07.12.2018

IT-Reglement: Klare Regeln für einfachere Prozesse

Braucht es ein Reglement für die Nutzung der betrieblichen IT-Infrastruktur und den Umgang mit E-Mail und Internet? Aus vielen Gründen lohnt es sich für Unternehmen, klare Regeln für ihre Mitarbeitenden aufzustellen.

Von: Dr. iur. Elisabeth Glättli  DruckenTeilen Kommentieren 

Dr. iur. Elisabeth Glättli

Dr. iur. Elisabeth Glättli ist Fachanwältin SAV Arbeitsrecht und Mediatorin SAV. Sie führt in Winterthur die Anwaltskanzlei glättli partner.

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 

Manch eine Unternehmungsleitung mag beim Gedanken an ein neues Reglement zur Nutzung der betrieblichen IT-Infrastruktur und zum Umgang mit E-Mail und Internet wenig bis gar keine Begeisterung verspüren. Neue Regelungen sind unbeliebt, und der Aufwand dafür ist ebenfalls nicht attraktiv. Doch lohnt sich eine Auseinandersetzung mit der Nutzung der eigenen IT-Infrastruktur in verschiedener Hinsicht.   

Organisation der eigenen Daten und Datenbearbeitung

Ein Reglement verhilft zu einer geordneten und übersichtlichen Datenbearbeitung. Oft fehlt die Übersicht, wo welche Daten bearbeitet werden. Oft fehlt es an internen Regelungen, wie mit den geschäftlichen Daten und Personendaten umzugehen ist. In einem Reglement kann bestimmt werden, wie und nach welcher Ordnung elektronische Daten abzulegen, wie geschäftliche E-Mails zu versenden und zu speichern sind und was bei Abwesenheit oder Austritt von Mitarbeitenden zu beachten ist. Zudem können die Verantwortlichkeiten und die Berechtigungen bestimmt werden.

Effiziente Gestaltung der Geschäftsprozesse

Besteht Klarheit, wo welche Daten bearbeitet werden, vereinfacht dies die Geschäftsprozesse. Die erforderlichen Daten sind nachvollziehbar geordnet und auffindbar. Die Zuständigkeiten und der Zugriff auf die Daten sind überschaubar. Regelungen für den Versand und die Speicherung von E-Mails schaffen eine einheitliche und übersichtliche elektronische Korrespondenz, welche auch von anderen Personen oder bei Abwesenheit des gerade bearbeitenden Mitarbeitenden aufgefunden werden kann. Eine solche Gestaltung der Datenbearbeitung steigert die Effizienz und ein zielgerichtetes Vorgehen der Mitarbeitenden ebenso wie einen einheitlichen und klaren Auftritt gegen aussen.

Wahrnehmung der internen und externen datenschutzrechtlichen Verantwortlichkeit

Über die datenschutzrechtlichen Dos und Don’ts bestehen oft Unsicherheiten und wenig Bewusstsein. Folge eines unsachgemässen Umgangs mit Personendaten können Datenschutzverstösse sein. Ohne arbeitgeberseitige Weisungen besteht die Gefahr, dass Mitarbeitende oder der Arbeitgeber selbst Personendaten rechtswidrig bearbeiten, indem etwa Personendaten unbefugterweise bekannt gegeben werden oder der Arbeitgeber unzulässigerweise Einsicht in private Daten der Mitarbeitenden nimmt. Zudem können durch einen gesetzeswidrigen Umgang mit Daten der Schutz von Unternehmensgeheimnissen und Geheimhaltungspflichten gegenüber Kunden und anderen Personen verletzt und der Ruf des Unternehmens aufs Spiel gesetzt werden.

Produktiver Mitarbeitendeneinsatz

Übermässiges Mailen und Surfen der Mitarbeitenden für private Zwecke führt zu Beeinträchtigungen der Arbeitszeit und zu einer unsorgfältigen Arbeitsausführung. Mit klaren Richtlinien für die Nutzung des Internets und des Mailens zu privaten Zwecken kann solchem quantitativem Missbrauch des Internets und des E-Mail entgegengewirkt werden. Der Arbeitgeber kann überdies Nutzungsvorschriften inhaltlicher Art erlassen und definieren, welche Nutzungen im Betrieb verboten sind (z.B. Aufrufen von Internetseiten oder Versand von E-Mails mit illegalen Inhalten oder mit vom Arbeitgeber als unerlaubt definierten Inhalten, Mobbing, anonyme oder Massenmails). Zur Durchsetzung der Weisungen können Kontrollmöglichkeiten vorgesehen und Sanktionen festgelegt werden.

Prävention von IT-Pannen

Übermässiges Surfen, E-Mails oder das Herunterladen von Seiten von grossem Umfang können zu einer Gefährdung der Datensicherheit und der gesamten Nutzung der IT-Infrastruktur führen. So kann eine nicht sachgerechte Nutzung von Internet und E-Mail oder eine ungeregelte Anwendung von Peripheriegeräten Überlastungen des Netzwerkes und der Speicherkapazität sowie Beeinträchtigungen des Systems durch eingeschleuste Viren, Würmer und Trojaner zur Folge haben. Mit Regelungen, welche gefährliches Tun einschränken oder untersagen, durch verbessertes Bewusstsein und allfällige Meldepflichten der Arbeitnehmenden kann derartigen Gefährdungen entgegengewirkt werden.

Compliance: Einhaltung des Datenschutzgesetzes (DSG)

Ein Reglement und die Auseinandersetzung mit der Datenbearbeitung im Unternehmen fördern das datenschutzrechtliche Know-how und die Compliance hinsichtlich der datenschutzrechtlichen Vorschriften, wie sie insbesondere im Bundesgesetz über den Datenschutz (DSG) vom 19. Juni 1992, in Kraft seit 1. Juli 1993, geregelt sind (vgl. auch Art. 328b OR). Das DSG enthält die grundsätzlichen Vorschriften für die Bearbeitung von Personendaten. Zentral ist, dass bei der Bearbeitung solcher Daten die Grundsätze der Verhältnismässigkeit, der Zweckbindung, der Richtigkeit und der Sicherheit der Datenbearbeitung eingehalten werden. Datenbekanntgaben setzen grundsätzlich die Einwilligung der betroffenen Person, ein überwiegendes Interesse des Bearbeiters oder eine gesetzliche Bestimmung voraus. Die betroffene Person hat gegenüber dem Inhaber einer Datensammlung ein Auskunftsrecht darüber, ob und welche Daten über sie bearbeitet werden (Art. 8 DSG).

Für das Unternehmen bedeutet dies etwa, dass einem Mitarbeitenden Einsicht in das gesamte Personaldossier gewährt werden muss (mittels Kopien), dass es für gewisse Datenerhebungen das Einverständnis des Mitarbeitenden braucht (z.B. Durchführung von Eignungstest, Schriftgutachten, Persönlichkeitsbeurteilungen, Bekanntgabe von Daten), dass der Arbeitgeber Daten nur beschränkt erheben und nur zweckgebunden verwenden darf, dass die Daten richtig sein und nach einer gewissen Zeit gelöscht werden müssen. Die Einsicht in private E-Mails ist grundsätzlich nicht zulässig, ebenso wie das Aufzeichnen aller Aktivitäten. Auswertungen von Logfiles (Protokollierungen der Internetund E-Mail-Aktivitäten) zwecks Überwachung von E-Mail und Internet sind nur zulässig, wenn sie vorher für den Mitarbeitenden erkennbar waren, das heisst, umschrieben und angekündigt wurden. Will ein Unternehmen die Datenbearbeitung in ein anderes Land auslagern, muss garantiert sein, dass ein dem DSG vergleichbarer, angemessener Datenschutz gewährleistet ist.

Werden die Auskunftspflicht oder andere bestimmte Informationspflichten vorsätzlich verletzt, ist dies strafbar. Ebenso kann auf Antrag bestraft werden, wer vorsätzlich geheime, besonders schützenswerte Personendaten oder Persönlichkeitsprofile unbefugt bekannt gibt, von denen er bei der Ausübung seines Berufes, der die Kenntnis solcher Daten erfordert, erfahren hat.

Anpassung an aktuelle Rechtsentwicklungen (EU-DSGVO, revidiertes DSG)

Die aktuellen Entwicklungen in der datenschutzrechtlichen Gesetzgebung, namentlich das Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO oder GDPR) für die Schweiz am 25. Mai 2018 und gelegentlich die Totalrevision des schweizerischen Datenschutzgesetzes (DSG), machen eine Auseinandersetzung mit dem Datenschutz unerlässlich. Eine bereits vorhandene Inventarisation und Ordnung der Datenbearbeitung ist dabei eine grosse Hilfe für die Beurteilung, ob bei den Gesetzesänderungen Massnahmen im Unternehmen ergriffen werden müssen.

Die DSGVO sieht unter anderem erweiterte Informationspflichten mit einem Ausbau der Rechte der Betroffenen, Dokumentations- und Meldepflichten sowie Datensicherheitsmassnahmen vor. Anwendbar ist die DSGVO, wenn Daten im Zusammenhang mit einer Niederlassung oder einem Auftragsverarbeiter in der EU bearbeitet werden, aber auch, wenn – ohne Niederlassung in der EU – EU-Bürgern Waren oder Dienstleistungen angeboten werden oder das Verhalten von Personen in der EU, namentlich bei der Nutzung des Internets, beobachtet wird.

Die DSGVO sieht bei Widerhandlungen erhebliche Sanktionen vor, so etwa Bussen bis EUR 20 Mio. oder 4 Prozent des weltweiten Jahresumsatzes. Der Entwurf zur Totalrevision des DSG wurde der DSGVO angenähert, damit die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkannt ist und die grenzüberschreitende Datenübermittlung möglich bleibt. Der Entwurf zum totalrevidierten DSG sieht nun Bussen bis CHF 250 000.– vor.

Eine Überprüfung, ob und inwiefern die eigene Geschäftstätigkeit an die Bestimmungen der EU-DSGVO oder an die kommende Totalrevision des DSG angepasst werden muss, setzt die Inventarisation der Datenbearbeitung im Unternehmen voraus. Eine Bestandesaufnahme und Regelungen des Datenschutzes im eigenen Unternehmen sind eine gute Grundlage dafür und erfolgen daher am besten so umgehend wie möglich.  

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

Arbeitsrecht Refresher

Know-how zu den Top-Themen im Arbeitsrecht auffrischen

Auf dem neusten Stand der Entwicklungen im Schweizer Arbeitsrecht und fit in Fragen rund um Arbeitsvertrag, Kündigungen, Freistellungen, Daten- und Arbeitsschutz.

Nächster Termin: 21. Februar 2019

mehr Infos

Produkt-Empfehlungen

  • HR-Professional

    HR-Professional

    Maximale Unterstützung bei Ihrer Personalarbeit dank HR-Fachwissen sowie über 1300 zeitsparenden Vorlagen und Arbeitshilfen.

    ab CHF 290.00

  • Die 90 besten Arbeitsrecht-Tools

    Die 90 besten Arbeitsrecht-Tools

    Rechtssichere Mustertexte, Vorlagen und Merkblätter

    Mehr Infos

  • Newsletter Arbeitsrecht

    Newsletter Arbeitsrecht

    Die neuesten Gerichtsentscheide und Praxisfälle, verständlich kommentiert.

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Arbeitsrecht Refresher

    Know-how zu den Top-Themen im Arbeitsrecht auffrischen

    Nächster Termin: 21. Februar 2019

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Arbeitsverträge, Reglemente und Spezialvereinbarungen

    Rechtssichere Gestaltung, Formulierung und Umsetzung von Arbeitsverhältnissen

    Nächster Termin: 18. Juni 2019

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Grundlagen-Seminar Arbeitsrecht

    Sicher im Umgang mit den wichtigsten Arbeitsrechtsfragen

    Nächster Termin: 13. März 2019

    mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos