Rechtliche Grundlagen und Pflichten
|
|
- Falko Beltz
- vor 8 Jahren
- Abrufe
Transkript
1 Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management RA Udo Steger Heymann & Partner Rechtsanwälte BCI Kongress 2006, Hamburg
2 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 2
3 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 3
4 1. Business Continuity als Begriff im Recht Business Continuity (BC) im Staat Klassisch: Betriebliches Kontinuitätsmanagement (BKM) = Maßnahmen zur Aufrechterhaltung der betrieblichen Kontinuität in örtlichen Notsituationen, typischerweise Naturkatastrophen, Krieg, etc. BC im engeren Sinne: Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden (BSI/KRITIS, 2005) Aber: die globalisierte, postindustrielle Wirtschaft (und Gesellschaft) ist auch anfällig gegenüber außerörtlichen Ereignissen (z.b. Lieferketten, Internet, etc.) Aufgabe des Staates ändert sich, private Maßnahmen erforderlich, wo Staat nicht vorsorgt BC: Heute ist ein erweitertes Verständnis von BC im Sinn umfassender Risikovorsorge und Risikominimierung erforderlich Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 4
5 1. Business Continuity als Begriff im Recht BC-Aspekte in vorhandenen Gesetzen und Normen? Studie: Schutz kritischer Infrastrukturen (KRITIS) als Aufgabe des Staates Holznagel/Koenig, Gutachten zur rechtlichen Analyse des Regelungsumfangs zur IT-Sicherheit in kritischen Infrastrukturen. Bestandsaufnahme und Gutachten im Auftrag des BSI von 2002, überarbeitet 2005 Über 650 Gesetze/Verordnungen bzgl. Schutz kritischer Infrastrukturen ausgewertet Ergebnisse Studie: kein BKM-Gesetz /allgem. Legaldefinition von BC vorhanden unüberschaubare Vielzahl von Regelungen mit Bezug zu KRITIS, unterschiedliche Rechtsqualität der Regelungen viele sektorspezifische Regelungen, z.b. Pflicht zur Notfallvorsorge (MaRisk, TKG), manche Regelungen gelten nur für den Verteidigungsfall, aber kaum BC-Querschnittsnormen, Ausnahme: Pflicht zum Risikomanagement (AktG) Folge: Gesetzgeber ist sensibilisiert, BSI befasst sich mit KRITIS BC: Es ist zu erwarten, dass immer mehr staatliche Vorgaben BC- Aspekte berücksichtigen werden Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 5
6 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 6
7 2. Rechtliche Grundlagen Gesetzliche Anforderungen Gesetze, Verordnungen = abstrakt-generelle Anforderungen wirken oft indirekt, indem sie Anforderungen an allgemeine Sorgfaltspflichten aufstellen (z.b. Unternehmensleitung: 91 Abs. 2 AktG, 43 GmbHG) enthalten aber nur selten Anweisungen zur konkreten Umsetzung keine/kaum Rechtsprechung zu BC (vereinzelt zum Teilaspekt IT-Sicherheit) Verwaltungsvorschriften, Verwaltungshandeln interne Organisation der Verwaltung, grundsätzlich keine Außenwirkung Gesetzliche und vertragliche Obliegenheiten nicht selbständig einklagbar, sondern bloße Verhaltensnormen, die bei Nichtbeachtung zum Rechtsverlust führen können. insbesondere im Versicherungsvertragsrecht / VVG Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 7
8 2. Rechtliche Grundlagen Richtlinien und Standards haben keinen Rechtscharakter, i.d.r. nicht unmittelbar durchsetzbar. es gibt wenig technische Gesetzgebung in dem Sinne, dass BC-Verfahren, -Standards und -Einrichtungen konkret vorgeschrieben sind liefern Hinweise für die praktische Umsetzung von BC-Anforderungen Interpretationshilfe zur Auslegung von abstrakten gesetzlichen Vorgaben, Indiz für Anwendung angemessener Sorgfalt/angemessene Maßnahmen z.b. Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters ( 93 Abs. 1 AktG), oder die Sorgfalt eines ordentlichen Geschäftsmannes ( 43 Abs. 1 GmbHG) Sonderfall: öffentliche Vergabeverfahren Richtlinien, Standards und entsprechende Zertifizierungen werden immer öfter als Wertungskriterien und Vertragsbestandteile verwendet entfalten damit (zumindest für die Bieter) faktisch eine Bindungswirkung 7 Nr. 4 VOL/A: Nachweis der Fachkunde, Leistungsfähigkeit und Zuverlässigkeit Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 8
9 2. Rechtliche Grundlagen Sonderfall: Aufsicht im Banken- und Finanzdienstleistungssektor durch Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) KWG und WpHG enthalten Generalklauseln, die mittelbar auch BC-spezifische Organisationspflichten für die erfassten Institute begründen BaFin konkretisiert diese in Form behördlicher Rundschreiben, Verlautbarungen bzw. Richtlinien diese beschreiben die Anforderungen der BaFin an BC-Maßnahmen, z.b. in den Rs. 11/2001 (Auslagerung) und Rs. 18/2005 (MaRisk) grundsätzlich keine Außenwirkung, da i.d.r. nicht in Form eines VA oder Allgemeinverfügung usw. ergehend KWG räumt BaFin aber weitgehende Befugnisse ein (z.b. 6, 34, 36 KWG) BaFin misst und prüft Institute an diesen Anforderungen, auch inhaltliche Prüfung der Auslagerungsverträge (Anzeigepflicht, 20 AnzVO) Daher: Faktischer Zwang zur Umsetzung Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 9
10 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 10
11 3.1 Datenschutz und Datensicherheit BDSG Querschnittsgesetz, daneben sektorspezifische Datenschutznormen 9 BDSG i.v.m. der zugehörigen Anlage enthält allgemeine, technischorganisatorische Anforderungen zum Schutz von personenbezogenen Daten wichtige gesetzgeberische Vorgabe für die Bestimmung einer angemessenen Einrichtung von IT-Systemen, soll damit (auch) BC im weiteren Sinne gewährleisten Konzepte sind insbesondere im Hinblick auf Datensicherheit auch allgemein gültig ( good practice ), z.b. Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags- und Verfügbarkeitskontrolle Regelung zu BC im engeren Sinne in Nr. 7 der Anlage zu 9 BDSG: zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle)... BC: Anforderungen der Anlage zu 9 BDSG müssen konkret umgesetzt werden, z.b. durch Datensicherheitskonzept Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 11
12 3.2 Unternehmensorganisation Allgemeine Sorgfaltspflicht der Unternehmensleitung 91 Abs. 2 AktG: ist nach allg. Ansicht jedenfalls sinngemäß auf die GmbH anwendbar und über Ausstrahlungswirkung auch auf andere Gesellschaftsformen Zweck: Risikomanagement allgemeiner betrieblicher Risiken anordnen Pflicht zur Schaffung eines internen Überwachungs- und Frühwarnsystems Identifizierung Unternehmenskritischer Systeme, z.b. in Produktion, Verwaltung, Buchführung. Auch (aber nicht nur!) IT-spezifische Risiken typischerweise: Produktionsanlagen, Energieversorgung, F&A-Systeme, ERP, Logistik BC: Geschäftsleitung muss über alle für das Unternehmen relevanten Risiken umfassend und rechtzeitig informiert sein Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 12
13 3.2 Unternehmensorganisation Allgemeine Sorgfaltspflicht der Unternehmensleitung 93 Abs. 1 AktG: Pflicht zur Schaffung einer Datenbasis als Entscheidungsgrundlage Wurden Risiken erkannt ( 91 Abs. 2), muss die Unternehmensleitung entsprechende Maßnahmen zu ergreifen um Pflichtverletzung zu vermeiden, z.b. Verfahren einzurichten und Zuständigkeiten zu bestimmen. Basel II Rating : zentrales Entscheidungskriterium, ob ein Unternehmen und, wenn ja, zu welchen Konditionen Kredite bekommt Ermittlung der im Unternehmen vorhandenen Risiken unter dem Gesichtspunkt des sich daraus ergebenden Schuldnerausfallrisikos Sicherheit der unternehmensbezogenen Daten ist zu gewährleisten. Wurde ausreichende Notfallvorsorge getroffen? Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 13
14 3.3 Buchhaltung, Rechnungslegung, Prüfung HGB, GoB, GoBS, GDPdU: BC im weiteren Sinne immer mehr Informationen und Dokumente entstehen nur noch in digitaler Form und sind nicht mehr für eine Präsentation in Papierform ausgelegt Aber: elektronisch gespeicherte Daten sind i.d.r. sehr flüchtig Grundsatz: elektronisch durchgeführte Buchführung muss Gegenstand der Buch- und Steuerprüfung sein können = verbindlich, verfügbar (innerhalb angemessener Frist lesbar). Gesetzliche Anforderungen konkretisiert in: GoB: Grundsätze ordnungsgemäßer Buchführung (GoB) Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS): Regeln zur Buchführung mittels Datenverarbeitungssystemen Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU): Finanzamt muss auf elektronischem Weg Einsicht in die EDV-Buchführung nehmen können Zukünftig: International Financial Reporting Standards (IFRS) BC: Unternehmen muss geeignete Vorkehrungen treffen, dass die vom FA geforderten Daten verfügbar sind (BC im weiteren Sinne) Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 14
15 3.4 Sektorspezifisch: Banken und Finanzdienstleister Outsourcing-Rundschreiben der BaFin (RS 11/2001 v ) TZ 40: Das auslagernde Institut muss eine ordnungsgemäße Fortführung der Geschäfte im Notfall jederzeit gewährleisten. Die festzulegenden Sicherheitsmaßnahmen müssen insbesondere Regelungen enthalten, welche die Weiterführung des ausgelagerten Bereichs sicherstellen, falls das Auslagerungsunternehmen verhindert ist, seine Leistung zu erbringen. Dem Umstand, dass andere Auslagerungsunternehmen als Ersatz nicht zur Verfügung stehen, ist durch geeignete Vorkehrungen Rechnung zu tragen. Anforderungen an den Auslagerungsvertrag, u.a.: Notfallvorsorge, um Fortführung der Geschäfte sicherstellen Regelungen zum (temporären) Austausch eines Dienstleisters, Lösungsrecht, Herausgabepflichten Vorkehrungen bei nicht ersetzbaren Dienstleistern vorsehen = Redundanzen vorhalten, Rückübernahme der Leistungen durch Bank BC: als roter Faden auch für andere Unternehmen nutzbar Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 15
16 3.4 Sektorspezifisch: Banken und Finanzdienstleister Mindestanforderungen an das Risikomanagement (MaRisk) RS 18/2005 v AT 7.2 Technisch-organisatorische Ausstattungm TZ 2: Die IT-Systeme (Hardware- und Software-Komponenten) und die zugehörigen IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Für diese Zwecke ist bei der Ausgestaltung der IT- Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen. [...] Laut BaFin kommen als geeignete Standards in Frage: z.b. das IT-Grundschutzhandbuch des BSI z.b. ISO 17799, demnächst auch BS 25999? Aber: grundsätzlich... gängige Standards bedeutet keinen Zwang zur Verwendung von Standards; Eigenentwicklungen sind grundsätzlich ebenso möglich (und notwendig, wo Standards nicht ausreichen) Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 16
17 3.4 Sektorspezifisch: Banken und Finanzdienstleister AT 7.3 Notfallkonzept (1) Für Notfälle in kritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig durch Notfalltests zu überprüfen. Die Ergebnisse der Notfalltests sind den jeweiligen Verantwortlichen mitzuteilen. (2) Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederanlaufpläne umfassen. Die Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Die Wiederanlaufpläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen. Die im Notfall zu verwendenden Kommunikationswege sind festzulegen. Das Notfallkonzept muss den beteiligten Mitarbeitern zur Verfügung stehen. BC: AT 7.3 enthält die Mindestanforderungen der BaFin im Hinblick auf Business Continuity Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 17
18 3.5 Sektorspezifisch: Telekommunikation TKG verpflichtet TK-Anbieter explizit zur Einführung von Business Continuity Management (auch wenn es nicht explizit so genannt wird) TKG 2004: 109 Technische Schutzmaßnahmen, Abs. 3: Wer Telekommunikationsanlagen betreibt, die dem Erbringen von Telekommunikationsdiensten für die Öffentlichkeit dienen, hat [...] ein Sicherheitskonzept zu erstellen, aus dem hervorgeht, [...] 2. von welchen Gefährdungen auszugehen ist und 3. welche technischen Vorkehrungen oder sonstigen Schutzmaßnahmen [...] getroffen oder geplant sind [...] Telekommunikationsnetzwerke als kritische Infrastruktur: Gesetz zur Sicherstellung des Postwesens und der Telekommunikation (PTSG),. 9 Abs. 2: 1.die Anordnung baulicher Maßnahmen zum Schutz von Anlagen oder Einrichtungen sowie zum Schutz solcher Beschäftigter der genannten Unternehmen, die [...] zur Aufrechterhaltung des Betriebes [...] unerläßlich sind, 2.Maßnahmen zum betrieblichen Katastrophenschutz... Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 18
19 3.6 Sektorspezifisch: Energieversorger Sonderfall: Energieversorgungsunternehmen (EVU) Energiewirtschaftsgesetz: Sicherstellung der Versorgung der Bevölkerung mit Strom und Gas 13 Abs. 7 EnWG: Zur Vermeidung schwerwiegender Versorgungsstörungen haben Betreiber von Übertragungsnetzen jährlich eine Schwachstellenanalyse zu erarbeiten und auf dieser Grundlage notwendige Maßnahmen zu treffen. [...] 16 Abs. 5 EnWG enthält ähnliche Regelung für Betreiber von Fernleitungsnetzen 52 EnWG: Pflicht, der Bundesnetzagentur kalenderjährlich Bericht über Versorgungsstörungen zu erstatten sowie Pflicht, die getroffenen Maßnahmen zur Vermeidung künftiger Versorgungsstörungen darzulegen Begriff der Versorgungssicherheit im Energiewirtschaftsgesetz (EnWG) Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 19
20 3.6 Sektorspezifisch: Energieversorger Störfallverordnung (StörV): gilt für alle Betriebe (z.b. Produktionsanlagen, Lager), in denen gefährliche Stoffe oberhalb einer sog. Mengenschwelle vorhanden sind. 3 Abs. 1 StöV: Der Betreiber hat die nach Art und Ausmaß der möglichen Gefahren erforderlichen Vorkehrungen zu treffen, um Störfälle zu verhindern [...] 8 Abs. 1 StöV: Der Betreiber hat vor Inbetriebnahme ein schriftliches Konzept zur Verhinderung von Störfällen auszuarbeiten [...] 10 Abs. 1 StöV: Vor der erstmaligen Inbetriebnahme... hat der Betreiber (1) interne Alarm- und Gefahrenabwehpläne zu erstellen... BC: StöV schützt vor allem die Allgemeinheit vor den von einem Betrieb ausgehenden Gefahren, nicht jedoch den Betrieb selbst! Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 20
21 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 21
22 4. Adressaten von BC-Anforderungen Primär: Unternehmensleitung Vorstand ( 93 Abs. 1), Geschäftsführer ( 43 Abs. 1 GmbhG) wesentliche, nicht delegierbare Aufgabe, auch wenn tatsächliche Umsetzung durch Mitarbeiter oder Dritte erfolgt erfolgt BC: Unternehmensleitung muss sich mit dem Thema BC befassen Kontrolle: Unternehmensaufsicht insbesondere: Aufsichtsrat, der die dem Vorstand obliegende Geschäftsführung zu überwachen hat, 111 Abs. 1 AktG, gilt analog für Aufsichtsrat der GmbH Trend: Gesetzgeber erweitert Rechte und Pflichten (TransPuG, DCGK) BC: Überwachung der Unternehmensleitung in dem Ausmaß, in dem diese zur Gewährleistung von BC verpflichtet ist Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 22
23 4. Adressaten von BC-Anforderungen Unternehmensmitarbeiter BC als Teil arbeitsvertraglicher Pflichten insbesondere leitende Mitarbeiter, z.b. CIO. Zunehmendes Problem: Whistleblowing BC: Stellenbeschreibung/Weisungen des AG und umgekehrt Risiko- und Gefahr-Mitteilungen des AN an AG dokumentieren Aufsichtsbehörden kontrollieren die Einhaltung des öffentlichen Ordnungsrahmens, z.b. BaFin, DSB samt Behördenunterbau, DS-Aufsicht ( 38 BDSG) aufgrund der häufigen Verwendung von unbestimmten Rechtsbegriffen in Generalklauseln können sich andere Aufsichtsbehörden zuständig fühlen z.b. 35 GewO ( Unzuverlässigkeit ) => Gewerbeaufsichtsbehörde BC: Beobachtung (und Beachtung!) der von den Aufsichtsbehörden allgemein ergriffenen Aufsichtsmaßnahmen Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 23
24 4. Adressaten von BC-Anforderungen Externe (IT-)Dienstleister BC-Anforderungen adressieren Dienstleister oft nicht, er muss vertraglich zur Einhaltung verpflichtet werden (anders aber z.b. KWG) Vertragsbestandteile: Einfügen in Notfallplanung des Unternehmens, gemeinsame Übungen Möglichkeit zur Überwachung des Dienstleisters Mitsprache bei Auswahl von Subunternehmern und Verlagerung über Landesgrenzen hinweg (Offshore-Subunternehmer) Einsichtsrecht in die Notfallplanung des Dienstleisters Verpflichtung, Pläne regelmäßig zu aktualisieren Bei Transition: ab wann wird Dienstleister für Notfallplanung verantwortlich? Häufiger Konflikt: wer sorgt für (und bezahlt!) Anpassungen des Notfallplans? Unternehmen ist letztlich der Verpflichtete, Dienstleister hat (insbesondere beim IT- Outsourcing i.d.r. die bessere Sachkunde BC: Unternehmen behält eine nicht delegierbare Letztverantwortung Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 24
25 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 25
26 5. Drohende Sanktionen, Haftungsrisiken Zivilrechtliche Folgen: Haftung der Unternehmensleitung/Unternehmensaufsicht (Schadensersatz) bei Pflichtverletzung, z.b. 93 Abs. 2, 116 Abs. 1 AktG Nachteile für das Unternehmen, auch immaterielle (Imageschaden) aus Organisationsverschulden, auch: Zurechnung eines Mitverschuldens aus Vertrag => Vertretenmüssen der Nichterfüllung umfasst auch Haftung für Erfüllungsgehilfen/Subunternehmer unvorhergesehene Kosten höhere Refinanzierungskosten bei schlechtem Risiko (Basel II) Verzugsschadenshaftung/Vertragsstrafen gegenüber Kunden bei Ausfall der Produktion Arbeitnehmer: fristlose Kündigung kann drohen Strafrechtliche Folgen: StGB eher nicht, aber Straftatbestände z.b. im BDSG, KWG, AktG, HGB aber praktisch wohl selten relevant Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 26
27 5. Drohende Sanktionen, Haftungsrisiken Öffentlich-rechtliche Sanktionen Haftung ( 7 BDSG), Bußgeld ( 43 BDSG) Ordnungswidrigkeit z.b. 130 Abs. 1 OWiG bei Verletzung der Aufsichtspflicht Gewerberechtliche Unzuverlässigkeit ( 35 GewO) z.b. Androhung der Gewerbeuntersagung wegen Unzuverlässigkeit Bankaufsichtliche Maßnahmen, Bußgeld ( 56 KWG) z.b. 6 Abs. 3 KWG: Anordnungsbefugnis der BaFin Ausschluss von öffentlichen Vergabeverfahren Verlust von Versicherungsschutz Obliegenheitsverstoß kann Versicherungsschutzverlust zur Folge haben Verstoß gegen die Pflicht, den Versicherer über alle bekannte Umstände (lies: die bekannt sein müssen), die für den Versicherer von Bedeutung sind, zu informieren. Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 27
28 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 28
29 6.1 Gewährleistung durch das Unternehmen Business Continuity als Teil allgemeiner (IT-)Compliance Gewährleistung von Business Continuity als Teil allgemeiner Compliance- Anforderungen muss dokumentiert und nachgewiesen werden Festlegen, wer konkret für die Ermittlung und Beobachtung der einschlägigen Business Continuity Anforderungen verantwortlich ist BC: Risikobestimmung/Bestandsaufnahme als erste Maßnahme Business Continuity ist ein Zustand, kein Ziel Geschäftsrisiken, Umwelt und IT-Systeme ändern sich ständig Notfallvorsorge als Teil des Arbeitsalltags der Adressaten, Teil der Abläufe im Unternehmen Unternehmen muss intern und in Verträgen für Aktualisierung/Änderungsverfahren sorgen Ausgestaltung angemessen im Hinblick auf den Unternehmensgegenstand sowie die Kritikalität und typisches Betriebsrisiko der (IT-)Systeme BC: Risikovorsorge ist kontinuierlicher Prozess Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 29
30 6.1 Gewährleistung durch das Unternehmen Bedeutung von Standards können bei Umsetzung einzelner Anforderungen hilfreich sein sind häufig unter Beteiligung von Praktikern bzw. der jeweiligen Interessengruppen geschrieben, oft mit Handlungsempfehlungen z.b. BS 7799/DIN 17799, DIN/ISO 27001:2005, PAS 56/BS (2006), (2007) Prüfungsstandards (PS) des Institutes der Wirtschaftsprüfung (IDW) z.b. IDW PS-330: Orientierung an den Standards anhand derer geprüft wird Zertifizierungen sind oft nur stichtagsbezogen, unterschiedliche Schwerpunkte (Prozesse/Kontrollen) erlauben oft keine historische Betrachtung kein Beweis für genügende Risikovorsorge, aber Indikator für das Maß der Pflichterfüllung => Erleichterung des Entlastungsbeweises ( 93 AktG!) Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 30
31 6.1 Gewährleistung durch das Unternehmen Sorgfalt der Unternehmensleitung (nicht nur) bei Übernahmen: Due Diligence-Prüfung des zu übernehmenden Unternehmens auch im Hinblick auf Business Continuity Prüfung insbesondere der Produktions- und IT-Systeme Auch: interne Due Diligence als Vorbereitung auf Übernahme/Verkauf Zweck: Abwehr späterer Gewährleistungsansprüche, Beeinflussung der Preisverhandlungen durch Risikoschwachpunkte umfassende Environmental Due Diligence : Ermittlung und Bewertung lagebezogener Risiken für das Unternehmen: Umwelteinflüsse, öffentliche und private Infrastruktur, lokale Märkte Frage: sind aktuelle und zukünftige [Umwelt] Kostenrisiken des Zielobjektes im aktuellen Business Continuity Plan berücksichtigt? wichtig insbesondere bei ortsgebundenen Produktionsbetrieben und bei cross-border/offshore outsourcing/bpo Projekten Dann: Umsetzung von Maßnahmen zur Risikosteuerung und -minderung Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 31
32 6.2 Gewährleistung durch Dritte Kritisch: Gestaltung des Vertrags mit Dienstleister(n) insbesondere: bei Outsourcing/BPO Ermittlung und Umsetzung der BC-Anforderungen des Unternehmens häufig umstritten, da zwar Aufgabe der Unternehmensleitung, andererseits Wissensvorsprung des Dienstleisters Leistungsbeschreibung/Änderungsverfahren Aber: Was ist neu, was Teil des vertraglich vereinbarten Leistungsumfangs? oft streitig: wer trägt Risiko der Änderung von Rahmenbedingungen? Business continuity bei Force Majeure Situationen Anpassung bestehender Notfallkonzepte bei Einsatz eines Dienstleisters oft streitig: wie mit einer force majeure Situation umgehen? 275 BGB passt oft nicht Nach Vertragsschluss: Management der Beziehung Steuerung, Überwachung, Prüfung des Dienstleisters Abgleich mit eigenen Vorkehrungen, gemeinsame Übungen Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 32
33 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 33
34 7. Fazit und Ausblick Risikovorsorge und Business Continuity sind ständige Pflichtaufgaben der Unternehmensleitung, insbesondere: realistische Einschätzung der aus IT-Systemen erwachsenden Risiken Einführung geeigneter Kontrolle- und Überwachungssysteme Planung und Vorhalten von Vorsorgemaßnahmen... sonst drohen erhebliche juristische und ökonomische Nachteile Unternehmensleitung muss bei BC für enge Zusammenarbeit aller technischen und rechtlichen Einheiten des Unternehmens sorgen: möglichst umfassende Abdeckung des rechtlich Erforderlichen durch das technisch Machbare zu ökonomisch vertretbaren Bedingungen Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 34
35 7. Fazit und Ausblick Zunehmende Bedeutung von IT-(Betriebs-)Sicherheit Immer mehr elektronische Dokumente, Geschäftsprozesse, Werte BC: Unternehmensleitung muss verstärkt IT-Sicherheit kontrollieren Zunehmende Abhängigkeit von eigenen/fremden IT-Systemen Risikovorsorge ist nur so gut wie das schwächste Teilglied/Notfallkonzept BC: Unternehmensleitung muss Risiken ganzheitlich Betrachten Zunehmende Bedeutung von BC Standards Zunehmende Pflichtenanspannung der Unternehmensleistung erfordert Umsetzung von BC-Anforderungen in genormter Qualität BC: Einhaltung von Standards kann Indiz für pflichtgemäßes Verhalten sein, beweist es aber nicht Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 35
IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS
IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit
MehrGÖRG Wir beraten Unternehmer.
GÖRG Partnerschaft von Rechtsanwälten München Berlin Essen Frankfurt/M. Köln München GÖRG Wir beraten Unternehmer. Unternehmerfrühstück 18. Februar 2009 C o m p l i a n c e IT - Compliance Rechtliche Aspekte
MehrAusgewählte Rechtsfragen der IT-Security
Ausgewählte Rechtsfragen der IT-Security Steht man als Verantwortlicher für IT-Security bereits mit einem Bein im Gefängnis? Dr. Markus Junker, Rechtsanwalt markus.junker@de.pwc.com HEUSSEN Rechtsanwaltsgesellschaft
MehrIT-Sicherheit. ein Thema für das Management? Herzlich Willkommen. IT-Security für das Management. Vortrag vom 17.06.2004 netformat GmbH
IT-Sicherheit ein Thema für das Management? Herzlich Willkommen Zirngibl Langwieser Inhaltsübersicht 1. Pflichten des Managements in Bezug auf die IT-Sicherheit 2. Instrumente der Pflichterfüllung und
MehrHinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.
AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk
MehrRechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.
NetworkedAssets GmbH Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. Dezember 2006 Rechtliche Aspekte Administration Gliederung Praktische
MehrDatenschutzbeauftragte
MEIBERS RECHTSANWÄLTE Externe Datenschutzbeauftragte für Ihr Unternehmen Stand: Juli 2014 Datenschutz im Unternehmen ist mehr als eine Forderung des Gesetzgebers Der Schutz personenbezogener Daten ist
MehrRechtliche Aspekte der IT-Security.
Rechtliche Aspekte der IT-Security. Gesellschaft für Informatik, 27.05.2005 IT Security und Recht. IT-Security hat unterschiedliche juristische Aspekte: Strafrecht: Hacking, Computerbetrug, DoS, etc. Allg.
MehrDas Rechtliche beim Risikomanagement
Das Rechtliche beim Risikomanagement 10.12.2014 Gerald Spyra, LL.M. Kanzlei Spyra Definition und Relevanz von Risiko Risiko wird allgemein definiert als Produkt aus der Eintrittswahrscheinlichkeit eines
MehrDas Rechtliche beim Risikomanagement
Das Rechtliche beim Risikomanagement 29.04.2015 Gerald Spyra, LL.M. Kanzlei Spyra Definition und Relevanz von Risiko Risiko wird allgemein definiert als Produkt aus der Eintrittswahrscheinlichkeit eines
MehrDer Schutz von Patientendaten
Der Schutz von Patientendaten bei (vernetzten) Software-Medizinprodukten aus Herstellersicht 18.09.2014 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Spezialisiert
MehrAgenda: Richard Laqua ISMS Auditor & IT-System-Manager
ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit
MehrRisikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement
SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor Risikomanagement Gesetzlicher Rahmen IBR INSTITUT FÜR BETRIEBS- UND REGIONALÖKONOMIE Thomas Votruba, Leiter MAS Risk Management, Projektleiter, Dozent
MehrKorruption im Unternehmen Gesetzliche Verpflichtung zur Einrichtung eines Präventivsystems
Dr. Stefan Schlawien Rechtsanwalt stefan.schlawien@snp-online.de Korruption im Unternehmen Gesetzliche Verpflichtung zur Einrichtung eines Präventivsystems Das Thema der Korruption betrifft nicht nur!großunternehmen"
MehrFreifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234
IT Sicherheitskonzept Registernummer bei der Bundesnetzagentur: 14/234 1. Geltungsbereich 1.Dieses IT-Sicherheitskonzept gilt strukturell für Systemkomponenten des Freifunknetzes, welche vom selbst betrieben
MehrDatenschutz. Vortrag am 27.11.2012. GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße 285 49080 Osnabrück
Datenschutz bei mobilen Endgeräten Vortrag am 27.11.2012 Sutthauser Straße 285 49080 Osnabrück GmbH Datenschutz und IT - Sicherheit Telefon: 0541 600 79 296 Fax: 0541 600 79 297 E-Mail: Internet: datenschutz@saphirit.de
MehrDas IT-Sicherheitsgesetz
Das IT-Sicherheitsgesetz RA Dr. Jan K. Köcher Syndikus DFN-CERT Services GmbH koecher@dfn-cert.de Hintergrund/Ziele IT-Sicherheitsgesetz vom 17.7.2015 Änderungen: BSIG, TKG, TMG, AtomG... Ziele: Erhöhung
MehrCloud-Computing - rechtliche Aspekte. Forum 7-it. RA Rainer Friedl
Cloud-Computing - rechtliche Aspekte Forum 7-it RA Rainer Friedl München, 16. November 2015 Verpflichtung zur IT-Compliance: Haftung des Vorstands/Geschäftsführer für IT-Risiken» Vorstandspflicht bei AGs
MehrIT-Revision als Chance für das IT- Management
IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT
MehrDatenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung
Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung Channel-Sales Kongress Cloud Computing, München 9. Mai 2012 Rechtsanwalt Dr. Sebastian Kraska Externer Datenschutzbeauftragter
MehrVom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements
Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen
MehrDr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen
Dr. Christian Thiel Institut für Informations- und Prozessmanagement FHS ST. Gallen Und was meinst Du mit IT Sicherheit? Was ist IT-Sicherheit aus rechtlicher Sicht? Definition in 2 Abs. 2 BSI-Gesetz:
MehrPensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione
Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes
MehrPersonal-Vorsorgestiftung der Aluminium-Laufen AG Liesberg Liesberg. Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2014
Personal-Vorsorgestiftung der Aluminium-Laufen AG Liesberg Liesberg Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2014 Bericht der Revisionsstelle an den Stiftungsrat der Personal-Vorsorgestiftung
Mehreco AK Sicherheit Rechtliche Stellung des CISO - Handlungsrahmen und pflichten - Köln, 3. September 2008
eco AK Sicherheit Rechtliche Stellung des CISO - Handlungsrahmen und pflichten - Köln, 3. September 2008 Jens Eckhardt JUCONOMY Rechtsanwälte Düsseldorf 1 CISO Eine Positionsbestimmung 2 Aufgaben, Pflichten
MehrM&A im Streit. Compliance-Management-Systeme und Haftungsvermeidung. bei Pöllath & Partner am 08. November 2012 in München
M&A im Streit bei Pöllath & Partner am 08. November 2012 in München Compliance Management Mittelstand GmbH www.cmm-compliance.com Seite 1 Woraus ergibt sich Notwendigkeit des Handelns? Es gibt (noch) keine
MehrGeprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz
www.tekit.de Geprüfter TÜV Zertifikat für Geprüften TÜV-zertifizierter Der Schutz von personenbezogenen Daten ist in der EU durch eine richtlinie geregelt. In Deutschland ist dies im Bundesdatenschutzgesetz
MehrDer Datenschutzbeauftragte. Eine Information von ds² 05/2010
Der Datenschutzbeauftragte Eine Information von ds² 05/2010 Inhalt Voraussetzungen Der interne DSB Der externe DSB Die richtige Wahl treffen Leistungsstufen eines ds² DSB Was ds² für Sie tun kann 2 Voraussetzungen
MehrInformationssicherheitsmanagement
Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und
MehrDienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden
Dienstleistungen Externer Datenschutz Beschreibung der Leistungen, die von strauss esolutions erbracht werden Markus Strauss 14.11.2011 1 Dienstleistungen Externer Datenschutz Inhalt 1. Einleitung... 2
MehrSicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen. www.ddv.de www.ddv.de
Sicherheit, Transparenz und Datenschutz Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen Setzen Sie auf Nummer Sicher Die Qualitätssiegel des DDV Die Adressdienstleister in den drei DDV-
MehrD i e n s t e D r i t t e r a u f We b s i t e s
M erkblatt D i e n s t e D r i t t e r a u f We b s i t e s 1 Einleitung Öffentliche Organe integrieren oftmals im Internet angebotene Dienste und Anwendungen in ihre eigenen Websites. Beispiele: Eine
MehrTabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz
Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07
MehrGZ: BA 17-K3106-2006/0001 Modernisierung der Outsourcing-Regelungen und Integration in die MaRisk
E-Mail Outsourcing@bafin.de B30_MaRisk@bundesbank.de Bundesanstalt für Finanzdienstleistungsaufsicht Herrn Helmut Bauer Erster Direktor Bankenaufsicht Graurheindorfer Str. 108 53117 Bonn Bundesverband
MehrIT-Aufsicht im Bankensektor
IT-Aufsicht im Bankensektor - Grundlagen - Informationsveranstaltung: IT-Aufsicht bei Banken 29. Oktober 2013 Dr. Josef Kokert BA 58 Informationsveranstaltung: IT-Aufsicht bei Banken 29.10.2013 Seite 1
MehrIT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein
der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule
Mehr1 Abs. 1 a Satz 2 Nr. 1 a KWG definiert die Anlageberatung als die
Die gesetzliche Definition der Anlageberatung 1 Abs. 1 a Satz 2 Nr. 1 a KWG definiert die Anlageberatung als die Abgabe von persönlichen Empfehlungen an Kunden oder deren Vertreter, die sich auf Geschäfte
MehrGPP Projekte gemeinsam zum Erfolg führen
GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.
MehrWorking for. your. future. ...wherever. you are
GDPdU Working for your future...wherever you are Das Finanzamt versteht mehr von Ihrer elektronischen Buchhaltung als Sie glauben... Die deutsche Finanzverwaltung hat sich darauf eingestellt, die zunehmend
MehrI n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000
Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an
MehrDDV-SIEGEL. Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs-Unternehmen. www.ddv.de
DDV-SIEGEL Sicherheit, Transparenz und Datenschutz Die Qualitätssiegel des DDV bei Adressdienstleistungs-Unternehmen www.ddv.de Setzen Sie auf Nummer Sicher Die Adressdienstleister in den beiden DDV-Councils
MehrInformationsblatt über die Meldepflichten nach 9 des Wertpapierhandelsgesetzes (WpHG) für Finanzdienstleistungsinstitute (Stand: 1.
B A We Bundesaufsichtsamt für den Wertpapierhandel Informationsblatt über die Meldepflichten nach 9 des Wertpapierhandelsgesetzes (WpHG) für Finanzdienstleistungsinstitute (Stand: 1. Februar 1998) Vorbemerkung
MehrDer betriebliche Datenschutzbeauftragte
Der betriebliche Datenschutzbeauftragte W A R U M? W E R I S T G E E I G N E T? W O F Ü R? Christoph Süsens & Matthias Holdorf Projekt Agenda Vorstellung Präsentation der betriebliche Datenschutzbeauftragte
MehrPrüfung und Zertifi zierung von Compliance-Systemen. Risiken erfolgreich managen Haftung vermeiden
Prüfung und Zertifi zierung von Compliance-Systemen Risiken erfolgreich managen Haftung vermeiden Compliance-Risiken managen Die Sicherstellung von Compliance, also die Einhaltung von Regeln (Gesetze,
Mehr«Zertifizierter» Datenschutz
«Zertifizierter» Datenschutz Dr.iur. Bruno Baeriswyl Datenschutzbeauftragter des Kantons Zürich CH - 8090 Zürich Tel.: +41 43 259 39 99 datenschutz@dsb.zh.ch Fax: +41 43 259 51 38 www.datenschutz.ch 6.
MehrFORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager
FORUM Gesellschaft für Informationssicherheit mbh ForumBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? ForumBankSafe-IT einführen ForumBankSafe-IT bietet ein
MehrInformationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen
Informationsveranstaltung IT-Aufsicht bei Banken Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Axel Leckner - Informationsveranstaltung IT-Aufsicht bei 1 Banken
MehrEntsprechenserklärung der EUROKAI GmbH & Co. KGaA gemäß dem Deutschen Corporate Governance Kodex
Entsprechenserklärung der EUROKAI GmbH & Co. KGaA gemäß dem Deutschen Corporate Governance Kodex Die Geschäftsführung der Kurt F.W.A. Eckelmann GmbH, Hamburg, als persönlich haftende Gesellschafterin und
MehrErläuternder Bericht des Vorstands der Demag Cranes AG. zu den Angaben nach 289 Abs. 5 und 315 Abs. 2 Nr. 5 des Handelsgesetzbuches (HGB)
Erläuternder Bericht des Vorstands der Demag Cranes AG zu den Angaben nach 289 Abs. 5 und 315 Abs. 2 Nr. 5 des Handelsgesetzbuches (HGB) Erläuternder Bericht des Vorstands 1 Rechtlicher Hintergrund Das
MehrJahresrechnung zum 31. Dezember 2014
PRÜFUNGSBERICHT Jahresrechnung zum 31. Dezember 2014 Bolivianisches Kinderhilfswerk e. V. Stuttgart KPMG AG Wirtschaftsprüfungsgesellschaft An den Bolivianische Kinderhilfswerk e.v., Stuttgart 1 Prüfungsauftrag
MehrRISIKOLEBEN OPTIMAL SICHER VERSORGT, WENN ES DARAUF ANKOMMT
RISIKOLEBEN OPTIMAL SICHER VERSORGT, WENN ES DARAUF ANKOMMT FINANZIELLE SICHERHEIT IST IM ERNSTFALL UNVERZICHTBAR Ein Todesfall verändert das Leben Ihrer Angehörigen nachhaltig. Wenn Sie frühzeitig vorsorgen,
Mehrccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft
ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft Cloud Computing und Datenschutz: Was sind die rechtlichen Probleme und wie löst man diese? Oberhausen, 09.11.2011 Dr.
MehrRechtliche Absicherung von Administratoren
Informationstag "IT-Sicherheit im Arbeitsrecht" Berlin, 15.04.2014 Rechtliche Absicherung von Administratoren RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Admin in der Organisation
MehrCarl Schenck Aktiengesellschaft Darmstadt. Testatsexemplar Jahresabschluss 31. Dezember 2012. Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft
Carl Schenck Aktiengesellschaft Darmstadt Testatsexemplar Jahresabschluss 31. Dezember 2012 Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft Inhaltsverzeichnis Bestätigungsvermerk Rechnungslegung Auftragsbedingungen,
MehrHerzlich willkommen zu unserer Informationsveranstaltung --------------- Die digitale Betriebsprüfung - das gläserne Unternehmen?
Herzlich willkommen zu unserer Informationsveranstaltung --------------- Die digitale Betriebsprüfung - das gläserne Unternehmen? Grundsätze des Datenzugriffs und der Prüfbarkeit digitaler Unterlagen GDPdU
MehrBestimmungen zur Kontrolle externer Lieferanten. BCM (Business Continuity Management)
Bestimmungen zur Kontrolle externer Lieferanten BCM (Business Continuity Management) BCM- Bestimmungen Beschreibung BCM-Tiers Recovery Time Objective Über die Bedeutung 1. Business- Continuity- Management-
MehrDatendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?
Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220
MehrComputer & Netzwerktechnik. Externer Datenschutzbeauftragter
Computer & Netzwerktechnik Externer Datenschutzbeauftragter Zweck des Bundesdatenschutzgesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem
MehrKirchlicher Datenschutz
Kirchlicher Datenschutz Religionsgemeinschaften können in ihrem Zuständigkeitsbereich ihre Angelegenheit frei von staatlicher Aufsicht selbst regeln. Dieses verfassungsrechtlich verbriefte Recht umfasst
MehrDirk Hartmann Dipl.-Kfm. zertifizierter Auditor für IT-Sicherheit
Ich bin dann mal sicher Sicherer Umgang mit der IT-Sicherheit als Erfolgsgrundlage für Ihr Unternehmen & als Haftungsschutz für die Geschäftsführung Dirk Hartmann Dipl.-Kfm. zertifizierter Auditor für
MehrSitz der Gesellschaft Bonn/Handelsregister Amtsgericht Bonn HRB 18119 /Geschäftsführer Thomas Michel FBCS
Compliance Cert-IT GmbH Am Bonner Bogen 6 53227 Bonn fon: +49(0)228 688 228 0 fax: +49(0)228 688 228 29 Sitz der Gesellschaft Bonn/Handelsregister Amtsgericht Bonn HRB 18119 /Geschäftsführer Thomas Michel
MehrDie Gesellschaftsformen
Jede Firma - auch eure Schülerfirma - muss sich an bestimmte Spielregeln halten. Dazu gehört auch, dass eine bestimmte Rechtsform für das Unternehmen gewählt wird. Für eure Schülerfirma könnt ihr zwischen
MehrPensionskasse der Burkhalter Gruppe Zürich. Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2013
Pensionskasse der Burkhalter Gruppe Zürich Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2013 Bericht der Revisionsstelle an den Stiftungsrat der Pensionskasse der Burkhalter Gruppe
MehrBetriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000
Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000 Version November 2013 1. Anwendungsbereich Dieses Dokument regelt die Überlassung von Daten zum Zweck der Verarbeitung als Dienstleistung
MehrDer Arbeitsrechtler. GHR Arbeitsrechtsteam. Vertrauen ist gut Kontrolle besser?
GHR Arbeitsrechtsteam Vertrauen ist gut Kontrolle besser? Die Verwendung von Social Media, insbesondere Internet und E-Mails, für private Zwecke am Arbeitsplatz ist für jeden Arbeitgeber und jeden Arbeitnehmer
MehrSecurity & Safety in einer smarten Energiewelt. Ergebnisse der Breitenbefragung Stand März 2013
Security & Safety in einer smarten Energiewelt Ergebnisse der Breitenbefragung Stand März 2013 Folie 1 Art und Umfang der Studie Vorbemerkung Die vermehrte Einspeisung von Erneuerbaren Energien und die
MehrRechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)
1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich
Mehr27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich
ISO 27001 im Kundendialog Informationssicherheit intern und extern organisieren Juni 2014 Was steckt hinter der ISO/IEC 27001:2005? Die internationale Norm ISO/IEC 27001:2005 beschreibt ein Modell für
MehrUnternehmerverantwortlichkeit und Strafrecht. Frank im Sande, Staatsanwaltschaft Braunschweig 1
Unternehmerverantwortlichkeit und Strafrecht 1 Einleitung Fremdbestimmte Arbeit birgt für den Arbeitnehmer Gefahren in sich Zum Schutz vor diesen Gefahren hat der Gesetzgeber Vorschriften erlassen, deren
MehrRecht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014
Recht in der Cloud Die rechtlichen Aspekte von Cloud Computing Nicole Beranek Zanon Lic. iur., EMBA HSG 2 Agenda 1 2 3 4 5 6 Ausgangslage: Cloud oder eigener Betrieb?Cloud Ecosystem Verantwortlichkeit
MehrDAS NEUE GESETZ ÜBER FACTORING ( Amtsblatt der RS, Nr.62/2013)
DAS NEUE GESETZ ÜBER FACTORING ( Amtsblatt der RS, Nr.62/2013) I Einleitung Das Parlament der Republik Serbien hat das Gesetz über Factoring verabschiedet, welches am 24. Juli 2013 in Kraft getreten ist.
MehrDatum 12.08.2009 Ausgabe 05/2009
Makler FAKT Informationen im Überblick Datum 12.08.2009 Ausgabe 05/2009 Vertriebskommunikation Herr/Frau E-Mail Mirko Oliver Sorge G_RUVFAKT@ruv.de Allgemeine Informationen zum Geldwäschegesetz Am 21.
MehrInhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6
Datenschutz ist... Inhalt Datenschutz ist Grundrechtsschutz 4 Wessen Daten werden geschützt? 5 Wer muss den Datenschutz beachten? 6 Welche Daten werden vom Datenschutzrecht erfasst? 7 Wann dürfen personenbezogene
MehrVerlagerung der Buchführung ins Ausland Gesetzliche Rahmenbedingungen
Verlagerung der Buchführung ins Ausland Gesetzliche Rahmenbedingungen Dirk Blaurock Dirk Blaurock IT Consulting Pinneberg bei Hamburg Schlüsselworte: Business Outsourcing, Verlagerung, Buchhaltung, Oracle
MehrIT-Outsourcing aus Sicht der Wirtschaftsprüfer
IT-Outsourcing aus Sicht der Wirtschaftsprüfer Roundtable der matrix technology AG München, 6. November 2008 Lothar Schulz Wirtschaftsprüfer - Steuerberater Prüfer für Qualitätskontrolle AGENDA 1. IT-Prüfung
MehrNutzung dieser Internetseite
Nutzung dieser Internetseite Wenn Sie unseren Internetauftritt besuchen, dann erheben wir nur statistische Daten über unsere Besucher. In einer statistischen Zusammenfassung erfahren wir lediglich, welcher
MehrBusiness Continuity Management - Ganzheitlich. ein anderer Ansatz. 17.10.2014 itmcp it Management Consulting & Projekte
- Ganzheitlich ein anderer Ansatz 1 Was ist das? Unvorhergesehen Wie konnte das passieren? Alles läuft gut Bei Ihrem Auto sorgen Sie durch rechtzeitigen Kundendienst vor 2 Was ist das? Kerngesunde, liquide
MehrGesetzliche Aufbewahrungspflicht für E-Mails
Gesetzliche Aufbewahrungspflicht für E-Mails sind Sie vorbereitet? Vortragsveranstaltung TOP AKTUELL Meins und Vogel GmbH, Plochingen Dipl.-Inf. Klaus Meins Dipl.-Inf. Oliver Vogel Meins & Vogel GmbH,
MehrDie richtige Rechtsform im Handwerk
Die richtige Rechtsform im Handwerk Welche Rechtsform für Ihren Betrieb die richtige ist, hängt von vielen Faktoren ab; beispielsweise von der geplanten Größe des Betriebes, von der Anzahl der am Unternehmen
MehrRSP International. Ihr Partner in Osteuropa und Zentralasien
Interne Kontrolle Empfehlungen des Finanzministeriums und praktische Aspekte Hamburg, 4. Juli 2014 RSP International Ihr Partner in Osteuropa und Zentralasien Internes Kontrollsystem (IKS) als Element
MehrIT OUTSOURCING. Wie die IT durch Transparenz zum internen Dienstleister wird. Herford, 13.09.2012, Steffen Müter
IT OUTSOURCING Wie die IT durch Transparenz zum internen Dienstleister wird Herford, 13.09.2012, Steffen Müter Vorurteile gegenüber IT Abteilungen...ihr seid zu langsam...es gibt immer Ausreden, wenn etwas
MehrAufbau eines Compliance Management Systems in der Praxis. Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11.
Aufbau eines Compliance Management Systems in der Praxis Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11.2012 Gliederung Kapitel 1 - Festlegung des Compliance-Zielbilds
MehrDATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher
DATENSCHUTZBERATUNG vertrauensvoll, qualifiziert, rechtssicher SIND SIE WIRKLICH SICHER? Wer sorgt in Ihrem Unternehmen dafür, dass die rechtlichen Anforderungen des Datenschutzes und der Datensicherheit
MehrInformationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter
Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem
MehrDatenschutzaudit DATENSCHUTZ & DATENSICHERHEIT IM UNTERNEHMEN. sicher bedarfsgerecht gesetzeskonform
Datenschutzaudit DATENSCHUTZ & DATENSICHERHEIT IM UNTERNEHMEN sicher bedarfsgerecht gesetzeskonform Zielgruppe Unser Beratungskonzept ist für die Unternehmensleitungen kleiner und mittelständischer Unternehmen
MehrSicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH
Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager TÜV SÜD Management Service GmbH Sicherheit, Verfügbarkeit und Zuverlässigkeit von Informationen stehen
MehrErläuterungen zur Untervergabe von Instandhaltungsfunktionen
Zentrale Erläuterungen zur Untervergabe von Instandhaltungsfunktionen Gemäß Artikel 4 der Verordnung (EU) 445/2011 umfasst das Instandhaltungssystem der ECM die a) Managementfunktion b) Instandhaltungsentwicklungsfunktion
MehrHaftung des Telearbeiters gegenüber dem Arbeitgeber
Haftung des Telearbeiters gegenüber dem Arbeitgeber Bei der Arbeitsausübung eines Telearbeiters können Schäden an den Arbeitsmitteln des Arbeitgebers eintreten. Hierbei wird es sich vor allem um Schäden
MehrBericht des Gleichbehandlungsbeauftragten für das Geschäftsjahr 2012 gemäß 80 Tiroler Elektrizitätsgesetz 2012
Bericht des Gleichbehandlungsbeauftragten für das Geschäftsjahr 2012 gemäß 80 Tiroler Elektrizitätsgesetz 2012 TIWAG-Netz AG Bert-Köllensperger-Straße 7 6065 Thaur FN 216507v Seite 1 Inhaltsverzeichnis
MehrITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015
ITK Sicherheitsgesetz Umsetzung mit verinice.pro verinice.xp- Grundschutztag 15.09.2015 Überblick Kurze Vorstellung des IT-Sicherheitsgesetzes Konkretisierung des Gesetzes für Energieversorger Abbildung
MehrRechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena
Rechtsgrundlagen der IT-Sicherheit Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Einführungsbeispiel OLG Hamm MMR 2004, 487 Problem: Existiert ein Regelwerk, dessen Beachtung die zivil-
MehrEntsprechenserklärung der EUROKAI GmbH & Co. KGaA gemäß dem Deutschen Corporate Governance Kodex
Entsprechenserklärung der EUROKAI GmbH & Co. KGaA gemäß dem Deutschen Corporate Governance Kodex Die Geschäftsführung der Kurt F.W.A. Eckelmann GmbH, Hamburg, als persönlich haftende Gesellschafterin und
MehrAllgemeine Bedingungen für alle Schulungen und Seminare
Allgemeine Bedingungen für alle Schulungen und Seminare 1. Geltungsbereich 1.1 Diese Allgemeinen Geschäftsbedingungen gelten für die gesamte Geschäftsverbindung zwischen dem Teilnehmer der Schulung (im
MehrInformationssicherheit als Outsourcing Kandidat
Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat
MehrManagementbewertung Managementbewertung
Managementbewertung Grundlagen für die Erarbeitung eines Verfahrens nach DIN EN ISO 9001:2000 Inhalte des Workshops 1. Die Anforderungen der ISO 9001:2000 und ihre Interpretation 2. Die Umsetzung der Normanforderungen
MehrMedizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong
Medizintechnik und Informationstechnologie im Krankenhaus Dr. Andreas Zimolong DIN EN 80001-1:2011 Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten Teil 1: Aufgaben, Verantwortlichkeiten
MehrVorteile bei einer Umwandlung von Gehaltsteilen in betriebliche Altersvorsorge mit der winsecura Pensionskasse
Vorteile bei einer Umwandlung von Gehaltsteilen in betriebliche Altersvorsorge mit der winsecura Pensionskasse oder auch: bav einfach André Loibl winsecura Pensionskasse DBV-winterthur Kirchstraße 14 53840
MehrDELEGIERTE VERORDNUNG (EU) Nr.../.. DER KOMMISSION. vom 19.9.2014
EUROPÄISCHE KOMMISSION Brüssel, den 19.9.2014 C(2014) 6515 final DELEGIERTE VERORDNUNG (EU) Nr..../.. DER KOMMISSION vom 19.9.2014 zur Ergänzung der Richtlinie 2014/17/EU des Europäischen Parlaments und
Mehr