Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 18.07.2007

Internet-Benutzerrichtlinie

Nahezu jede öffentliche Stelle ist heutzutage an das Internet angeschlossen, verfügt über einen eigenen Web-Auftritt und bietet seinen Mitarbeitern die Möglichkeit, die Dienste des Internets (z. B. WWW, E-Mail) zu dienstlichen Zwecken zu nutzen.

So richtig und wichtig es auch für Behörden ist, sich im Internet zu präsentieren und den Bediensteten die Möglichkeit zu geben, sich weit reichende Informationen zu beschaffen, dürfen dabei natürlich nicht die mit dem Anschluss an das Internet verbundenen Risiken und Gefährdungen für die Datensicherheit vernachlässigt werden. Es müssen daher entsprechende Maßnahmen ergriffen werden, um sowohl das eigene Netz gegenüber Eindringversuchen aus dem Internet abzuschotten als auch die Sicherheit der Übermittlung personenbezogener Daten über das Internet zu gewährleisten. Es sind auch viele öffentliche Stellen dazu bereit, entsprechende technische Sicherheitsmaßnahmen (z. B. Einsatz einer Firewall, Installation von Schadenssoftwarebekämpfungsprogrammen) zu ergreifen. Dabei wird aber häufig übersehen, dass mit technischen Einrichtungen alleine sich nicht alle Sicherheits- und Risikoaspekte hinreichend berücksichtigen lassen, geschweige denn abdecken. Der zweiten Seite der Medaille "Sicherheit", nämlich der lokalen Sicherheitsorganisation im eigenen Netz und dem Faktor Mensch (sprich: eigenen Mitarbeiter), wird daher manchmal zu wenig Aufmerksamkeit geschenkt.

Im Folgenden wird davon ausgegangen, dass für das vorhandene lokale Netz ein schlüssiges Sicherheitskonzept bereits vorhanden und umgesetzt ist. Deshalb soll hier darauf nicht weiter eingegangen werden. Das Augenmerk soll vielmehr auf den Benutzer, d.h. den eigenen Mitarbeiter, gelegt werden.

Entscheidend für die Wandlung des potenziellen Unsicherheitsfaktors in den Sicherheitsfaktor Mitarbeiter ist, dass jedem

• seine eigene Rolle als elementarem Bestandteil des Sicherheitskonzeptes,
• seine daraus resultierende Verantwortung für die Sicherheit des Gesamtnetzes,
• die aus dem Internet herrührenden Risiken und Bedrohungen,
• die aus seinem eigenen möglichen Fehlverhalten herrührenden Risiken und Bedrohungen,
• die Gründe und Auswirkungen eventuell vorgenommener "Einschränkungen seiner Handlungsfreiheit" oder Diensteverfügbarkeit sowie
• die möglichen Folgen von Sicherheitsverletzungen für ihn selbst, aber auch und insbesondere für die weiteren Mitarbeiter und die Behörde als Ganzem,

deutlich und bewusst sind bzw., soweit noch erforderlich, deutlich und bewusst gemacht werden.

Gerade der Aspekt der "eingeschränkten Handlungsfreiheit" bereitet gelegentlich Schwierigkeiten. Sehr häufig ist die - menschlich nur allzu verständliche - Haltung "Ich brauche vollen Zugang und jeden Dienst, sonst kann ich meine Aufgabe nicht erfüllen" anzutreffen. In den meisten Fällen dürfte dieser Anspruch aber einer an objektiven Maßstäben orientierten Überprüfung nicht standhalten. Hier ist eine klare Führungsentscheidung zugunsten einer bedarfsgerechten Rechtevergabe gefordert und diese muss dem Mitarbeiter auch verständlich und nachvollziehbar erläutert werden.

Neben einer umfassenden Aufklärung, z.B. durch konzertierte, interne Informationsveranstaltungen der Behördenleitung, der Personalvertretung, des behördlichen Datenschutzbeauftragten und der EDV-Verantwortlichen, und einer intensiven Benutzerbetreuung, die sich nicht nur auf die Erklärung und Einweisung in die Handhabung der verschiedenen Internet-Dienste beschränkt, ist die Herausgabe von Benutzerrichtlinien ein wesentlicher Meilenstein zur Erreichung des Zieles "Sicherheit".

Hinweis: Für die Nutzung von Internet und E-Mail in der bayerischen Staatsverwaltung hat die Zentrale IuK-Leitstelle des Bayerischen Staatsministeriums des Innern eine gleichnamige Richtlinie (BayITR-05) erlassen.

Wichtig erscheint auch, dass jeder Benutzer seine eigene Ausfertigung der Benutzerrichtlinien erhält, seine Ansprechpartner für etwaige Probleme, Schwierigkeiten und Wünsche kennt und die Personalvertretung und der behördliche Datenschutzbeauftragte entsprechend mit eingebunden werden.

Zu regeln ist natürlich auch, ob eine private Internet- und E-Mail-Nutzung erlaubt ist, da dies Auswirkungen auf die möglichen Sicherheitsmaßnahmen hat. So ist beispielsweise eine Protokollierung des Datenverkehrs grundsätzlich nur bei Verbot einer privaten Nutzung und nach ordnungsgemäßer Beteiligung des Personalrats möglich. Gestattet der Dienstherr auch die private Nutzung von Internet und E-Mail, ist er Diensteanbieter im Sinne des Telemediengesetzes. Damit gilt das Fernmeldegeheimnis gem. § 88 TKG. Das Fernmeldegeheimnis umfasst nicht nur den Inhalt der Kommunikation, sondern auch deren nähere Umstände (Wer hat mit wem kommuniziert?). Nach § 88 Abs. 3 TKG ist es untersagt, sich über das für die Erbringung der Telekommunikationsdienste erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen. Im Falle der Zulassung der privaten Nutzung ist daher, wenn sich - wie in der Regel - die private von der dienstlichen Nutzung technisch nicht trennen lässt, die Protokollierung nur zulässig, soweit sie zu Zwecken der Datenschutzkontrolle, der Datensicherung, zur Sicherung des ordnungsgemäßen Betriebs oder für Abrechnungszwecke erforderlich ist oder die Betroffenen eingewilligt haben.

Die wesentlichen Inhalte dieser Benutzerrichtlinien ergeben sich aus den obigen Ausführungen sowie aus dem nachfolgenden Beispiel. Die kursiv geschriebenen Begriffe bzw. Passagen sind durch die jeweils eigene, zutreffende Bezeichnung zu ersetzen bzw. - bei Bedarf - näher auszuführen oder wegzulassen.

Benutzerrichtlinie

der ____Dienststelle____

für die Nutzung des Internets

1. Vorwort

Über das lokale Netz unserer Dienststelle ist ein Internetzugang bereitgestellt worden. Als Mitarbeiter, der für die Nutzung der Dienste des Internet berechtigt ist, sind Sie über dieses von außen __(mittelbar bzw. unmittelbar)__ erreichbar. Desgleichen können Sie dienststelleneigene Informationen über das Internet an andere übermitteln bzw. im Internet bereitstellen.

Im Internet sind grundsätzlich keinerlei Maßnahmen zur Sicherstellung der Integrität, Vertraulichkeit und Authentizität der übertragenen Daten, der Kommunikation und der Kommunikationspartner an sich vorgesehen und realisiert. Die Auswahl und die Anwendung von geeigneten Datensicherheits- und Datenschutzmaßnahmen sind im Internet also jedem Teilnehmer selbst überlassen.

Die Auswahl der zu ergreifenden Sicherheitsmaßnahmen wurde durch die Leitung der Dienststelle getroffen; ebenso deren technische Realisierung. Diese Maßnahmen können aber nur zu einem gewissen Teil von sich aus ihre Wirksamkeit entfalten. Ein ganz entscheidender Faktor zur Gewährleistung und Verbesserung des vorhandenen Sicherheitsniveaus ist deren konsequente und gewissenhafte Anwendung in der täglichen Arbeit durch jeden Einzelnen.

Daher sind die Kenntnis dieser nachfolgenden Regelungen und deren Einhaltung durch jeden einzelnen berechtigten Mitarbeiter eine wesentliche Voraussetzung für die Gewährleistung der Sicherheit dieses Kommunikationsmittels und unserer Dienststelle.

Jede Missachtung und Nichteinhaltung dieser Regelungen gefährdet nicht nur die Vertraulichkeit, Verfügbarkeit und Integrität der von Ihnen auf Ihrem eigenen DV-System unmittelbar be- und verarbeiteten Daten, sondern es wird dadurch auch die Vertraulichkeit, Verfügbarkeit und Integrität aller sonstigen dienststelleneigenen Daten gefährdet.

Diese Benutzerrichtlinien stehen ergänzend zu den sonstigen geltenden Regelungen und Vorschriften bzgl. der Anwendung von Informationstechnik und für den Umgang mit personenbezogenen oder sonstigen schutzwürdigen Daten.

2. Regelungen

2.1. Verantwortung

• Sie sind als berechtigter Mitarbeiter in Ihrem Zuständigkeitsbereich verantwortlich für die vollständige und korrekte Anwendung der jeweils geltenden Regelungen, Anweisungen und Vorschriften zur Gewährleistung von Datenschutz und Datensicherheit (ggf. Verweis auf diese Dokumente).
• Sie sind als berechtigter Mitarbeiter insbesondere zuständig und verantwortlich für die in Ihrem Zuständigkeitsbereich liegende wirksame Anwendung der vorgesehenen und vorhandenen Datensicherheitsmaßnahmen (ggf. Aufzählung der getroffenen Maßnahmen wie z. B. Nutzung der installierten Schadensbekämpfungssoftware, Nutzung von sicheren Passworten usw. oder Verweis auf entsprechende sonstige Regelungen und Vorschriften).

2.2. Nutzung des Internet

• Das Einbringen und der Betrieb von privater Hard- und/oder Software (auch für die Nutzung des Internets) in das lokale Netz sind unzulässig, weil dadurch Sicherheitslücken eröffnet werden können und eventuell unkontrollierbare und ungesicherte Übergänge in das lokale Netz geschaffen werden.
• Es ist lediglich die Nutzung derjenigen Dienste des Internet gestattet, die in Ihrem spezifischen Berechtigungsprofil ausdrücklich festgelegt sind. Die Nutzung aller nicht ausdrücklich erlaubten Dienste ist nicht gestattet.
• Weitere benötigte Dienste sind bei __(gem. interner Organisation)__ zu beantragen.
• Nicht mehr benötigte Dienste sind __(gem. interner Organisation)__ zur Änderung Ihres Berechtigungsprofils umgehend mitzuteilen.
• Die Nutzung der erlaubten Dienste ist ausschließlich zu __ dienstlichen __ Zwecken und im ausdrücklich erlaubten Umfang zur Erledigung Ihrer Aufgaben gestattet. Die Nutzung der Dienste zu privaten Zwecken ist - auch aus Kostengründen - untersagt.
  bzw.
  Die Nutzung der Dienste zu privaten Zwecken ist lediglich in geringfügigem Umfang gestattet und kann jederzeit (insbesondere aus gegebenem Anlass) widerrufen werden. (Eventuell hier noch nähere Bestimmungen aufnehmen).
• Das Ausprobieren, ob weitere Dienste als die ausdrücklich erlaubten zur Verfügung stehen und evtl. genutzt werden können, ist unzulässig.
• Das Ausprobieren, das Ausforschen und die Benutzung fremder Zugriffsberechtigungen (ggf. Aufzählung wie z.B. Benutzerkennungen, Passworte, persönlicher Identifikationsausweise oder Verweis auf entsprechende sonstige Regelungen und Vorschriften) und sonstiger Authentifizierungshilfsmittel (ggf. Aufzählung wie z.B. Chipkarten, Magnetkarten, usw. oder Verweis auf entsprechende sonstige Regelungen und Vorschriften) ist unzulässig.
• Die Weitergabe und das Zurverfügungstellen von eigenen Benutzerkennungen und sonstigen Authentifizierungshilfsmitteln für eine Benutzung durch Dritte sind unzulässig. Es wird ausdrücklich darauf hingewiesen, dass in einem derartigen Fall aus den Protokolldaten Ihre Identität hervorgeht. Jegliche Aktivität - auch unzulässige - durch diesen Dritten wird also Ihnen zugeschrieben.
• Das Ausführen von Programmen oder von ausführbarem Programmcode, die aus dem oder über das Internet beschafft wurden, ist ohne vorherige Prüfung und Freigabe durch __/behördeneigenes Sicherheitsteam, CERT__ untersagt, um insbesondere das Risiko des Einschleppens von Schadenssoftware im lokalen Netzwerk zu reduzieren.

2.3. Verschlüsselung der Datenübertragung (Kryptographische Schutzmaßnahmen)

• Die Übertragung von sensiblen, schutzwürdigen und insbesondere von personenbezogenen Daten (z. B. mittels E-Mail) über das Internet ist, zur Wahrung der Vertraulichkeit, ausschließlich in verschlüsselter Form zulässig.
• __Zu Ihrer Entlastung wird dies automatisch durch technische Einrichtungen sichergestellt.
  bzw.
  Die Beurteilung, ob derartige Daten zur Übertragung vorliegen, erfolgt durch Sie als Absender selbst. Dabei ist ein strenger Maßstab anzulegen. Diese Daten sind mit __spezifisches Hilfsmittel wie Software__ durch Sie vor dem Versand zu verschlüsseln.__
• Gleiches gilt für die Anwendung und Nutzung der elektronischen Signatur.

2.4. Sicherheitsrelevante Ereignisse

• Alle sicherheitsrelevanten Ereignisse (ggf. Aufzählung wie z.B. unerklärliches Systemverhalten, Verlust oder Veränderung von Daten und Programmen, Verfügbarkeit nicht explizit freigegebener Dienste, Verdacht auf Missbrauch der eigenen Benutzerkennung, usw.) sind sofort an __behördeneigenes Sicherheitsteam, CERT__ zu melden. Dort wird der Angelegenheit nachgegangen.
• Unternehmen Sie keine eigenen Aufklärungsversuche, da evtl. wertvolle Hinweise und Spuren verwischt werden oder verloren gehen könnten.

2.5. Protokollierung und Kontrollen

• Jeder Datenverkehr innerhalb des lokalen Netzes und zwischen dem lokalen Netz und dem Internet __kann/wird__ einer automatischen __vollständigen/gezielten__ Protokollierung unterliegen.
• Sofern eine Nutzung der Dienste zu privaten Zwecken gestattet ist, so unterliegt auch diese Nutzung der Protokollierung gemäß den nachfolgenden Maßgaben.
• Die Protokolle werden für den Zeitraum von __drei Monaten__ aufbewahrt und bei Verdacht auf einen Sicherheitsverstoß durch eigens hierfür Berechtigte (z.B. Datenschutzbeauftragter, Sicherheitsteam) ausgewertet.
• Die Protokolldaten dienen ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung und zur Sicherstellung eines ordnungsgemäßen Betriebes. Sie werden nicht für Zwecke der Leistungskontrolle verwendet.
• Die Einhaltung dieser Richtlinien kann durch __behördeneigenes Sicherheitsteam, CERT__ stichprobenartig und anlassbezogen kontrolliert werden.

3. Sanktionen

Verstöße gegen diese Benutzerrichtlinien und die sonstigen Regelungen und Vorschriften bzgl. der Anwendung der Informationstechnik und bzgl. des Umgangs mit personenbezogenen Daten können dienst- und arbeitsrechtliche sowie strafrechtliche Konsequenzen haben. __Sie können auch Grund für eine fristlose Kündigung sein.__

4. Erklärung

Der Benutzer

• bestätigt die Kenntnisnahme der vorstehenden Regelungen,
• erklärt, die vorstehenden Regelungen zu beachten,
• erklärt für den Fall, dass eine private Nutzung der bereitgestellten Dienste gestattet ist, seine Einwilligung in die beschriebene Protokollierung (Anmerkung: für den Fall der Einwilligungsverweigerung ist die Nutzung der bereitgestellten Dienste für private Zwecke zu untersagen) und
• bestätigt durch die nachfolgende Unterschrift den Erhalt eines Abdruckes.

Eine Ausfertigung erhält darüber hinaus der behördliche Datenschutzbeauftragte, eine weitere Ausfertigung wird zum Personalakt genommen.

___________ __________

(Ort, Datum) (Benutzer)