Praxisfälle

IT-Nutzungsreglement: Das gilt es zu beachten

Viele Unternehmen erlassen eigene Weisungen zur Nutzung der IT-Infrastruktur. Wir sagen Ihnen, welche Punkte unbedingt in ein solches Reglement gehören und was es im Hinblick auf die DSGVO zu beachten gilt.

Von: Mathias Liechti, Dr. iur. Elisabeth Glättli  Teilen Kommentieren 

Mathias Liechti

Mathias Liechti ist seit 2018 Chefredaktor von personalSCHWEIZ. Der Kommunikator FH hat sich in diversen Tätigkeiten bei Tageszeitungen und Onlineportalen ein breites publizistisches Know-how angeeignet.

Dr. iur. Elisabeth Glättli

Dr. iur. Elisabeth Glättli ist Fachanwältin SAV Arbeitsrecht und Mediatorin SAV. Sie führt in Winterthur die Anwaltskanzlei glättli partner.

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 

Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 

Ist das Erstellen eines Reglements zur Nutzung der betrieblichen IT-Infrastruktur ein grosser Aufwand?

Die Regelung der Nutzung der betrieblichen IT-Infrastruktur ist meist mit keinem sehr grossen Aufwand verbunden. Ein Arbeitgeber sollte sich namentlich fragen, welche privaten und geschäftlichen Nutzungen er als zweckmässig erachtet und welche Kontrollmöglichkeiten gewünscht und durchführbar sind. Ein grösserer Aufwand wäre für die Anpassung der Datenbearbeitung an die Regelungen der DSGVO erforderlich. Diese Regelungen betreffen die gesamte Geschäftstätigkeit des Unternehmens.

Was sollte in einem Reglement betreffend Nutzung der IT Infrastruktur, E-Mail und Internet geregelt werden?

1) Richtlinien betreffend privater Nutzung von E-Mail und Internet
a. Zulässigkeit oder Verbot der Nutzung des betrieblichen Internets und E-Mail-Accounts für private Zwecke
b. Nutzungsvorschriften in zeitlicher und inhaltlicher Art: Welche Nutzungen sind eingeschränkt, welche verboten? (Missbrauchsbestimmungen)
c. private E-Mails: Bezeichnung, Vertraulichkeit und Verpflichtung zur Löschung bei Austritt

2) Regelung betreffend geschäftlicher E-Mails
a. Regeln für Betreff, Absender, Inhalt, Verschlüsselung, Speicherung sowie Weiterleitung bei Abwesenheit, Stellvertretung und Austritt
b. Evtl. Meldepflicht bei verdächtigen E-Mails

3) Evtl. Regelung betreffend Sozialer Medien

4) Regelung betreffend Geschäftsdaten im Allgemeinen:
a. Weisungen betreffend Einhaltung von Zugangs- und anderen Sicherheitsmassnahmen (z.B. Passwortschutz, Sicherung des Arbeitsplatzes)
b. Ablageort, Verbot der anderweitigen Speicherung (insbesondere auf Peripheriegeräten) sofern diese nicht erlaubt sind, Weiterleitung jeglicher Geschäftsdaten per E-Mail zu eigenen Zwecken
c. Verfahren bei Austritt

5) Kontrollmöglichkeiten, Sanktionen

Braucht ein solches Reglement die Zustimmung der Mitarbeitenden? Wie kann es geändert werden?

Grundsätzlich braucht es die Zustimmungen der Mitarbeitenden nicht, da der Arbeitgeber berechtigt ist, Weisungen zu erlassen. Änderungen müssen daher den Mitarbeitenden lediglich zur Kenntnis gebracht werden.

Was sieht die DSGVO vor?

Die DSGVO sieht einerseits ausgebaute Rechte zugunsten der betroffenen Person vor (Information bei der Datenerhebung und anderen Datenbearbeitungen, Auskunfts- und Einsichtsrecht, Berichtigungs-/Löschungsrecht, Recht auf Einschränkung der Bearbeitung und Datenübertragbarkeit, Widerspruchsrecht, Recht auf Verzicht auf eine automatisierte Entscheidung im Einzelfall, Recht auf Benachrichtigung über Datenschutzverletzungen). Zum anderen muss unter Umständen ein EU-Vertreter oder Datenschutzbeauftragter bestellt werden. Vorgeschrieben sind im Weiteren Datenschutzfolgenabschätzungen bei Tätigkeiten mit grösseren Risiken, Datenschutzmassnahmen im Zeitpunkt der Planung von Datenbearbeitung oder durch Voreinstellungen (privacy by design/by default) sowie Dokumentations- und Meldepflichten.

Wann muss mein Unternehmen die Vorschriften für die DSGVO beachten?

Die DSG ist anwendbar, wenn im Zusammenhang mit einer Niederlassung des Unternehmens (oder eines Auftragsbearbeiters) in der EU Personendaten bearbeitet werden. Besteht keine Niederlassung in der EU, so genügt es, wenn beispielsweise über eine Website Waren oder Dienstleistungen bewusst in Ländern der EU angeboten oder das Surfverhalten von Personen in der EU auf einer Website aufgezeichnet wird. Die EU-DSGVO ist nicht anwendbar, wenn eine Unternehmung HR-Daten von in der Schweiz tätigen Arbeitnehmern in der Schweiz oder in einem Drittland bearbeitet. Auch bei Online-Bewerbungen sind die Voraussetzungen für die Anwendung der DSGVO regelmässig nicht erfüllt. Hingegen würde eine Verhaltensüberwachung von Arbeitnehmern in der EU unter die DSGVO fallen.

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

Workshop Datenschutz in der Praxis

Die neue DSGVO und deren Folgen für Schweizer Unternehmen

Nächster Termin: 11. Dezember 2018

mehr Infos

Fachmagazin jetzt abonnieren
personalSCHWEIZ
  • Kompetent
  • Fokussiert
  • Praxisorientiert
  • Swissmade
Seminar-Empfehlungen
  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Datenschutz am Arbeitsplatz

    Rechte und Pflichten im Umgang mit Mitarbeiter- und Bewerberdaten

    Nächster Termin: 14. November 2018

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Workshop Datenschutz in der Praxis

    Die neue DSGVO und deren Folgen für Schweizer Unternehmen

    Nächster Termin: 11. Dezember 2018

    mehr Infos

  • Praxis-Seminar, ½ Tag, ZWB, Zürich

    Update Datenschutz

    Neuerungen in der EU und der Schweiz

    Nächster Termin: 29. August 2019

    mehr Infos