IT-Sicherheitsrichtlinie und Privatnutzungsvereinbarung

für die Nutzung von Firmen-Geräten und ‑Diensten

1 Formelle Angaben zum Dokumentenmanagement

1.1 Vertraulichkeitsgrad dieses Dokumentes

	Öffentlich	Betriebsöffentlich	Vertraulich	Streng vertraulich
Klassifikation		x

Die Klassifikation erfolgt nach den betrieblichen Standards zur Klassifikation von Dokumenten.

1.2 Aktualisierung dieses Dokumentes

	Jährlich	Bei Bedarf	Sonstige
Zyklus		x

1.3 Dokumenthistorie / Versionskontrolle

Änderungsdatum	Version	Änderung	Autor	Gültig ab
25.04.2016	0.1	Entwurf, Dokument erstellt, Initialisierung auf Basis-Muster	Fa. daschug	Freigabe
26.04.2016		Lesen und erste Änderungen	Patrik Scherer
27.04.2016	0.2	CI an CIS anpassen	Patrik Scherer
26.08.2016	1.0	Kleinere Anpassungen	Fa. daschug
09.04.2020	20200409	BYOD (Absatz 14.1)	Patrik Scherer
08.07.2020	20200708	Umwandlung in Web-Version	Patrik Scherer
22.06.2021	20210622	Verpflichtung auf Vertraulichkeit neu	Patrik Scherer	sofort
12.10.2022	202210121	Neufassung Punkt 3.3 Verpflichtung zur Vertraulichkeit	Patrik Scherer, Fa. KaMUX (DSB)	sofort
12.10.2022	202210122	3.3.2 Ergänzung “Unterrichtung und Verpflichtung vom Bayerischen Landesamt für Datenaufsicht”	Patrik Scherer	sofort
17.06.2025	20250617	Privatnutzungsrelgelungen verdeutlicht und im Punkt 13 zusammengeführt	Patrik Scherer	sofort

1 Zielsetzung

Ziel dieser Richtlinie ist es, Sie als Mitarbeiter der CIS Computer & Internet Services GmbH (im Folgenden: des Unternehmens) für das Thema Sicherheit in der Informationstechnologie (IT) zu sensibilisieren und die störungsfreie und sichere Nutzung der IT-Infrastruktur zu gewährleisten. Ohne Telefon- und E‑Mail-Verbindung sind wir für Kunden nicht erreichbar; ohne eine Online-Verbindung lassen sich gesetzliche Pflichten wie z.B. die Umsatzsteueranmeldung nicht mehr erfüllen. Ein Ausfall nur eines Teils der IT-Anlagen oder ein fahrlässiges Handeln würde neben Image-Schäden auch massive finanzielle Einbußen – bis hin zur Existenzgefährdung – mit sich bringen.

Sicherheitsvorfälle bei der IT-Nutzung können durch organisationsfremde Dritte aber auch durch unsachgemäßes Verhalten eigener Nutzer hervorgerufen werden. Weil letzteres statistisch gesehen überwiegt, soll diese Richtlinie zur Verbesserung der IT-Sicherheitskenntnisse und der Erhöhung der Eigenverantwortung eines jeden Mitarbeiters dienen.

Daher wird Sicherheit großgeschrieben

Auch Sie können an Ihrem Arbeitsplatz zur Sicherheit der IT- Infrastruktur beitragen:
indem Sie diese Richtlinie lesen, beherzigen und Ihre Kollegen anhalten, dies ebenfalls zu tun.

Dieses Dokument erklärt, warum verschiedene Maßnahmen wichtig und notwendig sind und welche Gefahren bei Vernachlässigung drohen. Zudem erfahren Sie, wie Sie sich und das Unternehmen während der Arbeit vor Gefahren schützen. Dafür werden Regeln für den täglichen Gebrauch konkretisiert und Tipps für die Praxis gegeben.

Aus Gründen der Lesbarkeit ist in dieser Richtlinie stets die männliche Form gewählt, dabei ist die weibliche Form stets mitgemeint.

1.1 Geltungsbereich

Der Geltungsbereich dieser Regelungen ist wie folgt festgelegt:

Persönlich:für alle Mitarbeiter des Dienstleister die in den Räumen des Unternehmens oder mit deren IT- und/oder Kommunikationssystemen und/oder über deren Netze arbeiten;
Funktional:für alle Komponenten und Datenverarbeitungs- sowie Telekommunikationsanlagen, unabhängig ob durch das Unternehmen selbst oder im Auftrag betrieben, sowie für alle und Daten – unabhängig vom Speichermedium – im Besitz des Unternehmens;

Die Anwendung dieser Richtlinie ist verpflichtend. Verstößt ein Mitarbeiter gegen diese Richtlinie, drohen ihm arbeitsrechtliche und strafrechtliche Konsequenzen. Die jeweils gültige Version dieser Richtlinie ist auf dem Unternehmensserver zu finden. Nicht berührt werden mögliche andere Regelungen und Richtlinien, sofern diese spezieller sind, oder von der Geschäftsleitung erteilte, explizite Ausnahmegenehmigungen für den Einzelfall.

1.2 Sicherheitsorganisation

Verantwortlich für die Sicherheitsorganisation ist die Geschäftsführung.

1.3 Weisungen

Sofern eine Weisung illegal, oder in sonstiger Weise fragwürdig vorkommt, ist der jeweilige Fachvorgesetzte zu informieren. Dieser entscheidet über weitere Schritte und die Durchführen der Weisung. Sofern das nicht möglich ist oder nicht zielführend erscheint, weil z.B. die Weisung vom Vorgesetzten kam, kann er sich an den Datenschutzbeauftragten und/oder IT Sicherheitsbeauftragten wenden.

Der IT-Service wird Mitarbeiter niemals nach einem persönlichen Passwort fragen.

1.4 Meldepflicht / Datenpanne

Bemerkt der Mitarbeiter einen Verstoß gegen diese Regelungen, eine gesetzliche Regelung oder eine anderweitige Gefährdung der IT-Sicherheit, der Datensicherheit, des Datenschutzes oder der Interessen des Unternehmens, so hat er dies unverzüglich der Geschäftsleitung oder dem Datenschutzbeauftragten (Telefon im CRM-System gepflegt) zu melden.

Definition Datenpanne (Verletzung des Schutzes personenbezogener Daten):

Eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden (Art. 4 Nr. 12 DSGVO).

Verantwortlichkeiten ◦ Alle Mitarbeiter: Sind verpflichtet, jede vermutete oder tatsächliche Datenpanne unverzüglich dem direkten Vorgesetzten oder dem Datenschutzbeauftragten (DSB) / der für Datenschutz zuständigen Person zu melden. ◦ Datenschutzbeauftragter (DSB) / Zuständige Person: Koordiniert den gesamten Prozess, bewertet die Datenpanne, entscheidet über Meldepflichten und ist Hauptansprechpartner für Aufsichtsbehörden und Betroffene.

◦ Geschäftsführung: Stellt die notwendigen Ressourcen bereit, trägt die Gesamtverantwortung und unterstützt den DSB / die zuständige Person. ◦ IT-Abteilung / Technische Leitung: Ist verantwortlich für die technische Analyse, Eindämmung und Behebung der Datenpanne sowie für die Wiederherstellung von Daten. • Dokumentation aller Schritte ab Entdeckung einer möglichen Dantenpanne Alle Datenpannen, unabhängig davon, ob sie meldepflichtig waren oder nicht, müssen intern dokumentiert werden (Art. 33 Abs. 5 DSGVO).

Die Dokumentation sollte umfassen: ▪ Sachverhalt der Verletzung ▪ Betroffene Datenkategorien und Personen ▪ Auswirkungen der Verletzung ▪ Ergriffene Abhilfemaßnahmen (wer, was, wann…?) ▪ Begründung für Nichtmeldung (falls zutreffend) ▪ Kopie der Meldung an die Aufsichtsbehörde und der Benachrichtigung an Betroffene (falls erfolgt) ◦ Diese Dokumentation dient auch als Nachweis gegenüber der Aufsichtsbehörde.

Schritt 1: Entdeckung und interne Sofortmeldung.

Schritt 2: Bewertung und Klassifizierung durch den DSB / die zuständige Person inkl. Risikobewertung

Schritt 3: Meldepflichten
◦ Meldung an die Aufsichtsbehörde (Art. 33 DSGVO): Wenn ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht, muss die Datenpanne innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Datenschutzaufsichtsbehörde gemeldet werden.
◦ Die Meldung muss mindestens enthalten: ▪ Beschreibung der Art der Verletzung (inkl. Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze) ▪ Name und Kontaktdaten des DSB oder einer anderen Anlaufstelle. ▪ Beschreibung der wahrscheinlichen Folgen der Verletzung. ▪ Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und ggf. zur Abmilderung der Auswirkungen.
◦ Ist eine vollständige Meldung innerhalb von 72 Stunden nicht möglich, können Informationen schrittweise nachgereicht werden, dies ist jedoch zu begründen.
◦ Benachrichtigung der betroffenen Personen (Art. 34 DSGVO): Wenn die Datenpanne voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat, müssen diese unverzüglich benachrichtigt werden. Ausnahmen von der Benachrichtigungspflicht können bestehen (z.B. wenn Daten verschlüsselt waren und der Schlüssel nicht kompromittiert wurde, oder wenn unverhältnismäßiger Aufwand entstünde – dann öffentliche Bekanntmachung).

Schritt 5: Operative (ggf. technische) Behebung der Datenpanne mit penibler Dokumentation der durchgeführten Schritte.

Schritt 6: Analyse und Prävention (Lessons Learned)
◦ Nach Abschluss der unmittelbaren Maßnahmen wird die Datenpanne analysiert, um die Ursachen zu verstehen. Es werden Maßnahmen abgeleitet, um ähnliche Vorfälle in Zukunft zu verhindern (z.B. Anpassung technischer und organisatorischer Maßnahmen, zusätzliche Schulungen).

Schulung und Sensibilisierung: Alle Mitarbeiter werden regelmäßig (z.B. jährlich und bei Einstellung) über diesen Prozess und ihre Pflichten im Falle einer Datenpanne geschult.

2 Schutzbedarf und rechtlicher Rahmen

Vertrauliche Unterlagen sind alle Träger von Informationen, durch die eine betriebsfremde Person Einblick in das Geschäft erlangen kann. Dabei ist es unerheblich, ob diese Unterlagen in digitaler Form als Datei oder auf Papier vorliegen.

Vertrauliche Unterlagen sind zum Beispiel (nicht abschließend):

Budget‑, Mengen‑, Kosten-Plan- und IST-Zahlen, Kalkulationen
Kollektions- und Kommunikationsplanung, Farbmuster, Muster v. Produkten vor Launch
Orga-Charts, Post- / E‑Mail-Adressen, Telefonnummern, Urlaubsdaten, Bewerber-Unterlagen
Verträge, Konditionen oder Korrespondenz mit Kunden oder Zulieferern
Verfahren und Konstruktions- und Prozessbeschreibungen, Maschinen-Einstellungen
Interne Verfahrensanweisungen, Strategiepapiere, Präsentationen, Rundschreiben
Passwörter und andere Zugangsdaten, PINs, Kundennummern
Alle personenbezogenen Daten, d.h. alle Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).
Alle Daten von Kunden: Adressdaten, Mengendaten, Bestände und Preise

Es ist zu beachten, dass für Außenstehende – insbesondere für Wettbewerber – vieles interessant sein kann – nicht nur das, was wir selbst als vertraulich einstufen würden.

Betriebs- und Geschäftsgeheimnisse sind Umstände oder Vorgänge, die nur einem begrenzten Personenkreis im Unternehmen bekannt, für Außenstehende aber wissenswert sind und die nach expliziten oder impliziten Regeln des Unternehmens geheim zu halten sind, weil ihre Kenntnis durch Außenstehende dem Unternehmen schaden kann.

2.1 Strafbare Handlungen

Es wird darauf hingewiesen, dass Strafvorschriften existieren hinsichtlich

(der Vorbereitung) des Ausspähens oder Abfangens von Daten nach § 202ff StGB
des Verrats von Betriebs- uns Geschäftsgeheimnissen; § 204 StGB i.V.m. §17 UWG
des Abhörens nach § 201 StGB i.V. m. §§ 88, 90 TTDSG oder § 206 StGB oder § 3 TTDSG
der Manipulation oder Unterdrückung von Daten nach § 267 ff StGB
Datenveränderung und Computersabotage nach § 303a ff StGB
der Störung von Telekommunikationsanlagen nach § 317 StGB

2.2 Allgemeine Regelungen und Rechtsvorschriften

Rechtsvorschriften für diese IT-Richtlinie und die internen Regelungen sind neben dem Bundesdatenschutzgesetz (BDSG) auch das Bürgerliche Gesetzbuch (BGB) sowie das Urheberechtsgesetz in Bezug auf den rechtskonformen Umgang mit Schutzrechten Dritter. In Bezug auf die IT-Administration sind das Telekomunikation-Telemedien-Datenschutz-Gesetz (TTDSG) ggf. einschlägig. Dazu einige Grundsätze:

Personenbezogene Daten dürfen nur dann erhoben, verarbeitet oder genutzt werden, wenn es hierfür eine gesetzliche Erlaubnis oder eine Einwilligung des Betroffenen gibt.
Wichtigste gesetzliche Erlaubnis ist § 28 Absatz 1 Nr. 1 BDSG: Personenbezogene Daten dürfen für die Anbahnung, Durchführung oder Beendigung eines konkreten Rechtsgeschäfts (Dienstleistungsvertrag mit einem Kunden, Arbeitsvertrag mit einem Mitarbeiter) erhoben, verarbeitet und genutzt werden, und so lange aufbewahrt werden wie es erforderlich ist, sofern kein anderes Gesetz (z.B. Steuergesetze) eine längere Aufbewahrung vorschreibt (Geschäftsbriefe, auch E‑Mails: 6 Jahr, buchhalterisch relevante Unterlagen 10 Jahre).
Ohne Einwilligung der betroffenen Personen dürfen darüber hinaus keine personenbezogenen Daten gesammelt, verarbeitet (auch: gespeichert) und genutzt werden. Auch die Weitergabe personenbezogener Daten innerhalb des Betriebes ist nur dann zulässig, wenn der Empfänger diese Information zur Erfüllung seiner beruflichen Tätigkeit benötigt.
Bei Unklarheit über die Zulässigkeit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten und bei neuen Datenverarbeitungs-Prozessen ist der Vorgesetzte oder der Datenschutzbeauftragte (Kontaktdaten am schwarzen Brett) zu kontaktieren.
Die Vertraulichkeit und Korrektheit der auf Computern des Unternehmens gespeicherten Daten muss durch Zugangs- und Zugriffskontrollen geschützt werden, so dass nur berechtigte Mitarbeiter Zugriff erhalten. Darüber hinaus muss der Zugriff so begrenzt werden, dass nur die für die jeweilige Aufgabenerfüllung notwendigen Zugriffsrechte gewährt werden. Hierzu wird auf das betriebsinterne Berechtigungskonzept (Inhalt von „4.1 Administrationsrichtlinie“ => Zugangskontrolle) verwiesen.
Sofern personenbezogene Daten auch für Kunden verarbeitet werden, müssen die Daten des Unternehmens und der jeweiligen Kunden getrennt gespeichert und bearbeitet werden. Es ist Sorge dafür zu tragen, dass es zu keiner Vermengung der Datenbestände kommt.
Datenschutz- und Anfragen Betroffener auf Auskunft sind zu beachten! Diesbezügliche Anfragen oder Beschwerden sind unverzüglich der Geschäftsleitung und/oder dem Datenschutzbeauftragten zuzuleiten. Das gilt auch für Werbe-Widersprüche.

2.3 Verpflichtung zur Vertraulichkeit

Wir legen in unserem Unternehmen besonderen Wert auf die Vertraulichkeit im Umgang mit schutzbedürftigen Informationen.

Dabei genießen personenbezogene Daten besonderen gesetzlichen Schutz. Personenbezogene Daten sind nicht nur die Daten, die sich konkret einer bestimmten Person zuordnen lassen (wie z.B. Name, Kontaktdaten, Beruf, Aufgabe im Unternehmen etc.), sondern auch die Daten, bei denen die Person erst über zusätzliche Informationen bestimmbar gemacht werden kann.

Für personenbezogene Daten gelten die jeweils einschlägigen gesetzlichen Vorschriften zum Datenschutz wie z.B. die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union und auch das Bundesdatenschutzgesetz (BDSG).

Nach den Vorgaben DSGVO dürfen personenbezogene Daten nur dann verarbeitet werden, wenn es hierzu eine Rechtsgrundlage gibt oder der Betroffene eingewilligt hat. Die Daten dürfen grundsätzlich nur zu den vorgesehenen Zwecken verwendet werden. Bei der Verarbeitung der Daten ist insbesondere zu gewährleisten, dass die Integrität, Verfügbarkeit und Vertraulichkeit der personenbezogenen Daten gewährleistet ist.

In unserem Unternehmen haben wir Vorgaben und Geschäftsprozesse für die Verarbeitung personenbezogener Daten und insbesondere die Vertraulichkeit definiert und können diese auch durch weitere betriebliche Anweisungen der Unternehmensleitung konkretisieren.

Für Sie konkret bedeutet diese Verpflichtung zur Vertraulichkeit, dass Sie Daten nur im Rahmen unserer internen Vorgaben verwenden und diese gegenüber Dritten vertraulich behandeln.

Darüber hinaus sind aber auch Geschäftsgeheimnisse i.S.d. Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG) schutzbedürftige Daten. Eine Offenlegung von Geschäftsgeheimnissen darf grundsätzlich nur dann erfolgen, wenn der jeweilige Vertrags- oder Geschäftspartner zuvor auf die Vertraulichkeit verpflichtet worden ist und das einzuhaltende Sicherheitsniveau für den Schutz der Daten beim Empfänger der Daten gewährleistet ist.

Wenn Sie hierzu Fragen haben oder sich im Zweifel unsicher sind, welche Regelungen zu treffen bzw. einzuhalten sind, können und sollten Sie sich jederzeit an Ihre/n Vorgesetzte/n wenden.

Ein Verstoß gegen Ihre Vertraulichkeitspflichten kann als arbeitsvertragliche Pflichtverletzung geahndet werden.

Darüber hinaus stellt eine unzulässige Verarbeitung von personenbezogenen Daten in bestimmten Fällen auch eine Straftat oder Ordnungswidrigkeit nach den §§ 42, 43 BDSG (s. Anlage) dar.

Eine Verletzung von Geschäftsgeheimnissen kann zudem nach § 23 GeschGehG strafbar sein.

Beachten Sie ferner auch, dass bei einer unzulässigen Verarbeitung von personenbezogenen Daten durch unser Unternehmen Geldbußen von bis zu 20 Mio. Euro möglich sind. Wir sollten daher gemeinsam darauf achten, dass die Verarbeitung personenbezogener Daten in unserem Unternehmen in zulässiger Art und Weise erfolgt.

Diese Verpflichtung zur Vertraulichkeit besteht auch nach Beendigung des Beschäftigungsverhältnisses fort.

Etwaige andere Vertraulichkeitsvereinbarungen zwischen Ihnen und dem Unternehmen bleiben unberührt.

2.3.1 Merkblatt zur Vertraulichkeitserklärung

Art. 24 DSGVO – Verantwortung des für die Verarbeitung Verantwortlichen

(1) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.

(2) Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen.

3 TTDSG – Vertraulichkeit der Kommunikation
(1) Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.
(2) Zur Wahrung des Fernmeldegeheimnisses sind verpflichtet
1. Anbieter von öffentlich zugänglichen Telekommunikationsdiensten sowie natürliche und juristische Personen, die an der Erbringung solcher Dienste mitwirken,
2. Anbieter von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten sowie natürliche und juristische Personen, die an der Erbringung solcher Dienste mitwirken,
3. Betreiber öffentlicher Telekommunikationsnetze und
4. Betreiber von Telekommunikationsanlagen, mit denen geschäftsmäßig Telekommunikationsdienste erbracht werden. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist.

(3) Den nach Absatz 2 Satz 1 Verpflichteten ist es untersagt, sich oder anderen über das für die Erbringung der Telekommunikationsdienste oder für den Betrieb ihrer Telekommunikationsnetze oder ihrer Telekommunikationsanlagen einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder von den näheren Umständen der Telekommunikation zu verschaffen. Sie dürfen Kenntnisse über Tatsachen, die dem Fernmeldegeheimnis unterliegen, nur für den in Satz 1 genannten Zweck verwenden. Eine Verwendung dieser Kenntnisse für andere Zwecke, insbesondere die Weitergabe an andere, ist nur zulässig, soweit dieses Gesetz oder eine andere gesetzliche Vorschrift dies vorsieht und sich dabei ausdrücklich auf Telekommunikationsvorgänge bezieht. Die Anzeigepflicht nach § 138 des Strafgesetzbuches hat Vorrang.
(4) Befindet sich die Telekommunikationsanlage an Bord eines Wasser- oder Luftfahrzeugs, so besteht die Pflicht zur Wahrung des Fernmeldegeheimnisses nicht gegenüber der Person, die das Fahrzeug führt, und ihrer Stellvertretung.

67 Abs. 1 SGB X – Sozialdaten

Sozialdaten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener), die von einer in § 35 des Ersten Buches genannten Stelle im Hinblick auf ihre Aufgaben nach diesem Gesetzbuch erhoben, verarbeitet oder genutzt werden.

35 SGB I – Sozialgeheimnis

Jeder hat Anspruch darauf, dass die ihn betreffenden Sozialdaten (§ 67 Abs. 1 Zehntes Buch) von den Leistungsträgern nicht unbefugt erhoben, verarbeitet oder genutzt werden (Sozialgeheimnis). Die Wahrung des Sozialgeheimnisses umfaßt die Verpflichtung, auch innerhalb des Leistungsträgers sicherzustellen, daß die Sozialdaten nur Befugten zugänglich sind oder nur an diese weitergegeben werden. Sozialdaten der Beschäftigten und ihrer Angehörigen dürfen Personen, die Personalentscheidungen treffen oder daran mitwirken können, weder zugänglich sein noch von Zugriffsberechtigten weitergegeben werden. Der Anspruch richtet sich auch gegen die Verbände der Leistungsträger, die Arbeitsgemeinschaften der Leistungsträger und ihrer Verbände, die Datenstelle der Träger der Rentenversicherung, die in diesem Gesetzbuch genannten öffentlich-rechtlichen Vereinigungen, gemeinsame Servicestellen, Integrationsfachdienste, die Künstlersozialkasse, die Deutsche Post AG, soweit sie mit der Berechnung oder Auszahlung von Sozialleistungen betraut ist, die Behörden der Zollverwaltung, soweit sie Aufgaben nach § 2 des Schwarzarbeitsbekämpfungsgesetzes und § 66 des Zehnten Buches durchführen, die Versicherungsämter und Gemeindebehörden sowie die anerkannten Adoptionsvermittlungsstellen (§ 2 Abs. 2 des Adoptionsvermittlungsgesetzes), soweit sie Aufgaben nach diesem Gesetzbuch wahrnehmen und die Stellen, die Aufgaben nach § 67c Abs. 3 des Zehnten Buches wahrnehmen. Die Beschäftigten haben auch nach Beendigung ihrer Tätigkeit bei den genannten Stellen das Sozialgeheimnis zu wahren.

85 SGB X – Bußgeldvorschriften

(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

entgegen § 78 Abs. 1 Satz 1 Sozialdaten verarbeitet oder nutzt, wenn die Handlung nicht nach Absatz 2 Nr. 5 geahndet werden kann,

1a. entgegen § 80 Absatz 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt,

1b. entgegen § 80 Absatz 2 Satz 4 sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt,

entgegen § 80 Abs. 4, auch in Verbindung mit § 67d Abs. 4 Satz 2, Sozialdaten anderweitig verarbeitet, nutzt oder länger speichert oder
entgegen § 81 Abs. 4 Satz 1 dieses Gesetzes in Verbindung mit § 4f Abs. 1 Satz 1 oder 2 des Bundesdatenschutzgesetzes, diese jeweils auch in Verbindung mit § 4f Abs. 1 Satz 3 und 6 des Bundesdatenschutzgesetzes, einen Beauftragten für den Datenschutz nicht oder nicht rechtzeitig bestellt.

(2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

unbefugt Sozialdaten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet,
unbefugt Sozialdaten, die nicht allgemein zugänglich sind, zum Abruf mittels automatisierten Verfahrens bereithält,
unbefugt Sozialdaten, die nicht allgemein zugänglich sind, abruft oder sich oder einem anderen aus automatisierten Verarbeitungen oder nicht automatisierten Dateien verschafft,
die Übermittlung von Sozialdaten, die nicht allgemein zugänglich sind, durch unrichtige Angaben erschleicht,
entgegen § 67c Abs. 5 Satz 1 oder § 78 Abs. 1 Satz 1 Sozialdaten für andere Zwecke nutzt, indem er sie an Dritte weitergibt oder
entgegen § 83a Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht.

(3) Die Ordnungswidrigkeit kann im Falle des Absatzes 1 mit einer Geldbuße bis zu fünfzigtausend Euro, in den Fällen des Absatzes 2 mit einer Geldbuße bis zu dreihunderttausend Euro geahndet werden. Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus den Ordnungswidrigkeiten gezogen hat, übersteigen. Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden.

85a SGB X – Strafvorschriften

(1) Wer eine in § 85 Abs. 2 bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

(2) Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind der Betroffene, die verantwortliche Stelle, der Bundesbeauftragte für den Datenschutz oder der zuständige Landesbeauftragte für den Datenschutz.

206 StGB – Verletzung des
Post- oder Fernmeldegeheimnisses

(1) Wer unbefugt einer anderen Person eine Mitteilung über Tatsachen macht, die dem Post oder Fernmeldegeheimnis unterliegen und die ihm als Inhaber oder Beschäftigtem eines Unternehmens bekanntgeworden sind, das geschäftsmäßig Post- oder Telekommunikationsdienste erbringt, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.
(2) Ebenso wird bestraft, wer als Inhaber oder Beschäftigter eines in Absatz 1 bezeichneten Unternehmens unbefugt

eine Sendung, die einem solchen Unternehmen zur Übermittlung anvertraut worden und verschlossen ist, öffnet oder sich von ihrem Inhalt ohne Öffnung des Verschlusses unter Anwendung technischer Mittel Kenntnis verschafft,
eine einem solchen Unternehmen zur Übermittlung anvertraute Sendung unterdrückt oder 3. eine der in Absatz 1 oder in Nummer 1 oder 2 bezeichneten Handlungen gestattet oder fördert.

(3) Die Absätze 1 und 2 gelten auch für Personen, die

Aufgaben der Aufsicht über ein in Absatz 1 bezeichnetes Unternehmen wahrnehmen,
von einem solchen Unternehmen oder mit dessen Ermächtigung mit dem Erbringen von Post- oder Telekommunikationsdiensten betraut sind oder
mit der Herstellung einer dem Betrieb eines solchen Unternehmens dienenden Anlage oder mit Arbeiten daran betraut sind.

(4) Wer unbefugt einer anderen Person eine Mitteilung über Tatsachen macht, die ihm als außerhalb des Post- oder Telekommunikationsbereichs tätigem Amtsträger auf Grund eines befugten oder unbefugten Eingriffs in das Post- oder Fernmeldegeheimnis bekanntgeworden sind, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

(5) Dem Postgeheimnis unterliegen die näheren Umstände des Postverkehrs bestimmter Personen sowie der Inhalt von Postsendungen. Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.

17 UWG – Verrat von Geschäfts-
und Betriebsgeheimnissen

(1) Wer als eine bei einem Unternehmen beschäftigte Person ein Geschäfts- oder Betriebsgeheimnis, das ihr im Rahmen des Dienstverhältnisses anvertraut worden oder zugänglich geworden ist, während der Geltungsdauer des Dienstverhältnisses unbefugt an jemand zu Zwecken des Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Absicht, dem Inhaber des Unternehmens Schaden zuzufügen, mitteilt, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(2) Ebenso wird bestraft, wer zu Zwecken des Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Absicht, dem Inhaber des Unternehmens Schaden zuzufügen,

sich ein Geschäfts- oder Betriebsgeheimnis durch
Anwendung technischer Mittel,
Herstellung einer verkörperten Wiedergabe des Geheimnisses oder
Wegnahme einer Sache, in der das Geheimnis verkörpert ist, unbefugt verschafft oder sichert oder
ein Geschäfts- oder Betriebsgeheimnis, das er durch eine der in Absatz 1 bezeichneten Mitteilungen oder durch eine eigene oder fremde Handlung nach Nummer 1 erlangt oder sich sonst unbefugt verschafft oder gesichert hat, unbefugt verwertet oder jemandem mitteilt.

(3) Der Versuch ist strafbar.

(4) In besonders schweren Fällen ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter

gewerbsmäßig handelt,
bei der Mitteilung weiß, dass das Geheimnis im Ausland verwertet werden soll, oder
eine Verwertung nach Absatz 2 Nr. 2 im Ausland selbst vornimmt.

(5) Die Tat wird nur auf Antrag verfolgt, es sei denn, dass die Strafverfolgungsbehörde wegen des besonderen öffentlichen Interesses an der Strafverfolgung ein Einschreiten von Amts wegen für geboten hält.

(6) § 5 Nr. 7 des Strafgesetzbuches gilt entsprechend.

23GeschGeG – Verletzung von Geschäftsgeheimnissen
(1) Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer zur Förderung des eigenen oder fremden Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Absicht, dem Inhaber eines Unternehmens Schaden zuzufügen,

1.entgegen § 4 Absatz 1 Nummer 1 ein Geschäftsgeheimnis erlangt,

2.entgegen § 4 Absatz 2 Nummer 1 Buchstabe a ein Geschäftsgeheimnis nutzt oder offenlegt oder3.entgegen § 4 Absatz 2 Nummer 3 als eine bei einem Unternehmen beschäftigte Person ein Geschäftsgeheimnis, das ihr im Rahmen des Beschäftigungsverhältnisses anvertraut worden oder zugänglich geworden ist, während der Geltungsdauer des Beschäftigungsverhältnisses offenlegt.

(2) Ebenso wird bestraft, wer zur Förderung des eigenen oder fremden Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Absicht, dem Inhaber eines Unternehmens Schaden zuzufügen, ein Geschäftsgeheimnis nutzt oder offenlegt, das er durch eine fremde Handlung nach Absatz 1 Nummer 2 oder Nummer 3 erlangt hat.
(3) Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer zur Förderung des eigenen oder fremden Wettbewerbs oder aus Eigennutz entgegen § 4 Absatz 2 Nummer 2 oder Nummer 3 ein Geschäftsgeheimnis, das eine ihm im geschäftlichen Verkehr anvertraute geheime Vorlage oder Vorschrift technischer Art ist, nutzt oder offenlegt.

(4) Mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe wird bestraft, wer

in den Fällen des Absatzes 1 oder des Absatzes 2 gewerbsmäßig handelt,
in den Fällen des Absatzes 1 Nummer 2 oder Nummer 3 oder des Absatzes 2 bei der Offenlegung weiß, dass das Geschäftsgeheimnis im Ausland genutzt werden soll, oder

3.in den Fällen des Absatzes 1 Nummer 2 oder des Absatzes 2 das Geschäftsgeheimnis im Ausland nutzt.
(5) Der Versuch ist strafbar.
(6) Beihilfehandlungen einer in § 53 Absatz 1 Satz 1 Nummer 5 der Strafprozessordnung genannten Person sind nicht rechtswidrig, wenn sie sich auf die Entgegennahme, Auswertung oder Veröffentlichung des Geschäftsgeheimnisses beschränken.
(7) § 5 Nummer 7 des Strafgesetzbuches gilt entsprechend. Die §§ 30 und 31 des Strafgesetzbuches gelten entsprechend, wenn der Täter zur Förderung des eigenen oder fremden Wettbewerbs oder aus Eigennutz handelt.
(8) Die Tat wird nur auf Antrag verfolgt, es sei denn, dass die Strafverfolgungsbehörde wegen des besonderen öffentlichen Interesses an der Strafverfolgung ein Einschreiten von Amts wegen für geboten hält.

2.3.2 Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach der DS-GVO

Quelle / Herausgeber:

Bayerisches Landesamt für Datenschutzaufsicht
Promenade 27
91522 Ansbach
Telefon: (0981) 53 — 1300
Telefax: (0981) 53 — 981300
E‑Mail: poststelle@lda.bayern.de
Webseite: www.lda.bayern.de Stand: Februar 2018

Hier klicken, um die das Dokument als PDF anzuzeigen und zu lesen

3 Infrastruktur

Die Infrastruktur muss mit angemessener Sorgfalt vor Verlust, Beschädigung, übermäßiger Abnutzung oder Missbrauch geschützt werden. IT Ressourcen (PCs, Notebooks, Drucker u.a.) sind Eigentum des Unternehmens und werden den Mitarbeitern grundsätzlich nur zur Erfüllung ihrer geschäftlichen Tätigkeit zur Verfügung gestellt.

3.1 Internet-Zugang über das Firmennetzwerk

Das Unternehmen protokolliert und speichert alle Zugriffe auf die Kommunikationssysteme und IP-/Webadressen. Protokolliert werden eingesetzte Software, Datum, Uhrzeit, Rechner- oder Benutzerkennung, Fehlercode, Anzahl der übertragenen Bytes, Zieladresse des angeforderten Dokuments und weitere technische Daten zur Analyse der IT-Infrastruktur. Die Daten werden automatisiert permanent oder durch einen damit beauftragten Mitarbeiter stichprobenweise auf Missbrauchsfälle auf pseudonymisierter – idealerweise sogar anonymer – Basis ausgewertet.

In hinreichenden Verdachtsfällen kann das Nutzerverhalten einzelner Beschäftigter im Rahmen der datenschutzrechtlich zulässigen Grenzen durch technische Vorkehrungen auch direkt überwacht werden, um Verstöße gegen Vorschriften oder Straftaten nachweisen zu können.

Ein Anspruch auf Internetnutzung besteht nicht. Die Geschäftsleitung kann ohne weitere Angabe von Gründen den Zugang zu einzelnen Webseiten und/oder Internetdiensten sperren, wenn sie zu der Auffassung gelangt, dass dies dem Betriebsablauf förderlich ist, wenn die Nutzungsvorschriften missachtet werden oder um Schaden vom Unternehmen abzuwenden.

In besonders sensitiven Arbeits-Bereichen kann die Nutzung des Internet deutlich eingeschränkt werden und z.B. nur die E‑Mail-Nutzung erlaubt sein. Derartige Restriktionen dürfen nicht durch Einrichtung zusätzlicher Software und Nutzung vorhandener technischer Maßnahmen umgangen werden.

3.2 Benutzung von Funknetzen / WLAN-Netzen

Funknetze machen an Wänden und Mauern keinen Halt. Sie können auch von außen bzw. von Außenstehenden geräuschlos und möglicherweise unbemerkt genutzt werden.
Daher sind hierfür besondere Regeln einzuhalten:

Die Nutzung der WLAN-Zugänge (Access Points) im Firmennetz darf ausschließlich mit hierfür registrierter, firmeneigener Hardware erfolgen. Versuche, andere – insbesondere private – Endgeräte ins WLAN einzubinden, sind untersagt. Es wird darauf hingewiesen, dass Verbindungsversuche protokolliert werden können. Der Verlust bzw. Diebstahl einer für den WLAN-Zugang vorkonfigurierten Hardware ist unverzüglich zu melden.

Sofern für den Zugang zum Firmen-WLAN ein Passwort verwendet wird, ist dies streng geheim zu halten und darf nicht an Dritte weitergegeben werden. Das Passwort darf nicht in Schriftform aufbewahrt werden, schon gar nicht zusammen mit dem mobilen Gerät. Unregelmäßigkeiten bei der Anmeldung oder Nutzung des WLANs sind den IT-Verantwortlichen unverzüglich zu melden, da dies ein Zeichen für einen Angriffsversuch sein kann. Sofern ein Zertifikatsfehler beim verschlüsselten Zugriff auf Server (z.B. Online-Banking, Web-Mail) angezeigt wird, darf die Nutzung unter keinen Umständen fortgesetzt werden.

Die eigenmächtige Einrichtung zusätzlicher WLAN-Zugänge zur Verbesserung der Funknetzabdeckung bzw. des Datendurchsatzes ist untersagt. Für private Mobiltelefone steht je nach betrieblichen Möglichkeiten – ohne Gewährleistung einer Verfügbarkeit und unter dem Vorbehalt der jederzeitigen Widerrufbarkeit – ein Gäste-Netz zur Verfügung. Hierfür können gesonderte Nutzungsbedingungen gelten, die bei der Personalleitung zu erfragen sind.

Das automatische Wiederverbinden mit WLAN-Netzwerken, mit denen ein Firmengerät schon einmal verbunden war, ist zu deaktivieren. Das gilt sowohl für PCs und Laptops als auch für Smartphones und Tablets.

Es dürfen nur dann öffentlich zugängliche WLAN-Hotspots (Starbucks, Telekom, etc.) genutzt werden, wenn diese eine verschlüsselte Verbindung anbieten.

Muss im Ausnahmefall eine Verbindung über öffentlich zugängliche WLAN-Hotspots hergestellt werden, so ist die Datenübertragung nach Anmeldung am WLAN (etwa durch Voucher-Code etc.) durch den Einsatz von VPN-Verbindungen vor Abhörangriffen zu schützen. Firmendaten wie etwa Emails dürfen erst dann über das öffentliche WLAN-Netze übertragen werden, wenn eine VPN-Verbindung aufgebaut ist. Das öffentliche WLAN-Netz ist nach der Nutzung aus den Profileinstellungen zu entfernen, um ein unbeabsichtigtes erneutes Verbinden des Gerätes mit dem Netz zu vermeiden.

3.3 Fernzugriff auf das Unternehmensnetzwerk

Zur Absicherung von Remote Access-Zugriffen auf das Firmennetzwerk wird eine verschlüsselte Verbindung vorausgesetzt und verwendet. genutzt. Damit ist gewährleistet, dass auch vertrauliche und/oder personenbezogene Daten sicher übertragen werden. Folgende Regeln sind zu beachten:

Fernverbindungen mit dem Firmennetzwerk dürfen nur über die vorhandenen, vom IT-Verantwortlichen eingerichteten Zugänge erfolgen.
Passwörter dürfen nicht auf mobilen Systemen gespeichert werden, sondern müssen bei jedem Verbindungsaufbau immer wieder neu von Hand eingegeben werden. Eine Speicherung ist dann gestattet, wenn das Gerät selbst:

eine automatische Sperrung bei Nichtbenutzung vornimmt und
zur Entsperrung ein Kennwort benötigt und
das gesamte Speichersystem (HDD, SSD, USB-Stick,…) verschlüsselt ist

4 Nutzung des Arbeitsplatzrechners

Auf den Arbeitsplatzrechnern darf nur die Software genutzt werden, die vom Unternehmen explizit freigegeben wurde und für die eine rechtmäßige Lizenz im Unternehmen existiert.

Eigenmächtige Installation weiterer Software ohne vorhergehende Genehmigung ist untersagt. Insbesondere gilt dies für Software-Downloads aus dem Internet, wie z.B. für Public-Domain- und Shareware-Programme sowie Bildschirmschoner und Spiele. Auch Gratis-Dienste im Internet (wie Google-Docs, Dropbox, Skydrive, etc.) dürfen nicht genutzt werden. Das Anfertigen von Kopien der auf dem Rechner vorhandenen lizenzierten Software ist untersagt.

Eine Ausnahme stellen Techniker-PCs dar. Hier sind außerordentliche Installationen von Software zu Test- und Administrationszwecken erlaubt, wenn…

die Software und deren Anbieter vor der Installation im Rahmen der Möglichkeiten des Technikers auf Vertrauenswürdigkeit überprüft wurde und
eine aktuelle Viren‑, Malware und Firewall-Lösung auf dem PC installiert wurde und
die Installation dem betrieblichen Erfolg dient.

4.1 Sperrung bei Abwesenheit / Herunterfahren bei Dienstschluss

Bei Arbeitsende sind PCs/Notebooks herunterzufahren. Mobile Computer (Notebooks, Tablet-PCs) sind in verschlossenen Schränken zu verstauen. Bei kurzzeitigem Entfernen vom Arbeitsplatz ist der Computer zu sperren (Windows-Taste + „L“ – oder Strg+Alt+Entf – Computer sperren).

Jeder Mitarbeiter hat dafür Sorge zu tragen, dass auf seinen PCs eine automatische Sperrung nach 10 Minuten Stillstand erfolgt. Diese Sperrung kann wahlweise über die Windows-Sperrung oder über einen kennwortgeschützten Bildschirmschoner realisiert werden.

4.2 Virenschutz und Sicherheits-Settings

Computerviren sind Programme, die entwickelt werden, um unberechtigte Änderungen an Programmen und Daten vorzunehmen. Sie können deshalb Unternehmensressourcen und Datenbestände zerstören oder stehlen. Es ist daher untersagt, die installierten Virenschutzprogramme zu deaktivieren, oder zu deinstallieren; auch eine Umkonfiguration der vorgegebenen Einstellungen ist untersagt.

Sofern der Mitarbeiter eine Beschädigung, ein Fehlverhalten oder unerklärliche Belastung des Computer-Systems feststellt, informiert er umgehend die IT-Abteilung. Letzteres kann ein Indiz für eine Infektion durch Viren, Würmer oder andere Schadprogramme sein.

Alle eigenmächtigen Änderungen an den Systemeinstellungen des Arbeitsplatzrechners oder Laptops, insbesondere den Sicherheitseinstellungen, sind untersagt. Das gilt auch für die Umgehung etwaiger Sperren und Zugangsbeschränkungen. Auf die §§ 202a‑c StGB wird verwiesen.

4.3 Kennwörter / Passwortschutz

Die Anwender müssen bei der Auswahl und Benutzung von Passwörtern bewährte sichere Verfahren anwenden:

Passwörter dürfen gegenüber anderen Personen nicht offengelegt werden; dies gilt auch für Geschäftsführung oder Systemadministratoren
Passwörter dürfen nicht aufgeschrieben werden, außer der IT-verantwortliche hat hierfür eine sichere Methode zugelassen. Eine sichere Methode kann eine von der IT-Abteilung bereitgestellte oder freigegebene Passwort-Management-Software sein (s.u.).
Vom Anwender erstellte Passwörter dürfen auf keinem Weg verbreitet werden (mündlich, schriftlich oder in elektronischer Form, etc.). Ausgenommen davon sind Initialpassörter (temporäre Passwörter).
Passwörter müssen geändert werden, falls es Anzeichen dafür gibt, dass die Passwörter oder das System kompromittiert sein könnten – in diesem Fall muss ein Sicherheitsvorfall gemeldet werden
Sichere Passwörter müssen mindestens aus 8 Zeichen bestehen
Sichere Passwörter müssen mindestens 2 der folgenden 3 Merkmale erfüllen:

Benutzung mindestens eines Sonderzeichens
Benutzung mindestens einer Ziffer
enthält mindestens einen Großbuchstaben und einen Kleinbuchstaben

Ferner zeichnet sich ein sicheres Passwort dadurch aus, dass

das Passwort nicht in einem Wörterbuch enthalten sein, kein Wort im Dialekt oder in der Umgangssprache irgendeiner Sprache oder irgendein solches Wort rückwärts geschrieben sein darf.
keine persönlichen Daten enthalten darf (z.B. Geburtsdatum, Adresse, Name von Familienmitgliedern, etc.)
es nicht den letzten drei verwendeten Passwörtern entspricht
es nicht auch für private Zwecke genutzt wird.

Passwörter müssen in folgender Frequenz geändert werden

Windows-Passwörter und Passwörter für den Office-Fileserver: nach Aufforderung durch die Geschäftsleitung in einem angemessenen Turnus
Passwörter für Web-Anwendungen sind vom Nutzer spätestens alle 365 Tage zu ändern,
davon ausgenommen sind Passwörter für Datenbanken (s. Richtlinie zur Entwicklungssicherheit, Dok.Nr. 4.4)

5 Nutzung von mobilen Geräten

Bereitgestellte mobile Geräte des Unternehmens wie Notebooks, PDAs, Smartphone, Tablets und ähnliche Geräte sind jederzeit sicher aufzubewahren. Dies gilt insbesondere bei externen Terminen und auf Reisen. Muss das Gerät in Ausnahmefällen für einige Zeit unbeaufsichtigt bleiben, so ist es gegen Diebstahl und unberechtigten Zugriff zu sichern. Bei Flugreisen sind mobile Geräte als Handgepäck zu führen. Sofern ein mobiles Gerät ausnahmsweise in einem Fahrzeug verbleiben muss, so darf es von außen nicht sichtbar sein, sondern im Kofferraum eingeschlossen und ggf. abgedeckt werden.

Bei Nutzung der mobilen Geräte während Reisetätigkeiten (z.B. im Zug oder im Café), ist der Schutz des Bildschirms mittels eines Blickschutzes vor unberechtigter Einsichtnahme Dritter zu empfehlen. Zur Schadensbegrenzung bei möglichem Verlust dürfen nur jeweils notwendige Informationen auf den Geräten gespeichert werden. Mobile Geräte sind durch einen Zugangsschutz (PIN, Touch ID (Apple) o.ä.) geschützt. Dieser Schutz darf nicht deaktiviert werden.

Sensible Informationen auf mobilen Geräten sind verschlüsselt abzulegen (bei Android explizit zu aktivieren, auch für die SD-Karte). Bei Fragen zu entsprechenden Verschlüsselungstools ist die Technik-Abteilung oder ihre Leitung zu konsultieren. Die hinreichende Verschlüsselung von Daten kann im Verlustfall des Gerätes eine aufsichtsbehördliche Meldepflicht vermeiden. Sofern mobile Geräte auf Fernreisen mitgeführt werden sollen, ist zuvor abzuklären, ob die verwendete Verschlüsselungstechnologie im Ziel- oder Transitland eine Straftat darstellt (etwa: China oder USA). WLAN- und Bluetooth-Schnittstellen sind nach Möglichkeit zu deaktivieren, wenn sie nicht genutzt werden.

Die ordnungsgemäße Nutzung von mobilen Geräten kann in einer Überlassungsvereinbarung näher geregelt werden und durch eine sog. „Mobile-Device-Management“-Software überwacht und durchgesetzt werden.

6 Datenspeicher

Datenspeicher dürfen nur dann genutzt werden, wenn sie von der Geschäftsführung genehmigt sind.

Weitergaben von betrieblichen Datenspeichern oder Cloud-Diensten sind untersagt.

7 Nutzung von Telefoniegeräten

Die Benutzung betrieblicher Telefone für private Gespräche ist grundsätzlich nicht gestattet. Ausgenommen davon sind dienstlich veranlasste Gespräche, wie z.B. die Benachrichtigung Angehöriger über dienstlich veranlasste Verspätungen oder Kommunikation in Notfällen.

7.1 Aufzeichnung der Verbindungsdaten

Die Verbindungsdaten aller ausgehenden Telefonate der Telefonanlage sowie aller dienstlichen Mobiltelefone werden gespeichert. Erfasst werden folgende Daten:

Datum, Uhrzeit, Dauer des Anrufs,
Nebenstelle, vor der Anruf abgeht bzw. bei der der Anruf eingeht,
vollständige gewählte Rufnummer und ggf. die Nummer von eigehenden Anrufen,
Betrag der Gebühren.

Die Daten werden stichprobenartig auf Missbrauch (private Nutzung) kontrolliert. Besteht ein konkreter Missbrauchsverdacht oder ergibt sich ein solcher aus Stichprobenkontrollen, werden Daten für etwaige arbeitsrechtliche Maßnahmen ermittelt. Unberührt bleibt die persönliche Kontrolle durch Vorgesetzte (Augenschein). In dem Fall einer erlaubten Privatnutzung erteilt der Mitarbeiter dem Unternehmen die Einwilligung die Verbindungsdaten, die dann auch private, personenbezogene Daten enthalten können, zu analysieren.

8 „Clean Desk“ am Arbeitsplatz und im Unternehmen

Smartphones, Tablet-PCs und Datenträger dürfen auch bei kurzfristiger Abwesenheit vom Arbeitsplatz nicht offen liegen gelassen werden oder am Gerät eingesteckt verbleiben. USB- und mobile Geräte sind bei Nichtbenutzung verschlossen aufzubewahren.

Am Arbeitsplatz dürfen weder Unterlagen noch Datenträger mit sensiblen Daten unbeaufsichtigt und unverschlossen verbleiben. Außerhalb der Arbeitszeiten sind sämtliche Dokumente mit sensiblen Daten, sowie mobile dienstliche Geräte der Mitarbeiter unter Verschluss zu halten. Zugangsdaten (wie Username/Passwort) dürfen nicht schriftlich am Arbeitsplatz hinterlassen werden (etwa am Bildschirm angebracht, unter Tastatur oder Schreibunterlage – ausgenommen hiervon sind zentrale Administrations-Accounts, die in entsprechenden Tools verwaltet werden). Vertrauliche Unterlagen und Unterlagen mit personenbezogenen Daten gehören NICHT in den Papierkorb, sondern sind entweder zu schreddern oder in Papierentsorgungs-Tonnen zu werfen.

Bildschirm, Post- und Ablagekörbe müssen so angebracht sein, dass kein Besucher im Vorbeigehen Einblick nehmen oder Unterlagen einstecken kann, ohne dass es auffallen würde. Im Falle von kurzen Abwesenheiten muss durch Abmelden von allen Systemen bzw. durch Sperren des Bildschirms (mit erneuter Passworteingabe) sichergestellt sein, dass niemand unberechtigtes Zugang zu vertraulichen Daten erhält.

8.1 Nutzung von Besprechungszimmer

Beim Verlassen eines Besprechungszimmers sind alle Arbeitsdokumente, Präsentation, Flipcharts, USB-Speicher-Sticks, etc. mitzunehmen. Auch sind aus hygienischen Gründen alle Kaffeetassen- und Becher, Gläser, leere Flaschen, Geschirr und Unrat ordentlich zu entsorgen und der Tisch ist sauber zu hinterlassen. Der Beamer ist abzuschalten und die Stromversorgung zum Schutz des Leuchtmittels nicht eher zu trennen als die Lüftung sich abgeschaltet hat.

8.2 Ausdrucke und Faxe

Ausdrucke am Gemeinschafts-Drucker sind unverzüglich abzuholen. Bleiben Sie während des Kopiervorgangs bitte am Kopierer stehen. Holen Sie eingehende Faxe sofort ab, wenn Sie davon Kenntnis erhalten.

9 Heim- und Telearbeit

Der Zweck der Heimarbeits- und Telearbeitsplatzregelung ist es, den unberechtigten Zugang zu Mobilgeräten auch außerhalb der Räumlichkeiten des Unternehmens zu verhindern. Gerade im häuslichen Umfeld sind die Daten vor Einsicht und oder Zugriff durch Dritte oder Haushalts- und Familienangehörige zu schützen.

Jeder Mitarbeiter hat daher folgende technische und organisatorische Maßnahmen zu ergreifen, damit sichergestellt werden kann, dass Unterlagen und Daten, die sich in seinem Verfügungsbereich befinden, nicht missbraucht werden können, abhandenkommen oder Unbefugten zugänglich werden:

Der Transport von elektronischen Speichergeräten oder vertraulichen Akten bzw. Unterlagen muss immer in verschlossenen Behältnissen erfolgen.
Während des Transportes dürfen diese Behältnisse nicht unbeaufsichtigt bleiben. oder anderweitig privat weitergegeben werden.
Bildschirme sind grundsätzlich so zu platzieren, dass eine Einsicht durch Dritte (etwa durch das Fenster oder eine offene Tür) nicht möglich ist.
Jeder Mitarbeiter stellt sicher, dass alle Unterlagen und elektronischen Speichergeräte während der Abwesenheit unter Verschluss gehalten werden (verschließbarer Schrank).
Das Vernichten von vertraulichem Schriftgut darf stets nur mit den dafür vorgesehenen Aktenvernichtern erfolgen.
Datenträger, Unterlagen oder Ausdrucke dürfen nie im Hausmüll entsorgt werden.
Geräte wie zum Beispiel Notebooks, mit denen ein Zugriff auf das Firmennetzwerk möglich ist, dürfen niemandem zur Nutzung überlassen werden.
Die Person, die Ausstattung für Mobile Computing außerhalb der Räumlichkeiten der Organisation nutzt ist für die regelmäßige Sicherung der Daten verantwortlich.
Die Verbindung mit Kommunikationsnetzen und der Datenaustausch muss die Sensibilität der Daten widerspiegeln
Wenn die Aufbewahrung von Datenträgern nicht in einem verschlossenen Behältnis erfolgen kann, sind die darauf befindlichen Daten verschlüsselt vorzuhalten.

Die Heim- oder Telearbeit muss vorab schriftlich von der Geschäftsleitung genehmigt sein, es sei denn, es ist Gefahr in Verzug. Auch private Ausstattungen für den Heim- oder Telearbeitsplatz, dürfen – sofern nicht vom Unternehmen bereitgestellt – nur mit Genehmigung des IT-Sicherheitsbeauftragten genutzt werden. Die Mindest-Konfiguration dieser Geräte entspricht den Richtlinien 3.1 und 4.1. Der IT Sicherheitsbeauftragte kann zusätzliche Konfigurationseinstellungen bzw. Programme vorgeben.

9.1 Regelung für die Nutzung von eigenen Geräten (BYOD)

Mitarbeitern ist nur dann gestattet, eigene Geräte für die Erfüllung Ihrer Arbeit zu nutzen, wenn sie alle folgenden Regeln zusätzlich einhalten.

Update-Stand des Betriebssystems ist aktuell.
Der Datenspeicher, welcher in Verbindung mit Auftragsdaten kommt, ist verschlüsselt.
Das Gerät wechselt in den gesperrten Modus, wenn es länger als 5 Minuten nicht genutzt wird.
Das Gerät darf, wenn es Auftragsdaten hält, nicht überlassen werden.
Die Arbeit wird durch eine Software- oder Hardwarefirewall abgeschirmt.
Das Gerät ist nachweislich frei von Schadsoftware wie Viren, Trojanern oder Keyloggern.
Firmendaten werden nicht auf das Gerät kopiert. Falls die temporäre Zwischenspeicherung von Daten oder die Speicherung durch Synchronisation (z.B. Outlook) unvermeidbar ist, werden diese Daten nach ihrem Gebrauch wieder gelöscht.
Synchronisationsdaten, wie sie z.B. bei der Nutzung von Outlook entstehen, müssen jederzeit ausschließlich verschlüsselt gespeichert sein.
Die ausschließliche Vorhaltung von aktuellem Datenbestand auf einem privaten Gerät ist unzulässig. Sollte eine Aktualisierung von Firmendaten auf einem privaten Gerät erfolgen, wird der aktualisierte Datenbestand umgehend in die Serverumgebung überführt. Die lokale Instanz wird anschließend gelöscht.

Für mobile Endgeräte gilt zusätzlich.

Alle Festplatte(n) bzw. Permanentspeicher (HDD; SSD, M2,…) des Gerätes müssen verschlüsselt sein.
Für die Reaktivierung des Gerätes (beim Einschalten, Entsperren oder Erwachen aus einem Energiesparmodus wie dem Ruhezustand oder einem anderen Hybernation-Modus) wird eine Authentifizierung genutzt die zur Zeit der Nutzung als „sicher“ eingestuft wird.
Nachrichten bzw. deren Vorschau aus dem betrieblichen Umfeld dürfen nicht auf dem Sperrbildschirm angezeigt/eingeblendet werden.

10 Entsorgung, Vernichtung und Weiterverwendung

Kopien/Fehlausdrucke mit sensiblem Inhalt gehören nicht in den Papierkorb. Wichtige Unterlagen mit einem Reißwolf/Papier-Schredder zu vernichten oder sie in die dafür bereitgestellten Entsorgungscontainer zu werfen. Dabei sind etwaige bereichsspezifischen Aufbewahrungsfristen zu beachten.

10.1 Datenträger und Gerätschaften

Alte oder defekte Gerätschaften oder Datenträger (Disketten, CDs, DVDs, Bänder, Festplatten, USB-Speicher, SSDs) sind nicht in den Müll zu werfen, sondern sind der IT-Abteilung zu übergeben.

11 Verhalten bei IT-Sicherheitsvorfällen

Grundsätzlich gilt: Bewahren Sie Ruhe! – Handeln Sie überlegt! Stimmen Sie sich intern ab!

Sofern der Verdacht, die Wahrscheinlichkeit oder Gewissheit besteht, dass

Daten versehentlich oder absichtlich an einen nicht berechtigten Dritten, etwa an einen falschen oder unbekannten E‑Mail-Empfänger geschickt oder diesem sonst wie zur Kenntnis gelangt sind oder
sich ein Dritter oder Fremder Zugang zu den Systemen des Unternehmens verschafft hat
IT-Systeme sich ungewöhnlich verhalten, Dateien auf unerklärliche Weise verändert
oder gelöscht sind

ist dies der Geschäftsleitung unverzüglich ohne Ansehen der Verursachung und der Verantwortlichkeit zu melden. Nach § 42a BDSG können Meldepflichten bestehen, deren Versäumnis oder schuldhafte Verzögerung eine etwaige Ordnungswidrigkeit zur Straftat machen. Des Weiteren bestehen möglicherweise zivilrechtliche Informationspflichten. Über Zeitpunkt und Form der Erfüllung dieser Pflichten entscheidet die Geschäftsleitung.

Weitere Maßnahmen dürfen erst auf Veranlassung Berechtigter getroffen werden.

Geben Sie keine Informationen an Dritte weiter, ohne dass Sie explizit dazu autorisiert wurden. Das gilt auch und insbesondere für Behörden, für Kunden und Pressevertreter.

12 Verbesserung der Sicherheit

Diese Richtlinie wird regelmäßig auf ihre Aktualität und Wirksamkeit geprüft und angepasst. Die Geschäftsleitung unterstützt die ständige Verbesserung des Sicherheitsniveaus. Alle Mitarbeiter sind angehalten, mögliche Verbesserungen oder Schwachstellen an die Geschäftsleitung und/oder den Datenschutzbeauftragten weiterzugeben.

13 Privatnutzungsvereinbarung

Die Nutzung der IT-Systeme und Applikationen im Unternehmen ist ausschließlich zu dienstlichen Zwecken und in jeweils erlaubten Umfang zur Aufgabenerledigung zulässig. Abweichungen hiervon bedürfen der Erlaubnis der Vorgesetzten. Vorgesetzte haben sich insoweit mit der Unternehmensleitung auf Abweichungen zu verständigen.

Die Unternehmensleitung kann diese Freigabe auf IT-Verantwortliche und/oder das DST delegieren.

Die Benutzung privater Hard- und Software zu dienstlichen Zwecken ohne Genehmigung ist nicht zulässig. Es darf nur jene Software auf IT-Systemen des Unternehmens installiert werden, die vom Unternehmen freigegeben worden ist.

Die Speicherung privater Inhalte auf betrieblichen Geräten sowie die Weiterleitung in betriebliche Cloud-Produkte ist untersagt. Ebenso ist die Weiterleitung von betrieblichen Inhalten in private Email-Accounts oder private Cloud-Produkte und ‑Portale untersagt.

Den Mitarbeitern wird gestattet, private E‑Mails oder private Web-Portale über betriebliche Geräte zu nutzen. Die Speicherung privater Inhalte, das Herunterladen von Anhängen oder Ähnliches ist jedoch untersagt.

Der Umfang dieser Nutzung kann aus betrieblichen Gründen vom Unternehmen eingeschränkt werden.

13.1 individuelle Software für IT-Administratoren

IT-Administratoren dürfen Anwendungen, welche für die Erbringung ihrer administrativen Leistung notwendig ist, eigenverantwortlich installieren und nutzen. Sie stellen hierbei sicher, dass unsere Regelungen für den Datenschutz- und Datensicherheit eingehalten werden.

13.2 Cloud-Services

Beschäftigte erhalten dienstliche E‑Mail- und Cloud-Accounts. Die Nutzung von darf nur für dienstliche Zwecke erfolgen. Eine private Nutzung ist grundsätzlich untersagt, sofern nicht diese oder eine andere Unternehmensrichtlinie Ausnahmen hiervon regelt oder Vorgesetzte eine ausdrückliche Genehmigung erteilt haben.

13.3 mobile Endgeräte

Für den Fall, dass der Betrieb mitarbeitenden Personen Tablets oder Smartphones bereitstellt, so sind diese zu verschlüsseln und mit einem PIN zu sichern. Darauf dürfen dann betriebliche Daten gespeichert werden. Wenn die betrieblichen Inhalte von privaten Inhalten getrennt gespeichert werden können, z.B. durch die Wahl unterschiedlicher Apps, so ist auch die Speicherung privater Daten erlaubt. Der Betrieb hat das Recht, mobile Endgeräte zurückzufordern. In diesem Falle wird dies nach entfernen aller Konten und zurücksetzen des Gerätes auf Werkseinstellungen getan. Aus diesem Grund ist die produktive ausschließliche Speicherung von betrieblichen Inhalten untersagt; die Synchronisation hingegen ist erlaubt.

Sollte ein mobiles Gerät „Multi-SIM“-fähig sein, so erlaubt der Betrieb ebenfalls die zusätzliche Nutzung einer privaten SIM-Karte oder eSIM-Karte im selben Gerät. Diese ist vor Rückgabe physikalisch oder logisch zu entfernen.

13.3.1 Diebstahl, Defekt, Verlust und Sicherheitsverstöße

Das Gerät ist vor Diebstahl zu schützen, d.h. es ist grundsätzlich bei sich zu führen bzw. unter Aufsicht zu halten. Das Gerät ist vor unberechtigtem Einblick und Zugriff, insbesondere bei Nutzung auf Dienstreisen (Zug, Automobil, Flugzeug, …) sowie im privaten Umfeld zu schützen.
Der Defekt, Diebstahl oder sonst wie vermutete Verlust des Gerätes ist unverzüglich dem User Helpdesk, der Unternehmenssicherheit oder dem Vorgesetzten zu melden, um gebotene Maßnahmen einleiten zu können.
Das Unternehmen ist im Falle des Verlustes berechtigt, das Gerät zu sperren, alle dienstlichen und privaten Inhalte bzw. Daten auf dem Gerät zu löschen sowie die SIM-Karte zu deaktivieren.

Der Nutzer hat das Gerät pfleglich zu behandeln. Bei Defekt, Verlust oder Zerstörung während der Regelnutzungszeit erhält der Nutzer regelmäßig ein gleichwertiges, ggf. gebrauchtes Ersatzgerät, jedoch kein neueres oder aktuelleres Gerät. Bei Sicherheitsverstößen wird die Synchronisation des Gerätes deaktiviert, etwa durch Wechsel des Passwortes, bei groben Sicherheitsverstößen kann das Gerät gelöscht werden, sofern die technischen Möglichkeiten das zulassen. Die Entscheidung obliegt der IT-Abteilung. Diese wird sich bemühen den Nutzer vor der Maßnahme in Kenntnis zu setzen.

13.4 Notebooks

Notebooks sind ebenfalls mobile Endgeräte, für diese gilt der vorhergehende Abschnitt Punkt (mobile Endgeräte) jedoch nicht. Stattdessen gilt:

Auf betrieblichen Notebooks und Geräte ist die synchronisation oder die Speicherung privater Inhalte nur dann gestattet, wenn:

die Trennung betrieblicher und privater Daten gewährleistet werden kann (z.B. durch eine virtuelle Maschine oder eine Sandbox)
bei Rückforderung des Geräte durch den Betrieb eine umgehende Säuberung von allen privaten Inhalten durchgeführt werden kann, ohne dabei betriebliche Inhalte zu beeinflussen.

Die exklusive Speicherung von betrieblichen Daten auf Endgeräten ist untersagt. Stattdessen sind Terminalserver, Netzlaufwerke oder betriebliche Cloud-Dienste zu nutzen.

13.5 Telefon und Mobiltelefon

Da das Unternehmen Einzelverbindungsnachweise von Telefongesprächen aus betrieblichen Gründen wie z.B. der Rechnungskontrolle anfordern kann, muss sie alle Verbindungsdaten speichern und auswerten können. Protokolliert werden i.d.R. Datum, Uhrzeit, Anrufdauer, Nebenstelle und Zielrufnummer bei abgehenden bzw. Anrufernummer und Nebenstelle bei eingehenden Anrufen und der Betrag der Gebühren.

Das Unternehmen erlaubt unter dem Vorbehalt des Widerrufs die gelegentliche private Nutzung von Telefon und Mobiltelefon, falls Sie uns Ihre Einwilligung für die Erfassung der Verbindungsdaten zur Kontrolle der Telefonrechnungen geben. Aus Kostengründen untersagt bleibt die private Nutzung des Mobiltelefons bzw. der Datenkarten aus dem Ausland (Roaming) sowie die Nutzung kostenpflichtiger Mehrwertdienste.

Das Unternehmen behält sich vor, die Nutzung betrieblicher mobiler Geräte (Notebooks/ Tablets/Smartphones) durch eine Mobile-Device-Policy oder eine Überlassungsvereinbarung konkreter zu regeln und durch eine Mobile-Device-Management-Software zu kontrollieren. Details dazu werden vom Unternehmen den Mitarbeitern zur Kenntnis gegeben. Mobile Firmengeräte dürfen nicht mit privaten Geräten gekoppelt bzw. synchronisiert werden. Ein Backup auf privaten PC ist untersagt. Die private Nutzung der Firmen-Apple-ID bzw. des Google-Accounts ist untersagt.

13.6 Internetnutzung

Auch bezüglich des Internetverkehrs kann eine dienstliche und private Nutzung technisch nicht getrennt werden. Das Unternehmen protokolliert alle Verbindungsdaten im Firmennetz, d.h. i.d.R. Datum, Uhrzeit, Rechner- oder Benutzerkennung, Fehlercode, Anzahl der übertragenen Bytes, Zieladresse des angeforderten Dokuments (Webseite). Die Daten werden im Rahmen des Machbaren schnellstmöglich anonymisiert und i.d.R. nach einem Monat gelöscht.

Die Protokolle werden ausschließlich zur Analyse und Korrektur technischer Fehler, Gewährleistung der Systemsicherheit, Optimierung/Sicherung der Netze und Feststellung des Nutzungsvolumens verwendet. Davon unbenommen sind Ermittlungen im Rahmen der Verfolgung strafbarer Handlungen.

Daher gestattet das Unternehmen die private Internetnutzung unter dem Vorbehalt des Widerrufs nur, wenn Sie in die Protokollierung auch der privaten Verbindungsdaten sowie die Filterung (z.B. Viren, Malware) und die Blockierung einzelner Webseiten (z.B. Fishing- und Malware-Seiten) auch aus den privat übertragenen Daten einwilligen und sich an die folgenden Nutzungsregeln halten:

Die Privatnutzung darf nicht betriebliche Belange beeinträchtigen, die Verfügbarkeit der IT-Systeme beeinträchtigen oder zusätzliche Kosten verursachen.

Nicht erlaubt ist

die Verfolgung kommerzieller oder eigener geschäftlicher Zwecke
der Umgang mit rechtwidrigen Inhalten und/oder der Verstoß gegen strafrechtliche, urheberrechtliche, lizenz‑, marken- oder persönlichkeitsrechtliche Bestimmungen,
die Nutzung oder Verbreitung erotischer, politischer, beleidigender oder verfassungsfeindlicher Inhalte.

14 Inkrafttreten

Die Richtlinie tritt zum Zeitpunkt der Veröffentlichung in Kraft.

für die Nutzung von Firmen-Geräten und ‑Diens­ten

1 For­melle Angaben zum Dokumentenmanagement

1.1 Ver­trau­lich­keits­grad dieses Dokumentes

1.2 Aktua­li­sie­rung dieses Dokumentes

1.3 Doku­ment­his­to­rie / Versionskontrolle

1 Ziel­set­zung

1.1 Gel­tungs­be­reich

1.2 Sicher­heits­or­ga­ni­sa­tion

1.3 Wei­sun­gen

1.4 Mel­de­pflicht / Datenpanne

2 Schutz­be­darf und recht­li­cher Rahmen

2.1 Straf­bare Handlungen

2.2 All­ge­meine Rege­lun­gen und Rechtsvorschriften

2.3 Ver­pflich­tung zur Vertraulichkeit

2.3.1 Merk­blatt zur Vertraulichkeitserklärung

2.3.2 Unter­rich­tung und Ver­pflich­tung von Beschäf­tig­ten auf Beach­tung der daten­schutz­recht­li­chen Anfor­de­run­gen nach der DS-GVO

3 Infra­struk­tur

3.1 Inter­net-Zugang über das Firmennetzwerk

3.2 Benut­zung von Funk­net­zen / WLAN-Netzen

3.3 Fern­zu­griff auf das Unternehmensnetzwerk