Fragen zur BV Datensicherheit

Guten Tag,

bei uns soll eine "Betriebsvereinbarung über die Nutzung elektronischer Kommunikationssysteme am Arbeitsplatz und die Verpflichtung zur Datensicherheit" eingeführt werden.

Bei dem uns nun vorgelegten Entwurf der Geschäftsleitung werfen sich uns nun einige Fragen auf. Grundsätlich ist das private Nutzen von Internet in Pausen sowie Telefon im Notfall erlaubt.

Es geht um folgende Punkte:

1. Soweit Protokolldaten anfallen, die insbesondere Datum, Uhrzeit, aufgerufene Internetadresse, Größe des angefragten Objekts, Zeit für die Beantwortung der Anfrage sowie die IP-Adresse des Netzes oder des Rechners, von dem die Anfrage ausging, umfassen, werden diese maximal 180 Tage gespeichert und zur Gewährleistung der IT-Sicherheit und zu statistischen Zwecken nur anonymisiert ausgewertet.

2. Stichprobenartig werden ausschließlich anonymisierte Daten auf Missbrauch kontrolliert. Ergibt sich hierbei ein konkreter Missbrauchsverdacht, so werden unter Einbeziehung des Datenschutzbeauftragten und eines Betriebsratsmitglieds die weiteren Daten Personenbezogen ausgewertet.

3. Die E-Mail-Kommunikation von schweigepflichtigen Personen wird inhaltlich nicht überwacht (betriebsrat, Betriebsarzt etc.)

4. Erfassung Telefondaten Erfasst werden folgende Daten: Datum, Uhrzeit, Dauer des Anrufs, Name der angemeldeten Person vollständige gewählte Rufnummer Anzahl der Gebühreneinheiten Betrag der Gebühren

5. Erfassung von Verkehrsdaten für den Internetzugang Die Verkehrsdaten für den Internetzugang werden mit Angabe von Datum/Uhrzeit, Adressen von Absender und Empfänger (z.B. IP-Adresse), Benutzeridentifikation (z.B. bei Nutzung eines Proxyservers), der aufgerufenen Website und übertragener datenmenge protokolliert.

Zu Punkt 1 wäre es uns lieber das es grundsätzlich nur anonymisiert bzw. maximal auf eine Abteilung Protokolliert wird und erst bei begründetem Verdacht in der jeweiligen Abteilung dann alles Personenbezogen aufgezeichnet wird. Ist das rechtlich möglich?

Für Punkt zwei würde dann das gleiche gelten.

Reicht Punkt 3 so oder kann man die Protokollierung, Auswertung und Speicherung der Daten, außer im jeweiligen Konto komplett verbieten?

Bei Punkt 4 würden wir der Speicherung kompletten Nummer wiedersprechen.

Und bei Punkt 5 würden wir auch wieder die Speicherung der kompletten IP-Adresse ohne konkreten Verdacht untersagen.

Alles in allem möchten wir einfach nicht, das ohne verdacht die kompletten, personenbezogenen Daten gespeichert werden. Wie habt ihr das gelöst? Gibt es evtl. ein Muster für so eine BV?

Grüße Tom