IT Compliance Update

Transkript

1 IT Compliance Update Aktuelle Entwicklungen bei Informationssicherheit, Richtlinien, Kontrolle, Datenschutz, Haftung Direkt in die Praxis umsetzbar durch: Checklisten Gestaltungstipps Formulierungsvorschläge Bringen Sie Ihr Wissen auf den neuesten Stand: Bring Your Own Device (BYOD) und Mobile Computing rechtskonform und sicher umsetzen Richtlinien wirkungsvoll einsetzen Maßnahmen für sichereres Cloud Computing Änderungen durch die neue EU-Datenschutzverordnung Mitarbeiterkontrolle, Einsatz sozialer Netze für Mitarbeiterscreening s und Daten gesetzmäßig archivieren Elektronische Rechnungen und Beweissicherheit Datenschutzkonformer Einsatz der IT-Sicherheitssysteme und Aufbau eines IKS Haftungsrisiken als IT- und Datenschutz-Verantwortliche vermeiden PRAXISSEMINAR 26. und 27. Februar 2013, Köln 24. und 25. April 2013, München

2 2 Kompakteinstieg und Update Begriff IT Compliance und interne Kontrollsysteme Relevante Gesetze für IT Compliance, Datenschutz, Informationssicherheit Grundbegriffe des Datenschutzes UMFASSENDES SPECIAL BYOD (Bring Your Own Device) und Mobile Geräte Verwendung privater Endgeräte, Fluch oder Segen? Risiken und Sicherheitsanforderungen bei privaten Smartphones, Tablets etc.; Schnüffel-Apps, Ausspionieren der Nutzer Heterogene Gerätelandschaften, Zugriffsschutz, Verschlüsselung Trennung privat-dienstlich durch Containerlösung (Good Client), verschiedene Profile oder Clients Mobile Device Management (MDM): Kontrolle, Remote-Löschung, Datenschutzprobleme Web oder App? Terminalnutzung als Lösung Rechtssichere Gestaltung durch Benutzer-Richtlinien, Nutzungsvereinbarung (Einwilligung) und Betriebsvereinbarung Wer hat das Recht an den Daten? Herausgabe der Daten bei Ausscheiden Lizenzproblematik Rechtssichere Verwaltung von Apps Lizenzierungsmodelle für Apps, Rechtsverstöße vermeiden, wer prüft die Lizenzen? Sicherheitsrisiken von Apps, Prüfungspflichten der IT, Freigabeverfahren Whitelist/Blacklist für Apps? Einbindung ins Lizenzmanagement Zulässigkeit von Jailbreaks Notwendige Regeln für Homeoffice und Geschäftsreisen Haftungsfragen BYOD Haftung des Arbeitgebers für Privatgeräte: Verlust, Beschädigung und Reparatur Verletzung von vertraglichen Geheimhaltungspflichten, Vertragsstrafen Eigenhaftung des Arbeitnehmers, z. B. für Roaming-Gebühren Gestaltungsmodul Mobile Geräte Benutzerrichtlinien BYOD und Mobile Geräte Betriebsvereinbarung und Datenschutzeinwilligung Disclaimer, Haftungsklausel für den Arbeitgeber Datenspionage, Geheimnisverrat, Know-how-Abfluss Angriffe auf Datennetze aus dem Ausland, insbesondere China USA-Patriot-Act Durchgriff der US-Behörden auf Cloud Daten, Regelungen mit IT-Bezug, mögliche Schutzmaßnahmen Juristische Reaktionsmöglichkeiten bei Geheimnisverrat im Unternehmen Whistleblowing Datenschutzkonforme Hinweissysteme durch Mitarbeiter, arbeitsrechtliche Grenzen Sensibilisierung der Mitarbeiter: Geheimnisschutz durch Richtlinien und Arbeitsvertrag Vertragsgestaltung für Zusammenarbeit mit Geschäftspartnern Gestaltungsmodul Geheimschutz Geheimschutzklauseln im Vertrag (Arbeitsvertrag + Dienstleistungsvertrag) Verpflichtungserklärung auf Geheimhaltung und Datengeheimnis nach 5 BDSG Cloud Computing Auftrags-DV Datentransfer ins Ausland Neuregelung der Auftrags-DV nach 11 BDSG Die zehn Pflichtklauseln, notwendige Anpassung der Altverträge Kontrolle des Sicherheitskonzepts Praktische Durchführung Cloud Computing Fragen zu Vertragsgestaltung und Datenschutz Neue Orientierungshilfe Cloud Computing der Aufsichtsbehörden vom Schadens- und Haftungsszenarien, Kontrolle in der Cloud Insbesondere: Auslagerung der Buchhaltung, Archivierung, Personaldaten, CRM-Systeme etc. Auslands-Datenverarbeitung Zulässiger Datentransfer ins Ausland Die neuen EU-Standardvertragsklauseln vom Praxisbericht: Binding Corporate Rules (BCR) Wesentliche Inhalte nach den Working Papers der EU Praktische Umsetzung, Gestaltunsprozess Ablauf Genehmigungsverfahren, Erfahrungstipps Funktion der Datenschutzerklärung (Privacy Policy) Benutzerrichtlinien für Homeoffice Zeitrahmen des 1. Seminartages: 9.00 Empfang mit Kaffee und Tee, Ausgabe der Tagungsunterlagen 9.30 Seminarbeginn Gemeinsames Mittagessen Ende des ersten Seminartages Lassen Sie den ersten Seminartag bei einem gemeinsamen Umtrunk ausklingen. Zeitrahmen des 2. Seminartages: 8.30 Empfang mit Kaffee und Tee 9.00 Seminarbeginn Gemeinsames Mittagessen Ende des Seminars An beiden Tagen werden Kaffepausen flexibel eingeplant.

3 3 Gestaltungsmodul Cloud Zusatzvereinbarung Auftrags-DV mit IT-Dienstleister nach 11 BDSG Zusatzvereinbarung mit Auslandsdienstleister nach EU-Standardvertragsklauseln und Safe Harbor Binding Corporate Rules (BCR) konzernweite Datenschutzrichtlinien Social Media Online-Werbung Soziale Netze Facebook, LinkedIn, YouTube etc., übliche Funktionalitäten, rechtliche Besonderheiten des Nutzungsvertrags Risiken (Informations-Abfluss, Reputationsrisiken) und Verhaltensrichtlinien für Mitarbeiter, Social Media Guidelines (konkrete Musterbeispiele, umfassende Checkliste) Grenzen der Verhaltenssteuerung zulässige Kritik am Arbeitgeber (EuGH vom ); fristlose Kündigung bei Beleidigungen (LAG Hamm vom ) Fanseiten bei Facebook, Zulässigkeit der Facebook-AGB, LG Berlin vom , Impressumspflicht, LG Aschaffenburg vom User Generated Content, urheberrechtswidriger Upload, Verwendung fremder Texte, Setzen von Links Haftung für Blogeinträge, BGH vom Gefällt mir -Button von Facebook, datenschutz rechtliche Zulässigkeit Zulässigkeit der Geolokalisierung, IP-Adressen als personenbezogene Daten E-Recruiting-Plattformen Auswahl neuer Mitarbeiter, Möglichkeiten der Überprüfung, zulässige Internetrecherchen Social Marketing, Retargeting, Verwendung Cookies, neuer Gesetzentwurf des BMI: Datenschutz im Internet, neue Cookie-Richtlinie 2009/136/EG Undercover-Marketing vorgetäuschte Blogbeiträge, bezahlte Empfehlungen und Linksetzung, Fake Banner Publikation von Fotos, Bildern, Videos von Mitarbeitern/ Kunden, Rechtslage bei YouTube, Vorgaben des KUG, notwendige Einwilligungen Webtracking-Tools, Google-Analytics: Einigung mit Behörden, rechtskonforme Lösung Gängige Szenarien (z.b. Fall Bahn), legaler Datenbankabgleich, Mitarbeiterscreening (Verdeckte) Videoüberwachung der Kunden und Mitarbeiter am Arbeitsplatz, Datenschutzgrenzen, neue Entscheidungen: BAG vom Rechtskonforme Terrorbekämpfung, Exportkontrolle, EG-Verordnungen 881/2002 und 2580/2001, UN-Sanktionslisten, Sperrlisten Kontrollpflichten nach 9 BDSG, rechtskonforme Zugangs- und Eingabekontrolle Rechtmäßige Zutrittskontrollen, anonyme und personenbezogene Kontrolle von Logfiles/ s Rechtsfolgen unzulässiger Kontrolle, Beweisverwertungsverbote Der Fluch des Admin Marktübliche Kontroll- und Wartungssoftware, Helpdesk, VNC-Client Novellierung Datenschutz Neue EU-Datenschutzverordnung Aktuell: Entwurf neue EU-Datenschutzverordnung vom Unmittelbare Geltung in den Mitgliedsstaaten, was ändert sich? Maßgebliche Kritikpunkte: Stellungnahme der Konferenz der Datenschutzbeauftragten vom Kritik des BVerfG Verlust des nationalen Grundrechtsschutzes Privacy by Design Datenschutz durch Technikgestaltung Beschäftigtendatenschutzgesetz Aktueller Stand IT-Nutzung am Arbeitsplatz, private Nutzung Privatnutzung am Arbeitsplatz, Arbeitgeber als TK-Provider, BAG-Rechtsprechung, Reichweite Fernmeldegeheimnis Keine Geltung des Fernmeldegeheimnisses für private s, LAG Berlin-Brandenburg, VGH Hessen Mitbestimmung, Duldung, betriebliche Übung, Kündigung bei missbräuchlicher Privatnutzung Recht auf IT-Nutzung und Internet für Betriebsrat Sanktionen bei Missbrauch der IT-Systeme, Überschreitung der Adminrechte Betriebsvereinbarungen für die IT-Nutzung (insbesondere , Internet), Legitimationsgrenzen, Einwilligungen der Mitarbeiter Gestaltungsmodul Kontrolle Betriebs-/Dienstvereinbarungen für die IT-Nutzung Gestaltungsmodul Social Media Social Media Guidelines für Mitarbeiter Ethik- und Verhaltensrichtlinien Datenschutzerklärung, Privacy Policy IT Compliance zulässige Mitarbeiterkontrolle Zulässige Kontroll- und Ermittlungsmaßnahmen im Unternehmen, Verhaltenskontrolle nach 32 BDSG Kontrolle auf Social-Media, insbesondere Facebook, allgemein-zugängliche Daten? Erste Rechtsprechung Datenschutzkonforme Korruptionsbekämpfung, Abwehr Wirtschaftsspionage Pflicht nach 130 OWiG Einwilligung der Mitarbeiter bei Privatnutzung Risikomanagement IT- und Datenschutz-Audits IT-Sicherheits-Policy, notwendige Inhalte Richtlinien für Gastzugänge, Gestaltungstipps aus der Praxis Informationsmanagementsysteme (ISMS), Standards (ISO 27001, BSI, ITIL, ISO etc.) Datenschutzprüfungen durch Datenschutzbeauftragte und Revision, Vorabkontrolle Datenschutz-Baustein B 1.5 des BSI Europäischer Datenschutzstandard, EuroPriSe Vorgaben externer Auftraggeber, Anforderungskataloge der Wirtschaftsprüfer, IT-Systemprüfung, IDW-Standards (FAIT, IDW PS 330, PS 951, PS 980)

4 4 MaRisk und MaComp, Mindestanforderungen an Compliance, BaFin vom Gesetzliche Pflichten zu Notfall- und Berechtigungskonzepten, Managementkonsolen Rechtsprechung zum KonTraG (LG München I) Keine Vorstandsentlastung ohne Risikomanagement Rechtsvorteile der Standards, Zertifizierung (BSI, ISO, Cobit etc.) Beweislastumkehr Gestaltungsmodul Datenschutz Verfahrensverzeichnis, Verfahrensbeschreibungen nach BDSG Interne Kontrollsysteme (IKS) Compliance-Tools Managementsysteme Dokumentation der IT-Infrastruktur, ganzheitliches Compliance Management System Interne Kontrollsysteme (IKS) Aufbau und Funktion, PDCA-Modell Zusammenhang zwischen IT Compliance, IKS, Risikomanagement und IT Governance Ermittlung der IT-Risiken Der Baseline-Ansatz, ISO Kontrollmodelle zur Beschreibung betrieblicher Steuerungsund Überwachungssysteme, Reifegradmodell, Schwachstellenanalyse Standards, Frameworks für interne Kontrollsysteme COSO-Modell und COBIT Tragende Prinzipien, Prozessmodell, Control Objectives, Compliance-Reporting Datenschutzkonforme Umsetzung, insbesondere Transaktionskontrollen Marktübliche Tools für Compliance, Audits und Risikomanagement Möglichkeiten und Grenzen Einsatz der Tools planen und umsetzen, die richtige Lösung finden Vorstellung GSTOOL des BSI und andere GRC-Tools Rechtssichere Filter- und IT-Sicherheitssysteme, Data Loss Prevention Data Loss Prevention (DLP) Datenschutzkonforme Kommunikations- und File-Kontrolle SIEM Security Information and Event Management rechtssicher umsetzen Identity- und Accessmanagement (IAM) Rechtssichere Identitäts- und Berechtigungskontrolle Jugendschutz am Arbeitsplatz Notwendige technische Maßnahmen URL- und Contentfilter, Spamfilter (Reputationfilter), Zugang von s trotz Filterung Zulässigkeit Deep Packet Inspection, Application Layer Firewalls, datenschutzkonformes https-scanning Das neue Internetprotokoll IPv6, rechtliche Auswirkungen Gestaltungsmodul IT-Sicherheit IT-Sicherheitsrichtlinien nach ISO und BSI IT-Benutzerrichtlinien für Mitarbeiter Benutzerrichtlinien für Gastzugänge von Besuchern und Geschäftspartnern Gesetzliche Archivierungspflichten für s und Daten, DMS -Archivierung: Gesetzliche Pflichten, Gestaltung in der Betriebsvereinbarung Lösung der Datenschutzproblematik, Trennung privater/dienstlicher Daten ( s) Archivierung in Bezug auf Instant Messaging und interne Social Media Plattformen GDPdU GoBS Elektronische Betriebsprüfung, Zugriffsrechte Finanzamt, maschinelle Auswertbarkeit, GoBIT Stand der Weiterentwicklung GDPdU-Compliance Zugriffsrechte Finanzamt, BFH-Entscheidung vom Elektronisches Rechnungswesen Elektronische Rechnungen stark vereinfacht und rentabel, Streichung der Signaturpflicht rückwirkend zum , neue Richtlinien des BMF vom Neuregelung EDI-Verfahren D -Gesetz und E-Post-Brief: Beweisführung mit elektronischen Dokumenten E-Discovery Vorlagepflichten von im Prozess, Pre-Trial-Discovery nach US-Zivilprozessrecht, elektronische Beweismittelbeschaffung Gestaltungsmodul DMS Verfahrensdokumentation nach GoBS Archivierungsrichtlinien für Daten und Dokumente IT-Haftungsrisiken Haftungsfalle IT-Sicherheit Schadensbemessung bei Datenverlust Eigenhaftung der IT-Verantwortlichen: innerbetrieblicher Schadensausgleich des BAG Strafbarkeit: Garantenstellung des Compliance-Officers, BGH vom Haftung für offene W-LAN und Internetplattformen, neueste BGH-Rechtsprechung Managerhaftung im Wandel Persönliche Haftung der Leitungsebene nach KonTraG Störerhaftung des Admin-C für Domains des Arbeitgebers IHR VORTEIL: INTEGRIERTE GESTALTUNGSMODULE Die aufgeworfenen Rechtsfragen sollen auch aus Sicht der Gestaltung durch Richtlinien, Betriebsvereinbarungen und Einwilligungen dargestellt werden. Sie erhalten Gestaltungstipps, Musterformulierungen sowie Checklisten für Ihre tägliche Praxis! Gestaltungsmodul Haftung Haftungsfreistellungsklauseln für IT- und Datenschutzverantwortliche (Admin-C) Funktions- und Stellenbeschreibungen für IT- und Datenschutzverantwortliche, Compliance-Officer

5 5 Vorsicht Falle! Durch neue Entwicklungen in der IT (z. B. BYOD, Mobile Computing, Social Media) und notwendige Gesetzesänderungen sind die rechtlichen Spielregeln ständig im Fluss. Unternehmen müssen daher immer auf dem aktuellen Stand sein, um gesetzliche Vorgaben und Richtlinien einhalten und deren Befolgung nachweisen zu können. Bei Rechtsverletzungen müssen CIOs oder IT Compliance- Beauftragte mit erheblichen Sanktionen rechnen. Ziel des Praxisseminars IT Compliance Update ist es, das rechtliche Regelwerk für die Informationssicherheit zu erarbeiten und Sie auf den neuesten Stand zu bringen: Der durch IT-Gesetze und anerkannte IT-Standards gebildete Rahmen wird aktuell dargestellt. Sie erarbeiten anhand von Richtlinien und Arbeitsanweisungen die Ausgestaltung der Rahmenwerke. Gestaltungsmodule mit Checklisten, Gestaltungstipps und Formulierungsvorschlägen helfen Ihnen bei der Umsetzung in die tägliche Praxis. Schützen Sie sich vor Haftungsfallen und informieren Sie sich jetzt! Das Seminar bietet Ihnen: Praxistaugliche Antworten und Lösungen auf die dringendsten Fragen im Umfeld von IT Compliance Limitierte Teilnehmerzahl für intensiven Erfahrungsaustausch mit Fachkollegen Umfangreiche Dokumentationsunterlagen mit vielen Checklisten, Gestaltungstipps und Formulierungsvorschlägen Qualifizierte Teilnahmebestätigung im Anschluss an das Seminar Ihr Experte: Horst Speichert ist seit 15 Jahren als Rechtsanwalt spezialisiert auf IT-Recht und Datenschutz. Schwerpunkt in der Anwaltspraxis ist die Gestaltung von IT-Verträgen, Betriebsvereinbarungen, IT-Sicherheitsund Datenschutzkonzepten. Er ist Lehrbeauftragter für Informationsrecht und Internationales Vertragsrecht an der Universität Stuttgart und Autor des Fachbuches Praxis des IT-Rechts (2. Auflage, Vieweg-Verlag). Langjährige Tätigkeit als Referent, Seminarleiter und externer Datenschutzverantwortlicher. Das Seminar richtet sich an: IT-Entscheider, IT-Leiter, CIOs IT-Sicherheitsbeauftragte, CISOs, CSOs Datenschutzbeauftragte Compliance-Officer Risikomanager IT-Architekten Verantwortliche IT-Recht Unternehmensjuristen Revisoren Geschäftsführer Betriebsräte Systemlieferanten Infoline: +49 (0) 2 11/ Haben Sie Fragen zu dieser Veranstaltung? Wir helfen Ihnen gerne weiter. Konzeption und Inhalt: Claudia Paul (Senior-Konferenz-Managerin) Organisation: Sonja Schiller (Senior-Konferenz-Koordinatorin) sonja.schiller@euroforum.com

6 [Kenn-Nummer] Teilnahmebedingungen. Der Teilnahmebetrag für diese Veran staltung inklusive Tagungsunterlagen, Mittagessen und Pausen getränken pro Person zzgl. MwSt. ist nach Erhalt der Rechnung fällig. Nach Eingang Ihrer Anmel dung erhalten Sie eine Bestätigung. Die Stornierung (nur schriftlich) ist bis 14 Tage vor Veranstaltungsbeginn kostenlos möglich, danach wird die Hälfte des Teilnahmebetrages erhoben. Bei Nichterscheinen oder Stornierung am Veranstaltungstag wird der gesamte Teilnahme betrag fällig. Gerne akzeptieren wir ohne zusätzliche Kosten einen Ersatz teilnehmer. Pro grammänderungen aus dringendem Anlass behält sich der Veranstalter vor. Datenschutzinformation. Die EUROFORUM Deutschland SE verwendet die im Rahmen der Bestellung und Nutzung unseres Angebotes erhobenen Daten in den geltenden rechtlichen Grenzen zum Zweck der Durchführung unserer Leistungen und um Ihnen postalisch Informationen über weitere Angebote von uns sowie unseren Partner- oder Konzernunternehmen zukommen zu lassen. Wenn Sie unser Kunde sind, informieren wir Sie außerdem in den geltenden rechtlichen Grenzen per über unsere Angebote, die den vorher von Ihnen genutzten Leistungen ähnlich sind. Soweit im Rahmen der Verwendung der Daten eine Übermittlung in Länder ohne angemessenes Datenschutzniveau erfolgt, schaffen wir ausreichende Garantien zum Schutz der Daten. Außerdem verwenden wir Ihre Daten, soweit Sie uns hierfür eine Einwilligung erteilt haben. Sie können der Nutzung Ihrer Daten für Zwecke der Werbung oder der Ansprache per oder Telefax jederzeit gegenüber der EUROFORUM Deutschland SE, Postfach , Düsseldorf widersprechen. Zimmerreservierung. Im Tagungs hotel steht Ihnen ein be grenz tes Zimmer kon tingent zum er mäßigten Preis zur Verfü gung. Bitte nehmen Sie die Zimmer reservierung direkt im Hotel unter dem Stichwort EUROFORUM- Veranstaltung vor. Ihre Tagungshotels. Am Abend des ersten Seminartages lädt Sie das Hotel Mondial am Dom Cologne bzw. das Holiday Inn Munich City Centre herzlich zu einem Umtrunk ein. Hotel Mondial am Dom Cologne, Kurt-Hackenberg-Platz 1, Köln, Telefon: +49 (0)2 21/ Holiday Inn Munich City Centre, Hochstr. 3, München, Telefon: +49(0) 89/ EUROFORUM-Praxisseminar IT Compliance Update Aktuelle Entwicklungen bei Informationssicherheit, Richtlinien, Kontrolle, Datenschutz, Haftung 26. und 27. Februar 2013, Hotel Mondial am Dom Cologne 24. und 25. April 2013, Holiday Inn Munich City Centre Bitte ausfüllen und faxen an: +49 (0) 2 11/ Ja, ich nehme teil zum Preis von 1.949, p. P. zzgl. MwSt. am 26. und 27. Februar 2013 in Köln [P M012] am 24. und 25. April 2013 in München [P M012] [Ich kann jederzeit ohne zusätzliche Kosten einen Ersatzteilnehmer benennen. Im Preis sind ausführliche Tagungsunterlagen enthalten.] Ich interessiere mich für Ausstellungs- und Sponsoring möglichkeiten. Ich möchte meine Adresse wie angegeben korrigieren lassen. [Wir nehmen Ihre Adressänderung auch gerne telefonisch auf: +49 (0) 2 11/ ] Anmeldung und Information Name Position/Abteilung Telefon Die EUROFORUM Deutschland SE darf mich über verschiedenste Angebote von sich, Konzern- und Partnerunternehmen wie folgt zu Werbezwecken informieren: Zusendung per Ja Nein Zusendung per Fax: Ja Nein Firma Anschrift Fax schriftlich: EUROFORUM Deutschland SE Postfach , Düsseldorf per anmeldung@euroforum.com per Fax: +49 (0)211/ telefonisch: +49 (0)211/ [Sonja Schiller] im Internet: Branche Ansprechpartner im Sekretariat Datum, Unterschrift