Ethik Kodex

“Jeder ist so wertvoll wie die Dinge, denen er Bedeutung zumisst.”

Mark Aurel

Einführung

Der vorliegende Ethikkodex der Genetica Group GmbH (im Folgenden „Genetica“ genannt) ist eine Sammlung von Grundsätzen und Regeln, deren Einhaltung von grundlegender Bedeutung für das gute Zusammenspiel innerhalb des Unternehmens und für die stetige Steigerung seiner Zuverlässigkeit ist. Genetica ist sich der Bedeutung der verarbeiteten Daten bewusst und hat aus diesem Grund ein Dokument erarbeitet, mit dem folgende Ziele verfolgt werden:

  • Festschreiben der ethischen und sozialen Verantwortung des Unternehmens gegenüber allen internen wie externen Interessensträgern;
  • Definition der Abläufe und Grundsätze, nach denen innerhalb des Unternehmens persönliche Daten verarbeitet werden.

Es geht also darum, detailliert zu beschreiben, wie korrekt mit Informationen umgegangen wird, in deren Besitz das Unternehmen kommt, und wie dadurch die Bedürfnisse und Erwartungen der verschiedenen Ansprechpartner befriedigt werden können. Durch ein hohes Maß an Professionalität will das Unternehmen einem Verhalten vorbauen, das den geltenden gesetzlichen Datenschutzregeln und/oder den Standards widerspricht, die sich das Unternehmen selbst setzt.

Das individuelle und kollektive Verhalten der Angestellten und Mitarbeiter von Genetica muss also der Unternehmenspolitik und den Unternehmenswerten entsprechen. Dies setzt wiederum die Kenntnis aller Regeln, ein hohes Maß an Verantwortung und die Einhaltung aller Grundsätze voraus, die der Verarbeitung personenbezogener Informationen zugrunde liegen.

Der vorliegende Ethikkodex ergänzt und vervollständigt die Regeln und Standards, die schon in den Unternehmensrichtlinien festgeschrieben worden sind oder genauer: in den Unternehmensrichtlinien zur Verwendung des IT-Systems.

 

ZIELGRUPPE

Dieser Kodex richtet sich an alle Angestellten und Mitarbeiter, und zwar auch an jene, die zeitlich begrenzt mit dem Unternehmen zusammenarbeiten. Die Einhaltung der Vorgaben in diesem Kodex durch alle Angesprochenen ist für Genetica essentiell, Verstöße gegen die enthaltenen Prinzipien werden daher als Verstöße gegen die vertraglichen Beziehungen zwischen Genetica und den Angestellten bzw. Mitarbeitern gewertet. Die Regeln in diesem Kodex zu kennen und zu verbreiten, ist daher Pflicht eines jeden Mitarbeiters. Das Unternehmen wünscht, dass sich alle Angesprochenen in den Prinzipien wiedererkennen, die diesem Kodex zugrunde liegen, dass diese sie teilen und anwenden, damit sie zum Fundament einer auf gegenseitigem Vertrauen beruhenden Beziehung werden können.

Allgemeine ethische Grundsätze und Mission des Unternehmens

Die Prinzipien, auf denen der Ethikkodex des Unternehmens in Sachen Verarbeitung von Informationen ruht, sind folgende:

  • ein ethisch korrektes und alle geltenden Gesetze respektierendes Verhalten des Unternehmens gegenüber den diversen Ansprechpartnern;
  • Zuverlässigkeit und Loyalität der Angestellten und Mitarbeiter dem Unternehmen gegenüber;
  • ein korrekter, freundlicher und respektvoller Umgang mit den Arbeitskollegen;
  • eine Sensibilisierung der Angestellten und Mitarbeiter in Bezug auf Datenschutz und Informationssicherheit;
  • Professionalität und professionelle Sorgfalt;
  • Respekt für die Umwelt sowie für Gesundheit und Sicherheit der Angestellten und Mitarbeiter.

Es wird Aufgabe des Unternehmens sein, die genannten Prinzipien in konkrete Maßnahmen einfließen zu lassen, um so Vertrauen, Zusammenhalt und Unternehmensgeist zu stärken, und zwar nach innen wie nach außen. Deshalb verpflichtet sich das Unternehmen zu entsprechenden Fortbildungs- und Informationsinitiativen, um

  • die hier festgelegten Werte in der Unternehmenskultur zu verankern und zu stärken;
  • die Normen, Abläufe und Verfahren, an die es sich zu halten gilt, zu verbreiten;
  • jene Angestellten und Mitarbeiter besonders zu sensibilisieren, die unternehmerische Informationen verarbeiten.

Die ethischen Standards, die dem Unternehmen zugrunde liegen, sind die Folgenden:

  • Gerechtigkeit und Gleichbehandlung,
  • Sorgfalt, Transparenz, Ehrlichkeit, Vertraulichkeit und Unparteilichkeit,
  • Schutz von Mensch und Umwelt.

Verhaltensregeln und -standards

Genetica setzt sich für die Einhaltung folgender Werte ein:

UNPARTEILICHKEIT

  • Es werden allen Angestellten und Mitarbeitern gleiche Arbeitsbedingungen geboten, und zwar auf der Grundlage der jeweiligen beruflichen Qualifikation und Fähigkeiten, ohne Ansehen von Ethnie, Religion, Meinungen, Nationalität, Geschlecht, Alter, Gesundheitszustand oder sozialer Herkunft.

DATENSCHUTZ

  • Das Unternehmen ist dazu geeignet, im geschäftlichen Alltag eine Reihe von personenbezogenen Daten zu verarbeiten, sei es von internen, sei es von externen Subjekten.

VERANTWORTUNG

  • Vertraglich definierte Leistungen werden erbracht, und zwar auf der Grundlage der vereinbarten Aufgaben, Ziele und Verantwortungen. Aufgaben oder zu treffende Entscheidungen im eigenen Bereich werden nicht an andere Angestellte oder Mitarbeiter delegiert.

SORGFALT

  • Angestellte haben die Arbeitszeiten einzuhalten (es sei denn, es gibt einen triftigen Grund für eine Nicht-Einhaltung) und Absenzen vom Arbeitsplatz auf das Notwendigste zu beschränken. Mitarbeiter müssen in Sachen Zeit und Einsatz adäquate Ressourcen aufbringen, damit sie die ihnen zugewiesenen Aufgaben bewältigen und die festgelegten Ziele erreichen können.

RESPEKT

  • Der Umgang mit den anderen ist von Respekt und Sensibilität geprägt. Ein Arbeiten unter dem Einfluss von Alkohol, Drogen oder anderen Mitteln gleichen Effekts ist zu vermeiden, ebenso wie der Konsum oder die Weitergabe genannter Mittel während der Arbeit.

BETRIEBSKLIMA

  • Es wird die Schaffung eines Betriebsklimas angestrebt, in dem sich alle Kollegen in die Erreichung der unternehmerischen Ziele eingebunden fühlen.

EHRLICHKEIT

  • Alle Mittel und Ressourcen, die das Unternehmen für die Arbeit zur Verfügung stellt, werden ausschließlich für den vorgesehenen Zweck verwendet. Der Umgang mit ihnen hat achtsam zu sein, um ein möglichst langes, einwandfreies Funktionieren zu garantieren. Jeder Angestellte und Mitarbeiter ist direkt und persönlich für die ihm für seine jeweiligen Aufgaben zur Verfügung gestellten Ressourcen und Mittel verantwortlich. Die Angestellten verpflichten sich zudem, während der Arbeitszeit keine persönlichen Telefonate zu führen, es sei denn, es handelt sich um Notfälle, und sich an die Vorgaben zur Verwendung von IT-System, Internet und E-Mail zu halten. Auch die unternehmenseigenen Fahrzeuge dürfen nicht für persönliche Zwecke oder zum Transport unternehmensfremder Personen verwendet werden – mit Ausnahme ausdrücklicher Erlaubnis durch das Unternehmen.

Datenschutz-Regelung

Regelung zur Verarbeitung personenbezogener Daten

Die fortschreitende Verbreitung neuer Informationstechnologien, vor allem aber der freie Zugriff auf das Internet ist mit vermögens- und strafrechtlichen Risiken für Genetica (im Folgenden auch „das Unternehmen“ oder „die Gesellschaft“ genannt) und deren Mitarbeiter verbunden, die sich aus dem Verstoß gegen entsprechende Gesetze und Normen ergeben. Diese Risiken können die Sicherheit und das Image des Unternehmens nachhaltig schädigen.

Vorausgeschickt, dass die Verwendung der IT-Ressourcen sich stets an den Prinzipien der Sorgfalt und Korrektheit zu orientieren hat, an Prinzipien also, auf denen im Normalfall ein Arbeitsverhältnis ruht, hat Genetica ein internes Reglement erarbeitet. Dieses Reglement soll verhindern, dass sich aus einem unachtsamen Verhalten Probleme für die Sicherheit der Datenverarbeitung ergeben.

Bei der Aufnahme eines Arbeitsverhältnisses bewertet das Unternehmen das Vorhandensein der Voraussetzungen für die Nutzung unternehmenseigener Devices sowie von Internet und E-Mail von Seiten des Arbeitnehmers bzw. Mitarbeiters. Eventuelle negative Bescheide sind allein darauf zurückzuführen, dass alle informatischen Systeme und Geräte ausschließlich dem Unternehmenszweck zu dienen haben. Deshalb haben nur jene Angestellte und Mitarbeiter das Recht auf die Nutzung der Instrumente bzw. Zugriff auf die Systeme, für die eine solche Nutzung bzw. ein solcher Zugriff für die Abwicklung ihrer Arbeit effektiv und konkret notwendig sind.

In diesem Zusammenhang wird darauf verwiesen, dass eine solch restriktive Handhabung durch die Verfügung der Datenschutzbehörde vom 1. März 2007 [doc. web n. 1387522] (einsehbar unter https://www.garanteprivacy.it/web/guest/home/docweb/-/docwebdisplay/docweb/1387522) notwendig geworden ist, die vorschreibt, dass die Nutzung informatischer Instrumente und Systeme beschränkt werden muss. Dies aus Präventions- und Sicherheitsgründen, um die in diesem Dokument beschriebenen Gefahren und Risiken gering zu halten.

Genetica ist exklusive Eigentümerin aller Devices, die den Angestellten und Mitarbeitern zur Verfügung gestellt werden, und zwar ausschließlich für Arbeitszwecke und/oder für in spezifischen Vereinbarungen festgelegte Zwecke.

Die Gesellschaft ist zudem einzige Eigentümerin aller Informationen, Registrierungen und Daten, die in den digitalen Devices gespeichert und/oder über diese verarbeitet oder in Papierform in den Räumlichkeiten des Unternehmens archiviert werden.

Aus diesem Grund kann der Angestellte oder Mitarbeiter nicht davon ausgehen, dass die von ihm mit Hilfe der unternehmenseigenen Devices verarbeiteten oder gespeicherten Informationen, Registrierungen und Daten (einschließlich gesendeter und/oder empfangener E-Mails und Chatnachrichten, Bild-, Video- oder anderer Typen von Files) privat oder persönlich sein können. Ebenso wenig kann der Angestellte oder Mitarbeiter annehmen, dass Daten in Papierform von ihm kopiert, kommuniziert oder verteilt werden können, ohne dass dafür zuvor die Einwilligung des Unternehmens eingeholt worden wäre. Ohne Einwilligung des Eigentümers ist es zudem nicht gestattet, zu anderen als den vorgesehenen Zwecken neue, autonome Archive anzulegen oder personenbezogene Daten zu strukturieren und/oder zu profilieren und/oder automatisch zu verarbeiten.

 

DEFINITIONEN

  1. GDPR (General Data Protection Regulation): Richtlinie der Europäischen Union 679/2016 zum Schutz personenbezogener Daten
  2. NDA: non-disclosure agreement oder Vertraulichkeitsvereinbarung. Mit einer solchen Vereinbarung werden Informationen als vertraulich definiert, die Vertragsparteien kommen überein, diese Informationen geheim zu halten.
  3. Personenbezogene Daten: alle Daten, die eine identifizierte oder identifizierbare physische Person betreffen („Betroffener“). Als identifizierbar gilt eine Person, die direkt oder indirekt identifiziert werden kann, besonders über den Namen, eine Identifizierungsnummer, Angaben zum Wohnort, eine Online-Identität oder eine oder mehrere Angaben zur jeweils charakteristischen physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität.
  4. Verarbeitung: jegliche Operation oder Kombination von Operationen, die mit oder ohne Zuhilfenahme automatisierter Prozesse auf personenbezogene Daten angewandt wird. Dazu gehören die Sammlung, Registrierung, Organisation, Strukturierung, Verwahrung, Anpassung oder Veränderung, das Extrahieren, das Einsehen, die Nutzung, die Kommunikation durch Übermittlung oder Verbreitung oder jede andere Form der Zurverfügungstellung, der Abgleich, die Verknüpfung, die Begrenzung, Löschung oder Zerstörung.
  5. Eigentümer der Verarbeitung: die physische oder juristische Person, die öffentliche Einrichtung, der Dienst oder eine andere Organisation, die alleine oder gemeinsam mit anderen die Zwecke und Instrumente der Verarbeitung von personenbezogenen Daten festlegt.
  6. Datenschutzverantwortlicher: die physische oder juristische Person, die öffentliche Einrichtung, der Dienst oder eine andere Organisation, die im Auftrag des Eigentümers personenbezogene Daten verarbeitet.
  7. Beauftragter: jeder Angestellte oder externe Mitarbeiter, der im Rahmen seines Auftrages Daten mit Bezug auf das Unternehmen verarbeitet.
  8. Angestellter: Personal, das mit dem Unternehmen in einem Arbeitsverhältnis steht, auch in Form eines Volontariats oder Praktikums
  9. Risiko: Form der Ungewissheit mit Bezug auf die gesetzten Ziele (ISO/IEC 27000)
  10. Asset (Gut): jeglicher Gegenstand, der einen Wert für das Unternehmen hat (ISO/IEC 27000)
  11. Bedrohung: mögliche Ursache eines Unfalls, der einem System oder einer Organisation Schaden zufügen könnte (ISO/IEC 27000)

Die neue Richtlinie findet Anwendung auf alle Angestellten ohne Ansehen von Funktion und/oder Rolle im Unternehmen sowie auf alle Mitarbeiter, unabhängig davon, in welchem Vertragsverhältnis diese zum Unternehmen stehen.

Die einem Angestellten/Mitarbeiter übergebenen Devices sind ein Arbeitsinstrument, dürfen also nur für Arbeitszwecke verwendet werden. Es ist demnach untersagt, diese Devices für private Zwecke und/oder andere Zwecke als die vom Unternehmen definierten zu verwenden, es sei denn, es gibt eine vorherige ausdrückliche Genehmigung von Seiten des Eigentümers. Eine eventuelle Toleranz von Seiten des Unternehmens, sei diese nun effektiv oder nur scheinbar, legitimiert in keiner Weise ein Verhalten, das den Vorgaben in den vorliegenden Richtlinien widerspricht.

In Bezug auf die Vorgaben zur Verwendung der informatischen und telematischen Ressourcen fällt jeder Angestellte unter den Begriff „Nutzer“.

 

VERWENDUNG DES PERSONAL COMPUTERS

Der einem Angestellten überlassene Personal Computer ist ein Arbeitsinstrument. Jeglicher Gebrauch außerhalb der Arbeitstätigkeit ist daher untersagt, auch weil ein solcher Funktionsstörungen, Wartungskosten und vor allem Sicherheitsrisiken nach sich ziehen kann. Der Personal Computer ist mit Sorgfalt zu behandeln, Beschädigungen sind zu vermeiden. Als Arbeitsinstrument ist der ausgehändigte Computer mit jeglicher Software ausgestattet, die zur Erfüllung der gestellten Aufgaben notwendig ist. Aus unternehmerischer Notwendigkeit können die Systemadministratoren mit deren eigenem Login, den zugewiesenen Administratoren-Befugnissen und dem eigenen Password nach den in diesem Dokument festgelegten Regeln auf die Gerätespeicher (repository und backup) sowie auf die Unternehmensserver zugreifen. Auch ein (Fern-)Zugriff auf den Computer der Mitarbeiter ist – nach entsprechender Vorankündigung – möglich.

Der dem Angestellten ausgehändigte Personal Computer ermöglicht den Zugriff auf das Netz der Genetica Group, allerdings nur mit einer entsprechenden Authentifizierung, die weiter unten im Dokument näher beschrieben wird.

Genetica gibt bekannt, dass das im Bereich Information and Communication Technology (im Folgenden kurz „ICT-Bereich“ genannt) eingesetzte Personal autorisiert worden ist, Eingriffe in das Informatiksystem des Unternehmens vorzunehmen, mit denen die Sicherheit und Unversehrtheit des Systems selbst garantiert wird. Diese Eingriffe sind auch aus anderen technischen und/oder wartungstechnischen Zwecken (z.B. Update/Austausch/Implementierung von Programmen, Wartung der Hardware) möglich. Sie bringen mit sich, dass in ihrem Rahmen zu jedem Zeitpunkt auf die von einem Nutzer verarbeiteten Daten (dazu gehören auch die Mailarchive) und bei den zur externen Nutzung des Webs berechtigten Nutzern auch auf das Archiv der besuchten Internetseiten zugegriffen werden kann – stets mit den von Genetica definierten Verboten vor Augen. Selbiges Recht wird auch dann wahrgenommen, wenn ein Mitarbeiter länger abwesend oder verhindert sein sollte, um die Sicherheit des Systems und die Aufrechterhaltung des Alltagsbetriebs im Unternehmen zu gewährleisten.

Das Personal des ICT-Bereichs hat die Möglichkeit, sich mit den einzelnen PCs zu verbinden und den Desktop einzusehen, um eine effiziente Betreuung des Nutzers zu garantieren und dadurch auch das reibungslose Funktionieren aller Abläufe sowie einen wirksamen Schutz vor Viren, Spyware, Malware etc. zu gewährleisten. Ein solcher Zugriff erfolgt ausschließlich nach einer entsprechenden Aufforderung durch den Nutzer oder – in Fällen objektiver Notwendigkeit – nach dem Feststellen von technischen Problemen im informatischen oder telematischen System. In letzteren Fällen wird der Zugriff dem Nutzer rechtzeitig angekündigt, es sei denn, eine solche Ankündigung beeinträchtigt den zu erwartenden Erfolg des Eingriffs.

Die Verwendung anderer als der offiziell vom Personal des ICT-Bereichs im Auftrag von Genetica installierten Programme ist nicht zulässig. Auch ist es den Angestellten nicht erlaubt, autonom Programme zu installieren, weil dadurch das Risiko steigt, Viren in das System einzuschleusen und/oder das Funktionieren der bereits installierten Software zu beeinträchtigen. Ein Verstoß gegen diese Vorschriften birgt für Genetica ein hohes Risiko zivilrechtlicher Folgen. Zudem wird darauf aufmerksam gemacht, dass ein Verstoß gegen das Urheberrecht, das im System lediglich die Präsenz regulär lizensierter oder freier, also nicht urheberrechtlich geschützter Software erlaubt, auch strafrechtliche Folgen nach sich zieht.

Wenn nicht explizit vom Personal des ICT-Bereichs erlaubt, ist es dem Nutzer untersagt, die Einstellungen am eigenen PC zu verändern bzw. Speicher- oder Kommunikationsmedien (etwa Brenner, Modems etc.) zu installieren.

Jeder Angestellte muss bei der Verwendung von externen Geräten und Medien höchste Vorsicht walten lassen und umgehend das Personal des ICT-Bereichs in Kenntnis setzen, sollten Viren festgestellt werden. In diesem Fall sind jene Maßnahmen zu setzen, die weiter unten in diesen Richtlinien beschrieben werden.

Der Personal Computer ist jeden Abend vor dem Verlassen des Büros auszuschalten, ebenso bei längerer Abwesenheit aus dem Büro oder längerem Nicht-Gebrauch. Wird ein an das Netz angeschlossenes Gerät unbeaufsichtigt gelassen, besteht stets die Gefahr einer Verwendung durch Dritte. Die Möglichkeit, im Nachhinein eine solche unrechtmäßige Nutzung nachzuweisen, besteht nicht.

Das „Login“ ist jene Operation, mit der sich der Beauftragte mit dem Informatiksystem des Unternehmens oder auch nur mit einem Teil desselben verbindet. Mit der Eingabe seiner Nutzerdaten (Username und Password) öffnet er eine Session, mit dem „Logout“ wird diese wieder geschlossen. Zum Abschluss des Arbeitstages muss der Beauftragte sicherstellen, dass er alle Programme und Anwendungen ordnungsgemäß geschlossen hat. Ein nicht-sachgemäßes Verlassen eines Programms oder einer Anwendung bringt das Risiko mit sich, dass Daten verloren gehen oder sich Unbefugte Zugriff verschaffen. Das Blockieren des Computers verunmöglicht einen Zugriff auf die laufende Session, deaktiviert also die Tastatur oder den Bildschirm, schließt die Session aber nicht.

Die Verwendung aller Devices und die Verwaltung der gespeicherten Daten muss unter der Maßgabe der Sicherheit und der Integrität des Datenvermögens des Unternehmens erfolgen.

Der Beauftragte muss deshalb folgende Operationen ausführen:

  1. Verlässt er seinen Arbeitsplatz, muss er sicherstellen, dass Unbefugte keinen Zugriff auf die geschützten Daten haben.
  2. Vor jeder Pause oder allgemeiner: bei jedem Verlassen des Arbeitsplatzes muss das Device blockiert werden.
  3. Am Ende eines Arbeitstages muss die Session ordnungsgemäß beendet werden (Logout).
  4. Nach dem Logout muss der PC ausgeschaltet werden.
  5. Bei jeder Operation muss sichergestellt werden, dass kein Unbefugter dem Nutzer über die Schulter schaut und so einen Blick auf den Monitor werfen kann.

Die Daten zur Authentifizierung durch das System werden dem Nutzer vom Personal des ICT-Bereichs zugewiesen, und zwar auf Anfrage des Verantwortlichen für den künftigen Einsatzbereich des Nutzers. Im Falle fixer freier oder kontinuierlicher Mitarbeit wird die Anfrage – falls notwendig – vom Verantwortlichen des Bereichs gestellt, dem der externe Mitarbeiter zuarbeitet.

Die Daten zur Authentifizierung bestehen aus einem vom ICT-Bereich zugeteilten Identifikationscode (User ID) und einem Password, das vom Nutzer mit der größten Sorgfalt und Vorsicht geheim gehalten werden muss. Die Aktivierung eines BIOS-Passwords ist ohne vorherige Genehmigung durch den ICT-Bereich nicht zulässig.

Das Password besteht aus Groß- und/oder Kleinbuchstaben und/oder Ziffern bzw. einer entsprechenden Kombination, ist mindestens acht Buchstaben/Ziffern lang und darf nicht ohne weiteres auf den Nutzer zurückzuführen sein.

Nach dem ersten Einloggen muss das Password vom Nutzer, also dem mit der Verarbeitung Beauftragten, selbständig geändert werden. Eine Änderung des Passwords fällt zudem mindestens alle sechs Monate an. Im Falle der Verarbeitung sensibler Daten mit Hilfe elektronischer Systeme ist ein Passwordwechsel alle drei Monate vorgeschrieben.

Sollte ein Password nach Ablauf obgenannter Fristen verfallen und/oder nicht mehr geheim sein, werden alle notwendigen Schritte in Zusammenarbeit mit dem Personal des ICT-Bereichs gesetzt.

 

NUTZUNG DES NETZWERKS DER GENETICA GROUP

Um Zugriff auf das Netzwerk von Genetica zu bekommen, muss der Nutzer im Besitz der entsprechenden Daten zur Authentifizierung sein.

Es ist strengstens verboten, mit einem anderen als dem persönlich zugewiesenen Identifikationscode auf das Netzwerk zuzugreifen. Die Passwörter für den Zugriff auf das Netzwerk und die entsprechenden Programme sind geheim und werden ausschließlich unter Einhaltung der vorgeschriebenen Verfahren weitergegeben.

Die Nutzerfolder auf den Servern von Genetica sind einzig und allein für den Austausch von beruflichen Informationen vorgesehen und dürfen nicht für etwaige andere Zwecke genutzt werden. Deshalb darf kein File, das nicht an die Arbeit gebunden ist, hier abgelegt werden – auch nicht für kurze Zeit. Diese Bereiche werden vom Personal des ICT-Bereichs regelmäßig kontrolliert, verwaltet und gesichert. Wir weisen darauf hin, dass alle lokalen Datenträger (etwa die Festplatte im Laufwerk C:) nicht vom Personal des ICT-Bereichs gesichert werden. Die Speicherung von Daten auf diesen Laufwerken liegt daher ausschließlich in der Verantwortung des einzelnen Nutzers.

Das Personal des ICT-Bereichs kann jederzeit Files oder Anwendungen von den PCS der Nutzer oder den Servern entfernen, wenn diese als Sicherheitsrisiko eingestuft werden.

Es ist wünschenswert, dass jeder Nutzer regelmäßig (und mindestens alle drei Monate) das Archiv kontrolliert und unnütze oder mittlerweile obsolete Files löscht. Zudem ist darauf achtzugeben, dass keine Files kopiert werden, damit kein redundantes Archiv entsteht.

 

NUTZUNG UND AUFBEWAHRUNG TRAGBARER MEDIEN

Tragbare Speichermedien (Disketten, CDs, DVDs, USB-Sticks etc.), auf denen sensible Daten oder unternehmerisches Know-how gespeichert sind, sind mit besonderer Vorsicht zu behandeln um zu verhindern, dass ihr Inhalt entwendet, verändert, zerstört oder nach seiner Löschung wiederhergestellt wird.

Um solche Speichermedien mit sensiblen Daten zu zerstören oder unbrauchbar zu machen, müssen die Nutzer das Personal des ICT-Bereichs kontaktieren und dessen Anweisungen befolgen.

In jedem Fall müssen die tragbaren Speichermedien mit sensiblem Inhalt von den Nutzern in abgesperrten Kästen verwahrt werden.

  1. Die Nutzung persönlicher tragbarer Speichermedien ist verboten.
  2. Der Nutzer ist für die Aufbewahrung der Speichermedien und für die Sicherheit der darauf gespeicherten Unternehmensdaten verantwortlich.

 

NUTZUNG TRAGBARER DEVICES

Laptops, Tablets und Handys (im Folgenden generell als „tragbare Devices“ bezeichnet) können vom Unternehmen an Angestellte ausgegeben werden, die auch außerhalb des Büros Zugriff auf elektronische Archive, Automatisierungshilfen und/oder auf das Unternehmensnetzwerk haben müssen. Der Nutzer übernimmt die Verantwortung für die übernommenen Devices und muss diese sei es beim Transport, sei es bei der Nutzung mit größter Sorgfalt und Vorsicht behandeln. Auf die tragbaren Devices finden die Regeln Anwendung, die auch für die PCs gelten. Besonderes Augenmerk gilt dabei der Entfernung eventueller Files, die auf diesen Devices erstellt oder verändert worden sind. Sie müssen bei der Rückkehr ins Büro umgehend in die Netzwerkspeicher hochgeladen und definitiv vom Device entfernt werden (Wiping). Es ist verboten, auf den Devices Anwendungen zu installieren (auch wenn diese kostenlos sein sollten), ohne zuvor die Genehmigung von Seiten des Unternehmens eingeholt zu haben.

Tragbare Devices müssen außerhalb der Büros (etwa bei Tagungen oder Besuchen bei Kunden etc.) an einem sicheren Ort verwahrt werden. Sollte ein Device verloren gehen oder gestohlen werden, muss umgehend eine Verlustanzeige bei den Behörden folgen. Zugleich ist das Unternehmen zu informieren, das sich – sofern notwendig – um alle Maßnahmen in Zusammenhang mit dem Datenschutz kümmern wird. Es ist den Nutzern untersagt, die tragbaren Geräte auch tagsüber, also während der Arbeitszeit, unbeaufsichtigt zu lassen. Auch ist es verboten, die tragbaren Devices unbeaufsichtigt und sichtbar im Auto, im Hotelzimmer, in der Lobby des Hotels, im Wartesaal eines Bahnhofs oder Flughafens zu lassen. Sollte die Möglichkeit bestehen, das Device mit einem PIN zu sichern, so ist von dieser Möglichkeit Gebrauch zu machen. Kein Device darf in diesem Fall ohne Eingabe des PIN genutzt werden können. Sollte ein tragbares Device vertragsgebunden genutzt werden, so muss sich der Nutzer über den Inhalt des Vertrags und die vorgegebenen Limits (z.B. maximale Gesprächsminuten, maximal nutzbare Gigabyte,…) kundig machen und diese einhalten. Sollten die Limits aus arbeitstechnischen Notwendigkeiten zu gering ausfallen und geändert werden müssen, so muss der Nutzer dies vorab und zeitgerecht dem Unternehmen mitteilen. Tragbare Devices dürfen – mit Ausnahme einer entsprechenden Genehmigung durch die Gesellschaft – nicht im Ausland genutzt werden. Sollte eine solche Nutzung notwendig sein, muss dies dem Unternehmen mitgeteilt werden, damit entsprechende Verträge mit dem Mobilfunkanbieter abgeschlossen werden können.

 

E-MAIL-NUTZUNG

Die dem Nutzer zugewiesene Mailbox ist ein Arbeitsinstrument. Der Nutzer ist für ihre korrekte Nutzung selbst verantwortlich.

Nur in Ausnahmefällen und auch dann nur unter Anwendung des gesunden Hausverstands ist es erlaubt, die vom Unternehmen zugewiesene Mailbox für andere Zwecke zu nutzen als für jene, die strikt mit der eigenen beruflichen Tätigkeit zusammenhängen. So darf der Nutzer – nur um einige wenige Beispiel anzuführen – seine Mailbox nicht nutzen, um

  1. Filme oder Lieder (z.B. mp3) zu verschicken oder zu empfangen, sofern diese nicht mit der beruflichen Tätigkeit verknüpft sind;
  2. persönliche Mitteilungen zu verschicken oder zu empfangen oder sich an Diskussionen, Online-Versteigerungen, Wettbewerben, Foren oder Mailing-Listen zu beteiligen;
  3. sich an telematischen Kettenbrief-Aktionen zu beteiligen. Sollten Mails mit entsprechendem Inhalt eingehen, müssen davon umgehend die Mitarbeiter des ICT-Bereichs in Kenntnis gesetzt werden. In keinem Fall dürfen Anhänge solcher Mails geöffnet werden.

Die eigene Mailbox muss in Ordnung gehalten werden, was bedeutet, dass unnötige Dokumente, vor allem aber schwere Anhänge gelöscht werden müssen. Jegliche ein- oder ausgehende Mitteilung mit relevanten Inhalten, mit vertraglichen oder vorvertraglichen Verpflichtungen für die Genetica Group oder mit geheimen, durch die Bezeichnung „streng vertraulich“ (oder ähnlich) gekennzeichneten Dokumenten muss vom zuständigen Vorgesetzten eingesehen und abgesegnet werden.

Es ist Vorschrift, dass beim Öffnen jeglicher Files im Anhang einer E-Mail größte Sorgfalt herrschen muss. Downloads von ausführbaren Dateien oder von Dokumenten von unbekannten Websites oder Ftp-Servern sind nicht durchzuführen.

Um ein kontinuierliches Funktionieren des elektronischen Postsystems des Unternehmens zu garantieren und den Zugriff auf die Daten zugleich zu minimieren, übermittelt das System falls notwendig und sinnvoll bei geplanten Abwesenheiten (z.B. Urlaub, Außendienst) automatisch eine Abwesenheitsnotiz, die die Adresse eines anderen Ansprechpartners oder andere nützliche Kontaktinformationen enthält. Diese Funktion ist vom Nutzer zu aktivieren.

Bei nicht geplanten Abwesenheiten (etwa wegen Krankheit) sorgt das Unternehmen bei Notwendigkeit selbst für die Aktivierung der Abwesenheitsnotiz, es sei denn, der Nutzer tut dies selbst innerhalb von zwei Arbeitstagen über den Webmail-Dienst.

Es ist nach Absprache mit dem Nutzer dessen Vorgesetztem oder einem vom Unternehmen bestimmten Angestellten erlaubt, auf die Mailbox des Nutzers zuzugreifen, sollte sich ein solcher Zugriff als notwendig herausstellen.

Sollten oben genannte Möglichkeiten nicht in Frage kommen und ein schneller und effizienter Einsatz notwendig sein, kann das Personal des ICT-Bereichs auf die Mailbox des Nutzers zugreifen, allerdings nur zur Erfüllung der bereits genannten Zwecke.

 

SURFEN IM INTERNET

Der PC und der über diesen garantierte Zugang zum Internet sind Arbeitsinstrumente und ausschließlich für die berufliche Tätigkeit zu nutzen. Surfen im Internet aus anderen Gründen als solchen, die strikt mit den eigenen Aufgaben im Unternehmen verknüpft sind, ist deshalb strengstens untersagt.

In diesem Sinne ist es, um ein paar Beispiele anzuführen, dem Nutzer verboten, das Internet zu nutzen, um

  1. kostenlose Software (freeware) oder Shareware herunter- oder hochzuladen, ebenso Dokumente (etwa Videos oder Lieder) von Websites oder http, sofern diese nicht strikt mit der beruflichen Tätigkeit verknüpft sind und die Zuverlässigkeit der Seiten zuvor geprüft wurde. Im Zweifelsfall ist das Personal des ICT-Bereichs beizuziehen;
  2. jegliche Form von Zahlungsverkehr abzuwickeln, etwa Online-Banking oder Online-Einkäufe, sofern dieser nicht von der Generaldirektion (oder eventuell vom Vorgesetzten und/oder Verantwortlichen des ICT-Bereichs) genehmigt worden ist und die normalen Regeln solchen Zahlungsverkehrs einhält;
  3. sich in jeglicher Form auf Seiten zu registrieren, deren Inhalt nicht strikt mit der eigenen beruflichen Tätigkeit verknüpft ist;
  4. an nicht-berufsbezogenen Foren teilzunehmen oder Chat-Lines (außer jenen, die zuvor genehmigt wurden), Online-Aushänge oder Guestbooks zu nutzen, und zwar auch dann, wenn Pseudonyme oder Nicknames verwendet werden, immer vorausgesetzt, solche Aktivitäten wurden nicht zuvor vom Vorgesetzten genehmigt;
  5. Seiten zu besuchen, von denen man auf die politischen, religiösen oder gewerkschaftlichen Einstellungen des Nutzers oder auf dessen Gesundheitszustand schließen könnte. So wird verhindert, dass im Sinne des geltenden Gesetzes sensible Daten preisgegeben werden;
  6. Dokumente zu speichern, deren Inhalt beleidigend, diffamierend und/oder diskriminierend ist, und zwar mit Bezug auf Geschlecht, Sprache, Religion, Rasse, Ethnie, politische und/oder gewerkschaftliche Zugehörigkeit/Einstellung.

Jegliche Internetnutzung in diesem Sinne ist unrechtmäßig und könnte auch einen Verstoß gegen die Vorschriften zur Verarbeitung personenbezogener und sensibler Daten darstellen, fällt deshalb einzig und allein in die persönliche Verantwortung des jeweiligen Nutzers.

Um das Surfen auf Seiten zu unterbinden, die nicht mit der beruflichen Tätigkeit zusammenhängen, bedient sich die Genetica Group eines automatischen Blockier- und Filtersystems, das Operationen wie Uploads auf Seiten in einer eigenen Blacklist verhindert. Es ist verboten, Internetseiten zu besuchen, indem die Filter verändert, sabotiert, unrechtmäßig überwunden oder deaktiviert werden, mit denen das Unternehmen Zugriffe auf Seiten zu verhindern versucht, die nicht mit der Arbeit zusammenhängen.

Jeglicher Internetzugang, der gegen das italienische Urheberrecht (z.B. Gesetz Nr. 633 vom 22. April 1941 und folgende Änderungen, Gesetzesdekret Nr. 169 vom 6. Mai 1999 sowie Gesetz Nr. 248 vom 18. August 2000) verstößt, ist untersagt. Insbesondere ist der Download von urheberrechtlich geschütztem Material (Texte, Fotos, Musik, Videos, andere Files) verboten, ohne dass dies ausdrücklich vom Unternehmen erlaubt wurde oder in einer gesetzeskonformen Form und mit Zustimmung des Unternehmens erfolgt.

Eventuelle Kontrollen des Personals des ICT-Bereichs erfolgen über ein Kontrollsystem der Inhalte (Proxy Server) oder Logfiles der Internetnutzung. Die Kontrolle der Logfiles erfolgt nicht dauerhaft.

 

VIRENSCHUTZ

Das Informatiksystem von Genetica wird durch einen Virenschutz geschützt, der wöchentlich aktualisiert wird. Trotzdem muss jeder Nutzer das Problem eines Virenbefalls vor Augen haben und sich entsprechend vorsichtig verhalten, um eine Attacke durch Viren oder andere aggressive Softwarevarianten auf das System des Unternehmens zu verhindern.

Sollte die Antivirus-Software einen Virus erkennen, muss der Nutzer jegliche Ausführung stoppen (allerdings nicht den Computer abschalten) und umgehend das Personal des ICT-Diensts informieren.

Viren können durch den Austausch von Files über das Internet, per E-Mail, über tragbare Speichermedien, Filesharing oder Chats ins System gelangen. Deshalb besteht das Unternehmen auf einem effizienten, korrekt installierten Virenschutz jedes einzelnen Arbeitsplatzes, der ständig aktiv ist und automatisch (mindestens einmal täglich) aktualisiert wird. Der Nutzer stellt wiederum sicher, dass sein Antivirus-Programm korrekt funktioniert, und garantiert die Einhaltung folgender Regeln:

  1. Jede Anomalie, jedes Fehlverhalten des Antiviren-Programms wird dem Unternehmen gemeldet.
  2. Jeder Virenalarm oder jedes verdächtige File wird dem Unternehmen gemeldet.
  3. Dem Nutzer ist es zudem verboten,
    • ohne einen aktiven und aktualisierten Virenschutz in das Unternehmensnetzwerk einzusteigen,
    • ein korrektes Funktionieren des Virenschutzes zu behindern,
    • den Virenschutz zu deaktivieren, es sei denn, es liegt eine entsprechende Genehmigung durch das Unternehmen vor, etwa im Falle der Installation von neuer Software,
    • Anhänge von E-Mails zu öffnen, die von Unbekannten stammen, zweifelhafter Herkunft sind, von Bekannten kommen aber mit unerklärlichen Texten versehen sind oder sonst irgendwie dubios erscheinen.

Der Generaldirektion ist es erlaubt, mit Hilfe des Personals des ICT-Bereichs oder von Wartungsfachleuten direkt und im Einklang mit der Datenschutzregelung auf alle informatischen Systeme und Geräte des Unternehmens sowie auf die darin enthaltenen Dokumente zuzugreifen sowie auf die Anrufdaten. Dies aus Gründen der Datensicherheit, aus technischen und/oder Wartungsgründen (z.B. Update/Austausch/Implementierung von Programmen, Wartung der Hardware etc.) oder zum Zweck der Kontrolle und Planung der Unternehmenskosten (z.B. Kontrolle der Kosten des Internetzugangs oder des Telefonverkehrs).

 

GRADUELLES KONTROLLSYSTEM

Werden Anomalien festgestellt, führt das Personal des ICT-Bereichs anonyme Kontrollen durch, die mit generellen Anweisungen an die Mitarbeiter der Abteilung/des Bereichs enden, die/der von der Anomalie betroffen war. In diesen Anweisungen wird auf eine eventuell irreguläre Nutzung der Arbeitsinstrumente hingewiesen. Zudem werden die Betroffenen aufgefordert, sich ausschließlich auf ihre Tätigkeit zu konzentrieren und die aufgestellten Regeln einzuhalten. Werden auch danach noch Unregelmäßigkeiten festgestellt, können auch individuelle Kontrollen durchgeführt werden.

Kontrollen können auch über Audits und Vulnerability Assessments des Informatiksystems durchgeführt werden. Für solche Kontrollen behält sich das Unternehmen vor, Fachleute von außen heranzuziehen.

Betont wird allerdings, dass das Unternehmen sich keiner „Gerätschaften zum Zwecke der Fernkontrolle der Tätigkeit der Mitarbeiter“ (ex-Art. 4, erster Absatz, Gesetz 300/1970) bedient, zu denen auch Hardware- und Softwarekomponenten zu zählen wären, die die Kontrolle des Nutzers zum Ziel haben.

 

CLOUD-SYSTEME

In der Informatik bezeichnet man mit dem englischen Begriff des Cloud Computings den geregelten Zugriff auf informatische Dienste (etwa die Archivierung, Verarbeitung oder Übermittlung von Daten) über das Internet und on demand. Die Grundlage dafür bilden geeignete gemeinsame Ressourcen, die für den jeweiligen Zweck konfiguriert werden.

Diese Konfiguration erfolgt nicht zur Gänze durch den Dienstleister, sondern wird auch vom Nutzer selbst geleistet, der dank automatisierter Systeme schnell und problemlos auf mit anderen Nutzern gemeinsam genutzte Ressourcen zugreifen kann. Wird die Ressource nicht mehr genutzt, wird sie in ihren Originalzustand zurückversetzt und steht dann wieder im Ressourcenpool für andere Nutzer bereit.

Einen Cloud-Computing-Service für die Speicherung von personenbezogenen oder sensiblen Daten zu verwenden, birgt ein gewisses Risiko, die Datenschutzrichtlinien zu verletzen. Die Daten werden in Serverfarmen gespeichert, die oft in anderen als den Herkunftsländern angesiedelt sind. Der Cloud-Provider könnte, verstößt er gegen die Abmachungen, die personenbezogenen Daten auch für Marktanalysen oder eine Profilierung der Nutzer heranziehen.

Mit kabellosen Verbindungen steigt das Risiko noch zusätzlich, man wird verwundbarer für Angriffe von Cyberpiraten, weil die Sicherheit in kabellosen Netzwerken geringer ist als in herkömmlichen. Werden im Zuge solcher Angriffe personenbezogene Daten gestohlen, ist der Schaden für das Unternehmen enorm und die Chance, eine juristische Lösung zu finden und/oder einen Schadenersatz durch den im Ausland sitzenden Dienstleister zu bekommen, gering.

Im Falle von Produktions- oder Industriebetrieben sind alle an externen Standorten gespeicherten Daten einem hohen Risiko der Industriespionage ausgesetzt.

Deshalb ist es den Nutzern verboten, Cloudsysteme zu nutzen, die nicht zuvor vom Unternehmen genehmigt worden sind. Um eine solche Genehmigung bekommen zu können, müssen die Cloudsysteme mindestens folgende Voraussetzungen erfüllen:

  1. Es muss sich um exklusive und nicht gemeinsam genutzte Cloudsysteme handeln.
  2. Die Provider müssen in Italien oder zumindest in Staaten ihren Sitz haben, die als sicher gelten.
  3. Der Provider wird vom Unternehmen präventiv zum Datenschutzverantwortlichen ernannt.
  4. Der Provider muss dem Unternehmen mindestens einmal jährlich die Namen der eingesetzten Systemadministratoren mitteilen.
  5. Alle von der Datenschutzbehörde für Systemadministratoren und Clouds definierten Voraussetzungen und Vorschriften müssen eingehalten und deren Einhaltung überprüft werden.

 

VERWALTUNG VON DATEN IN PAPIERFORM

Die Beauftragten sind verantwortlich für die Kontrolle und Verwahrung von Dokumenten, die personenbezogene Daten enthalten, und zwar für die Dauer des gesamten Zyklus‘ der Datenverarbeitung.

Die Beauftragten sind dazu angehalten, eine „Politik des sauberen Schreibtischs“ zu verfolgen. Das bedeutet, dass Daten nur in Papierform verarbeitet werden, wenn dies unbedingt notwendig ist. Falls möglich, sind die digitalen Instrumente, die vom Unternehken zur Verfügung gestellt werden, zu bevorzugen.

Die größten Vorteile einer „Politik des sauberen Schreibtischs“ sind:

  1. Kunden und Zulieferern, die den Sitz des Unternehmens besuchen, bietet sich ein guter Eindruck.
  2. Das Risiko, dass vertrauliche Informationen von Unbefugten gesehen werden, sinkt deutlich.
  3. Ebenso sinkt das Risiko, dass vertrauliche Informationen dem Unternehmen gestohlen werden.

Die Angestellten sind besonders angewiesen, keine Daten in Papierform gut sichtbar auf dem Schreibtisch liegen zu lassen, wenn sie das Büro verlassen oder wenn ein Treffen im Büro mit jemandem ansteht, der nicht befugt ist, den Inhalt der Dokumente zu kennen.

Wer seinen Arbeitsplatz verlässt (etwa zur Mittagspause oder wegen einer Sitzung), ist selbst dafür verantwortlich, die ihm anvertrauten Dokumente sicher (Schrank, Schublade, Archiv) zu verwahren, damit diese nicht von unbefugten Dritten eingesehen werden können (etwa von Mitarbeitern des Putzunternehmens oder Besuchern).

Zum Ende des Arbeitstages muss die Ordnung auf dem Schreibtisch wieder hergestellt werden, alle Dokumente müssen sachgerecht archiviert werden, sodass der Schreibtisch völlig leer hinterlassen wird.

Wo immer möglich, sollte auf den Ausdruck digitaler Dokumente verzichtet werden, und zwar auch, um Ressourcen einzusparen und den ökologischen Fußabdruck zu verkleinern.

Wenn möglich, sollten Dokumente in Papierform eingescannt und digital abgelegt werden.

Es ist notwendig, dass Dokumente, die ausgedruckt werden, umgehend aus dem Druckerfach oder einem Fax entfernt werden, damit sie nicht von Unbefugten eingesehen werden können.

Sollte ein Dokument in Papierform nicht mehr benötigt werden, sollte es durch den Shredder entsorgt werden.

 

RISIKOBEWERTUNG

Im Zuge seiner Tätigkeit kommt unser Unternehmen mit unterschiedlichsten vertraulichen, anonymen und personenbezogenen Daten unserer Kunden, von Unternehmen aus allen Sektoren, aus der Privatwirtschaft und dem öffentlichen Bereich, in Kontakt. Weil dies stets mit einem gewissen Risiko verbunden ist, unabhängig davon, in welcher Form die Daten übermittelt werden, muss den Kunden ein Höchstmaß an Sicherheit und Vertraulichkeit geboten werden. Zugleich müssen die Daten also vertraulich behandelt, vollständig verwahrt und stets zugänglich sein.

Die Datensicherheit muss demnach Standards entsprechen, die den vertraglichen Bedingungen ebenso Genüge tun, wie den gesetzlichen Regelungen. Die wichtigsten Grundsätze sind dabei:

  1. Die Informationen sind nur jenen zugänglich, für die sie notwendig sind, und auch nur in der Zeit, in der sie dies sind.
  2. Das Personal muss fachgerecht in Sachen Datenschutz geschult werden und muss die ethischen Vorgaben und die vorgeschriebenen Verfahren genauestens einhalten.
  3. Zulieferer müssen effizient kontrolliert werden, das dabei anzuwendende Kontrollsystem wird von Fall zu Fall festgelegt.
  4. Im Rahmen der angebotenen Dienstleistungen müssen die Sicherheitsszenarien stets mitgedacht werden, und zwar schon vor Vertragsabschluss.

Die Letztverantwortung für die Datensicherheit liegt in den Händen der Direktion, als Delegierte fungieren die Verantwortlichen der einzelnen Abteilungen/Bereiche, die schriftlich mit dieser Aufgabe betraut worden sind. Diese Delegierungen werden, falls nötig, stetig aktualisiert.

Es erschien uns notwendig, der Risikobewertung eine kurze Einführung voranzustellen. Schließlich kann eine Risikosituation negative Folgen für das gesamte Unternehmen haben, etwa in Form

  1. eines Imageschadens,
  2. des Verlusts der Wettbewerbsfähigkeit,
  3. einer Verlangsamung interner Abläufe,
  4. wirtschaftlicher Einbußen etc.

Um ein Risiko im Detail verstehen zu können, muss es zunächst eingeordnet werden. Diese Einordnung erfolgt anhand der Folgen, die im Falle des Eintretens zu befürchten sind, sowie anhand der Wahrscheinlichkeit eines Eintretens. Das Risiko berechnet sich demnach nach Eintrittswahrscheinlichkeit mal Folgen. Deshalb fahren wir mit einer Risikobewertung fort, die verschiedene (im entsprechenden Verzeichnis festgelegte) Datenverarbeitungsarten unterscheidet. Dabei werden die Informationen ebenso bewertet, wie die Assets und die damit zusammenhängenden Bedrohungen.

Wir haben uns für eine qualitative Risikobewertung entschieden, bei der die Art der Datenverarbeitung sowie der Wert der Informationen und der eingesetzten Assets verwendet werden, um mögliche Bedrohungen und effektive Verwundbarkeiten zu definieren. Die Risikobewertung und die Sicherheitsmaßnahmen sind im Verzeichnis der Datenverarbeitung festgeschrieben.

 

 

ANWENDUNG UND KONTROLLE

Das Unternehmen behält sich in seiner Eigenschaft als Eigentümer der informatischen Systeme sowie der dort gespeicherten und/oder verarbeiteten Daten vor, jene Kontrollen durchzuführen, die es für notwendig erachtet, um folgende Ziele zu erreichen:

  1. die Sicherheit und Integrität der informatischen Systeme und der Daten zu schützen;
  2. Gesetzesverstöße zu verhindern oder aus Gründen des Selbstschutzes von vornherein zu verunmöglichen;
  3. das Funktionieren des Systems und aller informatischen Instrumente zu überwachen.

Kontrollen können auch über Audits und Vulnerability Assessments des Informatiksystems durchgeführt werden. Für solche Kontrollen behält sich das Unternehmen vor, Fachleute von außen heranzuziehen.

Betont wird allerdings, dass das Unternehmen sich keiner „Gerätschaften zum Zwecke der Fernkontrolle der Tätigkeit der Mitarbeiter“ (ex-Art. 4, erster Absatz, Gesetz 300/1970) bedient, zu denen auch Hardware- und Softwarekomponenten zu zählen wären, die die Kontrolle des Nutzers zum Ziel haben.

 

KONTROLLMECHANISMEN

Um sicherzustellen, dass sich die Verarbeitung mit Blick auf die Zielsetzung nach den Prinzipien der Notwendigkeit und Verhältnismäßigkeit richtet, setzt das Unternehmen alle technischen und organisatorischen Schritte, mit denen dem Risiko einer unsachgemäßen Handhabung von Daten vorgebeugt werden kann. Um zudem die Nutzung von Daten durch die Beauftragten zu minimieren, setzt das Unternehmen jedes mögliche technische, organisatorische und physische Instrument ein, um ungesetzliche Verarbeitungen von Daten durch informatische Systeme zu verhindern.

Das Unternehmen teilt mit, dass keine Systeme zum Einsatz kommen, die die grundlegenden Rechte und Freiheiten der Angestellten beschränken. Ebenso wenig beschränkt werden die Rechte und Freiheiten von Externen, die elektronische Mitteilungen persönlicher oder privater Natur übermitteln oder empfangen.

Insbesondere gilt zu betonen, dass eventuelle Kontrollsysteme, mit denen Verstöße gegen die geltenden Gesetze oder Unregelmäßigkeiten von Seiten der Beauftragten aufgedeckt werden sollen, nach dem Grundsatz der Verhältnismäßigkeit eingesetzt werden. Systematische Aufzeichnungen und Kontrollen sind dadurch ausgeschlossen.

Sollte im Zuge der Kontrolltätigkeit eine Gefahrensituation, ein Risiko oder ein Verhalten festgestellt werden, das nicht mit der Arbeitstätigkeit konform ist (z.B. Download von Piratenfiles, Besuch verbotener Seiten und dadurch Einschleppen von Computerviren etc.), wird eine allgemein gehaltene Anweisung erlassen, sich genauestens an die Vorgaben zu halten und sich auf die zugewiesenen Aufgaben zu konzentrieren.

 

VERWAHRUNG

Die Softwaresysteme sind so programmiert und konfiguriert, dass sie in regelmäßigen Abständen automatisch alle Daten zum Internetzugang und zum telematischen Verkehr löschen, deren Archivierung nicht notwendig ist.

Eine längere Verwahrung dieser Daten wird als außergewöhnlich eingestuft und ist nur in Fällen vorgesehen, in denen

  • ganz besondere technische Notwendigkeiten oder Sicherheitsbedürfnisse herrschen,
  • die Daten notwendig sind, weil sie in einem Verfahren / in der Verteidigung vor Gericht benötigt werden,
  • die Gerichtsbehörden oder die Gerichtspolizei die Verwahrung oder Übergabe von Daten verlangt.

In solchen Fällen ist die Datenverarbeitung auf jene Informationen beschränkt, die für das Erreichen des zuvor definierten Ziels unbedingt notwendig sind, und hält sich in Ausführung und Organisation strikt an die oben beschriebenen Pflichten, Aufgaben und Zwecke.