Skip to content

donald/bv-privatnutzung

main
Switch branches/tags
1 branch 0 tags
Code

Latest commit

 

Git stats

Files

Permalink
Failed to load latest commit information.
Type
Name
Latest commit message
Commit time
README.md
 
 
Entwurf Betriebsvereinbarung über administrativen Zugriff auf persönliche Daten persönliche und nicht persönliche Datenbereiche private Daten Administrativer Zugriff auf persönliche Daten Maßnahmen zum Betrieb und zur Störungsbeseitigung Maßnahmen zur Aufrechterhaltung des ordnungsgemäßen Dienstbetriebs Maßnahmen bei tatsächlichen Anhaltspunkten für ein mit Strafe bedrohtes Handeln Maßnahmen bei tatsächlichen Anhaltspunkten für ein pflichtwidriges Handeln

README.md

Entwurf Betriebsvereinbarung über administrativen Zugriff auf persönliche Daten

Diese Betriebsvereinbarung regelt die Bedingungen und Verfahren, die zu beachten und anzuwenden sind, um auf Daten, die in vom Institut betriebenen Datenverarbeitungsanlagen verarbeitet und gespeichert werden, durch andere als diejenigen Personen, in deren persönlichen Herrschaftsbereich diese Daten normalerweise fallen, zuzugreifen oder Zugriffsberechtigungen zu verändern.

Die Bestimmungen dieser BV werden auch für Benutzer der IT Infrakstruktur des Institutes angewendet, die nicht vom dem Betriebsverfassungsgesetz erfasst werden.

persönliche und nicht persönliche Datenbereiche

Datenbereiche, die üblicherweise der Herrschaft einzelner Person unterliegen, werden im folgenden persönliche Datenbereiche, die Personen betroffene Personen und die Daten in diesen Bereichen persönliche Daten genannt.

Zu den persönlichen Datenbereichen gehören insbesondere:

  • E-Mail von persönlichen Accounts
  • Home-Verzeichnisse von persönlichen Accounts
  • Benutzerdaten auf Notebooks oder Handies, die einer einzelnen Person zugeordnet sind
  • Cloudstorage (z.B. nextcloud) mit persönlichem Login
  • Sicherungskopien (Backup, Cache) von Datenbereichen mit persönlichen Daten
  • Browsereinstellungen und Verläufe

Zu den persönlichen Datenbereichen gehören insbesondere nicht:

  • Projektverzeichnisse (/project/XXX)
  • E-Mail von Funktionsadressen und Archive von Mailing-Listen
  • Datenverzeichnisse vom Betriebssystem
  • Datenbereiche, die die betroffene Person durch explizite Handlung für andere freigibt

Unabhängig vom Speicherort gehören nicht zu den persönlichen Daten:

  • Betriebssystemdaten, die durch einen festen Dateinamen erkennbar sind
  • Daten, die durch Fehler oder Angriffe gespeichert wurden, darunter E-Mail mit Phishing oder Malware
  • E-Mails, die unerwünschterweise an eine Vielzahl von Benutzern gesendet wurde (Spam)

private Daten

Insofern der betroffenen Person die geringfügige Privatnutzung der IT-Dienste durch die Max-Planck-Gesellschaft erlaubt ist, ist davon auszugehen, dass in persönlichen Datenbereichen auch nicht-dienstliche Daten gespeichert sein können. Diese Daten werden im folgenden private Daten genannt.

Diese Betriebsvereinbarung konkretisiert im Folgenden die Regelungen der Gesamtbetriebsratsvereinbarung Nr. 62 über die Voraussetzungen und Rahmenbedingungen der erlaubten Privatnutzung betrieblicher IT-Services in der Max-Planck-Gesellschaft.

Wird eine erteilte Erlaubnis zur Privatnutzung wiederrufen, die betroffene Person aufgefordert, ihre privaten Daten zu entfernen und ihr dafür ausreichend Zeit eingeräumt wurde, ist nicht davon auszugehen, dass in den persönlichen Bereichen auch private Daten gespeichert sein können.

Mit dem Ablegen von privaten Daten willigt die betroffene Person ein, dass von diesen Daten Backups erstellt werden. Ebenso willigt die betroffene Person ein, dass die noch vorhandenen privaten Daten zusammen mit anderen persönlichen Daten auf unbestimmte Zeit archiviert werden, wenn das Benutzerkonto der Person geschlossen wird. Das Institut ist verpflichtet, bereits archivierte private Daten zu löschen, wenn dies von der betroffenen Person verlangt wird.

Administrativer Zugriff auf persönliche Daten

Der Zugriff auf persönliche Daten durch andere als die betroffene Person wird im folgenden administrativer Zugriff genannt.

Automatisierte und organisatorische Zugriffe wie das Erstellen von Sicherungskopien oder ein Verschieben von Daten bei Umorganisationen gehören nicht zu den adminstrativen Zugriffen im Sinne dieser Betriebsvereinbarung.

Administrativer Zugriff auf persönliche Daten darf nur in begründeten Ausnahmefällen und nur in dem Umfang erfolgen, wie es dem Grunde nach gerechtfertigt ist.

Die Maßnahmen sind so zu gestalten, dass eine Kenntnisnahme von privaten Daten so weit wie möglich verhindert wird.

Insofern bei der Durchführung der Maßnahmen doch private Daten zur Kenntnis genommen werden, dürfen die darin enthaltenen Informationen nicht weitergegeben werden.

Der letzte Satz gilt nicht, wenn in den privaten Daten konkrete Anhaltspunkte für strafbares Handeln der betroffenen Person enthalten sind. In dem Fall darf diese Informationen an eine vorgesetzte Person oder eine Strafverfolgungsbehörde weitergegeben werden.

Je nach Art der Maßnahmen gelten zusätzlich folgende Reglungen:

Maßnahmen zum Betrieb und zur Störungsbeseitigung

Diese Maßnahmen dürfen zur Vermeidung oder Behebung von betrieblichen Störungen von dem zuständigen technischen Personal auf eigene Entscheidung durchgeführt werden.

Maßnahmen zur Aufrechterhaltung des ordnungsgemäßen Dienstbetriebs

Folgender Ablauf ist zwingend einzuhalten und alle Punkte einzeln und konkret zu dokumentieren:

  • Alle Möglichkeiten, die Mitwirkung oder Zustimmung der betroffenen Person zu erhalten, werden ausgeschöpft
  • Alle Möglichkeiten, die Daten auf andere Weise zu erhalten, werden ausgeschöpft
  • Die Daten, auf die zugegriffen werden soll, werden so konkret wie möglich bestimmt
  • Die Person, die die Daten erhalten soll ("berechtigte Person"), wird bestimmt
  • Alle Möglichkeiten, Stellungnahmen der folgenden Dienststellen einzuholen, werden ausgeschöpft:
    • DSV des Institutes
    • Betriebsrat
  • Die Entscheidung, die Maßnahme durchzuführen, wird von der Institutsleitung getroffen
  • Das technische Personal stellt der berechtigten Person die Daten zu Verfügung.

Das Protokoll wird an folgende Personen und Dienststellen verteilt - DSV der Institutes - Betriebsrat - die betroffene Person

Die Anzahl der so durchgeführten Maßnahmen wird institutsweit veröffentlicht.

Maßnahmen bei tatsächlichen Anhaltspunkten für ein mit Strafe bedrohtes Handeln

Diese Maßnahmen dürfen nur auf Anordnung von Strafverfolgungsbehörden durchgeführt werden.

Über die Durchführung von Maßnahmen bei tatsächlichen Anhaltspunkten für ein mit Strafe bedrohtes Handeln wird der Betriebsrat mindestens der Anzahl nach unterrichtet.

Die Anzahl der so durchgeführten Maßnahmen wird institutsweit veröffentlicht.

Maßnahmen bei tatsächlichen Anhaltspunkten für ein pflichtwidriges Handeln

Diese Maßnahmen sind nur möglich, wenn es sich bei der betroffenen Person um eine(n) Beschätigte(n) der Max-Planck-Gesellschaft handelt.

Für die Durchführung einer solchen Maßnahme ist die Zustimmung des Betriebsrates erforderlich

Es ist ansonsten das in "Maßnahmen zur Aufrechterhaltung des ordnungsgemäßen Dienstbetriebs" beschriebene Verfahren einzuhalten

Die Anzahl der so durchgeführten Maßnahmen wird institutsweit veröffentlicht.

About

No description, website, or topics provided.

Resources

Readme

Stars

0 stars

Watchers

1 watching

Forks

0 forks

Releases

No releases published