Einleitung
Dieses Reglement dient der Vereinheitlichung und Umsetzung der wichtigsten Bestimmungen, die in der Dokumentation zum Schutz personenbezogener Daten enthalten und auch gesetzlich vorgeschrieben sind. Es gilt für Vollzeitbeschäftigte und Mitarbeiter mit einer gültigen Genehmigung zur Verarbeitung personenbezogener Daten, die vom Inhaber der Datenverarbeitung erteilt wurde. Das Reglement wurde im Zusammenhang mit den Anforderungen des Gesetzes vom 10. Mai 2018 über den Schutz personenbezogener Daten (Gesetzblatt von 2018, Pos. 1000, 1669, von 2019, Pos. 730.) und der Verordnung des Europäischen Parlaments und des Rates (EU) 2016/679 vom 27. April 2016 sowie der Verordnung des Ministers für Inneres und Verwaltung vom 29. April 2004 erstellt. über die Dokumentation der Verarbeitung personenbezogener Daten und die technischen und organisatorischen Bedingungen, die Geräte und IT-Systeme erfüllen müssen, die für die Verarbeitung personenbezogener Daten verwendet werden (GBl. 2004, Nr. 100, Pos. 1024) in Bezug auf Artikel 68 und 69, Absatz 1 punkt 3 des Gesetzes vom 27. August 2009 über die öffentlichen Finanzen (konsolidierte Fassung: Gesetzblatt 2013, Pos. 885).
1. Erteilung von Genehmigungen und Rechten
1. Der für die Verarbeitung Verantwortliche, der gleichzeitig als IT-Systemadministrator fungiert, erteilt alle Zugriffsberechtigungen für das System.
2. Bevor jemand zur Verarbeitung personenbezogener Daten berechtigt ist, muss er:
(a) mit dem vorliegenden Reglement vertraut sein,
b) die erforderliche Schulung erhalten,
c) eine Vertraulichkeitserklärung unterzeichnen und sich der damit verbundenen Verpflichtungen bewusst sein.
3. Die Genehmigung zur Verarbeitung personenbezogener Daten auf Papier wird für die folgenden Zwecke erteilt:
-
Die Verarbeitung personenbezogener Daten für Zwecke im Zusammenhang mit der Tätigkeit des für die Verarbeitung Verantwortlichen ist rechtmäßig, wenn die Daten bei der betroffenen Person erhoben wurden, und zulässig, wenn sie für die Ausübung eines Rechts oder die Erfüllung einer Verpflichtung aufgrund einer Rechtsvorschrift erforderlich ist.
-
Wurden die personenbezogenen Daten nicht bei der betroffenen Person erhoben, so ist ihre Verarbeitung rechtmäßig, wenn eine spezifische Bestimmung dies vorsieht.
-
Die Beurteilung der Notwendigkeit der Verarbeitung personenbezogener Daten zur Erfüllung der rechtmäßigen Zwecke des für die Verarbeitung Verantwortlichen sollte von Fall zu Fall erfolgen.
-
Die Verarbeitung von Daten für einen anderen Zweck als den, für den sie erhoben wurden, ist zulässig, wenn dadurch die Rechte und Freiheiten der betroffenen Person nicht verletzt werden und wenn sie zur Ausübung eines Rechts oder zur Erfüllung einer Pflicht aufgrund einer Rechtsvorschrift erfolgt.
4. Wird eine Genehmigung für ein Ablagesystem in einem IT-System erteilt, so weist der für dieses System Verantwortliche der Person in dem System eine individuelle und eindeutige Kennung zu.
5. Wird die Genehmigung zur Verarbeitung personenbezogener Daten aus irgendeinem Grund entzogen, werden die der betreffenden Person in dem EDV-System zugewiesenen Berechtigungen gesperrt.
6. Der für das System Verantwortliche ist persönlich für die Eintragung der zugewiesenen Berechtigungen in das EDV-System verantwortlich und ist verpflichtet, deren Übereinstimmung mit dem Ist-Zustand zu überwachen und zu beaufsichtigen.
7. Sie sollten sich darüber im Klaren sein, dass jeder, der Zugang zu dem Raum hat, in dem die Geräte des IT-Systems installiert sind, das System beschädigen kann oder Zugang zu den auf dem Bildschirm angezeigten Informationen oder Ausdrucken hat. Bedrohungen für das System können auch von anderen Personen ausgehen, z. B. von Support-Mitarbeitern, Technikern, Beratern usw., die über ausreichende Fähigkeiten und Kenntnisse verfügen, um auf das Netz zuzugreifen.
8. Die Räume, in denen sich die Computerarbeitsplätze befinden, müssen: a) verschlossen sein, wenn sich niemand darin aufhält; b) mit Tresoren oder anderen Behältnissen zur Aufbewahrung von Dokumenten ausgestattet sein. Die Installation der Geräte des IKT-Systems und des Netzes erfolgt mit Wissen und unter der Kontrolle des Informationssicherheitsadministrators, der auch für die Bedingungen für die Inbetriebnahme, die Lagerung, den Betrieb und die Außerbetriebnahme jedes Geräts verantwortlich ist.
2. Passwort-Politik
1. Das Passwort für den Zugang zum Informationssystem muss aus mindestens 8 Zeichen bestehen (Groß- und Kleinbuchstaben und Zahlen oder Sonderzeichen).
2. Das Kennwort für den Zugang zum Informationssystem ist mindestens alle 30 Tage zu ändern und unverzüglich, wenn der Verdacht besteht, dass das Kennwort bekannt geworden sein könnte.
3. Der Nutzer des Systems kann sein Passwort ändern, während er in der Anwendung arbeitet, falls erforderlich.
4. Die Änderung des Passworts erfolgt automatisch durch den Benutzer.
5. Die Passwörter dürfen nicht aus allgemein gebräuchlichen Wörtern bestehen, insbesondere dürfen keine Daten, Vornamen, Nachnamen, Initialen, Autokennzeichen oder Telefonnummern als Passwörter verwendet werden.
6. Der Nutzer verpflichtet sich, Passwörter auch nach Ablauf ihrer Gültigkeit vertraulich zu behandeln; insbesondere ist es untersagt, Passwörter offen an nicht dafür vorgesehenen Stellen zu speichern oder an andere weiterzugeben.
3. Nutzung des IT-Systems
1. Die IT-Ausstattung besteht aus Desktop-Computern, Netzwerkdruckern und Serverstationen.
2. Der Nutzer des Systems führt alle Arbeiten aus, die für ein effektives und sicheres Arbeiten am Arbeitsplatz /auch an einer Workstation/ erforderlich sind. Er/sie ist verpflichtet, die erforderlichen Sicherheitsbedingungen einzuhalten, insbesondere die Verfahren für den Zugang zum System und den Schutz personenbezogener Daten zu beachten. Die Person, die das Computersystem benutzt
(a) ist verpflichtet, das Gerät wie folgt zu benutzen: entsprechend seinem Verwendungszweck, in Übereinstimmung mit der beigefügten Bedienungsanleitung, und das Gerät vor Zerstörung, Verlust oder Beschädigung zu schützen,
b) er unterrichtet den Verwalter dieses Systems unverzüglich über jede Zerstörung, jeden Verlust oder jede Beschädigung der ihm anvertrauten Ausrüstung,
(c) keine Software auf dem Computersystem zu installieren oder willkürlich zu verwenden, die nicht zuvor von ASI genehmigt wurde, oder zu versuchen, administrative Rechte auf diesem System zu brechen oder zu erlangen, und es ist verboten, illegale Programme und Dateien, die von einer unbekannten Quelle heruntergeladen wurden (illegaler Ursprung), auf die Festplatte des Computers zu kopieren und auszuführen. Derartige Dateien dürfen nur mit Genehmigung des für die Verarbeitung Verantwortlichen in jedem Einzelfall und nur in begründeten Fällen heruntergeladen werden, sofern dies nicht zu einem Gesetzesverstoß führt.
(d) dürfen nicht willkürlich Hardware manipulieren, verschieben, öffnen (zerlegen), zusätzliche Geräte installieren (z. B. Festplatten, Speichersticks) oder nicht zugelassene Geräte an das IT-System anschließen (einschließlich privater Geräte, selbst wenn sie nur zum Aufladen der Batterien dieser Geräte dienen).
3. Anti-Virus-Politik In Bezug auf den Anti-Virus-Schutz werden folgende Empfehlungen umgesetzt: a) keine andere als die vom Systemadministrator empfohlene Software auf dem Arbeitsplatz zu verwenden; b) keine Freeware oder Shareware zu installieren; c) die Virendatenbank der installierten Anti-Virus-Software regelmäßig zu aktualisieren; d) vor der Verwendung von Speichermedien auf Computerviren zu prüfen.
4. Politik des sauberen Bildschirms
1. Eine Politik des sauberen Bildschirms, d. h. die Ergreifung aller Maßnahmen, um sicherzustellen, dass Unbefugte keinen Zugang zu den Inhalten haben, die auf Bildschirmen oder Laptops angezeigt werden, auf denen Kundendaten gespeichert sind.
2. Eine zur Nutzung des IT-Systems berechtigte Person ist verpflichtet, den passwortgeschützten Bildschirmschoner jedes Mal manuell zu aktivieren, wenn sie das IT-System auch nur für einen Moment unbeaufsichtigt lässt.
3. Screenshots des IT-Systems, auf denen Daten angezeigt werden, sowie das Versenden solcher Informationen außerhalb der Organisation ohne die Zustimmung des Administrators dieses Systems sind verboten.
4. Jeder, der berechtigt ist, das IT-System zu benutzen, ist verpflichtet:
(a) Monitore und Laptop-Bildschirme so aufzustellen, dass der darauf angezeigte Inhalt sowohl von den Fenstern als auch von den Eingangstüren der Räumlichkeiten, in denen sie sich befinden, nicht eingesehen werden kann,
(b) beim Betrieb der tragbaren Computer außerhalb des Verarbeitungsbereichs, z. B. auf Flughäfen, Bahnhöfen, in Konferenzräumen und an anderen öffentlichen Orten, die Diskretion und den Schutz der dort angezeigten Daten sicherzustellen,
c) den Aufenthalt unbefugter Personen im Datenverarbeitungsbereich zu überwachen.
5. Clean Desk und Clean Print Policy
1. Eine "Clean Desk Policy", d.h. die Sicherstellung, dass nach Beendigung der Arbeit alle Dokumente, die personenbezogene Daten enthalten, für Unbefugte unzugänglich aufbewahrt werden.
2. Wenn der Raum mit Möbeln oder abschließbaren Schränken ausgestattet ist, schließen Sie die Schränke vor Beendigung der Arbeit ab, legen Sie alle sensiblen Daten und Dokumente vorher hinein und bewahren Sie die Schlüssel an einem sicheren Ort auf, damit Unbefugte keinen Zugang zu ihnen haben.
3. Wer einen Datenverarbeitungsbereich zum letzten Mal verlässt, sollte überprüfen, ob alle Fenster geschlossen sind und ob andere Sicherheitsvorkehrungen, z. B. die Alarmanlage, vorhanden sind. Diese sollte scharf geschaltet sein, die Türen sollten verschlossen und alle anderen Sicherheitssysteme aktiviert sein.
4. Es ist verboten, Dokumente und Ausdrucke, die personenbezogene Daten enthalten, in Bereichen, in denen sich Geräte wie Drucker, Fotokopierer oder Scanner befinden, unbeaufsichtigt zu lassen. Falsch gedruckte oder zum Wegwerfen bestimmte Dokumente sind unverzüglich mit Hilfe von Aktenvernichtern oder Behältern für die Entsorgung vertraulicher Unterlagen zu vernichten.
5. Wenn es erforderlich ist und eine Situation eintritt, in der Papierdokumente mit personenbezogenen Daten außerhalb des Verarbeitungsbereichs transportiert werden, muss dies auf eine Weise geschehen, die ihre Vertraulichkeit gewährleistet, d. h. die Dokumente müssen abgedeckt und gegen zufälligen Verlust und Zugriff durch Unbefugte geschützt werden.
6. Weitergabe personenbezogener Daten
1. Der Verarbeiter personenbezogener Daten muss sich bei der telefonischen Übermittlung von Daten der Identität seines Anrufers sicher sein; bei Zweifeln an der Identität muss der für die Verarbeitung Verantwortliche über das Problem bei der Feststellung der Identität des Anrufers informiert werden. Wenn die mündliche Weitergabe von Daten die Vertraulichkeit nicht gewährleistet, sollte eine schriftliche Weitergabe (zur Einsichtnahme) erfolgen.
2. Personenbezogene Daten können der betroffenen Person oder einer anderen Person nur mit ihrer Zustimmung zu Beweiszwecken nach dem im vorstehenden Absatz vorgesehenen Verfahren zugänglich gemacht werden.
3. Bei der Bereitstellung personenbezogener Daten außerhalb des Standorts, wo sie nicht angemessen geschützt werden können (z. B. an öffentlich zugänglichen Orten), muss die größtmögliche Vertraulichkeit der Daten gewährleistet sein.
4. Das Risiko, dass personenbezogene Daten oder andere Informationen über die bestehenden Sicherheitsmaßnahmen an Unbefugte weitergegeben werden, muss durch verschiedene, für diesen Zweck geeignete Maßnahmen gemindert werden. Zu den risikobehafteten Situationen gehören:
(a) Ersuchen um Daten über die getroffenen Sicherheitsmaßnahmen durch Nachahmer (Identitätsdiebstahl),
b) Ersuchen um Informationen über früher verwendete Passwörter für den Zugang zu IT-Systemen (telefonisches Social Engineering),
(c) jede andere verdächtige Anfrage nach Verschlusssachen, insbesondere per Telefon.
7. Nutzung des Internetzugangs
1. Jeder, der Daten verarbeitet, ist verpflichtet, das Internet nur zu dem Zweck zu nutzen, der zur Erfüllung der ihm vom für die Verarbeitung Verantwortlichen übertragenen Aufgaben erforderlich ist. Es ist kategorisch verboten, während der Arbeit Websites für private Zwecke zu besuchen.
2. Bei der Nutzung des Internets sind die Datenverarbeiter verpflichtet, die Gesetze einzuhalten und insbesondere das gewerbliche Eigentum und das Urheberrecht zu respektieren.
3. Den Auftragsverarbeitern ist es grundsätzlich untersagt, das Internet zu nutzen, um Inhalte anzusehen, die nicht mit ihrer Funktion oder ihrer Arbeit in Zusammenhang stehen, insbesondere Inhalte, die beleidigend oder sittenwidrig sind oder nicht den allgemein geltenden Verhaltensregeln entsprechen, sowie um Computerspiele im Internet oder auf einem Computersystem zu spielen, Filme anzusehen oder sich auf andere Weise zu unterhalten.
4. Soweit gesetzlich zulässig, behält sich der Inhaber der Datenverarbeitung das Recht vor, die Nutzung des Internets durch die Datenverarbeiter im Sinne der vorgenannten Grundsätze zu überprüfen und zu kontrollieren.
8. Nutzung der elektronischen Post
1. Die elektronische Post ist nur für die Erfüllung der Aufgaben der jeweiligen Stelle bestimmt und darf nur zu diesem Zweck verwendet werden; jede andere Verwendung ist unzulässig und kann zu einer Haftung führen.
2. Bei der Nutzung von E-Mail sind die Verantwortlichen verpflichtet, das gewerbliche Schutzrecht und das Urheberrecht zu beachten.
3. Die Auftragsverarbeiter sollten besonders darauf achten, dass sie nicht versehentlich Nachrichten mit als vertraulich eingestuften Informationen, die z. B. den für die Verarbeitung Verantwortlichen, seine Mitarbeiter, Kunden, Lieferanten oder Auftragnehmer betreffen, über das Internet an Unbefugte senden, auch nicht über ein privates elektronisches Postfach.
4. Datenverarbeiter sollten äußerste Vorsicht walten lassen und keine E-Mails von unbekannten Absendern öffnen; wenn der Titel keinen Zusammenhang mit den Aufgaben ihrer Position vermuten lässt, sollten sie solche Nachrichten dem für die Verarbeitung Verantwortlichen melden und sie aus ihrer Mailbox löschen.
5. Werden Dateien, die personenbezogene Daten enthalten, auf elektronischem Wege an Externe versandt, die dazu befugt sind, so ist der Datenverarbeiter verpflichtet, sie zu verpacken und mit einem Passwort zu versehen. Das Passwort muss über ein separates Kommunikationsmittel übermittelt werden, damit im Falle einer fehlerhaften Übermittlung oder eines unbefugten Abfangens keine Gefahr besteht, dass die Datei geöffnet wird.
9. Elektronische Datenträger
1. Elektronische Datenträger sind z.B. Wechselfestplatten, Pen-Drives, CDs, DVDs, Flash-Laufwerke.
2. Datenverarbeiter dürfen entfernbare elektronische Speichermedien, sowohl private als auch gemeinsam genutzte, nicht außerhalb des Verarbeitungsbereichs mitnehmen, wenn darauf Informationen mit personenbezogenen Daten ohne die Zustimmung des für die Datenverarbeitung Verantwortlichen und ohne dessen Kenntnis in jedem Fall übertragen wurden.
3. Bei Beschädigung, Abnutzung oder Einstellung der Nutzung eines Datenträgers, der personenbezogene Daten enthält, muss dieser physisch durch Verbrennen oder Schreddern vernichtet werden, so dass die darin enthaltenen Informationen nicht mehr gelesen oder verwendet werden können.
10. Anweisungen für Notfälle
-
Der Datenverarbeiter ist verpflichtet, den für die Verarbeitung Verantwortlichen im Falle einer festgestellten oder vermuteten Verletzung des Schutzes personenbezogener Daten zu benachrichtigen.
-
Der für die Datenverarbeitung Verantwortliche ist verpflichtet, nach der Entdeckung einer Verletzung des Informationssystems Spuren zu sichern, die es ermöglichen, die Ursachen der Verletzung des Informationssystems zu ermitteln, die Folgen der Verletzung des Informationssystems zu analysieren und zu ermitteln, die Faktoren zu ermitteln, die die Verletzung des Informationssystems verursacht haben, die notwendigen Korrekturen im Informationssystem vorzunehmen, die darin bestehen, das System gegen eine Wiederholung zu sichern. Der Verwalter ergreift ähnliche Maßnahmen, wenn er feststellt, dass:
(a) Spuren an Türen, Fenstern und Schränken auf einen Einbruchsversuch hindeuten,
(b) Dateien ohne Verwendung eines Schredders oder überhaupt nicht vernichtet werden,
(c) Türen zu Räumen und Schränken, in denen personenbezogene Daten aufbewahrt werden, offen gelassen werden,
d) Monitore nicht so eingerichtet sind, dass sie den Zugriff Unbefugter verhindern,
e) unbefugtes Kopieren und Entfernen personenbezogener Daten in Papierform und/oder elektronischer Form außerhalb des Verarbeitungsbereichs ohne Zustimmung und ohne Information der Verwaltung erfolgt,
f) telefonische Phishing-Versuche unternommen werden, um an personenbezogene Daten oder Zugangspasswörter zu gelangen,
g) Computer oder elektronische Datenträger gestohlen werden,
h) eine von einem Antivirenprogramm gemeldete Bedrohung vorliegt,
-
passwörter zu Systemen nicht ordnungsgemäß geschützt sind oder in der Nähe des Computers aufbewahrt werden.
11. Disziplinarmaßnahmen
1. Jede ungerechtfertigte Nichteinhaltung der Datenschutzrichtlinien im Rahmen dieser Bedingungen kann als schwerwiegender Verstoß gegen grundlegende Beschäftigungspflichten oder vertragliche Verpflichtungen behandelt werden, die die betreffende Person zu einem bestimmten Verhalten verpflichten. Gegen eine Person, die es im Falle einer Verletzung der Sicherheit des Informationssystems oder des begründeten Verdachts einer solchen Verletzung unterlassen hat, die in diesen Bestimmungen vorgesehenen Maßnahmen zu ergreifen und insbesondere die zuständige Person nicht gemäß den festgelegten Regeln informiert hat, kann eine Disziplinarstrafe verhängt werden, die eine Haftung nach den einschlägigen Rechtsvorschriften für den entstandenen Schaden oder das Risiko eines entstehenden Schadens nicht ausschließt.
2. Die Disziplinarstrafe, die gegen eine Person verhängt wird, die es unterlässt, den Verwalter über ein Risiko zu informieren, schließt nicht aus, dass sie gemäß dem Gesetz vom 10. Mai 2018 über den Schutz personenbezogener Daten (GBl. 2018, Nr. 1000, 1669, 2019, Nr. 730.) und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zusätzlich strafrechtlich zur Verantwortung gezogen wird und dass gegen sie eine Zivilklage auf Ersatz des entstandenen Schadens erhoben werden kann.