Datenschutzbestimmungen

Diese Verordnungen tragen zur Vereinheitlichung und Umsetzung der wichtigsten Bestimmungen bei, die in den Unterlagen zum Schutz personenbezogener Daten enthalten und auch gesetzlich vorgeschrieben sind. Es gilt für hauptamtliche Mitarbeiter und Mitarbeiter mit gültigen Genehmigungen zur Verarbeitung personenbezogener Daten, die vom Inhaber der Datenverarbeitung erteilt wurden. Die Verordnung wurde im Zusammenhang mit den Anforderungen des Gesetzes vom 10. Mai 2018 über den Schutz personenbezogener Daten (GBl. 2018, Pos. 1000, 1669, 2019, Pos. 730.) und der Verordnung des Europäischen Parlaments und des Rates (EU) 2016/679 vom 27. April 2016 sowie der Verordnung des Ministers für Inneres und Verwaltung vom 29. April 2004 erstellt. über die Dokumentation der Verarbeitung personenbezogener Daten und die technischen und organisatorischen Bedingungen, die Geräte und IT-Systeme erfüllen müssen, die für die Verarbeitung personenbezogener Daten verwendet werden (GBl. 2004, Nr. 100, Pos. 1024) in Bezug auf Artikel 68 und 69, Absatz 1 Punkt 3 des Gesetzes vom 27. August 2009 über die öffentlichen Finanzen (konsolidierte Fassung: Gesetzblatt 2013, Punkt 885).

  1. Erteilung von Ermächtigungen und Befugnissen

(1) Der für die Datenverarbeitung Verantwortliche, der gleichzeitig der für das IT-System Verantwortliche ist, erteilt alle Zugriffsberechtigungen für das System.

(2) Wer zur Verarbeitung personenbezogener Daten befugt sein will, muss:

(a) mit dieser Verordnung vertraut sein,

(b) die erforderliche Ausbildung erhalten,

(c) eine Vertraulichkeitserklärung unterzeichnen und sich der damit verbundenen Verpflichtungen bewusst sein.

(3) Die Genehmigung für die Verarbeitung personenbezogener Daten auf Papier wird für die folgenden Zwecke erteilt:

Die Verarbeitung personenbezogener Daten zu Zwecken im Zusammenhang mit der Tätigkeit des für die Verarbeitung Verantwortlichen ist rechtmäßig, wenn die Daten bei der betroffenen Person erhoben wurden, und zulässig, wenn sie zur Ausübung eines Rechts oder zur Erfüllung einer Pflicht aufgrund einer Rechtsvorschrift erforderlich ist.

Wurden personenbezogene Daten nicht bei der betroffenen Person eingeholt, so ist ihre Verarbeitung rechtmäßig, wenn eine spezifische Bestimmung dies vorsieht.

Die Beurteilung der Notwendigkeit der Verarbeitung personenbezogener Daten zur Erfüllung der rechtmäßigen Zwecke des für die Verarbeitung Verantwortlichen sollte von Fall zu Fall erfolgen.

Die Verarbeitung von Daten für einen anderen Zweck als den, für den sie erhoben wurden, ist zulässig, wenn sie nicht gegen die Rechte und Freiheiten der betroffenen Person verstößt und wenn sie zur Ausübung eines Rechts oder zur Erfüllung einer Verpflichtung aufgrund einer Rechtsvorschrift erfolgt.

(4) Wird eine Genehmigung für ein Datenspeichersystem erteilt, so hat der für dieses System Verantwortliche der Person eine individuelle und eindeutige Kennung im System zuzuweisen.

(5) Wird eine Genehmigung zur Verarbeitung personenbezogener Daten aus irgendeinem Grund widerrufen, so werden die der betreffenden Person im EDV-System zugewiesenen Rechte gesperrt.

(6) Der Systemverwalter ist persönlich für die Registrierung der zugewiesenen Berechtigungen im Computersystem verantwortlich und ist verpflichtet, deren Übereinstimmung mit dem tatsächlichen Zustand zu überwachen und zu kontrollieren.

(7) Es ist zu beachten, dass jeder, der Zugang zu dem Raum hat, in dem die Geräte des IT-Systems installiert sind, das System beschädigen kann oder Zugang zu den auf dem Bildschirm angezeigten Informationen oder Ausdrucken hat. Bedrohungen für das System können auch von anderen Personen ausgehen, z. B. von Support-Mitarbeitern, Technikern, Beratern usw., die über ausreichende Fähigkeiten und Kenntnisse für den Zugang zum Netz verfügen.

(8) Die Räume, in denen sich die Computerarbeitsplätze befinden, müssen: a) verschlossen sein, wenn sich niemand darin aufhält; b) mit Tresoren oder anderen Behältnissen zur Aufbewahrung von Dokumenten ausgestattet sein. (9) Die Installation von IKT-Systemen und Netzausrüstungen erfolgt mit Wissen und unter der Kontrolle des Beauftragten für die Informationssicherheit, der auch für die Bedingungen für die Inbetriebnahme, die Lagerung, den Betrieb und die Außerbetriebnahme jeder Ausrüstung verantwortlich ist.

2 Passwort-Politik

(1) Das Passwort für den Zugang zum Informationssystem muss aus mindestens 8 Zeichen bestehen (Groß- und Kleinbuchstaben und Zahlen oder Sonderzeichen).

(2) Das Passwort für den Zugang zum Informationssystem ist mindestens alle 30 Tage und unverzüglich zu ändern, wenn der Verdacht besteht, dass das Passwort missbraucht worden sein könnte.

(3) Ein Systembenutzer kann sein Passwort ändern, während er in der Anwendung arbeitet, falls erforderlich.

(4) Die Änderung des Passworts erfolgt automatisch durch den Benutzer.

(5) Passwörter dürfen nicht aus allgemein gebräuchlichen Wörtern bestehen, insbesondere nicht aus Datumsangaben, Vornamen, Nachnamen, Initialen, Autokennzeichen und Telefonnummern.

(6) Der Nutzer verpflichtet sich, Passwörter auch nach Ablauf ihrer Gültigkeitsdauer geheim zu halten, insbesondere ist es nicht gestattet, Passwörter offen an nicht dafür vorgesehenen Stellen zu speichern oder an andere weiterzugeben.

3 Nutzung des IT-Systems

  1. Die IT-Ausstattung besteht aus Desktop-Computern, Netzwerkdruckern und Serverstationen.

Der Systemnutzer führt alle Arbeiten aus, die für eine effektive und sichere Arbeit am Arbeitsplatz erforderlich sind (einschließlich der Nutzung eines Arbeitsplatzes). Er/sie ist verpflichtet, die erforderlichen Sicherheitsbedingungen aufrechtzuerhalten, insbesondere die Verfahren für den Zugang zum System und den Schutz der personenbezogenen Daten einzuhalten. Die Person, die das IT-System benutzt:

(a) ist verpflichtet, das Gerät bestimmungsgemäß und in Übereinstimmung mit der beiliegenden Bedienungsanleitung zu benutzen und das Gerät vor Zerstörung, Verlust oder Beschädigung zu schützen,

b) ist verpflichtet, den Verwalter dieses Systems unverzüglich über jede Zerstörung, jeden Verlust oder jede Beschädigung der ihm anvertrauten Geräte zu informieren,

(c) darf auf dem Computersystem keine Software installieren oder willkürlich verwenden, die nicht im Voraus von ASI genehmigt wurde, oder versuchen, die administrativen Rechte auf diesem System zu brechen oder zu erhalten, und es ist verboten, illegale Programme und Dateien, die von einer unbekannten Quelle heruntergeladen wurden (illegale Herkunft), auf die Festplatte des Computers zu kopieren oder auszuführen. Derartige Dateien sollten nur mit der Erlaubnis des Datenverwalters in jedem einzelnen Fall und nur in begründeten Fällen heruntergeladen werden, sofern dies nicht zu einem Gesetzesverstoß führt.

d) darf nicht willkürlich in Geräte eingreifen, diese verschieben, öffnen (zerlegen), zusätzliche Geräte (z. B. Festplatten, Speichersticks) installieren oder nicht zugelassene Geräte an das IT-System anschließen (auch private Geräte, und sei es nur, um die Akkus dieser Geräte zu laden).

3 Antivirenpolitik Hinsichtlich des Virenschutzes werden folgende Empfehlungen ausgesprochen: a) keine andere als die vom Systemadministrator empfohlene Software auf dem Arbeitsplatz zu verwenden; b) keine Freeware- oder Shareware-Software zu installieren; c) die Virendatenbank der installierten Antivirensoftware regelmäßig zu aktualisieren; d) vor der Verwendung von Speichermedien zu prüfen, dass diese nicht mit einem Computervirus infiziert sind.

4 Politik des sauberen Bildschirms

  1. Politik des sauberen Bildschirms, d.h. Ergreifung aller Maßnahmen, um sicherzustellen, dass Unbefugte keinen Zugang zu den Inhalten haben, die auf den Bildschirmen oder Laptops angezeigt werden, auf denen Kundendaten gespeichert sind.

(2) Eine zur Nutzung des IT-Systems berechtigte Person ist verpflichtet, jedes Mal, wenn sie das IT-System auch nur für einen Moment unbeaufsichtigt lässt, einen passwortgeschützten Bildschirmschoner manuell zu aktivieren.

(3) Das Anfertigen von Screenshots des IT-Systems, auf denen Daten angezeigt werden, sowie das Versenden solcher Informationen außerhalb der Organisation ohne die Zustimmung des Administrators dieses Systems ist verboten.

(4) Jeder, der zur Nutzung des IT-Systems berechtigt ist, ist verpflichtet:

(a) Monitore und Laptop-Bildschirme so aufzustellen, dass der darauf angezeigte Inhalt sowohl von den Fenstern als auch von den Eingangstüren der Räume, in denen sie sich befinden, nicht eingesehen werden kann,

b) beim Betrieb der tragbaren Computer außerhalb des Verarbeitungsbereichs, z. B. auf Flughäfen, Bahnhöfen, in Konferenzräumen und an anderen öffentlichen Orten, die Diskretion und den Schutz der dort angezeigten Daten zu gewährleisten,

c) den Aufenthalt von unbefugten Personen im Datenverarbeitungsbereich zu überwachen.

5 Politik des sauberen Schreibtisches und des sauberen Drucks

  1. eine „Clean Desk Policy“, d.h. die Sicherstellung, dass nach Beendigung der Arbeit alle Dokumente, die personenbezogene Daten enthalten, nicht in die Hände von Unbefugten gelangen.
  2. wenn der Raum mit abschließbaren Möbeln oder Schränken ausgestattet ist, die Schränke vor Beendigung der Arbeit abzuschließen, alle sensiblen Daten und Dokumente vorher darin zu verstauen und die Schlüssel an einem sicheren Ort aufzubewahren, damit Unbefugte keinen Zugang zu ihnen haben.

(3) Wer als letzter einen Datenverarbeitungsbereich verlässt, sollte sich vergewissern, dass alle Fenster geschlossen sind und alle anderen Sicherheitsvorkehrungen, z. B. die Alarmanlage, vorhanden sind. Diese sollte scharf geschaltet sein, die Türen sollten verschlossen und alle anderen Sicherheitssysteme aktiviert sein.

(4) Dokumente und Ausdrucke, die personenbezogene Daten enthalten, dürfen in Bereichen, in denen sich Geräte wie Drucker, Fotokopierer oder Scanner befinden, nicht unbeaufsichtigt gelassen werden. Falsch ausgedruckte oder zum Wegwerfen bestimmte Dokumente sind unverzüglich mit Hilfe von Aktenvernichtern oder Behältern für die Entsorgung vertraulicher Unterlagen zu vernichten.

(5) Falls es erforderlich ist, dass Ausdrucke personenbezogener Daten außerhalb des Verarbeitungsbereichs mitgenommen werden, muss dies so geschehen, dass ihre Vertraulichkeit gewährleistet ist, d. h. die Dokumente müssen abgedeckt und vor zufälligem Verlust und Einsichtnahme durch Unbefugte geschützt werden.

6 Weitergabe personenbezogener Daten

  1. Der Datenverarbeiter muss sich bei der telefonischen Übermittlung von Daten der Identität seines Anrufers vergewissern; im Falle von Zweifeln an der Identität muss der für die Verarbeitung Verantwortliche über das Problem bei der Feststellung der Identität des Anrufers informiert werden. Wenn die mündliche Übermittlung von Daten die Vertraulichkeit nicht gewährleistet, sollte eine schriftliche Übermittlung (zur Überprüfung) erfolgen.

(2) Personenbezogene Daten dürfen der betroffenen Person oder einer anderen Person mit ihrer Zustimmung nur zu Beweiszwecken nach dem im vorstehenden Absatz vorgesehenen Verfahren mitgeteilt werden.

(3) Bei der Weitergabe personenbezogener Daten außerhalb des Betriebsgeländes, wo sie nicht angemessen geschützt werden können (z. B. an öffentlich zugänglichen Orten), muss die größtmögliche Vertraulichkeit der Daten gewährleistet sein.

(4) Das Risiko der Offenlegung personenbezogener Daten oder anderer Informationen über die bestehenden Sicherheitsvorkehrungen gegenüber Unbefugten sollte durch verschiedene, für diesen Zweck geeignete Maßnahmen gemindert werden. Risikosituationen sind beispielsweise:

(a) Anforderung von Daten über die bestehenden Sicherheitsmaßnahmen durch Nachahmer (Identitätsdiebstahl),

b) Ersuchen um Informationen über früher verwendete Passwörter für den Zugang zu IT-Systemen (telefonisches Social Engineering),

(c) jede andere verdächtige Anfrage nach Verschlusssachen, insbesondere per Telefon.

7 Nutzung des Internetzugangs

(1) Jeder, der Daten verarbeitet, ist verpflichtet, das Internet nur zu dem Zweck zu nutzen, der zur Erfüllung der ihm von dem für die Verarbeitung Verantwortlichen übertragenen Aufgaben erforderlich ist. Es ist grundsätzlich untersagt, während der Arbeit Websites zu privaten Zwecken zu besuchen.

(2) Die Datenverarbeiter sind verpflichtet, bei der Nutzung des Internets die Gesetze, insbesondere das gewerbliche Eigentum und das Urheberrecht, zu beachten.

(3) Den Auftragsverarbeitern ist es grundsätzlich untersagt, das Internet zu nutzen, um Inhalte anzusehen, die nicht mit ihrer Funktion oder ihrer Arbeit in Zusammenhang stehen, insbesondere Inhalte, die anstößig, sittenwidrig oder mit den allgemein geltenden Verhaltensregeln unvereinbar sind, sowie um im Internet oder auf einem Computersystem Computerspiele zu spielen, Filme anzusehen oder sich auf andere Weise zu unterhalten.

(4) Soweit gesetzlich zulässig, behält sich der für die Verarbeitung Verantwortliche das Recht vor, die Nutzung des Internets durch die Datenverarbeiter im Hinblick auf die oben beschriebenen Grundsätze zu überprüfen und zu kontrollieren.

8 Nutzung von E-Mail

(1) Elektronische Post ist nur für die Erfüllung der Aufgaben der jeweiligen Stelle bestimmt und darf nur für diese genutzt werden; jede andere Nutzung ist unzulässig und kann eine Haftung nach sich ziehen.

(2) Die Datenverarbeiter sind verpflichtet, bei der Nutzung von E-Mail das gewerbliche Schutzrecht und das Urheberrecht zu beachten.

(3) Datenverarbeiter müssen besonders darauf achten, dass sie nicht versehentlich Nachrichten über das Internet, auch nicht über ein privates elektronisches Postfach, versenden, die als vertraulich eingestufte Informationen an Unbefugte enthalten, z. B. über den für die Verarbeitung Verantwortlichen, seine Mitarbeiter, Kunden, Lieferanten oder Auftragnehmer.

Die für die Verarbeitung Verantwortlichen sollten äußerste Vorsicht walten lassen und keine E-Mails von unbekannten Absendern öffnen, deren Titel keinen Zusammenhang mit den Aufgaben ihrer Position vermuten lässt; sie sollten solche Nachrichten dem für die Verarbeitung Verantwortlichen melden und sie aus ihrer Mailbox löschen.

(5) Werden Dateien, die personenbezogene Daten enthalten, auf elektronischem Wege an Externe versandt, die dazu berechtigt sind, so ist der Datenverarbeiter verpflichtet, die Dateien zu verpacken und mit einem Passwort zu versehen. Das Passwort muss auf einem separaten Kommunikationsweg übermittelt werden, so dass im Falle einer fehlerhaften Übermittlung oder eines unbefugten Abfangens nicht die Gefahr besteht, dass die Datei geöffnet wird.

9 Elektronische Datenträger

  1. Elektronische Datenträger sind z.B. Wechselfestplatten, Pen-Drives, CDs, DVDs, Flash-Laufwerke.

(2) Datenverarbeiter dürfen entnehmbare elektronische Datenträger, sowohl private als auch gemeinsam genutzte, nicht außerhalb des Verarbeitungsbereichs mitnehmen, wenn auf ihnen Informationen mit personenbezogenen Daten ohne Einwilligung des Verantwortlichen und ohne dessen Kenntnis im Einzelfall übertragen werden.

(3) Im Falle der Beschädigung, des Verschleißes oder der Einstellung der Nutzung eines Datenträgers mit personenbezogenen Daten ist dieser durch Verbrennen oder Schreddern physisch zu vernichten, so dass die darin enthaltenen Informationen nicht mehr gelesen oder verwendet werden können.

10 Anweisungen für den Notfall

Der Datenverarbeiter ist verpflichtet, den für die Verarbeitung Verantwortlichen im Falle einer festgestellten oder vermuteten Verletzung des Schutzes personenbezogener Daten zu benachrichtigen.

Der Verwalter von Informationssystemen ist verpflichtet, nach der Feststellung eines Verstoßes gegen das Informationssystem die Ursachen des Verstoßes gegen das Informationssystem zu ermitteln, die Folgen des Verstoßes gegen das Informationssystem zu analysieren und zu ermitteln, die Faktoren zu ermitteln, die den Verstoß gegen das Informationssystem verursacht haben, die notwendigen Korrekturen am Informationssystem vorzunehmen, die darin bestehen, das System vor einem erneuten Verstoß zu schützen. Der Verwalter ergreift ähnliche Maßnahmen, wenn er feststellt, dass:

(a) Spuren an Türen, Fenstern und Schränken auf einen Einbruchsversuch hindeuten,

(b) Dateien ohne Verwendung eines Schredders oder überhaupt nicht vernichtet werden,

(c) Türen zu Räumen und Schränken, in denen personenbezogene Daten aufbewahrt werden, werden offen gelassen,

(d) keine Überwachungseinrichtungen vorhanden sind, die den Zugang Unbefugter verhindern,

e) unbefugtes Kopieren und Entfernen personenbezogener Daten in Papierform und/oder elektronischer Form außerhalb des Verarbeitungsbereichs ohne Zustimmung und Benachrichtigung der Verwaltung erfolgt,

f) telefonische Erkundigungen nach personenbezogenen Daten oder Zugangspasswörtern erfolgen,

g) Computer oder elektronische Speichermedien gestohlen werden,

h) eine Bedrohung durch ein Antivirenprogramm gemeldet wird,

die Passwörter zu den Systemen nicht ordnungsgemäß geschützt sind oder in der Nähe des Computers aufbewahrt werden.

11 Disziplinarmaßnahmen

Jede ungerechtfertigte Nichteinhaltung der Datenschutzrichtlinien im Rahmen dieser Bedingungen kann als schwerwiegender Verstoß gegen grundlegende Arbeitnehmerpflichten oder vertragliche Verpflichtungen, die eine Person in einer bestimmten Situation zu einem bestimmten Verhalten verpflichten, behandelt werden. Eine Person, die im Falle einer Verletzung der Sicherheit des Informationssystems oder eines begründeten Verdachts auf eine solche Verletzung nicht die in diesen Regeln vorgesehenen Maßnahmen ergriffen und insbesondere die zuständige Person nicht gemäß den festgelegten Regeln benachrichtigt hat, kann disziplinarisch belangt werden, was nicht ausschließt, dass sie nach den einschlägigen gesetzlichen Bestimmungen für den entstandenen Schaden oder das Risiko eines solchen Schadens haftbar gemacht wird.

(2) Die Disziplinarstrafe, die gegen eine Person verhängt wird, die es unterlässt, den Verwalter über ein Risiko zu informieren, schließt nicht aus, dass sie zusätzlich nach dem Gesetz über den Schutz personenbezogener Daten vom 10. Mai 2018 (GBl. 2018, Nr. 1000, 1669, 2019, Nr. 730.) und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 haftbar gemacht werden kann und dass gegen sie eine Zivilklage auf Ersatz des entstandenen Schadens erhoben werden kann.