Richtlinien über den Zugriff auf ein E-Mail-Postfach ... - IKT Betriebsrat
Richtlinien über den Zugriff auf ein E-Mail-Postfach ... - IKT Betriebsrat
Richtlinien über den Zugriff auf ein E-Mail-Postfach ... - IKT Betriebsrat
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>Richtlinien</strong> über <strong>den</strong> <strong>Zugriff</strong> <strong>auf</strong> <strong>ein</strong> E-<strong>Mail</strong>-<strong>Postfach</strong>,<br />
das <strong>ein</strong>em <strong>ein</strong>zelnen Mitarbeiter zugeordnet ist<br />
Den Mitarbeitern des ÖBB-Konzerns wer<strong>den</strong> E-<strong>Mail</strong>-Programme als Arbeitsmittel zur dienstlichen<br />
Nutzung zur Verfügung gestellt. Gemäß E-<strong>Mail</strong> Policy des Konzerns ist <strong>ein</strong>e Privatnutzug<br />
im Rahmen des absolut Notwendigen erlaubt. In <strong>den</strong> E-<strong>Mail</strong>-Postfächern der Mitarbeiter<br />
sind somit in erster Linie betriebliche bzw. geschäftliche Daten enthalten, die die Mitarbeiter<br />
im Namen s<strong>ein</strong>es Arbeitgebers versendet oder empfängt. Um E-<strong>Mail</strong>-Daten vor <strong>Zugriff</strong>en<br />
Unbefugter zu schützen, sind diese über <strong>ein</strong> – ausschließlich dem betreffen<strong>den</strong> Mitarbeiter<br />
bekanntes – Passwort geschützt. Ist im Einzelfall bei Abwesenheit des <strong>Postfach</strong>inhabers<br />
(siehe dazu unten) die Einsichtnahme in <strong>ein</strong> E-<strong>Mail</strong>-Fach erforderlich, um betriebliche bzw.<br />
geschäftliche E-<strong>Mail</strong>s zu bearbeiten zu können, ist nach folgen<strong>den</strong> <strong>Richtlinien</strong> vorzugehen:<br />
1. Von der Führungskraft sind zunächst folgende Voraussetzungen zu prüfen:<br />
1.1. Nicht bloß kurzfristige Abwesenheit <strong>ein</strong>es Mitarbeiters<br />
- Es ist damit zu rechnen, dass die Abwesenheit <strong>ein</strong>en mindestens <strong>ein</strong>wöchigen Zeitraum<br />
überschreitet.<br />
- Die Abwesenheit des Mitarbeiters darf nicht geplant s<strong>ein</strong> (zB Urlaub) bzw. muss unvorhersehbar<br />
gewesen s<strong>ein</strong>, zB Unfall oder plötzliche Erkrankung des Mitarbeiters.<br />
1.2. Erforderlichkeit der Einsichtnahme<br />
- Es ist gezielt <strong>ein</strong> bestimmtes E-<strong>Mail</strong> zu bearbeiten oder <strong>auf</strong>grund <strong>ein</strong>er automatisierten<br />
<strong>Mail</strong>ing-Systematik <strong>ein</strong> bestimmter Typ von Dokumenten (zB Rechnungen, die<br />
automatisch an <strong>ein</strong>en bestimmten Buchhalter geleitet wer<strong>den</strong>).<br />
1.3. K<strong>ein</strong>e alternative Möglichkeit der Einsichtnahme<br />
- Der Absender des E-<strong>Mail</strong>s kann das E-<strong>Mail</strong> nicht <strong>ein</strong> weiteres Mal an die Führungskraft<br />
oder <strong>den</strong> Vertreter des abwesen<strong>den</strong> Mitarbeiters sen<strong>den</strong>.<br />
- Es besteht k<strong>ein</strong>e Stellvertreterzugriffsberechtigung und auch k<strong>ein</strong>e Möglichkeit, dass<br />
der abwesende Mitarbeiter (ausnahmsweise) selbst <strong>ein</strong> E-<strong>Mail</strong> weiterleitet (zB via<br />
BlackBerry, RAS-Service oder dgl).<br />
2. Anforderung <strong>ein</strong>es <strong>Zugriff</strong>s <strong>auf</strong> <strong>ein</strong> E-<strong>Mail</strong>-<strong>Postfach</strong><br />
2.1. Die Anforderung, <strong>auf</strong> das E-<strong>Mail</strong>-<strong>Postfach</strong> <strong>ein</strong>es Mitarbeiters zuzugreifen, ist an <strong>den</strong><br />
Securitiy Officer der Konzerngesellschaft zu richten. Dabei ist<br />
a) das Vorliegen der unter Punkt 1 genannten Voraussetzungen zu bestätigen,<br />
b) das gesuchte E-<strong>Mail</strong> möglichst genau zu beschreiben (Empfänger-/Absenderbezeichnung,<br />
Betreff, …) und<br />
c) der Zweck, zu dem das E-<strong>Mail</strong> benötigt wird, sowie<br />
d) die Information, wem das gesuchte E-<strong>Mail</strong> zur Bearbeitung weitergeleitet wer<strong>den</strong><br />
soll, anzugeben.<br />
2.2. Ist ausnahmsweise nicht nur <strong>ein</strong> <strong>Zugriff</strong> <strong>auf</strong> bereits <strong>ein</strong>gegangene bzw. versandte<br />
E-<strong>Mail</strong>s, sondern <strong>auf</strong>grund <strong>ein</strong>er automatisierten <strong>Mail</strong>ing-Systematik, die nur mit großem<br />
Aufwand änderbar wäre, <strong>ein</strong>e Weiterleitung während der Abwesenheit erforderlich, ist<br />
dies (<strong>ein</strong>schließlich des voraussichtlich erforderlichen Zeitraums) gesondert anzugeben.<br />
1
2.3. Die <strong>Zugriff</strong>sanforderung ist durch die Führungskraft gleichzeitig mit der Anforderung an<br />
<strong>den</strong> Security Officer der Konzerngesellschaft dem Vorsitzen<strong>den</strong> des Zentralbetriebsrates<br />
bzw. <strong>Betriebsrat</strong>es der Gesellschaft zur Kenntnis zu bringen.<br />
Die (Zentral-) <strong>Betriebsrat</strong>svorsitzen<strong>den</strong> sind in <strong>ein</strong>er Anlage zu diesen <strong>Richtlinien</strong> angeführt,<br />
die k<strong>ein</strong>en integrieren<strong>den</strong> Bestandteil dieser <strong>Richtlinien</strong> bildet und im Anlassfall<br />
(bei Wechsel des Funktionsträgers) geändert wird.<br />
3. <strong>Zugriff</strong> <strong>auf</strong> <strong>ein</strong> E-<strong>Mail</strong>-<strong>Postfach</strong><br />
3.1. Der <strong>Zugriff</strong> <strong>auf</strong> das E-<strong>Mail</strong>-<strong>Postfach</strong> des Mitarbeiters erfolgt durch <strong>den</strong> Security Officer<br />
der betreffen<strong>den</strong> Konzerngesellschaft gem<strong>ein</strong>sam mit dem zuständigen Administrator<br />
(Vier-Augen-Prinzip).<br />
Die allfällige Einrichtung des <strong>Zugriff</strong>srechtes unter <strong>den</strong> in diesen <strong>Richtlinien</strong> definierten<br />
Voraussetzungen erfolgt nicht über <strong>ein</strong>e Weitergabe von Username und Passwort des<br />
jeweiligen Accounts, sondern ausschließlich über das Einrichten von <strong>Zugriff</strong>srechten <strong>auf</strong><br />
die betreffende <strong>Mail</strong>ablage (Wahrung der <strong>ein</strong>deutigen Benutzerzuordnung).<br />
3.2. Auf private E-<strong>Mail</strong>s ist nicht zuzugreifen. Als private E-<strong>Mail</strong>s sind solche anzusehen, die<br />
ausdrücklich als solche gekennzeichnet sind oder in <strong>ein</strong>em Ordner „Privat“ bzw. <strong>ein</strong>em<br />
ähnlich benannten Ordner gespeichert sind. Im Zweifel gelten auch E-<strong>Mail</strong>s, die in der<br />
Absender- oder Empfängerbezeichnung k<strong>ein</strong>e <strong>auf</strong> <strong>ein</strong>e Konzerngesellschaft oder Geschäftspartner<br />
hinweisen<strong>den</strong> Angaben enthalten, als private E-<strong>Mail</strong>s.<br />
3.3. Der <strong>Zugriff</strong> ist zu dokumentieren (insbesondere Datum, Uhrzeit, <strong>auf</strong> welche Dokumente<br />
wurde zugegriffen, welches E-<strong>Mail</strong> wurde an wen weitergeleitet).<br />
3.4. Steht die Abwesenheit des Mitarbeiters im Zusammenhang mit behördlichen Ermittlungen,<br />
wurde beispielsweise <strong>ein</strong>e U-Haft verhängt, und ist nicht zweifelsfrei auszuschließen,<br />
dass Daten des beruflichen E-<strong>Mail</strong>-<strong>Postfach</strong>s des Mitarbeiters für die Ermittlungen<br />
von Relevanz s<strong>ein</strong> könnten, ist vor <strong>Zugriff</strong> <strong>auf</strong> das E-<strong>Mail</strong>-Fach Rücksprache<br />
über die weitere Vorgangsweise mit <strong>den</strong> ermitteln<strong>den</strong> Behör<strong>den</strong> oder Gerichten zu halten.<br />
Die festgelegte Vorgehensweise ist zu dokumentieren.<br />
3.5. Im Zuge des <strong>Zugriff</strong>s <strong>auf</strong> das E-<strong>Mail</strong>-<strong>Postfach</strong> ist auch der Abwesenheitsassistent zu<br />
aktivieren. Sollte in der Anforderung des <strong>Zugriff</strong>s k<strong>ein</strong> anderer Ansprechpartner genannt<br />
s<strong>ein</strong>, wird dar<strong>auf</strong> verwiesen, dass E-<strong>Mail</strong>s an <strong>den</strong> Mitarbeiter iSd Punkt 2.1 lit. d oder die<br />
Führungskraft zu sen<strong>den</strong> sind. Eine automatische Weiterleitung von E-<strong>Mail</strong>s grundsätzlich<br />
nicht vorzusehen (zu Ausnahmen siehe zB Punkt 2.2).<br />
4. Dokumentation<br />
Die entsprechend <strong>den</strong> oben angeführten Punkten erfolgte Dokumentation ist vom<br />
Security Officer der jeweiligen Konzerngesellschaft <strong>auf</strong>zubewahren.<br />
Vor jeder Sitzung des Kernteams des Datenschutzteams ist <strong>ein</strong> Bericht (über die wesentlichen<br />
<strong>Zugriff</strong>sgründe, Praktikabilität der Vorgangsweise nach diesen <strong>Richtlinien</strong>,<br />
Verstöße gegen diese <strong>Richtlinien</strong>, Vorschläge zur Optimierung der Vorgangsweise zu<br />
diesen <strong>Richtlinien</strong> u.ä.) zu erstellen, der im Kernteam des Datenschutzteams zu diskutieren<br />
ist. Gegebenenfalls wer<strong>den</strong> diese <strong>Richtlinien</strong> angepasst.<br />
2
5. Vorgangsweise bei Ausschei<strong>den</strong> aus dem Unternehmen<br />
Scheidet <strong>ein</strong> Mitarbeiter aus dem Unternehmen aus, ohne dass es zu <strong>ein</strong>er Übergabe/Weiterleitung<br />
der betrieblichen bzw. geschäftlichen E-<strong>Mail</strong>s kommt (zB fristlose Beendigung<br />
des Dienstverhältnisses wegen Entlassung) oder ohne dass es zu <strong>ein</strong>er Übergabe/Weiterleitung<br />
kommen kann (zB Todesfall), ist wie folgt vorzugehen:<br />
5.1. Die Anforderung des <strong>Zugriff</strong>s <strong>auf</strong> das E-<strong>Mail</strong>-<strong>Postfach</strong> des ausgeschie<strong>den</strong>en Mitarbeiters<br />
ist von der Führungskraft an <strong>den</strong> Security Officer der Konzerngesellschaft zu richten.<br />
Punkt 2.3 ist zu beachten.<br />
5.2. Die Daten dieses E-<strong>Mail</strong>-<strong>Postfach</strong>es sind vom Security Officer gem<strong>ein</strong>sam mit dem zuständigen<br />
Administrator gesondert zu sichern und es ist technisch sicherzustellen, dass<br />
k<strong>ein</strong>e weiteren E-<strong>Mail</strong>s mehr unter der Adresse des ausgeschie<strong>den</strong>en Mitarbeiters <strong>ein</strong>gehen,<br />
worüber die Absender von E-<strong>Mail</strong>s automatisiert zu informieren sind.<br />
5.3. Zwecks Datensichtung ist der Führungskraft oder <strong>ein</strong>em Vertreter <strong>Zugriff</strong> <strong>auf</strong> <strong>den</strong> E-<strong>Mail</strong>-<br />
Bestand des ausgeschie<strong>den</strong>en Mitarbeiters mit folgender Maßgabe zu gewähren: Die<br />
Sichtung darf jedoch nur im Vier-Augen-Prinzip erfolgen, dh entweder Führungskraft<br />
oder Vertreter gem<strong>ein</strong>sam mit entweder Security Officer oder Administrator.<br />
Private E-<strong>Mail</strong>s (siehe Punkt 3.2) sind zu löschen. Ebenso zu löschen sind dienstliche<br />
E-<strong>Mail</strong>s, die für betriebliche Zwecke nicht mehr benötigt wer<strong>den</strong>. Weiterhin für betriebliche<br />
Zwecke benötigte dienstliche E-<strong>Mail</strong>s sind an <strong>den</strong> zuständigen Bearbeiter weiterzuleiten.<br />
Über diese Grundsätze ist die Führungskraft bzw. der Vertreter des ausgeschie<strong>den</strong>en<br />
Mitarbeiters vor der Datensichtung zu belehren.<br />
Die Datensichtung (Weiterleitung oder Löschung) soll nach Möglichkeit in <strong>ein</strong>em Zug erfolgen.<br />
Sind <strong>auf</strong>grund des Datenumfangs mehrere Termine erforderlich, ist jeweils das<br />
oben angeführte Vier-Augen-Prinzip zu beachten.<br />
Grundsätzlich ist spätestens sechs Monate nach Ausschei<strong>den</strong> des Mitarbeiters auch der<br />
gesicherte Datenbestand zu löschen. Im Falle <strong>ein</strong>es anhängigen Gerichtsverfahrens (zB<br />
vor dem Arbeitsgericht) muss dieser gesicherte Datenbestand bis zum Vorliegen <strong>ein</strong>es<br />
rechtskräftigen Gerichtsurteils oder Vergleichs <strong>auf</strong>bewahrt wer<strong>den</strong>.<br />
Alle gesetzten Schritte sind zu dokumentieren. Punkt 4 gilt auch bei <strong>Zugriff</strong>en nach Ausschei<strong>den</strong><br />
von Mitarbeitern.<br />
3