IT-Sicher­heits­richt­li­nie und Privatnutzungsvereinbarung

für die Nutzung von Firmen-Geräten

1 For­melle Angaben zum Dokumentenmanagement

1.1 Ver­trau­lich­keits­grad dieses Dokumentes

  Öffent­lich Betrieb­söf­fent­lich Ver­trau­lich Streng ver­trau­lich
Klas­si­fi­ka­tion   x    

Die Klas­si­fi­ka­tion erfolgt nach den betrieb­li­chen Stan­dards zur Klas­si­fi­ka­tion von Dokumenten.

 

1.2 Aktua­li­sie­rung dieses Dokumentes

  Jähr­lich Bei Bedarf Sons­tige
Zyklus   x  

 

 

1.3 Doku­ment­his­to­rie / Versionskontrolle

Ände­rungs­da­tum Version Ände­rung Autor Gültig ab
25.04.2016 0.1 Entwurf, Doku­ment erstellt, Initia­li­sie­rung auf Basis-Muster  Fa. daschug

Frei­gabe

 

 

26.04.2016   Lesen und erste Änderungen Patrik Scherer  
27.04.2016 0.2 CI an CIS anpassen Patrik Scherer  
26.08.2016 1.0 Klei­nere Anpassungen Fa. daschug  
09.04.2020 20200409 BYOD (Absatz 14.1) Patrik Scherer  
08.07.2020 20200708 Umwand­lung in Web-Version Patrik Scherer  
22.06.2021 20210622 Ver­pflich­tung auf Ver­trau­lich­keit neu Patrik Scherer sofort
12.10.2022 202210121 Neu­fas­sung Punkt 3.3
Ver­pflich­tung zur Vertraulichkeit
Patrik Scherer, Fa. KaMUX (DSB) sofort
12.10.2022 202210122 3.3.2 Ergän­zung “Unter­rich­tung und Ver­pflich­tung vom Baye­ri­schen Lan­des­amt für Datenaufsicht” Patrik Scherer sofort
         
         

  

2 Ziel­set­zung

Ziel dieser Richt­li­nie ist es, Sie als Mit­ar­bei­ter der CIS Com­pu­ter & Inter­net Ser­vices GmbH (im Fol­gen­den: des Unter­neh­mens) für das Thema Sicher­heit in der Infor­ma­ti­ons­tech­no­lo­gie (IT) zu sen­si­bi­li­sie­ren und die stö­rungs­freie und sichere Nutzung der IT-Infra­struk­tur zu gewähr­leis­ten. Ohne Telefon- und E‑Mail-Ver­bin­dung sind wir für Kunden nicht erreich­bar; ohne eine Online-Ver­bin­dung lassen sich gesetz­li­che Pflich­ten wie z.B. die Umsatz­steu­er­an­mel­dung nicht mehr erfül­len. Ein Ausfall nur eines Teils der IT-Anlagen oder ein fahr­läs­si­ges Handeln würde neben Image-Schäden auch massive finan­zi­elle Ein­bu­ßen – bis hin zur Exis­tenz­ge­fähr­dung – mit sich bringen.

Sicher­heits­vor­fälle bei der IT-Nutzung können durch orga­ni­sa­ti­ons­fremde Dritte aber auch durch unsach­ge­mä­ßes Ver­hal­ten eigener Nutzer her­vor­ge­ru­fen werden. Weil letz­te­res sta­tis­tisch gesehen über­wiegt, soll diese Richt­li­nie zur Ver­bes­se­rung der IT-Sicher­heits­kennt­nisse und der Erhö­hung der Eigen­ver­ant­wor­tung eines jeden Mit­ar­bei­ters dienen.

 

Daher wird Sicher­heit großgeschrieben

Auch Sie können an Ihrem Arbeits­platz zur Sicher­heit der IT- Infra­struk­tur bei­tra­gen:
indem Sie diese Richt­li­nie lesen, beher­zi­gen und Ihre Kol­le­gen anhal­ten, dies eben­falls zu tun.

Dieses Doku­ment erklärt, warum ver­schie­dene Maß­nah­men wichtig und not­wen­dig sind und welche Gefah­ren bei Ver­nach­läs­si­gung drohen. Zudem erfah­ren Sie, wie Sie sich und das Unter­neh­men während der Arbeit vor Gefah­ren schüt­zen. Dafür werden Regeln für den täg­li­chen Gebrauch kon­kre­ti­siert und Tipps für die Praxis gegeben.

 

Aus Gründen der Les­bar­keit ist in dieser Richt­li­nie stets die männ­li­che Form gewählt, dabei ist die weib­li­che Form stets mitgemeint.

 

2.1 Gel­tungs­be­reich

Der Gel­tungs­be­reich dieser Rege­lun­gen ist wie folgt festgelegt:

  • Per­sön­lich: für alle Mit­ar­bei­ter des Dienst­leis­ter die in den Räumen des Unter­neh­mens oder mit deren IT- und/oder Kom­mu­ni­ka­ti­ons­sys­te­men und/oder über deren Netze arbeiten;
  • Funk­tio­nal: für alle Kom­po­nen­ten und Daten­ver­ar­bei­tungs- sowie Tele­kom­mu­ni­ka­ti­ons­an­la­gen, unab­hän­gig ob durch das Unter­neh­men selbst oder im Auftrag betrie­ben, sowie für alle und Daten – unab­hän­gig vom Spei­cher­me­dium – im Besitz des Unternehmens;

 

Die Anwen­dung dieser Richt­li­nie ist ver­pflich­tend. Ver­stößt ein Mit­ar­bei­ter gegen diese Richt­li­nie, drohen ihm arbeits­recht­li­che und straf­recht­li­che Kon­se­quen­zen. Die jeweils gültige Version dieser Richt­li­nie ist auf dem Unter­neh­mens­ser­ver zu finden. Nicht berührt werden mög­li­che andere Rege­lun­gen und Richt­li­nien, sofern diese spe­zi­el­ler sind, oder von der Geschäfts­lei­tung erteilte, expli­zite Aus­nah­me­ge­neh­mi­gun­gen für den Einzelfall.

 

2.2 Sicher­heits­or­ga­ni­sa­tion

Ver­ant­wort­lich für die Sicher­heits­or­ga­ni­sa­tion ist die Geschäftsführung.

 

2.3 Wei­sun­gen

Sofern eine Weisung illegal, oder in sons­ti­ger Weise frag­wür­dig vor­kommt, ist der jewei­lige Fach­vor­ge­setzte zu infor­mie­ren. Dieser ent­schei­det über weitere Schritte und die Durch­füh­ren der Weisung. Sofern das nicht möglich ist oder nicht ziel­füh­rend erscheint, weil z.B. die Weisung vom Vor­ge­setz­ten kam, kann er sich an den Daten­schutz­be­auf­trag­ten und/oder IT Sicher­heits­be­auf­trag­ten wenden.

 

Der IT-Service wird Mit­ar­bei­ter niemals nach einem per­sön­li­chen Pass­wort fragen.

 

2.4 Mel­de­pflicht

Bemerkt der Mit­ar­bei­ter einen Verstoß gegen diese Rege­lun­gen, eine gesetz­li­che Rege­lung oder eine ander­wei­tige Gefähr­dung der IT-Sicher­heit, der Daten­si­cher­heit, des Daten­schut­zes oder der Inter­es­sen des Unter­neh­mens, so hat er dies unver­züg­lich der Geschäfts­lei­tung  oder dem Daten­schutz­be­auf­trag­ten zu melden. Es gelten die Regeln der Inci­dent-Manage­ment-Policy. Diese sind im Doku­ment „6.1 Ver­fah­ren zur Stör­fall­ver­wal­tung / Inci­dent Manage­ment / Vor­falls­ma­nage­ment“ zu finden.

 

3 Schutz­be­darf und recht­li­cher Rahmen

Ver­trau­li­che Unter­la­gen sind alle Träger von Infor­ma­tio­nen, durch die eine betriebs­fremde Person Ein­blick in das Geschäft erlan­gen kann. Dabei ist es uner­heb­lich, ob diese Unter­la­gen in digi­ta­ler Form als Datei oder auf Papier vorliegen.

Ver­trau­li­che Unter­la­gen sind zum Bei­spiel (nicht abschließend):

  • Budget‑, Mengen‑, Kosten-Plan- und IST-Zahlen, Kalkulationen
  • Kol­lek­ti­ons- und Kom­mu­ni­ka­ti­ons­pla­nung, Farb­mus­ter, Muster v. Pro­duk­ten vor Launch
  • Orga-Charts, Post- / E‑Mail-Adres­sen, Tele­fon­num­mern, Urlaubs­da­ten, Bewerber-Unterlagen
  • Ver­träge, Kon­di­tio­nen oder Kor­re­spon­denz mit Kunden oder Zulieferern
  • Ver­fah­ren und Kon­struk­ti­ons- und Pro­zess­be­schrei­bun­gen, Maschinen-Einstellungen
  • Interne Ver­fah­rens­an­wei­sun­gen, Stra­te­gie­pa­piere, Prä­sen­ta­tio­nen, Rundschreiben
  • Pass­wör­ter und andere Zugangs­da­ten, PINs, Kundennummern
  • Alle per­so­nen­be­zo­ge­nen Daten, d.h. alle Ein­zel­an­ga­ben über per­sön­li­che oder sach­li­che Ver­hält­nisse einer bestimm­ten oder bestimm­ba­ren natür­li­chen Person (Betrof­fe­ner).
  • Alle Daten von Kunden: Adress­da­ten, Men­gen­da­ten, Bestände und Preise

Es ist zu beach­ten, dass für Außen­ste­hende – ins­be­son­dere für Wett­be­wer­ber – vieles inter­es­sant sein kann – nicht nur das, was wir selbst als ver­trau­lich ein­stu­fen würden.

Betriebs- und Geschäfts­ge­heim­nisse sind Umstände oder Vor­gänge, die nur einem begrenz­ten Per­so­nen­kreis im Unter­neh­men bekannt, für Außen­ste­hende aber wis­sens­wert sind und die nach expli­zi­ten oder impli­zi­ten Regeln des Unter­neh­mens geheim zu halten sind, weil ihre Kennt­nis durch Außen­ste­hende dem Unter­neh­men schaden kann.

 

3.1 Straf­bare Handlungen

Es wird darauf hin­ge­wie­sen, dass Straf­vor­schrif­ten exis­tie­ren hinsichtlich

  • (der Vor­be­rei­tung) des Aus­spä­hens oder Abfan­gens von Daten nach § 202ff StGB
  • des Verrats von Betriebs- uns Geschäfts­ge­heim­nis­sen; § 204 StGB i.V.m. §17 UWG
  • des Abhö­rens nach § 201 StGB i.V. m. §§ 88, 90 TKG oder § 206 StGB oder § 3 TTDSG
  • der Mani­pu­la­tion oder Unter­drü­ckung von Daten nach § 267 ff StGB
  • Daten­ver­än­de­rung und Com­pu­ter­sa­bo­tage nach § 303a ff StGB
  • der Störung von Tele­kom­mu­ni­ka­ti­ons­an­la­gen nach § 317 StGB

 

3.2 All­ge­meine Rege­lun­gen und Rechtsvorschriften

Rechts­vor­schrif­ten für diese IT-Richt­li­nie und die inter­nen Rege­lun­gen sind neben dem Bun­des­da­ten­schutz­ge­setz (BDSG) auch das Bür­ger­li­che Gesetz­buch (BGB) sowie das Urhe­be­rechts­ge­setz in Bezug auf den rechts­kon­for­men Umgang mit Schutz­rech­ten Dritter. In Bezug auf die IT-Admi­nis­tra­tion sind das Tele­me­di­en­ge­setz (TMG) sowie das Tele­kom­mu­ni­ka­ti­ons­ge­setz (TKG) ggf. ein­schlä­gig. Dazu einige Grundsätze:

  • Per­so­nen­be­zo­gene Daten dürfen nur dann erhoben, ver­ar­bei­tet oder genutzt werden, wenn es hierfür eine gesetz­li­che Erlaub­nis oder eine Ein­wil­li­gung des Betrof­fe­nen gibt.
  • Wich­tigste gesetz­li­che Erlaub­nis ist § 28 Absatz 1 Nr. 1 BDSG: Per­so­nen­be­zo­gene Daten dürfen für die Anbah­nung, Durch­füh­rung oder Been­di­gung eines kon­kre­ten Rechts­ge­schäfts (Dienst­leis­tungs­ver­trag mit einem Kunden, Arbeits­ver­trag mit einem Mit­ar­bei­ter) erhoben, ver­ar­bei­tet und genutzt werden, und so lange auf­be­wahrt werden wie es erfor­der­lich ist, sofern kein anderes Gesetz (z.B. Steu­er­ge­setze) eine längere Auf­be­wah­rung vor­schreibt (Geschäfts­briefe, auch E‑Mails: 6 Jahr, buch­hal­te­risch rele­vante Unter­la­gen 10 Jahre).
    Ohne Ein­wil­li­gung der betrof­fe­nen Per­so­nen dürfen darüber hinaus keine per­so­nen­be­zo­ge­nen Daten gesam­melt, ver­ar­bei­tet (auch: gespei­chert) und genutzt werden. Auch die Wei­ter­gabe per­so­nen­be­zo­ge­ner Daten inner­halb des Betrie­bes ist nur dann zuläs­sig, wenn der Emp­fän­ger diese Infor­ma­tion zur Erfül­lung seiner beruf­li­chen Tätig­keit benötigt.
  • Bei Unklar­heit über die Zuläs­sig­keit der Erhe­bung, Ver­ar­bei­tung oder Nutzung personen­bezogener Daten und bei neuen Daten­ver­ar­bei­tungs-Pro­zes­sen ist der Vor­ge­setzte oder der Daten­schutz­be­auf­tragte (Kon­takt­da­ten am schwar­zen Brett) zu kontaktieren.
  • Die Ver­trau­lich­keit und Kor­rekt­heit der auf Com­pu­tern des Unter­neh­mens gespei­cher­ten Daten muss durch Zugangs- und Zugriffs­kon­trol­len geschützt werden, so dass nur berech­tigte Mit­ar­bei­ter Zugriff erhal­ten. Darüber hinaus muss der Zugriff so begrenzt werden, dass nur die für die jewei­lige Auf­ga­ben­er­fül­lung not­wen­di­gen Zugriffs­rechte gewährt werden. Hierzu wird auf das betriebs­in­terne Berech­ti­gungs­kon­zept (Inhalt von „4.1 Admi­nis­tra­ti­ons­richt­li­nie“ => Zugangs­kon­trolle) verwiesen.
  • Sofern per­so­nen­be­zo­gene Daten auch für Kunden ver­ar­bei­tet werden, müssen die Daten des Unter­neh­mens und der jewei­li­gen Kunden getrennt gespei­chert und bear­bei­tet werden. Es ist Sorge dafür zu tragen, dass es zu keiner Ver­men­gung der Daten­be­stände kommt.
  • Daten­schutz- und Anfra­gen Betrof­fe­ner auf Aus­kunft sind zu beach­ten! Dies­be­züg­li­che Anfra­gen oder Beschwer­den sind unver­züg­lich der Geschäfts­lei­tung und/oder dem Daten­schutz­be­auf­trag­ten zuzu­lei­ten. Das gilt auch für Werbe-Widersprüche.

 

3.3 Ver­pflich­tung zur Vertraulichkeit

Wir legen in unserem Unter­neh­men beson­de­ren Wert auf die Ver­trau­lich­keit im Umgang mit schutz­be­dürf­ti­gen Informationen.

Dabei genie­ßen per­so­nen­be­zo­gene Daten beson­de­ren gesetz­li­chen Schutz. Per­so­nen­be­zo­gene Daten sind nicht nur die Daten, die sich konkret einer bestimm­ten Person zuord­nen lassen (wie z.B. Name, Kon­takt­da­ten, Beruf, Aufgabe im Unter­neh­men etc.), sondern auch die Daten, bei denen die Person erst über zusätz­li­che Infor­ma­tio­nen bestimm­bar gemacht werden kann.

Für per­so­nen­be­zo­gene Daten gelten die jeweils ein­schlä­gi­gen gesetz­li­chen Vor­schrif­ten zum Daten­schutz wie z.B. die Daten­schutz-Grund­ver­ord­nung (DSGVO) der Euro­päi­schen Union und auch das Bun­des­da­ten­schutz­ge­setz (BDSG).

Nach den Vor­ga­ben DSGVO dürfen per­so­nen­be­zo­gene Daten nur dann ver­ar­bei­tet werden, wenn es hierzu eine Rechts­grund­lage gibt oder der Betrof­fene ein­ge­wil­ligt hat. Die Daten dürfen grund­sätz­lich nur zu den vor­ge­se­he­nen Zwecken ver­wen­det werden. Bei der Ver­ar­bei­tung der Daten ist ins­be­son­dere zu gewähr­leis­ten, dass die Inte­gri­tät, Ver­füg­bar­keit und Ver­trau­lich­keit der per­so­nen­be­zo­ge­nen Daten gewähr­leis­tet ist.

In unserem Unter­neh­men haben wir Vor­ga­ben und Geschäfts­pro­zesse für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und ins­be­son­dere die Ver­trau­lich­keit defi­niert und können diese auch durch weitere betrieb­li­che Anwei­sun­gen der Unter­neh­mens­lei­tung konkretisieren.

Für Sie konkret bedeu­tet diese Ver­pflich­tung zur Ver­trau­lich­keit, dass Sie Daten nur im Rahmen unserer inter­nen Vor­ga­ben ver­wen­den und diese gegen­über Dritten ver­trau­lich behandeln.

Darüber hinaus sind aber auch Geschäfts­ge­heim­nisse i.S.d. Geset­zes zum Schutz von Geschäfts­ge­heim­nis­sen (GeschGehG) schutz­be­dürf­tige Daten. Eine Offen­le­gung von Geschäfts­ge­heim­nis­sen darf grund­sätz­lich nur dann erfol­gen, wenn der jewei­lige Ver­trags- oder Geschäfts­part­ner zuvor auf die Ver­trau­lich­keit ver­pflich­tet worden ist und das ein­zu­hal­tende Sicher­heits­ni­veau für den Schutz der Daten beim Emp­fän­ger der Daten gewähr­leis­tet ist.

Wenn Sie hierzu Fragen haben oder sich im Zweifel unsi­cher sind, welche Rege­lun­gen zu treffen bzw. ein­zu­hal­ten sind, können und sollten Sie sich jeder­zeit an Ihre/n Vorgesetzte/n wenden.

Ein Verstoß gegen Ihre Ver­trau­lich­keits­pflich­ten kann als arbeits­ver­trag­li­che Pflicht­ver­let­zung geahn­det werden.

Darüber hinaus stellt eine unzu­läs­sige Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten in bestimm­ten Fällen auch eine Straf­tat oder Ord­nungs­wid­rig­keit nach den §§ 42, 43 BDSG (s. Anlage) dar.

Eine Ver­let­zung von Geschäfts­ge­heim­nis­sen kann zudem nach § 23 GeschGehG straf­bar sein.

Beach­ten Sie ferner auch, dass bei einer unzu­läs­si­gen Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten durch unser Unter­neh­men Geld­bu­ßen von bis zu 20 Mio. Euro möglich sind. Wir sollten daher gemein­sam darauf achten, dass die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten in unserem Unter­neh­men in zuläs­si­ger Art und Weise erfolgt.

Diese Ver­pflich­tung zur Ver­trau­lich­keit besteht auch nach Been­di­gung des Beschäf­ti­gungs­ver­hält­nis­ses fort.

Etwaige andere Ver­trau­lich­keits­ver­ein­ba­run­gen zwi­schen Ihnen und dem Unter­neh­men bleiben unberührt.

 

3.3.1 Merk­blatt zur Vertraulichkeitserklärung

Art. 24 DSGVO – Ver­ant­wor­tung des für die Ver­ar­bei­tung Verantwortlichen

(1) Der Ver­ant­wort­li­che setzt unter Berück­sich­ti­gung der Art, des Umfangs, der Umstände und der Zwecke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwere der Risiken für die Rechte und Frei­hei­ten natür­li­cher Per­so­nen geeig­nete tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men um, um sicher­zu­stel­len und den Nach­weis dafür erbrin­gen zu können, dass die Ver­ar­bei­tung gemäß dieser Ver­ord­nung erfolgt. Diese Maß­nah­men werden erfor­der­li­chen­falls über­prüft und aktualisiert. 

(2) Sofern dies in einem ange­mes­se­nen Ver­hält­nis zu den Ver­ar­bei­tungs­tä­tig­kei­ten steht, müssen die Maß­nah­men gemäß Absatz 1 die Anwen­dung geeig­ne­ter Daten­schutz­vor­keh­run­gen durch den Ver­ant­wort­li­chen umfassen.

 

  • 3 TTDSG – Ver­trau­lich­keit der Kom­mu­ni­ka­tion
    (1) Dem Fern­mel­de­ge­heim­nis unter­lie­gen der Inhalt der Tele­kom­mu­ni­ka­tion und ihre näheren Umstände, ins­be­son­dere die Tat­sa­che, ob jemand an einem Tele­kom­mu­ni­ka­ti­ons­vor­gang betei­ligt ist oder war. Das Fern­mel­de­ge­heim­nis erstreckt sich auch auf die näheren Umstände erfolg­lo­ser Ver­bin­dungs­ver­su­che.
    (2) Zur Wahrung des Fern­mel­de­ge­heim­nis­ses sind ver­pflich­tet
    1. Anbie­ter von öffent­lich zugäng­li­chen Tele­kom­mu­ni­ka­ti­ons­diens­ten sowie natür­li­che und juris­ti­sche Per­so­nen, die an der Erbrin­gung solcher Dienste mit­wir­ken,
    2. Anbie­ter von ganz oder teil­weise geschäfts­mä­ßig ange­bo­te­nen Tele­kom­mu­ni­ka­ti­ons­diens­ten sowie natür­li­che und juris­ti­sche Per­so­nen, die an der Erbrin­gung solcher Dienste mit­wir­ken,
    3. Betrei­ber öffent­li­cher Tele­kom­mu­ni­ka­ti­ons­netze und
    4. Betrei­ber von Tele­kom­mu­ni­ka­ti­ons­an­la­gen, mit denen geschäfts­mä­ßig Tele­kom­mu­ni­ka­ti­ons­dienste erbracht werden. Die Pflicht zur Geheim­hal­tung besteht auch nach dem Ende der Tätig­keit fort, durch die sie begrün­det worden ist.

(3) Den nach Absatz 2 Satz 1 Ver­pflich­te­ten ist es unter­sagt, sich oder anderen über das für die Erbrin­gung der Tele­kom­mu­ni­ka­ti­ons­dienste oder für den Betrieb ihrer Tele­kom­mu­ni­ka­ti­ons­netze oder ihrer Tele­kom­mu­ni­ka­ti­ons­an­la­gen ein­schließ­lich des Schut­zes ihrer tech­ni­schen Systeme erfor­der­li­che Maß hinaus Kennt­nis vom Inhalt oder von den näheren Umstän­den der Tele­kom­mu­ni­ka­tion zu ver­schaf­fen. Sie dürfen Kennt­nisse über Tat­sa­chen, die dem Fern­mel­de­ge­heim­nis unter­lie­gen, nur für den in Satz 1 genann­ten Zweck ver­wen­den. Eine Ver­wen­dung dieser Kennt­nisse für andere Zwecke, ins­be­son­dere die Wei­ter­gabe an andere, ist nur zuläs­sig, soweit dieses Gesetz oder eine andere gesetz­li­che Vor­schrift dies vor­sieht und sich dabei aus­drück­lich auf Tele­kom­mu­ni­ka­ti­ons­vor­gänge bezieht. Die Anzei­ge­pflicht nach § 138 des Straf­ge­setz­bu­ches hat Vorrang.
(4) Befin­det sich die Tele­kom­mu­ni­ka­ti­ons­an­lage an Bord eines Wasser- oder Luft­fahr­zeugs, so besteht die Pflicht zur Wahrung des Fern­mel­de­ge­heim­nis­ses nicht gegen­über der Person, die das Fahr­zeug führt, und ihrer Stellvertretung.

 

 

 

  • 67 Abs. 1 SGB X – Sozialdaten

Sozi­al­da­ten sind Ein­zel­an­ga­ben über per­sön­li­che oder sach­li­che Ver­hält­nisse einer bestimm­ten oder bestimm­ba­ren natür­li­chen Person (Betrof­fe­ner), die von einer in § 35 des Ersten Buches genann­ten Stelle im Hin­blick auf ihre Auf­ga­ben nach diesem Gesetz­buch erhoben, ver­ar­bei­tet oder genutzt werden.

 

  • 35 SGB I – Sozialgeheimnis

Jeder hat Anspruch darauf, dass die ihn betref­fen­den Sozi­al­da­ten (§ 67 Abs. 1 Zehntes Buch) von den Leis­tungs­trä­gern nicht unbe­fugt erhoben, ver­ar­bei­tet oder genutzt werden (Sozi­al­ge­heim­nis). Die Wahrung des Sozi­al­ge­heim­nis­ses umfaßt die Ver­pflich­tung, auch inner­halb des Leis­tungs­trä­gers sicher­zu­stel­len, daß die Sozi­al­da­ten nur Befug­ten zugäng­lich sind oder nur an diese wei­ter­ge­ge­ben werden. Sozi­al­da­ten der Beschäf­tig­ten und ihrer Ange­hö­ri­gen dürfen Per­so­nen, die Per­so­nal­ent­schei­dun­gen treffen oder daran mit­wir­ken können, weder zugäng­lich sein noch von Zugriffs­be­rech­tig­ten wei­ter­ge­ge­ben werden. Der Anspruch richtet sich auch gegen die Ver­bände der Leis­tungs­trä­ger, die Arbeits­ge­mein­schaf­ten der Leis­tungs­trä­ger und ihrer Ver­bände, die Daten­stelle der Träger der Ren­ten­ver­si­che­rung, die in diesem Gesetz­buch genann­ten öffent­lich-recht­li­chen Ver­ei­ni­gun­gen, gemein­same Ser­vice­stel­len, Inte­gra­ti­ons­fach­dienste, die Künst­ler­so­zi­al­kasse, die Deut­sche Post AG, soweit sie mit der Berech­nung oder Aus­zah­lung von Sozi­al­leis­tun­gen betraut ist, die Behör­den der Zoll­ver­wal­tung, soweit sie Auf­ga­ben nach § 2 des Schwarz­ar­beits­be­kämp­fungs­ge­set­zes und § 66 des Zehnten Buches durch­füh­ren, die Ver­si­che­rungs­äm­ter und Gemein­de­be­hör­den sowie die aner­kann­ten Adop­ti­ons­ver­mitt­lungs­stel­len (§ 2 Abs. 2 des Adop­ti­ons­ver­mitt­lungs­ge­set­zes), soweit sie Auf­ga­ben nach diesem Gesetz­buch wahr­neh­men und die Stellen, die Auf­ga­ben nach § 67c Abs. 3 des Zehnten Buches wahr­neh­men. Die Beschäf­tig­ten haben auch nach Been­di­gung ihrer Tätig­keit bei den genann­ten Stellen das Sozi­al­ge­heim­nis zu wahren.

 

  • 85 SGB X – Bußgeldvorschriften

(1) Ord­nungs­wid­rig handelt, wer vor­sätz­lich oder fahrlässig

  1. ent­ge­gen § 78 Abs. 1 Satz 1 Sozi­al­da­ten ver­ar­bei­tet oder nutzt, wenn die Hand­lung nicht nach Absatz 2 Nr. 5 geahn­det werden kann,

1a. ent­ge­gen § 80 Absatz 2 Satz 2 einen Auftrag nicht richtig, nicht voll­stän­dig oder nicht in der vor­ge­schrie­be­nen Weise erteilt,

1b. ent­ge­gen § 80 Absatz 2 Satz 4 sich nicht vor Beginn der Daten­ver­ar­bei­tung von der Ein­hal­tung der beim Auf­trag­neh­mer getrof­fe­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men überzeugt,

  1. ent­ge­gen § 80 Abs. 4, auch in Ver­bin­dung mit § 67d Abs. 4 Satz 2, Sozi­al­da­ten ander­wei­tig ver­ar­bei­tet, nutzt oder länger spei­chert oder
  2. ent­ge­gen § 81 Abs. 4 Satz 1 dieses Geset­zes in Ver­bin­dung mit § 4f Abs. 1 Satz 1 oder 2 des Bun­des­da­ten­schutz­ge­set­zes, diese jeweils auch in Ver­bin­dung mit § 4f Abs. 1 Satz 3 und 6 des Bun­des­da­ten­schutz­ge­set­zes, einen Beauf­trag­ten für den Daten­schutz nicht oder nicht recht­zei­tig bestellt.

(2) Ord­nungs­wid­rig handelt, wer vor­sätz­lich oder fahrlässig

  1. unbe­fugt Sozi­al­da­ten, die nicht all­ge­mein zugäng­lich sind, erhebt oder verarbeitet,
  2. unbe­fugt Sozi­al­da­ten, die nicht all­ge­mein zugäng­lich sind, zum Abruf mittels auto­ma­ti­sier­ten Ver­fah­rens bereithält,
  3. unbe­fugt Sozi­al­da­ten, die nicht all­ge­mein zugäng­lich sind, abruft oder sich oder einem anderen aus auto­ma­ti­sier­ten Ver­ar­bei­tun­gen oder nicht auto­ma­ti­sier­ten Dateien verschafft,
  4. die Über­mitt­lung von Sozi­al­da­ten, die nicht all­ge­mein zugäng­lich sind, durch unrich­tige Angaben erschleicht,
  5. ent­ge­gen § 67c Abs. 5 Satz 1 oder § 78 Abs. 1 Satz 1 Sozi­al­da­ten für andere Zwecke nutzt, indem er sie an Dritte wei­ter­gibt oder
  6. ent­ge­gen § 83a Satz 1 eine Mit­tei­lung nicht, nicht richtig, nicht voll­stän­dig oder nicht recht­zei­tig macht.

(3) Die Ord­nungs­wid­rig­keit kann im Falle des Absat­zes 1 mit einer Geld­buße bis zu fünf­zig­tau­send Euro, in den Fällen des Absat­zes 2 mit einer Geld­buße bis zu drei­hun­dert­tau­send Euro geahn­det werden. Die Geld­buße soll den wirt­schaft­li­chen Vorteil, den der Täter aus den Ord­nungs­wid­rig­kei­ten gezogen hat, über­stei­gen. Reichen die in Satz 1 genann­ten Beträge hierfür nicht aus, so können sie über­schrit­ten werden.

 

  • 85a SGB X – Strafvorschriften

(1) Wer eine in § 85 Abs. 2 bezeich­nete vor­sätz­li­che Hand­lung gegen Entgelt oder in der Absicht, sich oder einen anderen zu berei­chern oder einen anderen zu schä­di­gen, begeht, wird mit Frei­heits­strafe bis zu zwei Jahren oder mit Geld­strafe bestraft.

(2) Die Tat wird nur auf Antrag ver­folgt. Antrags­be­rech­tigt sind der Betrof­fene, die ver­ant­wort­li­che Stelle, der Bun­des­be­auf­tragte für den Daten­schutz oder der zustän­dige Lan­des­be­auf­tragte für den Datenschutz.

 

  • 206 StGB – Ver­let­zung des
    Post- oder Fernmeldegeheimnisses

(1) Wer unbe­fugt einer anderen Person eine Mit­tei­lung über Tat­sa­chen macht, die dem Post oder Fern­mel­de­ge­heim­nis unter­lie­gen und die ihm als Inhaber oder Beschäf­tig­tem eines Unter­neh­mens bekannt­ge­wor­den sind, das geschäfts­mä­ßig Post- oder Tele­kom­mu­ni­ka­ti­ons­dienste erbringt, wird mit Frei­heits­strafe bis zu fünf Jahren oder mit Geld­strafe bestraft.
(2) Ebenso wird bestraft, wer als Inhaber oder Beschäf­tig­ter eines in Absatz 1 bezeich­ne­ten Unter­neh­mens unbefugt

  1. eine Sendung, die einem solchen Unter­neh­men zur Über­mitt­lung anver­traut worden und ver­schlos­sen ist, öffnet oder sich von ihrem Inhalt ohne Öffnung des Ver­schlus­ses unter Anwen­dung tech­ni­scher Mittel Kennt­nis verschafft,
  2. eine einem solchen Unter­neh­men zur Über­mitt­lung anver­traute Sendung unter­drückt oder 3. eine der in Absatz 1 oder in Nummer 1 oder 2 bezeich­ne­ten Hand­lun­gen gestat­tet oder fördert.

(3) Die Absätze 1 und 2 gelten auch für Per­so­nen, die

  1. Auf­ga­ben der Auf­sicht über ein in Absatz 1 bezeich­ne­tes Unter­neh­men wahrnehmen,
  2. von einem solchen Unter­neh­men oder mit dessen Ermäch­ti­gung mit dem Erbrin­gen von Post- oder Tele­kom­mu­ni­ka­ti­ons­diens­ten betraut sind oder
  3. mit der Her­stel­lung einer dem Betrieb eines solchen Unter­neh­mens die­nen­den Anlage oder mit Arbei­ten daran betraut sind.

(4) Wer unbe­fugt einer anderen Person eine Mit­tei­lung über Tat­sa­chen macht, die ihm als außer­halb des Post- oder Tele­kom­mu­ni­ka­ti­ons­be­reichs tätigem Amts­trä­ger auf Grund eines befug­ten oder unbe­fug­ten Ein­griffs in das Post- oder Fern­mel­de­ge­heim­nis bekannt­ge­wor­den sind, wird mit Frei­heits­strafe bis zu zwei Jahren oder mit Geld­strafe bestraft.

(5) Dem Post­ge­heim­nis unter­lie­gen die näheren Umstände des Post­ver­kehrs bestimm­ter Per­so­nen sowie der Inhalt von Post­sen­dun­gen. Dem Fern­mel­de­ge­heim­nis unter­lie­gen der Inhalt der Tele­kom­mu­ni­ka­tion und ihre näheren Umstände, ins­be­son­dere die Tat­sa­che, ob jemand an einem Tele­kom­mu­ni­ka­ti­ons­vor­gang betei­ligt ist oder war. Das Fern­mel­de­ge­heim­nis erstreckt sich auch auf die näheren Umstände erfolg­lo­ser Verbindungsversuche.

 

  • 17 UWG – Verrat von Geschäfts-
    und Betriebs­ge­heim­nis­sen

(1) Wer als eine bei einem Unter­neh­men beschäf­tigte Person ein Geschäfts- oder Betriebs­ge­heim­nis, das ihr im Rahmen des Dienst­ver­hält­nis­ses anver­traut worden oder zugäng­lich gewor­den ist, während der Gel­tungs­dauer des Dienst­ver­hält­nis­ses unbe­fugt an jemand zu Zwecken des Wett­be­werbs, aus Eigen­nutz, zuguns­ten eines Dritten oder in der Absicht, dem Inhaber des Unter­neh­mens Schaden zuzu­fü­gen, mit­teilt, wird mit Frei­heits­strafe bis zu drei Jahren oder mit Geld­strafe bestraft.

(2) Ebenso wird bestraft, wer zu Zwecken des Wett­be­werbs, aus Eigen­nutz, zuguns­ten eines Dritten oder in der Absicht, dem Inhaber des Unter­neh­mens Schaden zuzufügen,

  1. sich ein Geschäfts- oder Betriebs­ge­heim­nis durch
  2. Anwen­dung tech­ni­scher Mittel,
  3. Her­stel­lung einer ver­kör­per­ten Wie­der­gabe des Geheim­nis­ses oder
  4. Weg­nahme einer Sache, in der das Geheim­nis ver­kör­pert ist, unbe­fugt ver­schafft oder sichert oder
  5. ein Geschäfts- oder Betriebs­ge­heim­nis, das er durch eine der in Absatz 1 bezeich­ne­ten Mit­tei­lun­gen oder durch eine eigene oder fremde Hand­lung nach Nummer 1 erlangt oder sich sonst unbe­fugt ver­schafft oder gesi­chert hat, unbe­fugt ver­wer­tet oder jeman­dem mitteilt.

(3) Der Versuch ist strafbar.

(4) In beson­ders schwe­ren Fällen ist die Strafe Frei­heits­strafe bis zu fünf Jahren oder Geld­strafe. Ein beson­ders schwe­rer Fall liegt in der Regel vor, wenn der Täter

  1. gewerbs­mä­ßig handelt,
  2. bei der Mit­tei­lung weiß, dass das Geheim­nis im Ausland ver­wer­tet werden soll, oder
  3. eine Ver­wer­tung nach Absatz 2 Nr. 2 im Ausland selbst vornimmt.

(5) Die Tat wird nur auf Antrag ver­folgt, es sei denn, dass die Straf­ver­fol­gungs­be­hörde wegen des beson­de­ren öffent­li­chen Inter­es­ses an der Straf­ver­fol­gung ein Ein­schrei­ten von Amts wegen für geboten hält.

(6) § 5 Nr. 7 des Straf­ge­setz­bu­ches gilt entsprechend.

  • 23GeschGeG – Ver­let­zung von Geschäfts­ge­heim­nis­sen
    (1) Mit Frei­heits­strafe bis zu drei Jahren oder mit Geld­strafe wird bestraft, wer zur För­de­rung des eigenen oder fremden Wett­be­werbs, aus Eigen­nutz, zuguns­ten eines Dritten oder in der Absicht, dem Inhaber eines Unter­neh­mens Schaden zuzufügen,

1.entgegen § 4 Absatz 1 Nummer 1 ein Geschäfts­ge­heim­nis erlangt,

2.entgegen § 4 Absatz 2 Nummer 1 Buch­stabe a ein Geschäfts­ge­heim­nis nutzt oder offen­legt oder3.entgegen § 4 Absatz 2 Nummer 3 als eine bei einem Unter­neh­men beschäf­tigte Person ein Geschäfts­ge­heim­nis, das ihr im Rahmen des Beschäf­ti­gungs­ver­hält­nis­ses anver­traut worden oder zugäng­lich gewor­den ist, während der Gel­tungs­dauer des Beschäf­ti­gungs­ver­hält­nis­ses offenlegt.

(2) Ebenso wird bestraft, wer zur För­de­rung des eigenen oder fremden Wett­be­werbs, aus Eigen­nutz, zuguns­ten eines Dritten oder in der Absicht, dem Inhaber eines Unter­neh­mens Schaden zuzu­fü­gen, ein Geschäfts­ge­heim­nis nutzt oder offen­legt, das er durch eine fremde Hand­lung nach Absatz 1 Nummer 2 oder Nummer 3 erlangt hat.
(3) Mit Frei­heits­strafe bis zu zwei Jahren oder mit Geld­strafe wird bestraft, wer zur För­de­rung des eigenen oder fremden Wett­be­werbs oder aus Eigen­nutz ent­ge­gen § 4 Absatz 2 Nummer 2 oder Nummer 3 ein Geschäfts­ge­heim­nis, das eine ihm im geschäft­li­chen Verkehr anver­traute geheime Vorlage oder Vor­schrift tech­ni­scher Art ist, nutzt oder offenlegt.

(4) Mit Frei­heits­strafe bis zu fünf Jahren oder mit Geld­strafe wird bestraft, wer

  1. in den Fällen des Absat­zes 1 oder des Absat­zes 2 gewerbs­mä­ßig handelt,
  2. in den Fällen des Absat­zes 1 Nummer 2 oder Nummer 3 oder des Absat­zes 2 bei der Offen­le­gung weiß, dass das Geschäfts­ge­heim­nis im Ausland genutzt werden soll, oder

3.in den Fällen des Absat­zes 1 Nummer 2 oder des Absat­zes 2 das Geschäfts­ge­heim­nis im Ausland nutzt.
(5) Der Versuch ist straf­bar.             
(6) Bei­hil­fe­hand­lun­gen einer in § 53 Absatz 1 Satz 1 Nummer 5 der Straf­pro­zess­ord­nung genann­ten Person sind nicht rechts­wid­rig, wenn sie sich auf die Ent­ge­gen­nahme, Aus­wer­tung oder Ver­öf­fent­li­chung des Geschäfts­ge­heim­nis­ses beschrän­ken.
(7) § 5 Nummer 7 des Straf­ge­setz­bu­ches gilt ent­spre­chend. Die §§ 30 und 31 des Straf­ge­setz­bu­ches gelten ent­spre­chend, wenn der Täter zur För­de­rung des eigenen oder fremden Wett­be­werbs oder aus Eigen­nutz handelt.
(8) Die Tat wird nur auf Antrag ver­folgt, es sei denn, dass die Straf­ver­fol­gungs­be­hörde wegen des beson­de­ren öffent­li­chen Inter­es­ses an der Straf­ver­fol­gung ein Ein­schrei­ten von Amts wegen für geboten hält.

 

3.3.2 Unter­rich­tung und Ver­pflich­tung von Beschäf­tig­ten auf Beach­tung der daten­schutz­recht­li­chen Anfor­de­run­gen nach der DS-GVO

Quelle / Herausgeber:

Baye­ri­sches Lan­des­amt für Daten­schutz­auf­sicht
Pro­me­nade 27
91522 Ansbach
Telefon: (0981) 53 — 1300
Telefax: (0981) 53 — 981300
E‑Mail: poststelle@lda.bayern.de
Web­seite: www.lda.bayern.de Stand: Februar 2018

Hier klicken, um die das Doku­ment als PDF anzu­zei­gen und zu lesen

 

4 IT-Infra­struk­tur

Die Infra­struk­tur muss mit ange­mes­se­ner Sorg­falt vor Verlust, Beschä­di­gung, über­mä­ßi­ger Abnut­zung oder Miss­brauch geschützt werden. IT Res­sour­cen (PCs, Note­books, Drucker u.a.) sind Eigen­tum des Unter­neh­mens und werden den Mit­ar­bei­tern grund­sätz­lich nur zur Erfül­lung ihrer geschäft­li­chen Tätig­keit zur Ver­fü­gung gestellt.

 

Eine private Nutzung der dienst­li­chen IT-Infra­struk­tur ist – auch in den Pausen – unter­sagt. Abwei­chend davon kann die Geschäfts­lei­tung – ohne Anspruch auf Ver­füg­bar­keit und unter dem Vor­be­halt jeder­zei­ti­gen Wider­rufs – die private Nutzung erlau­ben, wenn der Mit­ar­bei­ter schrift­lich ein­wil­ligt, dass das Unter­neh­men im Rahmen der Richt­li­ni­en­kon­trolle sowie der Erhal­tung der IT-Sicher­heit auch die pri­va­ten Kom­mu­ni­ka­ti­ons­da­ten des Mit­ar­bei­ters erheben, ver­ar­bei­ten und nutzen darf. Die dies­be­züg­li­che IT-Pri­vat­nut­zungs­ver­ein­ba­rung kann weitere Regeln hin­sicht­lich der Nutzung beinhal­ten (z.B. Verbot rechts­wid­ri­ger oder ero­ti­scher Inhalte).

 

4.1 Nutzung pri­va­ter Hard- und Software

Der Einsatz pri­va­ter Hard- oder Soft­ware zu dienst­li­chen Zwecken ist aus Gründen der Haftung, Risi­ko­mi­ni­mie­rung und aus ver­si­che­rungs- und lizenz-/ur­he­ber­recht­li­chen Gründen untersagt.

Private Mobil­te­le­fone / Smart­phones und/oder (Tablet-)PCs oder andere elek­tro­ni­sche Geräte oder (USB-)Gadgets dürfen nur bei Not­wen­dig­keit mit in den Betrieb gebracht werden. Sie sind eigen­ver­ant­wort­lich während der Arbeits­zeit unter Ver­schluss zu halten. Sie sind aus­ge­schal­tet bzw. im laut­lo­sen Modus zu ver­wah­ren. Das Unter­neh­men haftet nicht für Verlust oder Beschä­di­gung der Geräte.

 

Ins­be­son­dere dürfen private Geräte

  • nicht mit der dienst­li­chen IT-Netz­in­fra­struk­tur ver­bun­den werden oder
  • für die Spei­che­rung / Ver­ar­bei­tung dienst­li­cher Infor­ma­tio­nen ver­wen­det werden.
  • nicht mit einem Com­pu­ter oder Server des Unter­neh­mens ver­bun­den werden.

Die Geschäfts­lei­tung kann in begrün­de­ten Ein­zel­fäl­len und bei vor­he­ri­ger Anfrage Aus­nah­men von den Regeln erlau­ben. In diesem Fall sind Sicher­heits­aspekte für geschäft­lich genutzte private End­ge­räte (BYOD = Bring Your Own Device) ent­spre­chend zu regeln.

5 Benut­zung des Firmennetzwerkes

Die Nutzung des Fir­men­net­zes ist nur für dienst­li­che Zwecke gestat­tet. Die Nutzung des Fir­men­net­zes für den Aus­tausch pri­va­ter Daten und Dateien ist untersagt.

 

5.1 Inter­net-Zugang über das Firmennetzwerk

Das Unter­neh­men pro­to­kol­liert und spei­chert alle Zugriffe auf die Kom­mu­ni­ka­ti­ons­sys­teme und IP-/Web­adres­sen. Pro­to­kol­liert werden ein­ge­setzte Soft­ware, Datum, Uhrzeit, Rechner- oder Benut­zer­ken­nung, Feh­ler­code, Anzahl der über­tra­ge­nen Bytes, Ziel­adresse des ange­for­der­ten Doku­ments und weitere tech­ni­sche Daten zur Analyse der IT-Infra­struk­tur. Die Daten werden auto­ma­ti­siert per­ma­nent oder durch einen damit beauf­trag­ten Mit­ar­bei­ter stich­pro­ben­weise auf Miss­brauchs­fälle auf pseud­ony­mi­sier­ter – idea­ler­weise sogar anony­mer – Basis ausgewertet.

In hin­rei­chen­den Ver­dachts­fäl­len kann das Nut­zer­ver­hal­ten ein­zel­ner Beschäf­tig­ter im Rahmen der daten­schutz­recht­lich zuläs­si­gen Grenzen durch tech­ni­sche Vor­keh­run­gen auch direkt über­wacht werden, um Ver­stöße gegen Vor­schrif­ten oder Straf­ta­ten nach­wei­sen zu können.

Ein Anspruch auf Inter­net­nut­zung besteht nicht. Die Geschäfts­lei­tung kann ohne weitere Angabe von Gründen den Zugang zu ein­zel­nen Web­sei­ten und/oder Inter­net­diens­ten sperren, wenn sie zu der Auf­fas­sung gelangt, dass dies dem Betriebs­ab­lauf för­der­lich ist, wenn die Nut­zungs­vor­schrif­ten miss­ach­tet werden oder um Schaden vom Unter­neh­men abzuwenden.

In beson­ders sen­si­ti­ven Arbeits-Berei­chen kann die Nutzung des Inter­net deut­lich ein­ge­schränkt werden und z.B. nur die E‑Mail-Nutzung erlaubt sein. Der­ar­tige Restrik­tio­nen dürfen nicht durch Ein­rich­tung zusätz­li­cher Soft­ware und Nutzung vor­han­de­ner tech­ni­scher Maß­nah­men umgan­gen werden.

 

5.2 Nut­zungs­re­geln im Fall pri­va­ter Internetnutzung

Im Rahmen der IT-Pri­vat­nut­zungs­ver­ein­ba­rung kann eine private Inter­net­nut­zung erlaubt werden, sofern der Nutzer in die Pro­to­kol­lie­rung ein­ge­wil­ligt. Sofern die Ein­wil­li­gung nicht erteilt oder später wider­ru­fen wird, ist eine private Nutzung der betrieb­li­chen Inter­net­zu­gänge nicht (mehr) erlaubt. Nach­teile im betrieb­li­chen Bereich ent­ste­hen keine.

Die private Inter­net­nut­zung darf

  • nur außer­halb der Arbeits­zeit (z.B. in Pausen) erfolgen,
  • über eine bereits auf dem Inter­net-Arbeits­platz instal­lierte Soft­ware (Browser) geschehen,
  • die Ver­füg­bar­keit der IT-Systeme für betrieb­li­che Zwecke nicht beeinträchtigen,
  • Dritten keine betrieb­li­chen Infor­ma­tio­nen gleich welcher Art zukom­men lassen,
  • die eigene oder die Arbeit anderer Mit­ar­bei­ter nicht beeinträchtigen,
  • keine zusätz­li­chen Kosten verursachen

 

Grund­sätz­lich nicht erlaubt ist

  • das Abrufen von kos­ten­pflich­ti­gen Infor­ma­tio­nen für den Pri­vat­ge­brauch,
    für den Dienst­ge­brauch nur nach Zustim­mung des Vorgesetzten.
  • das Ver­fol­gen eigener kom­mer­zi­el­ler bzw. sons­ti­ger gewerb­li­cher Zwecke.
  • der private Up- und Down­load netz­werk­be­las­ten­der Dateien
    (z. B. Video-Down­loads oder Online-/Web-Radio).
  • das Abrufen, Anbie­ten oder Ver­brei­ten von rechts­wid­ri­gen Inhal­ten,
    ins­be­son­dere solchen, die gegen straf­recht­li­che, urhe­ber­recht­li­che, lizenz- und
    mar­ken­recht­li­che oder per­sön­lich­keits­recht­li­che Bestim­mun­gen verstoßen.
  • Abrufen, Anbie­ten oder Ver­brei­ten von ero­ti­schen, poli­ti­schen, belei­di­gen­den oder
    ver­fas­sungs­feind­li­chen Inhalten.
  • Das Öffnen von Attach­ments beim Zugriff auf private Mail­ac­counts (Webmail)

 

5.3 Benut­zung von Funk­net­zen / WLAN-Netzen

Funk­netze machen an Wänden und Mauern keinen Halt. Sie können auch von außen bzw. von Außen­ste­hen­den geräusch­los und mög­li­cher­weise unbe­merkt genutzt werden.
Daher sind hierfür beson­dere Regeln einzuhalten:

Die Nutzung der WLAN-Zugänge (Access Points) im Fir­men­netz darf aus­schließ­lich mit hierfür regis­trier­ter, fir­men­ei­ge­ner Hard­ware erfol­gen. Ver­su­che, andere – ins­be­son­dere private – End­ge­räte ins WLAN ein­zu­bin­den, sind unter­sagt. Es wird darauf hin­ge­wie­sen, dass Ver­bin­dungs­ver­su­che pro­to­kol­liert werden können. Der Verlust bzw. Dieb­stahl einer für den WLAN-Zugang vor­kon­fi­gu­rier­ten Hard­ware ist unver­züg­lich zu melden.

 

Sofern für den Zugang zum Firmen-WLAN ein Pass­wort ver­wen­det wird, ist dies streng geheim zu halten und darf nicht an Dritte wei­ter­ge­ge­ben werden. Das Pass­wort darf nicht in Schrift­form auf­be­wahrt werden, schon gar nicht zusam­men mit dem mobilen Gerät. Unre­gel­mä­ßig­kei­ten bei der Anmel­dung oder Nutzung des WLANs sind den IT-Ver­ant­wort­li­chen unver­züg­lich zu melden, da dies ein Zeichen für einen Angriffs­ver­such sein kann. Sofern ein Zer­ti­fi­kats­feh­ler beim ver­schlüs­sel­ten Zugriff auf Server (z.B. Online-Banking, Web-Mail) ange­zeigt wird, darf die Nutzung unter keinen Umstän­den fort­ge­setzt werden.

 

Die eigen­mäch­tige Ein­rich­tung zusätz­li­cher WLAN-Zugänge zur Ver­bes­se­rung der Funk­netz­ab­de­ckung bzw. des Daten­durch­sat­zes ist unter­sagt. Für private Mobil­te­le­fone steht je nach betrieb­li­chen Mög­lich­kei­ten – ohne Gewähr­leis­tung einer Ver­füg­bar­keit und unter dem Vor­be­halt der jeder­zei­ti­gen Wider­ruf­bar­keit – ein Gäste-Netz zur Ver­fü­gung. Hierfür können geson­derte Nut­zungs­be­din­gun­gen gelten, die bei der Per­so­nal­lei­tung zu erfra­gen sind.

Das auto­ma­ti­sche Wie­der­ver­bin­den mit WLAN-Netz­wer­ken, mit denen ein Fir­men­ge­rät schon einmal ver­bun­den war, ist zu deak­ti­vie­ren. Das gilt sowohl für PCs und Laptops als auch für Smart­phones und Tablets.

 

Es dürfen keine öffent­lich zugäng­li­chen WLAN-Hot­spots (Star­bucks, Telekom, etc.) genutzt werden, um zusätz­li­che Sicher­heits­ri­si­ken zu ver­mei­den. Muss im Aus­nah­me­fall eine Ver­bin­dung über öffent­lich zugäng­li­che WLAN-Hot­spots her­ge­stellt werden, so ist die Daten­über­tra­gung nach Anmel­dung am WLAN (etwa durch Voucher-Code etc.) durch den Einsatz von VPN-Ver­bin­dun­gen vor Abhör­an­grif­fen zu schüt­zen. Fir­men­da­ten wie etwa Emails dürfen erst dann über das öffent­li­che WLAN-Netze über­tra­gen werden, wenn eine VPN-Ver­bin­dung auf­ge­baut ist. Das öffent­li­che WLAN-Netz ist nach der Nutzung aus den Pro­fil­ein­stel­lun­gen zu ent­fer­nen, um ein unbe­ab­sich­tig­tes erneu­tes Ver­bin­den des Gerätes mit dem Netz zu vermeiden.

 

5.4 Fern­zu­griff auf das Unternehmensnetzwerk

Zur Absi­che­rung von Remote Access-Zugrif­fen auf das Fir­men­netz­werk wird eine ver­schlüs­selte Ver­bin­dung vor­aus­ge­setzt und ver­wen­det. genutzt. Damit ist gewähr­leis­tet, dass auch ver­trau­li­che und/oder per­so­nen­be­zo­gene Daten sicher über­tra­gen werden. Fol­gende Regeln sind zu beachten:

 

  • Fern­ver­bin­dun­gen mit dem Fir­men­netz­werk dürfen nur über die vor­han­de­nen, vom IT-Ver­ant­wort­li­chen ein­ge­rich­te­ten Zugänge erfolgen.
  • Pass­wör­ter dürfen nicht auf mobilen Sys­te­men gespei­chert werden, sondern müssen bei jedem Ver­bin­dungs­auf­bau immer wieder neu von Hand ein­ge­ge­ben werden. Eine Spei­che­rung ist dann gestat­tet, wenn das Gerät selbst: 
    • eine auto­ma­ti­sche Sper­rung bei Nicht­be­nut­zung vor­nimmt und
    • zur Ent­sper­rung ein Kenn­wort benö­tigt und
    • das gesamte Spei­cher­sys­tem (HDD, SSD, USB-Stick,…) ver­schlüs­selt ist

 

6 Nutzung des Arbeitsplatzrechners

Auf den Arbeits­platz­rech­nern darf nur die Soft­ware genutzt werden, die vom Unter­neh­men expli­zit frei­ge­ge­ben wurde und für die eine recht­mä­ßige Lizenz im Unter­neh­men existiert.

Eigen­mäch­tige Instal­la­tion wei­te­rer Soft­ware ohne vor­her­ge­hende Geneh­mi­gung ist unter­sagt. Ins­be­son­dere gilt dies für Soft­ware-Down­loads aus dem Inter­net, wie z.B. für Public-Domain- und Share­ware-Pro­gramme sowie Bild­schirm­scho­ner und Spiele. Auch Gratis-Dienste im Inter­net (wie Google-Docs, Dropbox, Sky­drive, etc.) dürfen nicht genutzt werden. Das Anfer­ti­gen von Kopien der auf dem Rechner vor­han­de­nen lizen­zier­ten Soft­ware ist untersagt.

 

Eine Aus­nahme stellen Tech­ni­ker-PCs dar. Hier sind außer­or­dent­li­che Instal­la­tio­nen von Soft­ware zu Test- und Admi­nis­tra­ti­ons­zwe­cken erlaubt, wenn…

  • die Soft­ware und deren Anbie­ter vor der Instal­la­tion im Rahmen der Mög­lich­kei­ten des Tech­ni­kers auf Ver­trau­ens­wür­dig­keit über­prüft wurde und
  • eine aktu­elle Viren‑, Malware und Fire­wall-Lösung auf dem PC instal­liert wurde und
  • die Instal­la­tion dem betrieb­li­chen Erfolg dient.

 

6.1 Sper­rung bei Abwe­sen­heit / Her­un­ter­fah­ren bei Dienstschluss

Bei Arbeits­ende sind PCs/Notebooks her­un­ter­zu­fah­ren. Mobile Com­pu­ter (Note­books, Tablet-PCs) sind in ver­schlos­se­nen Schrän­ken zu ver­stauen. Bei kurz­zei­ti­gem Ent­fer­nen vom Arbeits­platz ist der Com­pu­ter zu sperren (Windows-Taste + „L“ – oder Strg+Alt+Entf – Com­pu­ter sperren).

 

Jeder Mit­ar­bei­ter hat dafür Sorge zu tragen, dass auf seinen PCs eine auto­ma­ti­sche Sper­rung nach 10 Minuten Still­stand erfolgt. Diese Sper­rung kann wahl­weise über die Windows-Sper­rung oder über einen kenn­wort­ge­schütz­ten Bild­schirm­scho­ner rea­li­siert werden.

 

6.2 Viren­schutz und Sicherheits-Settings

Com­pu­ter­vi­ren sind Pro­gramme, die ent­wi­ckelt werden, um unbe­rech­tigte Ände­run­gen an Pro­gram­men und Daten vor­zu­neh­men. Sie können deshalb Unter­neh­mens­res­sour­cen und Daten­be­stände zer­stö­ren oder stehlen. Es ist daher unter­sagt, die instal­lier­ten Viren­schutz­pro­gramme zu deak­ti­vie­ren, oder zu deinstal­lie­ren; auch eine Umkon­fi­gu­ra­tion der vor­ge­ge­be­nen Ein­stel­lun­gen ist untersagt.

 

Sofern der Mit­ar­bei­ter eine Beschä­di­gung, ein Fehl­ver­hal­ten oder uner­klär­li­che Belas­tung des Com­pu­ter-Systems fest­stellt, infor­miert er umge­hend die IT-Abtei­lung. Letz­te­res kann ein Indiz für eine Infek­tion durch Viren, Würmer oder andere Schad­pro­gramme sein.

 

Alle eigen­mäch­ti­gen Ände­run­gen an den Sys­tem­ein­stel­lun­gen des Arbeits­platz­rech­ners oder Laptops, ins­be­son­dere den Sicher­heits­ein­stel­lun­gen, sind unter­sagt. Das gilt auch für die Umge­hung etwa­iger Sperren und Zugangs­be­schrän­kun­gen. Auf die §§ 202a‑c StGB wird verwiesen.

 

 

6.3 Kenn­wör­ter / Passwortschutz

Die Anwen­der müssen bei der Auswahl und Benut­zung von Pass­wör­tern bewährte sichere Ver­fah­ren anwenden:

  • Pass­wör­ter dürfen gegen­über anderen Per­so­nen nicht offen­ge­legt werden; dies gilt auch für Geschäfts­füh­rung oder Systemadministratoren
  • Pass­wör­ter dürfen nicht auf­ge­schrie­ben werden, außer der IT-ver­ant­wort­li­che hat hierfür eine sichere Methode zuge­las­sen. Eine sichere Methode kann eine von der IT-Abtei­lung bereit­ge­stellte oder frei­ge­ge­bene Pass­wort-Manage­ment-Soft­ware sein (s.u.).
  • Vom Anwen­der erstellte Pass­wör­ter dürfen auf keinem Weg ver­brei­tet werden (münd­lich, schrift­lich oder in elek­tro­ni­scher Form, etc.). Aus­ge­nom­men davon sind Initi­al­passör­ter (tem­po­räre Passwörter).
  • Pass­wör­ter müssen geän­dert werden, falls es Anzei­chen dafür gibt, dass die Pass­wör­ter oder das System kom­pro­mit­tiert sein könnten – in diesem Fall muss ein Sicher­heits­vor­fall gemel­det werden
  • Sichere Pass­wör­ter müssen min­des­tens aus 8 Zeichen bestehen
  • Sichere Pass­wör­ter müssen min­des­tens 2 der fol­gen­den 3 Merk­male erfüllen: 
    • Benut­zung min­des­tens eines Sonderzeichens
    • Benut­zung min­des­tens einer Ziffer
    • enthält min­des­tens einen Groß­buch­sta­ben und einen Kleinbuchstaben
  • Ferner zeich­net sich ein siche­res Pass­wort dadurch aus, dass 
    • das Pass­wort nicht in einem Wör­ter­buch ent­hal­ten sein, kein Wort im Dialekt oder in der Umgangs­spra­che irgend­ei­ner Sprache oder irgend­ein solches Wort rück­wärts geschrie­ben sein darf.
    • keine per­sön­li­chen Daten ent­hal­ten darf (z.B. Geburts­da­tum, Adresse, Name von Fami­li­en­mit­glie­dern, etc.)
    • es nicht den letzten drei ver­wen­de­ten Pass­wör­tern entspricht
    • es nicht auch für private Zwecke genutzt wird.
  • Pass­wör­ter müssen in fol­gen­der Fre­quenz geän­dert werden 
    • Windows-Pass­wör­ter und Pass­wör­ter für den Office-File­ser­ver: nach Auf­for­de­rung durch die Geschäfts­lei­tung in einem ange­mes­se­nen Turnus
    • Pass­wör­ter für Web-Anwen­dun­gen sind vom Nutzer spä­tes­tens alle 365 Tage zu ändern,
      davon aus­ge­nom­men sind Pass­wör­ter für Daten­ban­ken (s. Richt­li­nie zur Ent­wick­lungs­si­cher­heit, Dok.Nr. 4.4)

 

 

7 Nutzung von mobilen Geräten

Bereit­ge­stellte mobile Geräte des Unter­neh­mens wie Note­books, PDAs, Smart­phone, Tablets und ähn­li­che Geräte sind jeder­zeit sicher auf­zu­be­wah­ren. Dies gilt ins­be­son­dere bei exter­nen Ter­mi­nen und auf Reisen. Muss das Gerät in Aus­nah­me­fäl­len für einige Zeit unbe­auf­sich­tigt bleiben, so ist es gegen Dieb­stahl und unbe­rech­tig­ten Zugriff zu sichern. Bei Flug­rei­sen sind mobile Geräte als Hand­ge­päck zu führen. Sofern ein mobiles Gerät aus­nahms­weise in einem Fahr­zeug ver­blei­ben muss, so darf es von außen nicht sicht­bar sein, sondern im Kof­fer­raum ein­ge­schlos­sen und ggf. abge­deckt werden.

 

Bei Nutzung der mobilen Geräte während Rei­se­tä­tig­kei­ten (z.B. im Zug oder im Café), ist der Schutz des Bild­schirms mittels eines Blick­schut­zes vor unbe­rech­tig­ter Ein­sicht­nahme Dritter zu emp­feh­len. Zur Scha­dens­be­gren­zung bei mög­li­chem Verlust dürfen nur jeweils not­wen­dige Infor­ma­tio­nen auf den Geräten gespei­chert werden. Mobile Geräte sind durch einen Zugangs­schutz (PIN, Touch ID (Apple) o.ä.) geschützt. Dieser Schutz darf nicht deak­ti­viert werden.

 

Sen­si­ble Infor­ma­tio­nen auf mobilen Geräten sind ver­schlüs­selt abzu­le­gen (bei Android expli­zit zu akti­vie­ren, auch für die SD-Karte). Bei Fragen zu ent­spre­chen­den Ver­schlüs­se­lungs­tools ist die Technik-Abtei­lung oder ihre Leitung zu kon­sul­tie­ren. Die hin­rei­chende Ver­schlüs­se­lung von Daten kann im Ver­lust­fall des Gerätes eine auf­sichts­be­hörd­li­che Mel­de­pflicht ver­mei­den. Sofern mobile Geräte auf Fern­rei­sen mit­ge­führt werden sollen, ist zuvor abzu­klä­ren, ob die ver­wen­dete Ver­schlüs­se­lungs­tech­no­lo­gie im Ziel- oder Tran­sit­land eine Straf­tat dar­stellt (etwa: China oder USA). WLAN- und Blue­tooth-Schnitt­stel­len sind nach Mög­lich­keit zu deak­ti­vie­ren, wenn sie nicht genutzt werden.

 

Die ord­nungs­ge­mäße Nutzung von mobilen Geräten kann in einer Über­las­sungs­ver­ein­ba­rung näher gere­gelt werden und durch eine sog. „Mobile-Device-Management“-Software über­wacht und durch­ge­setzt werden.

 

8 Nutzung mobiler Datenträger

Nicht von der Firma frei­ge­ge­bene oder von der Firma zur Ver­fü­gung gestellte externe Geräte ( d.h. private/fremde Geräte) wie z.B. USB-Sticks oder externe Mas­sen­spei­cher (USB, eSATA; Fire­wire Handys, Power­banks, etc.) dürfen nicht an den Arbeits­platz-PC oder das dienst­li­che Note­book ange­schlos­sen werden. Eine Auf­la­dung pri­va­ter Geräte hat mittels Netz­tei­len an Steck­do­sen zu erfol­gen, nicht jedoch am dienst­li­chen PC. Neben der Gefahr des Abflus­ses betrieb­li­cher Daten besteht die Gefahr der Infek­tion mit Schad­soft­ware. Es wird darauf hin­ge­wie­sen, dass die Nutzung der USB-Schnitt­stel­len durch Moni­to­ring-Pro­gramme über­wacht werden kann, um dem Risiko eines Daten­ab­flus­ses zu begegnen.

 

Umge­kehrt dürfen von der Firma zur Ver­fü­gung gestellte externe Geräte nicht an betriebs­fremde Geräte ange­schlos­sen werden. Eine Ver­wen­dung von Wech­sel­da­ten­trä­gern ist soweit möglich zu ver­mei­den. Dienst­li­che Wech­sel­da­ten­trä­ger dürfen nur zum Spei­chern, Kopie­ren und/oder Über­tra­gen von öffent­li­chen oder betrieb­söf­fent­li­chen Doku­men­ten (vgl. Richt­li­nie zur Infor­ma­ti­ons­klas­si­fi­zie­rung) ver­wen­det werden.

 

Das Spei­chern und/oder Kopie­ren ver­trau­li­cher, streng ver­trau­li­cher und/oder per­so­nen­be­zo­ge­ner Daten (z.B. Kunden- oder Per­so­nal­da­ten) auf Wech­sel­da­ten­trä­ger ist aus­drück­lich ver­bo­ten. Ver­trau­li­che Doku­mente sind per E‑Mail zu ver­sen­den und dabei eben­falls durch Ver­schlüs­se­lung oder Ver­wen­dung von Pass­wör­tern zu schützen.

 

Nicht mehr benö­tigte Doku­mente sind umge­hend vom Wech­sel­da­ten­trä­ger zu löschen. Bei beab­sich­tig­ter Wei­ter­gabe von USB-Daten­trä­gern an Dritte ist ein fabrik­neuer Daten­trä­ger zu ver­wen­den, damit dieser keine gelösch­ten Daten wie­der­her­stel­len kann. Alte Daten­trä­ger sind beim IT-Ver­ant­wort­li­chen abzu­ge­ben. Bei einmal beschreib­ba­ren Daten­trä­gern wie CDs und DVDs sind diese zu zer­stö­ren (z.B. schred­dern) bzw. sicher zu ent­sor­gen. Werden sen­si­ble geschäft­li­che oder per­so­nen­be­zo­gene Daten auf einmal beschreib­ba­ren Daten­trä­gern archi­viert, sind diese in einem Archiv zusätz­lich separat ver­schlos­sen aufzubewahren.

 

9 Nutzung von Telefoniegeräten

Die Benut­zung betrieb­li­cher Tele­fone für private Gesprä­che ist grund­sätz­lich nicht gestat­tet. Aus­ge­nom­men davon sind dienst­lich ver­an­lasste Gesprä­che, wie z.B. die Benach­rich­ti­gung Ange­hö­ri­ger über dienst­lich ver­an­lasste Ver­spä­tun­gen oder Kom­mu­ni­ka­tion in Notfällen.

Die Pri­vat­nut­zung kann durch eine IT-Pri­vat­nut­zungs­ver­ein­ba­rung erlaubt werden. Ferner kann eine Über­ga­be­ver­ein­ba­rung für mobile Geräte weitere Nut­zungs­re­geln festlegen.

 

9.1 Nutzung von Mehrwertdiensten

Die Nutzung von Ruf­num­mern zu Son­der­diens­ten, die höhere Kosten ver­ur­sa­chen als der Anruf einer nor­ma­len, deut­schen Fest­netz- oder Mobil­funk-Ruf­num­mer ist unzu­läs­sig. Davon aus­ge­nom­men sind Ein­wah­len in Tele­fon­kon­fe­ren­zen mit Kunden oder der Anruf bei Service-Ruf­num­mern genutz­ter Dienst­leis­ter und Geräte-Hersteller.

 

9.2 Beson­der­hei­ten für die Benut­zung von Mobiltelefonen

9.2.1    Über­las­sung eines mobilen Geräts

Das Gerät ver­bleibt im Eigen­tum des Unter­neh­mens. Das Unter­neh­men kann das Gerät vom Nutzer ohne Angabe von Gründen zurück­ver­lan­gen. Von diesem Recht wird das Unter­neh­men ins­be­son­dere bei Verstoß gegen diese Ver­ein­ba­rung oder Entzug der Nut­zungs-Berech­ti­gung aus anderen Gründen Gebrauch machen.

 

Das Unter­neh­men behält sich die Ein­füh­rung einer Mobile-Device-Policy vor, sowie die Nutzung einer Mobile-Device-Manage­ment-Lösung, um die regel­kon­forme Nutzung der Geräte zu über­wa­chen und die ver­pflich­ten­den Sicher­heits­ein­stel­lun­gen zu erzwin­gen. Im Falle einer Pri­vat­nut­zung werden dabei die durch den Nutzer instal­lier­ten Apps sichtbar.

 

9.2.2    Private Nutzung

Eine private Nutzung der Tele­fo­nie­funk­tion sowie von E‑Mail- oder Inter­net-Diens­ten über diese Geräte ist nicht gestat­tet. Der Nutzer darf eine im Gerät ver­wen­dete SIM-Karte nicht in private Geräte ein­set­zen bzw. mit pri­va­ten Geräten nutzen, noch durch eine private SIM-Karte erset­zen. Die Nutzung des Gerätes oder von Funk­tio­nen des Gerätes durch Dritte – auch Fami­li­en­an­ge­hö­rige – ist untersagt.

 

9.2.3    Roaming-Nutzung und Mehrwertdienste

Das Unter­neh­men schließt einen Mobil­funk­ver­trag ab und trägt die mit diesem Mobil­funk­ver­trag inso­weit anfal­len­den Kosten (Grund­ge­bühr, Gesprächs­kos­ten, Daten­op­tio­nen). Für das Tele­fo­nie­ren im Ausland („Voice-Roaming“) und das Nutzen von Daten­diens­ten (z.B. Inter­net oder Email) im Ausland („Data-Roaming“) fallen erhöhte Ent­gelte an. Sowohl Voice- als auch Data-Roaming sind daher für dienst­li­che Zwecke zurück­hal­tend und kos­ten­be­wusst zu nutzen und für private Zwecke aus­ge­schlos­sen. Ein Abruf von Audio- oder Video­strea­ming oder Foto-Upload via Daten­roa­ming im Ausland ist untersagt.

 

Für die Nutzung zubuch­ba­rer Optio­nen (SpeedOn, Roaming-Passes, etc.) sowie kos­ten­pflich­ti­ger Mehr­wert­dienste, ist vorab die Zustim­mung des Unter­neh­mens über den User-Help­desk ein­zu­ho­len. Hieraus ent­ste­hende Kosten sind grund­sätz­lich vom Nutzer zu über­neh­men. Kosten für kos­ten­pflich­tige Apps, sofern nicht durch die IT zur Ver­fü­gung gestellt, sind eben­falls vom Nutzer selbst zu tragen. Es ist unter­sagt, Dienste zu buchen, die eine regel­mä­ßige Kos­ten­ab­bu­chung z.B. über die Mobil­funk­rech­nung auslösen.

 

9.2.4    PIN-Akti­vie­rung

Auf dienst­li­chen Mobil­te­le­fo­nen ist die PIN-Eingabe stets akti­viert zu halten. WLAN- und Blue­tooth-Schnitt­stel­len sind zu deak­ti­vie­ren wenn sie nicht genutzt werden.

 

9.2.5    Dieb­stahl, Defekt, Verlust und Sicherheitsverstöße

Das Gerät ist vor Dieb­stahl zu schüt­zen, d.h. es ist grund­sätz­lich bei sich zu führen bzw. unter Auf­sicht zu halten. Das Gerät ist vor unbe­rech­tig­tem Ein­blick und Zugriff, ins­be­son­dere bei Nutzung auf Dienst­rei­sen (Zug, Auto­mo­bil, Flug­zeug, …) sowie im pri­va­ten Umfeld zu schüt­zen.
Der Defekt, Dieb­stahl oder sonst wie ver­mu­tete Verlust des Gerätes ist unver­züg­lich dem User Help­desk, der Unter­neh­mens­si­cher­heit oder dem Vor­ge­setz­ten zu melden, um gebo­tene Maß­nah­men ein­lei­ten zu können.
Das Unter­neh­men ist im Falle des Ver­lus­tes berech­tigt, das Gerät zu sperren, alle dienst­li­chen und pri­va­ten Inhalte bzw. Daten auf dem Gerät zu löschen sowie die SIM-Karte zu deaktivieren.

Der Nutzer hat das Gerät pfleg­lich zu behan­deln. Bei Defekt, Verlust oder Zer­stö­rung während der Regel­nut­zungs­zeit erhält der Nutzer regel­mä­ßig ein gleich­wer­ti­ges, ggf. gebrauch­tes Ersatz­ge­rät, jedoch kein neueres oder aktu­el­le­res Gerät. Bei Sicher­heits­ver­stö­ßen wird die Syn­chro­ni­sa­tion des Gerätes deak­ti­viert, etwa durch Wechsel des Pass­wor­tes, bei groben Sicher­heits­ver­stö­ßen kann das Gerät gelöscht werden, sofern die tech­ni­schen Mög­lich­kei­ten das zulas­sen. Die Ent­schei­dung obliegt der IT-Abtei­lung. Diese wird sich bemühen den Nutzer vor der Maß­nahme in Kennt­nis zu setzen.

 

 

9.3 Regeln für Smart­phones und Apps

Auf dienst­lich genutz­ten Geräten, vor allem Smart­phones und Tablets, sollten nur betrieb­lich not­wen­dige Apps instal­liert werden, die keine Gefahr für einen Abfluss betrieb­li­cher Daten dar­stel­len. Dies betrifft ins­be­son­dere inter­net­ba­sierte (Cloud- Ser­vices) als Spei­cher- und Back­up­dienste sowie alle Dienste wie z.B. Mes­sen­ger, die über Schnitt­stel­len (APIs) Zugriff auf Tele­fon­buch, E‑Mails und andere auf dem End­ge­rät gespei­cherte Daten haben. Sofern solche Apps über auf Daten des Gerätes zugrei­fen wollen und der Nutzer nach seiner Zustim­mung gefragt wird, ist dies abzu­leh­nen bzw. diese Berech­ti­gung zu ent­zie­hen. Ist dies auf­grund des Betriebs­sys­tems des Gerätes nicht möglich, so ist die Ver­wen­dung zu unterlassen.

 

Die Geschäfts­lei­tung kann für ein­zelne Apps Aus­nah­me­re­ge­lun­gen zulassen.

Für unsi­chere Apps kann ein Verbot der Nutzung in Form einer „Black­list“ erfol­gen. Das kann auch die Deak­ti­vie­rung von her­stel­ler­spe­zi­fi­schen Funk­tio­nen (iMes­sage, Siri, etc.) beinhal­ten. Das Unter­neh­men macht eine solche „Black­list“ als im Intra­net für den Nutzer zugäng­lich oder beschränkt die Auswahl der Apps im App-Store ent­spre­chend. Apps der „Black­list“ dürfen nicht instal­liert werden bzw müssen (wenn instal­liert) deinstal­liert werden.

 

Ände­run­gen der Black­list werden bekannt gegeben. Wird eine bislang erlaubte App durch ein Update auf die Black­list gesetzt, wird der Nutzer infor­miert und hat vor Löschung der Apps 7 Tage Zeit, etwaige Daten zu sichern.

Der Nutzer ist für das regel­mä­ßige Update der Betriebs­sys­tem­soft­ware sowie der Apps ver­ant­wort­lich. Modi­fi­ka­tio­nen an der Betriebs­sys­tem­soft­ware (Jailbreak/Rooting) sind untersagt.

 

9.4 Auf­zeich­nung der Verbindungsdaten

Die Ver­bin­dungs­da­ten aller aus­ge­hen­den Tele­fo­nate der Tele­fon­an­lage sowie aller dienst­li­chen Mobil­te­le­fone werden gespei­chert. Erfasst werden fol­gende Daten:

  • Datum, Uhrzeit, Dauer des Anrufs,
  • Neben­stelle, vor der Anruf abgeht bzw. bei der der Anruf eingeht,
  • voll­stän­dige gewählte Ruf­num­mer und ggf. die Nummer von eige­hen­den Anrufen,
  • Betrag der Gebühren.

 

Die Daten werden stich­pro­ben­ar­tig auf Miss­brauch (private Nutzung) kon­trol­liert. Besteht ein kon­kre­ter Miss­brauchs­ver­dacht oder ergibt sich ein solcher aus Stich­pro­ben­kon­trol­len, werden Daten für etwaige arbeits­recht­li­che Maß­nah­men ermit­telt. Unbe­rührt bleibt die per­sön­li­che Kon­trolle durch Vor­ge­setzte (Augen­schein). In dem Fall einer erlaub­ten Pri­vat­nut­zung erteilt der Mit­ar­bei­ter dem Unter­neh­men die Ein­wil­li­gung die Ver­bin­dungs­da­ten, die dann auch private, per­so­nen­be­zo­gene Daten ent­hal­ten können, zu analysieren.

 

10 Benut­zung des dienst­li­chen E‑Mail-Post­fa­ches

Das E‑Mail-Pro­gramm zur Nutzung auf dem Arbeits­platz­com­pu­ter und den mobilen Geräten, inklu­sive der dienst­li­chen E‑Mail-Adresse, sind aus­schließ­lich dienst­lich zu ver­wen­den. Das Unter­neh­men filtert die E‑Mails auto­ma­ti­siert, um die Zustel­lung von z.B. Viren, SPAM und anderen als schäd­lich erach­te­ten Inhalte zu unter­drü­cken. Die aus­ge­fil­ter­ten E‑Mails werden ggf. in einem geson­der­ten Ordner vor­ge­hal­ten, so dass Admi­nis­tra­to­ren fälsch­lich aus­ge­fil­terte E‑Mails wider­her­stel­len können, wobei unver­meid­lich Ein­sicht genom­men wird.

 

Eine Ein­rich­tung von pri­va­ten E‑Mail Konten im E‑Mail-Pro­gramm, die Nutzung der dienst­li­chen E‑Mail-Adresse für das Senden pri­va­ter E‑Mails und die auto­ma­ti­sche oder manu­elle Wei­ter­lei­tung von E‑Mails zwi­schen einem pri­va­ten und dem betrieb­li­chen E‑Mail-Konto ist aus Sicher­heits­grün­den unter­sagt. Unauf­ge­for­dert ein­ge­hende private E‑Mails sind zu löschen und der Absen­der ist ent­spre­chend zu informieren.

 

Private E‑Mails können bei abge­schlos­se­ner IT-Pri­vat­nut­zungs­ver­ein­ba­rung durch Webmail-Ange­bote über den Inter­net­brow­ser emp­fan­gen oder ver­sandt werden. Eine Wei­ter­lei­tung dienst­li­cher Emails an einen pri­va­ten Account oder das Ver­san­den oder Spei­chern dienst­li­cher Daten über bzw. in einem pri­va­ten Email-Account oder Web-Spei­cher­platz ist unter­sagt. Für mobile Geräte kann im Rahmen einer Pri­vat­nut­zungs­ver­ein­ba­rung und einer Über­las­sungs­ver­ein­ba­rung bezüg­lich des mobilen Gerätes die Ein­bin­dung pri­va­ter E‑Mail-Konten erlaubt werden.

 

Im Rahmen gesetz­li­cher Auf­be­wah­rungs­pflich­ten und für die rechts­si­chere Doku­men­ta­tion des E‑Mail-Ver­keh­res können alle über den Unter­neh­mens-E-Mail-Server ein- und aus­ge­hen­den E‑Mails für eine Dauer von bis zu 10 Jahren revi­si­ons­si­cher, d.h. unver­än­der­bar archi­viert werden. Der Arbeit­ge­ber kann in die Inhalte von E‑Mails bei betrieb­li­chen Erfor­der­nis­sen Ein­sicht nehmen. Glei­ches gilt bei Offen­le­gung von E‑Mails auf gericht­li­che oder behörd­li­che Anord­nung oder im Rahmen von steu­er­li­chen, sozi­al­ver­si­che­rungs­recht­li­chen, kar­tell­recht­li­chen oder sons­ti­gen Prü­fun­gen oder Ermitt­lungs­ver­fah­ren bei begrün­de­tem Ver­dacht auf Straf­ta­ten. Sofern ver­se­hent­lich auch private E‑Mails über den Dienst-Zugang ver­sen­det und archi­viert wurden, kann der Mit­ar­bei­ter deren Löschung aus dem Archiv nicht verlangen.

 

Werden ver­trau­li­che oder schüt­zens­werte Infor­ma­tio­nen an Unter­neh­mens­externe per E‑Mail ver­sen­det, sind die Inhalte der E‑Mails durch Einsatz von Ver­schlüs­se­lung zu schüt­zen. Die ent­spre­chend aktu­elle Ver­schlüs­se­lungs­tech­nik kann beim Technik-Team oder beim dessen Leitung erfragt werden. Bei Nutzung des Ver­schlüs­se­lungs­tools gelten o.g. Pass­wort-Anfor­de­run­gen. Der unver­schlüs­selte Versand von Betriebs- und Geschäfts­ge­heim­nis­sen ist untersagt.

 

Beim Umgang mit E‑Mail-Datei­an­hän­gen (Attach­ments) und Links in E‑Mails ist äußerste Vor­sicht geboten. Ver­däch­tige Datei­an­hänge dürfen nicht geöff­net werden. Das Öffnen von Dateien oder Links in E‑Mails von unbe­kann­ten Dritten, die Gewinne oder Son­der­an­ge­bote ver­spre­chen oder uner­war­tet juris­ti­sche Kon­se­quen­zen andro­hen, ist unter­sagt. Es ist zu beach­ten, dass Absen­der­adres­sen gefälscht sein können. Im Zweifel ist die tech­ni­sche Leitung  um Rat zu fragen.

 

10.1   Stell­ver­tre­tungs­re­ge­lung und Wei­ter­lei­tung von E‑Mails an Kollegen

Vor Antritt einer geplan­ten Abwe­sen­heit (z.B. Urlaub, Seminar etc.) muss der Mit­ar­bei­ter den auto­ma­ti­schen Abwe­sen­heits-Assis­ten­ten (auto­ma­ti­sche Antwort) aktivieren

Bei krank­heits­be­ding­ter und sons­ti­ger unge­plan­ter und nicht nur kurz­zei­ti­ger Abwe­sen­heit beauf­tragt der jewei­lige Vor­ge­setzte einen tech­ni­schen Mit­ar­bei­ter, den auto­ma­ti­schen Abwe­sen­heits­agen­ten zu akti­vie­ren und die ein­ge­hen­den E‑Mails an den ver­tre­ten­den Mit­ar­bei­ter wei­ter­zu­lei­ten. Nicht nur kurz­zei­tig sind Abwe­sen­hei­ten von länger als 2 Tagen.

 

 

 

11 Backup-Rege­lung

Es hat sich gezeigt, dass Daten­si­che­rung dann am besten funk­tio­niert, wenn nicht jeder ein­zelne Mit­ar­bei­ter Siche­rungs­ko­pien seiner Daten anfer­tigt, sondern dies zentral geschieht. Die zen­trale Daten­si­che­rung erfasst aber nur die auf den Servern gespei­cher­ten Daten, lokale Daten – z.B. auf dem Desktop des PCs – werden nicht gesi­chert. Also müssen alle Daten auf den Servern gespei­chert sein.

 

Dies mag zwar für manchen umständ­lich klingen, ist aber in Zeiten des mobilen Netz­zu­griffs einfach und im Falle einer kurz­fris­ti­gen Ver­tre­tung für alle Betei­lig­ten äußert prak­tisch. Sofern ein Mit­ar­bei­ter häufig außer Haus tätig ist, berät die IT-Abtei­lung hin­sicht­lich der Syn­chro­ni­sie­rung von Netz­lauf­wer­ken, der Ver­schlüs­se­lung des Spei­chers des mobilen Gerätes und etwaig mög­li­cher VPN-Zugriffe auf zentral gespei­cherte Daten.

 

Daher gilt:

  • Beach­ten Sie die HINWEISE ZUR DATEIABLAGE in dieser Richtlinie
  • Eine lokale Daten­hal­tung aus­schließ­lich nur auf dem Arbeits­platz­rech­ner bzw. Note­book ist nicht zuläs­sig. Es dürfen ledig­lich für die not­wen­dige Zeit lokale Kopien vor­ge­hal­ten werden.
  • Alle unter­wegs auf Note­book-PCs bear­bei­te­ten Daten/Dateien – auch Zwi­schen­stände – sind regel­mä­ßig, spä­tes­tens nach Rück­kehr, auf dem Server zu speichern.

 

Von daher ist es unter­sagt, private Daten auf den Fir­men­ge­rä­ten zu spei­chern. Der Firma ist es nicht möglich, bei der Spei­che­rung zwi­schen pri­va­ten und dienst­li­chen Daten zu unter­schei­den. Somit werden auch private Daten bei einem Backup gespei­chert. Diese Regel kann über eine Pri­vat­nut­zungs­ver­ein­ba­rung rela­ti­viert werden.

 

12 Rege­lun­gen zur Datei-Ablage

Um keine Daten zu ver­lie­ren, dürfen wich­tige Daten nicht aus­schließ­lich auf der lokalen Fest­platte des Arbeits­platz­com­pu­ters gespei­chert werden. Wird die Fest­platte des lokalen Gerätes zer­stört, z.B. durch ver­se­hent­li­ches Fal­len­las­sen des Note­books, sind alle darauf gespei­cher­ten Daten oft unwie­der­bring­lich ver­lo­ren. Zudem werden die lokal gespei­cher­ten Daten nicht von der regel­mä­ßi­gen Daten­si­che­rung erfasst, die die Daten auf dem Server sichert. Es wird also keine regel­mä­ßige Siche­rungs­ko­pie von den Daten auf den Arbeits­platz-Rech­nern bzw. den Note­books angelegt.

 

Alle Daten müssen im Firmen-Netz auf den dafür vor­ge­se­he­nen Server-Lauf­wer­ken gespei­chert werden. Das gilt auch für Zwi­schen­stände. Die aus­schließ­lich lokale Spei­che­rung ist nur für Kopien von auf dem Server abge­leg­ten Doku­men­ten zulässig.

 

Sollte ein Mit­ar­bei­ter im Außen­dienst unter­wegs sein, so kann die IT-Abtei­lung Maß­nah­men wie etwa die Ein­rich­tung eines VPN-Zugangs via Daten­kar­ten oder eines Syn­chro­ni­sie­rungs-Pro­gram­mes, das regel­mä­ßig einen Abgleich zwi­schen lokaler Fest­platte und Server her­stel­let, einleiten.

 

12.1   Ord­ner­struk­tu­ren

Daten auf den Lauf­wer­ken sind so zu spei­chern und in Unter­ver­zeich­nis­sen zu orga­ni­sie­ren, dass sie ohne Pro­bleme auch durch eine Ver­tre­tungs­per­son wieder auf­find­bar sind. Dabei ist eine maxi­male Ver­schach­te­lungs­tiefe der Ordner von 4 Ebenen nicht zu überschreiten.

 

12.2   Ablage ver­trau­li­cher und/oder per­so­nen­be­zo­ge­ner Daten

Ver­trau­li­che und/oder per­so­nen­be­zo­gene Daten dürfen in keinem Fall auf öffent­li­chen Server-Lauf­wer­ken abge­spei­chert werden, auch nicht kurz­zei­tig. Solche Daten sind – ggf. ver­schlüs­selt oder in Pass­wort-geschütz­ten Dateien – aus­schließ­lich in solchen Ver­zeich­nis­sen mit ein­ge­schränk­tem Kreis von zugriffs­be­rech­tig­ten Per­so­nen zu spei­chern. Fragen Sie im Zweifel Ihren Datenschutzbeauftragten.

 

 

12.3   Nicht-betrieb­li­che / private Daten

Es ist nicht gestat­tet, Daten, die nicht betrieb­li­cher Natur sind oder für deren Spei­che­rung kein betrieb­li­cher Anlass vor­liegt, im Unter­neh­mens­netz­werk oder auf den Arbeits­platz­rech­nern bzw. Note­book-PCs oder mobilen Geräten zu spei­chern. Das gilt im Beson­de­ren für private Fotos, „lustige Film­chen“, oder urhe­ber­recht­lich geschützte Werke wie Musik­da­teien und Kinofilme.

 

Durch eine IT-Pri­vat­nut­zungs­ver­ein­ba­rung kann eine Son­der­re­ge­lung geschaf­fen werden, die es erlaubt, private Daten auf den lokalen Fest­plat­ten von Arbeits­platz-PC/­Note­book sowie auf mobilen Geräten zu spei­chern, sofern ein Zugriffs- und Ein­sichts­recht, ins­be­son­dere bei Ver­dacht auf rechts- oder ver­trags­wid­rige Inhalte, ein­ge­räumt wird, das Unter­neh­men private Daten im Zweifel löschen darf und von der Haftung bei Verlust, Ver­än­de­rung oder Beschä­di­gung von pri­va­ten Daten frei­ge­stellt wird. Unter­sagt ist dabei die auch nur tem­po­räre Spei­che­rung von Inhal­ten ohne urhe­ber­recht­li­che Nut­zungs­er­laub­nis („Raub­ko­pien“). Je Nutzer dürfen maximal 5 GB pri­va­ter Daten gespei­chert werden.

 

 

13 „Clean Desk“ am Arbeits­platz und im Unternehmen

Smart­phones, Tablet-PCs und Daten­trä­ger dürfen auch bei kurz­fris­ti­ger Abwe­sen­heit vom Arbeits­platz nicht offen liegen gelas­sen werden oder am Gerät ein­ge­steckt ver­blei­ben. USB- und mobile Geräte sind bei Nicht­be­nut­zung ver­schlos­sen aufzubewahren.

 

Am Arbeits­platz dürfen weder Unter­la­gen noch Daten­trä­ger mit sen­si­blen Daten unbe­auf­sich­tigt und unver­schlos­sen ver­blei­ben. Außer­halb der Arbeits­zei­ten sind sämt­li­che Doku­mente mit sen­si­blen Daten, sowie mobile dienst­li­che Geräte der Mit­ar­bei­ter unter Ver­schluss zu halten. Zugangs­da­ten (wie Username/Passwort) dürfen nicht schrift­lich am Arbeits­platz hin­ter­las­sen werden (etwa am Bild­schirm ange­bracht, unter Tas­ta­tur oder Schreib­un­ter­lage – aus­ge­nom­men hiervon sind zen­trale Admi­nis­tra­ti­ons-Accounts, die in ent­spre­chen­den Tools ver­wal­tet werden). Ver­trau­li­che Unter­la­gen und Unter­la­gen mit per­so­nen­be­zo­ge­nen Daten gehören NICHT in den Papier­korb, sondern sind ent­we­der zu schred­dern oder in Papier­ent­sor­gungs-Tonnen zu werfen.

 

Bild­schirm, Post- und Abla­ge­körbe müssen so ange­bracht sein, dass kein Besu­cher im Vor­bei­ge­hen Ein­blick nehmen oder Unter­la­gen ein­ste­cken kann, ohne dass es auf­fal­len würde. Im Falle von kurzen Abwe­sen­hei­ten muss durch Abmel­den von allen Sys­te­men bzw. durch Sperren des Bild­schirms (mit erneu­ter Pass­wort­ein­gabe) sicher­ge­stellt sein, dass niemand unbe­rech­tig­tes Zugang zu ver­trau­li­chen Daten erhält.

 

13.1   Nutzung von Besprechungszimmer

Beim Ver­las­sen eines Bespre­chungs­zim­mers sind alle Arbeits­do­ku­mente, Prä­sen­ta­tion, Flip­charts, USB-Spei­cher-Sticks, etc. mit­zu­neh­men. Auch sind aus hygie­ni­schen Gründen alle Kaf­fee­tas­sen- und Becher, Gläser, leere Fla­schen, Geschirr und Unrat ordent­lich zu ent­sor­gen und der Tisch ist sauber zu hin­ter­las­sen. Der Beamer ist abzu­schal­ten und die Strom­ver­sor­gung zum Schutz des Leucht­mit­tels nicht eher zu trennen als die Lüftung sich abge­schal­tet hat.

 

13.2   Aus­dru­cke und Faxe

Aus­dru­cke am Gemein­schafts-Drucker sind unver­züg­lich abzu­ho­len. Bleiben Sie während des Kopier­vor­gangs bitte am Kopie­rer stehen. Holen Sie ein­ge­hende Faxe sofort ab, wenn Sie davon Kennt­nis erhalten.

 

14 Heim- und Telearbeit

Der Zweck der Heim­ar­beits- und Tele­ar­beits­platz­re­ge­lung ist es, den unbe­rech­tig­ten Zugang zu Mobil­ge­rä­ten auch außer­halb der Räum­lich­kei­ten des Unter­neh­mens zu ver­hin­dern. Gerade im häus­li­chen Umfeld sind die Daten vor Ein­sicht und oder Zugriff durch Dritte oder Haus­halts- und Fami­li­en­an­ge­hö­rige zu schützen.

Jeder Mit­ar­bei­ter hat daher fol­gende tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zu ergrei­fen, damit sicher­ge­stellt werden kann, dass Unter­la­gen und Daten, die sich in seinem Ver­fü­gungs­be­reich befin­den, nicht miss­braucht werden können, abhan­den­kom­men oder Unbe­fug­ten zugäng­lich werden:

  • Der Trans­port von elek­tro­ni­schen Spei­cher­ge­rä­ten oder ver­trau­li­chen Akten bzw. Unter­la­gen muss immer in ver­schlos­se­nen Behält­nis­sen erfolgen.
  • Während des Trans­por­tes dürfen diese Behält­nisse nicht unbe­auf­sich­tigt bleiben. oder ander­wei­tig privat wei­ter­ge­ge­ben werden.
  • Bild­schirme sind grund­sätz­lich so zu plat­zie­ren, dass eine Ein­sicht durch Dritte (etwa durch das Fenster oder eine offene Tür) nicht möglich ist.
  • Jeder Mit­ar­bei­ter stellt sicher, dass alle Unter­la­gen und elek­tro­ni­schen Spei­cher­ge­räte während der Abwe­sen­heit unter Ver­schluss gehal­ten werden (ver­schließ­ba­rer Schrank).
  • Das Ver­nich­ten von ver­trau­li­chem Schrift­gut darf stets nur mit den dafür vor­ge­se­he­nen Akten­ver­nich­tern erfolgen.
  • Daten­trä­ger, Unter­la­gen oder Aus­dru­cke dürfen nie im Haus­müll ent­sorgt werden.
  • Geräte wie zum Bei­spiel Note­books, mit denen ein Zugriff auf das Fir­men­netz­werk möglich ist, dürfen nie­man­dem zur Nutzung über­las­sen werden.
  • Die Person, die Aus­stat­tung für Mobile Com­pu­ting außer­halb der Räum­lich­kei­ten der Orga­ni­sa­tion nutzt ist für die regel­mä­ßige Siche­rung der Daten verantwortlich.
  • Die Ver­bin­dung mit Kom­mu­ni­ka­ti­ons­net­zen und der Daten­aus­tausch muss die Sen­si­bi­li­tät der Daten widerspiegeln
  • Wenn die Auf­be­wah­rung von Daten­trä­gern nicht in einem ver­schlos­se­nen Behält­nis erfol­gen kann, sind die darauf befind­li­chen Daten ver­schlüs­selt vorzuhalten.

Die Heim- oder Tele­ar­beit muss vorab schrift­lich von der Geschäfts­lei­tung geneh­migt sein, es sei denn, es ist Gefahr in Verzug. Auch private Aus­stat­tun­gen für den Heim- oder Tele­ar­beits­platz, dürfen – sofern nicht vom Unter­neh­men bereit­ge­stellt – nur mit Geneh­mi­gung des IT-Sicher­heits­be­auf­trag­ten genutzt werden. Die Mindest-Kon­fi­gu­ra­tion dieser Geräte ent­spricht den Richt­li­nien 3.1 und 4.1. Der IT Sicher­heits­be­auf­tragte kann zusätz­li­che Kon­fi­gu­ra­ti­ons­ein­stel­lun­gen bzw. Pro­gramme vorgeben.

 

14.1    Rege­lung für die Nutzung von eigenen Geräten (BYOD)

Mit­ar­bei­tern ist nur dann gestat­tet, eigene Geräte für die Erfül­lung Ihrer Arbeit zu nutzen, wenn sie alle fol­gen­den Regeln zusätz­lich einhalten.

  • Update-Stand des Betriebs­sys­tems ist aktuell.
  • Der Daten­spei­cher, welcher in Ver­bin­dung mit Auf­trags­da­ten kommt, ist verschlüsselt.
  • Das Gerät wech­selt in den gesperr­ten Modus, wenn es länger als 5 Minuten nicht genutzt wird.
  • Das Gerät darf, wenn es Auf­trags­da­ten hält, nicht über­las­sen werden.
  • Die Arbeit wird durch eine Soft­ware- oder Hard­ware­fire­wall abgeschirmt.
  • Das Gerät ist nach­weis­lich frei von Schad­soft­ware wie Viren, Tro­ja­nern oder Keyloggern.
  • Fir­men­da­ten werden nicht auf das Gerät kopiert. Falls die tem­po­räre Zwi­schen­spei­che­rung von Daten oder die Spei­che­rung durch Syn­chro­ni­sa­tion (z.B. Outlook) unver­meid­bar ist, werden diese Daten nach ihrem Gebrauch wieder gelöscht.
  • Syn­chro­ni­sa­ti­ons­da­ten, wie sie z.B. bei der Nutzung von Outlook ent­ste­hen, müssen jeder­zeit aus­schließ­lich ver­schlüs­selt gespei­chert sein.
  • Die aus­schließ­li­che Vor­hal­tung von aktu­el­lem Daten­be­stand auf einem pri­va­ten Gerät ist unzu­läs­sig. Sollte eine Aktua­li­sie­rung von Fir­men­da­ten auf einem pri­va­ten Gerät erfol­gen, wird der aktua­li­sierte Daten­be­stand umge­hend in die Ser­ver­um­ge­bung über­führt. Die lokale Instanz wird anschlie­ßend gelöscht.

 

Für mobile End­ge­räte gilt zusätzlich.

  • Alle Festplatte(n) bzw. Per­ma­nent­spei­cher (HDD; SSD, M2,…) des Gerätes müssen ver­schlüs­selt sein.
  • Für die Reak­ti­vie­rung des Gerätes (beim Ein­schal­ten, Ent­sper­ren oder Erwa­chen aus einem Ener­gie­spar­mo­dus wie dem Ruhe­zu­stand oder einem anderen Hyber­na­tion-Modus) wird eine Authen­ti­fi­zie­rung genutzt die zur Zeit der Nutzung als „sicher“ ein­ge­stuft wird.
  • Nach­rich­ten bzw. deren Vor­schau aus dem betrieb­li­chen Umfeld dürfen nicht auf dem Sperr­bild­schirm angezeigt/eingeblendet werden.

 

15 Ent­sor­gung, Ver­nich­tung und Weiterverwendung

Kopien/Fehlausdrucke mit sen­si­blem Inhalt gehören nicht in den Papier­korb. Wich­tige Unter­la­gen mit einem Reißwolf/Papierschredder zu ver­nich­ten oder sie in die dafür bereit­ge­stell­ten Ent­sor­gungs­con­tai­ner zu werfen. Dabei sind etwaige bereichs­spe­zi­fi­schen Auf­be­wah­rungs­fris­ten zu beachten.

 

15.1   Daten­trä­ger und Gerätschaften

Alte oder defekte Gerät­schaf­ten oder Daten­trä­ger (Dis­ket­ten, CDs, DVDs, Bänder, Fest­plat­ten, USB-Spei­cher, SSDs) sind nicht in den Müll zu werfen, sondern sind der IT-Abtei­lung zu übergeben.

 

16 Ver­hal­ten bei IT-Sicherheitsvorfällen

Grund­sätz­lich gilt: Bewah­ren Sie Ruhe! – Handeln Sie über­legt! Stimmen Sie sich intern ab!

Sofern der Ver­dacht, die Wahr­schein­lich­keit oder Gewiss­heit besteht, dass

  • Daten ver­se­hent­lich oder absicht­lich an einen nicht berech­tig­ten Dritten, etwa an einen fal­schen oder unbe­kann­ten E‑Mail-Emp­fän­ger geschickt oder diesem sonst wie zur Kennt­nis gelangt sind oder
  • sich ein Dritter oder Fremder Zugang zu den Sys­te­men des Unter­neh­mens ver­schafft hat
  • IT-Systeme sich unge­wöhn­lich ver­hal­ten, Dateien auf uner­klär­li­che Weise ver­än­dert
    oder gelöscht sind

 

ist dies der Geschäfts­lei­tung unver­züg­lich ohne Ansehen der Ver­ur­sa­chung und der Ver­ant­wort­lich­keit zu melden. Nach § 42a BDSG können Mel­de­pflich­ten bestehen, deren Ver­säum­nis oder schuld­hafte Ver­zö­ge­rung eine etwaige Ord­nungs­wid­rig­keit zur Straf­tat machen. Des Wei­te­ren bestehen mög­li­cher­weise zivil­recht­li­che Infor­ma­ti­ons­pflich­ten. Über Zeit­punkt und Form der Erfül­lung dieser Pflich­ten ent­schei­det die Geschäftsleitung.

Weitere Maß­nah­men dürfen erst auf Ver­an­las­sung Berech­tig­ter getrof­fen werden.

 

Geben Sie keine Infor­ma­tio­nen an Dritte weiter, ohne dass Sie expli­zit dazu auto­ri­siert wurden. Das gilt auch und ins­be­son­dere für Behör­den, für Kunden und Pressevertreter.

 

17 Ver­bes­se­rung der Sicherheit

Diese Richt­li­nie wird regel­mä­ßig auf ihre Aktua­li­tät und Wirk­sam­keit geprüft und ange­passt. Die Geschäfts­lei­tung unter­stützt die stän­dige Ver­bes­se­rung des Sicher­heits­ni­veaus. Alle Mit­ar­bei­ter sind ange­hal­ten, mög­li­che Ver­bes­se­run­gen oder Schwach­stel­len an die Geschäfts­lei­tung und/oder den Daten­schutz­be­auf­trag­ten weiterzugeben.

 

18 Inkraft­tre­ten

Die Richt­li­nie tritt zum ‚Zeit­punkt der Ver­öf­fent­li­chung in Kraft.

 

19 Pri­vat­nut­zungs­ver­ein­ba­rung

Viele Unter­neh­men dulden still­schwei­gend die private Nutzung von
(Mobil-)Telefon, Inter­net und Email. Jedoch kann die private und dienst­li­che Nutzung tech­nisch nicht getrennt werden, so dass auch private Ver­bin­dungs­da­ten vom Unter­neh­men erfasst werden und das Risiko einer (ver­se­hent­li­chen) Offen­le­gung pri­va­ter Daten der Mit­ar­bei­ter besteht. Auf­grund der gesetz­li­chen Daten­schutz­vor­schrif­ten, welche auch für die CIS Com­pu­ter & Inter­net Ser­vices GmbH (im Fol­gen­den „das Unter­neh­men“) gelten, muss des­we­gen gene­rell gelten:

Telefon (Handy und Fest­netz), Inter­net­zu­gang (Fest­ver­bin­dung oder über Mobil­funk), das betrieb­li­che Email-System sowie Spei­cher und Kapa­zi­tä­ten der infor­ma­ti­ons- und tele­kom­mu­ni­ka­ti­ons­tech­ni­schen Geräte dürfen nur zu betrieb­li­chen Zwecken genutzt werden.

Das Unter­neh­men erlaubt jedoch die private Nutzung unter dem Vor­be­halt des jeder­zei­ti­gen Wider­rufs (z.B. aus betrieb­li­chen Gründen oder bei Ver­dacht auf Miss­brauch) unter den nach­fol­gen­den Vor­aus­set­zun­gen:

 

19.1   Telefon und Mobiltelefon

Da das Unter­neh­men Ein­zel­ver­bin­dungs­nach­weise von Tele­fon­ge­sprä­chen aus betrieb­li­chen Gründen wie z.B. der Rech­nungs­kon­trolle benö­tigt, muss sie alle Ver­bin­dungs­da­ten spei­chern und aus­wer­ten können. Pro­to­kol­liert werden i.d.R. Datum, Uhrzeit, Anruf­dauer, Neben­stelle und Ziel­ruf­num­mer bei abge­hen­den bzw. Anru­fer­num­mer und Neben­stelle bei ein­ge­hen­den Anrufen und der Betrag der Gebühren.

Das Unter­neh­men erlaubt unter dem Vor­be­halt des Wider­rufs die gele­gent­li­che private Nutzung von Telefon und Mobil­te­le­fon, falls Sie uns Ihre Ein­wil­li­gung für die Erfas­sung der Ver­bin­dungs­da­ten zur Kon­trolle der Tele­fon­rech­nun­gen geben. Aus Kos­ten­grün­den unter­sagt bleibt die private Nutzung des Mobil­te­le­fons bzw. der Daten­kar­ten aus dem Ausland (Roaming) sowie die Nutzung kos­ten­pflich­ti­ger Mehrwertdienste.

Das Unter­neh­men behält sich vor, die Nutzung betrieb­li­cher mobiler Geräte (Notebooks/ Tablets/Smartphones) durch eine Mobile-Device-Policy oder eine Über­las­sungs­ver­ein­ba­rung kon­kre­ter zu regeln und durch eine Mobile-Device-Manage­ment-Soft­ware zu kon­trol­lie­ren. Details dazu werden vom Unter­neh­men den Mit­ar­bei­tern zur Kennt­nis gegeben. Mobile Fir­men­ge­räte dürfen nicht mit pri­va­ten Geräten gekop­pelt bzw. syn­chro­ni­siert werden. Ein Backup auf pri­va­ten PC ist unter­sagt. Die private Nutzung der Firmen-Apple-ID bzw. des Google-Accounts ist untersagt.

 

19.2   Inter­net­nut­zung

Auch bezüg­lich des Inter­net­ver­kehrs kann eine dienst­li­che und private Nutzung tech­nisch nicht getrennt werden. Das Unter­neh­men pro­to­kol­liert alle Ver­bin­dungs­da­ten im Fir­men­netz, d.h. i.d.R. Datum, Uhrzeit, Rechner- oder Benut­zer­ken­nung, Feh­ler­code, Anzahl der über­tra­ge­nen Bytes, Ziel­adresse des ange­for­der­ten Doku­ments (Web­seite). Die Daten werden im Rahmen des Mach­ba­ren schnellst­mög­lich anony­mi­siert und i.d.R. nach einem Monat gelöscht.

 

Die Pro­to­kolle werden aus­schließ­lich zur Analyse und Kor­rek­tur tech­ni­scher Fehler, Gewähr­leis­tung der Sys­tem­si­cher­heit, Optimierung/Sicherung der Netze und Fest­stel­lung des Nut­zungs­vo­lu­mens ver­wen­det. Davon unbe­nom­men sind Ermitt­lun­gen im Rahmen der Ver­fol­gung straf­ba­rer Handlungen.

 

Daher gestat­tet das Unter­neh­men die private Inter­net­nut­zung unter dem Vor­be­halt des Wider­rufs nur, wenn Sie in die Pro­to­kol­lie­rung auch der pri­va­ten Ver­bin­dungs­da­ten sowie die Fil­te­rung (z.B. Viren, Malware) und die Blo­ckie­rung ein­zel­ner Web­sei­ten (z.B. Fishing- und Malware-Seiten) auch aus den privat über­tra­ge­nen Daten ein­wil­li­gen und sich an die fol­gen­den Nut­zungs­re­geln halten:

 

Die Pri­vat­nut­zung darf nicht betrieb­li­che Belange beein­träch­ti­gen, die Ver­füg­bar­keit der IT-Systeme beein­träch­ti­gen oder zusätz­li­che Kosten verursachen.

  1. Nicht erlaubt ist 
    • die Ver­fol­gung kom­mer­zi­el­ler oder eigener geschäft­li­cher Zwecke
    • der Umgang mit recht­wid­ri­gen Inhal­ten und/oder der Verstoß gegen straf­recht­li­che, urhe­ber­recht­li­che, lizenz‑, marken- oder per­sön­lich­keits­recht­li­che Bestimmungen,
    • die Nutzung oder Ver­brei­tung ero­ti­scher, poli­ti­scher, belei­di­gen­der oder ver­fas­sungs­feind­li­cher Inhalte.

 

19.3   Dienst­li­cher Email-Account

Das Unter­neh­men muss in der Lage sein, im Falle einer uner­war­te­ten Abwe­sen­heit des Mit­ar­bei­ters auf die dienst­li­chen Emails zugrei­fen zu können oder Emails der steu­er­li­chen oder sozial-ver­si­che­rungs­recht­li­chen Betriebs­prü­fung auf deren Anord­nung offen­zu­le­gen. Dies wird uns durch die Daten­schutz­be­stim­mun­gen unter­sagt, sofern der Mit­ar­bei­ter unseren Email-Account auch privat nutzt.

 

Daher ist das Ver­sen­den, Emp­fan­gen und Spei­chern von pri­va­ten Emails unter der Unter­neh­mens-Email-Adresse bzw. auf den Email-Servern des Unter­neh­mens unter­sagt, es sei denn, Sie geben dem Unter­neh­men die Ein­wil­li­gung bei betrieb­li­chem Inter­esse Ein­sicht in Ihr Post­fach zu nehmen und darin befind­li­che Emails zu öffnen und zu nutzen.

 

Um unnö­tige Ein­sicht­nah­men zu ver­mei­den, richten Sie bitte einen Ver­tre­ter ein und akti­vie­ren Sie bei geplan­ter Abwe­sen­heit einen Abwe­sen­heits­as­sis­ten­ten (Auto-Reply) mit der Infor­ma­tion bezüg­lich Ihres Ver­tre­ters. Das Unter­neh­men wird nur dann Ein­sicht in den Email-Account nehmen, wenn Sie nicht nur kurz­zei­tig oder unvor­her­seh­bar abwe­send sind und nur dann, wenn kein Stell­ver­tre­ter mit Zugriffs­be­rech­ti­gung ein­ge­rich­tet oder erreich­bar ist. Zudem darf ein Zugriff bei gericht­li­chen oder behörd­li­chen Anord­nun­gen oder Betriebs­prü­fun­gen oder bei Ermitt­lun­gen bei begrün­de­tem Ver­dacht auf Straf­ta­ten erfolgen.

 

Es wird ein 6‑Augen-Prinzip unter Ein­be­zie­hung des Daten­schutz­be­auf­trag­ten gewähr­leis­tet. Darüber hinaus filtert das Unter­neh­men auto­ma­ti­siert den Email-Verkehr, um die Zustel­lung von z.B. Viren, SPAM und andere als schäd­lich erach­te­ten Inhalte zu unter­drü­cken und um den evtl. Abfluss von Geschäfts­ge­heim­nis­sen zu erken­nen. Die dabei aus­ge­fil­ter­ten Emails werden in einem geson­der­ten Ordner vor­ge­hal­ten, der von der IT-Admi­nis­tra­tion ein­ge­se­hen und ver­wal­tet werden kann. Zudem wird darauf hin­ge­wie­sen, dass das Unter­neh­men gesetz­lich ver­pflich­tet ist, eine rechts­si­chere Doku­men­ta­tion des Email-Ver­kehrs vorzunehmen.

 

Jede ein­ge­hende und aus­ge­hende Email wird daher auf ein unver­än­der­ba­res Spei­cher­me­dium geschrie­ben und 10 Jahre auf­be­wahrt. Sofern im Email-Verkehr auch private Emails ent­hal­ten sein sollten, weisen wir darauf hin, dass auch diese ent­spre­chend gespei­chert und ggf. durch das Unter­neh­men ein­ge­se­hen werden können. Eine rück­wir­kende Löschung von archi­vier­ten Emails ist nicht möglich, ohne die Kon­sis­tenz des Archivs zu beschä­di­gen. Ein rück­wir­ken­der Wider­ruf dieser Ein­wil­li­gung ist daher nicht möglich.

 

19.4   Spei­che­rung pri­va­ter Daten auf Firmengeräten

Auf Fir­men­ge­rä­ten – z.B. PCs, Note­books, Smart­phones, Server-Lauf­wer­ken – dürfen keine pri­va­ten Daten gespei­chert werden, es sei denn, Sie erklä­ren sich mit Fol­gen­dem ein­ver­stan­den. Das Unter­neh­men über­nimmt keine Haftung bei Verlust, Ver­än­de­rung oder Beschä­di­gung von pri­va­ten Daten auf Firmengeräten.

 

Ein Backup wird nicht garan­tiert. Sie erlau­ben dem Unter­neh­men auch auf private Daten zuzu­grei­fen, ins­be­son­dere bei Ver­dacht auf rechts- oder ver­trags­wid­rige Inhalte, und diese im Zweifel zu löschen.

 

Unter­sagt ist die auch nur tem­po­räre Spei­che­rung von Inhal­ten ohne urhe­ber­recht­li­che Nut­zungs­er­laub­nis („Raub­ko­pien“). Je Nutzer dürfen maximal 5 GB pri­va­ter Daten im per­sön­li­chen Lauf­werk oder auf der lokalen Fest­platte des PCs gespei­chert werden. Die Daten werden nach Aus­schei­den des Mit­ar­bei­ters gelöscht, ein Her­aus­ga­be­an­spruch besteht nicht.

 

Auf den Fir­men­ge­rä­ten darf keine private oder aus dem Inter­net her­un­ter­ge­la­dene Soft­ware genutzt werden, die nicht von der IT-Admi­nis­tra­tion frei­ge­ge­ben wurde. Aus­ge­nom­men ist die private Nutzung von Apps auf Smart­phones und Tablet-PCs, sofern sie über den pri­va­ten App-Store-Account erwor­ben und über­wie­gend positiv bewer­tet wurden.

 

Sie müssen so genutzt werden, dass ein Abfluss dienst­li­cher Daten ver­mie­den wird, ins­be­son­dere darf den Apps kein Zugriff auf Kon­takte, Emails und Kalen­der gewährt werden. Ände­run­gen der Sicher­heits-Set­tings des Betriebs­sys­tems (z.B. Jailbreaking/Rooting) sind untersagt.

 

Die Ein­wil­li­gung zur Daten­er­fas­sung und Aus­wer­tung ist frei­wil­lig. Diese können Sie jeder­zeit ver­wei­gern oder nach­träg­lich bei der Per­so­nal­ab­tei­lung schrift­lich wider­ru­fen, ohne dass Ihnen dadurch beruf­li­che Nach­teile ent­ste­hen; in dem Fall erlischt die Erlaub­nis der pri­va­ten Nutzung.

 

Sollte ein Teil der auf­ge­führ­ten Inhalte ganz oder teil­weise unwirk­sam oder undurch­führ­bar sein oder werden, so wird dadurch die Wirk­sam­keit dieses Doku­men­tes nicht berührt. Mit­ar­bei­ter und Geschäfts­füh­rung werden in einem solchen Fall zusam­men­wir­ken, um eine Rege­lung zu finden, die hin­sicht­lich IT-Sicher­heit und Wirt­schaft­lich­keit dem unwirk­sa­men oder undurch­führ­ba­ren Teil entspricht.