IT-Richtlinie für Mitarbeiter gemäß DSGVO

24. Januar 2020

Datenschutz verstehen – IT-Richtlinie für Mitarbeiter gemäß DSGVO

In der Regel stellt jedes Unternehmen den eigenen Mitarbeitern einen gewissen Umfang an IT-Geräten zur Verfügung, damit die täglichen betrieblichen Aufgaben erledigt werden können. Da auf diesen Geräten in nahezu allen Fällen auch immer personenbezogenen Daten i.S.d. europäischen Datenschutz-Grundverordnung (DSGVO) verarbeitet werden, müssen für die Nutzung der betrieblichen IT vom Arbeitgeber gewisse Maßnahmen getroffen werden, um die Vorgaben der DSGVO einzuhalten. Hierzu gehört insbesondere eine Betriebsvereinbarung bzw. Richtlinie als sog. organisatorische Maßnahme, vgl. technisch-organisatorische Maßnahmen (TOM) gem. Art. 32 DSGVO. Durch diese wird die Nutzung der betrieblichen IT datenschutzkonform geregelt und ist für alle Mitarbeiter verbindlich. In unserem Blogbeitrag erfahren Sie, welche Regelungen in einer derartigen Betriebsvereinbarung für die Nutzung der betrieblichen IT enthalten sein sollten.

Inhalt:

Welche IT-Geräte sollten von der Betriebsvereinbarung umfasst sein?
Welche Regelungen sollten bezüglich betrieblicher IT getroffen werden?
Welche Konsequenzen drohen bei einer nicht datenschutzkonformen Regelung und Nutzung der betrieblichen IT?
Wie sollte eine Nutzungsregelung der betrieblichen IT entworfen werden?

Welche IT-Geräte sollten von der Betriebsvereinbarung umfasst sein?

Die Nutzung der IT, z.B. Clients in Form von Stand-Alone-PCs oder Notebooks, Tablets, Smartphones, Wearables und anderen Geräten der Kategorie Internet of Things, aber auch Speichermedien wie USB-Sticks, externe Festplatten oder CDs und DVDs müssen vorab mittels Betriebsvereinbarung bzw. Richtlinie geregelt werden, um wichtige Verhaltensregeln in Zusammenhang mit der Nutzung von IT-Geräten für Beschäftigte aufzustellen. Hierzu gehört insbesondere die Regelung der privaten Nutzungsmöglichkeit von IT-Geräten und der IT als solche. Gefahren ergeben sich insbesondere dann, wenn in diesem Zusammenhang keine Verhaltensregeln aufgestellt werden, da Gefahren wie Viren, Trojaner oder andere Schadsoftware von der betrieblichen IT ferngehalten werden müssen, um insbesondere Datenpannen i.S.v. Art. 33 ff DSGVO zu vermeiden. Eine Richtlinie bzw. Betriebsvereinbarung dieser Art sollte ferner, um der Nachweispflicht für die Einhaltung des Datenschutzes gerecht zu werden (vgl. Art. 5 Abs. 2 DSGVO), zwingend von den Mitarbeitern gegengezeichnet werden. Außerdem sollte die private Nutzung der betrieblichen IT in der Betriebsvereinbarung ausdrücklich untersagt werden.

Welche Regelungen sollten bezüglich betrieblicher IT getroffen werden?

Eine IT-Nutzungsvereinbarung sollte alle wesentlichen Punkte betreffend der unternehmenseigenen IT und der ausgegebenen Endgeräte regeln. Hierzu gehören insbesondere Regelungen zu den Bedingungen der Nutzung von Endgeräten wie Notebooks und PCs, mobilen Endgeräten, Telefonanlagen und Datenträgern. Empfehlenswert ist es, in dieser Vereinbarung auch Regelungen für die Nutzung von Social Media zu treffen. Darüber hinaus sollte auch geregelt sein, wie Geräte der IT, die nicht mehr benötigt werden, entsorgt werden müssen, um eine datenschutzkonforme Vernichtung bzw. Löschung von personenbezogenen Daten zu gewährleisten.

Private Nutzung der geschäftlichen IT

Die Nutzung der IT für private Zwecke sollte untersagt werden. Dies betrifft sowohl die Nutzung der Geräte an sich (PC, Laptop, Smartphone…) als auch das geschäftliche E-Mail-Postfach. Gleiches gilt ebenfalls für die Nutzung des geschäftlichen Internetzugangs. Sollte die private Nutzung von bei vereinzelten Mitarbeitern notwendig sein, vereinbaren Sie eine Sonderregelung, welche datenschutzkonform gestaltet worden ist.

Umgang mit mobiler IT

Arbeitgeber sollten mit Ihren Mitarbeitern vor dem Hintergrund der Datenschutz-Grundverordnung und dem BSI Standard folgende Punkte vereinbaren:

Verbot der Verwendung von privaten Datenträgern/ Cloudspeichern für geschäftliche Daten.
Zentraler Freigabeprozess für Installationen von Software oder Apps.
Meldeprozess für Diebstahl oder Verlust eines Gerätes.
Gerade für Außendienst-Mitarbeiter sollten Sichtschutz-Maßnahmen getroffen werden.

Passwörter Mitarbeiter

Zusätzlich sollte ein Leitfaden oder zumindest eine Orientierungshilfe zur Vergabe von persönlichen Passwörtern enthalten sein. Hierzu können folgende Punkte herangezogen werden:

Verwenden sie nie das gleiche Passwort für mehrere Dienste.
Verwenden sie einen Passwort-Manager ( z.B. LastPass).
Verwenden sie Kennwörter, die mindestens 8 Zeichen haben. Ein Passwort muss aus einem Großbuchstaben, Kleinbuchstaben, Ziffer und einem Sonderzeichen bestehen um halbwegs sicher zu sein.
Trivial-Passwörter sind ungeeignet. Sie können von Anderen leicht beim Beobachten der Passworteingabe erkannt werden. Hierzu zählen auch Geburtstage.
Überlegen sie sich einen Satz und verwenden sie nur die Anfangsbuchstaben für ihr Passwort.
Geben sie ihr Passwort an niemanden weiter, auch nicht an ihre Arbeitskollegen.

Welche Konsequenzen drohen bei einer nicht datenschutzkonformen Regelung und Nutzung der betrieblichen IT?

Falls die gesetzlichen Vorgaben der DSGVO bezüglich der IT-Nutzung und einer entsprechenden Regelung nicht berücksichtigt werden, drohen Bußgelder in Höhe von bis zu 10 bzw. 20 Mio. Euro oder von bis 2 bzw. 4 Prozent des gesamten weltweit erzielten Jahresumsatzes, je nachdem, welcher der Beträge höher ist, vgl. Art. 83 Abs. 4 und Abs. 5 DSGVO.

Wie sollte eine Nutzungsregelung der betrieblichen IT entworfen werden?

Ihr Datenschutzbeauftragter ist der richtige Ansprechpartner für den Entwurf einer datenschutzkonformen Nutzungsregelung für die IT Ihres Unternehmens, ähnlich wie in der Konstellation der Nutzung des betrieblichen Internets Ihres Unternehmens durch Ihre Mitarbeiter. Der Datenschutzbeauftragte entwirft eine neue und datenschutzkonforme IT-Nutzungsvereinbarung in enger Zusammenarbeit mit der IT-Leitung Ihres Unternehmens. In der IT-Nutzungsvereinbarung sollten wesentliche Regelungen zum Umgang mit IT-Geräten, wie z.B. Notebooks, PCs oder Smartphones enthalten sein. Aber auch Datenträger, Social Media, Telefonanlagen und weiteren essentielle IT-Geräte, auf denen personenbezogene Daten verarbeitet werden, sollte in die Betriebsvereinbarung einbezogen werden. Die Experten von Keyed unterstützen Sie gerne bei der Erstellung einer entsprechenden IT-Nutzungsvereinbarung für Ihr Unternehmen.

Sebastian Feldmann

Herr Sebastian Feldmann ist als Datenschutzbeauftragter und Datenschutzauditor (zert. DSB & Auditor beim TÜV®), sowie als Consultant für Datenschutz bei der Keyed GmbH tätig. Als externer DSB, Auditor und Consultant für Datenschutz unterstützt er europaweit Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. In seiner ständigen Betreuung stehen Konzerne, kleine und mittelgroße Unternehmen, sowie Start-ups. Herr Feldmann zeichnet sich als Wirtschaftsjurist sowohl durch seine ökonomische als auch juristische Expertise im Datenschutzrecht aus.

„Um die Anforderungen von DSGVO, BDSG und weitere Rechtsvorschriften für unsere Kunden bestmöglich umzusetzen, ist eine stetige Fortbildung und ein ständiger Austausch mit den Landesdatenschutzbehörden – so wie wir es praktizieren – enorm wichtig.“

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Smartlook
Anbieter	Smartsupp.com s.r.o.
Zweck	Dieses Tool erfasst Bewegungen auf den beobachteten Webseiten in sog. Heatmaps. Damit können wir anonymisiert erkennen, wo Besucher klicken und wie weit sie scrollen. Dadurch können wir unsere Webseite besser und kundenfreundlicher gestalten.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.smartlook.com/de/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz

IT-Richtlinie für Mitarbeiter gemäß DSGVO

Inhalt:

Welche IT-Geräte sollten von der Betriebsvereinbarung umfasst sein?

Welche Regelungen sollten bezüglich betrieblicher IT getroffen werden?

Private Nutzung der geschäftlichen IT

Umgang mit mobiler IT

Passwörter Mitarbeiter

Welche Konsequenzen drohen bei einer nicht datenschutzkonformen Regelung und Nutzung der betrieblichen IT?

Wie sollte eine Nutzungsregelung der betrieblichen IT entworfen werden?

Blog

Was ist die Auftragsverarbeitung? Definition & Hinweise

ePrivacy-Verordnung

Ein Jahr DSGVO – Das ist bisher passiert

Wir verwenden Cookies

Akzeptieren
Name	Google Analytics
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Google Analytics zur Analyse der Websitebenutzung durch Nutzer. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden. In der Regel werden die Cookies von Google für eine Dauer von 2 Jahren gespeichert.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Hubspot
Anbieter	Hubspot Ltd.
Zweck	Hierbei handelt es sich um eine integrierte Software-Lösung, mit der wir verschiedene Aspekte unseres Online Marketings abdecken. Dazu zählen unter anderem: E-Mail-Marketing (Newsletter sowie automatisierte Mailings, bspw. zur Bereitstellung von Downloads), Social Media Publishing & Reporting, Reporting (z.B. Traffic-Quellen, Zugriffe, etc. …), Kontaktmanagement (z.B. Nutzersegmentierung & CRM), Landing Pages und Kontaktformulare.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://legal.hubspot.com/privacy-policy