Nicht erst seit dem Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 und des neuen Datenschutzgesetzes in der Schweiz (DSG) im September 2023 ist das Thema Datenschutz in den Unternehmen wieder vermehrt in den Fokus getreten. Insbesondere die erweiterten Informationspflichten mit einem Ausbau der Rechte der Betroffenen, Dokumentations- und Meldepflichten sowie Datensicherheitsmassnahmen lassen es sinnvoll erscheinen, einige klare Regeln festzuhalten. Auch die vermehrte Verwendung von KI-Tools wie z.B. ChatGPT führt dazu, dass Unternehmen es für notwendig halten, Regeln für die Nutzung dieser Tools festzulegen.
Viele Mitarbeitende im Unternehmen sind sich nicht bewusst oder sind sich unsicher, was Datenschutz genau bedeutet und was im Umgang mit Daten und der Nutzung der IT-Infrastruktur zu beachten ist. Ohne entsprechende Weisungen des Arbeitgebers besteht deshalb die Gefahr, dass Mitarbeitende unter Umständen Personendaten rechtswidrig bearbeiten oder die Infrastruktur nicht korrekt nutzen. Die Folgen können gravierend sein. Durch einen gesetzeswidrigen Umgang mit Personendaten oder der missbräuchlichen Nutzung der Infrastruktur kann der Schutz von Unternehmensgeheimnissen und Geheimhaltungspflichten gegenüber Kunden und anderen Personen verletzt werden und damit auch der Ruf des Unternehmens erheblich geschädigt werden.
Eine der zentralen Fragen für den Arbeitgeber ist jeweils, wie die Nutzung der IT-Infrastruktur und der Umgang mit Daten geregelt werden soll und wie das Reglement oder die Benutzerrichtlinie ausgestaltet sein muss. In Bezug auf die Nutzung der IT-Infrastruktur gilt es zu entscheiden, ob zum Beispiel die verhältnismässige private Nutzung der geschäftlichen IT-Infrastruktur überhaupt zugelassen werden soll. Dies hat insbesondere einen Einfluss darauf, unter welchen Bedingungen der Arbeitgeber auf geschäftliche E-Mails, etc. zugreifen kann. Dies ist insbesondere wichtig, wenn Mitarbeitende plötzlich längerfristig abwesend sind (z.B. Krankheit, Unfall) oder das Unternehmen verlassen (z.B. Freistellung, fristlose Kündigung).
Entscheidet sich das Unternehmen, die verhältnismässige, private Nutzung zuzulassen, ist es im Interesse des Arbeitgebers, hierzu klare Richtlinien bezüglich der privaten Nutzung der IT-Infrastruktur festzuhalten und damit einem möglichen Missbrauch entgegenzuwirken. Es ist empfehlenswert, auch Nutzungsvorschriften inhaltlicher Art zu formulieren, zum Beispiel welche Nutzungen im Betrieb verboten sind (z.B. Aufrufe von bestimmten Internetseiten oder Versand von E-Mails mit illegalen und/oder anstössigen Inhalten oder mit Inhalten, welche der Arbeitgeber als unerlaubt definiert hat (Mobbing, sexuelle Belästigung, etc.). Damit diese Weisungen auch durchgesetzt werden können, sollten im Reglement oder der Richtlinie Kontrollmöglichkeiten definiert und Sanktionen festgelegt werden.
Ein Reglement oder eine Richtlinie zur Nutzung der IT-Infrastruktur kann jedoch ebenfalls unterstützen, innerhalb des Unternehmens eine geordnete und übersichtliche Datenbearbeitung zu gewährleisten. Neben den Verantwortlichkeiten und Berechtigungen kann darin festgehalten werden, wie und in welcher Form elektronische Daten oder geschäftliche E-Mails zu versenden, zu speichern und abzulegen sind und welche Regeln bei Abwesenheit oder Austritt von Mitarbeitenden beachtet werden müssen.
Letztlich kann durch eine nicht sachgerechte Nutzung von Internet und E-Mail oder eine ungeregelte Anwendung von Peripheriegeräten das Firmennetzwerk überlastet und durch Viren, Würmer und Trojaner infiziert werden.
Welche Themen sollten also in einem solchen Reglement geregelt werden? Hier ein mögliches Inhaltsverzeichnis.
1 Zweck
2 Private Nutzung ja/nein
3 Rechtswidrige Nutzung
4 Vertraulichkeit
5 Verhalten/Respekt
6 Umgang mit KI -Tools
6 Speichern betrieblicher Daten
7 Betriebliche Kommunikation
8 Soziale Medien / Business-Netzwerk, Private Netzwerke, Blogs etc.
10 Überwachung
11 Folgen bei Missbrauch
Braucht ein solches Reglement die Zustimmung der Mitarbeitenden und wie kann es geändert werden?
Bei einem Nutzungsreglement handelt es sich um eine Weisung des Arbeitgebers in Bezug auf die Firmeninfrastruktur, weshalb dieser berechtigt ist, ein solches Reglement ohne die Zustimmung der Mitarbeitenden einzuführen. Spätere Änderungen müssen den Mitarbeitenden lediglich zur Kenntnis gebracht werden. Sofern das Unternehmen einem Gesamtarbeitsvertrag unterstellt ist, gilt es zu prüfen, ob allenfalls die Arbeitnehmervertretung aufgrund der Mitwirkungsrechte (Recht auf Information oder auf Mitsprache) auf Stufe Gesamtarbeitsvertrag miteinbezogen werden müsste.
Je nach Bedürfnissen der Firma wird das Reglement relativ kurz oder entsprechend ausführlicher ausfallen. Wichtig ist jeweils, sämtliche Bereiche im Unternehmen in die Erarbeitung des Reglements miteinzubeziehen (so insbesondere die IT- und die HR-Abteilung).
Swissmem unterstützt Sie nach Absprache gerne bei der Erarbeitung der Grundlagen und/oder auch bei der konkreten Ausgestaltung und Redaktion eines solchen Reglements oder einer Richtlinie.