Verbindliche Regelungen zur Nutzung von dienstlichen IT-Geräten und zentralen Diensten des Universitätsrechenzentrums

In Kürze werden an der Universität erstmals klare und für alle Beschäftigten verbindliche Regeln zur Nutzung von dienstlichen IT-Endgeräten (z. B. PC, Laptop, Tablet, Desktop-Clients) und von zentralen Diensten des Universitätsrechenzentrums (z. B. Internet, E-Mail) in Kraft treten.

Enthalten sind die vorgenannten Bestimmungen „über die Nutzung von IT-Endgeräten und zentralen Universitätsrechenzentrumsdiensten“ in zwei Regelwerken, erstens in der mit dem Gesamtpersonalrat abgeschlossenen

sowie zweitens in der von der Rektorin erlassenen

Das Kernanliegen dieser beiden Regelwerke, die mit nahezu identischem Inhalt an der Universitätsmedizin bereits vor etwa fünf Jahren eingeführt worden sind, ist es, den Umgang mit dienstlichen und privaten IT-Endgeräten bei der Erfüllung dienstlicher Aufgaben klarer zu regeln, als das zum gegenwärtigen Zeitpunkt der Fall ist, aber auch die Grenzen einer privaten Nutzung dienstlicher IT-Systeme bzw. dienstlicher IT-Infrastruktur erstmals konkret zu benennen. Insbesondere letzteres ist schon deswegen unerlässlich, weil die Universität anderenfalls als „Diensteanbieter“ auch hinsichtlich jeglicher dienstlicher Kommunikation zur Wahrung des Fernmeldegeheimnisses verpflichtet wäre (§§ 3 Nr. 6, 88 Telekommunikationsgesetz - TKG) und ihr damit die Möglichkeit der Kenntnisnahme dienstlicher Daten in dienstlichen E-Mail-Accounts selbst dann verwehrt bliebe, wenn der/die betreffende Mitarbeiter/in, aus welchen Gründen auch immer, für längere Zeit oder gar dauerhaft nicht wieder an seinen/ihren Arbeitsplatz zurückkehren wird.

Beide Regelwerke bezwecken außerdem eine Anhebung des Sicherheitsniveaus bei der Nutzung der universitären IT-Infrastruktur sowie eine Verbesserung des Schutzes der personenbezogenen Daten der Beschäftigten wie auch der Nutzer ihrer Einrichtungen, zu denen vor allem, aber nicht ausschließlich, die Studierenden gehören. 

Wesentliche Eckpunkte der neuen Regelungen sind:

  • dienstliche IT-Endgeräte und zentrale Dienste dürfen grundsätzlich nur zu dienstlichen Zwecken verwendet werden
  • eine geringfügige private Nutzung des dienstlichen Internetzugangs ist zulässig, sofern dienstliche Aufgabenerfüllung und IT-Sicherheit nicht beeinträchtigt werden; Voraussetzung ist Einwilligung in Einschränkung des Telekommunikationsgeheimnisses und Protokollierung von Verkehrs- und Nutzungsdaten (vgl. auch unten)
  • keine private Nutzung des dienstlichen E-Mail-Accounts; privater E-Mail-Verkehr darf jedoch in geringfügigem Umfang über Webmail-Dienste externer Anbieter geführt werden
  • zur dienstlichen Aufgabenerfüllung dürfen grundsätzlich nur dienstliche IT-Endgeräte verwendet werden; private Geräte dürfen verwendet werden, wenn auf diesen keine dienstlichen Informationen gespeichert werden, anderenfalls ist ausdrückliche Erlaubnis erforderlich, die auf Antrag erteilt werden kann, wenn dienstliches Interesse vorliegt und zwingende Erfordernisse von IT-Sicherheit und Datenschutz nicht entgegenstehen
  • dienstliche Software darf nur auf dienstlichen Geräten installiert werden
  • dienstliche Daten dürfen nur auf dienstlichen Systemen gespeichert werden (kein Speichern von Daten bei Dropbox u. a. externen Cloud-Speichern)
  • keine automatische Weiterleitung vom dienstlichen E-Mail-Account an externe E-Mail-Adressen
    Höchstspeicherdauer der Protokolldaten beträgt sieben Tage
  • Nutzung der Protokolldaten nur zur Analyse und Korrektur technischer Fehler, Gewährleistung der Systemsicherheit, Optimierung der Informations- u. Kommunikationssysteme
  • statistische Auswertung, Stichprobenkontrolle und Auswertung der Protokolldaten bei Missbrauchsverdacht nur in definierten engen Grenzen und in festgelegtem Verfahren

Für etwaige Fragen stehen Ihnen im Vorfeld (und natürlich auch danach) sowohl das URZ (Herr Dr. Grubert) als auch das Datenschutzbüro (Herr Wehlte) zur Verfügung.