Zwischen der
Technischen Universität Braunschweig
vertreten durch die Präsidentin
und dem
Personalrat der Technischen Universität Braunschweig
vertreten durch die Vorsitzende
wird gem. § 78 NPersVG folgende Dienstvereinbarung geschlossen:
Diese Dienstvereinbarung konkretisiert den Umgang mit der Richtlinie „Umgang mit privaten IT-Geräten (BYOD) und dienstlichen IT-Geräten einschließlich mobiler IT-Geräten der TU Braunschweig" (Anlage 1). Es werden verbindliche Regelungen und Zuständigkeiten für die Einhaltung festgelegt, insbesondere im Hinblick auf den Schutz. der Belange der Beschäftigten und die Einhaltung ihrer Rechte.
Mit dem zunehmenden Einsatz von mobilen IT-Endgeräten und ihrer immer tieferen Integration in die Systemlandschaft und die Geschäftsprozesse der Hochschule steigt ihr Gefährdungspotential. Das Ziel besteht darin, die von der TU Braunschweig identifizierten rechtlichen, regulatorischen, vertraglichen, geschäftlichen und weiteren Anforderungen, beispielsweise aus dem Risikomanagement, zu erfüllen. Dies bringt u.a. mit sich, dass in allen Organisationseinheiten der TU Braunschweig IT-Geräte eingesetzt werden, die gemäß dem Stand der Technik abgesichert und gewartet sind und Datenschutzanforderungen für die auf diesen Geräten gespeicherten Daten umgesetzt werden.
Es können privat erworbene mobile IT-Endgeräte auch für dienstliche Zwecke genutzt werden. Auch in diesem Fall müssen die Datensicherheit und der Datenschutz gewährleistet sein. Persönliche und berufliche Anwendungen bzw. Daten müssen getrennt werden und die Verfügbarkeit der dienstlichen Daten sichergestellt sein.
Die einzuhaltende Grundlage ist hier, dass der Einsatz von privaten Geräten nur freiwillig erfolgen darf und von der OE-Leitung genehmigt sein muss. In diesem Fall bedarf es der beidseitigen Unterzeichnung einer Zusatzvereinbarung, die die Rahmenbedingungen dafür regelt. Der Normalfall ist aber, dass ein IT-Gerät von der Dienststelle zur Verfügung gestellt wird.
Umgekehrt werden in der Praxis auch dienstliche Geräte für private Zwecke (z. B. E-Mailverkehr) eingesetzt. Da prinzipiell der Zugriff der Dienststelle auf dienstliche Geräte immer erlaubt ist, muss Vorsorge getroffen werden, dass dabei nicht die Rechte der Betroffenen gemäß EU-DSGVO verletzt werden. Dies macht ebenfalls die beider seitige Unterzeichnung einer Zusatzvereinbarung erforderlich, die neben den einzuhaltenden Rahmenbedingungen auch die Zustimmung der OE-Leitung zur privaten Nutzung der dienstlichen IT-Geräte enthält. Hier ist die Empfehlung an die OE-Leitungen, großzügig mit den Zustimmungen umzugehen.
Diese Dienstvereinbarung gilt für alle Mitarbeiterinnen und Mitarbeiter der TU Braunschweig, die unter den Geltungsbereich des Niedersächsischen Personalvertretungsgesetz fallen.
Der rechtliche Rahmen ergibt sich insbesondere aus folgenden rechtlichen Grundlagen, die in der jeweils geltenden Fassung zu beachten sind: EU-Datenschutz-Grundverordnung (EU-DSGVO), Niedersächsisches Datenschutzgesetz (NDSG), Tarifvertrag für den öffentlichen Dienst der Länder (TV-L), Informationssicherheitsordnung der TU Braunschweig (Senatsbeschluss vom 16.03.2022), Richtlinie „Umgang mit privaten IT-Geräten (BYOD) und dienstlichen IT-Geräten einschließlich mobiler IT-Geräten der TU Braunschweig".
(1) Als Organisationseinheit (OE) im Sinne dieser Dienstvereinbarung wird ein entsprechend den Strukturen der TU Braunschweig fester Bereich bezeichnet, der einen in sich geschlossenen Arbeitsbereich vorsieht und innerhalb derer Führungskräfte zusammen mit den ihnen zugeordneten Beschäftigten bestimmte arbeitstechnische Zwecke fortgesetzt verfolgen. Als Organisationseinheiten gelten Geschäftsbereiche, Stabsstellen, zentrale und stabsstellenähnliche Einrichtungen, wissenschaftliche Einrichtungen, Institute und Fakultäten.
(2) Die Unterschriften von OE-Leitung und Mitarbeitenden auf einer Zusatzvereinbarung sind die Voraussetzung, private IT-Geräte dienstlich nutzen zu dürfen. Die Genehmigung ist in der OE zu dokumentieren, außerdem ist eine Liste der dienstlich genutzten privaten IT-Geräte von der OE zu führen und aktuell zu halten. Der Einsatz von privaten IT-Geräten kann nur freiwillig erfolgen. Wenn die Nutzung privater Geräte nicht gewünscht ist, muss ein dienstliches Gerät zur Verfügung gestellt werden (Standardfall).
(3) In der Zusatzvereinbarung ist auf die verbindliche Einhaltung die Richtlinie „Umgang mit privaten IT-Geräten (BYOD) und dienstlichen IT-Geräten einschließlich mobiler IT-Geräte" sowie auf diese Dienstvereinbarung (Titel und Nr.) hinzuweisen. Anders als bei der Nutzung von dienstlichen IT-Geräten ist der/die Nutzende von privaten Geräten persönlich in der Verantwortung, insbesondere die Kapitel 5 und 6 der Richtlinie zu gewährleisten und umzusetzen.
(4) Darüber hinaus werden folgende Inhalte in der Zusatzvereinbarung besonders hervorgehoben:
a. Der/die Nutzende ist verpflichtet, gesetzliche Regelungen zum Datenschutz und der Informationssicherheit einzuhalten. Dazu gehört insbesondere die Pflicht, auch auf privaten IT-Geräten die Rechte der Betroffenen nach der EU-DSGVO (Recht auf Löschung, Recht auf Korrektur falscher Daten, Recht auf Auskunft über die gespeicherten personenbezogenen Daten) nachweisbar umzusetzen. Des Weiteren ist der Schutz der Daten durch technische IT Sicherheit zu gewährleisten. Betriebssysteme und Anwendungen sind regelmäßig zu aktualisieren.
b. Die Dienststelle (OE-Leitung) hat die Pflicht, die Einhaltung des Datenschutzes auf jedem dienstlich genutzten IT-Gerät sicher zu stellen. Ebenso muss die Dienststelle (CISO-Team bzw. GITZ) gemäß der Informationssicherheitsordnung bei lnformationssicherheitsvorfällen im Rahmen der Gefahrenabwehr und zur technischen Aufklärung ggf. auch kurzfristig auf diese IT-Geräte zugreifen können.
c. Folglich muss der/die Nutzende einen Zugriff der Dienststelle auf das private IT-Gerät in angemessener Frist (i.d.R. innerhalb fünf Arbeitstagen) zulassen. Zur Gefahrenabwehr und zur technischen Aufklärung bei lnformationssicherheitsvorfällen ist der Zugriff ggf. auch sehr kurzfristig zu gestatten. Darüber hinaus kann der Datenschutzbeauftragte jederzeit und anlasslos die Verarbeitung dienstlicher personenbezogener Daten überwachen (Art. 39 Abs. 1 lit. b DSGVO).
d. Zur Wahrung der Privatsphäre der/des Nutzenden hat dieser eine sichtbare Trennung zwischen dienstlichen und privaten Daten (z.B. mit zwei Accounts) herzustellen.
e. Sicherstellung: die Dienststelle darf nicht ohne hinreichende Voraussetzungen (z.B. bei der Unterstützung strafverfolgender Behörden) auf die privaten Daten auf dem privaten IT-Gerät zugreifen. In diesem Fall darf der Zugriff nur unter Einhaltung des Vier-Augen-Prinzips und im Beisein der betroffenen Person erfolgen.
f. Der/die Nutzende verpflichtet sich zur regelmäßigen Speicherung und Sicherung der dienstlichen Daten auf der Infrastruktur des GITZ (bevorzugt unter Nutzung der Cloud der TU Braunschweig).
g. Beim Ausscheiden aus dem Dienst sowie bei Veräußerung des privaten Geräts sind die dienstlichen Daten zuvor an die Dienststelle zurück zu geben. Die Daten müssen anschließend auf dem privaten Gerät vor der Weitergabe an Dritte sicher gelöscht werden.
(1) Die Unterschriften von OE-Leitung und Mitarbeitenden auf einer Zusatzvereinbarung sind die Voraussetzung, dienstliche IT-Geräte privat nutzen zu dürfen. Die Genehmigung ist in der OE zu dokumentieren, außerdem ist eine Liste der privat genutzten dienstlichen IT-Geräte von der OE zu führen und aktuell zu halten.
(2) In der Zusatzvereinbarung hat ein Hinweis auf die Richtlinie „Umgang mit privaten IT-Geräten (BYOD) und dienstlichen IT-Geräten einschließlich mobiler IT-Geräte" sowie auf diese Dienstvereinbarung (Titel und Nr.) zu erfolgen.
(3) Darüber hinaus werden folgende Inhalte in der Zusatzvereinbarung besonders hervorgehoben:
a. Der/die Nutzende ist verpflichtet, gesetzliche Regelungen zum Datenschutz und der lnformationssicherheit einzuhalten. Dazu gehört insbesondere die Pflicht, die Rechte der Betroffenen nach der EU-DSGVO (Recht auf Löschung, Recht auf Korrektur falscher Daten, Recht auf Auskunft über die gespeicherten personenbezogenen Daten) nachweisbar umzusetzen.
b. Die Dienststelle (OE-Leitung) hat die Pflicht, die Einhaltung des Datenschutzes auf allen dienstlich genutzten IT-Geräten sicher zu stellen. Ebenso muss die Dienststelle (CISO-Team bzw. GITZ) gemäß der Informationssicherheitsordnung bei lnformationssicherheitsvorfällen im Rahmen der Gefahrenabwehr und zur technischen Aufklärung ggf. auch kurzfristig auf diese IT-Geräte zugreifen können.
c. Zur Wahrung der Privatsphäre der/des Nutzenden hat dieser eine sichtbare Trennung zwischen dienstlichen und privaten Daten herzustellen.
d. Die Dienststelle darf nicht ohne hinreichende Voraussetzungen (z.B. bei der Unterstützung strafverfolgender Behörden) auf die privaten Daten auf dem dienstlichen IT-Gerät zugreifen. In diesem Fall darf der Zugriff nur unter Einhaltung des Vier-Augen-Prinzips und im Beisein der betroffenen Person erfolgen. Bei Geräten, bei denen keine Genehmigung zur privaten Nutzung vorliegt, hat die Dienststelle unbeschränkten Zugriff.
e. Beim Ausscheiden aus dem Dienst sowie bei Rückgabe des dienstlichen IT Gerätes liegt es in der Verantwortung der/des Nutzenden, die privaten Daten sicher zu löschen.
(1) Grundsätzlich sind die OEen dafür verantwortlich, dass die Einhaltung der Richtlinie auf den zur Verfügung gestellten dienstlichen IT-Geräten mit einem entsprechenden technischen Support gewährleistet ist. Nur die Punkte, die ausschließlich durch das Verhalten der Mitarbeitenden beeinflusst werden können, liegen in der Verantwortung der Beschäftigten.
(2) Mitarbeitende, die private IT-Geräten für dienstliche Zwecke nutzen, sind individuell für die Umsetzung der Richtlinie zuständig. Hier sind eine besondere Beratung und ggf. auch technische Unterstützung erforderlich, da die dienstliche Nutzung dieser Geräte häufig auch im Interesse der TU Braunschweig erfolgt.
(3) Alle von der Richtlinie betroffenen Beschäftigten müssen über die BYOD-Richtlinie über Schulungen und Aufklärung informiert werden.
(4) Persönliche Verantwortung der Beschäftigten besteht für folgende Spiegelstriche der Richtlinie:
a) Unter Kapitel 5.:
- Mobile Geräte müssen stets an der Person oder an einem sicheren Ort verwahrt werden, um Diebstahl oder Verlust vorzubeugen (für Notebooks im Büro oder auf Tagungen haben sich beispielsweise Kensington-Locks zur Absicherung gegen Gelegenheitsdiebstähle bewährt). Die einfachste Maßnahme ist das Abschließen des Büros.
- Geräte dürfen im öffentlichen Raum nie unbeaufsichtigt bleiben, um physischen Manipulationen und Diebstahl vorzubeugen. (Beispielsweise besteht im geschlossenen Fahrzeug für offen sichtbare Geräte ein erhöhtes Diebstahlrisiko.)
- Es dürfen grundsätzlich nur vertrauenswürdige und dem Stand der Technik entsprechende verschlüsselte WLAN-Zugangspunkte verwendet werden. Kann dies nicht sichergestellt werden, so ist die von der TU Braunschweig bereitgestellte VPN-Verbindung mit Verschlüsselung des gesamten Datenverkehrs zu verwenden. Ausnahmen für problematische Drittstaaten werden in einer Arbeitsanweisung geregelt. (Beispielsweise müssen WLAN-Zugangspunkte mindestens eine dem WPA2-Standard entsprechende Verschlüsselung' besitzen. Das VPN der TU ist mit der Einstellung „Tunnel-AII-Traffic" zu verwenden. Die Verwendbarkeit von VPN in bestimmten Drittstaaten kann problematisch sein.)
Die Platzierung von kompromittierten Datenträgern (z. B. USB-Sticks) ist ein bekanntes Einfallstor für die Einbringung von Schadsoftware. Daher ist die Nutzung und der Anschluss von Datenträgern und (USB-)Geräten aus unbekannter oder nicht vertrauenswürdiger Herkunft nicht erlaubt. Fremde Datenträger und (USB-)Geräte müssen, vor der Verwendung auf ihre Unbedenklichkeit hin untersucht werden. Dies betrifft insbesondere Datenträger aus unbekannter oder problematischer Herkunft, die zuvor mit einem Scan-Programm (z. B. Desinfect des Heise-Verlags) oder an Scan-Stationen bzw. Datenschleusen bekannter Hersteller vor einer Verbindung mit der IT-Infrastruktur der TU Braunschweig zu prüfen sind.
- Mobile Geräte sollten nicht ohne Schutzmaßnahmen vor Angriffen per USB/Lightning an fremde Infrastruktur angeschlossen werden, auch nicht, um den Akku des Gerätes zu laden. (Beispielsweise sollte für das Aufladen an Flughäfen, in Hotels, Ports fremder Geräte wie Powerbanks etc. immer ein USB Data Blocker verwendet werden, um diese aufzuladen. Die Verwendung des eigenen Ladegerätes ist die einfachste Methode zum Schutz.)
- Nicht benötigte Schnittstellen und Funktionen sollten nur aktiviert sein, während sie benötigt werden. Dies schließt sie als mögliche Angriffsfläche aus. (Beispielsweise sollten Bluetooth, Apple AirDrop, WLAN, NFC, Entwicklermodi, USB-Entwicklungsmodus ausgeschaltet sein, sofern diese nicht in Verwendung sind.)
b) Unter Kapitel 6.:
- Mobile Datenträger (USB-Sticks, SO-Karten, externe SSD Festplatten etc.) sind zu verschlüsseln, sobald Dokumente der Klassifikation TLP:AMBER, TLP:AMBER+STRICT oder TLP:RED (bzw. eine vergleichbare Einstufung eines anderen Klassifikationssystems) oder personenbezogene Daten der Schutzstufe D oder E gespeichert werden. Auch bei geringerer Schutzstufe ist eine Verschlüsselung angeraten. Darüber hinaus gelten die gesetzlichen Regelungen gemäß Geheimschutz.
- Nur mit der unverzüglichen Meldung des Verlustes eines dienstlich genutzten (auch privaten) Gerätes können die zugehörigen Haftungsfragen auf die TU Braunschweig übergehen und ggf. eine persönliche Haftung vermieden werden. Für die Meldung ist der jeweils veröffentlichte Meldeprozess einzuhalten, insbesondere müssen die einschlägigen Stellen wie die zuständige IT-Administration bzw. die vorgesetzte Stelle unter Einbeziehung der Person des Informationssicherheitsbeauftragten und des Datenschutzmanagements informiert werden. Die Positionen sind unter den folgenden Adressen zu erreichen:
(1) der/die lnformationssicherheitsbeauftragte*r soc@tu-braunschweig.de,
(2) das Datenschutzmanagement datenschutz-verstoss@tu-braunschweig.de.
- Ferner sind unmittelbar alle Berechtigungsnachweise (Passwörter, kryptographische Schlüssel usw.), die auf einem verlorenen Gerät verwendet wurden, zu ändern oder die entsprechenden Zugänge zu deaktivieren, um eine unberechtigte Nutzung auszuschließen. Gerätefreigaben auf Basis von Zertifikaten oder Hardware-Merkmalen sind umgehend zu sperren. Nach Möglichkeit ist eine Fernlöschung des Gerätes z.B. über ActiveSync, das MDM (Mobile Device Management), die Geräte-Hersteller (Apple iCloud, Google Account) oder den Mobilfunkanbieter einzuleiten. Für private Geräte oder privat genutzte dienstliche Geräte, die seitens der TU Braunschweig zurückgesetzt werden, ist das Einverständnis der/ des Beschäftigten notwendig.
- Verlorene, abgeflossene oder kompromittierte Zugangsdaten, Berechtigungsnachweise und Hardwaretokens sind umgehend zu melden und durch das zuständige Personal für den Zugriff auf die IT-Infrastruktur der TU Braunschweig umgehend zu sperren, Passwörter müssen unverzüglich geändert werden. Der begründete Verdacht ist meldepflichtig. Im Übrigen gilt das oben genannte Vorgehen.
- Wenn bei einem mobilen Gerät nicht ausgeschlossen werden kann, dass es sich zwischenzeitlich im Zugriff einer unbefugten Person (mit potenziellem Zugriff auf die Daten auf dem Gerät) befunden hat, sind dieselben Abläufe einzuhalten, wie bei Verlust eines mobilen Gerätes. Auf eine Geräte-Löschung kann im Einzelfall verzichtet werden, wenn eine Manipulation des Gerätes (z. B. Aufspielen von Schadsoftware oder versteckten Remote-Zugriff) ausgeschlossen und die Integrität der gespeicherten Daten sichergestellt werden kann.
Die Weitergabe eines entsperrten dienstlichen oder dienstlich genutzten privaten Gerätes an Dritte (oder das auch fahrlässige Zulassen des Zugriffs auf Daten durch Dritte) ist untersagt. Die Weitergabe eines dienstlichen oder dienstlich genutzten privaten Gerätes an Dritte ist nur unter Aufsicht der*s Beschäftigten gestattet, wenn 'diese*r sicherstellt, dass kein Zugriff auf oder Einsicht in dienstliche Daten erfolgt.
- Jedwede Veränderung oder Manipulation des Betriebssystems zur Erlangung administrativer Rechte (sogenanntes „Jailbreak" oder „rooting") von dienstlich genutzten Geräten ist nicht gestattet. Nach erfolgter An zeige bei der*dem lnformationssicherheitsbeauftrage*n können hiervon Geräte ausgenommen werden, deren dienstliche Nutzung administrative Rechte in zwingend erfordern. Der Ausnahme kann jederzeit widersprochen werden.
Für die Zusatzvereinbarungen werden einheitliche Formulare verwendet (Muster als Anlage zur Dienstvereinbarung). Abweichend von der Richtlinie sind sie kein Anhang zum Arbeitsvertrag und werden bei der Führungskraft der jeweiligen OE aufbewahrt. Auch die Dokumentation der Genehmigungen und die Auflistungen der dienstlich genutzten privaten IT-Geräte sowie der privat genutzten dienstlichen IT-Geräte verbleiben in der jeweiligen OE.
Die Beschäftigten können jederzeit in Textform erklären, dass sie private Endgeräte ab sofort nicht mehr dienstlich nutzen möchten.
Ebenso kann die Dienststelle die Zusatzvereinbarung mit einem / einer Mitarbeiten den jederzeit in Textform widerrufen und damit die dienstliche Nutzung des privaten Gerätes bzw. die partielle Nutzung eines Dienstgerätes für private Zwecke untersagen.
In diesen Fällen sind bei privaten Geräten unverzüglich alle dienstlichen Daten und bei dienstlichen Geräten alle privaten Daten sicher zu löschen.
Im Falle der Beschädigung, des Verlustes und des Diebstahls der zur Verfügung gestellten Arbeitsmittel einschließlich des Verlustes von Daten- bzw. Aktenbeständen gelten die jeweiligen gesetzlichen, tariflichen und beamtenrechtlichen Regelungen. Die Beschäftigten haften für Schäden nur bei vorsätzlicher oder grob fahrlässiger Verletzung der ihnen obliegenden Pflichten.
Im Falle der Beschädigung des Verlustes und des Diebstahls privater Endgeräte bei dienstlichem Einsatz kann Schadensersatz entsprechend der allgemeinen Schadensrichtline des Landes Niedersachsen beantragt werden.
Eine Leistungs- und Verhaltenskontrolle findet weder im Rahmen der dienstlichen Nutzung von privaten Geräten noch im Rahmen der privaten Nutzung dienstlicher Geräte statt.
Sollte eine oder mehrere Bestimmungen dieser Dienstvereinbarung unwirksam sein, so bleiben die restlichen Bestimmungen weiterhin in Kraft. Die Verhandlungspartner vereinbaren unverzüglich einen Termin, um über die unwirksame Passage neu zu verhandeln.
(1) Diese Dienstvereinbarung tritt zum 01.10.2025 in Kraft. Die Dienstvereinbarung kann jederzeit einvernehmlich ergänzt und geändert werden. Die Ergänzungen und Änderungen bedürfen der Schriftform.
(2) Sie kann mit einer Frist von vier Monaten zum Jahresende, frühestens zum 31.12.2027, gekündigt werden.
Die Präsidentin
der Technischen Universität Braunschweig
Personalrat
der Technischen Universität Braunschweig
Der Vorsitzende
Die Richtlinie „Umgang mit privaten IT-Geräten (BYOD) und dienstlichen IT-Geräten einschließlich mobiler IT-Geräten der TU Braunschweig" (Anlage 1) wird hier zeitnah verlinkt.
Die Zusatzvereinbarungen sind nach Login im Infoportal unter folgendem Link zu finden: https://informationsportal.tu-braunschweig.de/portal/catalog/entities/details?tenantId=257328d7-59ab-46b9-9385-cf12c36df3d7&repositoryId=ca3fd7e2-4f66-40bd-84fe-0cf85c3fc49e&stageId=published&entityId=e7815d98-7d85-46f1-b377-276130121308