Rechtliche Grundlagen und Pflichten

Größe: px
Ab Seite anzeigen:

Download "Rechtliche Grundlagen und Pflichten"

Transkript

1 Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management RA Udo Steger Heymann & Partner Rechtsanwälte BCI Kongress 2006, Hamburg

2 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 2

3 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 3

4 1. Business Continuity als Begriff im Recht Business Continuity (BC) im Staat Klassisch: Betriebliches Kontinuitätsmanagement (BKM) = Maßnahmen zur Aufrechterhaltung der betrieblichen Kontinuität in örtlichen Notsituationen, typischerweise Naturkatastrophen, Krieg, etc. BC im engeren Sinne: Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden (BSI/KRITIS, 2005) Aber: die globalisierte, postindustrielle Wirtschaft (und Gesellschaft) ist auch anfällig gegenüber außerörtlichen Ereignissen (z.b. Lieferketten, Internet, etc.) Aufgabe des Staates ändert sich, private Maßnahmen erforderlich, wo Staat nicht vorsorgt BC: Heute ist ein erweitertes Verständnis von BC im Sinn umfassender Risikovorsorge und Risikominimierung erforderlich Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 4

5 1. Business Continuity als Begriff im Recht BC-Aspekte in vorhandenen Gesetzen und Normen? Studie: Schutz kritischer Infrastrukturen (KRITIS) als Aufgabe des Staates Holznagel/Koenig, Gutachten zur rechtlichen Analyse des Regelungsumfangs zur IT-Sicherheit in kritischen Infrastrukturen. Bestandsaufnahme und Gutachten im Auftrag des BSI von 2002, überarbeitet 2005 Über 650 Gesetze/Verordnungen bzgl. Schutz kritischer Infrastrukturen ausgewertet Ergebnisse Studie: kein BKM-Gesetz /allgem. Legaldefinition von BC vorhanden unüberschaubare Vielzahl von Regelungen mit Bezug zu KRITIS, unterschiedliche Rechtsqualität der Regelungen viele sektorspezifische Regelungen, z.b. Pflicht zur Notfallvorsorge (MaRisk, TKG), manche Regelungen gelten nur für den Verteidigungsfall, aber kaum BC-Querschnittsnormen, Ausnahme: Pflicht zum Risikomanagement (AktG) Folge: Gesetzgeber ist sensibilisiert, BSI befasst sich mit KRITIS BC: Es ist zu erwarten, dass immer mehr staatliche Vorgaben BC- Aspekte berücksichtigen werden Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 5

6 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 6

7 2. Rechtliche Grundlagen Gesetzliche Anforderungen Gesetze, Verordnungen = abstrakt-generelle Anforderungen wirken oft indirekt, indem sie Anforderungen an allgemeine Sorgfaltspflichten aufstellen (z.b. Unternehmensleitung: 91 Abs. 2 AktG, 43 GmbHG) enthalten aber nur selten Anweisungen zur konkreten Umsetzung keine/kaum Rechtsprechung zu BC (vereinzelt zum Teilaspekt IT-Sicherheit) Verwaltungsvorschriften, Verwaltungshandeln interne Organisation der Verwaltung, grundsätzlich keine Außenwirkung Gesetzliche und vertragliche Obliegenheiten nicht selbständig einklagbar, sondern bloße Verhaltensnormen, die bei Nichtbeachtung zum Rechtsverlust führen können. insbesondere im Versicherungsvertragsrecht / VVG Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 7

8 2. Rechtliche Grundlagen Richtlinien und Standards haben keinen Rechtscharakter, i.d.r. nicht unmittelbar durchsetzbar. es gibt wenig technische Gesetzgebung in dem Sinne, dass BC-Verfahren, -Standards und -Einrichtungen konkret vorgeschrieben sind liefern Hinweise für die praktische Umsetzung von BC-Anforderungen Interpretationshilfe zur Auslegung von abstrakten gesetzlichen Vorgaben, Indiz für Anwendung angemessener Sorgfalt/angemessene Maßnahmen z.b. Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters ( 93 Abs. 1 AktG), oder die Sorgfalt eines ordentlichen Geschäftsmannes ( 43 Abs. 1 GmbHG) Sonderfall: öffentliche Vergabeverfahren Richtlinien, Standards und entsprechende Zertifizierungen werden immer öfter als Wertungskriterien und Vertragsbestandteile verwendet entfalten damit (zumindest für die Bieter) faktisch eine Bindungswirkung 7 Nr. 4 VOL/A: Nachweis der Fachkunde, Leistungsfähigkeit und Zuverlässigkeit Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 8

9 2. Rechtliche Grundlagen Sonderfall: Aufsicht im Banken- und Finanzdienstleistungssektor durch Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) KWG und WpHG enthalten Generalklauseln, die mittelbar auch BC-spezifische Organisationspflichten für die erfassten Institute begründen BaFin konkretisiert diese in Form behördlicher Rundschreiben, Verlautbarungen bzw. Richtlinien diese beschreiben die Anforderungen der BaFin an BC-Maßnahmen, z.b. in den Rs. 11/2001 (Auslagerung) und Rs. 18/2005 (MaRisk) grundsätzlich keine Außenwirkung, da i.d.r. nicht in Form eines VA oder Allgemeinverfügung usw. ergehend KWG räumt BaFin aber weitgehende Befugnisse ein (z.b. 6, 34, 36 KWG) BaFin misst und prüft Institute an diesen Anforderungen, auch inhaltliche Prüfung der Auslagerungsverträge (Anzeigepflicht, 20 AnzVO) Daher: Faktischer Zwang zur Umsetzung Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 9

10 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 10

11 3.1 Datenschutz und Datensicherheit BDSG Querschnittsgesetz, daneben sektorspezifische Datenschutznormen 9 BDSG i.v.m. der zugehörigen Anlage enthält allgemeine, technischorganisatorische Anforderungen zum Schutz von personenbezogenen Daten wichtige gesetzgeberische Vorgabe für die Bestimmung einer angemessenen Einrichtung von IT-Systemen, soll damit (auch) BC im weiteren Sinne gewährleisten Konzepte sind insbesondere im Hinblick auf Datensicherheit auch allgemein gültig ( good practice ), z.b. Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags- und Verfügbarkeitskontrolle Regelung zu BC im engeren Sinne in Nr. 7 der Anlage zu 9 BDSG: zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle)... BC: Anforderungen der Anlage zu 9 BDSG müssen konkret umgesetzt werden, z.b. durch Datensicherheitskonzept Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 11

12 3.2 Unternehmensorganisation Allgemeine Sorgfaltspflicht der Unternehmensleitung 91 Abs. 2 AktG: ist nach allg. Ansicht jedenfalls sinngemäß auf die GmbH anwendbar und über Ausstrahlungswirkung auch auf andere Gesellschaftsformen Zweck: Risikomanagement allgemeiner betrieblicher Risiken anordnen Pflicht zur Schaffung eines internen Überwachungs- und Frühwarnsystems Identifizierung Unternehmenskritischer Systeme, z.b. in Produktion, Verwaltung, Buchführung. Auch (aber nicht nur!) IT-spezifische Risiken typischerweise: Produktionsanlagen, Energieversorgung, F&A-Systeme, ERP, Logistik BC: Geschäftsleitung muss über alle für das Unternehmen relevanten Risiken umfassend und rechtzeitig informiert sein Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 12

13 3.2 Unternehmensorganisation Allgemeine Sorgfaltspflicht der Unternehmensleitung 93 Abs. 1 AktG: Pflicht zur Schaffung einer Datenbasis als Entscheidungsgrundlage Wurden Risiken erkannt ( 91 Abs. 2), muss die Unternehmensleitung entsprechende Maßnahmen zu ergreifen um Pflichtverletzung zu vermeiden, z.b. Verfahren einzurichten und Zuständigkeiten zu bestimmen. Basel II Rating : zentrales Entscheidungskriterium, ob ein Unternehmen und, wenn ja, zu welchen Konditionen Kredite bekommt Ermittlung der im Unternehmen vorhandenen Risiken unter dem Gesichtspunkt des sich daraus ergebenden Schuldnerausfallrisikos Sicherheit der unternehmensbezogenen Daten ist zu gewährleisten. Wurde ausreichende Notfallvorsorge getroffen? Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 13

14 3.3 Buchhaltung, Rechnungslegung, Prüfung HGB, GoB, GoBS, GDPdU: BC im weiteren Sinne immer mehr Informationen und Dokumente entstehen nur noch in digitaler Form und sind nicht mehr für eine Präsentation in Papierform ausgelegt Aber: elektronisch gespeicherte Daten sind i.d.r. sehr flüchtig Grundsatz: elektronisch durchgeführte Buchführung muss Gegenstand der Buch- und Steuerprüfung sein können = verbindlich, verfügbar (innerhalb angemessener Frist lesbar). Gesetzliche Anforderungen konkretisiert in: GoB: Grundsätze ordnungsgemäßer Buchführung (GoB) Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS): Regeln zur Buchführung mittels Datenverarbeitungssystemen Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU): Finanzamt muss auf elektronischem Weg Einsicht in die EDV-Buchführung nehmen können Zukünftig: International Financial Reporting Standards (IFRS) BC: Unternehmen muss geeignete Vorkehrungen treffen, dass die vom FA geforderten Daten verfügbar sind (BC im weiteren Sinne) Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 14

15 3.4 Sektorspezifisch: Banken und Finanzdienstleister Outsourcing-Rundschreiben der BaFin (RS 11/2001 v ) TZ 40: Das auslagernde Institut muss eine ordnungsgemäße Fortführung der Geschäfte im Notfall jederzeit gewährleisten. Die festzulegenden Sicherheitsmaßnahmen müssen insbesondere Regelungen enthalten, welche die Weiterführung des ausgelagerten Bereichs sicherstellen, falls das Auslagerungsunternehmen verhindert ist, seine Leistung zu erbringen. Dem Umstand, dass andere Auslagerungsunternehmen als Ersatz nicht zur Verfügung stehen, ist durch geeignete Vorkehrungen Rechnung zu tragen. Anforderungen an den Auslagerungsvertrag, u.a.: Notfallvorsorge, um Fortführung der Geschäfte sicherstellen Regelungen zum (temporären) Austausch eines Dienstleisters, Lösungsrecht, Herausgabepflichten Vorkehrungen bei nicht ersetzbaren Dienstleistern vorsehen = Redundanzen vorhalten, Rückübernahme der Leistungen durch Bank BC: als roter Faden auch für andere Unternehmen nutzbar Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 15

16 3.4 Sektorspezifisch: Banken und Finanzdienstleister Mindestanforderungen an das Risikomanagement (MaRisk) RS 18/2005 v AT 7.2 Technisch-organisatorische Ausstattungm TZ 2: Die IT-Systeme (Hardware- und Software-Komponenten) und die zugehörigen IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Für diese Zwecke ist bei der Ausgestaltung der IT- Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen. [...] Laut BaFin kommen als geeignete Standards in Frage: z.b. das IT-Grundschutzhandbuch des BSI z.b. ISO 17799, demnächst auch BS 25999? Aber: grundsätzlich... gängige Standards bedeutet keinen Zwang zur Verwendung von Standards; Eigenentwicklungen sind grundsätzlich ebenso möglich (und notwendig, wo Standards nicht ausreichen) Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 16

17 3.4 Sektorspezifisch: Banken und Finanzdienstleister AT 7.3 Notfallkonzept (1) Für Notfälle in kritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig durch Notfalltests zu überprüfen. Die Ergebnisse der Notfalltests sind den jeweiligen Verantwortlichen mitzuteilen. (2) Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederanlaufpläne umfassen. Die Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Die Wiederanlaufpläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen. Die im Notfall zu verwendenden Kommunikationswege sind festzulegen. Das Notfallkonzept muss den beteiligten Mitarbeitern zur Verfügung stehen. BC: AT 7.3 enthält die Mindestanforderungen der BaFin im Hinblick auf Business Continuity Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 17

18 3.5 Sektorspezifisch: Telekommunikation TKG verpflichtet TK-Anbieter explizit zur Einführung von Business Continuity Management (auch wenn es nicht explizit so genannt wird) TKG 2004: 109 Technische Schutzmaßnahmen, Abs. 3: Wer Telekommunikationsanlagen betreibt, die dem Erbringen von Telekommunikationsdiensten für die Öffentlichkeit dienen, hat [...] ein Sicherheitskonzept zu erstellen, aus dem hervorgeht, [...] 2. von welchen Gefährdungen auszugehen ist und 3. welche technischen Vorkehrungen oder sonstigen Schutzmaßnahmen [...] getroffen oder geplant sind [...] Telekommunikationsnetzwerke als kritische Infrastruktur: Gesetz zur Sicherstellung des Postwesens und der Telekommunikation (PTSG),. 9 Abs. 2: 1.die Anordnung baulicher Maßnahmen zum Schutz von Anlagen oder Einrichtungen sowie zum Schutz solcher Beschäftigter der genannten Unternehmen, die [...] zur Aufrechterhaltung des Betriebes [...] unerläßlich sind, 2.Maßnahmen zum betrieblichen Katastrophenschutz... Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 18

19 3.6 Sektorspezifisch: Energieversorger Sonderfall: Energieversorgungsunternehmen (EVU) Energiewirtschaftsgesetz: Sicherstellung der Versorgung der Bevölkerung mit Strom und Gas 13 Abs. 7 EnWG: Zur Vermeidung schwerwiegender Versorgungsstörungen haben Betreiber von Übertragungsnetzen jährlich eine Schwachstellenanalyse zu erarbeiten und auf dieser Grundlage notwendige Maßnahmen zu treffen. [...] 16 Abs. 5 EnWG enthält ähnliche Regelung für Betreiber von Fernleitungsnetzen 52 EnWG: Pflicht, der Bundesnetzagentur kalenderjährlich Bericht über Versorgungsstörungen zu erstatten sowie Pflicht, die getroffenen Maßnahmen zur Vermeidung künftiger Versorgungsstörungen darzulegen Begriff der Versorgungssicherheit im Energiewirtschaftsgesetz (EnWG) Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 19

20 3.6 Sektorspezifisch: Energieversorger Störfallverordnung (StörV): gilt für alle Betriebe (z.b. Produktionsanlagen, Lager), in denen gefährliche Stoffe oberhalb einer sog. Mengenschwelle vorhanden sind. 3 Abs. 1 StöV: Der Betreiber hat die nach Art und Ausmaß der möglichen Gefahren erforderlichen Vorkehrungen zu treffen, um Störfälle zu verhindern [...] 8 Abs. 1 StöV: Der Betreiber hat vor Inbetriebnahme ein schriftliches Konzept zur Verhinderung von Störfällen auszuarbeiten [...] 10 Abs. 1 StöV: Vor der erstmaligen Inbetriebnahme... hat der Betreiber (1) interne Alarm- und Gefahrenabwehpläne zu erstellen... BC: StöV schützt vor allem die Allgemeinheit vor den von einem Betrieb ausgehenden Gefahren, nicht jedoch den Betrieb selbst! Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 20

21 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 21

22 4. Adressaten von BC-Anforderungen Primär: Unternehmensleitung Vorstand ( 93 Abs. 1), Geschäftsführer ( 43 Abs. 1 GmbhG) wesentliche, nicht delegierbare Aufgabe, auch wenn tatsächliche Umsetzung durch Mitarbeiter oder Dritte erfolgt erfolgt BC: Unternehmensleitung muss sich mit dem Thema BC befassen Kontrolle: Unternehmensaufsicht insbesondere: Aufsichtsrat, der die dem Vorstand obliegende Geschäftsführung zu überwachen hat, 111 Abs. 1 AktG, gilt analog für Aufsichtsrat der GmbH Trend: Gesetzgeber erweitert Rechte und Pflichten (TransPuG, DCGK) BC: Überwachung der Unternehmensleitung in dem Ausmaß, in dem diese zur Gewährleistung von BC verpflichtet ist Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 22

23 4. Adressaten von BC-Anforderungen Unternehmensmitarbeiter BC als Teil arbeitsvertraglicher Pflichten insbesondere leitende Mitarbeiter, z.b. CIO. Zunehmendes Problem: Whistleblowing BC: Stellenbeschreibung/Weisungen des AG und umgekehrt Risiko- und Gefahr-Mitteilungen des AN an AG dokumentieren Aufsichtsbehörden kontrollieren die Einhaltung des öffentlichen Ordnungsrahmens, z.b. BaFin, DSB samt Behördenunterbau, DS-Aufsicht ( 38 BDSG) aufgrund der häufigen Verwendung von unbestimmten Rechtsbegriffen in Generalklauseln können sich andere Aufsichtsbehörden zuständig fühlen z.b. 35 GewO ( Unzuverlässigkeit ) => Gewerbeaufsichtsbehörde BC: Beobachtung (und Beachtung!) der von den Aufsichtsbehörden allgemein ergriffenen Aufsichtsmaßnahmen Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 23

24 4. Adressaten von BC-Anforderungen Externe (IT-)Dienstleister BC-Anforderungen adressieren Dienstleister oft nicht, er muss vertraglich zur Einhaltung verpflichtet werden (anders aber z.b. KWG) Vertragsbestandteile: Einfügen in Notfallplanung des Unternehmens, gemeinsame Übungen Möglichkeit zur Überwachung des Dienstleisters Mitsprache bei Auswahl von Subunternehmern und Verlagerung über Landesgrenzen hinweg (Offshore-Subunternehmer) Einsichtsrecht in die Notfallplanung des Dienstleisters Verpflichtung, Pläne regelmäßig zu aktualisieren Bei Transition: ab wann wird Dienstleister für Notfallplanung verantwortlich? Häufiger Konflikt: wer sorgt für (und bezahlt!) Anpassungen des Notfallplans? Unternehmen ist letztlich der Verpflichtete, Dienstleister hat (insbesondere beim IT- Outsourcing i.d.r. die bessere Sachkunde BC: Unternehmen behält eine nicht delegierbare Letztverantwortung Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 24

25 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 25

26 5. Drohende Sanktionen, Haftungsrisiken Zivilrechtliche Folgen: Haftung der Unternehmensleitung/Unternehmensaufsicht (Schadensersatz) bei Pflichtverletzung, z.b. 93 Abs. 2, 116 Abs. 1 AktG Nachteile für das Unternehmen, auch immaterielle (Imageschaden) aus Organisationsverschulden, auch: Zurechnung eines Mitverschuldens aus Vertrag => Vertretenmüssen der Nichterfüllung umfasst auch Haftung für Erfüllungsgehilfen/Subunternehmer unvorhergesehene Kosten höhere Refinanzierungskosten bei schlechtem Risiko (Basel II) Verzugsschadenshaftung/Vertragsstrafen gegenüber Kunden bei Ausfall der Produktion Arbeitnehmer: fristlose Kündigung kann drohen Strafrechtliche Folgen: StGB eher nicht, aber Straftatbestände z.b. im BDSG, KWG, AktG, HGB aber praktisch wohl selten relevant Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 26

27 5. Drohende Sanktionen, Haftungsrisiken Öffentlich-rechtliche Sanktionen Haftung ( 7 BDSG), Bußgeld ( 43 BDSG) Ordnungswidrigkeit z.b. 130 Abs. 1 OWiG bei Verletzung der Aufsichtspflicht Gewerberechtliche Unzuverlässigkeit ( 35 GewO) z.b. Androhung der Gewerbeuntersagung wegen Unzuverlässigkeit Bankaufsichtliche Maßnahmen, Bußgeld ( 56 KWG) z.b. 6 Abs. 3 KWG: Anordnungsbefugnis der BaFin Ausschluss von öffentlichen Vergabeverfahren Verlust von Versicherungsschutz Obliegenheitsverstoß kann Versicherungsschutzverlust zur Folge haben Verstoß gegen die Pflicht, den Versicherer über alle bekannte Umstände (lies: die bekannt sein müssen), die für den Versicherer von Bedeutung sind, zu informieren. Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 27

28 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 28

29 6.1 Gewährleistung durch das Unternehmen Business Continuity als Teil allgemeiner (IT-)Compliance Gewährleistung von Business Continuity als Teil allgemeiner Compliance- Anforderungen muss dokumentiert und nachgewiesen werden Festlegen, wer konkret für die Ermittlung und Beobachtung der einschlägigen Business Continuity Anforderungen verantwortlich ist BC: Risikobestimmung/Bestandsaufnahme als erste Maßnahme Business Continuity ist ein Zustand, kein Ziel Geschäftsrisiken, Umwelt und IT-Systeme ändern sich ständig Notfallvorsorge als Teil des Arbeitsalltags der Adressaten, Teil der Abläufe im Unternehmen Unternehmen muss intern und in Verträgen für Aktualisierung/Änderungsverfahren sorgen Ausgestaltung angemessen im Hinblick auf den Unternehmensgegenstand sowie die Kritikalität und typisches Betriebsrisiko der (IT-)Systeme BC: Risikovorsorge ist kontinuierlicher Prozess Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 29

30 6.1 Gewährleistung durch das Unternehmen Bedeutung von Standards können bei Umsetzung einzelner Anforderungen hilfreich sein sind häufig unter Beteiligung von Praktikern bzw. der jeweiligen Interessengruppen geschrieben, oft mit Handlungsempfehlungen z.b. BS 7799/DIN 17799, DIN/ISO 27001:2005, PAS 56/BS (2006), (2007) Prüfungsstandards (PS) des Institutes der Wirtschaftsprüfung (IDW) z.b. IDW PS-330: Orientierung an den Standards anhand derer geprüft wird Zertifizierungen sind oft nur stichtagsbezogen, unterschiedliche Schwerpunkte (Prozesse/Kontrollen) erlauben oft keine historische Betrachtung kein Beweis für genügende Risikovorsorge, aber Indikator für das Maß der Pflichterfüllung => Erleichterung des Entlastungsbeweises ( 93 AktG!) Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 30

31 6.1 Gewährleistung durch das Unternehmen Sorgfalt der Unternehmensleitung (nicht nur) bei Übernahmen: Due Diligence-Prüfung des zu übernehmenden Unternehmens auch im Hinblick auf Business Continuity Prüfung insbesondere der Produktions- und IT-Systeme Auch: interne Due Diligence als Vorbereitung auf Übernahme/Verkauf Zweck: Abwehr späterer Gewährleistungsansprüche, Beeinflussung der Preisverhandlungen durch Risikoschwachpunkte umfassende Environmental Due Diligence : Ermittlung und Bewertung lagebezogener Risiken für das Unternehmen: Umwelteinflüsse, öffentliche und private Infrastruktur, lokale Märkte Frage: sind aktuelle und zukünftige [Umwelt] Kostenrisiken des Zielobjektes im aktuellen Business Continuity Plan berücksichtigt? wichtig insbesondere bei ortsgebundenen Produktionsbetrieben und bei cross-border/offshore outsourcing/bpo Projekten Dann: Umsetzung von Maßnahmen zur Risikosteuerung und -minderung Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 31

32 6.2 Gewährleistung durch Dritte Kritisch: Gestaltung des Vertrags mit Dienstleister(n) insbesondere: bei Outsourcing/BPO Ermittlung und Umsetzung der BC-Anforderungen des Unternehmens häufig umstritten, da zwar Aufgabe der Unternehmensleitung, andererseits Wissensvorsprung des Dienstleisters Leistungsbeschreibung/Änderungsverfahren Aber: Was ist neu, was Teil des vertraglich vereinbarten Leistungsumfangs? oft streitig: wer trägt Risiko der Änderung von Rahmenbedingungen? Business continuity bei Force Majeure Situationen Anpassung bestehender Notfallkonzepte bei Einsatz eines Dienstleisters oft streitig: wie mit einer force majeure Situation umgehen? 275 BGB passt oft nicht Nach Vertragsschluss: Management der Beziehung Steuerung, Überwachung, Prüfung des Dienstleisters Abgleich mit eigenen Vorkehrungen, gemeinsame Übungen Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 32

33 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 33

34 7. Fazit und Ausblick Risikovorsorge und Business Continuity sind ständige Pflichtaufgaben der Unternehmensleitung, insbesondere: realistische Einschätzung der aus IT-Systemen erwachsenden Risiken Einführung geeigneter Kontrolle- und Überwachungssysteme Planung und Vorhalten von Vorsorgemaßnahmen... sonst drohen erhebliche juristische und ökonomische Nachteile Unternehmensleitung muss bei BC für enge Zusammenarbeit aller technischen und rechtlichen Einheiten des Unternehmens sorgen: möglichst umfassende Abdeckung des rechtlich Erforderlichen durch das technisch Machbare zu ökonomisch vertretbaren Bedingungen Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 34

35 7. Fazit und Ausblick Zunehmende Bedeutung von IT-(Betriebs-)Sicherheit Immer mehr elektronische Dokumente, Geschäftsprozesse, Werte BC: Unternehmensleitung muss verstärkt IT-Sicherheit kontrollieren Zunehmende Abhängigkeit von eigenen/fremden IT-Systemen Risikovorsorge ist nur so gut wie das schwächste Teilglied/Notfallkonzept BC: Unternehmensleitung muss Risiken ganzheitlich Betrachten Zunehmende Bedeutung von BC Standards Zunehmende Pflichtenanspannung der Unternehmensleistung erfordert Umsetzung von BC-Anforderungen in genormter Qualität BC: Einhaltung von Standards kann Indiz für pflichtgemäßes Verhalten sein, beweist es aber nicht Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 35

GÖRG Wir beraten Unternehmer.

GÖRG Wir beraten Unternehmer. GÖRG Partnerschaft von Rechtsanwälten München Berlin Essen Frankfurt/M. Köln München GÖRG Wir beraten Unternehmer. Unternehmerfrühstück 18. Februar 2009 C o m p l i a n c e IT - Compliance Rechtliche Aspekte

Mehr

IT-Compliance im Unternehmen

IT-Compliance im Unternehmen IT-Compliance im Unternehmen RA Dr. Lars Lensdorf RA Udo Steger Heymann & Partner Rechtsanwälte Vortrag am 15.09.2006 Herbstakademie 2006 Übersicht 1. Zum Begriff IT-Compliance 2. Rechtliche Grundlagen

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk

Mehr

Ausgewählte Rechtsfragen der IT-Security

Ausgewählte Rechtsfragen der IT-Security Ausgewählte Rechtsfragen der IT-Security Steht man als Verantwortlicher für IT-Security bereits mit einem Bein im Gefängnis? Dr. Markus Junker, Rechtsanwalt markus.junker@de.pwc.com HEUSSEN Rechtsanwaltsgesellschaft

Mehr

Cloud-Computing - rechtliche Aspekte. Forum 7-it. RA Rainer Friedl

Cloud-Computing - rechtliche Aspekte. Forum 7-it. RA Rainer Friedl Cloud-Computing - rechtliche Aspekte Forum 7-it RA Rainer Friedl München, 16. November 2015 Verpflichtung zur IT-Compliance: Haftung des Vorstands/Geschäftsführer für IT-Risiken» Vorstandspflicht bei AGs

Mehr

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Rechtsgrundlagen der IT-Sicherheit Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Einführungsbeispiel OLG Hamm MMR 2004, 487 Problem: Existiert ein Regelwerk, dessen Beachtung die zivil-

Mehr

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. NetworkedAssets GmbH Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. Dezember 2006 Rechtliche Aspekte Administration Gliederung Praktische

Mehr

IT-Sicherheit. ein Thema für das Management? Herzlich Willkommen. IT-Security für das Management. Vortrag vom 17.06.2004 netformat GmbH

IT-Sicherheit. ein Thema für das Management? Herzlich Willkommen. IT-Security für das Management. Vortrag vom 17.06.2004 netformat GmbH IT-Sicherheit ein Thema für das Management? Herzlich Willkommen Zirngibl Langwieser Inhaltsübersicht 1. Pflichten des Managements in Bezug auf die IT-Sicherheit 2. Instrumente der Pflichterfüllung und

Mehr

- Konsequenzen für ecommerce- und epayment-unternehmen

- Konsequenzen für ecommerce- und epayment-unternehmen Cybercrime Das neue IT-Sicherheitsgesetz und Hackerangriffe - Konsequenzen für ecommerce- und epayment-unternehmen Dr. Viola Bensinger Dr. Viola Bensinger G R E E N B E R G T R A U R I G G E R M A N Y,

Mehr

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Informationsveranstaltung IT-Aufsicht bei Banken Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Axel Leckner - Informationsveranstaltung IT-Aufsicht bei 1 Banken

Mehr

Vertragliche Regelungen

Vertragliche Regelungen Vertragliche Regelungen BCM als Bestandteil von IT-Outsourcing Verträgen Udo Steger Heymann & Partner Rechtsanwälte 2. Deutschsprachiger BCI Kongress 2007 Frankfurt am Main, 19. September 2007 Übersicht

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Michael Grünschloß - Geschäftsführer der Teraport GmbH -

Michael Grünschloß - Geschäftsführer der Teraport GmbH - IT-Betriebsverantwortung durch externe Spezialisten Wie Managed Services dem Mittelstand helfen, die eigenen Strategien umzusetzen Michael Grünschloß - Geschäftsführer der Teraport GmbH - Regulatorische

Mehr

Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten

Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten Die Email-Falle RA Thomas Brehm Hamburg Aus der Vortragsreihe der Systemhaus for you GmbH Heidenkampsweg 66 20097 Hamburg Bei

Mehr

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen Dr. Christian Thiel Institut für Informations- und Prozessmanagement FHS ST. Gallen Und was meinst Du mit IT Sicherheit? Was ist IT-Sicherheit aus rechtlicher Sicht? Definition in 2 Abs. 2 BSI-Gesetz:

Mehr

IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN

IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN Stephan Schmidt Rechtsanwalt und Fachanwalt für IT-Recht IHK Hanau-Gelnhausen-Schlüchtern 12. November 2014 Agenda I. Begriffe II. Anwendbare

Mehr

IT-Aufsicht im Bankensektor

IT-Aufsicht im Bankensektor IT-Aufsicht im Bankensektor - Grundlagen - Informationsveranstaltung: IT-Aufsicht bei Banken 29. Oktober 2013 Dr. Josef Kokert BA 58 Informationsveranstaltung: IT-Aufsicht bei Banken 29.10.2013 Seite 1

Mehr

Notfallmanagement nach BS25999 oder BSI-Standard 100-4

Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und Datenschutz als

Mehr

M&A im Streit. Compliance-Management-Systeme und Haftungsvermeidung. bei Pöllath & Partner am 08. November 2012 in München

M&A im Streit. Compliance-Management-Systeme und Haftungsvermeidung. bei Pöllath & Partner am 08. November 2012 in München M&A im Streit bei Pöllath & Partner am 08. November 2012 in München Compliance Management Mittelstand GmbH www.cmm-compliance.com Seite 1 Woraus ergibt sich Notwendigkeit des Handelns? Es gibt (noch) keine

Mehr

GZ: BA 17-K3106-2006/0001 Modernisierung der Outsourcing-Regelungen und Integration in die MaRisk

GZ: BA 17-K3106-2006/0001 Modernisierung der Outsourcing-Regelungen und Integration in die MaRisk E-Mail Outsourcing@bafin.de B30_MaRisk@bundesbank.de Bundesanstalt für Finanzdienstleistungsaufsicht Herrn Helmut Bauer Erster Direktor Bankenaufsicht Graurheindorfer Str. 108 53117 Bonn Bundesverband

Mehr

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke Vorstellung - Ihr Referent Prof. Dr. Thomas Jäschke Professor für Wirtschaftsinformatik an der FOM Hochschule für Oekonomie & Management

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

eco AK Sicherheit Rechtliche Stellung des CISO - Handlungsrahmen und pflichten - Köln, 3. September 2008

eco AK Sicherheit Rechtliche Stellung des CISO - Handlungsrahmen und pflichten - Köln, 3. September 2008 eco AK Sicherheit Rechtliche Stellung des CISO - Handlungsrahmen und pflichten - Köln, 3. September 2008 Jens Eckhardt JUCONOMY Rechtsanwälte Düsseldorf 1 CISO Eine Positionsbestimmung 2 Aufgaben, Pflichten

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

Rechtliche Anforderungen an Compliance im Mittelstand

Rechtliche Anforderungen an Compliance im Mittelstand Rechtliche Anforderungen an Compliance im Mittelstand Prof. Dr. Jürgen Taeger Carl von Ossietzky Universität Oldenburg Compliance im Mittelstand Treuhand Oldenburg 1.12.2011 Insolvenz trotz voller Auftragsbücher

Mehr

Rechtliche Aspekte der IT-Security.

Rechtliche Aspekte der IT-Security. Rechtliche Aspekte der IT-Security. Gesellschaft für Informatik, 27.05.2005 IT Security und Recht. IT-Security hat unterschiedliche juristische Aspekte: Strafrecht: Hacking, Computerbetrug, DoS, etc. Allg.

Mehr

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung KUMAtronik Systemhaus GmbH Vortrag zur symantec-veranstaltung am 24.04.2007 (it.sec) Inhalt: 1. Rechtliche Anforderungen an E-Mails 2. Compliance-Anforderungen

Mehr

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit smartoptimo GmbH & Co. KG Luisenstraße 20 49074 Osnabrück Telefon 0541.600680-0 Telefax 0541.60680-12 info@smartoptimo.de

Mehr

Rechtswissen für IT-Manager, Berater und Verantwortliche

Rechtswissen für IT-Manager, Berater und Verantwortliche Rechtswissen für IT-Manager, Berater und Verantwortliche Business Judgement Rule Compliance IT-Compliance IT-Governance Walther Schmidt-Lademann Rechtsanwalt München 26. Januar 2012 Rechtswissen für Entscheider,

Mehr

Der gläserne Unternehmer im Fokus des Staates

Der gläserne Unternehmer im Fokus des Staates IT_kom am 18. September 2008 in Mainz Sven Liebeck, dubois it-consulting gmbh Produktion Vertrieb IT- / TK- Systeme Einkauf Verwaltung Informationssicherheit Informationssicherheit gehört zu den wichtigsten

Mehr

Identity Management und Gesetz: Spannungsfeld Compliance <-> Datenschutz

Identity Management und Gesetz: Spannungsfeld Compliance <-> Datenschutz Mittelstandsdialog Informationssicherheit 6. Mai 2010 Identity Management und Gesetz: Spannungsfeld Compliance Datenschutz RA Dr. Michael Karger Wendler Tremml Rechtsanwälte, München NIFIS e.v. Nationale

Mehr

Die Bedeutung des IT- Sicherheitsgesetzes für den Straßenverkehr

Die Bedeutung des IT- Sicherheitsgesetzes für den Straßenverkehr Die Bedeutung des IT- Sicherheitsgesetzes für den Straßenverkehr Prof. Dr., LL.M. Fachgebiet Öffentliches Recht, IT-Recht und Umweltrecht 3. Würzburger Tagung zum Technikrecht: Auf dem Weg zum autonomen

Mehr

Überblick über existierende Vorschriften, Gesetze und Normen

Überblick über existierende Vorschriften, Gesetze und Normen 5 Überblick über existierende Vorschriften, Gesetze und Normen Als Reaktion auf die ansteigende Anzahl der bekannt werdenden Fälle skandalöser Betriebsführungen, hat der Gesetzgeber eine Fülle von neuen

Mehr

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Kammer-Workshop 2014 (IT-) Notfallmanagement gemäß BSI-Standard 100-4 Vorschlag: Screenshot-Folie (auch unter den Masterfolien angelegt) Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Agenda

Mehr

Florian König M.L.E.

Florian König M.L.E. Risiko- und Haftungsmanagement für r kleine und mittelständische Unternehmen PROTOTYP Museum 04.03.2009 Hafencity Hamburg - ein kurzer Überblick - Florian König M.L.E. Rechtsanwalt *magister legum europae

Mehr

Legal Risk als Folge fehlender Compliance

Legal Risk als Folge fehlender Compliance Legal Risk als Folge fehlender Compliance Konzernrechtstag Luther, Düsseldorf, 29.04.2015 Ludger Hanenberg BaFin, Bonn. Gliederung 1. Hintergründe 2. Compliance-Funktion als Risikomangement- Instrument

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

Rechtliche Barrieren für ehealth und wie sie überwunden werden können!

Rechtliche Barrieren für ehealth und wie sie überwunden werden können! Rechtliche Barrieren für ehealth und wie sie überwunden werden können! Session 4: IT-Compliance im Gesundheitssektor IT-Sicherheitsgesetz, Patientenrechte und Schweigepflicht 6. Mai 2014 Seite 2 1 2 3

Mehr

Erschwerte Bedingungen für Outsourcing durch Captives

Erschwerte Bedingungen für Outsourcing durch Captives Dr. Friedrich Isenbart Versicherungspraxis, Dezember 2015 Solvency II Erschwerte Bedingungen für Outsourcing durch Captives 1. EINLEITUNG Am 1. Januar 2016 treten nach langer Vorbereitungsphase die Neuregelungen

Mehr

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015 ITK Sicherheitsgesetz Umsetzung mit verinice.pro verinice.xp- Grundschutztag 15.09.2015 Überblick Kurze Vorstellung des IT-Sicherheitsgesetzes Konkretisierung des Gesetzes für Energieversorger Abbildung

Mehr

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Diese Checkliste erhebt keinen Anspruch auf Vollständigkeit. Trotz der sorgfältigen Erarbeitung der Checkliste, kann eine Garantie nicht übernommen

Mehr

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit

Mehr

Datenschutzbeauftragte

Datenschutzbeauftragte MEIBERS RECHTSANWÄLTE Externe Datenschutzbeauftragte für Ihr Unternehmen Stand: Juli 2014 Datenschutz im Unternehmen ist mehr als eine Forderung des Gesetzgebers Der Schutz personenbezogener Daten ist

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung Channel-Sales Kongress Cloud Computing, München 9. Mai 2012 Rechtsanwalt Dr. Sebastian Kraska Externer Datenschutzbeauftragter

Mehr

Rechtliche Herausforderungen für IT-Security-Verantwortliche

Rechtliche Herausforderungen für IT-Security-Verantwortliche Rechtliche Herausforderungen für IT-Security-Verantwortliche lic. iur. David Rosenthal ETH Life 2 Handelsblatt 3 SDA 4 5 20 Minuten/Keystone Die Folgen - Image- und Vertrauensschaden - Umsatzausfälle -

Mehr

Risikogrundsätze Version 2, Stand 10/2011

Risikogrundsätze Version 2, Stand 10/2011 Version 2, Stand 10/2011 1. RISIKOGRUNDSÄTZE 1.1 Verantwortung des Vorstandes Der Vorstand der Schoellerbank Invest AG ist für die ordnungsgemäße Geschäftsorganisation und deren Weiterentwicklung verantwortlich.

Mehr

Was Sie vom Provider (auch) verlangen sollten

Was Sie vom Provider (auch) verlangen sollten 25.1.2005 Rechtliche Vorgaben beim Outsourcing von Bank-IT: Was Sie vom Provider (auch) verlangen sollten David Rosenthal Die «üblichen» Vorgaben - Übergang von Arbeitsverhältnissen bei Betriebsübergang

Mehr

Die Haftung des Geschäftsführers für Organisationsmängel

Die Haftung des Geschäftsführers für Organisationsmängel Die Haftung des Geschäftsführers für Organisationsmängel Organisationspflichten, Wissenszurechnung und Haftung des Unternehmens IHK zu Münster 22.9.2015 RA Andreas Göbel Fachanwalt für Informationstechnologierecht

Mehr

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Auftraggeber: Auftragnehmer: 1. Gegenstand der Vereinbarung Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

Das IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz Das IT-Sicherheitsgesetz RA Dr. Jan K. Köcher Syndikus DFN-CERT Services GmbH koecher@dfn-cert.de Hintergrund/Ziele IT-Sicherheitsgesetz vom 17.7.2015 Änderungen: BSIG, TKG, TMG, AtomG... Ziele: Erhöhung

Mehr

IT-Sicherheitsgesetz:

IT-Sicherheitsgesetz: IT-Sicherheitsgesetz: Neue Herausforderungen für Unternehmen und Behörden Rechtsanwalt Thomas Feil Fachanwalt für IT-Recht und Arbeitsrecht Datenschutzbeauftragter TÜV Thomas Feil 09/2015 1 Thomas Feil

Mehr

Datenschutz. Vortrag am 27.11.2012. GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße 285 49080 Osnabrück

Datenschutz. Vortrag am 27.11.2012. GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße 285 49080 Osnabrück Datenschutz bei mobilen Endgeräten Vortrag am 27.11.2012 Sutthauser Straße 285 49080 Osnabrück GmbH Datenschutz und IT - Sicherheit Telefon: 0541 600 79 296 Fax: 0541 600 79 297 E-Mail: Internet: datenschutz@saphirit.de

Mehr

best OpenSystems Day Herbst 2005

best OpenSystems Day Herbst 2005 best OpenSystems Day Herbst 2005 Rechtsanwalt Dr. Michael Karger, München Unternehmerisches Handeln unter Sicherheitsanforderungen in der IT (KonTraG, SOX & Basel II) 2 Agenda: 1. Überblick: Rechtliche

Mehr

Die Zukunft der IT-Sicherheit

Die Zukunft der IT-Sicherheit Die Zukunft der IT-Sicherheit Was wir aus dem IT-SiG und Co. so alles für die Zukunft lernen können! 20.03.2015 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager FORUM Gesellschaft für Informationssicherheit mbh ForumBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? ForumBankSafe-IT einführen ForumBankSafe-IT bietet ein

Mehr

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat.

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat. Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat. (Aus den»fliegenden Blättern«, humoristisch-satirische Zeitschrift, die von 1844-1944 in München erschien) 1 8.2.1.Der

Mehr

Korruption im Unternehmen Gesetzliche Verpflichtung zur Einrichtung eines Präventivsystems

Korruption im Unternehmen Gesetzliche Verpflichtung zur Einrichtung eines Präventivsystems Dr. Stefan Schlawien Rechtsanwalt stefan.schlawien@snp-online.de Korruption im Unternehmen Gesetzliche Verpflichtung zur Einrichtung eines Präventivsystems Das Thema der Korruption betrifft nicht nur!großunternehmen"

Mehr

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit 24x7 Kurzprofil Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit der tekit Consult Bonn GmbH TÜV Saarland Gruppe

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)

Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) Dr. Reinhold Scheffel und Martin Lang Öffentlich bestellte und vereidigte Sachverständige 1. Vorstellung des neuen

Mehr

Das Rechtliche beim Risikomanagement

Das Rechtliche beim Risikomanagement Das Rechtliche beim Risikomanagement 10.12.2014 Gerald Spyra, LL.M. Kanzlei Spyra Definition und Relevanz von Risiko Risiko wird allgemein definiert als Produkt aus der Eintrittswahrscheinlichkeit eines

Mehr

Data Loss Prevention. Rechtliche Herausforderungen beim Kampf gegen Datenabfluss

Data Loss Prevention. Rechtliche Herausforderungen beim Kampf gegen Datenabfluss Data Loss Prevention Rechtliche Herausforderungen beim Kampf gegen Datenabfluss Dr. Lukas Feiler, SSCP Baker & McKenzie Diwok Hermann Petsche Rechtsanwälte TOPICS 1. Gesetzliche Pflichten zur Implementierung

Mehr

Externer Datenschutz. ... Chancen durch. Outsourcing PRISAFE DATENSCHUTZ

Externer Datenschutz. ... Chancen durch. Outsourcing PRISAFE DATENSCHUTZ Externer Datenschutz... Chancen durch Outsourcing PRISAFE DATENSCHUTZ Inhaltsverzeichnis Der Datenschutzbeauftragte Für welche Variante entscheiden? Der externe Datenschutzbeauftragte Kosten für Datenschutz

Mehr

Die Haftung des Datenschutzbeauftragten unter Berücksichtigung des Entwurfs der EU-DSGVO

Die Haftung des Datenschutzbeauftragten unter Berücksichtigung des Entwurfs der EU-DSGVO Die Haftung des Datenschutzbeauftragten unter Berücksichtigung des Entwurfs der EU-DSGVO Ihr Referent Rechtsanwalt, Fachanwalt für IT-Recht Software-Systemingenieur Wesentliche Schwerpunkte in der Beratungspraxis

Mehr

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Wann ist das Bundesdatenschutzgesetz anwendbar? Das Bundesdatenschutzgesetz (BDSG) gilt gemäß 1 Abs. 2 Nr. 3 BDSG für alle nicht öffentlichen

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

ACE Risikoforum Wie manage ich Cyberrisiken? RAin Dr. Gunbritt Kammerer-Galahn, Partnerin Taylor Wessing

ACE Risikoforum Wie manage ich Cyberrisiken? RAin Dr. Gunbritt Kammerer-Galahn, Partnerin Taylor Wessing ACE Risikoforum Wie manage ich Cyberrisiken? RAin Dr. Gunbritt Kammerer-Galahn, Partnerin Taylor Wessing Frankfurt am Main, 19. März 2015 01 > Risikoanalyse eines Industrieunternehmens Wer ist Risikoquelle?

Mehr

Das Rechtliche beim Risikomanagement

Das Rechtliche beim Risikomanagement Das Rechtliche beim Risikomanagement 29.04.2015 Gerald Spyra, LL.M. Kanzlei Spyra Definition und Relevanz von Risiko Risiko wird allgemein definiert als Produkt aus der Eintrittswahrscheinlichkeit eines

Mehr

Compliance. Persönliche Haftung von Unternehmern, Geschäftsführern und Führungskräften? Dr. Stefan Kursawe, Heisse Kursawe Eversheds 11.05.

Compliance. Persönliche Haftung von Unternehmern, Geschäftsführern und Führungskräften? Dr. Stefan Kursawe, Heisse Kursawe Eversheds 11.05. Compliance Persönliche Haftung von Unternehmern, Geschäftsführern und Führungskräften? Dr. Stefan Kursawe, Heisse Kursawe Eversheds 11.05.2015 Übersicht Compliance und Arbeitsrecht Arbeitsrechtliche Compliance

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

Datenschutz Datenschutzberatung und externer DSB

Datenschutz Datenschutzberatung und externer DSB beratung und externer DSB Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Unser Konzept Informationssicherheit und als Managementaufgabe Die ganzheitliche Betrachtung der

Mehr

Verordnung über die Banken und Sparkassen

Verordnung über die Banken und Sparkassen Verordnung über die Banken und Sparkassen (Bankenverordnung, BankV) Entwurf Änderung vom Der Schweizerische Bundesrat verordnet: I Die Bankenverordnung vom 17. Mai 1972 1 wird wie folgt geändert: Gliederungstitel

Mehr

zu teamwork mit Haken und Ösen.

zu teamwork mit Haken und Ösen. vom Spagat der Verantwortlichkeit zur Rechtspflicht zu teamwork mit Haken und Ösen. Seminaris Medizinrecht seminaris.medizinrecht@t-online.de Hans-Werner Röhlig 46047 Oberhausen, Seilerstraße 106 Tel.:

Mehr

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun?

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun? Dipl.-Wirtsch.-Ing. Frank Hallfell Dipl.-Ing.(FH) Günther Orth enbiz gmbh, Kaiserslautern Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun? IT-Tag Saarbrücken, 16.10.2015

Mehr

Überblick Datenschutzbeauftragter für den Chaos Computer Club Frankfurt e.v.

Überblick Datenschutzbeauftragter für den Chaos Computer Club Frankfurt e.v. Überblick Datenschutzbeauftragter für den Chaos Computer Club Frankfurt e.v. binsec - binary security UG 13. Juni 2015 Agenda Werbung :-) Einführung Aufgaben eines DSB Kompetenzen und Rechte eines DSB

Mehr

IT Management 2014. Rechtliche Aspekte des IT Managements am Beispiel des Umgangs mit E-Mail Systemen

IT Management 2014. Rechtliche Aspekte des IT Managements am Beispiel des Umgangs mit E-Mail Systemen IT Management 2014 Rechtliche Aspekte des IT Managements am Beispiel des Umgangs mit E-Mail Systemen Rechtsanwalt Hans Sebastian Helmschrott, LL.M Eur. Rechtsanwältin Patricia Lotz Rechtsquellen des IT-Managements:

Mehr

Sicherheitsnachweise für elektronische Patientenakten

Sicherheitsnachweise für elektronische Patientenakten Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele

Mehr

«Zertifizierter» Datenschutz

«Zertifizierter» Datenschutz «Zertifizierter» Datenschutz Dr.iur. Bruno Baeriswyl Datenschutzbeauftragter des Kantons Zürich CH - 8090 Zürich Tel.: +41 43 259 39 99 datenschutz@dsb.zh.ch Fax: +41 43 259 51 38 www.datenschutz.ch 6.

Mehr

Corporate Compliance als zwingende

Corporate Compliance als zwingende Corporate Compliance als zwingende Geschäftsführungsaufgabe Dr. Jörg Viebranz GmbH Geschäftsführer Tag, Bonn 20. Mai 2014 www.comformis.de 20.05.2014 Gefahren von Non Compliance Mld Meldungen in den Medien

Mehr

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014 Recht in der Cloud Die rechtlichen Aspekte von Cloud Computing Nicole Beranek Zanon Lic. iur., EMBA HSG 2 Agenda 1 2 3 4 5 6 Ausgangslage: Cloud oder eigener Betrieb?Cloud Ecosystem Verantwortlichkeit

Mehr

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014 Recht in der Cloud Die rechtlichen Aspekte von Cloud Computing Nicole Beranek Zanon Lic. iur., EMBA HSG 2 Agenda 1 2 3 4 5 6 Ausgangslage: Cloud oder eigener Betrieb?Cloud Ecosystem Verantwortlichkeit

Mehr

Haftungsfalle Rechenzentrum?

Haftungsfalle Rechenzentrum? Haftungsfalle Rechenzentrum? IT-Sicherheit zwischen Rechtssetzung und Rechtsanwendung Z K I - F r ü h j a h r s t a g u n g 8. M ä r z 2 0 1 6 Das Institut für Rechtsinformatik Aktuelle Veröffentlichung:

Mehr

IT - Compliance Alter Wein in neuen Schläuchen?

IT - Compliance Alter Wein in neuen Schläuchen? IT Compliance Alter Wein in neuen Schläuchen? Dr. Lars Lensdorf Heymann & Partner Rechtsanwälte DGRI Fachausschuss Vertragsrecht Frankfurt 8. Mai 2009 Übersicht 1. Begriff und rechtliche Grundlagen der

Mehr

IT Sicherheit Haftungsrisiko der Geschäftsführung. Rechtsanwalt Dr. Klostermann

IT Sicherheit Haftungsrisiko der Geschäftsführung. Rechtsanwalt Dr. Klostermann IT Sicherheit Haftungsrisiko der Geschäftsführung Warum Sicherheit? Aufwendungen für IT Schäden gehen unmittelbar in die betriebliche Erfolgsrechnung ein. Der Einzelunternehmer oder die Personengesellschaft

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

COMMISSION DE SURVEILLANCE

COMMISSION DE SURVEILLANCE COMMISSION DE SURVEILLANCE DU SECTEUR FINANCIER Nicht amtliche Übersetzung des französischen Originaltextes Verordnung 12-01 der CSSF zur Festlegung der Anwendungsmodalitäten des Artikels 42bis des Gesetzes

Mehr

Prüfung und Zertifi zierung von Compliance-Systemen. Risiken erfolgreich managen Haftung vermeiden

Prüfung und Zertifi zierung von Compliance-Systemen. Risiken erfolgreich managen Haftung vermeiden Prüfung und Zertifi zierung von Compliance-Systemen Risiken erfolgreich managen Haftung vermeiden Compliance-Risiken managen Die Sicherstellung von Compliance, also die Einhaltung von Regeln (Gesetze,

Mehr

Sicherstellung des Datenschutzes beim externen Archivierungsdienstleister

Sicherstellung des Datenschutzes beim externen Archivierungsdienstleister GMDS Heidelberger Archivtage 28.Treffen 04./05.12.2008 Sicherstellung des Datenschutzes beim externen Archivierungsdienstleister Zum Nachlesen überarbeiteter Vortrag Marco Biewald VERDATA DATENSCHUTZ GmbH

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Sitz der Gesellschaft Bonn/Handelsregister Amtsgericht Bonn HRB 18119 /Geschäftsführer Thomas Michel FBCS

Sitz der Gesellschaft Bonn/Handelsregister Amtsgericht Bonn HRB 18119 /Geschäftsführer Thomas Michel FBCS Compliance Cert-IT GmbH Am Bonner Bogen 6 53227 Bonn fon: +49(0)228 688 228 0 fax: +49(0)228 688 228 29 Sitz der Gesellschaft Bonn/Handelsregister Amtsgericht Bonn HRB 18119 /Geschäftsführer Thomas Michel

Mehr