Nutzungsvereinbarung für IT- Systeme 

Nutzungsvereinbarung für IT- Systeme 

 

  1. Geltungsbereich und Zweckbestimmung

Diese Nutzugsvereinbarung regelt die Grundsätze für den Zugang und die Nutzung der Endgeräte bei der 

Karl Streit GmbH & Co.KG
Ferdinand-Reiß-Straße 6
77756 Hausach 

im Folgenden als „wir“, „uns“ oder „das Unternehmen“ bezeichnet. 

gilt für alle Beschäftigten, auch für unternehmensfremde Beschäftigte (z.B. Leiharbeiter oder Beschäftigte von Fremdfirmen die bei uns im Unternehmen tätig sind. 

Ziel dieser Vereinbarung ist die Herstellung der Transparenz der Nutzungsbedingungen und der Maßnahmen zur Protokollierung und Kontrolle, die Sicherung der Persönlichkeitsrechte der Beschäftigten und die Gewährleistung des Schutzes ihrer personenbezogenen Daten. 

 

  1. Organisatorische Grundsätze

(1) Die IT-Systeme (Endgeräte, Netzwerk, Software) stehen den Beschäftigten als Arbeitsmittel im Rahmen der Aufgabenerfüllung zur Verfügung. 

(2) Die Absicherung des Zuganges zum Internet wird durch eine Firewall des Unternehmens sichergestellt. Die Installation, Konfiguration, Fernüberwachung und Problemanalyse von Netzwerken, Endgeräten und Software, sowie die IT-fachliche Betreuung der Beschäftigten und die Administration ihrer Berechtigungen erfolgt durch die EDV- Abteilung. 

(3) Arbeitsplätze mit einem Internetzugang müssen wirksam durch Virenschutzprogramme vor Schadsoftware gesichert werden. Diese Programme dürfen durch Beschäftigte nicht eigenständig manipuliert oder deaktiviert werden. Gleiches gilt für den Einsatz von Filterprogrammen, die den Zugriff auf Angebote mit rechtswidrigen oder strafbaren Inhalten sperren, sowie für alle Sicherheitsprogramme und -einstellungen. 

 

  1. Zulässigkeit der Nutzung

(1) Die private Nutzung des Internetanschlusses und der Endgeräte ist unter dem Vorbehalt des Widerrufs in geringfügigem Umfang zulässig, soweit die dienstliche Aufgabenerfüllung sowie die Verfügbarkeit des IT-Systems für dienstliche Zwecke nicht beeinträchtigt werden und die private Nutzung keine negativen Auswirkungen auf die Bewältigung der Arbeitsaufgaben hat. 

(2) Das Abrufen von Programmen, Informationen oder Inhalten, die für das Unternehmen Kosten verursachen, ist für den Privatgebrauch unzulässig. Im Rahmen der privaten Nutzung dürfen keine kommerziellen oder sonstigen geschäftliche Zwecke verfolgt werden. 

 

(3) Private Kommunikation darf grundsätzlich nur über die Nutzung von browserbasierten Web-Diensten oder über duplizierte Programme erfolgen. Über die dienstlichen Kommunikationsmittel eingehende private Nachrichten sind wie private schriftliche Post zu behandeln. Eingehende private, aber fälschlich als Dienstpost behandelte Nachrichten sind den betreffenden Beschäftigten unverzüglich nach Bekanntwerden ihres privaten Charakters zur alleinigen Kenntnis zu geben. Private Nachrichten sind von Beschäftigten als solche zu kennzeichnen. 

(4) Eine Unterscheidung von dienstlicher und privater Nutzung auf technischem Weg erfolgt nicht. Die Protokollierung und Kontrolle gemäß Nr. 7 und 8 dieser Vereinbarung erstrecken sich auch auf den Bereich der privaten Nutzung der IT-Systeme. Die Beschäftigten erklären durch die private Nutzung ihre Einwilligung in die Protokollierung und Kontrolle Nr. 7 und 8 dieser Vereinbarung für den Bereich der privaten Nutzung. 

(5) Daten, die personenbezogene oder andere sensible Daten beinhalten, dürfen nicht unverschlüsselt übertragen werden. 

(6) Das Abrufen und Ausführen von Dateien oder Programmen aus und im Internet ist nur von den vom IT-Verantwortlichen bekannt gegebenen Anbietern gestattet, soweit deren Inhalte für den dienstlichen Gebrauch benötigt werden. Urheberrechtlich geschützte Dateien, für die keine Lizenz vorhanden ist, dürfen nicht abgerufen und gespeichert werden. Ermöglicht die Berechtigung der Beschäftigten das Abrufen und die Installation von Treibern, Setup-Programmen oder ähnlicher systemeingreifender Software, ist das vorher vom zuständigen IT-Verantwortlichen genehmigen zu lassen. Das Ausführen von aktiven Inhalten (z.B. Makros) in heruntergeladenen Dokumenten ist nur bei als vertrauenswürdig gekennzeichneten Anbietern gestattet. Die Einstellungen in den zugehörigen Anwendungen werden vom IT-Verantwortlichen vorgenommen. 

(7) Ferngesteuerte Zugriffe oder Steuerungen von Endgeräte über sogenannte Remote-Anwendungen bzw. Terminal-Emulationen sind grundsätzlich nicht zugelassen. Sollte dienstlicher Bedarf für Remote-Zugriffe bzw. Terminal-Emulationen bestehen, sind diese bei dem IT-Verantwortlichen unter Angabe der Gründe zu beantragen. 

(8) Mit Beendigung des Beschäftigungsverhältnisses steht die E-Mail-Adresse der jeweiligen Beschäftigten nicht mehr für diesen zur weiteren Nutzung zur Verfügung. Die Beschäftigten sind angehalten, ihre außerbetrieblichen Kommunikationspartner über diesen Umstand zu informieren. Dienstliche E-Mails werden an zur Aufrechterhaltung des Dienstbetriebes zuständige Beschäftigte weitergeleitet. Ist ein privater Charakter des Inhaltes dieser weitergeleiteten E-Mail ersichtlich, ist die E-Mail ohne weitere Kenntnisnahme des Inhaltes durch die jeweiligen Beschäftigten zu löschen. Eine Weiterleitung erfolgt nicht. 

(9) Aus Wirtschaftlichkeits- oder IT-Sicherheitsgründen kann die Internet- und Endgerätenutzung beschränkt werden. Dies kann beispielsweise folgendes beinhalten: 

  • Sperrung bestimmter Dienste, 
  • Reduzierung auf bestimmte Internetanschlüsse, Volumen- und Minutengrenzen 
  • Beschränkung des Massendatentransfers oder des Speicherplatzes.

 

  1. Verhaltensgrundsätze

(1) Grundsätzlich gelten die Regelungen dieser Vereinbarung. 

(2) Die Beschäftigten haben jede Nutzung zu unterlassen, die geeignet ist,  

  • den Interessen des Unternehmens dessen Ansehen in der Öffentlichkeit zu schaden, 
  • die Sicherheit des Unternehmensnetzes und Endgerätes zu beeinträchtigen oder  
  • die gegen geltende Rechtsvorschriften und diese Vereinbarung verstößt.  

Dies gilt vor allem für 

  • das Abrufen oder Verbreiten von Inhalten, die gegen persönlichkeitsrechtliche, urheberrechtliche oder strafrechtliche Bestimmungen verstoßen,  
  • das Abrufen oder Verbreiten von beleidigenden, verleumderischen, verfassungsfeindlichen, rassistischen, sexistischen, gewaltverherrlichenden oder pornografischen Äußerungen oder Abbildungen,  
  • die Nutzung des Internets zur Erledigung privater Rechtsgeschäfte, insbesondere die Nutzung von Zahlungsfunktionen (Onlinebanking, Internetversandhandel, eBay o.ä.) oder  
  • die Nutzung von Online-Spieleplattformen. 

Abrufen und Aufrufen heißt auf im Netz vorhandene Informationen mit IT-Systemen des Unternehmens zugreifen. Verbreiten heißt einer Vielzahl von Personen oder einem unbestimmten Personenkreis über Internet-Dienste unter Verwendung von IT-Systemen des Unternehmens anbieten.
Anbieten ist nur der für Presse- und Öffentlichkeitsarbeit zuständigen Stelle oder der nach der Geschäftsverteilung für Veröffentlichungen zuständigen Stelle bzw. nur mit deren Genehmigung gestattet. 

(3) Zur Überprüfung der Einhaltung der Regelungen dieser Vereinbarung werden regelmäßige nicht-namensbezogene Stichproben (ohne Identifizierungsmerkmale) in den Protokolldateien durchgeführt (vgl. Nr. 7 Abs. 4). Ergänzend wird eine Übersicht über das jeweilige Gesamtvolumen des ein- und ausgehenden Datenverkehrs erstellt. 

(4) Die bei der Nutzung der Internetdienste anfallenden personenbezogenen Daten werden nicht zur Leistungs- und Verhaltenskontrolle verwendet. Sie unterliegen der Zweckbindung dieser Vereinbarung und den einschlägigen datenschutzrechtlichen Vorschriften. 

(5) Für den Fall der Abwesenheit (vor allem längere Dienstreisen, Urlaub, Krankheit, Kündigung etc.) hat der Beschäftigte eigenverantwortlich eine automatisierte Antwort an die Absender eingehender E-Mails entsprechend den jeweils geltenden Standards einzurichten, die den Absender über die Abwesenheit des Arbeitnehmers informiert und einen Hinweis auf den zuständigen Vertreter und dessen Telefonnummer und E-Mail-Adresse enthält. Im Falle der Kündigung hat der Beschäftigte zusätzlich eine dauerhafte Umleitung seiner Kommunikation zu seinem Nachfolger oder der Abteilung einzurichten, die die Aufgaben des Beschäftigten in Zukunft übernimmt. 

 

  1. Information und Schulung der Beschäftigten

(1) Die Beschäftigten werden durch die EDV- Abteilung über die besonderen Datensicherheitsprobleme bei der Nutzung der elektronischen Kommunikationssysteme unterrichtet. Sie werden für den sicheren und wirtschaftlichen Umgang mit diesen Systemen qualifiziert und über die einschlägigen Rechtsvorschriften informiert. 

 

  1. Verantwortlichkeit

(1) Die Verantwortung für die Beachtung der vorgenannten Festlegungen und Hinweise obliegt den zuständigen Stellen sowie den jeweiligen Beschäftigten. Diese haben insbesondere auch sicherzustellen, dass eine Nutzung des Netzwerkes, der Endgeräte, sowie des Internets durch Unbefugte vom Arbeitsplatz aus nicht erfolgt. 

Hinweis: Trotz des Einsatzes von Firewall oder Systemen und Software zum Schutz vor Schadsoftware ist das Ausspähen und Manipulieren von Daten durch Dritte nicht mit absoluter Sicherheit ausgeschlossen. 

 

  1. Protokollierung und Kontrolle

(1) Alle eingehenden (Kommunikations-) Daten werden durch eine Firewall, einen Spam-Filter sowie Virenscanner und Cloud - Technologien geprüft. Darin eingeschlossen sind verwaltete Endgeräte, auch wenn diese sich nicht im lokalen Firmennetz befinden. 

(2) Auf allen Geräten und im Netzwerk werden Verkehrsdaten (Metadaten) mit Angaben von 

  • Datum / Uhrzeit, 
  • Anmeldedaten 
  • Adressen von Absender und Empfänger (z.B. IP-Adressen) 
  • Benutzeridentifikation (z.B. bei der Verwendung eines Proxy-Servers) 
  • aufgerufenen Webseiten und Dateien  
  • übertragener Datenmenge und 
  • Fehlerprotokolle und Systemanalysedaten (installierte Software) 

protokolliert. 

(3) Die Protokolle nach Absatz 2 werden ausschließlich zu Zwecken der 

  • Analyse und Korrektur technischer und systemischer Fehler 
  • Gewährleistung der Systemsicherheit 
  • Optimierung des Netzes und der Gerätenutzungserfahrung 
  • statistischen Feststellung des Gesamtnutzungsvolumens, der Fehlererfassung, der Softwarenutzung und 
  • Stichprobenkontrollen gemäß Absatz 4 und Auswertungen gemäß Nr. 8 dieser Vereinbarung (Missbrauchskontrolle) 

verwendet. 

(4) Protokolle werden durch die EDV-Abteilung regelmäßig, aber nicht personenbezogen, gesichtet und in aggregierter Form, also ohne Nennung von Namen und anderen Identifizierungsmerkmalen, ausgewertet. Die Auswertung der Übersicht der statistischen Werten erfolgt monatlich ebenfalls durch diese Abteilung. 

(5) Der Zugriff auf die Protokolldateien gemäß Absatz 3 ist auf die Mitarbeiter der EDV- Abteilung begrenzt. Diese arbeiten dabei nach dem Vier-Augen-Prinzip. Darüber hinaus sind sie hinsichtlich der Einhaltung des Fernmeldegeheimnisses und des Datenschutzes auf die strafrechtlichen Konsequenzen bei Verstößen hingewiesen worden. 

(6) Mit der privaten Nutzung unserer IT-Systeme willigt der Beschäftigte ein, dass sich die Kontrolle und Auswertung von Daten auch auf die privaten Daten erstrecken, die dem Fernmeldegeheimnis nach Art. 10 Grundgesetz und § 88 Telekommunikationsgesetz unterliegen. 

(7) Dem Mitarbeiter ist bekannt, dass die Auswertung der Protokolle festgestellte Verstöße gemäß Nr. 8 der Dienstanweisung ggf. dienst-, arbeits- und u.U. auch strafrechtliche Konsequenzen haben können. 

(8) Die Protokolldaten werden nach 30 Tagen automatisch gelöscht. 

 

  1. Maßnahmen bei Verstößen / Missbrauchsregelung

(1) Bei Verdacht auf missbräuchliche oder unerlaubte Nutzung der IT-Systeme gemäß Nr. 3 und 4 dieser Vereinbarung durch einen Mitarbeiter erfolgt unter Beteiligung des verantwortlichen für Datenschutz eine Überprüfung des Datenverkehrs durch die EDV- Abteilung. Sind weitere Untersuchungsmaßnahmen (z.B. Offenlegung der IP-Adresse des benutzten Arbeitsplatzes oder weitere Überprüfungen) notwendig, werden diese von den in eben genannten Personen veranlasst. Auf der Basis dieser Untersuchung wird ein Bericht erstellt, der dem Betroffenen ausgehändigt wird. Dieser ist anschließend dazu zu hören. 

(2) Im Übrigen gelten die einschlägigen Regelungen des Disziplinar- bzw. Tarifrechts. 

(3) Dem Mitarbeiter ist bekannt, dass die Auswertung dieser Protokolle festgestellte Verstöße gemäß Nr. 8 der Dienstanweisung ggf. dienst-, arbeits- und u.U. auch strafrechtliche Konsequenzen haben können. zu erkennen, so werden innerhalb von einer zu setzenden Frist von zwei Wochen nach der Anhörung die Stichproben weiterhin nicht-personenbezogen durchgeführt. Ergeben diese Stichproben bzw. die Auswertung der Übersicht des Datenvolumens keine Änderung im Nutzungsverhalten, so werden die Protokolle der folgenden zwei Wochen durch die in Absatz 1 genannten Personen stichprobenhaft personenbezogen ausgewertet. Hierbei wird wie im Falle des Verdachts einer missbräuchlichen Nutzung (Abs. 1) vorgegangen. Zu den Verfahren nach Satz 1 und Satz 2 erfolgt eine entsprechende vorherige schriftliche Mitteilung an alle Beschäftigten, so dass deren Kenntnisnahme über die Maßnahmen gewährleistet werden kann. 

(4) Ein Verstoß gegen diese Dienstanweisung kann neben den dienst- und arbeitsrechtlichen Folgen auch strafrechtliche Konsequenzen haben. 

(5) Die Unternehmensleitung behält sich vor, bei Verstößen gegen diese Vereinbarung die private Nutzung des IT-Systems im Einzelfall zu untersagen. 

 

  1. Grundsätze für eine Nutzung unternehmensfremder Kommunikationssysteme

(1) Diese Vereinbarung gilt auch für Beschäftigte, die ihre Tätigkeiten direkt bei Kunden der des Unternehmens ausführen. In diesen Fällen sind für eine zulässige Nutzung des Internetzuganges vorrangig die Regelungen des Kunden zu beachten. 

(2) Die Regelungen in Nr. 2 Abs. 3 (Schutz vor Schadsoftware, Manipulation/Deaktivierung von Programmen und weiteres), Nr. 3 Abs.2 (Abrufen von kostenpflichtigen Informationen und weiteres) und Abs. 5 bis 9 (Umfang der erlaubten Abrufe, Speicherung und Nutzung) sowie Nr. 4 Abs. 2 (Unterlassung der Nutzung zum Schaden des Unternehmens und weitere) bleiben unberührt. 

 

  1. Änderungen und Erweiterungen

(1) Geplante Änderungen und Erweiterungen an den elektronischen Kommunikationssystemen werden der Personalvertretung und dem behördlichen Datenschutzbeauftragten mitgeteilt. Es wird dann geprüft, ob und inwieweit sie sich auf die Regelungen dieser Vereinbarung auswirken. Notwendige Änderungen oder Erweiterungen zu dieser Vereinbarung können im Einvernehmen in einer ergänzenden Regelung vorgenommen werden. 

 

  1. Inkrafttreten

(1) Diese Vereinbarung tritt mit ihrer Unterzeichnung und der Veröffentlichung gegenüber den Mitarbeitern in Kraft. Sie kann mit einer Frist von zwei Wochen gekündigt werden. Im Falle einer Kündigung ist jede private Nutzung des Internetzuganges, auch der Empfang und das Versenden privater E-Mails über die dienstliche E-Mail-Adresse bis zum Abschluss einer neuen Vereinbarung untersagt.