Reglement über die Nutzung der Informations- und Kommunikationstechnik
1 ICT-Nutzungsreglement
182.42 Reglement über die Nutzung der Informations- und Kommunikati onstechnik (ICT-Nutzungsreglement) (vom 20. Mai 2019)
1 Der Synodalrat, gestützt auf Art. 41 lit. g und k der Kirchenordnung der Römisch-katho lischen Körperschaft des Kantons Zürich vom 29. Januar 2009
3 , §
7 des Gesetzes über die Information und den Datenschutz vom 12. Februar
2007
2 sowie §§
39 und 60 der Anstellungso rdnung der Römisch-katho lischen Körperschaft des Kantons Zürich vom 22. März 2007
4 , beschliesst: I. Gegenstand
Zweck
§ 1.
1 Dieses Reglement regelt für alle Mitarbeitenden und die Mitglieder des Synodalr ats der Römisch-katholischen Körperschaft des Kantons Zürich die Nutzung der elek tronischen Infrastrukturen und die Nutzung von Internet mit Informatik mitteln der Organisation sowie die Nutzung von E-Mail und Sozialen Medien.
5
2 Das Interesse der Körperschaft liegt dabei in der Sicherstellung der Datensicherheit und im Datensc hutz, in einer möglichst wenig be lasteten betrieblichen Informatikinfrastruktur (Speicherplatz, Netzwerk bandbreite) sowie in finanziellen (der Arbeitnehmer schuldet dem Arbeitgeber seine Arbeitszeit) und ideellen Interessen (Schutz vor Re putationsschäden). Dem stehen das Informations- und Kommunika tionsinteresse sowie der Persönlic hkeitsschutz der Arbeitnehmenden gegenüber.
3 Für Dritte, welche die Informat ikmittel der Körperschaft nutzen, wird dieses Reglement auf vertraglicher Basis für verbindlich erklärt.
2
182.42 ICT-Nutzungsreglement II. Nutzungsvorschriften Arbeits instrumente und Arbeits ergebnis
§ 2.
1 Die geschäftlich anfallenden Daten (Dokumente, E-Mails) sind mit der von der Körperschaft zur Verfügung gestellten Hard- und Software zu bearbeiten und in der be trieblichen Informatikstruktur (Ser
- ver, Cloud) aufzubewahren.
2 Nicht ausdrücklich zugelassene Plattformen und Collaboration Tools sind verboten.
3 Nicht erlaubt sind unverschlüssel te USB-Sticks oder unverschlüs
- selte externe Festplatten.
4 Die Installation von Hard- und Software sowie Kommunikations
- einrichtungen durch Mitarbeitende ausser den ICT-Verantwortlichen ist untersagt.
5 Informatiksysteme, die am Netzwerk angeschlossen sind, dürfen nicht gleichzeitig mit einem Netz oder System ausserhalb des internen Netzwerks verbunden werden. Sicherheits massnahmen
§ 3.
1 Das Passwort ist persönlich und darf nicht weitergegeben werden. Passwörter müssen aus minde stens acht Stellen bestehen und sollen eine Kombination von Klein- und Grossbuchstaben, Ziffern und Sonderzeichen enthalten. Leicht zu erratende Passwörter und solche, die einen Bezug zur eigenen Person aufweisen (z. B. Name, Name von Angehörigen, Geburtsdatum usw.), sind nicht erlaubt. Geschäftlich ge
- nutzte Passwörter dürfen nicht privat verwendet werden. Passwörter soll
- ten regelmässig gewechselt werden. Sie sind sofort zu ändern, wenn ein Verdacht besteht, dass sie Dritten zur Kenntnis gelangt sind. Ein früher bereits benutztes Passwort darf nicht erneut verwendet werden.
2 Die Mitarbeitenden dürfen nur ih re persönliche n Benutzerkennun
- gen oder die ihnen zugeteilten f unktionellen Kennungen verwenden. Sie sind für die mit ihren Kennungen erfo lgten Zugriffe verantwortlich. Der Zugriff auf Daten, die nicht zur Au fgabenerfüllung benötigt werden, ist verboten.
3 Beim Verlassen des Arbeitsplatzes für längere Zeit ist die Arbeits
- station zu sperren, oder die Benutze rin bzw. der Benutzer meldet sich vom System ab. Laptops und Smartp hones sind entsprechend zu sichern, schutzbedürftige Unterlagen vor Zugang zu schützen.
4 Es ist dafür zu sorgen, dass keine Unbefugten Zutritt zu den Arbeits
- räumlichkeiten haben. Halten sich externe Personen in den Büroräum
- lichkeiten auf, sind Massnahmen zu treffen, die Unbefugten einen Zu
- gang zu Informationen verhindern.
5 USB-Sticks und externe Festplatten von Dritten sind vor dem Öff
- nen durch einen Virenschutz zu über prüfen. Es dürfen nur Geräte aus bekannten Quellen verwendet werden.
3 ICT-Nutzungsreglement
182.42
6 Die Mitarbeitenden dürfen die Si cherheitssoftware (Virenschutz, Firewall usw.) nicht auss chalten, blockieren oder ihre Konfiguration ver ändern. E-Mails mit unbe kanntem Absender, verd ächtigem Betreff oder unüblichem Inhalt sind vorsichtig zu behandeln, da sie von der Viren schutzsoftware nicht erkannte Vire n enthalten könnten. Ihre Anhänge sowie Links auf Websites sollen keinesfalls geöffnet werden. Jeder Ver dacht auf Virenbefall muss sofort den ICT-Verantwortlichen gemeldet werden.
Daten- und
Anwendungs
-
sicherheit
§ 4.
Zur Wahrung der Daten- und Anwendungssicherheit (Verfüg barkeit, Integrität, Vertraulichkeit) dürfen nur von den ICT-Verantwort lichen der Körperschaft zugelassene Programme installiert werden.
Personendaten
und vertrauliche
Sachdaten
§ 5.
1 Personendaten und vertrauliche Sachdaten dürfen ausserhalb des körperschaftseigenen Netzwerks oder der iKath-Cloud nur verschlüs selt aufbewahrt werden. Sie dürfen online nicht genannt werden, also nicht im Internet, auch nicht in Sozialen Medien, unverschlüsselten E- Mails oder sonstigen unverschlüs selten Kommunikationsmitteln.
2 Sie dürfen unverschlüsselt nur im körperschaftsei genen Netzwerk oder innerhalb der iKath-Cloud übertragen werden.
Verwendung
von privaten
Geräten
§ 6.
1 Geschäftliche Daten dürfen nich t auf privaten PCs, Laptops und Tablets gespeichert oder aufbewahrt werden.
2 Ausnahmen bewilligt die Generalsekretärin bzw. der Generalsekre tär nach Rücksprache mit der Leitung ICT.
3 Die Bewilligung für private Geräte wird nur erteilt, wenn es unzu mutbar ist, ein geschäftliches Ge rät zu benutzen und wenn die Sicher heitsmassnahmen gemäss Arbeitsplatzvorgaben erfüllt sind.
4 Werden Smartphones zu geschäft lichen Zwecken genutzt, müssen sie mit sechsstelligem Passwort, Fingerprint oder Gesichtserkennung ge sichert werden. Dokumente mit ve rtraulichem bzw. schützenswertem Inhalt dürfen nicht gesp eichert werden. Enthalten die Geräte schützens werte Daten, dürfen sie nicht unbeaufs ichtigt gelassen oder Dritten zur Nutzung überlassen werden.
Private Nutzung
§ 7.
1 Die private Nutzung von Internet, E-Mail und Sozialen Me dien ist während der Arbeitszeit auf ein Minimum zu beschränken und sollte grundsätzlich nur während Pausen erfolgen.
2 Nicht erlaubt ist das Herunterladen und/oder Speichern von priva ten Dateien in grosser Menge / mit grosser Netzwerkbelastung auf den Server (Foto-, Video- und Musikdateien).
3 Der Zugang zum Internet mit priv aten Geräten ist nur im Gäste bereich des WLAN erlaubt.
4
182.42 ICT-Nutzungsreglement Rechtswidriges
§ 8.
Dokumente, Videos und Bilder sowie E-Mails, Webseiten und andere Webinhalte mit rassistischen , pornografischen, sexistischen, ge
- waltverherrlichenden oder ga nz allgemein rechtswidrigen Inhalten dür
- fen weder konsumiert noc h heruntergeladen oder weiterverbreitet wer
- den. Ganz allgemein sind Handlungen, die nach Schweizerischem Straf- gesetzbuch unter Strafe stehen, zu unterlassen. Private E-Mails und Weiter leitung von E-Mails
§ 9.
1 Das Versenden und Empfangen privater E-Mails über das Mail-Konto der Organisation ist er laubt. Entsprechende E-Mails müs
- sen in einem als «privat» bezeichnet en Ordner abgelegt werden. Bei der automatischen Sicherung (Backup) der E-Mails der Arbeitnehmenden werden auch die privaten E-Mails gesichert.
2 Private E-Mails, die nicht als solc he gekennzeichnet sind, gelten als geschäftliche E-Mails.
3 Nicht erlaubt ist das Publizieren der dienstlichen E-Mail-Adresse auf Webseiten zu privaten Zwecken.
4 Das automatische Weiterleiten (F orwarding) von E-Mails an die private sowie weitere externe E-Mail-Adressen braucht die Bewilligung der Generalsekretä rin bzw. des Generalsekretärs.
5 Die vorgesetzte Stelle ist bei län gerer Abwesenheit (Unfall, Krank
- heit oder sonstigen ausserordentlichen Ereignissen) einer bzw. eines Mit
- arbeitenden nach Rücksprache ode r versuchter Rücksprache mit der bzw. dem Mitarbeitenden berechti gt, auf deren bzw. dessen E-Mail- Konto zuzugreifen. Sie macht es unt er Mitwirkung der Bereichsleiterin bzw. des Bereichsleiters Personal und der bzw. des Datenschutzverant
- wortlichen. Respekt
§ 10.
Alle Mitarbeitenden der Körperschaft zeigen sich jederzeit respektvoll gegenüber ihren Kommuni kationspartnern. Das gilt auch für jene, über die sie allenfalls onli ne schreiben wie Freunde, Arbeitskol
- legen, Kunden, Kritiker usw., aber auch die katholische Kirche als solche. Soziale Medien
§ 11.
Die Online-Präsenz der Mitarbei tenden beeinflusst auch das Image der Katholischen Kirche im Ka nton Zürich. In persönlichen Blogs oder Einträgen und Profilen in Sozial en Netzwerken wie z. B. Facebook soll aus den Umständen klar ersichtlich werden, dass hier die Privatper
- son ihre eigene Meinung vertritt. So fern das nicht sowieso aus den Um
- ständen deutlich erkennbar ist, müsse n die Mitarbeitenden einen Hinweis darauf anbringen, dass die geäusserten Meinungen alleine jene der Auto
- rin bzw. des Autors sind und nicht die Sicht der Katholischen Kirche im Kanton Zürich repräsentieren.
5 ICT-Nutzungsreglement
182.42 III. Organisation
ICT-Verantwor
-
tung
§ 12.
1 Die ICT-Verantwortung obliegt dem Synodalrat.
2 Die operative Verantwortung oblie gt der Generalsekretärin bzw. dem Generalsekretär, technisch zuständig ist die ICT-Stabsstelle.
3 Verwaltung, Generalvikariat, Fach- und Dienststellen und Missio nen haben je eine Ansprechpers on für Informations- und Kommunika tionstechnik (ICT). Wird keine bezeic hnet, ist diese die Stellenleiterin bzw. der Stellenleiter.
4 Die ICT-Stabsstelle der Verwaltung unterstützt die Ansprechperso nen und hat einen Überblick über die Verwendung der Hard- und Soft ware in der Körperschaft. Die Einzelheiten regelt der Synodalrat in einem ICT-Konzept.
Betreiberstelle
§ 13.
1 Als Betreiberstellen gelten die Informatikdienste, die für den Betrieb der elektronischen Infr astruktur und der Dienste der Kör perschaft zuständig sind.
2 Durch Vertrag oder Weisung wird sichergestellt, dass die Betreiber stellen die rechtskonforme und sicher e Nutzung der elektronischen Infra struktur und der Dienste de r Körperschaft ermöglichen.
Zuständigkeit
Bereich ICT der
Verwaltung
§ 14.
Der Bereich ICT der Verwalt ung ist zuständig für den Be trieb des körperschaftsei genen Servers, die kör perschaftseigene Netz werkinfrastruktur in den Fach- und Dienststellen und Missionen sowie alle Clients (Des ktop-PCs und Laptops) der Körperschaft.
5
2 Sie ist mithilfe der Betreiberste lle insbesondere zuständig für: a. die Installation eines Spam-Filt ers und die Löschung als Spam er kannter Daten, b. das Speichern sämtlicher E-Mails im E-Mail-Journal, c. die Bewilligung v on Software gemäss §§
2 und 4, d. das Sperren und Freischalten vo n Internetseiten im Einvernehmen mit der Generalsekretärin bzw. dem Generalsekretär, e. bei Bedarf anonyme Auswertungen gemäss §
16, f. bei Bedarf personenbezogen e Auswertungen gemäss §
21.
3 Bei ausserordentlichen Ereignisse n (wie technische Störung oder Netzwerküberlastung) ka nn die ICT-Stabsstelle den Datenverkehr vo rübergehend einschränken. Eine so lche Massnahme wird im Intranet
6
182.42 ICT-Nutzungsreglement Zugang zu geschäftlichen Daten bei Abwesenheiten
§ 15.
1 Die vorgesetzte Stelle ist be i längerer Abwesenheit einer bzw. eines Mitarbeitenden (Unfall, Krankheit oder sonstigen ausser
- ordentlichen Ereignissen) berechti gt, nach Rücksprache oder versuchter Rücksprache auf deren bzw. dessen ges chäftliche Daten zuzugreifen. Sie macht es unter Mitwirkung der Bereichsleiterin bzw. des Bereichsleiters Personal und der bzw. des Da tenschutzverantwortlichen.
2 Geschäftliche Daten werden der vorgesetzten Stelle ausgehändigt, private Dateien bleiben in der Datenablage der betroffenen Person. Die Vertraulichkeit und der Schutz privat er Dateien kann nicht gewährleis
- tet werden. Anonymisierte Berichte
§ 16.
1 Die Betreiberstellen erstellen auf Verlangen der General
- sekretärin bzw. des Ge neralsekretärs anonymisierte Berichte, die Auf
- schluss über die angewählten Intern etadressen und soweit möglich über Zeitpunkt und Anzahl der Zugriffe und übertragenen Datenmengen geben.
2 Die Berichte dürfen keine Rückschl üsse auf einzelne Mitarbeitende zulassen. Insbesondere dürfen sich aus ihnen weder die einzelnen Mit
- arbeitenden noch die einzel nen Arbeitsplätze ergeben. IV. Missbrauch der elektronisch en Infrastrukturen und Dienste der Körperschaft Überwachungs massnahmen
§ 17.
Gegen Missbrauch und technisc he Schäden setzt die Körper
- schaft technische Schutzmassnahmen (z. B. Sperren bestimmter Web
- dienste, Installieren von Anti-Virensoftware usw.) ein. Auch die anony
- misierte technische Überwachung des Internetverkehrs ist gemäss §
16 zulässig. Besteht der begründete Ve rdacht, dass trotz technischen Schutz
- massnahmen gegen dieses Reglement verstossen wird, erfolgt eine per
- sonenbezogene Überwachung und Ausw ertung der Internet- und E-Mail- Protokollierungen. Der Ei nsatz von Spionageprogrammen ist dabei ver
- boten. Definition
§ 18.
Ein Missbrauch im Sinne dieses Reglements besteht bei einem Verstoss gegen §§
2–8. Entscheid über personen bezogene Berichte
§ 19.
1 Zuständig für die Anordnung einer personenbezogenen Aus
- wertung ist die Generalsekretärin bzw. der Generalsekretär. Sie bzw. er trifft den Entscheid zusammen mit der Bereichsleiterin bzw. dem Be
- reichsleiter Personal und der bzw. dem Datenschutzverantwortlichen der Körperschaft.
7 ICT-Nutzungsreglement
182.42
2 Die Voraussetzungen für die A nordnung einer pe rsonenbezogenen Auswertung sind erfüllt, wenn – bei Internetzugriffen Missbräuche von erheblicher Tragweite vorlie gen oder – beim E-Mail-Verkehr ein konkreter Verdacht auf Missbrauch be steht.
Ankündigung
der personen
-
bezogenen
Berichte
§ 20.
Die Generalsekretärin bzw. de r Generalsekretär weist die be troffenen Mitarbeitenden darauf hin, dass für einen bestimmten Zeitraum die Internetzugriffe oder der E-Ma il-Verkehr personenbezogen proto kolliert und ausgewertet werden.
Durchführung
§ 21.
1 Nach erfolgter Ankündigung kann die Generalsekretärin bzw. der Generalsekretär die Betr eiberstellen beauftragen, personen bezogene Berichte über die Internetzugriffe oder den E-Mail-Verkehr zu erstellen.
2 Personenbezogene Berichte dürfen für höchstens drei Monate er stellt werden. Über den Zeitraum vor der Ankündigung durch die Ge neralsekretärin bzw. den Generalsekretär dü rfen keine personenbezo genen Berichte erstellt oder ausgewertet werden.
3 Die Betreiberstelle stellt die als vertraulich deklarierten Berichte der Generalsekretärin bzw. dem Generalsekretär zu.
Inhalt
§ 22.
1 Personenbezogene Berichte übe r den Internetzugriff enthal ten – den Namen der Internetnutze rin oder des Internetnutzers, – die angewählten Internetadressen, – soweit möglich den Zeitpunkt und di e Anzahl der Zugriffe sowie die übertragene Datenmenge.
2 Personenbezogene Berichte über den E-Mail-Verkehr enthalten – den Namen der E-Mail-Nutzeri n oder des E-Mail-Nutzers, – die angewählten Adressen, – den Versandzeitpunkt, – die Datenmenge der ausgehenden E-Mails.
Einleitung von
Massnahmen
§ 23.
1 Die Generalsekretärin bzw. der Generalsekretär entschei det zusammen mit der Bereichsleiterin bzw. dem Bereichsleiter Perso nal und der bzw. dem Datenschutzv erantwortlichen der Körperschaft aufgrund der personenbezogenen Be richte, ob dem Pe rsonalausschuss beantragt wird, gegen die betreffe nde Person eine Ad ministrativunter suchung durchzuführen, oder ob a ndere Massnahmen zu treffen sind.
2 Die Generalsekretärin bzw. der Generalsekretär teilt der betref fenden Person den Entscheid mit.
8
182.42 ICT-Nutzungsreglement Prüfung und Vernichtung der Unterlagen
§ 24.
Wird keine Administrativunter suchung eingeleitet, werden die personenbezogenen Berichte un d Protokolle nach 30 Tagen vernich
- tet und die Mitarbeitenden informiert. V. Schlussbestimmungen Kenntnisnahme des Reglements
§ 25.
Jede Mitarbeiterin und jeder Mitarbeiter unterzeichnet das Reglement als Erklärung, dass sie bzw. er das Reglement gelesen und verstanden hat und die Nutzungsv orschriften einhalten wird. Inkrafttreten
§ 26.
Dieses Reglement tritt am 1. Oktober 2019 in Kraft.
1 OS 74, 488 ; Begründung siehe ABl 2019-06-14 .
2 LS 170.4 .
3 LS 182.10 .
4 LS 182.41 .
5 Fassung gemäss B vom 18. Januar 2021 ( OS 76, 65 ; ABl 2021-02-05 ). In Kraft seit 18. Januar 2021.
Feedback