Für einen individuellen Ausdruck passen Sie bitte die
Einstellungen in der Druckvorschau Ihres Browsers an.
Regelwerk

ISRL-IT-Nutzung - Informationssicherheitsrichtlinie über die Nutzung von Informationstechnik durch Anwenderinnen und Anwender
- Niedersachsen -

Vom 11. Juni 2013
(Nds.MBl. Nr. 25 vom 17.07.2013 S. 480; 23.10.2013 S. 870 13; 26.05.2017 S. 486 17; 01.11.2017 S. 1463 17a; 25.11.2020 S. 1491 aufgehoben)



Zur aktuellen Fassung

Gem. RdErl. d. MI, d. StK u. d. übr. Min. v. 11.6.2013
- MI-42.4-02850/0110-0001 -

Bezug: Gem. RdErl. v. 9.11.2016 (Nds. MBl. S. 1193) - VORIS 20500 17

1. Gegenstand und Geltungsbereich 17

Diese Informationssicherheitsrichtlinie über die Nutzung von Informationstechnik durch Anwenderinnen und Anwender (ISRL-IT-Nutzung) regelt auf Grundlage der Leitlinie zur Gewährleistung der Informationssicherheit ( ISLL) - Bezugserlass - in Form von Mindestanforderungen die Grundsätze der dienstlichen Nutzung von Informationstechnik durch Anwenderinnen und Anwender. Diese allgemeinen Grundsätze gelten für alle Gerätekategorien (z.B. Arbeitsplatzrechner, mobile Endgeräte) und alle Anwendungsbereiche. Diese Grundsätze können durch Informationssicherheitsrichtlinien über bestimmte Gerätekategorien oder Anwendungsbereiche modifiziert oder ergänzt werden.

Diese Informationssicherheitsrichtlinie gilt im gesamten Geltungsbereich der ISLL (Nummer 1.1 bis 1.3 des Bezugserlasses).

2. Organisatorische und technische Maßnahmen der Behördenleitung

Die Behördenleitung ist für die Gewährleistung der Informationssicherheit innerhalb ihrer Behörde verantwortlich. Zur Umsetzung dieser Informationssicherheitsrichtlinie sind durch die Behördenleitung die notwendigen organisatorischen und technischen Maßnahmen zu veranlassen. Soweit sichergestellt ist, dass die durch diese Informationssicherheitsrichtlinie festgelegten Mindestanforderungen vollständig umgesetzt werden, ist die weitere Ausgestaltung der Maßnahmen in Art und Umfang freigestellt.

3. Umsetzung

3.1 Die Umsetzung der Sicherheitsanforderungen (Nummer 5) soll vorrangig durch technische Maßnahmen erfolgen, die durch organisatorische Maßnahmen ergänzt werden.

3.2 Bei der Gestaltung organisatorischer Maßnahmen, insbesondere bei der Erstellung von Dienstanweisungen, ist zu beachten, dass diese auch für Anwenderinnen und Anwender ohne vertiefte IT-Kenntnisse verständlich und tatsächlich umsetzbar sind.

3.3 Die individuellen Sicherheitsanforderungen der einzelnen Sicherheitsdomänen müssen in einem angemessenen Verhältnis zur praktischen Handhabbarkeit durch die Anwenderinnen und Anwender stehen.

3.4 Die Verantwortungsbereiche der einzelnen Anwenderinnen und Anwender sind eindeutig vom Verantwortungsbereich der Systemadministration abzugrenzen.

3.5 13 Zur organisatorischen Umsetzung der Sicherheitsanforderungen (Nummer 5) wird der Erlass einer Dienstanweisung nach dem in der Anlage 1 dargestellten Muster (Musterdienstanweisung) vorgeschlagen. Dieser Umsetzungsvorschlag beschränkt sich auf Sicherheitsanforderungen, die sich unmittelbar an die Anwenderinnen und Anwender richten. Es sind ggf. ergänzende oder zusätzliche Maßnahmen zu ergreifen, die die Umsetzung dieser Informationssicherheitsrichtlinie durch die Behördenleitung und die innerbehördlich zuständige Stelle sicherstellen.

4. Innerbehördliche Zuständigkeit und Organisation

Die Behördenleitung legt die innerbehördliche Zuständigkeit (zuständige Stelle) und ggf. die erforderlichen Prozesse für die Umsetzung der technischen und organisatorischen Maßnahmen aufgrund dieser Informationssicherheitsrichtlinie in eigener Zuständigkeit fest.

5. Sicherheitsanforderungen

5.1 Nutzung von IT-Systemen

Es ist durch technische und/oder organisatorische Maßnahmen sicherzustellen, dass die Anwenderinnen und Anwender die durch die Systemadministration getroffenen Sicherheitsvorkehrungen nicht durch Veränderungen der Konfiguration umgehen. Eine eigenständige Veränderung von Sicherheits- und Kommunikationseinstellungen sowie deren Umgehung auf andere Weise sind zu untersagen.

5.2 Einsatz und Installation von Computerprogrammen

5.2.1 Der Einsatz von Computerprogrammen, welche nicht durch die dafür zuständige Stelle zur dienstlichen Nutzung bereitgestellt wurden, ist den Anwenderinnen und Anwendern grundsätzlich zu untersagen. Die Installation von Computerprogrammen steht deren Einsatz gleich. Die Möglichkeit zu einer selbständigen Installation durch die Anwenderinnen und Anwender soll durch technische Maßnahmen unterbunden werden.

5.2.2 Andere als die bereitgestellten Computerprogramme dürfen nur mit Genehmigung der zuständigen Stelle installiert und eingesetzt werden. Vor der Installation und Nutzung ist durch die dafür zuständige Stelle eine Risikoanalyse durchzuführen, deren Ergebnis zu dokumentieren ist. Bei der Risikoanalyse sind mindestens der Einsatzzweck, die generelle Gefahrengeneigtheit der Art der Software, Informationen aus allgemein zugänglichen Quellen über eventuell bekannte Sicherheitslücken sowie die generelle Vertrauenswürdigkeit des Softwareherstellers zu berücksichtigen.

5.3 (aufgehoben) 17a

5.3.1 (aufgehoben)

5.3.2 (aufgehoben)

5.4 Zugang zu IT-Systemen

Es ist sicherzustellen, dass Regelungen über den Zugang zu IT-Systemen geschaffen werden, die auch Regelungen über die manuelle Sperrung von IT-Geräten durch die Anwenderinnen und Anwender bei Verlassen des Raumes sowie die automatische Sperrung nach Ablauf einer bestimmten Zeit umfassen. Die Zeit für die automatische Sperrung soll 15 Minuten nicht überschreiten.

5.5 Passwörter

5.5.1 Es sind Regelungen über die Handhabung und Ausgestaltung von Passwörtern zu treffen. Hierzu gehört insbesondere die Wahrung der Vertraulichkeit des Passworts durch die Anwenderinnen und Anwender.

5.5.2 Es sind Regelungen über die sichere Gestaltung von Passwörtern durch die Anwenderinnen und Anwender zu treffen. Dabei sind folgende Aspekte zu berücksichtigen:

  1. die Passwortlänge,
  2. die enthaltenen Zeichengruppen,
  3. der Ausschluss von Trivialpasswörtern,
  4. die Passwortalterung,
  5. die Passworthistorie und
  6. die Änderung von voreingestellten Passwörtern.

5.5.3 Die Einhaltung der Anforderungen an die Zusammensetzung von Passwörtern ist - soweit möglich - durch technische Maßnahmen bei der Passwortvergabe sicherzustellen.

5.6 Private Nutzung von IT-Systemen

5.6.1 13 Es sind Regelungen zu treffen, ob und in welchem Umfang die dienstlichen IT-Systeme auch zu privaten Zwecken genutzt werden dürfen. Soweit die private Nutzung des Internetzugangs und des dienstlichen E-Mail-Dienstes gestattet werden, ist dies durch eine Vereinbarung mit den Anwenderinnen und Anwendern zu regeln. Sofern die private Nutzung zugelassen werden soll, wird der Abschluss einer Dienstvereinbarung nach dem in der Anlage 2 dargestellten Muster (Musterdienstvereinbarung) vorgeschlagen.

5.6.2 Bei der Gestaltung dieser Vereinbarung sind die rechtlichen Rahmenbedingungen zu beachten. Die Möglichkeit einer rechtssicheren Implementierung von Sicherheitssystemen, insbesondere von Intrusion Detection Systemen, Spamfiltern sowie weiterer Sensorik, ist durch die Vereinbarung sicherzustellen. Darüber hinaus hat die Vereinbarung eine Protokollierung der Internet-Nutzung und der E-Mail-Nutzung zu ermöglichen.

5.7 Nutzung privater Hard- und Software zu dienstlichen Zwecken

Es ist zu regeln, ob und ggf. unter welchen Voraussetzungen Anwenderinnen und Anwender eigene Hard- und Software zur Erfüllung dienstlicher Aufgaben verwenden dürfen. Soweit eine Möglichkeit zur Nutzung privater Hard- und Software eingeräumt wird, ist diese von einer Genehmigung im Einzelfall abhängig zu machen. Bei der Erteilung der Genehmigung sind die Sicherheit der IT-Systeme der Landesverwaltung sowie die rechtmäßige Verwendung der Software zu beachten. Hierzu ist eine Risikoanalyse durchzuführen, deren Ergebnis zu dokumentieren ist.

5.8 Einsatz von mobilen Datenträgern

5.8.1 Es sind Vorkehrungen zu treffen, die verhindern, dass dienstliche Daten unverschlüsselt auf mobilen Datenträgern gespeichert werden. Dies gilt nicht für Daten, die öffentlich bekannt oder zur Veröffentlichung bestimmt sind. Auf eine Verschlüsselung kann in begründeten Ausnahmefällen verzichtet werden, wenn eine dienstlich notwendige Weitergabe an Dritte oder eine dienstlich notwendige Entgegennahme von Dritten mit angemessenem Aufwand auf anderem Wege nicht möglich ist.

5.8.2 Es sind Vorkehrungen gegen die Übertragung von Schadsoftware auf die IT-Systeme der Landesverwaltung durch den Einsatz mobiler Datenträger zu treffen. Es sind daher

  1. technische Maßnahmen, die unmittelbar bei der Verbindung des mobilen Datenträgers Wirkung entfalten (Sicherheitssoftware mit Device Management), und/oder
  2. organisatorische Maßnahmen, die die Verbindung mobiler Datenträger mit den IT-Systemen der Landesverwaltung untersagen,

zu ergreifen. Es können Ausnahmeregelungen für einzelne Arbeitsplätze oder Rechner getroffen werden.

5.8.3 Es können zentrale Übergabepunkte eingerichtet werden, die einen sicheren Datentransfer mit mobilen Datenträgern erlauben.

5.8.4 Es sind Regelungen zu treffen, dass

  1. mobile Datenträger nur für den Transport von dienstlichen Daten und nicht für die dauerhafte Verwahrung verwendet werden und
  2. der Verlust mobiler Datenträger, auf denen sich dienstliche Daten befinden, unverzüglich bei der dafür zuständigen Stelle anzuzeigen ist.

5.9 Speicherung dienstlicher Daten außerhalb des Landesnetzes

Eine Speicherung dienstlicher Daten außerhalb der IT-Systeme der Landesverwaltung durch die Anwenderinnen und Anwender ist zu untersagen. Dies gilt insbesondere für CloudServices und ähnliche Online-Speicherdienste, soweit diese nicht Teil der IT-Infrastruktur des Landes sind, d. h. diese nicht durch eine Behörde der Landesverwaltung beauftragt oder verantwortet werden.

6. Schlussbestimmungen 17

Dieser Gem. RdErl. tritt mit Wirkung vom 01.03.2013 in Kraft und mit Ablauf des 30.06.2021 außer Kraft.

. .

Musterdienstanweisung über die Nutzung von Informationstechnik durch Anwenderinnen und Anwender  Anlage 1 13 17

1. Gegenstand und Geltungsbereich

Diese Dienstanweisung regelt die Grundsätze der dienstlichen Nutzung der Informationstechnik durch die Anwenderinnen und Anwender. Diese allgemeinen Grundsätze gelten für alle Gerätekategorien (z.B. Arbeitsplatzrechner, mobile Endgeräte, Workstation) und alle Anwendungsbereiche.

Diese Dienstanweisung gilt für alle Anwenderinnen und Anwender (der betreffenden Organisationseinheit).

2. Allgemeine Maßnahmen

2.1 Eigenverantwortung

Alle Anwenderinnen und Anwender von IT-Systemen sind im Rahmen der ihnen übertragenen Aufgaben für den sicheren und rechtmäßigen Umgang mit diesen IT-Systemen verantwortlich.

2.2 Veränderungs- und Umgehungsverbot

Die Sicherheitseinstellungen von IT-Systemen dürfen nicht durch die Anwenderinnen und Anwender selbst verändert werden. Eventuell notwendige Anpassungen sind durch (die zuständige Stelle) zu veranlassen/vorzunehmen. Eine Umgehung von Sicherheitsmaßnahmen (z.B. Abschaltung des Virenscanners) ist untersagt.

2.3 Verbot der Installation von Computerprogrammen

Den Anwenderinnen und Anwendern ist die Installation und der Einsatz von Computerprogrammen, welche nicht durch die Behördenleitung zur dienstlichen Nutzung bestimmt wurden (z.B. Downloads aus dem Internet, auf mobilen Datenträgern mitgebrachte Computerprogramme), auf den zur dienstlichen Nutzung bestimmten IT-Systemen grundsätzlich untersagt.

3. Verhalten bei Sicherheitsvorfällen 17a

3.1 Ein Sicherheitsvorfall oder ein dahingehender Verdacht ist von der Anwenderin oder dem Anwender unverzüglich (der zuständigen Meldestelle) zu melden.

3.2 Ein Sicherheitsvorfall ist ein anhand eines Katalogs bewertetes Ereignis i. S. der Informationssicherheit, das eine Einschränkung oder den Verlust der Vertraulichkeit, Verfügbarkeit oder Integrität von Informationen nach sich zieht, nach sich gezogen hat oder nach sich gezogen haben könnte. Insbesondere die folgenden Merkmale deuten auf das Vorliegen eines Sicherheitsvorfalls hin:

  1. Datenverlust ohne erkennbaren Grund,
  2. Sperrung von Nutzerkonten ohne erkennbaren Grund,
  3. Meldungen des Virenscanners,
  4. Systemmeldungen, die auf einen Missbrauch hinweisen, sowie
  5. Funktionsverlust von Programmen.

4. Schutz von IT-Systemen gegen unberechtigten Zugang

4.1 Zugang zu IT-Systemen

4.1.1 IT-Geräte sind in der Regel durch ein Passwort gegen unberechtigten Zugang gesichert (Nummer 4.2). Die Anwenderinnen und Anwender haben bei Verlassen des Arbeitsplatzes ihre IT-Geräte zu sperren, sodass ein erneuter Zugang zum IT-Gerät nur mittels eines Passworts möglich ist. Zusätzlich erfolgt eine automatische Sperrung des IT-Geräts nach spätestens 15 Minuten.

4.1.2 Insbesondere in Bereichen mit Publikumsverkehr sollen Monitore, Drucker und Faxgeräte so aufgestellt werden, dass das Risiko einer Einsichtnahme Dritter möglichst ausgeschlossen ist.

4.2 Passwörter

4.2.1 Die Weitergabe von Benutzerkennungen und Passwörtern ist unzulässig. Dies gilt auch für die Weitergabe im unmittelbaren Kollegenkreis. Dies gilt nicht, soweit es sich um eine berechtigte Weitergabe von Funktionskennungen und korrespondierender Passwörter handelt. Passwörter dürfen nur an besonders gesicherten und nur für die oder den Berechtigten zugänglichen Stellen notiert oder in anderer Weise abgelegt werden.

4.2.2 Aktivierungs- oder Einrichtungspasswörter sind unverzüglich durch die Anwenderin oder den Anwender in ein persönliches Passwort zu ändern.

4.2.3 Passwörter haben in ihrer Zusammensetzung mindestens den folgenden Anforderungen zu entsprechen:

  1. Die Länge beträgt mindestens acht Stellen.
  2. Ein Passwort setzt sich aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen zusammen und enthält mindestens jeweils ein Zeichen aus drei der genannten Zeichengruppen.
  3. Leicht zu erratende und damit unsichere Passwörter sind zu vermeiden. Unsicher sind insbesondere: häufige Zeichenwiederholungen, Zeichen, die durch nebeneinander liegende Tasten eingegeben werden, Zeichenkombinationen, die Suchbegriffen in Wörterbüchern und Lexika entsprechen, Zahlen und Daten aus dem Lebensbereich der jeweiligen Anwenderin oder des jeweiligen Anwenders.

5. Private Nutzung von IT-Systemen

5.1 Verbot der privaten Nutzung von IT-Systemen [alternativ: Private Nutzung von IT-Systemen] 13

Eine private Nutzung der IT-Systeme des Landes Niedersachsen durch die Anwenderinnen und Anwender ist untersagt. Dies gilt insbesondere auch für die private Nutzung von Web-Angeboten und des E-Mail-Dienstes. [Alternativ: Die private Nutzung der IT-Systeme des Landes Niedersachsen richtet sich nach der Dienstvereinbarung über die private Nutzung von dienstlichen IT-Systemen.]

5.2 Verbot der Nutzung privater Hard- und Software zu dienstlichen Zwecken

Eine Verwendung privater Hard- und Software zu dienstlichen Zwecken durch die Anwenderinnen und Anwender ist untersagt. Dies gilt insbesondere für die Speicherung dienstlicher Daten auf privaten Geräten. Die Verbindung privater Geräte mit der Netzinfrastruktur des Landes ist nicht gestattet.

6. Speicherung dienstlicher Daten

6.1 Nutzung mobiler Datenträger

6.1.1 Die Speicherung von dienstlichen Informationen darf ausschließlich auf dienstlich bereitgestellten Datenträgern erfolgen. Dienstlich bereitgestellt werden ausschließlich verschlüsselte Datenträger (z.B. "sicherer USB-Stick").

6.1.2 Ohne Verschlüsselung dürfen solche Informationen auf externen Datenträgern gespeichert werden, die öffentlich bekannt oder zur Veröffentlichung bestimmt sind. Auf eine Verschlüsselung kann in begründeten Ausnahmefällen verzichtet werden, wenn eine dienstlich notwendige Weitergabe an Dritte mit angemessenem Aufwand oder eine dienstlich notwendige Entgegennahme von Dritten auf anderem Wege nicht möglich ist. (Ein Datentransfer mit unverschlüsselten Datenträgern darf ausschließlich an hierfür eingerichteten Übergabepunkten erfolgen.)

6.1.3 Mobile Datenträger dürfen ausschließlich zum Transport dienstlicher Informationen und nicht zu deren dauerhafter Verwahrung verwendet werden. Die dauerhafte Aufbewahrung hat auf serverbasierten Speichersystemen zu erfolgen.

6.1.4 Auf dem sicheren USB-Stick dürfen Daten

  1. bis zur Schutzstufe "D" des Schutzstufenkonzepts der oder des Landesbeauftragten für den Datenschutz,
  2. bis zur Schutzkategorie "hoch" ggemäß der ISRL-Konzeption oder
  3. des Geheimhaltungsgrades "VS-NUR FÜR DEN DIENSTGEBRAUCH" gemäß Verschlusssachenanweisung des Landes Niedersachsen

transportiert werden.

6.1.5 Bei Verlust eines mobilen Datenträgers (ist/sind) (die oder der unmittelbare Vorgesetzte) (sowie die zuständige IT-Koordination) zu informieren.

6.1.6 (Daten, die durch Dritte auf einem externen Speichermedium bereitgestellt werden, dürfen ausschließlich an den Übergabepunkten (Nummer 6.1.2) auf die IT-Systeme des Landes übertragen werden. Hierbei ist die Vertrauenswürdigkeit der Quelle zu überprüfen. Derartige Datenübertragungen sind auf das notwendige Mindestmaß zu beschränken.)

6.1.7 Für die Übertragung von Präsentationen (z.B. externer Referentinnen oder Referenten) sind spezielle Notebooks zu verwenden, die einen Zugang in das interne Netzwerk nicht ermöglichen. Davon ausgenommen ist der Internet-Zugang.

6.2 Verbot der Speicherung dienstlicher Daten außerhalb der IT-Infrastruktur des Landes Niedersachsen

Die Speicherung dienstlicher Daten außerhalb der IT-Systeme der Landesverwaltung ist nicht gestattet. Dies gilt insbesondere für Cloud-Services und ähnliche Online-Speicherdienste, soweit diese nicht Teil der IT-Infrastruktur des Landes sind, d. h. diese nicht durch eine Behörde der Landesverwaltung beauftragt oder verantwortet werden.

7. Ausnahmen

(Die zuständige Stelle) kann (im Einvernehmen mit der oder dem Informationssicherheitsbeauftragten) nach pflichtgemäßem Ermessen im Einzelfall Ausnahmen von den Regelungen dieser Dienstanweisung zulassen. Die Ausnahmen sind zu dokumentieren und durch Ersatzmaßnahmen abzusichern.

8. Inkrafttreten

Diese Dienstanweisung tritt am Tag nach ihrer Bekanntgabe in Kraft.

.

Musterdienstvereinbarung über die private Nutzung von dienstlichen IT-Systemen Anlage 2

Zwischen der/dem [Behörde] (nachfolgend: [Kürzel])

und dem Personalrat der/des [Kürzel] (nachfolgend: Personalrat)

wird auf Grundlage von § 78 NPersVG die folgende Dienstvereinbarung über die private Nutzung von dienstlichen IT-Systemen abgeschlossen:

Präambel

Die Verhandlungspartner stimmen darin überein, dass in einer modernen Verwaltung die private Nutzung dienstlicher IT-Systeme in geringfügigem Umfang zugelassen werden kann. Dabei sind sich die Verhandlungspartner der Tatsache bewusst, dass die Dienststelle auch bei Zulassung der privaten Nutzung die Informationssicherheit und die Sicherheit der ITSysteme gewährleisten muss und zu diesem Zweck technische Systeme betreibt, die dazu dienen, die Nutzung der ITSysteme, gespeicherte Daten und Inhalte von Kommunikationsvorgängen zu analysieren.

1. Geltungsbereich und Zweckbestimmung

1.1 Diese Dienstvereinbarung regelt die Grundsätze für die private Nutzung von Web-Angeboten und des E-Mail-Dienstes [ggf. weitere Anwendungen einfügen] sowie für die damit möglicherweise verbundene Speicherung privater Dateien auf von [Kürzel] betriebenen IT-Systemen. Sie gilt für alle Beschäftigten.

1.2 Diese Dienstvereinbarung legt Nutzungsbedingungen für die dienstlichen IT-Systeme fest. Sie ermöglicht damit die informierte Einwilligung der Beschäftigten in die Bedingungen der privaten Nutzung. Sie lässt [ggf. vorhandene Regelungen (z.B. Dienstanweisung über die Nutzung von Informationstechnik durch Anwenderinnen und Anwender) einfügen] unberührt.

2. Begriffsbestimmungen

2.1 Eine "dienstliche Nutzung" von dienstlichen IT-Systemen liegt vor, wenn die Verwendung von IT-Systemen der Aufgabenerfüllung der oder des jeweiligen Beschäftigten dient.

2.2 "Geringfügig" ist eine gelegentliche Nutzung von kurzer Dauer, die nur wenig Datenverkehr verursacht und wenig Speicherplatz in Anspruch nimmt. In diesem Sinne geringfügig sind beispielsweise:

2.3 "Inhalte des Kommunikationsvorgangs" sind die bei einem Kommunikationsvorgang übermittelten Daten.

2.4 Eine "private Nutzung" von dienstlichen IT-Systemen ist eine Verwendung von IT-Systemen, die nicht der Aufgabenerfüllung dient, sondern im Interesse der oder des jeweiligen Beschäftigten oder von Dritten erfolgt.

2.5 "Protokollierung" ist die automatisierte Speicherung von Zustandsinformationen über den Betrieb und die Nutzung eines IT-Systems sowie über den Zugang zu einem IT-System.

2.6 "Verkehrsdaten" sind Daten über Umstände der Kommunikation, wie die Teilnehmerinnen oder Teilnehmer und die Dauer eines Kommunikationsvorganges.

3. Zulässigkeit der Nutzung

3.1 Die private Nutzung von Web-Angeboten und des E-Mail-Dienstes [ggf. weitere Anwendungen einfügen] ist unter dem Vorbehalt des Widerrufs in geringfügigem Umfang zulässig,

3.2 Funktionspostfächer dürfen nicht für die private Kommunikation genutzt werden.

3.3 Verlässt eine Beschäftigte oder ein Beschäftigter das [Kürzel], steht ihr oder ihm ihre oder seine dienstliche E-Mail-Adresse nicht mehr zur Verfügung. Gespeicherte E-Mails werden nach dem Ausscheiden der oder des Beschäftigten aus dem [Kürzel] gelöscht.

4. Eigenverantwortung

Die Beschäftigten sind selbst für den sicheren und rechtmäßigen Einsatz der dienstlichen IT-Systeme verantwortlich, soweit sie hierauf Einfluss nehmen können.

5. Verhaltensgrundsätze

5.1 Die Beschäftigten haben jede Nutzung dienstlicher ITSysteme zu unterlassen, die erkennbar geeignet ist, den Interessen des [Kürzel] oder dessen Ansehen in der Öffentlichkeit zu schaden, die Sicherheit der IT-Systeme zu beeinträchtigen, oder die gegen geltende Rechtsvorschriften [und die Dienstanweisung über die Nutzung von Informationstechnik durch Anwenderinnen und Anwender] verstößt.

5.2 Die Beschäftigten nutzen den E-Mail-Dienst so, dass die Empfängerin oder der Empfänger erkennen kann, ob es sich um eine dienstliche oder private E-Mail handelt.

5.3 Die Beschäftigten nutzen dienstliche IT-Systeme insbesondere nicht, um gegen persönlichkeitsrechtliche, urheberrechtliche oder strafrechtliche Bestimmungen verstoßende Inhalte abzurufen, zu speichern oder zu verbreiten.

5.4 Unabhängig von der gesetzlichen Zulässigkeit ist es den Beschäftigten im Rahmen der privaten Nutzung dienstlicher IT-Systeme verboten, verfassungsfeindliche, rassistische, Gewalt verherrlichende oder pornografische Inhalte abzurufen, zu speichern oder zu verbreiten.

6. Information und Schulung der Beschäftigten

[Kürzel] sensibilisiert die Beschäftigten, die dienstliche ITSysteme nutzen, für die damit verbundenen Gefahren für die Informationssicherheit durch geeignete Maßnahmen wie beispielsweise Handzettel, elektronische Rundschreiben oder Schulungen.

7. Sicherstellung der Erreichbarkeit

[Die folgenden Varianten können alternativ oder kumulativ verwandt werden.]

[Variante 1:]

Die Beschäftigten stellen sicher, dass Eingänge auch während ihrer Abwesenheit bearbeitet werden können, indem sie den Ordner "Posteingang" für die jeweilige Vertretung freigeben.

[Variante 2:]

Bei vorhersehbarer Abwesenheit informieren die Beschäftigten die Absenderinnen und die Absender von E-Mails mittels des Abwesenheitsassistenten über [die voraussichtliche Dauer der Abwesenheit und] die Möglichkeiten, die Vertretung zu erreichen.

[Variante 3:]

Bei unvorhersehbarer Abwesenheit von mehr als [Zeitraum] lässt die oder der Vorgesetze durch [zuständige Stelle] während der Abwesenheit eingegangene E-Mails an die Vertretung weiterleiten und ggf. eine Abwesenheitsnachricht einrichten. Dies gilt nicht für die E-Mail-Postfächer der Mitglieder des Personalrates, der Gleichstellungsbeauftragten, der oder des Suchtbeauftragten oder von anderen Funktionsträgerinnen und Funktionsträgern, deren Tätigkeit ein vergleichbares Maß an Vertraulichkeit erfordert.

8. Protokollierung

8.1 Bei der Nutzung von Web-Angeboten werden protokolliert:

[Die Details richten sich nach der jeweiligen technischen Ausgestaltung in der Dienststelle oder ggf. nach einer Vereinbarung mit dem IT-Dienstleister. Typisch sind beispielsweise:

8.2 Bei der Nutzung des E-Mail-Dienstes werden protokolliert:

[Die Details richten sich nach der jeweiligen technischen Ausgestaltung in der Dienststelle oder ggf. nach einer Vereinbarung mit dem IT-Dienstleister. Typisch sind beispielsweise:

8.3 [Bei der Nutzung von [Software/IT-System] werden protokolliert:

[Inhalte der Protokolldatei].]

9. Analyse von gespeicherten Daten und der Inhalte von Kommunikationsvorgängen

9.1 Auf IT-Systemen des [Kürzel] bzw. des [IT-Betrieb] gespeicherte Daten werden durch technische Maßnahmen (z.B. Einsatz einer Anti-Schadsoftware) zur Aufrechterhaltung der Informationssicherheit und zum Schutz der IT-Systeme (automatisiert) analysiert.

9.2 Alle eingehenden E-Mails werden durch technische Maßnahmen (z.B. Einsatz einer Firewall, eines Spam-Filters und einer Anti-Schadsoftware) zur Aufrechterhaltung der Informationssicherheit und zum Schutz der IT-Systeme (automatisiert) analysiert.

9.3 Die Inhalte von Kommunikationsvorgängen im Landesnetz und am Übergang zwischen dem Landesnetz und dem Internet werden zur Aufrechterhaltung der Informationssicherheit und zum Schutz der IT-Systeme (automatisiert) analysiert.

10. Zweckbindung und Löschungsfrist

10.1 Eine Unterscheidung von dienstlicher und privater Nutzung ist auf technischem Weg nicht möglich. Die Protokollierung von Verkehrsdaten (Nummer 8), die (automatisierte) Untersuchung von gespeicherten Dateien (Nummer 9), die (automatisierte) Analyse der Inhalte von Kommunikationsvorgängen (Nummer 9) und die Kontrolle gemäß Nummer 11 dieser Dienstvereinbarung erstrecken sich auch auf die private Nutzung der IT-Systeme.

10.2 Diese Dienstvereinbarung erlaubt es nur, die Protokolldaten nach Nummer 8 und die Ergebnisse der automatisierten Analyse nach Nummer 9 ausschließlich zu Zwecken der Missbrauchskontrolle und Missbrauchsverfolgung nach Nummer 11 zu verwenden. Im Übrigen findet eine Verhaltens- oder Leistungskontrolle nicht statt. Die Verwendung der Daten zu anderen Zwecken bedarf einer eigenen Rechtsgrundlage.

10.3 Die Protokolldaten werden spätestens nach 180 Tagen automatisch gelöscht. Sofern ein Missbrauchsverdacht nach Nummer 11 dieser Dienstvereinbarung besteht, dürfen die erforderlichen Daten für den erforderlichen Zeitraum gespeichert werden.

11. Maßnahmen bei Missbrauchsverdacht

11.1 Bestehen zureichende tatsächliche Anhaltspunkte für eine missbräuchliche oder unerlaubte Nutzung der IT-Systeme durch eine Beschäftigte oder einen Beschäftigten kann [zuständige Stelle] Protokolldaten nach Nummer 8 dieser Dienstvereinbarung oder von der oder dem Beschäftigten gespeicherte Daten, insbesondere E-Mails, überprüfen. Die oder der Beschäftigte kann an der Überprüfung teilnehmen, ein Mitglied des Personalrates oder eine Rechtsanwältin oder einen Rechtsanwalt hinzuziehen.

11.2 Im Übrigen gelten die einschlägigen Regelungen des Disziplinar- bzw. Tarifrechts. Ein Verstoß gegen diese Dienstvereinbarung kann neben den dienst- und arbeitsrechtlichen Folgen auch strafrechtliche Konsequenzen haben.

11.3 Ist aufgrund von nichtpersonenbezogenen Analysen, insbesondere der Auswertung des Datenvolumens, eine nicht mehr tolerierbare Häufung von offensichtlich privater Nutzung der IT-Systeme zu erkennen, so werden die Beschäftigten per E-Mail an die Regelungen dieser Dienstvereinbarung erinnert. Ergeben weitere nichtpersonenbezogene Analysen keine Änderung des Nutzungsverhaltens in einem Zeitraum von einem Monat, der auf die Erinnerung nach Satz 1 folgt, werden die Protokolldaten der folgenden zwei Wochen durch die [zuständige Stelle] stichprobenartig personenbezogen ausgewertet. Absatz 1 ist entsprechend anzuwenden.

11.4 [Zuständige Stelle] behält sich vor, bei Verstößen gegen diese Dienstvereinbarung die private Nutzung dienstlicher ITSysteme im Einzelfall zu untersagen.

12. Inkrafttreten

Diese Dienstvereinbarung tritt mit Ablauf des TT. MM. JJJJ in Kraft.

13. Kündigung dieser Dienstvereinbarung

Im Fall einer Kündigung dieser Dienstvereinbarung ist die private Nutzung von dienstlichen IT-Systemen bis zum Abschluss einer neuen Dienstvereinbarung untersagt.

..........................................................
Datum, Unterschrift Behördenleitung

..........................................................
Datum, Unterschrift Personalrat

.

Erklärung zur privaten Nutzung dienstlicher IT-Systeme Anhang

................................................................
(Vorname, Nachname)

Ich habe die "Dienstvereinbarung über die private Nutzung von dienstlichen IT-Systemen" zur Kenntnis genommen und möchte dienstliche IT-Systeme in dem nach der Dienstvereinbarung erlaubten Umfang zukünftig auch privat nutzen.

Mir ist bekannt, dass technisch nicht zwischen dienstlicher und privater Nutzung unterschieden wird. Ich bin daher damit einverstanden, dass

Insoweit willige ich in einen Eingriff in das Fernmeldegeheimnis nach Artikel 10 Abs. 1 des Grundgesetzes für die Bundesrepublik Deutschland und § 88 Abs. 1 des Telekommunikationsgesetzes ein.

Ich habe Kenntnis von der Tatsache, dass

.............................................................
Datum, Unterschrift


ENDE

umwelt-online - Demo-Version


(Stand: 28.08.2023)

Alle vollständigen Texte in der aktuellen Fassung im Jahresabonnement
Nutzungsgebühr: 90.- € netto (Grundlizenz)

(derzeit ca. 7200 Titel s.Übersicht - keine Unterteilung in Fachbereiche)

Preise & Bestellung

Die Zugangskennung wird kurzfristig übermittelt

? Fragen ?
Abonnentenzugang/Volltextversion