IT-Sicherheitsrichtlinie und Privatnutzungsvereinbarung
für die Nutzung von Firmen-Geräten
1 Formelle Angaben zum Dokumentenmanagement
1.1 Vertraulichkeitsgrad dieses Dokumentes
Öffentlich | Betriebsöffentlich | Vertraulich | Streng vertraulich | |
Klassifikation | x |
Die Klassifikation erfolgt nach den betrieblichen Standards zur Klassifikation von Dokumenten.
1.2 Aktualisierung dieses Dokumentes
Jährlich | Bei Bedarf | Sonstige | |
Zyklus | x |
1.3 Dokumenthistorie / Versionskontrolle
Änderungsdatum | Version | Änderung | Autor | Gültig ab |
25.04.2016 | 0.1 | Entwurf, Dokument erstellt, Initialisierung auf Basis-Muster | Fa. daschug |
Freigabe
|
26.04.2016 | Lesen und erste Änderungen | Patrik Scherer | ||
27.04.2016 | 0.2 | CI an CIS anpassen | Patrik Scherer | |
26.08.2016 | 1.0 | Kleinere Anpassungen | Fa. daschug | |
09.04.2020 | 20200409 | BYOD (Absatz 14.1) | Patrik Scherer | |
08.07.2020 | 20200708 | Umwandlung in Web-Version | Patrik Scherer | |
22.06.2021 | 20210622 | Verpflichtung auf Vertraulichkeit neu | Patrik Scherer | sofort |
12.10.2022 | 202210121 | Neufassung Punkt 3.3 Verpflichtung zur Vertraulichkeit |
Patrik Scherer, Fa. KaMUX (DSB) | sofort |
12.10.2022 | 202210122 | 3.3.2 Ergänzung “Unterrichtung und Verpflichtung vom Bayerischen Landesamt für Datenaufsicht” | Patrik Scherer | sofort |
2 Zielsetzung
Ziel dieser Richtlinie ist es, Sie als Mitarbeiter der CIS Computer & Internet Services GmbH (im Folgenden: des Unternehmens) für das Thema Sicherheit in der Informationstechnologie (IT) zu sensibilisieren und die störungsfreie und sichere Nutzung der IT-Infrastruktur zu gewährleisten. Ohne Telefon- und E‑Mail-Verbindung sind wir für Kunden nicht erreichbar; ohne eine Online-Verbindung lassen sich gesetzliche Pflichten wie z.B. die Umsatzsteueranmeldung nicht mehr erfüllen. Ein Ausfall nur eines Teils der IT-Anlagen oder ein fahrlässiges Handeln würde neben Image-Schäden auch massive finanzielle Einbußen – bis hin zur Existenzgefährdung – mit sich bringen.
Sicherheitsvorfälle bei der IT-Nutzung können durch organisationsfremde Dritte aber auch durch unsachgemäßes Verhalten eigener Nutzer hervorgerufen werden. Weil letzteres statistisch gesehen überwiegt, soll diese Richtlinie zur Verbesserung der IT-Sicherheitskenntnisse und der Erhöhung der Eigenverantwortung eines jeden Mitarbeiters dienen.
Daher wird Sicherheit großgeschrieben
Auch Sie können an Ihrem Arbeitsplatz zur Sicherheit der IT- Infrastruktur beitragen:
indem Sie diese Richtlinie lesen, beherzigen und Ihre Kollegen anhalten, dies ebenfalls zu tun.
Dieses Dokument erklärt, warum verschiedene Maßnahmen wichtig und notwendig sind und welche Gefahren bei Vernachlässigung drohen. Zudem erfahren Sie, wie Sie sich und das Unternehmen während der Arbeit vor Gefahren schützen. Dafür werden Regeln für den täglichen Gebrauch konkretisiert und Tipps für die Praxis gegeben.
Aus Gründen der Lesbarkeit ist in dieser Richtlinie stets die männliche Form gewählt, dabei ist die weibliche Form stets mitgemeint.
2.1 Geltungsbereich
Der Geltungsbereich dieser Regelungen ist wie folgt festgelegt:
- Persönlich: für alle Mitarbeiter des Dienstleister die in den Räumen des Unternehmens oder mit deren IT- und/oder Kommunikationssystemen und/oder über deren Netze arbeiten;
- Funktional: für alle Komponenten und Datenverarbeitungs- sowie Telekommunikationsanlagen, unabhängig ob durch das Unternehmen selbst oder im Auftrag betrieben, sowie für alle und Daten – unabhängig vom Speichermedium – im Besitz des Unternehmens;
Die Anwendung dieser Richtlinie ist verpflichtend. Verstößt ein Mitarbeiter gegen diese Richtlinie, drohen ihm arbeitsrechtliche und strafrechtliche Konsequenzen. Die jeweils gültige Version dieser Richtlinie ist auf dem Unternehmensserver zu finden. Nicht berührt werden mögliche andere Regelungen und Richtlinien, sofern diese spezieller sind, oder von der Geschäftsleitung erteilte, explizite Ausnahmegenehmigungen für den Einzelfall.
2.2 Sicherheitsorganisation
Verantwortlich für die Sicherheitsorganisation ist die Geschäftsführung.
2.3 Weisungen
Sofern eine Weisung illegal, oder in sonstiger Weise fragwürdig vorkommt, ist der jeweilige Fachvorgesetzte zu informieren. Dieser entscheidet über weitere Schritte und die Durchführen der Weisung. Sofern das nicht möglich ist oder nicht zielführend erscheint, weil z.B. die Weisung vom Vorgesetzten kam, kann er sich an den Datenschutzbeauftragten und/oder IT Sicherheitsbeauftragten wenden.
Der IT-Service wird Mitarbeiter niemals nach einem persönlichen Passwort fragen.
2.4 Meldepflicht
Bemerkt der Mitarbeiter einen Verstoß gegen diese Regelungen, eine gesetzliche Regelung oder eine anderweitige Gefährdung der IT-Sicherheit, der Datensicherheit, des Datenschutzes oder der Interessen des Unternehmens, so hat er dies unverzüglich der Geschäftsleitung oder dem Datenschutzbeauftragten zu melden. Es gelten die Regeln der Incident-Management-Policy. Diese sind im Dokument „6.1 Verfahren zur Störfallverwaltung / Incident Management / Vorfallsmanagement“ zu finden.
3 Schutzbedarf und rechtlicher Rahmen
Vertrauliche Unterlagen sind alle Träger von Informationen, durch die eine betriebsfremde Person Einblick in das Geschäft erlangen kann. Dabei ist es unerheblich, ob diese Unterlagen in digitaler Form als Datei oder auf Papier vorliegen.
Vertrauliche Unterlagen sind zum Beispiel (nicht abschließend):
- Budget‑, Mengen‑, Kosten-Plan- und IST-Zahlen, Kalkulationen
- Kollektions- und Kommunikationsplanung, Farbmuster, Muster v. Produkten vor Launch
- Orga-Charts, Post- / E‑Mail-Adressen, Telefonnummern, Urlaubsdaten, Bewerber-Unterlagen
- Verträge, Konditionen oder Korrespondenz mit Kunden oder Zulieferern
- Verfahren und Konstruktions- und Prozessbeschreibungen, Maschinen-Einstellungen
- Interne Verfahrensanweisungen, Strategiepapiere, Präsentationen, Rundschreiben
- Passwörter und andere Zugangsdaten, PINs, Kundennummern
- Alle personenbezogenen Daten, d.h. alle Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).
- Alle Daten von Kunden: Adressdaten, Mengendaten, Bestände und Preise
Es ist zu beachten, dass für Außenstehende – insbesondere für Wettbewerber – vieles interessant sein kann – nicht nur das, was wir selbst als vertraulich einstufen würden.
Betriebs- und Geschäftsgeheimnisse sind Umstände oder Vorgänge, die nur einem begrenzten Personenkreis im Unternehmen bekannt, für Außenstehende aber wissenswert sind und die nach expliziten oder impliziten Regeln des Unternehmens geheim zu halten sind, weil ihre Kenntnis durch Außenstehende dem Unternehmen schaden kann.
3.1 Strafbare Handlungen
Es wird darauf hingewiesen, dass Strafvorschriften existieren hinsichtlich
- (der Vorbereitung) des Ausspähens oder Abfangens von Daten nach § 202ff StGB
- des Verrats von Betriebs- uns Geschäftsgeheimnissen; § 204 StGB i.V.m. §17 UWG
- des Abhörens nach § 201 StGB i.V. m. §§ 88, 90 TKG oder § 206 StGB oder § 3 TTDSG
- der Manipulation oder Unterdrückung von Daten nach § 267 ff StGB
- Datenveränderung und Computersabotage nach § 303a ff StGB
- der Störung von Telekommunikationsanlagen nach § 317 StGB
3.2 Allgemeine Regelungen und Rechtsvorschriften
Rechtsvorschriften für diese IT-Richtlinie und die internen Regelungen sind neben dem Bundesdatenschutzgesetz (BDSG) auch das Bürgerliche Gesetzbuch (BGB) sowie das Urheberechtsgesetz in Bezug auf den rechtskonformen Umgang mit Schutzrechten Dritter. In Bezug auf die IT-Administration sind das Telemediengesetz (TMG) sowie das Telekommunikationsgesetz (TKG) ggf. einschlägig. Dazu einige Grundsätze:
- Personenbezogene Daten dürfen nur dann erhoben, verarbeitet oder genutzt werden, wenn es hierfür eine gesetzliche Erlaubnis oder eine Einwilligung des Betroffenen gibt.
- Wichtigste gesetzliche Erlaubnis ist § 28 Absatz 1 Nr. 1 BDSG: Personenbezogene Daten dürfen für die Anbahnung, Durchführung oder Beendigung eines konkreten Rechtsgeschäfts (Dienstleistungsvertrag mit einem Kunden, Arbeitsvertrag mit einem Mitarbeiter) erhoben, verarbeitet und genutzt werden, und so lange aufbewahrt werden wie es erforderlich ist, sofern kein anderes Gesetz (z.B. Steuergesetze) eine längere Aufbewahrung vorschreibt (Geschäftsbriefe, auch E‑Mails: 6 Jahr, buchhalterisch relevante Unterlagen 10 Jahre).
Ohne Einwilligung der betroffenen Personen dürfen darüber hinaus keine personenbezogenen Daten gesammelt, verarbeitet (auch: gespeichert) und genutzt werden. Auch die Weitergabe personenbezogener Daten innerhalb des Betriebes ist nur dann zulässig, wenn der Empfänger diese Information zur Erfüllung seiner beruflichen Tätigkeit benötigt. - Bei Unklarheit über die Zulässigkeit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten und bei neuen Datenverarbeitungs-Prozessen ist der Vorgesetzte oder der Datenschutzbeauftragte (Kontaktdaten am schwarzen Brett) zu kontaktieren.
- Die Vertraulichkeit und Korrektheit der auf Computern des Unternehmens gespeicherten Daten muss durch Zugangs- und Zugriffskontrollen geschützt werden, so dass nur berechtigte Mitarbeiter Zugriff erhalten. Darüber hinaus muss der Zugriff so begrenzt werden, dass nur die für die jeweilige Aufgabenerfüllung notwendigen Zugriffsrechte gewährt werden. Hierzu wird auf das betriebsinterne Berechtigungskonzept (Inhalt von „4.1 Administrationsrichtlinie“ => Zugangskontrolle) verwiesen.
- Sofern personenbezogene Daten auch für Kunden verarbeitet werden, müssen die Daten des Unternehmens und der jeweiligen Kunden getrennt gespeichert und bearbeitet werden. Es ist Sorge dafür zu tragen, dass es zu keiner Vermengung der Datenbestände kommt.
- Datenschutz- und Anfragen Betroffener auf Auskunft sind zu beachten! Diesbezügliche Anfragen oder Beschwerden sind unverzüglich der Geschäftsleitung und/oder dem Datenschutzbeauftragten zuzuleiten. Das gilt auch für Werbe-Widersprüche.
3.3 Verpflichtung zur Vertraulichkeit
Wir legen in unserem Unternehmen besonderen Wert auf die Vertraulichkeit im Umgang mit schutzbedürftigen Informationen.
Dabei genießen personenbezogene Daten besonderen gesetzlichen Schutz. Personenbezogene Daten sind nicht nur die Daten, die sich konkret einer bestimmten Person zuordnen lassen (wie z.B. Name, Kontaktdaten, Beruf, Aufgabe im Unternehmen etc.), sondern auch die Daten, bei denen die Person erst über zusätzliche Informationen bestimmbar gemacht werden kann.
Für personenbezogene Daten gelten die jeweils einschlägigen gesetzlichen Vorschriften zum Datenschutz wie z.B. die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union und auch das Bundesdatenschutzgesetz (BDSG).
Nach den Vorgaben DSGVO dürfen personenbezogene Daten nur dann verarbeitet werden, wenn es hierzu eine Rechtsgrundlage gibt oder der Betroffene eingewilligt hat. Die Daten dürfen grundsätzlich nur zu den vorgesehenen Zwecken verwendet werden. Bei der Verarbeitung der Daten ist insbesondere zu gewährleisten, dass die Integrität, Verfügbarkeit und Vertraulichkeit der personenbezogenen Daten gewährleistet ist.
In unserem Unternehmen haben wir Vorgaben und Geschäftsprozesse für die Verarbeitung personenbezogener Daten und insbesondere die Vertraulichkeit definiert und können diese auch durch weitere betriebliche Anweisungen der Unternehmensleitung konkretisieren.
Für Sie konkret bedeutet diese Verpflichtung zur Vertraulichkeit, dass Sie Daten nur im Rahmen unserer internen Vorgaben verwenden und diese gegenüber Dritten vertraulich behandeln.
Darüber hinaus sind aber auch Geschäftsgeheimnisse i.S.d. Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG) schutzbedürftige Daten. Eine Offenlegung von Geschäftsgeheimnissen darf grundsätzlich nur dann erfolgen, wenn der jeweilige Vertrags- oder Geschäftspartner zuvor auf die Vertraulichkeit verpflichtet worden ist und das einzuhaltende Sicherheitsniveau für den Schutz der Daten beim Empfänger der Daten gewährleistet ist.
Wenn Sie hierzu Fragen haben oder sich im Zweifel unsicher sind, welche Regelungen zu treffen bzw. einzuhalten sind, können und sollten Sie sich jederzeit an Ihre/n Vorgesetzte/n wenden.
Ein Verstoß gegen Ihre Vertraulichkeitspflichten kann als arbeitsvertragliche Pflichtverletzung geahndet werden.
Darüber hinaus stellt eine unzulässige Verarbeitung von personenbezogenen Daten in bestimmten Fällen auch eine Straftat oder Ordnungswidrigkeit nach den §§ 42, 43 BDSG (s. Anlage) dar.
Eine Verletzung von Geschäftsgeheimnissen kann zudem nach § 23 GeschGehG strafbar sein.
Beachten Sie ferner auch, dass bei einer unzulässigen Verarbeitung von personenbezogenen Daten durch unser Unternehmen Geldbußen von bis zu 20 Mio. Euro möglich sind. Wir sollten daher gemeinsam darauf achten, dass die Verarbeitung personenbezogener Daten in unserem Unternehmen in zulässiger Art und Weise erfolgt.
Diese Verpflichtung zur Vertraulichkeit besteht auch nach Beendigung des Beschäftigungsverhältnisses fort.
Etwaige andere Vertraulichkeitsvereinbarungen zwischen Ihnen und dem Unternehmen bleiben unberührt.
3.3.1 Merkblatt zur Vertraulichkeitserklärung
Art. 24 DSGVO – Verantwortung des für die Verarbeitung Verantwortlichen
(1) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.
(2) Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen.
- 3 TTDSG – Vertraulichkeit der Kommunikation
(1) Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.
(2) Zur Wahrung des Fernmeldegeheimnisses sind verpflichtet
1. Anbieter von öffentlich zugänglichen Telekommunikationsdiensten sowie natürliche und juristische Personen, die an der Erbringung solcher Dienste mitwirken,
2. Anbieter von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten sowie natürliche und juristische Personen, die an der Erbringung solcher Dienste mitwirken,
3. Betreiber öffentlicher Telekommunikationsnetze und
4. Betreiber von Telekommunikationsanlagen, mit denen geschäftsmäßig Telekommunikationsdienste erbracht werden. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist.(3) Den nach Absatz 2 Satz 1 Verpflichteten ist es untersagt, sich oder anderen über das für die Erbringung der Telekommunikationsdienste oder für den Betrieb ihrer Telekommunikationsnetze oder ihrer Telekommunikationsanlagen einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder von den näheren Umständen der Telekommunikation zu verschaffen. Sie dürfen Kenntnisse über Tatsachen, die dem Fernmeldegeheimnis unterliegen, nur für den in Satz 1 genannten Zweck verwenden. Eine Verwendung dieser Kenntnisse für andere Zwecke, insbesondere die Weitergabe an andere, ist nur zulässig, soweit dieses Gesetz oder eine andere gesetzliche Vorschrift dies vorsieht und sich dabei ausdrücklich auf Telekommunikationsvorgänge bezieht. Die Anzeigepflicht nach § 138 des Strafgesetzbuches hat Vorrang.
(4) Befindet sich die Telekommunikationsanlage an Bord eines Wasser- oder Luftfahrzeugs, so besteht die Pflicht zur Wahrung des Fernmeldegeheimnisses nicht gegenüber der Person, die das Fahrzeug führt, und ihrer Stellvertretung.
- 67 Abs. 1 SGB X – Sozialdaten
Sozialdaten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener), die von einer in § 35 des Ersten Buches genannten Stelle im Hinblick auf ihre Aufgaben nach diesem Gesetzbuch erhoben, verarbeitet oder genutzt werden.
- 35 SGB I – Sozialgeheimnis
Jeder hat Anspruch darauf, dass die ihn betreffenden Sozialdaten (§ 67 Abs. 1 Zehntes Buch) von den Leistungsträgern nicht unbefugt erhoben, verarbeitet oder genutzt werden (Sozialgeheimnis). Die Wahrung des Sozialgeheimnisses umfaßt die Verpflichtung, auch innerhalb des Leistungsträgers sicherzustellen, daß die Sozialdaten nur Befugten zugänglich sind oder nur an diese weitergegeben werden. Sozialdaten der Beschäftigten und ihrer Angehörigen dürfen Personen, die Personalentscheidungen treffen oder daran mitwirken können, weder zugänglich sein noch von Zugriffsberechtigten weitergegeben werden. Der Anspruch richtet sich auch gegen die Verbände der Leistungsträger, die Arbeitsgemeinschaften der Leistungsträger und ihrer Verbände, die Datenstelle der Träger der Rentenversicherung, die in diesem Gesetzbuch genannten öffentlich-rechtlichen Vereinigungen, gemeinsame Servicestellen, Integrationsfachdienste, die Künstlersozialkasse, die Deutsche Post AG, soweit sie mit der Berechnung oder Auszahlung von Sozialleistungen betraut ist, die Behörden der Zollverwaltung, soweit sie Aufgaben nach § 2 des Schwarzarbeitsbekämpfungsgesetzes und § 66 des Zehnten Buches durchführen, die Versicherungsämter und Gemeindebehörden sowie die anerkannten Adoptionsvermittlungsstellen (§ 2 Abs. 2 des Adoptionsvermittlungsgesetzes), soweit sie Aufgaben nach diesem Gesetzbuch wahrnehmen und die Stellen, die Aufgaben nach § 67c Abs. 3 des Zehnten Buches wahrnehmen. Die Beschäftigten haben auch nach Beendigung ihrer Tätigkeit bei den genannten Stellen das Sozialgeheimnis zu wahren.
- 85 SGB X – Bußgeldvorschriften
(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
- entgegen § 78 Abs. 1 Satz 1 Sozialdaten verarbeitet oder nutzt, wenn die Handlung nicht nach Absatz 2 Nr. 5 geahndet werden kann,
1a. entgegen § 80 Absatz 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt,
1b. entgegen § 80 Absatz 2 Satz 4 sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt,
- entgegen § 80 Abs. 4, auch in Verbindung mit § 67d Abs. 4 Satz 2, Sozialdaten anderweitig verarbeitet, nutzt oder länger speichert oder
- entgegen § 81 Abs. 4 Satz 1 dieses Gesetzes in Verbindung mit § 4f Abs. 1 Satz 1 oder 2 des Bundesdatenschutzgesetzes, diese jeweils auch in Verbindung mit § 4f Abs. 1 Satz 3 und 6 des Bundesdatenschutzgesetzes, einen Beauftragten für den Datenschutz nicht oder nicht rechtzeitig bestellt.
(2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
- unbefugt Sozialdaten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet,
- unbefugt Sozialdaten, die nicht allgemein zugänglich sind, zum Abruf mittels automatisierten Verfahrens bereithält,
- unbefugt Sozialdaten, die nicht allgemein zugänglich sind, abruft oder sich oder einem anderen aus automatisierten Verarbeitungen oder nicht automatisierten Dateien verschafft,
- die Übermittlung von Sozialdaten, die nicht allgemein zugänglich sind, durch unrichtige Angaben erschleicht,
- entgegen § 67c Abs. 5 Satz 1 oder § 78 Abs. 1 Satz 1 Sozialdaten für andere Zwecke nutzt, indem er sie an Dritte weitergibt oder
- entgegen § 83a Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht.
(3) Die Ordnungswidrigkeit kann im Falle des Absatzes 1 mit einer Geldbuße bis zu fünfzigtausend Euro, in den Fällen des Absatzes 2 mit einer Geldbuße bis zu dreihunderttausend Euro geahndet werden. Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus den Ordnungswidrigkeiten gezogen hat, übersteigen. Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden.
- 85a SGB X – Strafvorschriften
(1) Wer eine in § 85 Abs. 2 bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind der Betroffene, die verantwortliche Stelle, der Bundesbeauftragte für den Datenschutz oder der zuständige Landesbeauftragte für den Datenschutz.
- 206 StGB – Verletzung des
Post- oder Fernmeldegeheimnisses(1) Wer unbefugt einer anderen Person eine Mitteilung über Tatsachen macht, die dem Post oder Fernmeldegeheimnis unterliegen und die ihm als Inhaber oder Beschäftigtem eines Unternehmens bekanntgeworden sind, das geschäftsmäßig Post- oder Telekommunikationsdienste erbringt, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.
(2) Ebenso wird bestraft, wer als Inhaber oder Beschäftigter eines in Absatz 1 bezeichneten Unternehmens unbefugt
- eine Sendung, die einem solchen Unternehmen zur Übermittlung anvertraut worden und verschlossen ist, öffnet oder sich von ihrem Inhalt ohne Öffnung des Verschlusses unter Anwendung technischer Mittel Kenntnis verschafft,
- eine einem solchen Unternehmen zur Übermittlung anvertraute Sendung unterdrückt oder 3. eine der in Absatz 1 oder in Nummer 1 oder 2 bezeichneten Handlungen gestattet oder fördert.
(3) Die Absätze 1 und 2 gelten auch für Personen, die
- Aufgaben der Aufsicht über ein in Absatz 1 bezeichnetes Unternehmen wahrnehmen,
- von einem solchen Unternehmen oder mit dessen Ermächtigung mit dem Erbringen von Post- oder Telekommunikationsdiensten betraut sind oder
- mit der Herstellung einer dem Betrieb eines solchen Unternehmens dienenden Anlage oder mit Arbeiten daran betraut sind.
(4) Wer unbefugt einer anderen Person eine Mitteilung über Tatsachen macht, die ihm als außerhalb des Post- oder Telekommunikationsbereichs tätigem Amtsträger auf Grund eines befugten oder unbefugten Eingriffs in das Post- oder Fernmeldegeheimnis bekanntgeworden sind, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(5) Dem Postgeheimnis unterliegen die näheren Umstände des Postverkehrs bestimmter Personen sowie der Inhalt von Postsendungen. Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.
- 17 UWG – Verrat von Geschäfts-
und Betriebsgeheimnissen(1) Wer als eine bei einem Unternehmen beschäftigte Person ein Geschäfts- oder Betriebsgeheimnis, das ihr im Rahmen des Dienstverhältnisses anvertraut worden oder zugänglich geworden ist, während der Geltungsdauer des Dienstverhältnisses unbefugt an jemand zu Zwecken des Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Absicht, dem Inhaber des Unternehmens Schaden zuzufügen, mitteilt, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Ebenso wird bestraft, wer zu Zwecken des Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Absicht, dem Inhaber des Unternehmens Schaden zuzufügen,
- sich ein Geschäfts- oder Betriebsgeheimnis durch
- Anwendung technischer Mittel,
- Herstellung einer verkörperten Wiedergabe des Geheimnisses oder
- Wegnahme einer Sache, in der das Geheimnis verkörpert ist, unbefugt verschafft oder sichert oder
- ein Geschäfts- oder Betriebsgeheimnis, das er durch eine der in Absatz 1 bezeichneten Mitteilungen oder durch eine eigene oder fremde Handlung nach Nummer 1 erlangt oder sich sonst unbefugt verschafft oder gesichert hat, unbefugt verwertet oder jemandem mitteilt.
(3) Der Versuch ist strafbar.
(4) In besonders schweren Fällen ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter
- gewerbsmäßig handelt,
- bei der Mitteilung weiß, dass das Geheimnis im Ausland verwertet werden soll, oder
- eine Verwertung nach Absatz 2 Nr. 2 im Ausland selbst vornimmt.
(5) Die Tat wird nur auf Antrag verfolgt, es sei denn, dass die Strafverfolgungsbehörde wegen des besonderen öffentlichen Interesses an der Strafverfolgung ein Einschreiten von Amts wegen für geboten hält.
(6) § 5 Nr. 7 des Strafgesetzbuches gilt entsprechend.
- 23GeschGeG – Verletzung von Geschäftsgeheimnissen
(1) Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer zur Förderung des eigenen oder fremden Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Absicht, dem Inhaber eines Unternehmens Schaden zuzufügen,1.entgegen § 4 Absatz 1 Nummer 1 ein Geschäftsgeheimnis erlangt,
2.entgegen § 4 Absatz 2 Nummer 1 Buchstabe a ein Geschäftsgeheimnis nutzt oder offenlegt oder3.entgegen § 4 Absatz 2 Nummer 3 als eine bei einem Unternehmen beschäftigte Person ein Geschäftsgeheimnis, das ihr im Rahmen des Beschäftigungsverhältnisses anvertraut worden oder zugänglich geworden ist, während der Geltungsdauer des Beschäftigungsverhältnisses offenlegt.
(2) Ebenso wird bestraft, wer zur Förderung des eigenen oder fremden Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Absicht, dem Inhaber eines Unternehmens Schaden zuzufügen, ein Geschäftsgeheimnis nutzt oder offenlegt, das er durch eine fremde Handlung nach Absatz 1 Nummer 2 oder Nummer 3 erlangt hat.
(3) Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer zur Förderung des eigenen oder fremden Wettbewerbs oder aus Eigennutz entgegen § 4 Absatz 2 Nummer 2 oder Nummer 3 ein Geschäftsgeheimnis, das eine ihm im geschäftlichen Verkehr anvertraute geheime Vorlage oder Vorschrift technischer Art ist, nutzt oder offenlegt.(4) Mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe wird bestraft, wer
- in den Fällen des Absatzes 1 oder des Absatzes 2 gewerbsmäßig handelt,
- in den Fällen des Absatzes 1 Nummer 2 oder Nummer 3 oder des Absatzes 2 bei der Offenlegung weiß, dass das Geschäftsgeheimnis im Ausland genutzt werden soll, oder
3.in den Fällen des Absatzes 1 Nummer 2 oder des Absatzes 2 das Geschäftsgeheimnis im Ausland nutzt.
(5) Der Versuch ist strafbar.
(6) Beihilfehandlungen einer in § 53 Absatz 1 Satz 1 Nummer 5 der Strafprozessordnung genannten Person sind nicht rechtswidrig, wenn sie sich auf die Entgegennahme, Auswertung oder Veröffentlichung des Geschäftsgeheimnisses beschränken.
(7) § 5 Nummer 7 des Strafgesetzbuches gilt entsprechend. Die §§ 30 und 31 des Strafgesetzbuches gelten entsprechend, wenn der Täter zur Förderung des eigenen oder fremden Wettbewerbs oder aus Eigennutz handelt.
(8) Die Tat wird nur auf Antrag verfolgt, es sei denn, dass die Strafverfolgungsbehörde wegen des besonderen öffentlichen Interesses an der Strafverfolgung ein Einschreiten von Amts wegen für geboten hält.
3.3.2 Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach der DS-GVO
Quelle / Herausgeber:
Bayerisches Landesamt für Datenschutzaufsicht
Promenade 27
91522 Ansbach
Telefon: (0981) 53 — 1300
Telefax: (0981) 53 — 981300
E‑Mail: poststelle@lda.bayern.de
Webseite: www.lda.bayern.de Stand: Februar 2018
Hier klicken, um die das Dokument als PDF anzuzeigen und zu lesen
4 IT-Infrastruktur
Die Infrastruktur muss mit angemessener Sorgfalt vor Verlust, Beschädigung, übermäßiger Abnutzung oder Missbrauch geschützt werden. IT Ressourcen (PCs, Notebooks, Drucker u.a.) sind Eigentum des Unternehmens und werden den Mitarbeitern grundsätzlich nur zur Erfüllung ihrer geschäftlichen Tätigkeit zur Verfügung gestellt.
Eine private Nutzung der dienstlichen IT-Infrastruktur ist – auch in den Pausen – untersagt. Abweichend davon kann die Geschäftsleitung – ohne Anspruch auf Verfügbarkeit und unter dem Vorbehalt jederzeitigen Widerrufs – die private Nutzung erlauben, wenn der Mitarbeiter schriftlich einwilligt, dass das Unternehmen im Rahmen der Richtlinienkontrolle sowie der Erhaltung der IT-Sicherheit auch die privaten Kommunikationsdaten des Mitarbeiters erheben, verarbeiten und nutzen darf. Die diesbezügliche IT-Privatnutzungsvereinbarung kann weitere Regeln hinsichtlich der Nutzung beinhalten (z.B. Verbot rechtswidriger oder erotischer Inhalte).
4.1 Nutzung privater Hard- und Software
Der Einsatz privater Hard- oder Software zu dienstlichen Zwecken ist aus Gründen der Haftung, Risikominimierung und aus versicherungs- und lizenz-/urheberrechtlichen Gründen untersagt.
Private Mobiltelefone / Smartphones und/oder (Tablet-)PCs oder andere elektronische Geräte oder (USB-)Gadgets dürfen nur bei Notwendigkeit mit in den Betrieb gebracht werden. Sie sind eigenverantwortlich während der Arbeitszeit unter Verschluss zu halten. Sie sind ausgeschaltet bzw. im lautlosen Modus zu verwahren. Das Unternehmen haftet nicht für Verlust oder Beschädigung der Geräte.
Insbesondere dürfen private Geräte
- nicht mit der dienstlichen IT-Netzinfrastruktur verbunden werden oder
- für die Speicherung / Verarbeitung dienstlicher Informationen verwendet werden.
- nicht mit einem Computer oder Server des Unternehmens verbunden werden.
Die Geschäftsleitung kann in begründeten Einzelfällen und bei vorheriger Anfrage Ausnahmen von den Regeln erlauben. In diesem Fall sind Sicherheitsaspekte für geschäftlich genutzte private Endgeräte (BYOD = Bring Your Own Device) entsprechend zu regeln.
5 Benutzung des Firmennetzwerkes
Die Nutzung des Firmennetzes ist nur für dienstliche Zwecke gestattet. Die Nutzung des Firmennetzes für den Austausch privater Daten und Dateien ist untersagt.
5.1 Internet-Zugang über das Firmennetzwerk
Das Unternehmen protokolliert und speichert alle Zugriffe auf die Kommunikationssysteme und IP-/Webadressen. Protokolliert werden eingesetzte Software, Datum, Uhrzeit, Rechner- oder Benutzerkennung, Fehlercode, Anzahl der übertragenen Bytes, Zieladresse des angeforderten Dokuments und weitere technische Daten zur Analyse der IT-Infrastruktur. Die Daten werden automatisiert permanent oder durch einen damit beauftragten Mitarbeiter stichprobenweise auf Missbrauchsfälle auf pseudonymisierter – idealerweise sogar anonymer – Basis ausgewertet.
In hinreichenden Verdachtsfällen kann das Nutzerverhalten einzelner Beschäftigter im Rahmen der datenschutzrechtlich zulässigen Grenzen durch technische Vorkehrungen auch direkt überwacht werden, um Verstöße gegen Vorschriften oder Straftaten nachweisen zu können.
Ein Anspruch auf Internetnutzung besteht nicht. Die Geschäftsleitung kann ohne weitere Angabe von Gründen den Zugang zu einzelnen Webseiten und/oder Internetdiensten sperren, wenn sie zu der Auffassung gelangt, dass dies dem Betriebsablauf förderlich ist, wenn die Nutzungsvorschriften missachtet werden oder um Schaden vom Unternehmen abzuwenden.
In besonders sensitiven Arbeits-Bereichen kann die Nutzung des Internet deutlich eingeschränkt werden und z.B. nur die E‑Mail-Nutzung erlaubt sein. Derartige Restriktionen dürfen nicht durch Einrichtung zusätzlicher Software und Nutzung vorhandener technischer Maßnahmen umgangen werden.
5.2 Nutzungsregeln im Fall privater Internetnutzung
Im Rahmen der IT-Privatnutzungsvereinbarung kann eine private Internetnutzung erlaubt werden, sofern der Nutzer in die Protokollierung eingewilligt. Sofern die Einwilligung nicht erteilt oder später widerrufen wird, ist eine private Nutzung der betrieblichen Internetzugänge nicht (mehr) erlaubt. Nachteile im betrieblichen Bereich entstehen keine.
Die private Internetnutzung darf
- nur außerhalb der Arbeitszeit (z.B. in Pausen) erfolgen,
- über eine bereits auf dem Internet-Arbeitsplatz installierte Software (Browser) geschehen,
- die Verfügbarkeit der IT-Systeme für betriebliche Zwecke nicht beeinträchtigen,
- Dritten keine betrieblichen Informationen gleich welcher Art zukommen lassen,
- die eigene oder die Arbeit anderer Mitarbeiter nicht beeinträchtigen,
- keine zusätzlichen Kosten verursachen
Grundsätzlich nicht erlaubt ist
- das Abrufen von kostenpflichtigen Informationen für den Privatgebrauch,
für den Dienstgebrauch nur nach Zustimmung des Vorgesetzten. - das Verfolgen eigener kommerzieller bzw. sonstiger gewerblicher Zwecke.
- der private Up- und Download netzwerkbelastender Dateien
(z. B. Video-Downloads oder Online-/Web-Radio). - das Abrufen, Anbieten oder Verbreiten von rechtswidrigen Inhalten,
insbesondere solchen, die gegen strafrechtliche, urheberrechtliche, lizenz- und
markenrechtliche oder persönlichkeitsrechtliche Bestimmungen verstoßen. - Abrufen, Anbieten oder Verbreiten von erotischen, politischen, beleidigenden oder
verfassungsfeindlichen Inhalten. - Das Öffnen von Attachments beim Zugriff auf private Mailaccounts (Webmail)
5.3 Benutzung von Funknetzen / WLAN-Netzen
Funknetze machen an Wänden und Mauern keinen Halt. Sie können auch von außen bzw. von Außenstehenden geräuschlos und möglicherweise unbemerkt genutzt werden.
Daher sind hierfür besondere Regeln einzuhalten:
Die Nutzung der WLAN-Zugänge (Access Points) im Firmennetz darf ausschließlich mit hierfür registrierter, firmeneigener Hardware erfolgen. Versuche, andere – insbesondere private – Endgeräte ins WLAN einzubinden, sind untersagt. Es wird darauf hingewiesen, dass Verbindungsversuche protokolliert werden können. Der Verlust bzw. Diebstahl einer für den WLAN-Zugang vorkonfigurierten Hardware ist unverzüglich zu melden.
Sofern für den Zugang zum Firmen-WLAN ein Passwort verwendet wird, ist dies streng geheim zu halten und darf nicht an Dritte weitergegeben werden. Das Passwort darf nicht in Schriftform aufbewahrt werden, schon gar nicht zusammen mit dem mobilen Gerät. Unregelmäßigkeiten bei der Anmeldung oder Nutzung des WLANs sind den IT-Verantwortlichen unverzüglich zu melden, da dies ein Zeichen für einen Angriffsversuch sein kann. Sofern ein Zertifikatsfehler beim verschlüsselten Zugriff auf Server (z.B. Online-Banking, Web-Mail) angezeigt wird, darf die Nutzung unter keinen Umständen fortgesetzt werden.
Die eigenmächtige Einrichtung zusätzlicher WLAN-Zugänge zur Verbesserung der Funknetzabdeckung bzw. des Datendurchsatzes ist untersagt. Für private Mobiltelefone steht je nach betrieblichen Möglichkeiten – ohne Gewährleistung einer Verfügbarkeit und unter dem Vorbehalt der jederzeitigen Widerrufbarkeit – ein Gäste-Netz zur Verfügung. Hierfür können gesonderte Nutzungsbedingungen gelten, die bei der Personalleitung zu erfragen sind.
Das automatische Wiederverbinden mit WLAN-Netzwerken, mit denen ein Firmengerät schon einmal verbunden war, ist zu deaktivieren. Das gilt sowohl für PCs und Laptops als auch für Smartphones und Tablets.
Es dürfen keine öffentlich zugänglichen WLAN-Hotspots (Starbucks, Telekom, etc.) genutzt werden, um zusätzliche Sicherheitsrisiken zu vermeiden. Muss im Ausnahmefall eine Verbindung über öffentlich zugängliche WLAN-Hotspots hergestellt werden, so ist die Datenübertragung nach Anmeldung am WLAN (etwa durch Voucher-Code etc.) durch den Einsatz von VPN-Verbindungen vor Abhörangriffen zu schützen. Firmendaten wie etwa Emails dürfen erst dann über das öffentliche WLAN-Netze übertragen werden, wenn eine VPN-Verbindung aufgebaut ist. Das öffentliche WLAN-Netz ist nach der Nutzung aus den Profileinstellungen zu entfernen, um ein unbeabsichtigtes erneutes Verbinden des Gerätes mit dem Netz zu vermeiden.
5.4 Fernzugriff auf das Unternehmensnetzwerk
Zur Absicherung von Remote Access-Zugriffen auf das Firmennetzwerk wird eine verschlüsselte Verbindung vorausgesetzt und verwendet. genutzt. Damit ist gewährleistet, dass auch vertrauliche und/oder personenbezogene Daten sicher übertragen werden. Folgende Regeln sind zu beachten:
- Fernverbindungen mit dem Firmennetzwerk dürfen nur über die vorhandenen, vom IT-Verantwortlichen eingerichteten Zugänge erfolgen.
- Passwörter dürfen nicht auf mobilen Systemen gespeichert werden, sondern müssen bei jedem Verbindungsaufbau immer wieder neu von Hand eingegeben werden. Eine Speicherung ist dann gestattet, wenn das Gerät selbst:
- eine automatische Sperrung bei Nichtbenutzung vornimmt und
- zur Entsperrung ein Kennwort benötigt und
- das gesamte Speichersystem (HDD, SSD, USB-Stick,…) verschlüsselt ist
6 Nutzung des Arbeitsplatzrechners
Auf den Arbeitsplatzrechnern darf nur die Software genutzt werden, die vom Unternehmen explizit freigegeben wurde und für die eine rechtmäßige Lizenz im Unternehmen existiert.
Eigenmächtige Installation weiterer Software ohne vorhergehende Genehmigung ist untersagt. Insbesondere gilt dies für Software-Downloads aus dem Internet, wie z.B. für Public-Domain- und Shareware-Programme sowie Bildschirmschoner und Spiele. Auch Gratis-Dienste im Internet (wie Google-Docs, Dropbox, Skydrive, etc.) dürfen nicht genutzt werden. Das Anfertigen von Kopien der auf dem Rechner vorhandenen lizenzierten Software ist untersagt.
Eine Ausnahme stellen Techniker-PCs dar. Hier sind außerordentliche Installationen von Software zu Test- und Administrationszwecken erlaubt, wenn…
- die Software und deren Anbieter vor der Installation im Rahmen der Möglichkeiten des Technikers auf Vertrauenswürdigkeit überprüft wurde und
- eine aktuelle Viren‑, Malware und Firewall-Lösung auf dem PC installiert wurde und
- die Installation dem betrieblichen Erfolg dient.
6.1 Sperrung bei Abwesenheit / Herunterfahren bei Dienstschluss
Bei Arbeitsende sind PCs/Notebooks herunterzufahren. Mobile Computer (Notebooks, Tablet-PCs) sind in verschlossenen Schränken zu verstauen. Bei kurzzeitigem Entfernen vom Arbeitsplatz ist der Computer zu sperren (Windows-Taste + „L“ – oder Strg+Alt+Entf – Computer sperren).
Jeder Mitarbeiter hat dafür Sorge zu tragen, dass auf seinen PCs eine automatische Sperrung nach 10 Minuten Stillstand erfolgt. Diese Sperrung kann wahlweise über die Windows-Sperrung oder über einen kennwortgeschützten Bildschirmschoner realisiert werden.
6.2 Virenschutz und Sicherheits-Settings
Computerviren sind Programme, die entwickelt werden, um unberechtigte Änderungen an Programmen und Daten vorzunehmen. Sie können deshalb Unternehmensressourcen und Datenbestände zerstören oder stehlen. Es ist daher untersagt, die installierten Virenschutzprogramme zu deaktivieren, oder zu deinstallieren; auch eine Umkonfiguration der vorgegebenen Einstellungen ist untersagt.
Sofern der Mitarbeiter eine Beschädigung, ein Fehlverhalten oder unerklärliche Belastung des Computer-Systems feststellt, informiert er umgehend die IT-Abteilung. Letzteres kann ein Indiz für eine Infektion durch Viren, Würmer oder andere Schadprogramme sein.
Alle eigenmächtigen Änderungen an den Systemeinstellungen des Arbeitsplatzrechners oder Laptops, insbesondere den Sicherheitseinstellungen, sind untersagt. Das gilt auch für die Umgehung etwaiger Sperren und Zugangsbeschränkungen. Auf die §§ 202a‑c StGB wird verwiesen.
6.3 Kennwörter / Passwortschutz
Die Anwender müssen bei der Auswahl und Benutzung von Passwörtern bewährte sichere Verfahren anwenden:
- Passwörter dürfen gegenüber anderen Personen nicht offengelegt werden; dies gilt auch für Geschäftsführung oder Systemadministratoren
- Passwörter dürfen nicht aufgeschrieben werden, außer der IT-verantwortliche hat hierfür eine sichere Methode zugelassen. Eine sichere Methode kann eine von der IT-Abteilung bereitgestellte oder freigegebene Passwort-Management-Software sein (s.u.).
- Vom Anwender erstellte Passwörter dürfen auf keinem Weg verbreitet werden (mündlich, schriftlich oder in elektronischer Form, etc.). Ausgenommen davon sind Initialpassörter (temporäre Passwörter).
- Passwörter müssen geändert werden, falls es Anzeichen dafür gibt, dass die Passwörter oder das System kompromittiert sein könnten – in diesem Fall muss ein Sicherheitsvorfall gemeldet werden
- Sichere Passwörter müssen mindestens aus 8 Zeichen bestehen
- Sichere Passwörter müssen mindestens 2 der folgenden 3 Merkmale erfüllen:
- Benutzung mindestens eines Sonderzeichens
- Benutzung mindestens einer Ziffer
- enthält mindestens einen Großbuchstaben und einen Kleinbuchstaben
- Ferner zeichnet sich ein sicheres Passwort dadurch aus, dass
- das Passwort nicht in einem Wörterbuch enthalten sein, kein Wort im Dialekt oder in der Umgangssprache irgendeiner Sprache oder irgendein solches Wort rückwärts geschrieben sein darf.
- keine persönlichen Daten enthalten darf (z.B. Geburtsdatum, Adresse, Name von Familienmitgliedern, etc.)
- es nicht den letzten drei verwendeten Passwörtern entspricht
- es nicht auch für private Zwecke genutzt wird.
- Passwörter müssen in folgender Frequenz geändert werden
- Windows-Passwörter und Passwörter für den Office-Fileserver: nach Aufforderung durch die Geschäftsleitung in einem angemessenen Turnus
- Passwörter für Web-Anwendungen sind vom Nutzer spätestens alle 365 Tage zu ändern,
davon ausgenommen sind Passwörter für Datenbanken (s. Richtlinie zur Entwicklungssicherheit, Dok.Nr. 4.4)
7 Nutzung von mobilen Geräten
Bereitgestellte mobile Geräte des Unternehmens wie Notebooks, PDAs, Smartphone, Tablets und ähnliche Geräte sind jederzeit sicher aufzubewahren. Dies gilt insbesondere bei externen Terminen und auf Reisen. Muss das Gerät in Ausnahmefällen für einige Zeit unbeaufsichtigt bleiben, so ist es gegen Diebstahl und unberechtigten Zugriff zu sichern. Bei Flugreisen sind mobile Geräte als Handgepäck zu führen. Sofern ein mobiles Gerät ausnahmsweise in einem Fahrzeug verbleiben muss, so darf es von außen nicht sichtbar sein, sondern im Kofferraum eingeschlossen und ggf. abgedeckt werden.
Bei Nutzung der mobilen Geräte während Reisetätigkeiten (z.B. im Zug oder im Café), ist der Schutz des Bildschirms mittels eines Blickschutzes vor unberechtigter Einsichtnahme Dritter zu empfehlen. Zur Schadensbegrenzung bei möglichem Verlust dürfen nur jeweils notwendige Informationen auf den Geräten gespeichert werden. Mobile Geräte sind durch einen Zugangsschutz (PIN, Touch ID (Apple) o.ä.) geschützt. Dieser Schutz darf nicht deaktiviert werden.
Sensible Informationen auf mobilen Geräten sind verschlüsselt abzulegen (bei Android explizit zu aktivieren, auch für die SD-Karte). Bei Fragen zu entsprechenden Verschlüsselungstools ist die Technik-Abteilung oder ihre Leitung zu konsultieren. Die hinreichende Verschlüsselung von Daten kann im Verlustfall des Gerätes eine aufsichtsbehördliche Meldepflicht vermeiden. Sofern mobile Geräte auf Fernreisen mitgeführt werden sollen, ist zuvor abzuklären, ob die verwendete Verschlüsselungstechnologie im Ziel- oder Transitland eine Straftat darstellt (etwa: China oder USA). WLAN- und Bluetooth-Schnittstellen sind nach Möglichkeit zu deaktivieren, wenn sie nicht genutzt werden.
Die ordnungsgemäße Nutzung von mobilen Geräten kann in einer Überlassungsvereinbarung näher geregelt werden und durch eine sog. „Mobile-Device-Management“-Software überwacht und durchgesetzt werden.
8 Nutzung mobiler Datenträger
Nicht von der Firma freigegebene oder von der Firma zur Verfügung gestellte externe Geräte ( d.h. private/fremde Geräte) wie z.B. USB-Sticks oder externe Massenspeicher (USB, eSATA; Firewire Handys, Powerbanks, etc.) dürfen nicht an den Arbeitsplatz-PC oder das dienstliche Notebook angeschlossen werden. Eine Aufladung privater Geräte hat mittels Netzteilen an Steckdosen zu erfolgen, nicht jedoch am dienstlichen PC. Neben der Gefahr des Abflusses betrieblicher Daten besteht die Gefahr der Infektion mit Schadsoftware. Es wird darauf hingewiesen, dass die Nutzung der USB-Schnittstellen durch Monitoring-Programme überwacht werden kann, um dem Risiko eines Datenabflusses zu begegnen.
Umgekehrt dürfen von der Firma zur Verfügung gestellte externe Geräte nicht an betriebsfremde Geräte angeschlossen werden. Eine Verwendung von Wechseldatenträgern ist soweit möglich zu vermeiden. Dienstliche Wechseldatenträger dürfen nur zum Speichern, Kopieren und/oder Übertragen von öffentlichen oder betriebsöffentlichen Dokumenten (vgl. Richtlinie zur Informationsklassifizierung) verwendet werden.
Das Speichern und/oder Kopieren vertraulicher, streng vertraulicher und/oder personenbezogener Daten (z.B. Kunden- oder Personaldaten) auf Wechseldatenträger ist ausdrücklich verboten. Vertrauliche Dokumente sind per E‑Mail zu versenden und dabei ebenfalls durch Verschlüsselung oder Verwendung von Passwörtern zu schützen.
Nicht mehr benötigte Dokumente sind umgehend vom Wechseldatenträger zu löschen. Bei beabsichtigter Weitergabe von USB-Datenträgern an Dritte ist ein fabrikneuer Datenträger zu verwenden, damit dieser keine gelöschten Daten wiederherstellen kann. Alte Datenträger sind beim IT-Verantwortlichen abzugeben. Bei einmal beschreibbaren Datenträgern wie CDs und DVDs sind diese zu zerstören (z.B. schreddern) bzw. sicher zu entsorgen. Werden sensible geschäftliche oder personenbezogene Daten auf einmal beschreibbaren Datenträgern archiviert, sind diese in einem Archiv zusätzlich separat verschlossen aufzubewahren.
9 Nutzung von Telefoniegeräten
Die Benutzung betrieblicher Telefone für private Gespräche ist grundsätzlich nicht gestattet. Ausgenommen davon sind dienstlich veranlasste Gespräche, wie z.B. die Benachrichtigung Angehöriger über dienstlich veranlasste Verspätungen oder Kommunikation in Notfällen.
Die Privatnutzung kann durch eine IT-Privatnutzungsvereinbarung erlaubt werden. Ferner kann eine Übergabevereinbarung für mobile Geräte weitere Nutzungsregeln festlegen.
9.1 Nutzung von Mehrwertdiensten
Die Nutzung von Rufnummern zu Sonderdiensten, die höhere Kosten verursachen als der Anruf einer normalen, deutschen Festnetz- oder Mobilfunk-Rufnummer ist unzulässig. Davon ausgenommen sind Einwahlen in Telefonkonferenzen mit Kunden oder der Anruf bei Service-Rufnummern genutzter Dienstleister und Geräte-Hersteller.
9.2 Besonderheiten für die Benutzung von Mobiltelefonen
9.2.1 Überlassung eines mobilen Geräts
Das Gerät verbleibt im Eigentum des Unternehmens. Das Unternehmen kann das Gerät vom Nutzer ohne Angabe von Gründen zurückverlangen. Von diesem Recht wird das Unternehmen insbesondere bei Verstoß gegen diese Vereinbarung oder Entzug der Nutzungs-Berechtigung aus anderen Gründen Gebrauch machen.
Das Unternehmen behält sich die Einführung einer Mobile-Device-Policy vor, sowie die Nutzung einer Mobile-Device-Management-Lösung, um die regelkonforme Nutzung der Geräte zu überwachen und die verpflichtenden Sicherheitseinstellungen zu erzwingen. Im Falle einer Privatnutzung werden dabei die durch den Nutzer installierten Apps sichtbar.
9.2.2 Private Nutzung
Eine private Nutzung der Telefoniefunktion sowie von E‑Mail- oder Internet-Diensten über diese Geräte ist nicht gestattet. Der Nutzer darf eine im Gerät verwendete SIM-Karte nicht in private Geräte einsetzen bzw. mit privaten Geräten nutzen, noch durch eine private SIM-Karte ersetzen. Die Nutzung des Gerätes oder von Funktionen des Gerätes durch Dritte – auch Familienangehörige – ist untersagt.
9.2.3 Roaming-Nutzung und Mehrwertdienste
Das Unternehmen schließt einen Mobilfunkvertrag ab und trägt die mit diesem Mobilfunkvertrag insoweit anfallenden Kosten (Grundgebühr, Gesprächskosten, Datenoptionen). Für das Telefonieren im Ausland („Voice-Roaming“) und das Nutzen von Datendiensten (z.B. Internet oder Email) im Ausland („Data-Roaming“) fallen erhöhte Entgelte an. Sowohl Voice- als auch Data-Roaming sind daher für dienstliche Zwecke zurückhaltend und kostenbewusst zu nutzen und für private Zwecke ausgeschlossen. Ein Abruf von Audio- oder Videostreaming oder Foto-Upload via Datenroaming im Ausland ist untersagt.
Für die Nutzung zubuchbarer Optionen (SpeedOn, Roaming-Passes, etc.) sowie kostenpflichtiger Mehrwertdienste, ist vorab die Zustimmung des Unternehmens über den User-Helpdesk einzuholen. Hieraus entstehende Kosten sind grundsätzlich vom Nutzer zu übernehmen. Kosten für kostenpflichtige Apps, sofern nicht durch die IT zur Verfügung gestellt, sind ebenfalls vom Nutzer selbst zu tragen. Es ist untersagt, Dienste zu buchen, die eine regelmäßige Kostenabbuchung z.B. über die Mobilfunkrechnung auslösen.
9.2.4 PIN-Aktivierung
Auf dienstlichen Mobiltelefonen ist die PIN-Eingabe stets aktiviert zu halten. WLAN- und Bluetooth-Schnittstellen sind zu deaktivieren wenn sie nicht genutzt werden.
9.2.5 Diebstahl, Defekt, Verlust und Sicherheitsverstöße
Das Gerät ist vor Diebstahl zu schützen, d.h. es ist grundsätzlich bei sich zu führen bzw. unter Aufsicht zu halten. Das Gerät ist vor unberechtigtem Einblick und Zugriff, insbesondere bei Nutzung auf Dienstreisen (Zug, Automobil, Flugzeug, …) sowie im privaten Umfeld zu schützen.
Der Defekt, Diebstahl oder sonst wie vermutete Verlust des Gerätes ist unverzüglich dem User Helpdesk, der Unternehmenssicherheit oder dem Vorgesetzten zu melden, um gebotene Maßnahmen einleiten zu können.
Das Unternehmen ist im Falle des Verlustes berechtigt, das Gerät zu sperren, alle dienstlichen und privaten Inhalte bzw. Daten auf dem Gerät zu löschen sowie die SIM-Karte zu deaktivieren.
Der Nutzer hat das Gerät pfleglich zu behandeln. Bei Defekt, Verlust oder Zerstörung während der Regelnutzungszeit erhält der Nutzer regelmäßig ein gleichwertiges, ggf. gebrauchtes Ersatzgerät, jedoch kein neueres oder aktuelleres Gerät. Bei Sicherheitsverstößen wird die Synchronisation des Gerätes deaktiviert, etwa durch Wechsel des Passwortes, bei groben Sicherheitsverstößen kann das Gerät gelöscht werden, sofern die technischen Möglichkeiten das zulassen. Die Entscheidung obliegt der IT-Abteilung. Diese wird sich bemühen den Nutzer vor der Maßnahme in Kenntnis zu setzen.
9.3 Regeln für Smartphones und Apps
Auf dienstlich genutzten Geräten, vor allem Smartphones und Tablets, sollten nur betrieblich notwendige Apps installiert werden, die keine Gefahr für einen Abfluss betrieblicher Daten darstellen. Dies betrifft insbesondere internetbasierte (Cloud- Services) als Speicher- und Backupdienste sowie alle Dienste wie z.B. Messenger, die über Schnittstellen (APIs) Zugriff auf Telefonbuch, E‑Mails und andere auf dem Endgerät gespeicherte Daten haben. Sofern solche Apps über auf Daten des Gerätes zugreifen wollen und der Nutzer nach seiner Zustimmung gefragt wird, ist dies abzulehnen bzw. diese Berechtigung zu entziehen. Ist dies aufgrund des Betriebssystems des Gerätes nicht möglich, so ist die Verwendung zu unterlassen.
Die Geschäftsleitung kann für einzelne Apps Ausnahmeregelungen zulassen.
Für unsichere Apps kann ein Verbot der Nutzung in Form einer „Blacklist“ erfolgen. Das kann auch die Deaktivierung von herstellerspezifischen Funktionen (iMessage, Siri, etc.) beinhalten. Das Unternehmen macht eine solche „Blacklist“ als im Intranet für den Nutzer zugänglich oder beschränkt die Auswahl der Apps im App-Store entsprechend. Apps der „Blacklist“ dürfen nicht installiert werden bzw müssen (wenn installiert) deinstalliert werden.
Änderungen der Blacklist werden bekannt gegeben. Wird eine bislang erlaubte App durch ein Update auf die Blacklist gesetzt, wird der Nutzer informiert und hat vor Löschung der Apps 7 Tage Zeit, etwaige Daten zu sichern.
Der Nutzer ist für das regelmäßige Update der Betriebssystemsoftware sowie der Apps verantwortlich. Modifikationen an der Betriebssystemsoftware (Jailbreak/Rooting) sind untersagt.
9.4 Aufzeichnung der Verbindungsdaten
Die Verbindungsdaten aller ausgehenden Telefonate der Telefonanlage sowie aller dienstlichen Mobiltelefone werden gespeichert. Erfasst werden folgende Daten:
- Datum, Uhrzeit, Dauer des Anrufs,
- Nebenstelle, vor der Anruf abgeht bzw. bei der der Anruf eingeht,
- vollständige gewählte Rufnummer und ggf. die Nummer von eigehenden Anrufen,
- Betrag der Gebühren.
Die Daten werden stichprobenartig auf Missbrauch (private Nutzung) kontrolliert. Besteht ein konkreter Missbrauchsverdacht oder ergibt sich ein solcher aus Stichprobenkontrollen, werden Daten für etwaige arbeitsrechtliche Maßnahmen ermittelt. Unberührt bleibt die persönliche Kontrolle durch Vorgesetzte (Augenschein). In dem Fall einer erlaubten Privatnutzung erteilt der Mitarbeiter dem Unternehmen die Einwilligung die Verbindungsdaten, die dann auch private, personenbezogene Daten enthalten können, zu analysieren.
10 Benutzung des dienstlichen E‑Mail-Postfaches
Das E‑Mail-Programm zur Nutzung auf dem Arbeitsplatzcomputer und den mobilen Geräten, inklusive der dienstlichen E‑Mail-Adresse, sind ausschließlich dienstlich zu verwenden. Das Unternehmen filtert die E‑Mails automatisiert, um die Zustellung von z.B. Viren, SPAM und anderen als schädlich erachteten Inhalte zu unterdrücken. Die ausgefilterten E‑Mails werden ggf. in einem gesonderten Ordner vorgehalten, so dass Administratoren fälschlich ausgefilterte E‑Mails widerherstellen können, wobei unvermeidlich Einsicht genommen wird.
Eine Einrichtung von privaten E‑Mail Konten im E‑Mail-Programm, die Nutzung der dienstlichen E‑Mail-Adresse für das Senden privater E‑Mails und die automatische oder manuelle Weiterleitung von E‑Mails zwischen einem privaten und dem betrieblichen E‑Mail-Konto ist aus Sicherheitsgründen untersagt. Unaufgefordert eingehende private E‑Mails sind zu löschen und der Absender ist entsprechend zu informieren.
Private E‑Mails können bei abgeschlossener IT-Privatnutzungsvereinbarung durch Webmail-Angebote über den Internetbrowser empfangen oder versandt werden. Eine Weiterleitung dienstlicher Emails an einen privaten Account oder das Versanden oder Speichern dienstlicher Daten über bzw. in einem privaten Email-Account oder Web-Speicherplatz ist untersagt. Für mobile Geräte kann im Rahmen einer Privatnutzungsvereinbarung und einer Überlassungsvereinbarung bezüglich des mobilen Gerätes die Einbindung privater E‑Mail-Konten erlaubt werden.
Im Rahmen gesetzlicher Aufbewahrungspflichten und für die rechtssichere Dokumentation des E‑Mail-Verkehres können alle über den Unternehmens-E-Mail-Server ein- und ausgehenden E‑Mails für eine Dauer von bis zu 10 Jahren revisionssicher, d.h. unveränderbar archiviert werden. Der Arbeitgeber kann in die Inhalte von E‑Mails bei betrieblichen Erfordernissen Einsicht nehmen. Gleiches gilt bei Offenlegung von E‑Mails auf gerichtliche oder behördliche Anordnung oder im Rahmen von steuerlichen, sozialversicherungsrechtlichen, kartellrechtlichen oder sonstigen Prüfungen oder Ermittlungsverfahren bei begründetem Verdacht auf Straftaten. Sofern versehentlich auch private E‑Mails über den Dienst-Zugang versendet und archiviert wurden, kann der Mitarbeiter deren Löschung aus dem Archiv nicht verlangen.
Werden vertrauliche oder schützenswerte Informationen an Unternehmensexterne per E‑Mail versendet, sind die Inhalte der E‑Mails durch Einsatz von Verschlüsselung zu schützen. Die entsprechend aktuelle Verschlüsselungstechnik kann beim Technik-Team oder beim dessen Leitung erfragt werden. Bei Nutzung des Verschlüsselungstools gelten o.g. Passwort-Anforderungen. Der unverschlüsselte Versand von Betriebs- und Geschäftsgeheimnissen ist untersagt.
Beim Umgang mit E‑Mail-Dateianhängen (Attachments) und Links in E‑Mails ist äußerste Vorsicht geboten. Verdächtige Dateianhänge dürfen nicht geöffnet werden. Das Öffnen von Dateien oder Links in E‑Mails von unbekannten Dritten, die Gewinne oder Sonderangebote versprechen oder unerwartet juristische Konsequenzen androhen, ist untersagt. Es ist zu beachten, dass Absenderadressen gefälscht sein können. Im Zweifel ist die technische Leitung um Rat zu fragen.
10.1 Stellvertretungsregelung und Weiterleitung von E‑Mails an Kollegen
Vor Antritt einer geplanten Abwesenheit (z.B. Urlaub, Seminar etc.) muss der Mitarbeiter den automatischen Abwesenheits-Assistenten (automatische Antwort) aktivieren
Bei krankheitsbedingter und sonstiger ungeplanter und nicht nur kurzzeitiger Abwesenheit beauftragt der jeweilige Vorgesetzte einen technischen Mitarbeiter, den automatischen Abwesenheitsagenten zu aktivieren und die eingehenden E‑Mails an den vertretenden Mitarbeiter weiterzuleiten. Nicht nur kurzzeitig sind Abwesenheiten von länger als 2 Tagen.
11 Backup-Regelung
Es hat sich gezeigt, dass Datensicherung dann am besten funktioniert, wenn nicht jeder einzelne Mitarbeiter Sicherungskopien seiner Daten anfertigt, sondern dies zentral geschieht. Die zentrale Datensicherung erfasst aber nur die auf den Servern gespeicherten Daten, lokale Daten – z.B. auf dem Desktop des PCs – werden nicht gesichert. Also müssen alle Daten auf den Servern gespeichert sein.
Dies mag zwar für manchen umständlich klingen, ist aber in Zeiten des mobilen Netzzugriffs einfach und im Falle einer kurzfristigen Vertretung für alle Beteiligten äußert praktisch. Sofern ein Mitarbeiter häufig außer Haus tätig ist, berät die IT-Abteilung hinsichtlich der Synchronisierung von Netzlaufwerken, der Verschlüsselung des Speichers des mobilen Gerätes und etwaig möglicher VPN-Zugriffe auf zentral gespeicherte Daten.
Daher gilt:
- Beachten Sie die HINWEISE ZUR DATEIABLAGE in dieser Richtlinie
- Eine lokale Datenhaltung ausschließlich nur auf dem Arbeitsplatzrechner bzw. Notebook ist nicht zulässig. Es dürfen lediglich für die notwendige Zeit lokale Kopien vorgehalten werden.
- Alle unterwegs auf Notebook-PCs bearbeiteten Daten/Dateien – auch Zwischenstände – sind regelmäßig, spätestens nach Rückkehr, auf dem Server zu speichern.
Von daher ist es untersagt, private Daten auf den Firmengeräten zu speichern. Der Firma ist es nicht möglich, bei der Speicherung zwischen privaten und dienstlichen Daten zu unterscheiden. Somit werden auch private Daten bei einem Backup gespeichert. Diese Regel kann über eine Privatnutzungsvereinbarung relativiert werden.
12 Regelungen zur Datei-Ablage
Um keine Daten zu verlieren, dürfen wichtige Daten nicht ausschließlich auf der lokalen Festplatte des Arbeitsplatzcomputers gespeichert werden. Wird die Festplatte des lokalen Gerätes zerstört, z.B. durch versehentliches Fallenlassen des Notebooks, sind alle darauf gespeicherten Daten oft unwiederbringlich verloren. Zudem werden die lokal gespeicherten Daten nicht von der regelmäßigen Datensicherung erfasst, die die Daten auf dem Server sichert. Es wird also keine regelmäßige Sicherungskopie von den Daten auf den Arbeitsplatz-Rechnern bzw. den Notebooks angelegt.
Alle Daten müssen im Firmen-Netz auf den dafür vorgesehenen Server-Laufwerken gespeichert werden. Das gilt auch für Zwischenstände. Die ausschließlich lokale Speicherung ist nur für Kopien von auf dem Server abgelegten Dokumenten zulässig.
Sollte ein Mitarbeiter im Außendienst unterwegs sein, so kann die IT-Abteilung Maßnahmen wie etwa die Einrichtung eines VPN-Zugangs via Datenkarten oder eines Synchronisierungs-Programmes, das regelmäßig einen Abgleich zwischen lokaler Festplatte und Server herstellet, einleiten.
12.1 Ordnerstrukturen
Daten auf den Laufwerken sind so zu speichern und in Unterverzeichnissen zu organisieren, dass sie ohne Probleme auch durch eine Vertretungsperson wieder auffindbar sind. Dabei ist eine maximale Verschachtelungstiefe der Ordner von 4 Ebenen nicht zu überschreiten.
12.2 Ablage vertraulicher und/oder personenbezogener Daten
Vertrauliche und/oder personenbezogene Daten dürfen in keinem Fall auf öffentlichen Server-Laufwerken abgespeichert werden, auch nicht kurzzeitig. Solche Daten sind – ggf. verschlüsselt oder in Passwort-geschützten Dateien – ausschließlich in solchen Verzeichnissen mit eingeschränktem Kreis von zugriffsberechtigten Personen zu speichern. Fragen Sie im Zweifel Ihren Datenschutzbeauftragten.
12.3 Nicht-betriebliche / private Daten
Es ist nicht gestattet, Daten, die nicht betrieblicher Natur sind oder für deren Speicherung kein betrieblicher Anlass vorliegt, im Unternehmensnetzwerk oder auf den Arbeitsplatzrechnern bzw. Notebook-PCs oder mobilen Geräten zu speichern. Das gilt im Besonderen für private Fotos, „lustige Filmchen“, oder urheberrechtlich geschützte Werke wie Musikdateien und Kinofilme.
Durch eine IT-Privatnutzungsvereinbarung kann eine Sonderregelung geschaffen werden, die es erlaubt, private Daten auf den lokalen Festplatten von Arbeitsplatz-PC/Notebook sowie auf mobilen Geräten zu speichern, sofern ein Zugriffs- und Einsichtsrecht, insbesondere bei Verdacht auf rechts- oder vertragswidrige Inhalte, eingeräumt wird, das Unternehmen private Daten im Zweifel löschen darf und von der Haftung bei Verlust, Veränderung oder Beschädigung von privaten Daten freigestellt wird. Untersagt ist dabei die auch nur temporäre Speicherung von Inhalten ohne urheberrechtliche Nutzungserlaubnis („Raubkopien“). Je Nutzer dürfen maximal 5 GB privater Daten gespeichert werden.
13 „Clean Desk“ am Arbeitsplatz und im Unternehmen
Smartphones, Tablet-PCs und Datenträger dürfen auch bei kurzfristiger Abwesenheit vom Arbeitsplatz nicht offen liegen gelassen werden oder am Gerät eingesteckt verbleiben. USB- und mobile Geräte sind bei Nichtbenutzung verschlossen aufzubewahren.
Am Arbeitsplatz dürfen weder Unterlagen noch Datenträger mit sensiblen Daten unbeaufsichtigt und unverschlossen verbleiben. Außerhalb der Arbeitszeiten sind sämtliche Dokumente mit sensiblen Daten, sowie mobile dienstliche Geräte der Mitarbeiter unter Verschluss zu halten. Zugangsdaten (wie Username/Passwort) dürfen nicht schriftlich am Arbeitsplatz hinterlassen werden (etwa am Bildschirm angebracht, unter Tastatur oder Schreibunterlage – ausgenommen hiervon sind zentrale Administrations-Accounts, die in entsprechenden Tools verwaltet werden). Vertrauliche Unterlagen und Unterlagen mit personenbezogenen Daten gehören NICHT in den Papierkorb, sondern sind entweder zu schreddern oder in Papierentsorgungs-Tonnen zu werfen.
Bildschirm, Post- und Ablagekörbe müssen so angebracht sein, dass kein Besucher im Vorbeigehen Einblick nehmen oder Unterlagen einstecken kann, ohne dass es auffallen würde. Im Falle von kurzen Abwesenheiten muss durch Abmelden von allen Systemen bzw. durch Sperren des Bildschirms (mit erneuter Passworteingabe) sichergestellt sein, dass niemand unberechtigtes Zugang zu vertraulichen Daten erhält.
13.1 Nutzung von Besprechungszimmer
Beim Verlassen eines Besprechungszimmers sind alle Arbeitsdokumente, Präsentation, Flipcharts, USB-Speicher-Sticks, etc. mitzunehmen. Auch sind aus hygienischen Gründen alle Kaffeetassen- und Becher, Gläser, leere Flaschen, Geschirr und Unrat ordentlich zu entsorgen und der Tisch ist sauber zu hinterlassen. Der Beamer ist abzuschalten und die Stromversorgung zum Schutz des Leuchtmittels nicht eher zu trennen als die Lüftung sich abgeschaltet hat.
13.2 Ausdrucke und Faxe
Ausdrucke am Gemeinschafts-Drucker sind unverzüglich abzuholen. Bleiben Sie während des Kopiervorgangs bitte am Kopierer stehen. Holen Sie eingehende Faxe sofort ab, wenn Sie davon Kenntnis erhalten.
14 Heim- und Telearbeit
Der Zweck der Heimarbeits- und Telearbeitsplatzregelung ist es, den unberechtigten Zugang zu Mobilgeräten auch außerhalb der Räumlichkeiten des Unternehmens zu verhindern. Gerade im häuslichen Umfeld sind die Daten vor Einsicht und oder Zugriff durch Dritte oder Haushalts- und Familienangehörige zu schützen.
Jeder Mitarbeiter hat daher folgende technische und organisatorische Maßnahmen zu ergreifen, damit sichergestellt werden kann, dass Unterlagen und Daten, die sich in seinem Verfügungsbereich befinden, nicht missbraucht werden können, abhandenkommen oder Unbefugten zugänglich werden:
- Der Transport von elektronischen Speichergeräten oder vertraulichen Akten bzw. Unterlagen muss immer in verschlossenen Behältnissen erfolgen.
- Während des Transportes dürfen diese Behältnisse nicht unbeaufsichtigt bleiben. oder anderweitig privat weitergegeben werden.
- Bildschirme sind grundsätzlich so zu platzieren, dass eine Einsicht durch Dritte (etwa durch das Fenster oder eine offene Tür) nicht möglich ist.
- Jeder Mitarbeiter stellt sicher, dass alle Unterlagen und elektronischen Speichergeräte während der Abwesenheit unter Verschluss gehalten werden (verschließbarer Schrank).
- Das Vernichten von vertraulichem Schriftgut darf stets nur mit den dafür vorgesehenen Aktenvernichtern erfolgen.
- Datenträger, Unterlagen oder Ausdrucke dürfen nie im Hausmüll entsorgt werden.
- Geräte wie zum Beispiel Notebooks, mit denen ein Zugriff auf das Firmennetzwerk möglich ist, dürfen niemandem zur Nutzung überlassen werden.
- Die Person, die Ausstattung für Mobile Computing außerhalb der Räumlichkeiten der Organisation nutzt ist für die regelmäßige Sicherung der Daten verantwortlich.
- Die Verbindung mit Kommunikationsnetzen und der Datenaustausch muss die Sensibilität der Daten widerspiegeln
- Wenn die Aufbewahrung von Datenträgern nicht in einem verschlossenen Behältnis erfolgen kann, sind die darauf befindlichen Daten verschlüsselt vorzuhalten.
Die Heim- oder Telearbeit muss vorab schriftlich von der Geschäftsleitung genehmigt sein, es sei denn, es ist Gefahr in Verzug. Auch private Ausstattungen für den Heim- oder Telearbeitsplatz, dürfen – sofern nicht vom Unternehmen bereitgestellt – nur mit Genehmigung des IT-Sicherheitsbeauftragten genutzt werden. Die Mindest-Konfiguration dieser Geräte entspricht den Richtlinien 3.1 und 4.1. Der IT Sicherheitsbeauftragte kann zusätzliche Konfigurationseinstellungen bzw. Programme vorgeben.
14.1 Regelung für die Nutzung von eigenen Geräten (BYOD)
Mitarbeitern ist nur dann gestattet, eigene Geräte für die Erfüllung Ihrer Arbeit zu nutzen, wenn sie alle folgenden Regeln zusätzlich einhalten.
- Update-Stand des Betriebssystems ist aktuell.
- Der Datenspeicher, welcher in Verbindung mit Auftragsdaten kommt, ist verschlüsselt.
- Das Gerät wechselt in den gesperrten Modus, wenn es länger als 5 Minuten nicht genutzt wird.
- Das Gerät darf, wenn es Auftragsdaten hält, nicht überlassen werden.
- Die Arbeit wird durch eine Software- oder Hardwarefirewall abgeschirmt.
- Das Gerät ist nachweislich frei von Schadsoftware wie Viren, Trojanern oder Keyloggern.
- Firmendaten werden nicht auf das Gerät kopiert. Falls die temporäre Zwischenspeicherung von Daten oder die Speicherung durch Synchronisation (z.B. Outlook) unvermeidbar ist, werden diese Daten nach ihrem Gebrauch wieder gelöscht.
- Synchronisationsdaten, wie sie z.B. bei der Nutzung von Outlook entstehen, müssen jederzeit ausschließlich verschlüsselt gespeichert sein.
- Die ausschließliche Vorhaltung von aktuellem Datenbestand auf einem privaten Gerät ist unzulässig. Sollte eine Aktualisierung von Firmendaten auf einem privaten Gerät erfolgen, wird der aktualisierte Datenbestand umgehend in die Serverumgebung überführt. Die lokale Instanz wird anschließend gelöscht.
Für mobile Endgeräte gilt zusätzlich.
- Alle Festplatte(n) bzw. Permanentspeicher (HDD; SSD, M2,…) des Gerätes müssen verschlüsselt sein.
- Für die Reaktivierung des Gerätes (beim Einschalten, Entsperren oder Erwachen aus einem Energiesparmodus wie dem Ruhezustand oder einem anderen Hybernation-Modus) wird eine Authentifizierung genutzt die zur Zeit der Nutzung als „sicher“ eingestuft wird.
- Nachrichten bzw. deren Vorschau aus dem betrieblichen Umfeld dürfen nicht auf dem Sperrbildschirm angezeigt/eingeblendet werden.
15 Entsorgung, Vernichtung und Weiterverwendung
Kopien/Fehlausdrucke mit sensiblem Inhalt gehören nicht in den Papierkorb. Wichtige Unterlagen mit einem Reißwolf/Papierschredder zu vernichten oder sie in die dafür bereitgestellten Entsorgungscontainer zu werfen. Dabei sind etwaige bereichsspezifischen Aufbewahrungsfristen zu beachten.
15.1 Datenträger und Gerätschaften
Alte oder defekte Gerätschaften oder Datenträger (Disketten, CDs, DVDs, Bänder, Festplatten, USB-Speicher, SSDs) sind nicht in den Müll zu werfen, sondern sind der IT-Abteilung zu übergeben.
16 Verhalten bei IT-Sicherheitsvorfällen
Grundsätzlich gilt: Bewahren Sie Ruhe! – Handeln Sie überlegt! Stimmen Sie sich intern ab!
Sofern der Verdacht, die Wahrscheinlichkeit oder Gewissheit besteht, dass
- Daten versehentlich oder absichtlich an einen nicht berechtigten Dritten, etwa an einen falschen oder unbekannten E‑Mail-Empfänger geschickt oder diesem sonst wie zur Kenntnis gelangt sind oder
- sich ein Dritter oder Fremder Zugang zu den Systemen des Unternehmens verschafft hat
- IT-Systeme sich ungewöhnlich verhalten, Dateien auf unerklärliche Weise verändert
oder gelöscht sind
ist dies der Geschäftsleitung unverzüglich ohne Ansehen der Verursachung und der Verantwortlichkeit zu melden. Nach § 42a BDSG können Meldepflichten bestehen, deren Versäumnis oder schuldhafte Verzögerung eine etwaige Ordnungswidrigkeit zur Straftat machen. Des Weiteren bestehen möglicherweise zivilrechtliche Informationspflichten. Über Zeitpunkt und Form der Erfüllung dieser Pflichten entscheidet die Geschäftsleitung.
Weitere Maßnahmen dürfen erst auf Veranlassung Berechtigter getroffen werden.
Geben Sie keine Informationen an Dritte weiter, ohne dass Sie explizit dazu autorisiert wurden. Das gilt auch und insbesondere für Behörden, für Kunden und Pressevertreter.
17 Verbesserung der Sicherheit
Diese Richtlinie wird regelmäßig auf ihre Aktualität und Wirksamkeit geprüft und angepasst. Die Geschäftsleitung unterstützt die ständige Verbesserung des Sicherheitsniveaus. Alle Mitarbeiter sind angehalten, mögliche Verbesserungen oder Schwachstellen an die Geschäftsleitung und/oder den Datenschutzbeauftragten weiterzugeben.
18 Inkrafttreten
Die Richtlinie tritt zum ‚Zeitpunkt der Veröffentlichung in Kraft.
19 Privatnutzungsvereinbarung
Viele Unternehmen dulden stillschweigend die private Nutzung von
(Mobil-)Telefon, Internet und Email. Jedoch kann die private und dienstliche Nutzung technisch nicht getrennt werden, so dass auch private Verbindungsdaten vom Unternehmen erfasst werden und das Risiko einer (versehentlichen) Offenlegung privater Daten der Mitarbeiter besteht. Aufgrund der gesetzlichen Datenschutzvorschriften, welche auch für die CIS Computer & Internet Services GmbH (im Folgenden „das Unternehmen“) gelten, muss deswegen generell gelten:
Telefon (Handy und Festnetz), Internetzugang (Festverbindung oder über Mobilfunk), das betriebliche Email-System sowie Speicher und Kapazitäten der informations- und telekommunikationstechnischen Geräte dürfen nur zu betrieblichen Zwecken genutzt werden.
Das Unternehmen erlaubt jedoch die private Nutzung unter dem Vorbehalt des jederzeitigen Widerrufs (z.B. aus betrieblichen Gründen oder bei Verdacht auf Missbrauch) unter den nachfolgenden Voraussetzungen:
19.1 Telefon und Mobiltelefon
Da das Unternehmen Einzelverbindungsnachweise von Telefongesprächen aus betrieblichen Gründen wie z.B. der Rechnungskontrolle benötigt, muss sie alle Verbindungsdaten speichern und auswerten können. Protokolliert werden i.d.R. Datum, Uhrzeit, Anrufdauer, Nebenstelle und Zielrufnummer bei abgehenden bzw. Anrufernummer und Nebenstelle bei eingehenden Anrufen und der Betrag der Gebühren.
Das Unternehmen erlaubt unter dem Vorbehalt des Widerrufs die gelegentliche private Nutzung von Telefon und Mobiltelefon, falls Sie uns Ihre Einwilligung für die Erfassung der Verbindungsdaten zur Kontrolle der Telefonrechnungen geben. Aus Kostengründen untersagt bleibt die private Nutzung des Mobiltelefons bzw. der Datenkarten aus dem Ausland (Roaming) sowie die Nutzung kostenpflichtiger Mehrwertdienste.
Das Unternehmen behält sich vor, die Nutzung betrieblicher mobiler Geräte (Notebooks/ Tablets/Smartphones) durch eine Mobile-Device-Policy oder eine Überlassungsvereinbarung konkreter zu regeln und durch eine Mobile-Device-Management-Software zu kontrollieren. Details dazu werden vom Unternehmen den Mitarbeitern zur Kenntnis gegeben. Mobile Firmengeräte dürfen nicht mit privaten Geräten gekoppelt bzw. synchronisiert werden. Ein Backup auf privaten PC ist untersagt. Die private Nutzung der Firmen-Apple-ID bzw. des Google-Accounts ist untersagt.
19.2 Internetnutzung
Auch bezüglich des Internetverkehrs kann eine dienstliche und private Nutzung technisch nicht getrennt werden. Das Unternehmen protokolliert alle Verbindungsdaten im Firmennetz, d.h. i.d.R. Datum, Uhrzeit, Rechner- oder Benutzerkennung, Fehlercode, Anzahl der übertragenen Bytes, Zieladresse des angeforderten Dokuments (Webseite). Die Daten werden im Rahmen des Machbaren schnellstmöglich anonymisiert und i.d.R. nach einem Monat gelöscht.
Die Protokolle werden ausschließlich zur Analyse und Korrektur technischer Fehler, Gewährleistung der Systemsicherheit, Optimierung/Sicherung der Netze und Feststellung des Nutzungsvolumens verwendet. Davon unbenommen sind Ermittlungen im Rahmen der Verfolgung strafbarer Handlungen.
Daher gestattet das Unternehmen die private Internetnutzung unter dem Vorbehalt des Widerrufs nur, wenn Sie in die Protokollierung auch der privaten Verbindungsdaten sowie die Filterung (z.B. Viren, Malware) und die Blockierung einzelner Webseiten (z.B. Fishing- und Malware-Seiten) auch aus den privat übertragenen Daten einwilligen und sich an die folgenden Nutzungsregeln halten:
Die Privatnutzung darf nicht betriebliche Belange beeinträchtigen, die Verfügbarkeit der IT-Systeme beeinträchtigen oder zusätzliche Kosten verursachen.
- Nicht erlaubt ist
- die Verfolgung kommerzieller oder eigener geschäftlicher Zwecke
- der Umgang mit rechtwidrigen Inhalten und/oder der Verstoß gegen strafrechtliche, urheberrechtliche, lizenz‑, marken- oder persönlichkeitsrechtliche Bestimmungen,
- die Nutzung oder Verbreitung erotischer, politischer, beleidigender oder verfassungsfeindlicher Inhalte.
19.3 Dienstlicher Email-Account
Das Unternehmen muss in der Lage sein, im Falle einer unerwarteten Abwesenheit des Mitarbeiters auf die dienstlichen Emails zugreifen zu können oder Emails der steuerlichen oder sozial-versicherungsrechtlichen Betriebsprüfung auf deren Anordnung offenzulegen. Dies wird uns durch die Datenschutzbestimmungen untersagt, sofern der Mitarbeiter unseren Email-Account auch privat nutzt.
Daher ist das Versenden, Empfangen und Speichern von privaten Emails unter der Unternehmens-Email-Adresse bzw. auf den Email-Servern des Unternehmens untersagt, es sei denn, Sie geben dem Unternehmen die Einwilligung bei betrieblichem Interesse Einsicht in Ihr Postfach zu nehmen und darin befindliche Emails zu öffnen und zu nutzen.
Um unnötige Einsichtnahmen zu vermeiden, richten Sie bitte einen Vertreter ein und aktivieren Sie bei geplanter Abwesenheit einen Abwesenheitsassistenten (Auto-Reply) mit der Information bezüglich Ihres Vertreters. Das Unternehmen wird nur dann Einsicht in den Email-Account nehmen, wenn Sie nicht nur kurzzeitig oder unvorhersehbar abwesend sind und nur dann, wenn kein Stellvertreter mit Zugriffsberechtigung eingerichtet oder erreichbar ist. Zudem darf ein Zugriff bei gerichtlichen oder behördlichen Anordnungen oder Betriebsprüfungen oder bei Ermittlungen bei begründetem Verdacht auf Straftaten erfolgen.
Es wird ein 6‑Augen-Prinzip unter Einbeziehung des Datenschutzbeauftragten gewährleistet. Darüber hinaus filtert das Unternehmen automatisiert den Email-Verkehr, um die Zustellung von z.B. Viren, SPAM und andere als schädlich erachteten Inhalte zu unterdrücken und um den evtl. Abfluss von Geschäftsgeheimnissen zu erkennen. Die dabei ausgefilterten Emails werden in einem gesonderten Ordner vorgehalten, der von der IT-Administration eingesehen und verwaltet werden kann. Zudem wird darauf hingewiesen, dass das Unternehmen gesetzlich verpflichtet ist, eine rechtssichere Dokumentation des Email-Verkehrs vorzunehmen.
Jede eingehende und ausgehende Email wird daher auf ein unveränderbares Speichermedium geschrieben und 10 Jahre aufbewahrt. Sofern im Email-Verkehr auch private Emails enthalten sein sollten, weisen wir darauf hin, dass auch diese entsprechend gespeichert und ggf. durch das Unternehmen eingesehen werden können. Eine rückwirkende Löschung von archivierten Emails ist nicht möglich, ohne die Konsistenz des Archivs zu beschädigen. Ein rückwirkender Widerruf dieser Einwilligung ist daher nicht möglich.
19.4 Speicherung privater Daten auf Firmengeräten
Auf Firmengeräten – z.B. PCs, Notebooks, Smartphones, Server-Laufwerken – dürfen keine privaten Daten gespeichert werden, es sei denn, Sie erklären sich mit Folgendem einverstanden. Das Unternehmen übernimmt keine Haftung bei Verlust, Veränderung oder Beschädigung von privaten Daten auf Firmengeräten.
Ein Backup wird nicht garantiert. Sie erlauben dem Unternehmen auch auf private Daten zuzugreifen, insbesondere bei Verdacht auf rechts- oder vertragswidrige Inhalte, und diese im Zweifel zu löschen.
Untersagt ist die auch nur temporäre Speicherung von Inhalten ohne urheberrechtliche Nutzungserlaubnis („Raubkopien“). Je Nutzer dürfen maximal 5 GB privater Daten im persönlichen Laufwerk oder auf der lokalen Festplatte des PCs gespeichert werden. Die Daten werden nach Ausscheiden des Mitarbeiters gelöscht, ein Herausgabeanspruch besteht nicht.
Auf den Firmengeräten darf keine private oder aus dem Internet heruntergeladene Software genutzt werden, die nicht von der IT-Administration freigegeben wurde. Ausgenommen ist die private Nutzung von Apps auf Smartphones und Tablet-PCs, sofern sie über den privaten App-Store-Account erworben und überwiegend positiv bewertet wurden.
Sie müssen so genutzt werden, dass ein Abfluss dienstlicher Daten vermieden wird, insbesondere darf den Apps kein Zugriff auf Kontakte, Emails und Kalender gewährt werden. Änderungen der Sicherheits-Settings des Betriebssystems (z.B. Jailbreaking/Rooting) sind untersagt.
Die Einwilligung zur Datenerfassung und Auswertung ist freiwillig. Diese können Sie jederzeit verweigern oder nachträglich bei der Personalabteilung schriftlich widerrufen, ohne dass Ihnen dadurch berufliche Nachteile entstehen; in dem Fall erlischt die Erlaubnis der privaten Nutzung.
Sollte ein Teil der aufgeführten Inhalte ganz oder teilweise unwirksam oder undurchführbar sein oder werden, so wird dadurch die Wirksamkeit dieses Dokumentes nicht berührt. Mitarbeiter und Geschäftsführung werden in einem solchen Fall zusammenwirken, um eine Regelung zu finden, die hinsichtlich IT-Sicherheit und Wirtschaftlichkeit dem unwirksamen oder undurchführbaren Teil entspricht.