Rechtliche Grundlagen und Pflichten

Größe: px
Ab Seite anzeigen:

Download "Rechtliche Grundlagen und Pflichten"

Transkript

1 Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management RA Udo Steger Heymann & Partner Rechtsanwälte BCI Kongress 2006, Hamburg

2 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 2

3 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 3

4 1. Business Continuity als Begriff im Recht Business Continuity (BC) im Staat Klassisch: Betriebliches Kontinuitätsmanagement (BKM) = Maßnahmen zur Aufrechterhaltung der betrieblichen Kontinuität in örtlichen Notsituationen, typischerweise Naturkatastrophen, Krieg, etc. BC im engeren Sinne: Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden (BSI/KRITIS, 2005) Aber: die globalisierte, postindustrielle Wirtschaft (und Gesellschaft) ist auch anfällig gegenüber außerörtlichen Ereignissen (z.b. Lieferketten, Internet, etc.) Aufgabe des Staates ändert sich, private Maßnahmen erforderlich, wo Staat nicht vorsorgt BC: Heute ist ein erweitertes Verständnis von BC im Sinn umfassender Risikovorsorge und Risikominimierung erforderlich Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 4

5 1. Business Continuity als Begriff im Recht BC-Aspekte in vorhandenen Gesetzen und Normen? Studie: Schutz kritischer Infrastrukturen (KRITIS) als Aufgabe des Staates Holznagel/Koenig, Gutachten zur rechtlichen Analyse des Regelungsumfangs zur IT-Sicherheit in kritischen Infrastrukturen. Bestandsaufnahme und Gutachten im Auftrag des BSI von 2002, überarbeitet 2005 Über 650 Gesetze/Verordnungen bzgl. Schutz kritischer Infrastrukturen ausgewertet Ergebnisse Studie: kein BKM-Gesetz /allgem. Legaldefinition von BC vorhanden unüberschaubare Vielzahl von Regelungen mit Bezug zu KRITIS, unterschiedliche Rechtsqualität der Regelungen viele sektorspezifische Regelungen, z.b. Pflicht zur Notfallvorsorge (MaRisk, TKG), manche Regelungen gelten nur für den Verteidigungsfall, aber kaum BC-Querschnittsnormen, Ausnahme: Pflicht zum Risikomanagement (AktG) Folge: Gesetzgeber ist sensibilisiert, BSI befasst sich mit KRITIS BC: Es ist zu erwarten, dass immer mehr staatliche Vorgaben BC- Aspekte berücksichtigen werden Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 5

6 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 6

7 2. Rechtliche Grundlagen Gesetzliche Anforderungen Gesetze, Verordnungen = abstrakt-generelle Anforderungen wirken oft indirekt, indem sie Anforderungen an allgemeine Sorgfaltspflichten aufstellen (z.b. Unternehmensleitung: 91 Abs. 2 AktG, 43 GmbHG) enthalten aber nur selten Anweisungen zur konkreten Umsetzung keine/kaum Rechtsprechung zu BC (vereinzelt zum Teilaspekt IT-Sicherheit) Verwaltungsvorschriften, Verwaltungshandeln interne Organisation der Verwaltung, grundsätzlich keine Außenwirkung Gesetzliche und vertragliche Obliegenheiten nicht selbständig einklagbar, sondern bloße Verhaltensnormen, die bei Nichtbeachtung zum Rechtsverlust führen können. insbesondere im Versicherungsvertragsrecht / VVG Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 7

8 2. Rechtliche Grundlagen Richtlinien und Standards haben keinen Rechtscharakter, i.d.r. nicht unmittelbar durchsetzbar. es gibt wenig technische Gesetzgebung in dem Sinne, dass BC-Verfahren, -Standards und -Einrichtungen konkret vorgeschrieben sind liefern Hinweise für die praktische Umsetzung von BC-Anforderungen Interpretationshilfe zur Auslegung von abstrakten gesetzlichen Vorgaben, Indiz für Anwendung angemessener Sorgfalt/angemessene Maßnahmen z.b. Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters ( 93 Abs. 1 AktG), oder die Sorgfalt eines ordentlichen Geschäftsmannes ( 43 Abs. 1 GmbHG) Sonderfall: öffentliche Vergabeverfahren Richtlinien, Standards und entsprechende Zertifizierungen werden immer öfter als Wertungskriterien und Vertragsbestandteile verwendet entfalten damit (zumindest für die Bieter) faktisch eine Bindungswirkung 7 Nr. 4 VOL/A: Nachweis der Fachkunde, Leistungsfähigkeit und Zuverlässigkeit Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 8

9 2. Rechtliche Grundlagen Sonderfall: Aufsicht im Banken- und Finanzdienstleistungssektor durch Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) KWG und WpHG enthalten Generalklauseln, die mittelbar auch BC-spezifische Organisationspflichten für die erfassten Institute begründen BaFin konkretisiert diese in Form behördlicher Rundschreiben, Verlautbarungen bzw. Richtlinien diese beschreiben die Anforderungen der BaFin an BC-Maßnahmen, z.b. in den Rs. 11/2001 (Auslagerung) und Rs. 18/2005 (MaRisk) grundsätzlich keine Außenwirkung, da i.d.r. nicht in Form eines VA oder Allgemeinverfügung usw. ergehend KWG räumt BaFin aber weitgehende Befugnisse ein (z.b. 6, 34, 36 KWG) BaFin misst und prüft Institute an diesen Anforderungen, auch inhaltliche Prüfung der Auslagerungsverträge (Anzeigepflicht, 20 AnzVO) Daher: Faktischer Zwang zur Umsetzung Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 9

10 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 10

11 3.1 Datenschutz und Datensicherheit BDSG Querschnittsgesetz, daneben sektorspezifische Datenschutznormen 9 BDSG i.v.m. der zugehörigen Anlage enthält allgemeine, technischorganisatorische Anforderungen zum Schutz von personenbezogenen Daten wichtige gesetzgeberische Vorgabe für die Bestimmung einer angemessenen Einrichtung von IT-Systemen, soll damit (auch) BC im weiteren Sinne gewährleisten Konzepte sind insbesondere im Hinblick auf Datensicherheit auch allgemein gültig ( good practice ), z.b. Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags- und Verfügbarkeitskontrolle Regelung zu BC im engeren Sinne in Nr. 7 der Anlage zu 9 BDSG: zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle)... BC: Anforderungen der Anlage zu 9 BDSG müssen konkret umgesetzt werden, z.b. durch Datensicherheitskonzept Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 11

12 3.2 Unternehmensorganisation Allgemeine Sorgfaltspflicht der Unternehmensleitung 91 Abs. 2 AktG: ist nach allg. Ansicht jedenfalls sinngemäß auf die GmbH anwendbar und über Ausstrahlungswirkung auch auf andere Gesellschaftsformen Zweck: Risikomanagement allgemeiner betrieblicher Risiken anordnen Pflicht zur Schaffung eines internen Überwachungs- und Frühwarnsystems Identifizierung Unternehmenskritischer Systeme, z.b. in Produktion, Verwaltung, Buchführung. Auch (aber nicht nur!) IT-spezifische Risiken typischerweise: Produktionsanlagen, Energieversorgung, F&A-Systeme, ERP, Logistik BC: Geschäftsleitung muss über alle für das Unternehmen relevanten Risiken umfassend und rechtzeitig informiert sein Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 12

13 3.2 Unternehmensorganisation Allgemeine Sorgfaltspflicht der Unternehmensleitung 93 Abs. 1 AktG: Pflicht zur Schaffung einer Datenbasis als Entscheidungsgrundlage Wurden Risiken erkannt ( 91 Abs. 2), muss die Unternehmensleitung entsprechende Maßnahmen zu ergreifen um Pflichtverletzung zu vermeiden, z.b. Verfahren einzurichten und Zuständigkeiten zu bestimmen. Basel II Rating : zentrales Entscheidungskriterium, ob ein Unternehmen und, wenn ja, zu welchen Konditionen Kredite bekommt Ermittlung der im Unternehmen vorhandenen Risiken unter dem Gesichtspunkt des sich daraus ergebenden Schuldnerausfallrisikos Sicherheit der unternehmensbezogenen Daten ist zu gewährleisten. Wurde ausreichende Notfallvorsorge getroffen? Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 13

14 3.3 Buchhaltung, Rechnungslegung, Prüfung HGB, GoB, GoBS, GDPdU: BC im weiteren Sinne immer mehr Informationen und Dokumente entstehen nur noch in digitaler Form und sind nicht mehr für eine Präsentation in Papierform ausgelegt Aber: elektronisch gespeicherte Daten sind i.d.r. sehr flüchtig Grundsatz: elektronisch durchgeführte Buchführung muss Gegenstand der Buch- und Steuerprüfung sein können = verbindlich, verfügbar (innerhalb angemessener Frist lesbar). Gesetzliche Anforderungen konkretisiert in: GoB: Grundsätze ordnungsgemäßer Buchführung (GoB) Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS): Regeln zur Buchführung mittels Datenverarbeitungssystemen Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU): Finanzamt muss auf elektronischem Weg Einsicht in die EDV-Buchführung nehmen können Zukünftig: International Financial Reporting Standards (IFRS) BC: Unternehmen muss geeignete Vorkehrungen treffen, dass die vom FA geforderten Daten verfügbar sind (BC im weiteren Sinne) Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 14

15 3.4 Sektorspezifisch: Banken und Finanzdienstleister Outsourcing-Rundschreiben der BaFin (RS 11/2001 v ) TZ 40: Das auslagernde Institut muss eine ordnungsgemäße Fortführung der Geschäfte im Notfall jederzeit gewährleisten. Die festzulegenden Sicherheitsmaßnahmen müssen insbesondere Regelungen enthalten, welche die Weiterführung des ausgelagerten Bereichs sicherstellen, falls das Auslagerungsunternehmen verhindert ist, seine Leistung zu erbringen. Dem Umstand, dass andere Auslagerungsunternehmen als Ersatz nicht zur Verfügung stehen, ist durch geeignete Vorkehrungen Rechnung zu tragen. Anforderungen an den Auslagerungsvertrag, u.a.: Notfallvorsorge, um Fortführung der Geschäfte sicherstellen Regelungen zum (temporären) Austausch eines Dienstleisters, Lösungsrecht, Herausgabepflichten Vorkehrungen bei nicht ersetzbaren Dienstleistern vorsehen = Redundanzen vorhalten, Rückübernahme der Leistungen durch Bank BC: als roter Faden auch für andere Unternehmen nutzbar Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 15

16 3.4 Sektorspezifisch: Banken und Finanzdienstleister Mindestanforderungen an das Risikomanagement (MaRisk) RS 18/2005 v AT 7.2 Technisch-organisatorische Ausstattungm TZ 2: Die IT-Systeme (Hardware- und Software-Komponenten) und die zugehörigen IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Für diese Zwecke ist bei der Ausgestaltung der IT- Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen. [...] Laut BaFin kommen als geeignete Standards in Frage: z.b. das IT-Grundschutzhandbuch des BSI z.b. ISO 17799, demnächst auch BS 25999? Aber: grundsätzlich... gängige Standards bedeutet keinen Zwang zur Verwendung von Standards; Eigenentwicklungen sind grundsätzlich ebenso möglich (und notwendig, wo Standards nicht ausreichen) Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 16

17 3.4 Sektorspezifisch: Banken und Finanzdienstleister AT 7.3 Notfallkonzept (1) Für Notfälle in kritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig durch Notfalltests zu überprüfen. Die Ergebnisse der Notfalltests sind den jeweiligen Verantwortlichen mitzuteilen. (2) Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederanlaufpläne umfassen. Die Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Die Wiederanlaufpläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen. Die im Notfall zu verwendenden Kommunikationswege sind festzulegen. Das Notfallkonzept muss den beteiligten Mitarbeitern zur Verfügung stehen. BC: AT 7.3 enthält die Mindestanforderungen der BaFin im Hinblick auf Business Continuity Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 17

18 3.5 Sektorspezifisch: Telekommunikation TKG verpflichtet TK-Anbieter explizit zur Einführung von Business Continuity Management (auch wenn es nicht explizit so genannt wird) TKG 2004: 109 Technische Schutzmaßnahmen, Abs. 3: Wer Telekommunikationsanlagen betreibt, die dem Erbringen von Telekommunikationsdiensten für die Öffentlichkeit dienen, hat [...] ein Sicherheitskonzept zu erstellen, aus dem hervorgeht, [...] 2. von welchen Gefährdungen auszugehen ist und 3. welche technischen Vorkehrungen oder sonstigen Schutzmaßnahmen [...] getroffen oder geplant sind [...] Telekommunikationsnetzwerke als kritische Infrastruktur: Gesetz zur Sicherstellung des Postwesens und der Telekommunikation (PTSG),. 9 Abs. 2: 1.die Anordnung baulicher Maßnahmen zum Schutz von Anlagen oder Einrichtungen sowie zum Schutz solcher Beschäftigter der genannten Unternehmen, die [...] zur Aufrechterhaltung des Betriebes [...] unerläßlich sind, 2.Maßnahmen zum betrieblichen Katastrophenschutz... Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 18

19 3.6 Sektorspezifisch: Energieversorger Sonderfall: Energieversorgungsunternehmen (EVU) Energiewirtschaftsgesetz: Sicherstellung der Versorgung der Bevölkerung mit Strom und Gas 13 Abs. 7 EnWG: Zur Vermeidung schwerwiegender Versorgungsstörungen haben Betreiber von Übertragungsnetzen jährlich eine Schwachstellenanalyse zu erarbeiten und auf dieser Grundlage notwendige Maßnahmen zu treffen. [...] 16 Abs. 5 EnWG enthält ähnliche Regelung für Betreiber von Fernleitungsnetzen 52 EnWG: Pflicht, der Bundesnetzagentur kalenderjährlich Bericht über Versorgungsstörungen zu erstatten sowie Pflicht, die getroffenen Maßnahmen zur Vermeidung künftiger Versorgungsstörungen darzulegen Begriff der Versorgungssicherheit im Energiewirtschaftsgesetz (EnWG) Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 19

20 3.6 Sektorspezifisch: Energieversorger Störfallverordnung (StörV): gilt für alle Betriebe (z.b. Produktionsanlagen, Lager), in denen gefährliche Stoffe oberhalb einer sog. Mengenschwelle vorhanden sind. 3 Abs. 1 StöV: Der Betreiber hat die nach Art und Ausmaß der möglichen Gefahren erforderlichen Vorkehrungen zu treffen, um Störfälle zu verhindern [...] 8 Abs. 1 StöV: Der Betreiber hat vor Inbetriebnahme ein schriftliches Konzept zur Verhinderung von Störfällen auszuarbeiten [...] 10 Abs. 1 StöV: Vor der erstmaligen Inbetriebnahme... hat der Betreiber (1) interne Alarm- und Gefahrenabwehpläne zu erstellen... BC: StöV schützt vor allem die Allgemeinheit vor den von einem Betrieb ausgehenden Gefahren, nicht jedoch den Betrieb selbst! Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 20

21 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 21

22 4. Adressaten von BC-Anforderungen Primär: Unternehmensleitung Vorstand ( 93 Abs. 1), Geschäftsführer ( 43 Abs. 1 GmbhG) wesentliche, nicht delegierbare Aufgabe, auch wenn tatsächliche Umsetzung durch Mitarbeiter oder Dritte erfolgt erfolgt BC: Unternehmensleitung muss sich mit dem Thema BC befassen Kontrolle: Unternehmensaufsicht insbesondere: Aufsichtsrat, der die dem Vorstand obliegende Geschäftsführung zu überwachen hat, 111 Abs. 1 AktG, gilt analog für Aufsichtsrat der GmbH Trend: Gesetzgeber erweitert Rechte und Pflichten (TransPuG, DCGK) BC: Überwachung der Unternehmensleitung in dem Ausmaß, in dem diese zur Gewährleistung von BC verpflichtet ist Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 22

23 4. Adressaten von BC-Anforderungen Unternehmensmitarbeiter BC als Teil arbeitsvertraglicher Pflichten insbesondere leitende Mitarbeiter, z.b. CIO. Zunehmendes Problem: Whistleblowing BC: Stellenbeschreibung/Weisungen des AG und umgekehrt Risiko- und Gefahr-Mitteilungen des AN an AG dokumentieren Aufsichtsbehörden kontrollieren die Einhaltung des öffentlichen Ordnungsrahmens, z.b. BaFin, DSB samt Behördenunterbau, DS-Aufsicht ( 38 BDSG) aufgrund der häufigen Verwendung von unbestimmten Rechtsbegriffen in Generalklauseln können sich andere Aufsichtsbehörden zuständig fühlen z.b. 35 GewO ( Unzuverlässigkeit ) => Gewerbeaufsichtsbehörde BC: Beobachtung (und Beachtung!) der von den Aufsichtsbehörden allgemein ergriffenen Aufsichtsmaßnahmen Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 23

24 4. Adressaten von BC-Anforderungen Externe (IT-)Dienstleister BC-Anforderungen adressieren Dienstleister oft nicht, er muss vertraglich zur Einhaltung verpflichtet werden (anders aber z.b. KWG) Vertragsbestandteile: Einfügen in Notfallplanung des Unternehmens, gemeinsame Übungen Möglichkeit zur Überwachung des Dienstleisters Mitsprache bei Auswahl von Subunternehmern und Verlagerung über Landesgrenzen hinweg (Offshore-Subunternehmer) Einsichtsrecht in die Notfallplanung des Dienstleisters Verpflichtung, Pläne regelmäßig zu aktualisieren Bei Transition: ab wann wird Dienstleister für Notfallplanung verantwortlich? Häufiger Konflikt: wer sorgt für (und bezahlt!) Anpassungen des Notfallplans? Unternehmen ist letztlich der Verpflichtete, Dienstleister hat (insbesondere beim IT- Outsourcing i.d.r. die bessere Sachkunde BC: Unternehmen behält eine nicht delegierbare Letztverantwortung Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 24

25 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 25

26 5. Drohende Sanktionen, Haftungsrisiken Zivilrechtliche Folgen: Haftung der Unternehmensleitung/Unternehmensaufsicht (Schadensersatz) bei Pflichtverletzung, z.b. 93 Abs. 2, 116 Abs. 1 AktG Nachteile für das Unternehmen, auch immaterielle (Imageschaden) aus Organisationsverschulden, auch: Zurechnung eines Mitverschuldens aus Vertrag => Vertretenmüssen der Nichterfüllung umfasst auch Haftung für Erfüllungsgehilfen/Subunternehmer unvorhergesehene Kosten höhere Refinanzierungskosten bei schlechtem Risiko (Basel II) Verzugsschadenshaftung/Vertragsstrafen gegenüber Kunden bei Ausfall der Produktion Arbeitnehmer: fristlose Kündigung kann drohen Strafrechtliche Folgen: StGB eher nicht, aber Straftatbestände z.b. im BDSG, KWG, AktG, HGB aber praktisch wohl selten relevant Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 26

27 5. Drohende Sanktionen, Haftungsrisiken Öffentlich-rechtliche Sanktionen Haftung ( 7 BDSG), Bußgeld ( 43 BDSG) Ordnungswidrigkeit z.b. 130 Abs. 1 OWiG bei Verletzung der Aufsichtspflicht Gewerberechtliche Unzuverlässigkeit ( 35 GewO) z.b. Androhung der Gewerbeuntersagung wegen Unzuverlässigkeit Bankaufsichtliche Maßnahmen, Bußgeld ( 56 KWG) z.b. 6 Abs. 3 KWG: Anordnungsbefugnis der BaFin Ausschluss von öffentlichen Vergabeverfahren Verlust von Versicherungsschutz Obliegenheitsverstoß kann Versicherungsschutzverlust zur Folge haben Verstoß gegen die Pflicht, den Versicherer über alle bekannte Umstände (lies: die bekannt sein müssen), die für den Versicherer von Bedeutung sind, zu informieren. Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 27

28 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 28

29 6.1 Gewährleistung durch das Unternehmen Business Continuity als Teil allgemeiner (IT-)Compliance Gewährleistung von Business Continuity als Teil allgemeiner Compliance- Anforderungen muss dokumentiert und nachgewiesen werden Festlegen, wer konkret für die Ermittlung und Beobachtung der einschlägigen Business Continuity Anforderungen verantwortlich ist BC: Risikobestimmung/Bestandsaufnahme als erste Maßnahme Business Continuity ist ein Zustand, kein Ziel Geschäftsrisiken, Umwelt und IT-Systeme ändern sich ständig Notfallvorsorge als Teil des Arbeitsalltags der Adressaten, Teil der Abläufe im Unternehmen Unternehmen muss intern und in Verträgen für Aktualisierung/Änderungsverfahren sorgen Ausgestaltung angemessen im Hinblick auf den Unternehmensgegenstand sowie die Kritikalität und typisches Betriebsrisiko der (IT-)Systeme BC: Risikovorsorge ist kontinuierlicher Prozess Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 29

30 6.1 Gewährleistung durch das Unternehmen Bedeutung von Standards können bei Umsetzung einzelner Anforderungen hilfreich sein sind häufig unter Beteiligung von Praktikern bzw. der jeweiligen Interessengruppen geschrieben, oft mit Handlungsempfehlungen z.b. BS 7799/DIN 17799, DIN/ISO 27001:2005, PAS 56/BS (2006), (2007) Prüfungsstandards (PS) des Institutes der Wirtschaftsprüfung (IDW) z.b. IDW PS-330: Orientierung an den Standards anhand derer geprüft wird Zertifizierungen sind oft nur stichtagsbezogen, unterschiedliche Schwerpunkte (Prozesse/Kontrollen) erlauben oft keine historische Betrachtung kein Beweis für genügende Risikovorsorge, aber Indikator für das Maß der Pflichterfüllung => Erleichterung des Entlastungsbeweises ( 93 AktG!) Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 30

31 6.1 Gewährleistung durch das Unternehmen Sorgfalt der Unternehmensleitung (nicht nur) bei Übernahmen: Due Diligence-Prüfung des zu übernehmenden Unternehmens auch im Hinblick auf Business Continuity Prüfung insbesondere der Produktions- und IT-Systeme Auch: interne Due Diligence als Vorbereitung auf Übernahme/Verkauf Zweck: Abwehr späterer Gewährleistungsansprüche, Beeinflussung der Preisverhandlungen durch Risikoschwachpunkte umfassende Environmental Due Diligence : Ermittlung und Bewertung lagebezogener Risiken für das Unternehmen: Umwelteinflüsse, öffentliche und private Infrastruktur, lokale Märkte Frage: sind aktuelle und zukünftige [Umwelt] Kostenrisiken des Zielobjektes im aktuellen Business Continuity Plan berücksichtigt? wichtig insbesondere bei ortsgebundenen Produktionsbetrieben und bei cross-border/offshore outsourcing/bpo Projekten Dann: Umsetzung von Maßnahmen zur Risikosteuerung und -minderung Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 31

32 6.2 Gewährleistung durch Dritte Kritisch: Gestaltung des Vertrags mit Dienstleister(n) insbesondere: bei Outsourcing/BPO Ermittlung und Umsetzung der BC-Anforderungen des Unternehmens häufig umstritten, da zwar Aufgabe der Unternehmensleitung, andererseits Wissensvorsprung des Dienstleisters Leistungsbeschreibung/Änderungsverfahren Aber: Was ist neu, was Teil des vertraglich vereinbarten Leistungsumfangs? oft streitig: wer trägt Risiko der Änderung von Rahmenbedingungen? Business continuity bei Force Majeure Situationen Anpassung bestehender Notfallkonzepte bei Einsatz eines Dienstleisters oft streitig: wie mit einer force majeure Situation umgehen? 275 BGB passt oft nicht Nach Vertragsschluss: Management der Beziehung Steuerung, Überwachung, Prüfung des Dienstleisters Abgleich mit eigenen Vorkehrungen, gemeinsame Übungen Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 32

33 Überblick 1. Business Continuity als Begriff im Recht 2. Rechtliche Grundlagen 3. Ausgewählte Anforderungen an Business Continuity 3.1 Datensicherheit 3.2 Unternehmensorganisation 3.3 Buchhaltung, Rechnungslegung, Prüfung 3.4 Sektorspezifisch: Banken und Finanzdienstleister 3.5 Sektorspezifisch: Telekommunikation 3.6 Sektorspezifisch: Energieversorger 4. Adressaten von Business Continuity Anforderungen 5. Drohende Sanktionen, Haftungsrisiken 6. Gewährleistung von Business Continuity 6.1 Gewährleistung durch das Unternehmen 6.2 Gewährleistung durch Dritte 7. Fazit und Ausblick 8. Anhang Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 33

34 7. Fazit und Ausblick Risikovorsorge und Business Continuity sind ständige Pflichtaufgaben der Unternehmensleitung, insbesondere: realistische Einschätzung der aus IT-Systemen erwachsenden Risiken Einführung geeigneter Kontrolle- und Überwachungssysteme Planung und Vorhalten von Vorsorgemaßnahmen... sonst drohen erhebliche juristische und ökonomische Nachteile Unternehmensleitung muss bei BC für enge Zusammenarbeit aller technischen und rechtlichen Einheiten des Unternehmens sorgen: möglichst umfassende Abdeckung des rechtlich Erforderlichen durch das technisch Machbare zu ökonomisch vertretbaren Bedingungen Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 34

35 7. Fazit und Ausblick Zunehmende Bedeutung von IT-(Betriebs-)Sicherheit Immer mehr elektronische Dokumente, Geschäftsprozesse, Werte BC: Unternehmensleitung muss verstärkt IT-Sicherheit kontrollieren Zunehmende Abhängigkeit von eigenen/fremden IT-Systemen Risikovorsorge ist nur so gut wie das schwächste Teilglied/Notfallkonzept BC: Unternehmensleitung muss Risiken ganzheitlich Betrachten Zunehmende Bedeutung von BC Standards Zunehmende Pflichtenanspannung der Unternehmensleistung erfordert Umsetzung von BC-Anforderungen in genormter Qualität BC: Einhaltung von Standards kann Indiz für pflichtgemäßes Verhalten sein, beweist es aber nicht Udo Steger, Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management Vortrag am Seite 35

IT-Compliance im Unternehmen

IT-Compliance im Unternehmen IT-Compliance im Unternehmen RA Dr. Lars Lensdorf RA Udo Steger Heymann & Partner Rechtsanwälte Vortrag am 15.09.2006 Herbstakademie 2006 Übersicht 1. Zum Begriff IT-Compliance 2. Rechtliche Grundlagen

Mehr

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Rechtsgrundlagen der IT-Sicherheit Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Einführungsbeispiel OLG Hamm MMR 2004, 487 Problem: Existiert ein Regelwerk, dessen Beachtung die zivil-

Mehr

Vertragliche Regelungen

Vertragliche Regelungen Vertragliche Regelungen BCM als Bestandteil von IT-Outsourcing Verträgen Udo Steger Heymann & Partner Rechtsanwälte 2. Deutschsprachiger BCI Kongress 2007 Frankfurt am Main, 19. September 2007 Übersicht

Mehr

IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN

IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN Stephan Schmidt Rechtsanwalt und Fachanwalt für IT-Recht IHK Hanau-Gelnhausen-Schlüchtern 12. November 2014 Agenda I. Begriffe II. Anwendbare

Mehr

Ausgewählte Rechtsfragen der IT-Security

Ausgewählte Rechtsfragen der IT-Security Ausgewählte Rechtsfragen der IT-Security Steht man als Verantwortlicher für IT-Security bereits mit einem Bein im Gefängnis? Dr. Markus Junker, Rechtsanwalt markus.junker@de.pwc.com HEUSSEN Rechtsanwaltsgesellschaft

Mehr

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk

Mehr

IT-Sicherheit. ein Thema für das Management? Herzlich Willkommen. IT-Security für das Management. Vortrag vom 17.06.2004 netformat GmbH

IT-Sicherheit. ein Thema für das Management? Herzlich Willkommen. IT-Security für das Management. Vortrag vom 17.06.2004 netformat GmbH IT-Sicherheit ein Thema für das Management? Herzlich Willkommen Zirngibl Langwieser Inhaltsübersicht 1. Pflichten des Managements in Bezug auf die IT-Sicherheit 2. Instrumente der Pflichterfüllung und

Mehr

Identity Management und Gesetz: Spannungsfeld Compliance <-> Datenschutz

Identity Management und Gesetz: Spannungsfeld Compliance <-> Datenschutz Mittelstandsdialog Informationssicherheit 6. Mai 2010 Identity Management und Gesetz: Spannungsfeld Compliance Datenschutz RA Dr. Michael Karger Wendler Tremml Rechtsanwälte, München NIFIS e.v. Nationale

Mehr

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung KUMAtronik Systemhaus GmbH Vortrag zur symantec-veranstaltung am 24.04.2007 (it.sec) Inhalt: 1. Rechtliche Anforderungen an E-Mails 2. Compliance-Anforderungen

Mehr

Überblick über existierende Vorschriften, Gesetze und Normen

Überblick über existierende Vorschriften, Gesetze und Normen 5 Überblick über existierende Vorschriften, Gesetze und Normen Als Reaktion auf die ansteigende Anzahl der bekannt werdenden Fälle skandalöser Betriebsführungen, hat der Gesetzgeber eine Fülle von neuen

Mehr

Die Haftung des Geschäftsführers für Organisationsmängel

Die Haftung des Geschäftsführers für Organisationsmängel Die Haftung des Geschäftsführers für Organisationsmängel Organisationspflichten, Wissenszurechnung und Haftung des Unternehmens IHK zu Münster 22.9.2015 RA Andreas Göbel Fachanwalt für Informationstechnologierecht

Mehr

Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten

Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten Die Email-Falle RA Thomas Brehm Hamburg Aus der Vortragsreihe der Systemhaus for you GmbH Heidenkampsweg 66 20097 Hamburg Bei

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

IT - Compliance Alter Wein in neuen Schläuchen?

IT - Compliance Alter Wein in neuen Schläuchen? IT Compliance Alter Wein in neuen Schläuchen? Dr. Lars Lensdorf Heymann & Partner Rechtsanwälte DGRI Fachausschuss Vertragsrecht Frankfurt 8. Mai 2009 Übersicht 1. Begriff und rechtliche Grundlagen der

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

eco AK Sicherheit Rechtliche Stellung des CISO - Handlungsrahmen und pflichten - Köln, 3. September 2008

eco AK Sicherheit Rechtliche Stellung des CISO - Handlungsrahmen und pflichten - Köln, 3. September 2008 eco AK Sicherheit Rechtliche Stellung des CISO - Handlungsrahmen und pflichten - Köln, 3. September 2008 Jens Eckhardt JUCONOMY Rechtsanwälte Düsseldorf 1 CISO Eine Positionsbestimmung 2 Aufgaben, Pflichten

Mehr

M&A im Streit. Compliance-Management-Systeme und Haftungsvermeidung. bei Pöllath & Partner am 08. November 2012 in München

M&A im Streit. Compliance-Management-Systeme und Haftungsvermeidung. bei Pöllath & Partner am 08. November 2012 in München M&A im Streit bei Pöllath & Partner am 08. November 2012 in München Compliance Management Mittelstand GmbH www.cmm-compliance.com Seite 1 Woraus ergibt sich Notwendigkeit des Handelns? Es gibt (noch) keine

Mehr

best OpenSystems Day Herbst 2005

best OpenSystems Day Herbst 2005 best OpenSystems Day Herbst 2005 Rechtsanwalt Dr. Michael Karger, München Unternehmerisches Handeln unter Sicherheitsanforderungen in der IT (KonTraG, SOX & Basel II) 2 Agenda: 1. Überblick: Rechtliche

Mehr

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Diese Checkliste erhebt keinen Anspruch auf Vollständigkeit. Trotz der sorgfältigen Erarbeitung der Checkliste, kann eine Garantie nicht übernommen

Mehr

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen Dr. Christian Thiel Institut für Informations- und Prozessmanagement FHS ST. Gallen Und was meinst Du mit IT Sicherheit? Was ist IT-Sicherheit aus rechtlicher Sicht? Definition in 2 Abs. 2 BSI-Gesetz:

Mehr

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit smartoptimo GmbH & Co. KG Luisenstraße 20 49074 Osnabrück Telefon 0541.600680-0 Telefax 0541.60680-12 info@smartoptimo.de

Mehr

Externer Datenschutz. ... Chancen durch. Outsourcing PRISAFE DATENSCHUTZ

Externer Datenschutz. ... Chancen durch. Outsourcing PRISAFE DATENSCHUTZ Externer Datenschutz... Chancen durch Outsourcing PRISAFE DATENSCHUTZ Inhaltsverzeichnis Der Datenschutzbeauftragte Für welche Variante entscheiden? Der externe Datenschutzbeauftragte Kosten für Datenschutz

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

GI FG SECMGT Frankfurt 26.06.2009 Bernd Ewert

GI FG SECMGT Frankfurt 26.06.2009 Bernd Ewert BCM im Überblick GI FG SECMGT Frankfurt 26.06.2009 Bernd Ewert consequa GmbH Unternehmensstandort Hamburg gegründet 1.4. 2005 langjährige Beratungserfahrungen Business Continuity / IT-Recovery Information

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

IT-Sicherheit vs. juristische Realität

IT-Sicherheit vs. juristische Realität IT-Sicherheit vs. juristische Realität - Praxisrelevante Herausforderungen für Unternehmen - anlässlich der Roadshow NTT Com Security "Information Security World (ISW) on Tour" am 16.10.2014 in Wien IT-Sicherheit

Mehr

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun?

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun? Dipl.-Wirtsch.-Ing. Frank Hallfell Dipl.-Ing.(FH) Günther Orth enbiz gmbh, Kaiserslautern Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun? IT-Tag Saarbrücken, 16.10.2015

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Legal Risk als Folge fehlender Compliance

Legal Risk als Folge fehlender Compliance Legal Risk als Folge fehlender Compliance Konzernrechtstag Luther, Düsseldorf, 29.04.2015 Ludger Hanenberg BaFin, Bonn. Gliederung 1. Hintergründe 2. Compliance-Funktion als Risikomangement- Instrument

Mehr

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH Zertifizierung eines datenschutzbezogenen Compliance Management Systems Daniel Wolff, Deloitte & Touche GmbH 9. Security Forum der FH Brandenburg, 22.01.2015 Audit & Enterprise Risk Services Tax & Legal

Mehr

IT-Sicherheitsmanagement und Haftungsrisiken für Geschäftsführer

IT-Sicherheitsmanagement und Haftungsrisiken für Geschäftsführer Wolfgang Straßer Geschäftsführer Dipl.-Kfm. IT-Sicherheitsmanagement und Haftungsrisiken für Geschäftsführer @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen +49 (02175) 16 55 0 @-yet Geschäftsbereiche

Mehr

Trade Compliance. Nikolaus Voss Rechtsanwalt Geschäftsführer der AWB Rechtsanwaltsgesellschaft mbh, München

Trade Compliance. Nikolaus Voss Rechtsanwalt Geschäftsführer der AWB Rechtsanwaltsgesellschaft mbh, München Möglichkeiten und Grenzen des Schutzes von Organen und Mitarbeitern gegen persönliche Inanspruchnahme im Falle von Compliance-Verstößen Nikolaus Voss Rechtsanwalt Geschäftsführer der AWB Rechtsanwaltsgesellschaft

Mehr

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung Matthias Bergt Rechtsanwälte v. Boetticher Hasse Lohmann www.dsri.de Begriff der Auftragsdatenverarbeitung, 11 BDSG Auslagerung von Verarbeitungsvorgängen

Mehr

gateprotect Sicherheitsaudit nach Bundesdatenschutzgesetz (BDSG 9a)

gateprotect Sicherheitsaudit nach Bundesdatenschutzgesetz (BDSG 9a) Sicherheit gecheckt? Haftungsrisiken vermeiden, Compliance optimieren gateprotect Sicherheitsaudit nach Bundesdatenschutzgesetz (BDSG 9a) Mit dem gateprotect Sicherheitscheck verbessern Sie den Datenschutz

Mehr

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015 ITK Sicherheitsgesetz Umsetzung mit verinice.pro verinice.xp- Grundschutztag 15.09.2015 Überblick Kurze Vorstellung des IT-Sicherheitsgesetzes Konkretisierung des Gesetzes für Energieversorger Abbildung

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

ACE Risikoforum Wie manage ich Cyberrisiken? RAin Dr. Gunbritt Kammerer-Galahn, Partnerin Taylor Wessing

ACE Risikoforum Wie manage ich Cyberrisiken? RAin Dr. Gunbritt Kammerer-Galahn, Partnerin Taylor Wessing ACE Risikoforum Wie manage ich Cyberrisiken? RAin Dr. Gunbritt Kammerer-Galahn, Partnerin Taylor Wessing Frankfurt am Main, 19. März 2015 01 > Risikoanalyse eines Industrieunternehmens Wer ist Risikoquelle?

Mehr

IT-Aufsicht im Bankensektor

IT-Aufsicht im Bankensektor IT-Aufsicht im Bankensektor - Grundlagen - Informationsveranstaltung: IT-Aufsicht bei Banken 29. Oktober 2013 Dr. Josef Kokert BA 58 Informationsveranstaltung: IT-Aufsicht bei Banken 29.10.2013 Seite 1

Mehr

1. Aufbewahrungsfristen für Personalakten

1. Aufbewahrungsfristen für Personalakten Aufbewahrungsfristen für Personalakten X AUFBEWAHRUNG, ARCHIVIERUNG, BEWEIS- VERWERTBARKEIT, ORDNUNGSMÄßIGKEIT 1. Aufbewahrungsfristen für Personalakten Ein allgemeiner Rahmen für die Dauer der Personalaktenführung

Mehr

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen Stellungnahme des Gesamtverbandes der Deutschen Versicherungswirtschaft ID-Nummer 6437280268-55 sowie des Verbandes der Privaten Krankenversicherung zum Referentenentwurf des Bundesministeriums des Innern

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Compliance. Persönliche Haftung von Unternehmern, Geschäftsführern und Führungskräften? Dr. Stefan Kursawe, Heisse Kursawe Eversheds 11.05.

Compliance. Persönliche Haftung von Unternehmern, Geschäftsführern und Führungskräften? Dr. Stefan Kursawe, Heisse Kursawe Eversheds 11.05. Compliance Persönliche Haftung von Unternehmern, Geschäftsführern und Führungskräften? Dr. Stefan Kursawe, Heisse Kursawe Eversheds 11.05.2015 Übersicht Compliance und Arbeitsrecht Arbeitsrechtliche Compliance

Mehr

1. IT-Sicherheit als Bestandteil des. 3. Besonderheiten des öff.-re. Sektors. 4. Ablauf eines Risikomanagements

1. IT-Sicherheit als Bestandteil des. 3. Besonderheiten des öff.-re. Sektors. 4. Ablauf eines Risikomanagements Rechtliche Aspekte der IT-Sicherheit Prof. Dr. Kathrin Winkler Gliederung 1. IT-Sicherheit als Bestandteil des 3. Besonderheiten des öff.-re. Sektors 4. Ablauf eines 5. IT-Grundschutz des BSI 1 Einordnung

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Digitale Betriebsprüfung

Digitale Betriebsprüfung Veranstaltungsreihe 2008 Zu Gast bei: ecomm Berlin Digitale Betriebsprüfung GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) Matthias Krüger Geschäftsführender Gesellschafter

Mehr

IT-Sicherheit und Datenschutz. Wer haftet wann und warum? 03.03.2015 www.it-rechtsberater.de

IT-Sicherheit und Datenschutz. Wer haftet wann und warum? 03.03.2015 www.it-rechtsberater.de IT-Sicherheit und Datenschutz Wer haftet wann und warum? 1 Herzlich willkommen! Die Themen heute: Vorstellung RA Costard Allgemeines zur Haftung im Bereich des Datenschutzes und der IT-Sicherheit Haftung

Mehr

IT-Sicherheitsgesetz und IT- Sicherheitskatalog Anforderungen an Betreiber kritischer Infrastrukturen

IT-Sicherheitsgesetz und IT- Sicherheitskatalog Anforderungen an Betreiber kritischer Infrastrukturen IT-Sicherheitsgesetz und IT- Sicherheitskatalog Anforderungen an Betreiber kritischer Infrastrukturen 5. Fachtagung Infrastruktursicherheit des KKI e. V. IT-SICHERHEIT UND KRITISCHE I NFRASTRUKTUREN 10.

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Die Zukunft der IT-Sicherheit

Die Zukunft der IT-Sicherheit Die Zukunft der IT-Sicherheit Was wir aus dem IT-SiG und Co. so alles für die Zukunft lernen können! 20.03.2015 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt

Mehr

Quo vadis Das neue IT-Sicherheitsgesetz

Quo vadis Das neue IT-Sicherheitsgesetz 0 Quo vadis Das neue IT-Sicherheitsgesetz Anforderungen an die IT Compliance München, den 11. November 2014 Marc Pussar, SKW Schwarz Rechtsanwälte 1 IT-Recht, Internet und E-Business Gestaltung und Betreuung

Mehr

Data Loss Prevention. Rechtliche Herausforderungen beim Kampf gegen Datenabfluss

Data Loss Prevention. Rechtliche Herausforderungen beim Kampf gegen Datenabfluss Data Loss Prevention Rechtliche Herausforderungen beim Kampf gegen Datenabfluss Dr. Lukas Feiler, SSCP Baker & McKenzie Diwok Hermann Petsche Rechtsanwälte TOPICS 1. Gesetzliche Pflichten zur Implementierung

Mehr

Compliance Management

Compliance Management Compliance Management Fernwärmetage 2013 13.03.2013 RA Dr. Gregor Schett, LL.M. Mag. Christoph Kochauf Fellner Wratzfeld & Partner Rechtsanwälte GmbH A-1010 Wien, Schottenring 12, T: +43 (1) 537 70 F:

Mehr

Gesellschaftsrechtlich stellen die 91 Abs. 2 AktG bzw. 107 Abs. 3 AktG die zentralen Normen dar.

Gesellschaftsrechtlich stellen die 91 Abs. 2 AktG bzw. 107 Abs. 3 AktG die zentralen Normen dar. 3. Externe Rahmenbedingungen 3.1 Grundlagen Der Rahmen für die Tätigkeit der Internen Revision wird maßgeblich auch durch externe Normen gesetzt. Diese beinhalten insbesondere gesellschaftsrechtliche,

Mehr

Rechtliche Aspekte des Cloud Computing

Rechtliche Aspekte des Cloud Computing Rechtliche Aspekte des Cloud Computing Dr. Jan Geert Meents, Rechtsanwalt und Partner, DLA Piper ISV Vision 16. November 2010 DLA Piper Eine der weltweit größten Anwaltssozietäten mit über 3.500 Anwälten

Mehr

Das Rechtliche beim Risikomanagement

Das Rechtliche beim Risikomanagement Das Rechtliche beim Risikomanagement 10.12.2014 Gerald Spyra, LL.M. Kanzlei Spyra Definition und Relevanz von Risiko Risiko wird allgemein definiert als Produkt aus der Eintrittswahrscheinlichkeit eines

Mehr

Datenschutz. Nutzen oder Hemmschuh?

Datenschutz. Nutzen oder Hemmschuh? Datenschutz www.datenschutz-roemer.de Nutzen oder Hemmschuh? Impulsveranstaltung im Rahmen der Qualifizierungsoffensive Mittelhessen Weiterbildungsforum Europaviertel Gießen, 10. März 2006 Ilse Römer Datenschutz-Auditorin

Mehr

Compliance im Rechnungswesen Anforderungen an die IT

Compliance im Rechnungswesen Anforderungen an die IT Information Risk Management Compliance im Rechnungswesen Anforderungen an die IT Dietmar Hoffmann Köln, 3. Mai 2007 ADVISORY Inhalt 1 Überblick 2 Rechtliche Rahmenbedingungen 3 Auswirkungen 4 Prüfungen

Mehr

HerzlichWillkommen. ABI-Partnertage 2013, Vortrag Stefan Herold, Aarcon GbR Unternehmensberatung, München 1 von 16

HerzlichWillkommen. ABI-Partnertage 2013, Vortrag Stefan Herold, Aarcon GbR Unternehmensberatung, München 1 von 16 HerzlichWillkommen ABI-Partnertage 2013, Vortrag Stefan Herold, Aarcon GbR Unternehmensberatung, München 1 von 16 Datenschutz bei Fernzugriff; Risiken und Lösung stefan.herold@aarcon.net www.aarcon.net

Mehr

Das Rechtliche beim Risikomanagement

Das Rechtliche beim Risikomanagement Das Rechtliche beim Risikomanagement 29.04.2015 Gerald Spyra, LL.M. Kanzlei Spyra Definition und Relevanz von Risiko Risiko wird allgemein definiert als Produkt aus der Eintrittswahrscheinlichkeit eines

Mehr

Verantwortlichkeit, Delegation und Haftung für Geschäftsleiter und Mitarbeiter

Verantwortlichkeit, Delegation und Haftung für Geschäftsleiter und Mitarbeiter BARTSCH UND PARTNER RECHTSANWÄLTE GESELLSCHAFT DES BÜRGERLICHEN RECHTS Verantwortlichkeit, Delegation und Haftung für Geschäftsleiter und Mitarbeiter Rechtsanwalt Prof. Dr. Michael Bartsch Vortrag auf

Mehr

Anlage zum Vertrag vom. Auftragsdatenverarbeitung

Anlage zum Vertrag vom. Auftragsdatenverarbeitung Anlage zum Vertrag vom Auftragsdatenverarbeitung Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Dienstvertrag/Werkvertrag (Hauptvertrag)

Mehr

Notfallmanagement-Forum 2009

Notfallmanagement-Forum 2009 Notfallmanagement-Forum 2009 Business und IT-Service Continuity Management (BCM) Aktuelle Herausforderungen und Erfolgsfaktoren Nürnberg 14. Oktober 2009 Lothar Goecke Lothar Goecke Selbstständig seit

Mehr

Datenschutzbeauftragte

Datenschutzbeauftragte MEIBERS RECHTSANWÄLTE Externe Datenschutzbeauftragte für Ihr Unternehmen Stand: Juli 2014 Datenschutz im Unternehmen ist mehr als eine Forderung des Gesetzgebers Der Schutz personenbezogener Daten ist

Mehr

Rechtliche Aspekte und Compliance im Mobility Lifecycle Georg Meyer-Spasche

Rechtliche Aspekte und Compliance im Mobility Lifecycle Georg Meyer-Spasche Rechtliche Aspekte und Compliance im Mobility Lifecycle Georg Meyer-Spasche 21. September 2011 Aktuelle Schlagzeilen 1 Gefährdungsmöglichkeiten auf einen Blick Angreifer im Besitz des Geräts Potentielle

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN. Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht

Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN. Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN Stand: Juli 2007 Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht Paluka Sobola & Partner Neupfarrplatz 10 93047

Mehr

Entwurf zum IT-Sicherheitsgesetz

Entwurf zum IT-Sicherheitsgesetz Entwurf zum IT-Sicherheitsgesetz Sebastian Hinzen, LL.M. Bird & Bird LLP 6. IT LawCamp 2015 Agenda Einleitung Wesentliche neue Regelungen im BSI-Gesetz TMG TKG Fazit & Ausblick Page 2 Einleitung (1) Ziel

Mehr

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

Outsourcing bei Kreditinstituten: Rechtsfragen im Zusammenhang mit dem Bank- und Datenschutzrecht

Outsourcing bei Kreditinstituten: Rechtsfragen im Zusammenhang mit dem Bank- und Datenschutzrecht Melanie Gutmann Outsourcing bei Kreditinstituten: Rechtsfragen im Zusammenhang mit dem Bank- und Datenschutzrecht Wirtschaftliche Interessen der Banken im Spannungsverhältnis zum Geheimhaltungsinteresse

Mehr

Ohne Security kein ecommerce

Ohne Security kein ecommerce Ohne Security kein ecommerce Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein KielBit 2004 Gliederung 1. Umfeld ecommerce 2. Bedeutung Security 3. IT-Sicherheit: Ihre Verantwortung 4. Wie

Mehr

Veranstaltung Cybercrime 27.08.2015. Hinterher ist man immer schlauer wie Sie späte Einsicht vermeiden. Prof. Dr. Thomas Jäschke

Veranstaltung Cybercrime 27.08.2015. Hinterher ist man immer schlauer wie Sie späte Einsicht vermeiden. Prof. Dr. Thomas Jäschke Veranstaltung Cybercrime 27.08.2015 Hinterher ist man immer schlauer wie Sie späte Einsicht vermeiden. Prof. Dr. Thomas Jäschke Vorstellung DATATREE AG Beratung von Unternehmen und öffentlichen Stellen

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Compliance in Kapitalgesellschaften

Compliance in Kapitalgesellschaften Bernd Schmidt Compliance in Kapitalgesellschaften Nomos Inhaltsverzeichnis Abkürzungsverzeichnis 13 1 Compliance 17 A Compliance in der Rechtsterminologie 18 B. Compliance als Bestandteil guter Corporate

Mehr

SerNet. Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013. Alexander Koderman. SerNet GmbH, Berlin

SerNet. Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013. Alexander Koderman. SerNet GmbH, Berlin Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013 Alexander Koderman GmbH, Berlin Übersicht Wieso werde ich auditiert? IS-Audits, Grundlagen, Standards Was erwartet mich? Inhalte,

Mehr

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM AGENDA Vorbemerkungen A. Grundlagen I. Was ist ein Risikomanagementsystem (RMS)? II. Was

Mehr

Compliance im Betrieb

Compliance im Betrieb Compliance im Betrieb Konzeption eines Compliance-Management-Systems (CMS) in der Unternehmensgruppe Stadtwerke Mainz AG unter Berücksichtigung des IDW Prüfungsstandards PS 980 1 Begriffsdefinition und

Mehr

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 www.pwc.de Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 WP StB Marc Billeb Partner Financial Services Technology & Processes Agenda 1 Regulatorische Anforderungen

Mehr

Datenschutz und Datensicherheit als unternehmerische Aufgabe

Datenschutz und Datensicherheit als unternehmerische Aufgabe Datenschutz und Datensicherheit als unternehmerische Aufgabe RA Andreas Jaspers Geschäftsführer der Gesellschaft für Datenschutz und Datensicherung e.v. (GDD) Die GDD Unterstützung von Unternehmen und

Mehr

Webseiten Aushängeschild und Angriffsziel Nummer Eins zugleich

Webseiten Aushängeschild und Angriffsziel Nummer Eins zugleich Webseiten Aushängeschild und Angriffsziel Nummer Eins zugleich Haftungsrisiko Webseite: Drohen Schadenersatzansprüche? Köln, 19.02.2014 Dr. Jens Eckhardt Rechtsanwalt und Fachanwalt für IT-Recht JUCONOMY

Mehr

Rechtliche Barrieren für ehealth und wie sie überwunden werden können!

Rechtliche Barrieren für ehealth und wie sie überwunden werden können! Rechtliche Barrieren für ehealth und wie sie überwunden werden können! Session 4: IT-Compliance im Gesundheitssektor IT-Sicherheitsgesetz, Patientenrechte und Schweigepflicht 6. Mai 2014 Seite 2 1 2 3

Mehr

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH Ebendorferstraße 3, 1010 Wien WS 2011 1.

Mehr

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit 24x7 Kurzprofil Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit der tekit Consult Bonn GmbH TÜV Saarland Gruppe

Mehr

Datenschutz und mobile Endgeräte in der Cloud Computing. Chancen und Risiken. Worauf müssen Unternehmen achten? Ein Bericht aus der Praxis.

Datenschutz und mobile Endgeräte in der Cloud Computing. Chancen und Risiken. Worauf müssen Unternehmen achten? Ein Bericht aus der Praxis. 1 Datenschutz im Unternehmen - wertvolle Tipps und Handlungsempfehlungen. Datenschutz und mobile Endgeräte in der Cloud Computing. Chancen und Risiken. Worauf müssen Unternehmen achten? Ein Bericht aus

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Unternehmensbeschreibung

Unternehmensbeschreibung Pressemappe Artikel 13 Institut für Datenschutz & Compliance Unternehmensbeschreibung Artikel 13 wurde als Institut für Datenschutz & Compliance 2012 in Radebeul bei Dresden von Rechtsanwalt Thomas Weiß

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

9 Mitarbeiterscreenings

9 Mitarbeiterscreenings 9 Mitarbeiterscreenings Mitarbeiterscreenings werden in Unternehmen immer häufiger eingesetzt. Screenings sind Rasterfahndungen, bei denen verschiedene personenbezogene Daten der Mitarbeiter nach bestimmten

Mehr

E-Mailarchivierung für den Mittelstand

E-Mailarchivierung für den Mittelstand E-Mailarchivierung für den Mittelstand SaaS-Lösung von PIRONET NDH PIRONET NDH Datacenter GmbH 1 E-Mailarchivierung Agenda: E-Mailarchivierung warum? Wer muss archivieren? Welche E-Mails sind zu archivieren?

Mehr

Haftungsrisiko Webseite: drohen Schadensersatzansprüche? Fabian Laucken

Haftungsrisiko Webseite: drohen Schadensersatzansprüche? Fabian Laucken Haftungsrisiko Webseite: drohen Schadensersatzansprüche? Fabian Laucken Fachanwalt für Informationstechnologierecht und Fachanwalt für Gewerblichen Rechtsschutz Initiative-S - Wie sicher ist Ihr Internetauftritt?

Mehr

IT Management 2014. Rechtliche Aspekte des IT Managements am Beispiel des Umgangs mit E-Mail Systemen

IT Management 2014. Rechtliche Aspekte des IT Managements am Beispiel des Umgangs mit E-Mail Systemen IT Management 2014 Rechtliche Aspekte des IT Managements am Beispiel des Umgangs mit E-Mail Systemen Rechtsanwalt Hans Sebastian Helmschrott, LL.M Eur. Rechtsanwältin Patricia Lotz Rechtsquellen des IT-Managements:

Mehr

Netzwerk Elektronischer Geschäftsverkehr Cloud Computing für kleine und mittlere Unternehmen. Cloud Computing rechtssicher gestalten

Netzwerk Elektronischer Geschäftsverkehr Cloud Computing für kleine und mittlere Unternehmen. Cloud Computing rechtssicher gestalten Netzwerk Elektronischer Geschäftsverkehr Cloud Computing für kleine und mittlere Unternehmen Cloud Computing rechtssicher gestalten 10.03.2011 RA Dr. Peter Schmitz JUCONOMY Rechtsanwälte Graf-Recke-Straße

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010 Der Datenschutzbeauftragte Eine Information von ds² 05/2010 Inhalt Voraussetzungen Der interne DSB Der externe DSB Die richtige Wahl treffen Leistungsstufen eines ds² DSB Was ds² für Sie tun kann 2 Voraussetzungen

Mehr

Vom Urheberrecht bis Dual-Use was Sie zum Cloud Computing noch berücksichtigen

Vom Urheberrecht bis Dual-Use was Sie zum Cloud Computing noch berücksichtigen Vom Urheberrecht bis Dual-Use was Sie zum Cloud Computing noch berücksichtigen müssen Frankfurt am Main, 15. März 2011 Jörg-Alexander Paul, Dr. Fabian Niemann & Prof. Dr. Patrick Sinewe Bird & Bird LLP,

Mehr

Was sieht das Gesetz vor?

Was sieht das Gesetz vor? Die Bundesregierung plant ein IT Sicherheitsgesetz. Dieses liegt aktuell als Referenten- entwurf des Innenministeriums vor und wird zwischen den einzelnen Ministerien abgestimmt. Im Internet wird viel

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr