IT-Richtlinie für Mitarbeiter gemäß DSGVO

Datenschutz verstehen – IT-Richtlinie für Mitarbeiter gemäß DSGVO

In der Regel stellt jedes Unternehmen den eigenen Mitarbeitern einen gewissen Umfang an IT-Geräten zur Verfügung, damit die täglichen betrieblichen Aufgaben erledigt werden können. Da auf diesen Geräten in nahezu allen Fällen auch immer personenbezogenen Daten i.S.d. europäischen Datenschutz-Grundverordnung (DSGVO) verarbeitet werden, müssen für die Nutzung der betrieblichen IT vom Arbeitgeber gewisse Maßnahmen getroffen werden, um die Vorgaben der DSGVO einzuhalten. Hierzu gehört insbesondere eine Betriebsvereinbarung bzw. Richtlinie als sog. organisatorische Maßnahme, vgl. technisch-organisatorische Maßnahmen (TOM) gem. Art. 32 DSGVO. Durch diese wird die Nutzung der betrieblichen IT datenschutzkonform geregelt und ist für alle Mitarbeiter verbindlich. In unserem Blogbeitrag erfahren Sie, welche Regelungen in einer derartigen Betriebsvereinbarung für die Nutzung der betrieblichen IT enthalten sein sollten. 

 

Welche IT-Geräte sollten von der Betriebsvereinbarung umfasst sein?

Die Nutzung der IT, z.B. Clients in Form von Stand-Alone-PCs oder Notebooks, Tablets, Smartphones, Wearables und anderen Geräten der Kategorie Internet of Things, aber auch Speichermedien wie USB-Sticks, externe Festplatten oder CDs und DVDs müssen vorab mittels Betriebsvereinbarung bzw. Richtlinie geregelt werden, um wichtige Verhaltensregeln in Zusammenhang mit der Nutzung von IT-Geräten für Beschäftigte aufzustellen. Hierzu gehört insbesondere die Regelung der privaten Nutzungsmöglichkeit von IT-Geräten und der IT als solche. Gefahren ergeben sich insbesondere dann, wenn in diesem Zusammenhang keine Verhaltensregeln aufgestellt werden, da Gefahren wie Viren, Trojaner oder andere Schadsoftware von der betrieblichen IT ferngehalten werden müssen, um insbesondere Datenpannen i.S.v. Art. 33 ff DSGVO zu vermeiden. Eine Richtlinie bzw. Betriebsvereinbarung dieser Art sollte ferner, um der Nachweispflicht für die Einhaltung des Datenschutzes gerecht zu werden (vgl. Art. 5 Abs. 2 DSGVO), zwingend von den Mitarbeitern gegengezeichnet werden. Außerdem sollte die private Nutzung der betrieblichen IT in der Betriebsvereinbarung ausdrücklich untersagt werden.

 

Welche Regelungen sollten bezüglich betrieblicher IT getroffen werden?

Eine IT-Nutzungsvereinbarung sollte alle wesentlichen Punkte betreffend der unternehmenseigenen IT und der ausgegebenen Endgeräte regeln. Hierzu gehören insbesondere Regelungen zu den Bedingungen der Nutzung von Endgeräten wie Notebooks und PCs, mobilen Endgeräten, Telefonanlagen und Datenträgern. Empfehlenswert ist es, in dieser Vereinbarung auch Regelungen für die Nutzung von Social Media zu treffen. Darüber hinaus sollte auch geregelt sein, wie Geräte der IT, die nicht mehr benötigt werden, entsorgt werden müssen, um eine datenschutzkonforme Vernichtung bzw. Löschung von personenbezogenen Daten zu gewährleisten.

Private Nutzung der geschäftlichen IT

Die Nutzung der IT für private Zwecke sollte untersagt werden. Dies betrifft sowohl die Nutzung der Geräte an sich (PC, Laptop, Smartphone…) als auch das geschäftliche E-Mail-Postfach. Gleiches gilt ebenfalls für die Nutzung des geschäftlichen Internetzugangs. Sollte die private Nutzung von bei vereinzelten Mitarbeitern notwendig sein, vereinbaren Sie eine Sonderregelung, welche datenschutzkonform gestaltet worden ist.

Umgang mit mobiler IT

Arbeitgeber sollten mit Ihren Mitarbeitern vor dem Hintergrund der Datenschutz-Grundverordnung und dem BSI Standard folgende Punkte vereinbaren:

  • Verbot der Verwendung von privaten Datenträgern/ Cloudspeichern für geschäftliche Daten.
  • Zentraler Freigabeprozess für Installationen von Software oder Apps.
  • Meldeprozess für Diebstahl oder Verlust eines Gerätes.
  • Gerade für Außendienst-Mitarbeiter sollten Sichtschutz-Maßnahmen getroffen werden.

Passwörter Mitarbeiter

Zusätzlich sollte ein Leitfaden oder zumindest eine Orientierungshilfe zur Vergabe von persönlichen Passwörtern enthalten sein. Hierzu können folgende Punkte herangezogen werden:

  • Verwenden sie nie das gleiche Passwort für mehrere Dienste.
  • Verwenden sie einen Passwort-Manager ( z.B. LastPass).
  • Verwenden sie Kennwörter, die mindestens 8 Zeichen haben. Ein Passwort muss aus einem Großbuchstaben, Kleinbuchstaben, Ziffer und einem Sonderzeichen bestehen um halbwegs sicher zu sein.
  • Trivial-Passwörter sind ungeeignet. Sie können von Anderen leicht beim Beobachten der Passworteingabe erkannt werden. Hierzu zählen auch Geburtstage.
  • Überlegen sie sich einen Satz und verwenden sie nur die Anfangsbuchstaben für ihr Passwort.
  • Geben sie ihr Passwort an niemanden weiter, auch nicht an ihre Arbeitskollegen.
 

Welche Konsequenzen drohen bei einer nicht datenschutzkonformen Regelung und Nutzung der betrieblichen IT?

Falls die gesetzlichen Vorgaben der DSGVO bezüglich der IT-Nutzung und einer entsprechenden Regelung nicht berücksichtigt werden, drohen Bußgelder in Höhe von bis zu 10 bzw. 20 Mio. Euro oder von bis 2 bzw. 4 Prozent des gesamten weltweit erzielten Jahresumsatzes, je nachdem, welcher der Beträge höher ist, vgl. Art. 83 Abs. 4 und Abs. 5 DSGVO. 

 

Wie sollte eine Nutzungsregelung der betrieblichen IT entworfen werden?

Ihr Datenschutzbeauftragter ist der richtige Ansprechpartner für den Entwurf einer datenschutzkonformen Nutzungsregelung für die IT Ihres Unternehmens, ähnlich wie in der Konstellation der Nutzung des betrieblichen Internets Ihres Unternehmens durch Ihre Mitarbeiter. Der Datenschutzbeauftragte entwirft eine neue und datenschutzkonforme IT-Nutzungsvereinbarung in enger Zusammenarbeit mit der IT-Leitung Ihres Unternehmens. In der IT-Nutzungsvereinbarung sollten wesentliche Regelungen zum Umgang mit IT-Geräten, wie z.B. Notebooks, PCs oder Smartphones enthalten sein. Aber auch Datenträger, Social Media, Telefonanlagen und weiteren essentielle IT-Geräte, auf denen personenbezogene Daten verarbeitet werden, sollte in die Betriebsvereinbarung einbezogen werden. Die Experten von Keyed unterstützen Sie gerne bei der Erstellung einer entsprechenden IT-Nutzungsvereinbarung für Ihr Unternehmen.

Autor

Herr Sebastian Feldmann ist als Datenschutzbeauftragter (DSB) und Consultant für Datenschutz bei der Keyed GmbH tätig. Als externer DSB und Consultant für Datenschutz unterstützt er bundesweit Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. In seiner ständigen Betreuung stehen Konzerne, kleine und mittelgroße Unternehmen, sowie Startups. Herr Feldmann zeichnet sich als Wirtschaftsjurist sowohl durch seine ökonomische als auch juristische Expertise im Datenschutzrecht aus.

„Um die Anforderungen von DSGVO, BDSG und weitere Rechtsvorschriften für unsere Kunden bestmöglich umzusetzen, ist eine stetige Fortbildung und ein ständiger Austausch mit den Landesdatenschutzbehörden – so wie wir es praktizieren – enorm wichtig.“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

Persönliche Angaben

Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

Zusätzliche Informationen

Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

 
ANGEBOT ERHALTEN