Rechtliche Grundlagen und Pflichten

Größe: px
Ab Seite anzeigen:

Download "Rechtliche Grundlagen und Pflichten"

Transkript

1 Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management RA Udo Steger Heymann & Partner Rechtsanwälte BCI Kongress 2006, Hamburg

2 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 2

3 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 3

4 1. Business Continuity als Begriff im Recht Business Continuity (BC) im Staat Klassisch: Betriebliches Kontinuitätsmanagement (BKM) = Maßnahmen zur Aufrechterhaltung der betrieblichen Kontinuität in örtlichen Notsituationen, typischerweise Naturkatastrophen, Krieg, etc. BC im engeren Sinne: Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden (BSI/KRITIS, 2005) Aber: die globalisierte, postindustrielle Wirtschaft (und Gesellschaft) ist auch anfällig gegenüber außerörtlichen Ereignissen (z.b. Lieferketten, Internet, etc.) Aufgabe des Staates ändert sich, private Maßnahmen erforderlich, wo Staat nicht vorsorgt BC: Heute ist ein erweitertes Verständnis von BC im Sinn umfassender Risikovorsorge und Risikominimierung erforderlich Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 4

5 1. Business Continuity als Begriff im Recht BC-Aspekte in vorhandenen Gesetzen und Normen? Studie: Schutz kritischer Infrastrukturen (KRITIS) als Aufgabe des Staates Holznagel/Koenig, Gutachten zur rechtlichen Analyse des Regelungsumfangs zur IT-Sicherheit in kritischen Infrastrukturen. Bestandsaufnahme und Gutachten im Auftrag des BSI von 2002, überarbeitet 2005 Über 650 Gesetze/Verordnungen bzgl. Schutz kritischer Infrastrukturen ausgewertet Ergebnisse Studie: kein BKM-Gesetz /allgem. Legaldefinition von BC vorhanden unüberschaubare Vielzahl von Regelungen mit Bezug zu KRITIS, unterschiedliche Rechtsqualität der Regelungen viele sektorspezifische Regelungen, z.b. Pflicht zur Notfallvorsorge (MaRisk, TKG), manche Regelungen gelten nur für den Verteidigungsfall, aber kaum BC-Querschnittsnormen, Ausnahme: Pflicht zum Risikomanagement (AktG) Folge: Gesetzgeber ist sensibilisiert, BSI befasst sich mit KRITIS BC: Es ist zu erwarten, dass immer mehr staatliche Vorgaben BC- Aspekte berücksichtigen werden Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 5

6 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 6

7 2. Rechtliche Grundlagen Gesetzliche Anforderungen Gesetze, Verordnungen = abstrakt-generelle Anforderungen wirken oft indirekt, indem sie Anforderungen an allgemeine Sorgfaltspflichten aufstellen (z.b. Unternehmensleitung: 91 Abs. 2 AktG, 43 GmbHG) enthalten aber nur selten Anweisungen zur konkreten Umsetzung keine/kaum Rechtsprechung zu BC (vereinzelt zum Teilaspekt IT-Sicherheit) Verwaltungsvorschriften, Verwaltungshandeln interne Organisation der Verwaltung, grundsätzlich keine Außenwirkung Gesetzliche und vertragliche Obliegenheiten nicht selbständig einklagbar, sondern bloße Verhaltensnormen, die bei Nichtbeachtung zum Rechtsverlust führen können. insbesondere im Versicherungsvertragsrecht / VVG Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 7

8 2. Rechtliche Grundlagen Richtlinien und Standards haben keinen Rechtscharakter, i.d.r. nicht unmittelbar durchsetzbar. es gibt wenig technische Gesetzgebung in dem Sinne, dass BC-Verfahren, -Standards und -Einrichtungen konkret vorgeschrieben sind liefern Hinweise für die praktische Umsetzung von BC-Anforderungen Interpretationshilfe zur Auslegung von abstrakten gesetzlichen Vorgaben, Indiz für Anwendung angemessener Sorgfalt/angemessene Maßnahmen z.b. Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters ( 93 Abs. 1 AktG), oder die Sorgfalt eines ordentlichen Geschäftsmannes ( 43 Abs. 1 GmbHG) Sonderfall: öffentliche Vergabeverfahren Richtlinien, Standards und entsprechende Zertifizierungen werden immer öfter als Wertungskriterien und Vertragsbestandteile verwendet entfalten damit (zumindest für die Bieter) faktisch eine Bindungswirkung 7 Nr. 4 VOL/A: Nachweis der Fachkunde, Leistungsfähigkeit und Zuverlässigkeit Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 8

9 2. Rechtliche Grundlagen Sonderfall: Aufsicht im Banken- und Finanzdienstleistungssektor durch Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) KWG und WpHG enthalten Generalklauseln, die mittelbar auch BC-spezifische Organisationspflichten für die erfassten Institute begründen BaFin konkretisiert diese in Form behördlicher Rundschreiben, Verlautbarungen bzw. Richtlinien diese beschreiben die Anforderungen der BaFin an BC-Maßnahmen, z.b. in den Rs. 11/2001 (Auslagerung) und Rs. 18/2005 (MaRisk) grundsätzlich keine Außenwirkung, da i.d.r. nicht in Form eines VA oder Allgemeinverfügung usw. ergehend KWG räumt BaFin aber weitgehende Befugnisse ein (z.b. 6, 34, 36 KWG) BaFin misst und prüft Institute an diesen Anforderungen, auch inhaltliche Prüfung der Auslagerungsverträge (Anzeigepflicht, 20 AnzVO) Daher: Faktischer Zwang zur Umsetzung Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 9

10 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 10

11 3.1 Datenschutz und Datensicherheit BDSG Querschnittsgesetz, daneben sektorspezifische Datenschutznormen 9 BDSG i.v.m. der zugehörigen Anlage enthält allgemeine, technischorganisatorische Anforderungen zum Schutz von personenbezogenen Daten wichtige gesetzgeberische Vorgabe für die Bestimmung einer angemessenen Einrichtung von IT-Systemen, soll damit (auch) BC im weiteren Sinne gewährleisten Konzepte sind insbesondere im Hinblick auf Datensicherheit auch allgemein gültig ( good practice ), z.b. Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags- und Verfügbarkeitskontrolle Regelung zu BC im engeren Sinne in Nr. 7 der Anlage zu 9 BDSG: zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle)... BC: Anforderungen der Anlage zu 9 BDSG müssen konkret umgesetzt werden, z.b. durch Datensicherheitskonzept Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 11

12 3.2 Unternehmensorganisation Allgemeine Sorgfaltspflicht der Unternehmensleitung 91 Abs. 2 AktG: ist nach allg. Ansicht jedenfalls sinngemäß auf die GmbH anwendbar und über Ausstrahlungswirkung auch auf andere Gesellschaftsformen Zweck: Risikomanagement allgemeiner betrieblicher Risiken anordnen Pflicht zur Schaffung eines internen Überwachungs- und Frühwarnsystems Identifizierung Unternehmenskritischer Systeme, z.b. in Produktion, Verwaltung, Buchführung. Auch (aber nicht nur!) IT-spezifische Risiken typischerweise: Produktionsanlagen, Energieversorgung, F&A-Systeme, ERP, Logistik BC: Geschäftsleitung muss über alle für das Unternehmen relevanten Risiken umfassend und rechtzeitig informiert sein Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 12

13 3.2 Unternehmensorganisation Allgemeine Sorgfaltspflicht der Unternehmensleitung 93 Abs. 1 AktG: Pflicht zur Schaffung einer Datenbasis als Entscheidungsgrundlage Wurden Risiken erkannt ( 91 Abs. 2), muss die Unternehmensleitung entsprechende Maßnahmen zu ergreifen um Pflichtverletzung zu vermeiden, z.b. Verfahren einzurichten und Zuständigkeiten zu bestimmen. Basel II Rating : zentrales Entscheidungskriterium, ob ein Unternehmen und, wenn ja, zu welchen Konditionen Kredite bekommt Ermittlung der im Unternehmen vorhandenen Risiken unter dem Gesichtspunkt des sich daraus ergebenden Schuldnerausfallrisikos Sicherheit der unternehmensbezogenen Daten ist zu gewährleisten. Wurde ausreichende Notfallvorsorge getroffen? Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 13

14 3.3 Buchhaltung, Rechnungslegung, Prüfung HGB, GoB, GoBS, GDPdU: BC im weiteren Sinne immer mehr Informationen und Dokumente entstehen nur noch in digitaler Form und sind nicht mehr für eine Präsentation in Papierform ausgelegt Aber: elektronisch gespeicherte Daten sind i.d.r. sehr flüchtig Grundsatz: elektronisch durchgeführte Buchführung muss Gegenstand der Buch- und Steuerprüfung sein können = verbindlich, verfügbar (innerhalb angemessener Frist lesbar). Gesetzliche Anforderungen konkretisiert in: GoB: Grundsätze ordnungsgemäßer Buchführung (GoB) Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS): Regeln zur Buchführung mittels Datenverarbeitungssystemen Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU): Finanzamt muss auf elektronischem Weg Einsicht in die EDV-Buchführung nehmen können Zukünftig: International Financial Reporting Standards (IFRS) BC: Unternehmen muss geeignete Vorkehrungen treffen, dass die vom FA geforderten Daten verfügbar sind (BC im weiteren Sinne) Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 14

15 3.4 Sektorspezifisch: Banken und Finanzdienstleister Outsourcing-Rundschreiben der BaFin (RS 11/2001 v ) TZ 40: Das auslagernde Institut muss eine ordnungsgemäße Fortführung der Geschäfte im Notfall jederzeit gewährleisten. Die festzulegenden Sicherheitsmaßnahmen müssen insbesondere Regelungen enthalten, welche die Weiterführung des ausgelagerten Bereichs sicherstellen, falls das Auslagerungsunternehmen verhindert ist, seine Leistung zu erbringen. Dem Umstand, dass andere Auslagerungsunternehmen als Ersatz nicht zur Verfügung stehen, ist durch geeignete Vorkehrungen Rechnung zu tragen. Anforderungen an den Auslagerungsvertrag, u.a.: Notfallvorsorge, um Fortführung der Geschäfte sicherstellen Regelungen zum (temporären) Austausch eines Dienstleisters, Lösungsrecht, Herausgabepflichten Vorkehrungen bei nicht ersetzbaren Dienstleistern vorsehen = Redundanzen vorhalten, Rückübernahme der Leistungen durch Bank BC: als roter Faden auch für andere Unternehmen nutzbar Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 15

16 3.4 Sektorspezifisch: Banken und Finanzdienstleister Mindestanforderungen an das Risikomanagement (MaRisk) RS 18/2005 v AT 7.2 Technisch-organisatorische Ausstattungm TZ 2: Die IT-Systeme (Hardware- und Software-Komponenten) und die zugehörigen IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Für diese Zwecke ist bei der Ausgestaltung der IT- Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen. [...] Laut BaFin kommen als geeignete Standards in Frage: z.b. das IT-Grundschutzhandbuch des BSI z.b. ISO 17799, demnächst auch BS 25999? Aber: grundsätzlich... gängige Standards bedeutet keinen Zwang zur Verwendung von Standards; Eigenentwicklungen sind grundsätzlich ebenso möglich (und notwendig, wo Standards nicht ausreichen) Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 16

17 3.4 Sektorspezifisch: Banken und Finanzdienstleister AT 7.3 Notfallkonzept (1) Für Notfälle in kritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig durch Notfalltests zu überprüfen. Die Ergebnisse der Notfalltests sind den jeweiligen Verantwortlichen mitzuteilen. (2) Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederanlaufpläne umfassen. Die Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Die Wiederanlaufpläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen. Die im Notfall zu verwendenden Kommunikationswege sind festzulegen. Das Notfallkonzept muss den beteiligten Mitarbeitern zur Verfügung stehen. BC: AT 7.3 enthält die Mindestanforderungen der BaFin im Hinblick auf Business Continuity Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 17

18 3.5 Sektorspezifisch: Telekommunikation TKG verpflichtet TK-Anbieter explizit zur Einführung von Business Continuity Management (auch wenn es nicht explizit so genannt wird) TKG 2004: 109 Technische Schutzmaßnahmen, Abs. 3: Wer Telekommunikationsanlagen betreibt, die dem Erbringen von Telekommunikationsdiensten für die Öffentlichkeit dienen, hat [...] ein Sicherheitskonzept zu erstellen, aus dem hervorgeht, [...] 2. von welchen Gefährdungen auszugehen ist und 3. welche technischen Vorkehrungen oder sonstigen Schutzmaßnahmen [...] getroffen oder geplant sind [...] Telekommunikationsnetzwerke als kritische Infrastruktur: Gesetz zur Sicherstellung des Postwesens und der Telekommunikation (PTSG),. 9 Abs. 2: 1.die Anordnung baulicher Maßnahmen zum Schutz von Anlagen oder Einrichtungen sowie zum Schutz solcher Beschäftigter der genannten Unternehmen, die [...] zur Aufrechterhaltung des Betriebes [...] unerläßlich sind, 2.Maßnahmen zum betrieblichen Katastrophenschutz... Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 18

19 3.6 Sektorspezifisch: Energieversorger Sonderfall: Energieversorgungsunternehmen (EVU) Energiewirtschaftsgesetz: Sicherstellung der Versorgung der Bevölkerung mit Strom und Gas 13 Abs. 7 EnWG: Zur Vermeidung schwerwiegender Versorgungsstörungen haben Betreiber von Übertragungsnetzen jährlich eine Schwachstellenanalyse zu erarbeiten und auf dieser Grundlage notwendige Maßnahmen zu treffen. [...] 16 Abs. 5 EnWG enthält ähnliche Regelung für Betreiber von Fernleitungsnetzen 52 EnWG: Pflicht, der Bundesnetzagentur kalenderjährlich Bericht über Versorgungsstörungen zu erstatten sowie Pflicht, die getroffenen Maßnahmen zur Vermeidung künftiger Versorgungsstörungen darzulegen Begriff der Versorgungssicherheit im Energiewirtschaftsgesetz (EnWG) Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 19

20 3.6 Sektorspezifisch: Energieversorger Störfallverordnung (StörV): gilt für alle Betriebe (z.b. Produktionsanlagen, Lager), in denen gefährliche Stoffe oberhalb einer sog. Mengenschwelle vorhanden sind. 3 Abs. 1 StöV: Der Betreiber hat die nach Art und Ausmaß der möglichen Gefahren erforderlichen Vorkehrungen zu treffen, um Störfälle zu verhindern [...] 8 Abs. 1 StöV: Der Betreiber hat vor Inbetriebnahme ein schriftliches Konzept zur Verhinderung von Störfällen auszuarbeiten [...] 10 Abs. 1 StöV: Vor der erstmaligen Inbetriebnahme... hat der Betreiber (1) interne Alarm- und Gefahrenabwehpläne zu erstellen... BC: StöV schützt vor allem die Allgemeinheit vor den von einem Betrieb ausgehenden Gefahren, nicht jedoch den Betrieb selbst! Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 20

21 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 21

22 4. Adressaten von BC-Anforderungen Primär: Unternehmensleitung Vorstand ( 93 Abs. 1), Geschäftsführer ( 43 Abs. 1 GmbhG) wesentliche, nicht delegierbare Aufgabe, auch wenn tatsächliche Umsetzung durch Mitarbeiter oder Dritte erfolgt erfolgt BC: Unternehmensleitung muss sich mit dem Thema BC befassen Kontrolle: Unternehmensaufsicht insbesondere: Aufsichtsrat, der die dem Vorstand obliegende Geschäftsführung zu überwachen hat, 111 Abs. 1 AktG, gilt analog für Aufsichtsrat der GmbH Trend: Gesetzgeber erweitert Rechte und Pflichten (TransPuG, DCGK) BC: Überwachung der Unternehmensleitung in dem Ausmaß, in dem diese zur Gewährleistung von BC verpflichtet ist Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 22

23 4. Adressaten von BC-Anforderungen Unternehmensmitarbeiter BC als Teil arbeitsvertraglicher Pflichten insbesondere leitende Mitarbeiter, z.b. CIO. Zunehmendes Problem: Whistleblowing BC: Stellenbeschreibung/Weisungen des AG und umgekehrt Risiko- und Gefahr-Mitteilungen des AN an AG dokumentieren Aufsichtsbehörden kontrollieren die Einhaltung des öffentlichen Ordnungsrahmens, z.b. BaFin, DSB samt Behördenunterbau, DS-Aufsicht ( 38 BDSG) aufgrund der häufigen Verwendung von unbestimmten Rechtsbegriffen in Generalklauseln können sich andere Aufsichtsbehörden zuständig fühlen z.b. 35 GewO ( Unzuverlässigkeit ) => Gewerbeaufsichtsbehörde BC: Beobachtung (und Beachtung!) der von den Aufsichtsbehörden allgemein ergriffenen Aufsichtsmaßnahmen Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 23

24 4. Adressaten von BC-Anforderungen Externe (IT-)Dienstleister BC-Anforderungen adressieren Dienstleister oft nicht, er muss vertraglich zur Einhaltung verpflichtet werden (anders aber z.b. KWG) Vertragsbestandteile: Einfügen in Notfallplanung des Unternehmens, gemeinsame Übungen Möglichkeit zur Überwachung des Dienstleisters Mitsprache bei Auswahl von Subunternehmern und Verlagerung über Landesgrenzen hinweg (Offshore-Subunternehmer) Einsichtsrecht in die Notfallplanung des Dienstleisters Verpflichtung, Pläne regelmäßig zu aktualisieren Bei Transition: ab wann wird Dienstleister für Notfallplanung verantwortlich? Häufiger Konflikt: wer sorgt für (und bezahlt!) Anpassungen des Notfallplans? Unternehmen ist letztlich der Verpflichtete, Dienstleister hat (insbesondere beim IT- Outsourcing i.d.r. die bessere Sachkunde BC: Unternehmen behält eine nicht delegierbare Letztverantwortung Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 24

25 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 25

26 5. Drohende Sanktionen, Haftungsrisiken Zivilrechtliche Folgen: Haftung der Unternehmensleitung/Unternehmensaufsicht (Schadensersatz) bei Pflichtverletzung, z.b. 93 Abs. 2, 116 Abs. 1 AktG Nachteile für das Unternehmen, auch immaterielle (Imageschaden) aus Organisationsverschulden, auch: Zurechnung eines Mitverschuldens aus Vertrag => Vertretenmüssen der Nichterfüllung umfasst auch Haftung für Erfüllungsgehilfen/Subunternehmer unvorhergesehene Kosten höhere Refinanzierungskosten bei schlechtem Risiko (Basel II) Verzugsschadenshaftung/Vertragsstrafen gegenüber Kunden bei Ausfall der Produktion Arbeitnehmer: fristlose Kündigung kann drohen Strafrechtliche Folgen: StGB eher nicht, aber Straftatbestände z.b. im BDSG, KWG, AktG, HGB aber praktisch wohl selten relevant Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 26

27 5. Drohende Sanktionen, Haftungsrisiken Öffentlich-rechtliche Sanktionen Haftung ( 7 BDSG), Bußgeld ( 43 BDSG) Ordnungswidrigkeit z.b. 130 Abs. 1 OWiG bei Verletzung der Aufsichtspflicht Gewerberechtliche Unzuverlässigkeit ( 35 GewO) z.b. Androhung der Gewerbeuntersagung wegen Unzuverlässigkeit Bankaufsichtliche Maßnahmen, Bußgeld ( 56 KWG) z.b. 6 Abs. 3 KWG: Anordnungsbefugnis der BaFin Ausschluss von öffentlichen Vergabeverfahren Verlust von Versicherungsschutz Obliegenheitsverstoß kann Versicherungsschutzverlust zur Folge haben Verstoß gegen die Pflicht, den Versicherer über alle bekannte Umstände (lies: die bekannt sein müssen), die für den Versicherer von Bedeutung sind, zu informieren. Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 27

28 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 28

29 6.1 Gewährleistung durch das Unternehmen Business Continuity als Teil allgemeiner (IT-)Compliance Gewährleistung von Business Continuity als Teil allgemeiner Compliance- Anforderungen muss dokumentiert und nachgewiesen werden Festlegen, wer konkret für die Ermittlung und Beobachtung der einschlägigen Business Continuity Anforderungen verantwortlich ist BC: Risikobestimmung/Bestandsaufnahme als erste Maßnahme Business Continuity ist ein Zustand, kein Ziel Geschäftsrisiken, Umwelt und IT-Systeme ändern sich ständig Notfallvorsorge als Teil des Arbeitsalltags der Adressaten, Teil der Abläufe im Unternehmen Unternehmen muss intern und in Verträgen für Aktualisierung/Änderungsverfahren sorgen Ausgestaltung angemessen im Hinblick auf den Unternehmensgegenstand sowie die Kritikalität und typisches Betriebsrisiko der (IT-)Systeme BC: Risikovorsorge ist kontinuierlicher Prozess Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 29

30 6.1 Gewährleistung durch das Unternehmen Bedeutung von Standards können bei Umsetzung einzelner Anforderungen hilfreich sein sind häufig unter Beteiligung von Praktikern bzw. der jeweiligen Interessengruppen geschrieben, oft mit Handlungsempfehlungen z.b. BS 7799/DIN 17799, DIN/ISO 27001:2005, PAS 56/BS (2006), (2007) Prüfungsstandards (PS) des Institutes der Wirtschaftsprüfung (IDW) z.b. IDW PS-330: Orientierung an den Standards anhand derer geprüft wird Zertifizierungen sind oft nur stichtagsbezogen, unterschiedliche Schwerpunkte (Prozesse/Kontrollen) erlauben oft keine historische Betrachtung kein Beweis für genügende Risikovorsorge, aber Indikator für das Maß der Pflichterfüllung => Erleichterung des Entlastungsbeweises ( 93 AktG!) Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 30

31 6.1 Gewährleistung durch das Unternehmen Sorgfalt der Unternehmensleitung (nicht nur) bei Übernahmen: Due Diligence-Prüfung des zu übernehmenden Unternehmens auch im Hinblick auf Business Continuity Prüfung insbesondere der Produktions- und IT-Systeme Auch: interne Due Diligence als Vorbereitung auf Übernahme/Verkauf Zweck: Abwehr späterer Gewährleistungsansprüche, Beeinflussung der Preisverhandlungen durch Risikoschwachpunkte umfassende Environmental Due Diligence : Ermittlung und Bewertung lagebezogener Risiken für das Unternehmen: Umwelteinflüsse, öffentliche und private Infrastruktur, lokale Märkte Frage: sind aktuelle und zukünftige [Umwelt] Kostenrisiken des Zielobjektes im aktuellen Business Continuity Plan berücksichtigt? wichtig insbesondere bei ortsgebundenen Produktionsbetrieben und bei cross-border/offshore outsourcing/bpo Projekten Dann: Umsetzung von Maßnahmen zur Risikosteuerung und -minderung Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 31

32 6.2 Gewährleistung durch Dritte Kritisch: Gestaltung des Vertrags mit Dienstleister(n) insbesondere: bei Outsourcing/BPO Ermittlung und Umsetzung der BC-Anforderungen des Unternehmens häufig umstritten, da zwar Aufgabe der Unternehmensleitung, andererseits Wissensvorsprung des Dienstleisters Leistungsbeschreibung/Änderungsverfahren Aber: Was ist neu, was Teil des vertraglich vereinbarten Leistungsumfangs? oft streitig: wer trägt Risiko der Änderung von Rahmenbedingungen? Business continuity bei Force Majeure Situationen Anpassung bestehender Notfallkonzepte bei Einsatz eines Dienstleisters oft streitig: wie mit einer force majeure Situation umgehen? 275 BGB passt oft nicht Nach Vertragsschluss: Management der Beziehung Steuerung, Überwachung, Prüfung des Dienstleisters Abgleich mit eigenen Vorkehrungen, gemeinsame Übungen Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 32

33 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 33

34 7. Fazit und Ausblick Risikovorsorge und Business Continuity sind ständige Pflichtaufgaben der Unternehmensleitung, insbesondere: realistische Einschätzung der aus IT-Systemen erwachsenden Risiken Einführung geeigneter Kontrolle- und Überwachungssysteme Planung und Vorhalten von Vorsorgemaßnahmen... sonst drohen erhebliche juristische und ökonomische Nachteile Unternehmensleitung muss bei BC für enge Zusammenarbeit aller technischen und rechtlichen Einheiten des Unternehmens sorgen: möglichst umfassende Abdeckung des rechtlich Erforderlichen durch das technisch Machbare zu ökonomisch vertretbaren Bedingungen Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 34

35 7. Fazit und Ausblick Zunehmende Bedeutung von IT-(Betriebs-)Sicherheit Immer mehr elektronische Dokumente, Geschäftsprozesse, Werte BC: Unternehmensleitung muss verstärkt IT-Sicherheit kontrollieren Zunehmende Abhängigkeit von eigenen/fremden IT-Systemen Risikovorsorge ist nur so gut wie das schwächste Teilglied/Notfallkonzept BC: Unternehmensleitung muss Risiken ganzheitlich Betrachten Zunehmende Bedeutung von BC Standards Zunehmende Pflichtenanspannung der Unternehmensleistung erfordert Umsetzung von BC-Anforderungen in genormter Qualität BC: Einhaltung von Standards kann Indiz für pflichtgemäßes Verhalten sein, beweist es aber nicht Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 35

GÖRG Wir beraten Unternehmer.

GÖRG Wir beraten Unternehmer. GÖRG Partnerschaft von Rechtsanwälten München Berlin Essen Frankfurt/M. Köln München GÖRG Wir beraten Unternehmer. Unternehmerfrühstück 18. Februar 2009 C o m p l i a n c e IT - Compliance Rechtliche Aspekte

Mehr

IT-Compliance im Unternehmen

IT-Compliance im Unternehmen IT-Compliance im Unternehmen RA Dr. Lars Lensdorf RA Udo Steger Heymann & Partner Rechtsanwälte Vortrag am 15.09.2006 Herbstakademie 2006 Übersicht 1. Zum Begriff IT-Compliance 2. Rechtliche Grundlagen

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Rechtsgrundlagen der IT-Sicherheit Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Einführungsbeispiel OLG Hamm MMR 2004, 487 Problem: Existiert ein Regelwerk, dessen Beachtung die zivil-

Mehr

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk

Mehr

Ausgewählte Rechtsfragen der IT-Security

Ausgewählte Rechtsfragen der IT-Security Ausgewählte Rechtsfragen der IT-Security Steht man als Verantwortlicher für IT-Security bereits mit einem Bein im Gefängnis? Dr. Markus Junker, Rechtsanwalt markus.junker@de.pwc.com HEUSSEN Rechtsanwaltsgesellschaft

Mehr

Cloud-Computing - rechtliche Aspekte. Forum 7-it. RA Rainer Friedl

Cloud-Computing - rechtliche Aspekte. Forum 7-it. RA Rainer Friedl Cloud-Computing - rechtliche Aspekte Forum 7-it RA Rainer Friedl München, 16. November 2015 Verpflichtung zur IT-Compliance: Haftung des Vorstands/Geschäftsführer für IT-Risiken» Vorstandspflicht bei AGs

Mehr

Vertragliche Regelungen

Vertragliche Regelungen Vertragliche Regelungen BCM als Bestandteil von IT-Outsourcing Verträgen Udo Steger Heymann & Partner Rechtsanwälte 2. Deutschsprachiger BCI Kongress 2007 Frankfurt am Main, 19. September 2007 Übersicht

Mehr

- Konsequenzen für ecommerce- und epayment-unternehmen

- Konsequenzen für ecommerce- und epayment-unternehmen Cybercrime Das neue IT-Sicherheitsgesetz und Hackerangriffe - Konsequenzen für ecommerce- und epayment-unternehmen Dr. Viola Bensinger Dr. Viola Bensinger G R E E N B E R G T R A U R I G G E R M A N Y,

Mehr

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Informationsveranstaltung IT-Aufsicht bei Banken Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Axel Leckner - Informationsveranstaltung IT-Aufsicht bei 1 Banken

Mehr

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. NetworkedAssets GmbH Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. Dezember 2006 Rechtliche Aspekte Administration Gliederung Praktische

Mehr

IT-Sicherheit. ein Thema für das Management? Herzlich Willkommen. IT-Security für das Management. Vortrag vom 17.06.2004 netformat GmbH

IT-Sicherheit. ein Thema für das Management? Herzlich Willkommen. IT-Security für das Management. Vortrag vom 17.06.2004 netformat GmbH IT-Sicherheit ein Thema für das Management? Herzlich Willkommen Zirngibl Langwieser Inhaltsübersicht 1. Pflichten des Managements in Bezug auf die IT-Sicherheit 2. Instrumente der Pflichterfüllung und

Mehr

IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN

IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN Stephan Schmidt Rechtsanwalt und Fachanwalt für IT-Recht IHK Hanau-Gelnhausen-Schlüchtern 12. November 2014 Agenda I. Begriffe II. Anwendbare

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

IT-Aufsicht im Bankensektor

IT-Aufsicht im Bankensektor IT-Aufsicht im Bankensektor - Grundlagen - Informationsveranstaltung: IT-Aufsicht bei Banken 29. Oktober 2013 Dr. Josef Kokert BA 58 Informationsveranstaltung: IT-Aufsicht bei Banken 29.10.2013 Seite 1

Mehr

Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten

Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten Die Email-Falle RA Thomas Brehm Hamburg Aus der Vortragsreihe der Systemhaus for you GmbH Heidenkampsweg 66 20097 Hamburg Bei

Mehr

M&A im Streit. Compliance-Management-Systeme und Haftungsvermeidung. bei Pöllath & Partner am 08. November 2012 in München

M&A im Streit. Compliance-Management-Systeme und Haftungsvermeidung. bei Pöllath & Partner am 08. November 2012 in München M&A im Streit bei Pöllath & Partner am 08. November 2012 in München Compliance Management Mittelstand GmbH www.cmm-compliance.com Seite 1 Woraus ergibt sich Notwendigkeit des Handelns? Es gibt (noch) keine

Mehr

Rechtliche Anforderungen an Compliance im Mittelstand

Rechtliche Anforderungen an Compliance im Mittelstand Rechtliche Anforderungen an Compliance im Mittelstand Prof. Dr. Jürgen Taeger Carl von Ossietzky Universität Oldenburg Compliance im Mittelstand Treuhand Oldenburg 1.12.2011 Insolvenz trotz voller Auftragsbücher

Mehr

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung KUMAtronik Systemhaus GmbH Vortrag zur symantec-veranstaltung am 24.04.2007 (it.sec) Inhalt: 1. Rechtliche Anforderungen an E-Mails 2. Compliance-Anforderungen

Mehr

Die Bedeutung des IT- Sicherheitsgesetzes für den Straßenverkehr

Die Bedeutung des IT- Sicherheitsgesetzes für den Straßenverkehr Die Bedeutung des IT- Sicherheitsgesetzes für den Straßenverkehr Prof. Dr., LL.M. Fachgebiet Öffentliches Recht, IT-Recht und Umweltrecht 3. Würzburger Tagung zum Technikrecht: Auf dem Weg zum autonomen

Mehr

Michael Grünschloß - Geschäftsführer der Teraport GmbH -

Michael Grünschloß - Geschäftsführer der Teraport GmbH - IT-Betriebsverantwortung durch externe Spezialisten Wie Managed Services dem Mittelstand helfen, die eigenen Strategien umzusetzen Michael Grünschloß - Geschäftsführer der Teraport GmbH - Regulatorische

Mehr

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke Vorstellung - Ihr Referent Prof. Dr. Thomas Jäschke Professor für Wirtschaftsinformatik an der FOM Hochschule für Oekonomie & Management

Mehr

Identity Management und Gesetz: Spannungsfeld Compliance <-> Datenschutz

Identity Management und Gesetz: Spannungsfeld Compliance <-> Datenschutz Mittelstandsdialog Informationssicherheit 6. Mai 2010 Identity Management und Gesetz: Spannungsfeld Compliance Datenschutz RA Dr. Michael Karger Wendler Tremml Rechtsanwälte, München NIFIS e.v. Nationale

Mehr

Florian König M.L.E.

Florian König M.L.E. Risiko- und Haftungsmanagement für r kleine und mittelständische Unternehmen PROTOTYP Museum 04.03.2009 Hafencity Hamburg - ein kurzer Überblick - Florian König M.L.E. Rechtsanwalt *magister legum europae

Mehr

Überblick über existierende Vorschriften, Gesetze und Normen

Überblick über existierende Vorschriften, Gesetze und Normen 5 Überblick über existierende Vorschriften, Gesetze und Normen Als Reaktion auf die ansteigende Anzahl der bekannt werdenden Fälle skandalöser Betriebsführungen, hat der Gesetzgeber eine Fülle von neuen

Mehr

eco AK Sicherheit Rechtliche Stellung des CISO - Handlungsrahmen und pflichten - Köln, 3. September 2008

eco AK Sicherheit Rechtliche Stellung des CISO - Handlungsrahmen und pflichten - Köln, 3. September 2008 eco AK Sicherheit Rechtliche Stellung des CISO - Handlungsrahmen und pflichten - Köln, 3. September 2008 Jens Eckhardt JUCONOMY Rechtsanwälte Düsseldorf 1 CISO Eine Positionsbestimmung 2 Aufgaben, Pflichten

Mehr

Die Haftung des Geschäftsführers für Organisationsmängel

Die Haftung des Geschäftsführers für Organisationsmängel Die Haftung des Geschäftsführers für Organisationsmängel Organisationspflichten, Wissenszurechnung und Haftung des Unternehmens IHK zu Münster 22.9.2015 RA Andreas Göbel Fachanwalt für Informationstechnologierecht

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

GZ: BA 17-K3106-2006/0001 Modernisierung der Outsourcing-Regelungen und Integration in die MaRisk

GZ: BA 17-K3106-2006/0001 Modernisierung der Outsourcing-Regelungen und Integration in die MaRisk E-Mail Outsourcing@bafin.de B30_MaRisk@bundesbank.de Bundesanstalt für Finanzdienstleistungsaufsicht Herrn Helmut Bauer Erster Direktor Bankenaufsicht Graurheindorfer Str. 108 53117 Bonn Bundesverband

Mehr

Der gläserne Unternehmer im Fokus des Staates

Der gläserne Unternehmer im Fokus des Staates IT_kom am 18. September 2008 in Mainz Sven Liebeck, dubois it-consulting gmbh Produktion Vertrieb IT- / TK- Systeme Einkauf Verwaltung Informationssicherheit Informationssicherheit gehört zu den wichtigsten

Mehr

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen Dr. Christian Thiel Institut für Informations- und Prozessmanagement FHS ST. Gallen Und was meinst Du mit IT Sicherheit? Was ist IT-Sicherheit aus rechtlicher Sicht? Definition in 2 Abs. 2 BSI-Gesetz:

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen

Mehr

Legal Risk als Folge fehlender Compliance

Legal Risk als Folge fehlender Compliance Legal Risk als Folge fehlender Compliance Konzernrechtstag Luther, Düsseldorf, 29.04.2015 Ludger Hanenberg BaFin, Bonn. Gliederung 1. Hintergründe 2. Compliance-Funktion als Risikomangement- Instrument

Mehr

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

Rechtliche Aspekte der IT-Security.

Rechtliche Aspekte der IT-Security. Rechtliche Aspekte der IT-Security. Gesellschaft für Informatik, 27.05.2005 IT Security und Recht. IT-Security hat unterschiedliche juristische Aspekte: Strafrecht: Hacking, Computerbetrug, DoS, etc. Allg.

Mehr

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Diese Checkliste erhebt keinen Anspruch auf Vollständigkeit. Trotz der sorgfältigen Erarbeitung der Checkliste, kann eine Garantie nicht übernommen

Mehr

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit smartoptimo GmbH & Co. KG Luisenstraße 20 49074 Osnabrück Telefon 0541.600680-0 Telefax 0541.60680-12 info@smartoptimo.de

Mehr

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun?

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun? Dipl.-Wirtsch.-Ing. Frank Hallfell Dipl.-Ing.(FH) Günther Orth enbiz gmbh, Kaiserslautern Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun? IT-Tag Saarbrücken, 16.10.2015

Mehr

Rechtswissen für IT-Manager, Berater und Verantwortliche

Rechtswissen für IT-Manager, Berater und Verantwortliche Rechtswissen für IT-Manager, Berater und Verantwortliche Business Judgement Rule Compliance IT-Compliance IT-Governance Walther Schmidt-Lademann Rechtsanwalt München 26. Januar 2012 Rechtswissen für Entscheider,

Mehr

Notfallmanagement nach BS25999 oder BSI-Standard 100-4

Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und Datenschutz als

Mehr

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015 ITK Sicherheitsgesetz Umsetzung mit verinice.pro verinice.xp- Grundschutztag 15.09.2015 Überblick Kurze Vorstellung des IT-Sicherheitsgesetzes Konkretisierung des Gesetzes für Energieversorger Abbildung

Mehr

IT - Compliance Alter Wein in neuen Schläuchen?

IT - Compliance Alter Wein in neuen Schläuchen? IT Compliance Alter Wein in neuen Schläuchen? Dr. Lars Lensdorf Heymann & Partner Rechtsanwälte DGRI Fachausschuss Vertragsrecht Frankfurt 8. Mai 2009 Übersicht 1. Begriff und rechtliche Grundlagen der

Mehr

best OpenSystems Day Herbst 2005

best OpenSystems Day Herbst 2005 best OpenSystems Day Herbst 2005 Rechtsanwalt Dr. Michael Karger, München Unternehmerisches Handeln unter Sicherheitsanforderungen in der IT (KonTraG, SOX & Basel II) 2 Agenda: 1. Überblick: Rechtliche

Mehr

Das IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz Das IT-Sicherheitsgesetz RA Dr. Jan K. Köcher Syndikus DFN-CERT Services GmbH koecher@dfn-cert.de Hintergrund/Ziele IT-Sicherheitsgesetz vom 17.7.2015 Änderungen: BSIG, TKG, TMG, AtomG... Ziele: Erhöhung

Mehr

Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)

Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) Dr. Reinhold Scheffel und Martin Lang Öffentlich bestellte und vereidigte Sachverständige 1. Vorstellung des neuen

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Kammer-Workshop 2014 (IT-) Notfallmanagement gemäß BSI-Standard 100-4 Vorschlag: Screenshot-Folie (auch unter den Masterfolien angelegt) Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Agenda

Mehr

IT-Sicherheitsgesetz:

IT-Sicherheitsgesetz: IT-Sicherheitsgesetz: Neue Herausforderungen für Unternehmen und Behörden Rechtsanwalt Thomas Feil Fachanwalt für IT-Recht und Arbeitsrecht Datenschutzbeauftragter TÜV Thomas Feil 09/2015 1 Thomas Feil

Mehr

RHENUS OFFICE SYSTEMS. Compliance, Informationssicherheit und Datenschutz

RHENUS OFFICE SYSTEMS. Compliance, Informationssicherheit und Datenschutz RHENUS OFFICE SYSTEMS Compliance, Informationssicherheit und Datenschutz SCHUTZ VON INFORMATIONEN Im Informationszeitalter sind Daten ein unverzichtbares Wirtschaftsgut, das professionellen Schutz verdient.

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Haftungsfalle Rechenzentrum?

Haftungsfalle Rechenzentrum? Haftungsfalle Rechenzentrum? IT-Sicherheit zwischen Rechtssetzung und Rechtsanwendung Z K I - F r ü h j a h r s t a g u n g 8. M ä r z 2 0 1 6 Das Institut für Rechtsinformatik Aktuelle Veröffentlichung:

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

ACE Risikoforum Wie manage ich Cyberrisiken? RAin Dr. Gunbritt Kammerer-Galahn, Partnerin Taylor Wessing

ACE Risikoforum Wie manage ich Cyberrisiken? RAin Dr. Gunbritt Kammerer-Galahn, Partnerin Taylor Wessing ACE Risikoforum Wie manage ich Cyberrisiken? RAin Dr. Gunbritt Kammerer-Galahn, Partnerin Taylor Wessing Frankfurt am Main, 19. März 2015 01 > Risikoanalyse eines Industrieunternehmens Wer ist Risikoquelle?

Mehr

1. Aufbewahrungsfristen für Personalakten

1. Aufbewahrungsfristen für Personalakten Aufbewahrungsfristen für Personalakten X AUFBEWAHRUNG, ARCHIVIERUNG, BEWEIS- VERWERTBARKEIT, ORDNUNGSMÄßIGKEIT 1. Aufbewahrungsfristen für Personalakten Ein allgemeiner Rahmen für die Dauer der Personalaktenführung

Mehr

Rechtliche Barrieren für ehealth und wie sie überwunden werden können!

Rechtliche Barrieren für ehealth und wie sie überwunden werden können! Rechtliche Barrieren für ehealth und wie sie überwunden werden können! Session 4: IT-Compliance im Gesundheitssektor IT-Sicherheitsgesetz, Patientenrechte und Schweigepflicht 6. Mai 2014 Seite 2 1 2 3

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Auftraggeber: Auftragnehmer: 1. Gegenstand der Vereinbarung Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene

Mehr

Die Haftung des Datenschutzbeauftragten unter Berücksichtigung des Entwurfs der EU-DSGVO

Die Haftung des Datenschutzbeauftragten unter Berücksichtigung des Entwurfs der EU-DSGVO Die Haftung des Datenschutzbeauftragten unter Berücksichtigung des Entwurfs der EU-DSGVO Ihr Referent Rechtsanwalt, Fachanwalt für IT-Recht Software-Systemingenieur Wesentliche Schwerpunkte in der Beratungspraxis

Mehr

Externer Datenschutz. ... Chancen durch. Outsourcing PRISAFE DATENSCHUTZ

Externer Datenschutz. ... Chancen durch. Outsourcing PRISAFE DATENSCHUTZ Externer Datenschutz... Chancen durch Outsourcing PRISAFE DATENSCHUTZ Inhaltsverzeichnis Der Datenschutzbeauftragte Für welche Variante entscheiden? Der externe Datenschutzbeauftragte Kosten für Datenschutz

Mehr

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR Der Datenschutzbeauftragte im medizinischen Unternehmen Datenschutzbeauftragter als Berufsbezeichnung Der Begriff Datenschutzbeauftragter stellt eine Berufsbezeichnung dar. Anlässlich der beantragten registergerichtlichen

Mehr

Compliance. Persönliche Haftung von Unternehmern, Geschäftsführern und Führungskräften? Dr. Stefan Kursawe, Heisse Kursawe Eversheds 11.05.

Compliance. Persönliche Haftung von Unternehmern, Geschäftsführern und Führungskräften? Dr. Stefan Kursawe, Heisse Kursawe Eversheds 11.05. Compliance Persönliche Haftung von Unternehmern, Geschäftsführern und Führungskräften? Dr. Stefan Kursawe, Heisse Kursawe Eversheds 11.05.2015 Übersicht Compliance und Arbeitsrecht Arbeitsrechtliche Compliance

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

Erschwerte Bedingungen für Outsourcing durch Captives

Erschwerte Bedingungen für Outsourcing durch Captives Dr. Friedrich Isenbart Versicherungspraxis, Dezember 2015 Solvency II Erschwerte Bedingungen für Outsourcing durch Captives 1. EINLEITUNG Am 1. Januar 2016 treten nach langer Vorbereitungsphase die Neuregelungen

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Risikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014

Risikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014 Risikomanagement Ein Vortrag von Katharina Schroer Juristisches IT-Projektmanagement WS 2013/2014 Inhalt 1. Einleitung 2. Risikomanagementprozess 3. Juristische Hintergründe 4. Fazit Inhalt - Risikomanagement

Mehr

IT Sicherheit Haftungsrisiko der Geschäftsführung. Rechtsanwalt Dr. Klostermann

IT Sicherheit Haftungsrisiko der Geschäftsführung. Rechtsanwalt Dr. Klostermann IT Sicherheit Haftungsrisiko der Geschäftsführung Warum Sicherheit? Aufwendungen für IT Schäden gehen unmittelbar in die betriebliche Erfolgsrechnung ein. Der Einzelunternehmer oder die Personengesellschaft

Mehr

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Wann ist das Bundesdatenschutzgesetz anwendbar? Das Bundesdatenschutzgesetz (BDSG) gilt gemäß 1 Abs. 2 Nr. 3 BDSG für alle nicht öffentlichen

Mehr

Wer die Geschichte nicht kennt : Das Haftungsrecht der Stiftungen im Wandel

Wer die Geschichte nicht kennt : Das Haftungsrecht der Stiftungen im Wandel Wer die Geschichte nicht kennt : Das Haftungsrecht der Stiftungen im Wandel DONNER & REUSCHEL: 33. Treffen des Stiftungsnetzwerks Jan C. Knappe Rechtsanwalt und Partner Fachanwalt für Handels- und Gesellschaftsrecht

Mehr

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH Zertifizierung eines datenschutzbezogenen Compliance Management Systems Daniel Wolff, Deloitte & Touche GmbH 9. Security Forum der FH Brandenburg, 22.01.2015 Audit & Enterprise Risk Services Tax & Legal

Mehr

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit 24x7 Kurzprofil Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit der tekit Consult Bonn GmbH TÜV Saarland Gruppe

Mehr

RABER & COLL. Rechtsanwälte

RABER & COLL. Rechtsanwälte INFO-Post 2/2013 Die Director s and Officer s Liability Insurance (D&O-Versicherung) RABER & COLL. Martin Krah, Rechtsreferendar Inhaltsverzeichnis: A Grundlagen der D&O-Versicherung B Grundsatz der Haftungsvermeidung

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager FORUM Gesellschaft für Informationssicherheit mbh ForumBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? ForumBankSafe-IT einführen ForumBankSafe-IT bietet ein

Mehr

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung Matthias Bergt Rechtsanwälte v. Boetticher Hasse Lohmann www.dsri.de Begriff der Auftragsdatenverarbeitung, 11 BDSG Auslagerung von Verarbeitungsvorgängen

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Korruption im Unternehmen Gesetzliche Verpflichtung zur Einrichtung eines Präventivsystems

Korruption im Unternehmen Gesetzliche Verpflichtung zur Einrichtung eines Präventivsystems Dr. Stefan Schlawien Rechtsanwalt stefan.schlawien@snp-online.de Korruption im Unternehmen Gesetzliche Verpflichtung zur Einrichtung eines Präventivsystems Das Thema der Korruption betrifft nicht nur!großunternehmen"

Mehr

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM AGENDA Vorbemerkungen A. Grundlagen I. Was ist ein Risikomanagementsystem (RMS)? II. Was

Mehr

Entwurf zum IT-Sicherheitsgesetz

Entwurf zum IT-Sicherheitsgesetz Entwurf zum IT-Sicherheitsgesetz Sebastian Hinzen, LL.M. Bird & Bird LLP 6. IT LawCamp 2015 Agenda Einleitung Wesentliche neue Regelungen im BSI-Gesetz TMG TKG Fazit & Ausblick Page 2 Einleitung (1) Ziel

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

Sicherheitsnachweise für elektronische Patientenakten

Sicherheitsnachweise für elektronische Patientenakten Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele

Mehr

Die Zukunft der IT-Sicherheit

Die Zukunft der IT-Sicherheit Die Zukunft der IT-Sicherheit Was wir aus dem IT-SiG und Co. so alles für die Zukunft lernen können! 20.03.2015 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt

Mehr

IT Management 2014. Rechtliche Aspekte des IT Managements am Beispiel des Umgangs mit E-Mail Systemen

IT Management 2014. Rechtliche Aspekte des IT Managements am Beispiel des Umgangs mit E-Mail Systemen IT Management 2014 Rechtliche Aspekte des IT Managements am Beispiel des Umgangs mit E-Mail Systemen Rechtsanwalt Hans Sebastian Helmschrott, LL.M Eur. Rechtsanwältin Patricia Lotz Rechtsquellen des IT-Managements:

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

zu teamwork mit Haken und Ösen.

zu teamwork mit Haken und Ösen. vom Spagat der Verantwortlichkeit zur Rechtspflicht zu teamwork mit Haken und Ösen. Seminaris Medizinrecht seminaris.medizinrecht@t-online.de Hans-Werner Röhlig 46047 Oberhausen, Seilerstraße 106 Tel.:

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

Mitarbeiter Datenschutz vs. Call Center Steuerung. Ansätze. Rechtsfragen. Verantwortlichkeiten

Mitarbeiter Datenschutz vs. Call Center Steuerung. Ansätze. Rechtsfragen. Verantwortlichkeiten Mitarbeiter Datenschutz vs. Call Center Steuerung Ansätze. Rechtsfragen. Verantwortlichkeiten Begriffsabgrenzungen 3 Mitarbeiterdatenschutz 4 Datenverarbeitung im Call Center 6 Möglichkeiten der Datenerhebung

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Risikogrundsätze Version 2, Stand 10/2011

Risikogrundsätze Version 2, Stand 10/2011 Version 2, Stand 10/2011 1. RISIKOGRUNDSÄTZE 1.1 Verantwortung des Vorstandes Der Vorstand der Schoellerbank Invest AG ist für die ordnungsgemäße Geschäftsorganisation und deren Weiterentwicklung verantwortlich.

Mehr

Wie sicher sind Ihre Geheimnisse? Rechtsfolgen nachlässiger Datensicherheit im Unternehmen

Wie sicher sind Ihre Geheimnisse? Rechtsfolgen nachlässiger Datensicherheit im Unternehmen Wie sicher sind Ihre Geheimnisse? Rechtsfolgen nachlässiger Datensicherheit im Unternehmen Rechtsanwältin Dr. Bettina Kähler PrivCom Datenschutz GmbH, Hamburg b+m Informatik GmbH Kiel Knürr AG 3. Juli

Mehr

Arbeitsschwerpunkte des Referats zur. Dr. Josef Kokert, BaFin Referat IT-Infrastrukturen bei Banken

Arbeitsschwerpunkte des Referats zur. Dr. Josef Kokert, BaFin Referat IT-Infrastrukturen bei Banken Arbeitsschwerpunkte des Referats zur IT-Aufsicht der BaFin 2013/2014 Dr. Josef Kokert, BaFin Referat IT-Infrastrukturen bei Banken Inhalte I. Regulierung II. Aktivitäten III. Einzelfragen IV. Ausblick

Mehr

gateprotect Sicherheitsaudit nach Bundesdatenschutzgesetz (BDSG 9a)

gateprotect Sicherheitsaudit nach Bundesdatenschutzgesetz (BDSG 9a) Sicherheit gecheckt? Haftungsrisiken vermeiden, Compliance optimieren gateprotect Sicherheitsaudit nach Bundesdatenschutzgesetz (BDSG 9a) Mit dem gateprotect Sicherheitscheck verbessern Sie den Datenschutz

Mehr

IT-Sicherheitsgesetz und IT- Sicherheitskatalog Anforderungen an Betreiber kritischer Infrastrukturen

IT-Sicherheitsgesetz und IT- Sicherheitskatalog Anforderungen an Betreiber kritischer Infrastrukturen IT-Sicherheitsgesetz und IT- Sicherheitskatalog Anforderungen an Betreiber kritischer Infrastrukturen 5. Fachtagung Infrastruktursicherheit des KKI e. V. IT-SICHERHEIT UND KRITISCHE I NFRASTRUKTUREN 10.

Mehr

IT-Sicherheitsmanagement und Haftungsrisiken für Geschäftsführer

IT-Sicherheitsmanagement und Haftungsrisiken für Geschäftsführer Wolfgang Straßer Geschäftsführer Dipl.-Kfm. IT-Sicherheitsmanagement und Haftungsrisiken für Geschäftsführer @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen +49 (02175) 16 55 0 @-yet Geschäftsbereiche

Mehr

Data Risks / Cyber Risks / Privacy the Lloyd s underwriters perspective

Data Risks / Cyber Risks / Privacy the Lloyd s underwriters perspective Data Risks / Cyber Risks / Privacy the Lloyd s underwriters perspective Jens Krickhahn, Underwriting Manager Technology Media und Telecommunication Hiscox Deutschland Agenda Aus der Presse Rechtlicher

Mehr

Das Rechtliche beim Risikomanagement

Das Rechtliche beim Risikomanagement Das Rechtliche beim Risikomanagement 10.12.2014 Gerald Spyra, LL.M. Kanzlei Spyra Definition und Relevanz von Risiko Risiko wird allgemein definiert als Produkt aus der Eintrittswahrscheinlichkeit eines

Mehr

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014 Recht in der Cloud Die rechtlichen Aspekte von Cloud Computing Nicole Beranek Zanon Lic. iur., EMBA HSG 2 Agenda 1 2 3 4 5 6 Ausgangslage: Cloud oder eigener Betrieb?Cloud Ecosystem Verantwortlichkeit

Mehr