Praxisseminar "IT-Sicherheitsrecht für Behörden" am 20.02.2019 von Carsten Gerlach

Das IT-Sicherheitsrecht ist eine unübersichtliche Querschnittsmaterie - daran ändert auch das IT-Sicherheitsgesetz nichts. Rechtliche Maßstäbe und Regelungen für die Sicherheit der Informationstechnologie finden sich verstreut in diversen Gesetzen und Verordnungen, so z. B. in den Datenschutzgesetzen, im Strafgesetzbuch, aber auch im Gesellschaftsrecht. Gleichwohl ist ein Überblick über den rechtlichen Rahmen der IT-Sicherheit für Führungskräfte und IT-Verantwortliche in Behörden unerlässlich. IT-Schutz ist Managementpflicht - bei Nichtbeachtung drohen schlimmstenfalls strafrechtliche Konsequenzen!

Das Seminar wendet sich an alle, die mit dem Betrieb und der Absicherung von EDV und IT-Systemen oder dem Schutz von Daten und IT-Infrastruktur verantwortlich betraut sind. Diese "IT-Entscheider" erhalten einen Überblick über den Rechtsrahmen der IT-Sicherheit anhand praxisrelevanter Leitfragen:

• Was muss ich umsetzen? Zu welchen Maßnahmen bin ich überhaupt gesetzlich verpflichtet? Was ändert sich durch das IT-Sicherheitsgesetz?
• Welche Folgen drohen, wenn ich gebotene Maßnahmen nicht umsetze? Welcher ggf. persönlichen Haftung unterliege ich z. B. bei unzureichenden oder gänzlich fehlenden IT-Sicherheitsmaßnahmen?
• Was darf ich umsetzen? Welche Sicherheitsmaßnahmen sind rechtlich zulässig? Welche Grenzen stecken die Gesetze?
• Welche rechtlichen Folgen können sicherheitsrelevante Vorfälle haben? Welche zivil- und strafrechtlichen Konsequenzen haben Sicherheitsvorfälle?

Themenüberblick:

Was ist "IT-Sicherheitsrecht"?  - Rechtsgrundlagen und Rechtsquellen

Warum muss ich tätig werden? - IT-Sicherheit als Managementpflicht

• Fehlende Schutzmaßnahmen als Straftat und Ordnungswidrigkeit
• Bußgelder und Schadenersatzansprüche

Was muß ich umsetzen? - Rechtliche Verpflichtungen und Vorgaben

• Technische und organisatorische Datenschutzmaßnahmen
• Datenschutz- und IT-Sicherheitskonzepte
• Behördliche und betriebliche Datenschutzbeauftragte
• Mitarbeiterschulungen
• Schutz der Telekommunikation / Fernmeldegeheimnis
• IT-Sicherheit beim Outsourcing und der Auftragsdatenverarbeitung
• IT-Sicherheit beim Cloud Computing
• Lizenz-Compliance
• Der IT-Sicherheitsbeauftragte
• Berücksichtigung von IT-Sicherheit im Vergabeverfahren

Was darf ich umsetzen? - Rechtliche Grenzen typischer Sicherheitsmaßnahmen

• Grundlagen des Beschäftigtendatenschutz
• Überwachung von E-Mails und Internet-Verkehr
• Einsatz von Spamfiltern, Virenscannern und Firewalls
• Logfiles: Protokollierung und Auswertung des Datenverkehrs
• Videoüberwachung
• Einsatz von Backup- und Archivierungssystemen

Was passiert bei Störfällen? - Rechtliche Folgen bei sicherheitsrelevanten Vorfällen

• Die "data breach notification"
• Strafrechtlicher Schutz: Ausspähen und Abfangen von Daten, Datenveränderung und Datenunterdrückung, Computersabotage
• Zivilrechtlicher Schutz: Schadensersatz und Unterlassung