Präventivsystems
Dr. Stefan Schlawien Rechtsanwalt stefan.schlawien@snp-online.de Korruption im Unternehmen Gesetzliche Verpflichtung zur Einrichtung eines Präventivsystems Das Thema der Korruption betrifft nicht nur!großunternehmen"
MehrVorlesung Hochschule Esslingen IT-Winter School 2013
Service - ITIL V3 Leitfaden für Vorlesung für Vorlesung Vorlesung Hochschule Esslingen IT-Winter School 2013 Einführung in die IT Infrastructure Library (ITIL) Agenda 1 Was ist ITIL? 2 Wieso ITIL, mit
MehrDatenschutz als Qualitäts- und Wettbewerbsfaktor
Datenschutz als Qualitäts- und Wettbewerbsfaktor RA Andreas Jaspers Geschäftsführer der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.v. Die GDD e.v. Die GDD e.v. tritt als gemeinnütziger Verein
Mehr17.11.2011. Datenschutz (Info-Veranstaltung f. Administratoren) 17.11.2011 H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?
17.11.2011 H. Löbner Der Datenschutzbeauftragte Volkszählungsurteil Grundsatzentscheidung des Bundesverfassungsgerichts (1983) Schutz des Grundrechts auf informationelle Selbstbestimmung als fachspezifische
MehrMUSTER-IT-SICHERHEITSKONZEPTE DER EKD
KONFORMITÄTSBESTÄTIGUNG MUSTER-IT-SICHERHEITSKONZEPTE DER EKD Version 1.0 Datum: Mittwoch, 30.07.2014 Kunde: EVANGELISCHE KIRCHE IN DEUTSCHLAND (EKD) INHALTSVERZEICHNIS 1 ERGEBNISZUSAMMENFASSUNG 2 1.1
MehrDatenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung
Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung Channel-Sales Kongress Cloud Computing, München 9. Mai 2012 Rechtsanwalt Dr. Sebastian Kraska Externer Datenschutzbeauftragter
MehrRollenspezifische Verhaltenstrainings
Rollenspezifische Verhaltenstrainings ITIL V3 EXPERT ALL-IN-1 (SS, SD, ST, SO, CSI, MALC) In nur 10 Arbeitstagen zum ITIL V3 Expert Der ITIL V3 Expert All-in-1 ist ideal für Manager, die schnell eine umfassende
MehrDirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen
Dirk Loomans, Micha-Klaus Müller Bedrohungs- und Schwachstellenanalysen Übersicht über die Arbeitshilfen risikoanalyse.doc Das Klammersymbol Checkliste zur Durchführung einer Risikoanalyse im Text verweist
MehrDer Blindflug in der IT - IT-Prozesse messen und steuern -
Der Blindflug in der IT - IT-Prozesse messen und steuern - Ralf Buchsein KESS DV-Beratung GmbH Seite 1 Agenda Definition der IT Prozesse Ziel der Prozessmessung Definition von Prozesskennzahlen KPI und
MehrISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz
ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit
Mehr7-it. ITIL Merkmale. ITIL ist konsequent und durchgängig prozessorientiert
ITIL Merkmale ITIL ist konsequent und durchgängig prozessorientiert ITIL berücksichtigt aber auch in allen Prozessen funktionale und organisatorische Strukturen sowie kosten- und benutzerorientierte Aspekte
MehrFORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager
FORUM Gesellschaft für Informationssicherheit mbh ForumBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? ForumBankSafe-IT einführen ForumBankSafe-IT bietet ein
MehrCloud Computing mit IT-Grundschutz
Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung
MehrInformationssicherheit als Outsourcing Kandidat
Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat
MehrResilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai 2014. Burkhard Kesting
Resilien-Tech Resiliente Unternehmen Security Consulting 08. Mai 2014 Burkhard Kesting Internationales Netzwerk KPMG International KPMG International KPMG ELLP KPMG in Deutschland Audit Tax Consulting
MehrIT-Grundschutz: Cloud-Bausteine
IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public
MehrModul 5: Service Transition Teil 1
Modul 5: Service Transition Teil 1 1. Ziel, Wert und Aufgaben von Service Transition? 2. Prozess: Projektmanagement (Transition Planning and Support) 3. Prozess: Change Management 4. Prozess: Change-Evaluierung
MehrDieter Brunner ISO 27001 in der betrieblichen Praxis
Seite 1 von 6 IT-Sicherheit: die traditionellen Sichtweise Traditionell wird Computer-Sicherheit als technisches Problem gesehen Technik kann Sicherheitsprobleme lösen Datenverschlüsselung, Firewalls,
MehrAufbau eines Compliance Management Systems in der Praxis. Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11.
Aufbau eines Compliance Management Systems in der Praxis Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11.2012 Gliederung Kapitel 1 - Festlegung des Compliance-Zielbilds
MehrDirk Hartmann Dipl.-Kfm. zertifizierter Auditor für IT-Sicherheit
Ich bin dann mal sicher Sicherer Umgang mit der IT-Sicherheit als Erfolgsgrundlage für Ihr Unternehmen & als Haftungsschutz für die Geschäftsführung Dirk Hartmann Dipl.-Kfm. zertifizierter Auditor für
MehrIT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance
IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.
Mehr1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt 1.1.5. schützen. 1.1.7 Wissen, was man unter personenbezogenen 1.1.8 1.1.
Datenschutz DLGI Dienstleistungsgesellschaft für Informatik Am Bonner Bogen 6 53227 Bonn Tel.: 0228-688-448-0 Fax: 0228-688-448-99 E-Mail: info@dlgi.de, URL: www.dlgi.de Dieser Syllabus darf nur in Zusammenhang
Mehr(beschlossen in der Sitzung des Fachsenats für Unternehmensrecht und Revision am 1. Dezember 2010 als Fachgutachten KFS/VU 2) Inhaltsverzeichnis
Fachgutachten des Fachsenats für Unternehmensrecht und Revision der Kammer der Wirtschaftstreuhänder über Grundsätze ordnungsmäßiger Berichterstattung bei Abschlussprüfungen von Versicherungsunternehmen
MehrDatenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand
Datenschutz und Synergieeffekte Verimax GmbH Autor:Stefan Staub Stand Blatt 1 Nicht weil es schwer ist, wagen wir es nicht, sondern weil wir es nicht wagen, ist es schwer. Lucius Annaeus Seneca röm. Philosoph,
MehrHinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.
AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk
MehrKirchlicher Datenschutz
Kirchlicher Datenschutz Religionsgemeinschaften können in ihrem Zuständigkeitsbereich ihre Angelegenheit frei von staatlicher Aufsicht selbst regeln. Dieses verfassungsrechtlich verbriefte Recht umfasst
MehrDATEV eg, 90329 Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity
Z E R T I F I K A T Die Zertifizierungsstelle der T-Systems bestätigt hiermit der, für den Betrieb der DATEV Rechenzentren (Standorte DATEV I, II und III) die erfolgreiche Umsetzung und Anwendung der Sicherheitsmaßnahmen
MehrISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand
ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand Cloud- und Informationssicherheit -praktisch umgesetzt in KMU- IHK München (27. Februar 2014)
MehrElektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit
Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit
MehrInhaltsverzeichnis. Christian Wischki. ITIL V2, ITIL V3 und ISO/IEC 20000. Gegenüberstellung und Praxisleitfaden für die Einführung oder den Umstieg
sverzeichnis Christian Wischki ITIL V2, ITIL V3 und ISO/IEC 20000 Gegenüberstellung und Praxisleitfaden für die Einführung oder den Umstieg ISBN: 978-3-446-41977-3 Weitere Informationen oder Bestellungen
MehrTabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz
Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07
MehrEinführung in die Datenerfassung und in den Datenschutz
Dr. Thomas Petri Einführung in die Datenerfassung und in den Datenschutz Hochschule für Politik, Sommersemester 2011, Foliensatz 1 1 Hinweise Erforderliche Arbeitsmittel: Grundgesetz, Bayerische Verfassung
MehrInternational anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz
AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz
MehrIT-Aufsicht im Bankensektor
IT-Aufsicht im Bankensektor - Grundlagen - Informationsveranstaltung: IT-Aufsicht bei Banken 29. Oktober 2013 Dr. Josef Kokert BA 58 Informationsveranstaltung: IT-Aufsicht bei Banken 29.10.2013 Seite 1
MehrService Orientierung organisiertes IT Service Management in der BWI IT auf Basis ITIL
Orientierung organisiertes IT Management in der BWI IT auf Basis ITIL 97. AFCEA-Fachveranstaltung Diensteorientierung aber mit Management Heiko Maneth, BWI IT Delivery, Leitung Prozessarchitektur und -management
MehrNischendisziplin Configuration Management?
Nischendisziplin Configuration Management? Ergebnisse der itsmf-marktstudie Hans-Peter Fröschle itsmf Deutschland e.v. hans-peter.froeschle@itsmf.de 1 Gliederung 1. Definitionen und Stellenwert Configuration
MehrI n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000
Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an
MehrDatenschutzaudit DATENSCHUTZ & DATENSICHERHEIT IM UNTERNEHMEN. sicher bedarfsgerecht gesetzeskonform
Datenschutzaudit DATENSCHUTZ & DATENSICHERHEIT IM UNTERNEHMEN sicher bedarfsgerecht gesetzeskonform Zielgruppe Unser Beratungskonzept ist für die Unternehmensleitungen kleiner und mittelständischer Unternehmen
MehrIT Service Management
IT Service IT Service : Seminarvortrag von Annegret Schnell im Rahmen der Lehrveranstaltung Netzmanagement SS 2003, Prof. Dr. Leischner, FH-Bonn-Rhein-Sieg Annegret Schnell Seminar Netzmanagement 1 Vortrag
MehrNeue Pflichten für den Aufsichtsrat: Die Aufgaben des Prüfungsausschusses. EURO-SOX Forum 2008 31.03. bis 01.04.2008 Köln Dr.
Neue Pflichten für den Aufsichtsrat: Die Aufgaben des Prüfungsausschusses EURO-SOX Forum 2008 31.03. bis 01.04.2008 Köln Dr. Holger Sörensen Die Aufgaben des Prüfungsausschusses: Agenda Gesetzestexte Organisatorische
MehrMITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! IT - Sicherheitsforum Erfurt 2015 23.09.
MITsec - Gelebte IT-Sicherheit in KMU - IT - Sicherheitsforum Erfurt 2015 23.09.2015 TÜV Thüringen Informationssicherheit Informationen sind das schützenswerte Gut ihres Unternehmens Definition: Eine Information
MehrIHK Die Weiterbildung. Zertifikatslehrgang. IT Service Management (ITIL)
Zertifikatslehrgang IT Service Management (ITIL) IHK-Lehrgang IT Service Management (ITIL) Termin: 01.06.2012 bis 16.06.2012 IT12090 Ort: Industrie- und Handelskammer Erfurt Arnstädter Str. 34 99096 Erfurt
MehrPrüfung und Zertifi zierung von Compliance-Systemen. Risiken erfolgreich managen Haftung vermeiden
Prüfung und Zertifi zierung von Compliance-Systemen Risiken erfolgreich managen Haftung vermeiden Compliance-Risiken managen Die Sicherstellung von Compliance, also die Einhaltung von Regeln (Gesetze,
MehrInformationen zum Datenschutz im Maler- und Lackiererhandwerk
Institut für Betriebsberatung des deutschen Maler- und Lackiererhandwerks Frankfurter Straße 14, 63500 Seligenstadt Telefon (06182) 2 52 08 * Fax 2 47 01 Maler-Lackierer-Institut@t-online.de www.malerinstitut.de
MehrDIN EN ISO 9000 ff. Qualitätsmanagement. David Prochnow 10.12.2010
DIN EN ISO 9000 ff. Qualitätsmanagement David Prochnow 10.12.2010 Inhalt 1. Was bedeutet DIN 2. DIN EN ISO 9000 ff. und Qualitätsmanagement 3. DIN EN ISO 9000 ff. 3.1 DIN EN ISO 9000 3.2 DIN EN ISO 9001
MehrLeitfaden zum sicheren Betrieb von Smart Meter Gateways
Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-
MehrIT OUTSOURCING. Wie die IT durch Transparenz zum internen Dienstleister wird. Herford, 13.09.2012, Steffen Müter
IT OUTSOURCING Wie die IT durch Transparenz zum internen Dienstleister wird Herford, 13.09.2012, Steffen Müter Vorurteile gegenüber IT Abteilungen...ihr seid zu langsam...es gibt immer Ausreden, wenn etwas
MehrWissensmanagement. Thema: ITIL
Kurs: Dozent: Wissensmanagement Friedel Völker Thema: ITIL Agenda IT Service Management & ITIL Service Strategy Service Design Service Transition Service Operation Continual Service Improvement Ziele IT
MehrDer Datenschutzbeauftragte. Eine Information von ds² 05/2010
Der Datenschutzbeauftragte Eine Information von ds² 05/2010 Inhalt Voraussetzungen Der interne DSB Der externe DSB Die richtige Wahl treffen Leistungsstufen eines ds² DSB Was ds² für Sie tun kann 2 Voraussetzungen
MehrDatenschutz und Informationssicherheit 03.09.2015
Datenschutz und Informationssicherheit 03.09.2015 Vertrauen in öffentliche Institutionen in Deutschland ist hoch Studie der GfK: Global Trust Report (2015) Staatliche Institutionen führen das Vertrauensranking
MehrWissensmanagement. Thema: ITIL
Kurs: Dozent: Wissensmanagement Friedel Völker Thema: ITIL Folie 2 von 28 Agenda IT Service Management & ITIL Service Strategy Service Design Service Transition Service Operation Continual Service Improvement
MehrRisikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014
Risikomanagement Ein Vortrag von Katharina Schroer Juristisches IT-Projektmanagement WS 2013/2014 Inhalt 1. Einleitung 2. Risikomanagementprozess 3. Juristische Hintergründe 4. Fazit Inhalt - Risikomanagement
MehrIT-Outsourcing aus Sicht der Wirtschaftsprüfer
IT-Outsourcing aus Sicht der Wirtschaftsprüfer Roundtable der matrix technology AG München, 6. November 2008 Lothar Schulz Wirtschaftsprüfer - Steuerberater Prüfer für Qualitätskontrolle AGENDA 1. IT-Prüfung
MehrPensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione
Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes
MehrBeraten statt prüfen Betrieblicher Datenschutzbeauftragter
Beraten statt prüfen Betrieblicher Datenschutzbeauftragter Bestellpflicht zum Datenschutzbeauftragten Nach 4 f Bundesdatenschutzgesetz (BDSG) müssen Unternehmen einen betrieblichen Datenschutzbeauftragten
MehrModul 3: Service Transition
Modul 3: Service Transition 1. Ziel, Wert und Aufgaben von Service Transition? 2. Prozess: Projektmanagement (Transition Planning and Support) 3. Prozess: Change Management 4. Prozess: Change-Evaluierung
MehrCompliance aus organisatorischer Sicht
Compliance aus organisatorischer Sicht Prof. Dr. Michael Klotz 30. September 2008, 9:00-9:45 Uhr Potsdamer Management-Kongress Integriertes Prozess-, IT- und Compliancemanagement Neue Herausforderungen
Mehr