IntzugIP-TKVermCNRichtl - Allgemeine Richtlinie zur Nutzung des zentralen Internetzuganges, des Mailsystems und der zentralen IP-TK-Vermittlung des Corporate Network (CN) des FreistaatsThüringen
IntzugIP-TKVermCNRichtl - Allgemeine Richtlinie zur Nutzung des zentralen Internetzuganges, des Mailsystems und der zentralen IP-TK-Vermittlung des Corporate Network (CN) des FreistaatsThüringen |
| Sektor | Informationstechnik und Telekommunikation |
|---|---|
| Branche | Informationstechnik |
| Ebene | Landesrecht |
| Bundesland | Thüringen |
| Rechtsakt | Untergesetzlich |
2. Zentraler Internetzugang
Die Nutzung des CN und des Übergangs vom CN zum Internet ist grundsätzlich nur für dienstliche Zwecke gestattet.
Eine private und unentgeltliche Nutzung des CN zum Abruf von Internetinhalten in geringfügigem Umfang durch Bedienstete des Freistaats Thüringen ist zulässig. Von einer geringfügigen privaten Nutzung kann dann ausgegangen werden, wenn der Umfang der privaten Nutzung die üblichen Pausenzeiten nicht übersteigt und die Erfüllung der dienstlichen Verpflichtungen nicht beeinträchtigt wird.
Die Interessen des Freistaats Thüringen oder dessen Ansehen in der Öffentlichkeit sowie die Sicherheit und Funktionsfähigkeit des CN sind in keinem Fall zu beeinträchtigen.
Unzulässig sind im Rahmen der privaten Nutzung insbesondere
das Abrufen oder Verbreiten rechtswidriger sowie ansehensschädigender Inhalte, beispielsweise
- Inhalte, die gegen urheberrechtliche oder strafrechtliche Bestimmungen verstoßen,
- beleidigende, verleumderische, verfassungsfeindliche, rassistische, sexistische, gewaltverherrlichende, terroristische, diskriminierende oder pornografische Inhalte oder Abbildungen,sowie technisch problematische oder sicherheitsrelevante Nutzung wie beispielsweise
- das Abrufen / Laden (download) von ausführbaren Programmen,
- das Abrufen / Laden kostenpflichtiger Informationen,
und das Netz stark belastende Nutzungen, wie beispielsweise
- die Nutzung von Streaming-Angeboten, wie Video-Streaming, Internet-Radio
- das Abrufen / Laden bzw. Bereitstellen (download und upload) von Dateien (Filme, Musik, Bilder)
- die Teilnahme an und das Betreiben von Netzspielen, Abstimmungen, Foren, Chats, Internetauktionen, Sozialen Netzwerken und ähnlichen interaktiven Vorgängen,
sowie die private Nutzung für gewerbliche oder geschäftsmäßige Interessen. Zulässig sind Rechtsgeschäfte des täglichen Lebens, sofern sie nicht einem der vorgenannten Punkte zuzuordnen sind. Das Speichern privat abgerufener Internetinhalte und deren Weiterleitung ist nicht zulässig.
Das Abrufen / Aufrufen des privaten E-Mail Postfachs (z.B. bei t-online.de, web.de, gmx.de) ist im Rahmen der geringfügigen privaten Mitbenutzung des CN zum Abruf von Internetinhalten zulässig. Dabei ist es grundsätzlich zu unterlassen, dienstliche Daten an oder über das private E-Mail Postfach zu versenden. Sofern begründete Ausnahmen von dieser Regel erforderlich sind, muss ein dienstlicher Bezug bestehen und Sicherheits- sowie Datenschutzanforderungen sind zu beachten. Das Speichern privater E-Mails und deren Anlagen ist nicht zulässig.
Bei Ausfällen oder Störungen des CN-Betriebs und damit Gefährdung der dienstlichen Nutzung, können entsprechende Gegenmaßnahmen ergriffen werden (Einschränkung des Zugriffs auf bestimmte Web-Seiten, dauerhafte oder vorübergehende Einschränkungen der privaten Nutzung für alle Nutzer oder zu bestimmende Nutzergruppen).
Weiterhin ist in begründeten Fällen die dauerhafte oder vorübergehende Einschränkung der privaten Nutzung für den CN-Anschluss einzelner Dienststellen für alle Nutzer oder zu bestimmende Nutzergruppen durch organisatorische oder technische Maßnahmen möglich.
Es wird daher keine ständige Verfügbarkeit der Möglichkeit der privaten Nutzung garantiert. Bei der Möglichkeit der privaten Nutzung des Internetzugangs handelt es sich um eine freiwillige, jederzeit widerrufbare Leistung ohne Rechtsanspruch der Bediensteten.
4. Sicherheits- und Kontrollmaßnahmen
Die Sicherstellung der Integrität und Vertraulichkeit des Datenverkehrs im CN wird durch verschiedene technische und organisatorische Maßnahmen gewährleistet. So ist der Datenverkehr innerhalb des CN verschlüsselt und an zentralen Stellen sind Firewallsysteme installiert. Die Einzelheiten sind in der jeweils aktuellen Fassung des Sicherheitskonzepts des CN geregelt. Das CN ist daher grundsätzlich als sicheres Transportmedium für Daten anzusehen.
Die Verantwortlichkeit für die übermittelten bzw. auszutauschenden Daten, die lokalen Netzwerke und der darin betriebenen Hard- und Software verbleibt weiterhin in der fachlichen Zuständigkeit des jeweiligen Ressorts. So ist bspw. durch die Ressorts sicherzustellen, dass auf dafür genutzten Endgeräten grundsätzlich ein lokaler Virenschutz mit aktuellen Virendefinitionen installiert ist.
Grundsätzlich werden E-Mail-Inhalte nicht protokolliert oder ausgewertet. Zur Sicherstellung der technischen Funktionsfähigkeit können jedoch an zentraler Stelle E-Mail-Verkehrsdaten protokolliert werden. Dabei können folgende personalisierte Daten aufgezeichnet werden:
- Datum
- Uhrzeit
- Absender
- Adressat
- Zustellstatus.
Weiterhin können zur Sicherstellung der technischen Funktionsfähigkeit an zentraler Stelle pseudonymisierte Verbindungsdaten (IP-Adresse als Pseudonym) des Kommunikationsverkehrs mit dem Internet protokolliert werden. Dabei können folgende Daten aufgezeichnet werden:
- Datum
- Uhrzeit
- Zieladresse, bestehend aus der kompletten URL
- Absenderadresse (pseudonymisierte Rechneridentifikation).
Zur Sicherstellung der technischen Funktionsfähigkeit der zentralen IP-TK-Vermittlung können Verbindungsdaten der IP-Telefonie protokolliert werden. Dabei können folgende Daten aufgezeichnet werden:
- Datum
- Uhrzeit
- Nummer der Anrufers
- Zielrufnummer.
Es erfolgt keine Protokollierung der Gesprächsinhalte. Die besonderen Anforderungen der Personalvertretungen an die Vertraulichkeit werden gewährleistet. Beim Einsatz von FreeCall-Calling Cards im Rahmen von Privatgesprächen erfolgt grundsätzlich keine Speicherung der PIN oder der Zielrufnummer.
Die Überprüfungen erfolgen grundsätzlich stichprobenartig und zeitbegrenzt. Protokollierte Daten werden ausschließlich zur Aufrechterhaltung der Systemsicherheit, zur Analyse und Korrektur technischer Fehler im Netz, zur Optimierung der Rechnerleistungen im Netzwerk gespeichert und ausschließlich für diese Zwecke verwendet. Für eine Verwertung zur Verhaltens- und Leistungskontrolle der Bediensteten dürfen sie nicht genutzt werden (§ 33 Abs. 4 ThürDSG).
Alle im Rahmen der stichprobenartigen Überprüfungen erfassten E-Mail-Verkehrsdaten, Verbindungsdaten des Kommunikationsverkehrs mit dem Internet und Verbindungsdaten der IP-Telefonie werden nur im erforderlichen Umfang zur Erfüllung der beschriebenen Zwecke, jedoch maximal 21 Tage gespeichert und danach regelmäßig unumkehrbar gelöscht.
Eine Unterscheidung von dienstlicher und privater Nutzung auf technischem Weg erfolgt nicht. Die Protokollierung und Kontrolle erstrecken sich deshalb auch auf den Bereich der privaten Nutzung des Internetzugangs und der IP-Telefonie.
Der Zugriff auf die Protokolldaten ist grundsätzlich auf die Bediensteten begrenzt, die für den Netzwerkbetrieb und die Bereitstellung der verfügbaren Dienste zuständig sind. Diese Personen sind verpflichtet, sich an die beschriebene Zweckbindung zu halten und außerhalb der beschriebenen Zwecke keine Detailinformationen aus den Protokollen weiterzugeben. Weiterhin sind die mit der CN-Administration beauftragten Bediensteten hinsichtlich der Sicherheitsmaßnahmen und -anforderungen sowie der einzuhaltenden datenschutzrechtlichen Vorschriften geschult und belehrt.
Eine automatisierte Vollkontrolle ist hingegen nur bei konkretem Missbrauchsverdacht im Einzelfall zulässig. Dazu wird auf Anforderung durch das jeweilige Ressort eine Protokollierung der personalisierten E-Mail-Verkehrsdaten und der pseudonymisierten Verbindungsdaten des Kommunikationsverkehrs mit dem Internet durch die die Fachaufsicht über das TLRZ ausübende Behörde angeordnet. Die betreffenden pseudonymisierten Verbindungsdaten übersendet das TLRZ zur weiteren Veranlassung direkt an das jeweilige Ressort. Eine eindeutige Identifizierung eines Einzelnen liegt ausschließlich im Verantwortungsbereich des jeweiligen Ressorts und setzt ggf. weitere Protokollierungen und Auswertungen unter Einbindung des behördlichen Datenschutzbeauftragten und der zuständigen Personalvertretung in Zuständigkeit des jeweiligen Ressorts voraus.
- Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
- BT-Drs. 18/4096
- BT-Drs. 18/5121
- Bartels/Backer, DuD 2016, 22 (Telemedien, IT-Sicherheit, TOV)
- Becker/Nikolaeva, CR 2012, 170 (IT-Sicherheit und Datenschutz bei Cloud-Anbietern, US Patriot Act, transnationaler Datenverkehr)
- Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung
- Brandenburg/Leuthner, ZD 2015, 111 (Mobile Payment)
- Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
- Deusch/Eggendorfer, K&R 2015, 11 (Verschlüsselte Kommunikation in Unternehmen)
- Deutsch/Eggendorfer, K&R 2017, 93 (Fernmeldegeheimnis und Kommunikationstechnologien)
- Djeffal, MMR 2015, 716 (Telemediendiensteanbieter, Sicherungspflichten, IT-SiG)
- Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
- Eckhardt, DuD 2015, 176 (IT-Sicherheitsund Datenschutzanforderungen an Cloud-Computing-Dienste)
- Foitzick/Plankemann, CCZ 2015, 180 (Cloud Computing)
- Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
- Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
- Gerlach, CR 2015, 581 (Sicherheitsanforderrungen für Telemediendienste)
- Gliss, DSB 2010, 12 (Testdatenbanken)
- Gola, K&R 2017, 145 (Interpretation der DSGVO)
- Greveler/Reinermann, CCZ 2015, 274 (Informationssicherheit in KMU)
- Heidrich/Wegener, MMR 2015, 487 (Protokollierung von IT-Daten, Logging)
- Hellmich/Hufen, K&R 2015, 688 (Datenschutz bei Mobile Payment)
- Hornung: NJW 2015, 3334 (Neue Pflichten nach dem IT-SiG)
- Imping/Pohle, K&R 2012, 470 (Rechtliche Herausforderungen an BYOD)
- Inés, K&R 2017, 361 (Rechtsgrundlagen offenes WLAN)
- Iraschko-Luscher/Kiekenbeck, DuD 2012, 902 (IT-Sicherheit und Datenschutz bei Online-Zahlungsdiensten)
- Kremer, CR 2017, 367 (Neues BDSG)
- Krohm/Müller-Peltzer: ZD 2015, 409 (Identifizierung anonymer Internetnutzer, Kommunikationsfreiheit, Persönlichkeitsrechte)
- Leisterer, CR 2015, 665 (Pflichten zur Netzund Informationssicherheit, Datenverarbeitung zur Gefahrenabwehr)
- Leisterer/Schneider, K&R 2015, 681 (Staatliches Informationshandeln, IT-Sicherheit)
- Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
- Matthiessen/Strigl, IT-Sicherheit 3/2012, 24 (Sicherer Datenaustausch in Clouds)
- Mehrbrey/Schreibauer, MMR 2016, 75 (Ansprüche u. Haftungsrisiken von Unternehmen bei Cyberangriffen)
- Molzen, IT-Sicherheit 4/2012, 44 (Datensicherung in kleinen und mittelst. Unternehmen)
- Müglich, CR 2009, 479 (Datenschutzrechtliche Anforderungen an die Vertragsgestaltung beim eShop-Hosting)
- Papendorf/Lepperhoff, DuD 2016, 107 (IT-Sicherheitsanforderungen gem. TMG)
- Rath/Kuss/Bach, K&R 2015, 437 (IT-SiG)
- Roßnagel, CR 2011, 23 (sicherer elektronischer Rechtsverkehr)
- Roßnagel, NJW 2011, 1473 (De-Mail)
- Roßnagel, NJW 2014,3686 (Sichere elektronische Transaktionen)
- Sachs/Meder, ZD 2013, 303 (Datenschutzrechtliche Anforderungen an App-Anbieter);
- Schallbruch, CR 2017, 648 (IT-Sicherheit)
- Schmidt, IT-Sicherheit 2/2012, 36 (Compliance in hybriden Clouds)
- Schneider, IT-Sicherheit 3/2012, 56 (Cloudsicherheit)
- Schneider, IT-Sicherheit, 2/2013, 23 (Auftragsdatenverarbeitung in der Cloud)
- Schürmann, DSB 2016, 32 (Anforderungen des IT-SiG im Bereich Web & App)
- Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
- Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
- Wicker, MMR 2014, 715 (Haftungsfragen der Cloud-Anbieter bei IT-Ausfällen und Datenschutzverletzungen)
- Wrede/Kirsch, ZD 2013, 433, (Identifizierungsmöglichkeiten bei De-Mail)
-
Ergebnis 11
DIN 6789:2013-10
Deutsch: Dokumentationssystematik - Verfälschungssicherheit und Qualitätskriterien für die Freigabe digitaler Produktdaten
Englisch: Systematic arrangement of documents - Protection against falsification and quality criteria for the release of digital product data
Ergebnis 12
ISO/IEC 7064:2003-02
Deutsch: Informationstechnik - IT-Sicherheitsverfahren - Prüfzeichensysteme
Englisch: Information technology - Security techniques - Check character systems
Ergebnis 13
VdS 10000:2018-12
Deutsch: VdS-Richtlinien für die Informationsverarbeitung - Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU) - Anforderungen
Englisch: —
Ergebnis 14
VdS 10001:2018-03
Deutsch: VdS-Richtlinien zur Informationsverarbeitung - VdS Quick-Audit - Verfahren
Englisch: —
Ergebnis 15
VdS 10002:2018-03
Deutsch: VdS-Richtlinien zur Informationsverarbeitung - Zertifizierung von Managementsystemen für KMU (Informationssicherheit und Datenschutz) - Verfahren
Englisch: —
Ergebnis 16
VdS 10003:2018-12
Deutsch: VdS-Richtlinien für die Informationsverarbeitung - Richtlinien für die Anerkennung von Beratern für Cyber-Security
Englisch: —
Ergebnis 17
VdS 10010:2017-12
Deutsch: VdS-Richtlinien zur Umsetzung der DSGVO - Anforderungen
Englisch: —
Ergebnis 18
VdS 10012:2018-01
Deutsch: VdS-Richtlinien zur Umsetzung der DSGVO - Zertifizierung von Datenschutzmanagementsystemen - Verfahren
Englisch: —
Ergebnis 19
VdS 10013:2018-12
Deutsch: VdS-Richtlinien für die Informationsverarbeitung - Richtlinien für die Anerkennung von Beratern für Datenschutzmanagement
Englisch: —
Ergebnis 20
VdS 10020:2018-01
Deutsch: VdS-Richtlinien für die Informationssicherheit - Cyber Security für kleine und mittlere Unternehmen (KMU) - Leitfaden zur Interpretation und Umsetzung der VdS 3473 für Industrielle Automatisierungssysteme
Englisch: —