Vereinbarung nach § 59 Mitbestimmungsgesetz (MBG) betr. Richtlinie zur Nutzung  von Internet und E-Mail

Gl.Nr. 2015.9

Fundstelle: Amtsbl. Schl.-H. 2009 S. 415

Bekanntmachung des Finanzministeriums
vom 6. April 2009

Zwischen dem Finanzministerium des Landes Schleswig-Holstein

einerseits

und

– dem DBB Beamtenbund und Tarifunion Landesbund Schleswig-Holstein –

– dem Deutschen Gewerkschaftsbund Bezirk Nord –

Andererseits

wird die folgende Vereinbarung nach § 59 Mitbestimmungsgesetz des Landes Schleswig-Holstein (MBG) geschlossen.

Richtlinie zur Nutzung von Internet und E-Mail

1 

Geltungsbereich

Diese Richtlinie gilt für die Beschäftigten (Beamtinnen und Beamten sowie Arbeitnehmerinnen und Arbeitnehmer) der unmittelbaren Landesverwaltung im Sinne des § 3 i.V.m. § 2 Abs. 1 Mitbestimmungsgesetz des Landes Schleswig-Holstein (MBG), deren PC-Arbeitsplatz an das Landesnetz angeschlossen ist und denen über diesen Anschluss die Dienste Internet und E-Mail zur Verfügung gestellt werden.

Sie gilt nicht für die Gerichte und Staatsanwaltschaften.

Sie gilt nicht für die Beschäftigten der Landtagsverwaltung und des Landesrechnungshofes.

Soweit die Präsidentin oder der Präsident des Landtages bzw. des Landesrechnungshofes das Einvernehmen nach § 59 Abs. 4 MBG Schl.-H. erklärt, gilt diese Vereinbarung auch für die Beschäftigten des jeweiligen Bereiches.

Anlagen 1 und 2 sind Bestandteil dieser Vereinbarung.

2 

Umfang

Diese Richtlinie regelt die dienstliche und private Nutzung der dienstlich zur Verfügung gestellten Services Internetzugang und E-Mail¹⁾.

Die Regelungen dieser Vereinbarung müssen durch die Dienststellen für ihren Zuständigkeitsbereich in entsprechenden Dienstanweisungen oder Dienstvereinbarungen präzisiert und ergänzt werden.

3 

Grundsätze der Nutzung von Internet und E-Mail

3.1

Internetzugang und E-Mail sind Arbeitsmittel, die an allen PC-Arbeitsplätzen, die an das Landesnetz angeschlossen sind, zur Verfügung gestellt werden sollen.

3.2

Die Nutzung von Internetzugang und E-Mail durch die Beschäftigten muss eigenverantwortlich und der jeweiligen dienstlichen Aufgabenstellung angemessen erfolgen.

3.3

Die Nutzung von E-Mail ist ausschließlich für dienstliche Zwecke zulässig.

3.4

Für private Zwecke ist den Beschäftigten die unentgeltliche Nutzung des dienstlichen Internetzugangs ausschließlich zum Nutzen von Web-Seiten (Dienste http/https) gestattet, soweit dienstliche Interessen nicht entgegenstehen.

3.5

Der lesende und schreibende Zugriff auf ein privates, bei einem externen Dienstanbieter geführtes E-Mail-Postfach (Web-Mail) ist den Beschäftigten gestattet, soweit dienstliche Interessen nicht entgegenstehen.

3.6

Die Zulassung der Nutzung des Internetzugangs nach Nummer 3.4 und 3.5 kann – für einen bestimmten Verwaltungsbereich oder im Einzelfall – widerrufen werden.

3.7

Die Nutzung von Internetzugang und E-Mail im Rahmen der Vereinigungsfreiheit entsprechend Artikel 9 Grundgesetz ist zulässig.

3.8

Die Beschäftigten werden in der Nutzung der angebotenen Dienste bedarfsgerecht geschult und über mögliche Risiken informiert. Beschäftigte sollen zur selbständigen und effizienten Nutzung von E-Mail und Internet im Rahmen ihrer dienstlichen Aufgaben befähigt werden. Wichtige Schulungsinhalte sind in Anlage 2 dargestellt.

3.9

Die Dienststellen haben im Rahmen ihrer Zuständigkeit die Nutzung der angebotenen Dienste unter Beachtung der in Nummer 6 und Anlage 1 dieser Vereinbarung festgelegten Grundsätze zu überwachen.

3.10

Die Sicherheitsmaßnahmen der vom Finanzministerium über Dataport betriebenen zentralen Komponenten entbinden die Dienststellen nicht von der entsprechenden Verantwortung für ihren jeweiligen Zuständigkeitsbereich.

3.11

Die Regelungen der Abgabenordnung (insbesondere § 87 a Elektronische Kommunikation) und der Landesverordnung über die Verarbeitung personenbezogener Daten in Schulen (Datenschutzverordnung Schule) bleiben unberührt.

4 

E-Mail

4.1

Für den Dokumentenverkehr ist, soweit keine rechtlichen, wirtschaftlichen oder technischen Gründe entgegenstehen, die elektronische Post vorrangig gegenüber der Briefpost und dem Fax einzusetzen. Ein paralleler Versand mit Briefpost soll unterbleiben.

4.2

Der E-Mail-Eingang soll mindestens einmal arbeitstäglich auf eingegangene E-Mail gesichtet werden.

4.3

E-Mail wird wie eingehende Post gewertet und weiterbearbeitet. Ziffer 5.2.1 der Gemeinsamen Geschäftsordnung für die Ministerien des Landes Schleswig-Holstein (GGO) ist nicht anzuwenden.

4.4

Wenn bei einer eingehenden E-Mail die absendende Stelle, der Inhalt oder die Anlage zweifelhaft erscheint, ist unverzüglich die zuständige Stelle²⁾ zu informieren. Diese entscheidet über die weitere Behandlung.

4.5

Eine elektronische Post mit vertraulichem Inhalt oder mit personenbezogenen Daten darf extern (außerhalb des Landesnetzes) nur versandt werden, wenn die Nachricht mit einem freigegebenen Programm verschlüsselt ist und die Empfängerin oder der Empfänger zur Entschlüsselung der elektronischen Post in der Lage ist. Sicher gekoppelte andere Verwaltungsnetze gelten in diesem Sinne als intern.

5 

Internet

5.1

Unzulässig ist jede absichtliche oder wissentliche Nutzung des Internetzugangs, die gegen geltende Rechtsvorschriften verstößt oder geeignet ist, den Interessen der Landesregierung oder deren Ansehen in der Öffentlichkeit zu schaden oder die Sicherheit des Landesnetzes zu beeinträchtigen.

5.2

Die Nutzung von Anonymisierungsdiensten ist verboten.

5.3

Mit der Erlaubnis zur privaten Nutzung des Internetzugangs ist kein Anspruch auf Verfügbarkeit des Dienstes und Betreuung begründet.

6 

Protokollierung und Kontrolle

6.1

Eine Protokollierung der Nutzung der Dienste (Nutzungs-, Verkehrs- und Inhaltsdaten) erfolgt, soweit unbedingt erforderlich

–

aus Gründen der Daten- und Systemsicherheit,

–

aus Gründen der Systemtechnik (z.B. zur Fehlerverfolgung) und

–

aus Gründen der Arbeitsorganisation (z.B. zur Feststellung von Art und Umfang der Nutzung und zur Missbrauchskontrolle).

Einzelheiten der Protokollierung (Art, Umfang, Anonymisierung, Aufbewahrung) sind insbesondere in Anlage 1 in der jeweils aktuellen Fassung festgelegt.

6.2

Personal, das Zugang zu Protokollinformationen hat, ist besonders auf die Sensibilität dieser Daten hinzuweisen und auf Einhaltung von Datenschutz zu verpflichten. Bei der Auswahl des Personals ist dies entsprechend als Eignungsvoraussetzung zu berücksichtigen. Dafür ist auch Sorge zu tragen (z.B. durch vertragliche Vereinbarung), wenn und soweit es sich nicht um eigenes Personal handelt.

6.3

Eine Auswertung von Protokolldaten muss die Grundsätze einer datenschutzgemäßen Kontrolle berücksichtigen, insbesondere den Grundsatz der Verhältnismäßigkeit. Eine individuelle Verhaltens- und Leistungskontrolle durch eine Auswertung der Protokolldaten ist grundsätzlich unzulässig. Auswertungen von Protokolldaten erfolgen grundsätzlich zunächst anonymisiert.

6.4

Ergeben sich dabei eindeutige Hinweise auf unzulässige Zugriffe oder auf eine deutliche Überschreitung der erlaubten privaten Nutzung, ist der betroffene Kreis der Beschäftigten zunächst pauschal auf die Unzulässigkeit dieses Verhaltens hinzuweisen. Gleichzeitig wird darüber unterrichtet, dass bei Fortdauer der Verstöße zukünftig eine gezielte Kontrolle nach einem gesondert festzulegenden Verfahren stattfinden kann. An der Festlegung des Verfahrens zur Auswertung von Protokolldaten sind die zuständige Gleichstellungsbeauftragte, Personalvertretung, Schwerbehindertenvertretung und gegebenenfalls die oder der behördliche Datenschutzbeauftragte zu beteiligen. Das Verfahren ist den Beschäftigten bekannt zu machen.

6.5

Bei fortgesetzten Verstößen sind dienst- oder arbeitsrechtliche Maßnahmen gegen die betreffenden Beschäftigten nicht ausgeschlossen.

6.6

Unzulässig sind Auswertungen insbesondere von Protokolldaten (Nutzungs-, Verkehrs- und Inhaltsdaten), um Informationen über die Nutzung des Dienstes Internet und die E-Mail-Kommunikation in Zusammenhang mit besonders zu schützenden Funktionen (z.B. Personalvertretungen, Gleichstellungsbeauftragte, Schwerbehindertenvertretungen, behördliche Datenschutzbeauftragte und ähnliche) sowie über die Kommunikation im Sinne von Ziffer 3.7 zu gewinnen. Bei Verdacht von Straftaten ist die Auswertung von Protokolldaten den zuständigen Strafverfolgungsbehörden zu überlassen.

7 

In-Kraft-Treten

Diese Richtlinie tritt am 1. Januar 2009 in Kraft.

Schlussbestimmungen

Die zu dieser Vereinbarung gehörenden Anlagen 1 und 2 können in der Weise aktualisiert werden, dass das Finanzministerium einen entsprechenden Änderungsvorschlag vorlegt, der beschlossen ist, sobald von allen Beteiligten (im Regelfall schriftlich) zugestimmt wurde.

Diese Vereinbarung gilt bis zum 31. Dezember 2009.

Die Regelungen dieser Richtlinie und dazu getroffene lokale Vereinbarungen bzw. Anweisungen werden unter Beteiligung des Unabhängigen Landeszentrums für Datenschutz auf ihre Wirksamkeit und Zweckmäßigkeit einschließlich ihrer Auswirkungen auf die Datensicherheit überprüft. Im Rahmen dieser Überprüfung wird eine Befragung der Beschäftigten durchgeführt. Einzelheiten der Evaluation werden in einer gesonderten Vereinbarung festgelegt.

Diese Vereinbarung einschließlich Anlagen und deren Aktualisierungen werden im Intranet der Landesregierung und im Amtsblatt veröffentlicht.

Kiel, 5. März 2009

Finanzminister
des Landes Schleswig-Holstein
gez. Rainer Wiegard

Hamburg, 27. März 2009

Deutscher Gewerkschaftsbund
– Bezirk Nord –
gez. Carlos Sievers

Kiel, 12. März 2009

Deutscher Beamtenbund und Tarifunion
– Landesverband Schleswig-Holstein e.V. –
gez. Anke Schwitzer

Anlage 1
zur Richtlinie Internet und E-Mail vom 1. Januar 2009

Stand: 1. Januar 2009

1.

Der Internet-Dienst umfasst

1.1.

http (hypertext transport protocol) – Surfen

1.2.

https (hypertext transport protocol secure) – verschlüsseltes Surfen

1.3.

smtp (simple mail transport protocol) – Internet-Mail

1.4.

ftp (file transport protocol) – Download (gegebenenfalls Upload) von Dateien

1.5.

nntp (network news transfer protocol) – Newsgroups

1.6.

Anschluss an andere Verwaltungsnetze

Der Zugang wird grundsätzlich rund um die Uhr angeboten (erreichte Verfügbarkeit größer als 98,5 Prozent im Jahresmittel). Grundsätzlich wird der Firewall vom Netz getrennt, wenn unbekannte Angriffe aus dem Internet auftreten oder die Vermutung besteht, dass Systeme unberechtigt genutzt werden. Unterstützung und Wartung sind über das Dataport Call-Center verfügbar Montag bis Donnerstag von 8.00 Uhr bis 17.00 Uhr, Freitag von 8.00 Uhr bis 15.00 Uhr.

2.

Der E-Mail-Dienst umfasst Mailen im Bereich des Landesnetzes und in sicher gekoppelten anderen Verwaltungsnetzen (z.B. TESTA, CNPON, ParlaNet, ...) sowie im Internet.

3.

Aus dem Internet eingehende E-Mails werden von der zentralen Firewall geprüft auf

–

ausführbare Dateien anhand der Datei-Endungen,

–

soweit sie im html-Format eingehen, auf Sprunganweisungen,

–

Viren und auf

–

SPAM.

Aus dem Internet eingehende E-Mails mit der Absendeadresse .landsh.de werden abgewiesen. E-Mails, die aus mehreren Teilen bestehen oder die Inhalte aus dem Internet nachladen, werden ebenfalls abgewiesen.

Als gefährdend oder belästigend erkannte Mails werden – je nach angenommenem Gefährdungs- oder Belästigungspotenzial – entweder mit einem Warnhinweis (zum Beispiel "SPAM?") an den Empfänger übermittelt oder vor der Firewall für eine Dauer von maximal zehn Tagen zurückgehalten. Wird die E-Mail an der Firewall zurückgehalten, dann ist der Empfänger darüber zu informieren, dass er sie zur Übermittlung anfordern kann.

4.

Von den Verkehrsdaten der E-Mail werden an der Firewall protokolliert:

–

Datum/Uhrzeit

–

Adressen von Absender und Empfänger

–

Übertragene Datenmenge

–

IP-Nummer des unmittelbaren Eingangs- und Ausgangs-Servers

Die E-Mail-Protokolldaten werden zehn Tage aufbewahrt und dann gelöscht.

Inhaltsdaten der E-Mail werden an der Firewall nicht protokolliert. Art und Umfang der Aufbewahrung und Verwendung von E-Mail-Inhaltsdaten durch die Dienststellen sind von diesen für ihren jeweiligen Zuständigkeitsbereich festzulegen und den Beschäftigten bekannt zu machen.

5.

Von den Nutzungsdaten des Internets werden protokolliert:

–  

IP-Adresse des aufrufenden Arbeitsplatzes

–

URL (www-Adresse)

–

Datum/Uhrzeit

–

Menge der übertragenen Daten

–

Dauer der Datenübertragung

Nach einem Tag werden die Protokolle anonymisiert, das heißt, die letzten Stellen der IP-Nummern (ab dem letzten Punkt) werden gelöscht. Die Protokolle werden nach zehn Tagen gelöscht.

6.

Diese Festlegungen gelten für die zentralen Komponenten und entsprechend für die lokalen Komponenten, soweit dort keine weitergehenden Regelungen getroffen, vereinbart und bekannt gemacht worden sind.

Anlage 2
zur Richtlinie Internet und E-Mail vom 1. Januar 2009

Stand: 1. Januar 2009

Schulungsbausteine zur Nutzung von Internet und E-Mail

Grundlagen, für Nutzerinnen und Nutzer

–

Bedienung von aktuellem Internet-Browser und E-Mail-Client

–

Viren und SPAM

–

Internet-Dienste und ihre Einsatzmöglichkeiten

–

WWW-Suchmaschinen

–  

Newsgroups

–

E-Mail

–

File-Transfer

–

Modellhafte Internet-Angebote ausgewählter Verwaltungen

–

Datenschutz und Datensicherheit (Einführung)

Vertieftes Wissen, insbesondere für Fachpersonal

–

Kompakt-Einstieg in die Datenkommunikation

–

Datenschutz bei der Internetnutzung

–

Technik und Recht bei Firewalls

–

Datenschutz bei der Internetnutzung durch Schulen

Rechtliche Grundlagen für die Internet-Nutzung an Schulen

Bekanntmachung des Ministeriums für Bildung, Wissenschaft, Forschung und Kultur vom 18. Dezember 2003 - III 502
Fundstelle: (NBI.MBWFK.Schl.-H. 2001 S. 5)

Soweit eine Schule ihren Internetanschluss für unterrichtsbegleitende oder lernunterstützende Zwecke nutzt, ist sie berechtigt, die Inhalte von aufgerufenen Webseiten und von E-Mails zu kontrollieren. Diese Berechtigung ergibt sich aus der Aufsichtspflicht der Schule (vgl. § 36 SchulG). Gleiches gilt , wenn Lehrkräfte den Anschluss für schulische Zwecke oder Schülerinnen und Schüler unter Aufsicht von Lehrkräften den Internetanschluss für schulbezogene Zwecke nutzen.

Unzulässig ist nach § 6 Teledienstedatenschutzgesetz eine inhaltliche Kontrolle durch die Schule, wenn sie ihren Internetanschluss für außerschulische Zwecke zur freien Nutzung zur Verfügung stellt. In diesem Fall gilt sie als Anbieter einer Telekommunikationsleistung (vgl. § 2 Abs. 1 Teledienstegesetz) und darf die anfallenden Nutzungsdaten (Webseiten­aufrufe, E-Mail-Kommunikation) nur zu Abrechnungszwecken verwenden.

 Aus diesem Grunde sehen die gemeinsamen Ausstattungsempfehlungen des Landes und der Kommunalen Landesverbände grundsätzlich nur die Internetnutzung für schulische Zwecke vor.

Sollen Schülerinnen und Schüler außerdem zukünftig eine allgemeine Erlaubnis erhalten, den schulischen Internetzugang außerhalb des Unterrichts im Klassenverband und ohne direkte Kontrolle durch eine Lehrkraft für schulische Zwecke zu nutzen, setzt dies eindeutige Nutzungsregelungen und technische Vorkehrungen voraus, damit die Schule ihrer Aufsichtspflicht Rechnung tragen kann.

 In die Nutzungsregelungen sind folgende Punkte aufzunehmen:

• Die Internetanschlüsse dürfen nur für schulische Zwecke genutzt werden.
• Durch geeignete Filtersoftware sollte versucht werden, den Zugang zu Internetseiten mit strafbaren oder pornographischen Inhalten zu verhindern.
• Jede Nutzerin und jeder Nutzer muss bei unbeaufsichtigter Nutzung des Internets im Nachhinein identifizierbar sein (Login und zugeordnetes Passwort).
• Die Internetnutzerinnen und -nutzer sind darüber aufzuklären, dass die Aktivitäten protokolliert und bei Bedarf personenbezogen (s. Punkt 3) kontrolliert werden.
• Sanktionen sollten festgelegt werden, wenn gegen die Nutzungsregelungen verstoßen wird.
• Fristen für die Speicherung der Nutzungsdaten sind festzulegen.
• Zuständigkeiten für den Zugang zu diesen Daten sind zu bestimmen.

Die Nutzungsregelungen sollten in der Schulkonferenz besprochen und beschlossen werden. Darüber hinaus sollten in allen frei zugänglichen Räumlichkeiten mit Internetzugang deutliche Hinweisschilder angebracht werden, die darauf hinweisen, dass alle Internetaktivitäten protokolliert werden.