Betriebsvereinbarung Handhabung von e-mail Vorbemerkung Mit der Einführung des E-Mail-Diensts steht heute allen Mitarbeitern eines Unternehmens oder einer Behörde eine moderne Kommunikationsmöglichkeit zur Verfügung. Den Vorteilen der elektronischen Post, wie höhere Wirtschaftlichkeit, bessere Erreichbarkeit und Beschleunigung der Arbeitsabläufe, stehen aber auch einige nicht zu vernachlässigende Risiken, wie Abfangen, unbefugtes Mitlesen und Verfälschung einer Nachricht sowie Einschleppung von Computerviren, gegenüber. Zur Gewährleistung eines reibungslosen, ordnungsgemäßen und sicheren E-Mail-Betriebs müssen deshalb eine Reihe von Spielregeln eingehalten werden. Aus diesem Grunde wird die folgende Dienstanweisung erlassen. 1. Allgemeines 1.1 Geltungsbereich Diese Dienstanweisung gilt für alle Benutzer des dienstlich zur Verfügung gestellten elektronischen Postverfahrens (E-Mail). Sie ist für den Empfang, Versand und die Bearbeitung sowohl für den internen wie auch den externen Postverkehr anzuwenden. 1.2 Rechtscharakter Die Dienstanweisung ist eine innerbetriebliche Vorschrift. Ein Verstoß gegen diese Vorschrift kann sowohl dienstrechtliche als gegebenenfalls auch strafrechtliche Folgen haben. 1.3 Vorrangige Nutzung Der Nachrichtenversand per E-Mail ist soweit nicht technische, rechtliche oder wirtschaftliche Gründe dem entgegenstehen aus Gründen der Beschleunigung und der Vereinfachung von Vorgängen vorrangig gegenüber Briefpost und Faxversand zu nutzen. Die private Nutzung dienstlich zur Verfügung gestellter E-Mail-Verfahren ist unzulässig. Bei privater Mitnutzung des dienstlichen E-Mail-Verfahrens werden die anfallenden Mehrkosten dem Bediensteten in Rechnung gestellt. Die private Nutzung darf jedoch dienstliche Belange nicht beeinträchtigen oder stören.
2. Organisation des E-Mail-Verkehrs 2.1 Einrichtung und Betreuung Für die Einrichtung, zentrale Steuerung und lokale Betreuung des elektronischen Postdiensts ist zuständig. Alle Abteilungen und Einrichtungen haben dieser Stelle ihren Bedarf an elektronischen Postfächern und E-Mail-Clients, die Festlegung der Zugriffsberechtigungen und alle etwaigen Adressänderungen bzw. nicht mehr benötigte E-Mail-Adressen mitzuteilen. Alle Nutzer und ihre Adressen sind nachvollziehbar und lückenlos zu verwalten und zu dokumentieren. Die E-Mail-Clients der Benutzer müssen so vorkonfiguriert sein, dass ohne weiteres Zutun der Benutzer eine maximale Sicherheit erreicht werden kann. 2.2 E-Mail-Adressen Die zentrale E-Mail-Adresse lautet: zentrale@firmenname.de Die personenbezogene E-Mail-Adresse jedes Nutzers ist zweckgebunden und nach folgendem Schema aufgebaut: vorname.name@firmenname.de. Daneben können weitere E-Mail-Adressen für bestimmte organisatorische Einheiten oder sonstige Gruppen eingerichtet werden. Etwaige Änderungen an diesem Schema sind mit der einrichtenden Stelle abzusprechen. 3. Behandlung elektronischer Post 3.1 Allgemeines Alle Teilnehmer am elektronischen Datenaustausch müssen sich identifizieren und authentisieren. Soweit sie für den Geschäftsgang von Bedeutung sind, müssen elektronisch erstellte oder empfangene Dokumente zu den Akten genommen werden. 3.2 Empfang von elektronisch übermittelten E-Mails Zentrale Posteingangsstelle Es wird eine zentrale Posteingangsstelle eingerichtet. Weiterleitung an Mitarbeiter ohne E-Mail-Adresse Für die Weiterleitung eingegangener elektronischer Mitteilungen an Mitarbeiter, die über keine eigene E-Mail-Adresse verfügen, ist die zentrale Posteingangsstelle verantwortlich. Posteingangskontrolle Jeder Benutzer muss regelmäßig (zumindest mehrmals täglich) seinen elektronischen Briefkasten hinsichtlich des Eingangs elektronischer Post überprüfen, wobei ihm nach Möglichkeit der Empfang neuer Post automatisch anzuzeigen ist.
Abwesenheitsregelung Bei geplanter Abwesenheit ist eine automatische Weiterleitung von eingehenden Nachrichten an einen Vertreter zu gewährleisten. Bei ungeplanter Abwesenheit muss die aufgelaufene Post vom Vertreter abgerufen werden. Behandlung elektronischer Irrläufer Elektronische Irrläufer sind nach Möglichkeit an den richtigen Adressaten weiterzuleiten. Ist dieser nicht zu ermitteln, muss die E-Mail an den Absender zurückgeschickt werden. Ergreifung von Sicherheitsmaßnahmen Der Empfänger von E-Mails hat die erforderlichen Sicherheitsmaßnahmen zu beachten (siehe unter 4). Dies gilt insbesondere für mit übertragene Dateianhänge (Attachments) und für unbekannte Absender. 3.3 Versand von elektronischen E-Mails Verantwortlichkeit Für die Zulässigkeit und Sicherheit der E-Mails sowie die Einhaltung der dienstlichen Regelungen ist grundsätzlich der Absender verantwortlich. Adressierung Die Adressierung von E-Mails muss zur Vermeidung einer fehlerhaften Zustellung eindeutig erfolgen. Dazu sind Adressbücher und Verteilerlisten zu pflegen, um die Korrektheit der gebräuchlichsten Adressen sicherzustellen. Nutzungsbeschränkung Der Versand von Kettenbriefen sowie von unsinnigen E-Mails und das Abonnieren von Mailing-Listen ist nicht erlaubt. Insbesondere ist das Versenden von E-Mails verboten, deren Inhalt den Interessen des Unternehmens/der Behörde oder dessen/deren Ansehen in der Öffentlichkeit zu schaden geeignet erscheint oder gegen geltende Gesetze und Verordnungen verstößt. Übermittlung sensibler Daten Sensible personenbezogene oder sonstige vertrauliche Informationen dürfen nur unter Einsatz geeigneter Verschlüsselungsverfahren elektronisch übertragen werden. Dies gilt auch für angehängte Anlagen. Mit Einführung der digitalen Signatur ist diese auch zu verwenden. Absehen von einer elektronischen Übermittlung Von einem elektronischen Postversand sollte insbesondere abgesehen werden bei notwendiger Beachtung von Formvorschriften (z.b. handschriftlicher Unterzeichnung), Schreiben in Personalangelegenheiten, nicht zugelassenen Verschlusssachen, Abgabe von rechtserheblichen Willenserklärungen, sofern die Angelegenheit im Einzelfall nicht von geringer Bedeutung ist, technisch ungeeignetem Schriftgut. Dokumentengestaltung Ein elektronisch zu versendendes Dokument muss den internen Vorschriften und Regelungen hinsichtlich äußerer Form und Gestaltung entsprechen. Außerdem muss es die erforderlichen Angaben zum Absender enthalten. Im Betreff der E-Mail soll
eine möglichst aussagekräftige Beschreibung des Nachrichteninhalts angegeben werden. Auf die etwaige Übersendung von Anlagen und die zur Erstellung verwendete Software (z.b. Textverarbeitungsprogramm) ist hinzuweisen. 4. Datenschutz und Datensicherheitsmaßnahmen 4.1 Allgemeines Die Bestimmungen zum Datenschutz und zur Datensicherheit sind zu beachten. Die erforderlichen Maßnahmen werden durch die einrichtende Stelle in Abstimmung mit dem Beauftragten für den Datenschutz festgelegt. 4.2 Manipulation von E-Mails Die Manipulation von E-Mails (z.b. Verfälschung des Absenders oder des Inhalts) ist verboten. 4.3 Verbot des Versands von ausführbaren Programmen Ausführbare Programme dürfen grundsätzlich nicht übermittelt werden. 4.4 Beseitigung von Restinformationen Vor dem Versenden einer Datei per E-Mail sollte diese daraufhin überprüft werden, ob sie Restinformationen (z.b. verborgene Texte, Kommentare, Änderungsmarkierungen) enthält, die nicht zur Weitergabe an Dritte bestimmt sind. 4.5 Virenschutz Der Empfänger elektronischer Post ist für die Überprüfung der eingehenden Dateien (einschließlich übersandter Programme) auf Virenbefall verantwortlich. Ebenso müssen alle zu übersendenden Dateien vor dem Versenden explizit auf eventuell vorhandene Schadenfunktionen überprüft werden. Über die entsprechende Vorgehensweise und die vorhandenen Schutzmöglichkeiten müssen die Benutzer unterrichtet und geschult werden. Dateianhänge an E-Mails dürfen, gleich welcher Art und unabhängig von ihrer Herkunft (ob aus einem externen oder aus dem lokalen Netz), nicht mit Doppelklick geöffnet werden. Stattdessen müssen sie mithilfe der Funktion Speichern unter auf einer der Virenüberwachung unterliegenden lokalen Platte gespeichert werden. Erst dann darf der entsprechende Datenanhang von der Festplatte aus aufgerufen werden. Wird eine E-Mail mit Schadenfunktion entdeckt, sind unverzüglich die mit der Virenbeseitigung beauftragte Stelle sowie der Absender der elektronischen Post zu verständigen.
4.6 Verschlüsselung Sensible personenbezogene oder sonstige vertrauliche Informationen müssen wie unter 3.3 erwähnt verschlüsselt und soweit möglich digital signiert werden. Zu diesem Zwecke ist zentral festzulegen, welche Applikationen für die Verschlüsselung bzw. den Einsatz von digitalen Signaturen von den Benutzern zu verwenden sind. Diese müssen den Benutzern zur Verfügung gestellt werden. Außerdem sind die Anwender hinsichtlich der Anwendung dieser Applikationen zu schulen. Für die Übermittlung oder den Austausch eventuell notwendiger Schlüssel wurde bei ein Schlüsselmanagement eingerichtet. 4.7 Löschen vertraulicher Informationen Werden übertragene vertrauliche Informationen nicht mehr benötigt, sind sie unverzüglich zu löschen. 4.8 Protokollierung Alle ein- und auslaufenden E-Mails werden protokolliert. Eine Auswertung der Protokolle erfolgt im Bedarfsfall für Zwecke des Datenschutzes, zur Gewährleistung der Datensicherheit und zur Sicherstellung des ordnungsgemäßen Betriebs. Eine weitergehende Protokollierung und Auswertung von benutzerspezifischen Aktivitäten erfolgt nur unter Einbindung der Personalvertretung (z.b. beim Verdacht einer missbräuchlichen Nutzung des E-Mail-Diensts). Die Protokolle werden nicht zu Zwecken der Verhaltens- oder Leistungskontrolle des Betroffenen verwendet. 5. Überprüfung der Einhaltung Die Einhaltung dieser Dienstanweisung wird unter Beteiligung der Personalvertretung stichprobenartig überprüft. 6. Gültigkeit Diese Dienstanweisung tritt am in Kraft. Ort, Datum Unterschrift