Weka Plus

IT-Reglement: So regeln Sie die IT-Sicherheit und den Umgang mit IT-Geräten

Unternehmen müssen geeignete Massnahmen ergreifen, um eine angemessene Datensicherheit gewährleisten zu können. Diese Massnahmen beziehen sich auch auf den Umgang von Mitarbeitenden mit IT-Geräten. Die diesbezüglichen Vorgaben werden üblicherweise in einem IT-Reglement festgehalten, welches für die Mitarbeitenden verbindlich ist. Im Folgenden legen wir den üblichen Inhalt solcher IT-Reglemente dar.

03.10.2023 Von: Stefan Eichenberger, Marius Vischer
IT-Reglement

Gewährleistung der Datensicherheit

Am 1. September 2023 trat in der Schweiz das revidierte Datenschutzgesetz (DSG) in Kraft, welches in weiten Teilen eine Angleichung an die Rechtslage in der Europäischen Union (DSGVO) zur Folge hatte. Damit tritt das Thema Datenschutz auch in der Schweiz vermehrt in den Fokus.

Die Revision hat im Wesentlichen einen Ausbau der Governance von Unternehmen zur Folge (Datenschutzerklärung, Bearbeitungsverzeichnisse, Datenschutz-Folgenabschätzungen etc.).

In Bezug auf die Datensicherheit müssen Unternehmen wie bisher durch geeignete technische oder organisatorische Massnahmen (sog. TOMs) eine dem Risiko angemessene Datensicherheit gewährleisten. Dies bedeutet, dass diejenigen Massnahmen zu ergreifen sind, welche in Anbetracht des Zwecks der Datenbearbeitung, des Risikos, des Stands der Technik und der Implementierungskosten erforderlich und angemessen sind.

Typische Massnahmen zur Erreichung angemessener Datensicherheit sind z. B. Zugriffsbeschränkungen, Zugangsbeschränkungen, Datenverschlüsselung, Backup, Bewachung, Alarmanlagen, aber auch Reglemente, Weisungen und Schulungen.

Zwar bleiben die Anforderungen in Bezug auf die Datensicherheit auch unter dem neuen DSG im Wesentlichen unverändert. Was sich jedoch stetig verschärft, ist die Bedrohungslage. Hackerangriffe nahmen über die letzten Jahre stark zu. Eine Auseinandersetzung mit der Datensicherheit, allenfalls unter Hinzuziehung von externen Spezialisten, gewinnt vor diesem Hintergrund an Aktualität und ist zwingend geboten.

Was eine angemessene Datensicherheit ist, müssen die Unternehmen selbst entscheiden. Die getroffenen Massnahmen müssen keinen absoluten Schutz bieten, sondern in einem vernünftigen Verhältnis zum Risiko einer Verletzung der Datensicherheit stehen. Wir empfehlen, dass Unternehmen die diesbezüglichen Überlegungen und die getroffenen Sicherheitsmassnahmen dokumentieren, auch mit Blick auf die Strafbestimmung des DSG, welche die vorsätzliche Nichteinhaltung der Mindestanforderungen unter Strafe stellt.

Inhalt des IT-Reglements

Allerdings ist es mit dem Ergreifen dieser Massnahmen nicht getan. Oft sind es die Mitarbeitenden, die Einfallstor einer Sicherheitsverletzung sind. Sie sollten deshalb informiert werden, wie mit den vom Arbeitgeber zur Verfügung gestellten Arbeitsgeräten oder den im Arbeitskontext verwendeten privaten Geräten umgegangen werden soll. Auch sollten regelmässig entsprechende Schulungen durchgeführt werden.

Obwohl Unternehmen in der Schweiz keine Pflicht haben, ein für die Mitarbeitenden bindendes IT-Reglement zu erlassen, geschieht eine solche Information der Mitarbeitenden in der Regel über ein solches. Dies bietet sich auch an, denn wird das IT-Reglement als einseitige Weisung des Arbeitgebers (im Sinne von Art. 321d OR) ausgestaltet, ist es für die Mitarbeitenden verbindlich, ohne dass sie zustimmen müssen. Eine blosse Kenntnisnahme im Sinne einer Information (z. B. durch einen Hinweis im Arbeitsvertrag) sowie idealerweise einer Schulung reicht aus. Wir empfehlen, im Reglement explizit darauf hinzuweisen, dass es sich dabei um eine arbeitsrechtliche Weisung handelt.

Das Reglement ist regelmässig auf Aktualität hin zu überprüfen. Im Falle der Ausgestaltung des Reglements als arbeitsrechtliche Weisung bedarf es bei einer Anpassung oder Weiterentwicklung zwar wiederum einer Information und allenfalls einer Schulung der Mitarbeitenden, jedoch (weiterhin) keines Einverständnisses. Würde es als Zusatzvereinbarung zum Arbeitsvertrag ausgestaltet, müsste jeweils jeder Mitarbeitende einzeln Änderungen zustimmen.

Jetzt weiterlesen mit Weka+

  • Unlimitierter Zugriff auf über 1100 Arbeitshilfen
  • Alle kostenpflichtigen Beiträge auf weka.ch frei
  • Täglich aktualisiert
  • Wöchentlich neue Beiträge und Arbeitshilfen
  • Exklusive Spezialangebote
  • Seminargutscheine
  • Einladungen für Live-Webinare
ab CHF 24.80 pro Monat Jetzt abonnieren Sie haben schon ein W+ Abo? Hier anmelden
Newsletter W+ abonnieren