1. Geltungsbereich und Zweckbestimmung
Diese Arbeitsanweisung regelt die Grundsätze für den Zugang und die Nutzung der Internetdienste des Unternehmens und gilt für alle Beschäftigten, auch für unternehmensfremde Beschäftigte (z.B. Leiharbeiter oder Beschäftigte von Fremdfirmen die bei dem Unternehmen tätig sind).
Ziel dieser Vereinbarung ist die Herstellung der Transparenz der Nutzungsbedingungen und der Maßnahmen zur Protokollierung und Kontrolle, die Sicherung der Persönlichkeitsrechte der Beschäftigten und die Gewährleistung des Schutzes ihrer personenbezogenen Daten.
2. Organisatorische Grundsätze
(1) Die elektronischen Kommunikationssysteme stehen den Beschäftigten als Arbeitsmittel im Rahmen der Aufgabenerfüllung zur Verfügung.
(2) Die Absicherung des Zuganges zum Internet wird durch eine Firewall des Unternehmens sichergestellt. Die Installation und Konfiguration von Web-Browsern, die IT-fachliche Betreuung der Beschäftigten sowie die Administration ihrer Internetberechtigungen erfolgt durch die IT Abteilung.
(3) Arbeitsplätze mit einem Internetzugang müssen wirksam durch Virenschutzprogramme vor Schadsoftware gesichert werden. Diese Programme dürfen durch Beschäftigte nicht eigenständig manipuliert oder deaktiviert werden. Gleiches gilt für den Einsatz von Filterprogrammen, die den Zugriff auf Angebote mit rechtswidrigen oder strafbaren Inhalten sperren, sowie für alle Sicherheitsprogramme und -einstellungen.
Ansprechpartner im Falle einer Störung: IT-Abteilung 06651 980 991
3. Zulässigkeit der Nutzung
(1) Die private Nutzung ist unter dem Vorbehalt des Widerrufs in geringfügigem Umfang ist zulässig, soweit die dienstliche Aufgabenerfüllung sowie die Verfügbarkeit des IT-Systems für dienstliche Zwecke nicht beeinträchtigt werden und die private Nutzung keine negativen Auswirkungen auf die Bewältigung der Arbeitsaufgaben hat.
(2) Das Abrufen von Informationen oder Inhalten, die für das Unternehmen Kosten verursachen, ist für den Privatgebrauch unzulässig. Im Rahmen der privaten Nutzung dürfen keine kommerziellen oder sonstigen geschäftliche Zwecke verfolgt werden.
(3) Private E-Mails dürfen grundsätzlich nur über die Nutzung Webmail-Dienste und ausschließlich in den Pausenzeiten versandt und empfangen werden. Über die dienstlichen E-Mail-Adressen eingehende private E-Mails sind wie private schriftliche Post zu behandeln. Eingehende private, aber fälschlich als Dienstpost behandelte E-Mails sind den betreffenden Beschäftigten unverzüglich nach Bekanntwerden ihres privaten Charakters zur alleinigen Kenntnis zu geben. Private E-Mails sind von Beschäftigten als solche zu kennzeichnen.
(4) Eine Unterscheidung von dienstlicher und privater Nutzung auf technischem Weg erfolgt nicht. Die Protokollierung und Kontrolle gemäß Nr. 7 und 8 dieser Vereinbarung erstrecken sich auch auf den Bereich der privaten Nutzung des Internetzugangs. Die Beschäftigten erklären durch die private Nutzung des Internetzugangs seine Einwilligung in die Protokollierung und Kontrolle Nr. 7 und 8 dieser Vereinbarung für den Bereich der privaten Nutzung.
(5) Das Abrufen und Ausführen von Dateien oder Programmen aus und im Internet ist nur von und bei den vom IT-Verantwortlichen bekannt gegebenen Anbietern gestattet, soweit deren Inhalte für den dienstlichen Gebrauch benötigt werden. Urheberrechtlich geschützte Dateien, für die keine Lizenz vorhanden ist, dürfen nicht abgerufen und gespeichert werden. Ermöglicht die Berechtigung der Beschäftigten das Abrufen und die Installation von Treibern, Setup-Programmen oder ähnlicher systemeingreifender Software, ist das vorher vom zuständigen IT-Verantwortlichen genehmigen zu lassen. Das Ausführen von aktiven Inhalten (z.B. Makros) in heruntergeladenen Dokumenten ist nur bei als vertrauenswürdig gekennzeichneten Anbietern gestattet. Die Einstellungen in den zugehörigen Anwendungen werden vom IT-Verantwortlichen vorgenommen.
(6) Das Abrufen von für das Unternehmen kostenverursachenden Informationen oder Inhalten aus dem Internet ist bei der zuständigen Abteilung zu beantragen und bedarf der Genehmigung durch die Geschäftsleitung.
(7) Ferngesteuerte Zugriffe oder Steuerungen von Rechnersystemen über sogenannte Remote-Anwendungen bzw. Terminal-Emulationen sind grundsätzlich nicht zugelassen. Sollte dienstlicher Bedarf für Remote-Zugriffe bzw. Terminal-Emulationen bestehen, sind diese bei dem IT-Verantwortlichen unter Angabe der Gründe zu beantragen.
(8) Die Internet-Telefonie und Bildtelefonie sind grundsätzlich nicht zugelassen. Ausnahmen für den dienstlichen Gebrauch sind beim IT-Verantwortlichen zu beantragen und nur mit der dafür zur Verfügung gestellten Software zulässig.
(9) Mit Beendigung des Beschäftigungsverhältnisses steht die E-Mail-Adresse der jeweiligen Beschäftigten nicht mehr für diesen zur weiteren Nutzung zur Verfügung. Die Beschäftigten sind angehalten, ihre außerbetrieblichen Kommunikationspartner über diesen Umstand zu informieren. Dienstliche E-Mails werden an zur Aufrechterhaltung des Dienstbetriebes zuständige Beschäftigte weitergeleitet. Ist ein privater Charakter des Inhaltes dieser weitergeleiteten E-Mail ersichtlich, ist die E-Mail ohne weitere Kenntnisnahme des Inhaltes durch die jeweiligen Beschäftigten zu löschen. Eine Weiterleitung erfolgt nicht.
(10) Aus Wirtschaftlichkeits- oder IT-Sicherheitsgründen kann die Internetnutzung beschränkt werden. Dies kann beispielsweise folgendes beinhalten:
- Sperrung bestimmter Dienste der Internetnutzung,
- Reduzierung auf bestimmte Internetanschlüsse,
- Beschränkung des Massendatentransfers oder des Speicherplatzes.
4. Verhaltensgrundsätze
(1) Grundsätzlich gelten die Regelungen der „Arbeitsanweisung für die Nutzung des IT-Systems“ des Unternehmens.
(2) Die Beschäftigten haben jede Nutzung des Internets zu unterlassen, die geeignet ist, den Interessen des Unternehmens oder dessen Ansehen in der Öffentlichkeit zu schaden, die Sicherheit des Unternehmensnetzes zu beeinträchtigen oder die gegen geltende Rechtsvorschriften und die „Arbeitsanweisung für die Nutzung des IT-Systems“ verstößt. Dies gilt vor allem für
- das Abrufen oder Verbreiten von Inhalten, die gegen persönlichkeitsrechtliche, urheberrechtliche oder strafrechtliche Bestimmungen verstoßen,
- das Abrufen oder Verbreiten von beleidigenden, verleumderischen, verfassungsfeindlichen, rassistischen, sexistischen, gewaltverherrlichenden oder pornografischen Äußerungen oder Abbildungen,
- die Nutzung des Internets zur Erledigung privater Rechtsgeschäfte, insbesondere die Nutzung von Zahlungsfunktionen (Onlinebanking, Internetversandhandel, eBay o.ä.) oder
- die Nutzung von Online-Spieleplattformen.
Abrufen und Aufrufen heißt auf im Netz vorhandene Informationen mit IT-Systemen des Unternehmens zugreifen.
Verbreiten heißt einer Vielzahl von Personen oder einem unbestimmten Personenkreis über Internet-Dienste unter Verwendung von IT-Systemen des Unternehmens anbieten.
Anbieten ist nur der für Presse- und Öffentlichkeitsarbeit zuständigen Stelle oder der nach der Geschäftsverteilung für Veröffentlichungen zuständigen Stelle bzw. nur mit deren Genehmigung gestattet.
(3) Zur Überprüfung der Einhaltung der Regelungen dieser Vereinbarung werden regelmäßige nicht-namensbezogene Stichproben (ohne Identifizierungsmerkmale) in den Protokolldateien durchgeführt (vgl. Nr. 7 Abs. 4). Ergänzend wird eine Übersicht über das jeweilige Gesamtvolumen des ein- und ausgehenden Datenverkehrs erstellt.
(4) Die bei der Nutzung der Internetdienste anfallenden personenbezogenen Daten werden nicht zur Leistungs- und Verhaltenskontrolle verwendet. Sie unterliegen der Zweckbindung dieser Vereinbarung und den einschlägigen datenschutzrechtlichen Vorschriften.
5. Information und Schulung der Beschäftigten
Die Beschäftigten werden durch den Datenschutzbeauftragten über die besonderen Datensicherheitsprobleme bei der Nutzung der elektronischen Kommunikationssysteme unterrichtet. Sie werden für den sicheren und wirtschaftlichen Umgang mit diesen Systemen qualifiziert und über die einschlägigen Rechtsvorschriften informiert.
6. Verantwortlichkeit
Die Verantwortung für die Beachtung der vorgenannten Festlegungen und Hinweise obliegt den zuständigen Stellen sowie den jeweiligen Beschäftigten. Diese haben insbesondere auch sicherzustellen, dass eine Nutzung des Internets durch Unbefugte vom Arbeitsplatz aus nicht erfolgt.
Hinweis: Trotz des Einsatzes von Firewall oder Systemen und Software zum Schutz vor Schadsoftware ist das Ausspähen und Manipulieren von Daten durch Dritte nicht mit absoluter Sicherheit ausgeschlossen.
7. Protokollierung und Kontrolle
(1) Alle eingehenden E-Mails werden durch eine Firewall, einen Spam-Filter sowie Virenscanner geprüft. Einzelheiten der Filterung sind unter folgender Adresse einsehbar:
(2) Die Verkehrsdaten für den Internetzugang werden mit Angaben von
- Datum / Uhrzeit,
- Adressen von Absender und Empfänger (z.B. IP-Adressen)
- Benutzeridentifikation (z.B. bei der Verwendung eines Proxy-Servers)
- der aufgerufenen Webseiten und
- übertragener Datenmenge
protokolliert.
(3) Die Protokolle nach Absatz 2 werden ausschließlich zu Zwecken der
- Analyse und Korrektur technischer Fehler
- Gewährleistung der Systemsicherheit
- Optimierung des Netzes
- statistischen Feststellung des Gesamtnutzungsvolumens
- Stichprobenkontrollen gemäß Absatz 4 und
- Auswertungen gemäß Nr. 8 dieser Vereinbarung (Missbrauchskontrolle)
verwendet.
(4) Die Protokolle werden durch einen von der Geschäftsleitung schriftlich beauftragten Mitarbeiter regelmäßig stichprobenhaft hinsichtlich der aufgerufenen Websites, aber nicht personenbezogen, gesichtet und in aggregierter Form, also ohne Nennung von Namen und anderen Identifizierungsmerkmalen, ausgewertet. Die Auswertung der Übersicht des Gesamtdatenvolumens erfolgt monatlich ebenfalls durch diesen Mitarbeiter. Der Datenschutzbeauftragte wird beteiligt, wenn er dies wünscht.
(5) Der Zugriff auf die Protokolldateien gemäß Absatz 3 ist auf den von der Geschäftsleitung beauftragten Mitarbeiter begrenzt. Dieser hat eine entsprechende Verpflichtungserklärung zum Datenschutz unterschrieben. Darüber hinaus ist er hinsichtlich der Einhaltung des Fernmeldegeheimnisses und des Datenschutzes auf die strafrechtlichen Konsequenzen bei Verstößen hingewiesen worden.
(6) Die Protokolldaten werden nach 30 Tagen automatisch gelöscht.
8. Maßnahmen bei Verstößen / Missbrauchsregelung
(1) Bei Verdacht auf missbräuchliche oder unerlaubte Nutzung des Internetzugangs (hervorgerufen beispielsweise durch ein erhöhtes Gesamtdatenvolumen oder auch die Kenntnisnahme nicht zulässiger im Internet angebotener Inhalte) gemäß Nr. 3 und 4 dieser Vereinbarung durch einen Mitarbeiter erfolgt unter Beteiligung des Datenschutzbeauftragten eine Überprüfung des Datenverkehrs durch die Geschäftsleitung und dem nach Nr. 7 Abs. 4 beauftragten Mitarbeiter. Sind weitere Untersuchungsmaßnahmen (z.B. Offenlegung der IP-Adresse des benutzten Arbeitsplatzes oder weitere Überprüfungen) notwendig, werden diese von den in Satz 1 genannten Personen veranlasst. Auf der Basis dieser Untersuchung wird ein Bericht erstellt, der dem Betroffenen ausgehändigt wird. Dieser ist anschließend dazu zu hören.
(2) Im übrigen gelten die einschlägigen Regelungen des Disziplinar- bzw. Tarifrechts.
(3) Ist aufgrund der stichprobenhaften nicht-personenbezogenen Kontrollen bzw. der Auswertung der Übersicht des Datenvolumens eine nicht mehr tolerierbare Häufung von offensichtlich privater Nutzung des Internetzugangs zu erkennen, so werden innerhalb von einer zu setzenden Frist von zwei Wochen nach der Anhörung die Stichproben weiterhin nicht-personenbezogen durchgeführt. Ergeben diese Stichproben bzw. die Auswertung der Übersicht des Datenvolumens keine Änderung im Nutzungsverhalten, so werden die Protokolle der folgenden zwei Wochen durch die in Absatz 1 genannten Personen stichprobenhaft personenbezogen ausgewertet. Hierbei wird wie im Falle des Verdachts einer missbräuchlichen Nutzung (Abs. 1) vorgegangen. Zu den Verfahren nach Satz 1 und Satz 2 erfolgt eine entsprechende vorherige schriftliche Mitteilung an alle Beschäftigten, so dass deren Kenntnisnahme über die Maßnahmen gewährleistet werden kann.
(4) Ein Verstoß gegen diese Arbeitsanweisung kann neben den arbeitsrechtlichen Folgen auch strafrechtliche Konsequenzen haben.
(5) Die Geschäftsleitung behält sich vor, bei Verstößen gegen diese Vereinbarung die private Nutzung des Internetzugangs im Einzelfall zu untersagen.
9. Grundsätze für eine Nutzung unternehmensfremder Kommunikationssysteme
(1) Diese Vereinbarung gilt auch für Beschäftigte, die ihre Tätigkeiten direkt bei Kunden des Unternehmens ausführen. In diesen Fällen sind für eine zulässige Nutzung des Internetzuganges vorrangig die Regelungen des Kunden zu beachten.
(2) Die Regelungen in
- Nr. 2 Abs. 3 (Schutz vor Schadsoftware, Manipulation/Deaktivierung von Programmen und weiteres),
- Nr. 3 Abs.2 (Abrufen von kostenpflichtigen Informationen und weiteres) und Abs. 5 bis 9 (Umfang der erlaubten Abrufe, Speicherung und Nutzung) sowie
- Nr. 4 Abs. 2 (Unterlassung der Nutzung zum Schaden des Unternehmens und weitere)
bleiben unberührt.
10. Änderungen und Erweiterungen
(1) Geplante Änderungen und Erweiterungen an den elektronischen Kommunikationssystemen werden der Geschäftsleitung und dem Datenschutzbeauftragten mitgeteilt. Es wird dann geprüft, ob und inwieweit sie sich auf die Regelungen dieser Vereinbarung auswirken. Notwendige Änderungen oder Erweiterungen zu dieser Vereinbarung können im Einvernehmen in einer ergänzenden Regelung vorgenommen werden.
11. Inkrafttreten
(1) Diese Vereinbarung tritt mit sofortiger Wirkung in Kraft.