Dieser Beschluss regelt die Informatiknutzung der kantonalen Mitarbeiter[1] im Rahmen ihrer Anstellung.

Der Beschluss gilt auch für das Gesundheitszentrum Appenzell. Die Aufgaben und Rechte des Departemensvorstehers gemäss diesem Beschluss nimmt der Spitaldirektor wahr. *

In Körperschaften und Betrieben mit einem vertraglichen Nutzungsrecht für kantonale Informatikmittel sorgt die jeweilige Behörde oder Betriebsleitung dafür, dass bei der Nutzung durch ihre Behördenmitglieder oder Angestellten die inhaltlichen Vorgaben nach Kapitel II und III dieses Beschlusses erfüllt werden.

Für Standeskommissionsmitglieder gilt Abs. 3 sinngemäss.

Die Standeskommission bestimmt einen Informatik-Sicherheitsbeauftragten und einen Stellvertreter für die kantonale Verwaltung. Im Einverständnis mit den am AINet angeschlossenen Körperschaften und Betrieben können sie auch für diese ihre Funktion ausüben.

Informatikmittel sind Geräte und Teile davon, die in der Bearbeitung, Speicherung oder Übermittlung von elektronischen Daten eingesetzt werden können.

Als Informatikmittel gelten insbesondere:

Die Nutzung von Informatikmitteln dient geschäftlichen Zwecken.

Die private Nutzung ist punktuell erlaubt. Sie darf weder die Leistung des Mitarbeiters noch die Informatikstruktur beeinträchtigen noch dem Arbeitgeber Zusatzaufwand bringen oder Sicherheitsrisiken bergen. Sie kann in begründeten Fällen eingegrenzt oder verboten werden.

Die Datenspeicherung auf Geräten, die am AINet angeschlossen sind, ist auf einem Serverlaufwerk des Kantons vorzunehmen.

Private Daten sind in der Regel auf privaten Datenträgern, zum Beispiel auf einem dafür vorgesehenen USB-Stick, zu speichern.

Die Speicherung von geschäftlichen Daten auf entfernten Systemen, beispielsweise in Clouds, ist nicht erlaubt.

Programme und Geräte gelten als fremd, wenn sie nicht durch den Kanton zur Verfügung gestellt wurden oder vom Amt für Informatik (AFI) nicht ausdrücklich zugelassen sind.

Es dürfen keine Fremdprogramme installiert oder Fremdgeräte angeschlossen werden, es sei denn, der geschäftliche Auftrag verlangt diese Verwendung.

Vertrauliche Geschäftsdaten sind auf Fremdgeräten verschlüsselt abzulegen und dort sofort zu löschen, wenn sie nicht mehr gebraucht werden.

Die Mitarbeiter schützen die von ihnen verwendeten Informatikmittel gemäss dem Stand der Technik vor unberechtigtem Gebrauch, insbesondere durch

Virenverdächtige Programme, Dateien, E-Mails und Anhänge dürfen nicht geöffnet oder weitergeleitet werden und sind zu löschen. In Zweifelsfällen kann Rücksprache mit dem AFI genommen werden.

Die Mitarbeiter informieren den Vorgesetzten bei sicherheitsrelevanten Risiken umgehend, beispielsweise nach einem Verlust eines mobilen Geräts.

Informatikmittel dürfen nicht gleichzeitig im AINet und in einem anderen Netzwerk, beispielsweise in einem öffentlichen, drahtlosen Netz, geöffnet sein.

Veränderungen an den bereitgestellten Informatikmitteln, insbesondere an der Konfiguration von Hardware, an den Systemeinstellungen und an der Software, und das Umgehen oder Entfernen von Sicherheitsvorkehrungen sind nicht erlaubt.

Das Kopieren von Programmen ist, unter Vorbehalt von Sicherungskopien durch das AFI, unzulässig.

Bei einem Austritt aus dem Dienstverhältnis sind die zur Verfügung gestellten Informatikmittel aufgeräumt zurückzugeben.

Private Daten und E-Mails sind zu löschen. Für berufliche Daten und E-Mails ist nach Anweisung des Vorgesetzten vorzugehen.

Kommt der Austretende diesen Pflichten nicht nach, kann das AFI in Absprache mit dem Vorgesetzten die Informatikmittel räumen.

Das AFI kann von Einschränkungen nach diesem Kapitel in begründeten Fällen und in Absprache mit dem Vorgesetzten Ausnahmen erlauben.

Die Informatikstrategiekommission des Kantons kann für die Nutzung von Informatikmitteln und für den sicheren Umgang mit diesen Richtlinien erlassen.

Internetnutzungen und Zugriffe auf Websites sind untersagt, wenn sie die Arbeit beeinträchtigen, die Informatikstruktur belasten, mit Sicherheitsrisiken verbunden sind oder gegen das Recht oder die guten Sitten verstossen.

Die Informatikstrategiekommission des Kantons legt die untersagten Nutzungen und Zugriffe im Rahmen dieser Bestimmung in einer Liste fest, die den Mitarbeitern in geeigneter Form mitzuteilen und zugänglich zu machen ist. Untersagte Nutzungen und Zugriffe können elektronisch gesperrt werden.

Als untersagt gilt insbesondere der Zugriff auf Websites mit erotischem oder pornographischem Inhalt oder mit gewaltverherrlichendem, rassistischem, sexistischem oder extremistischem Inhalt.

Die automatische Weiterleitung von E-Mails an externe E-Mail-Adressen ist untersagt.

Das AFI kann die Anzahl der Adressaten und die Grösse der Anhänge aus betrieblichen oder technischen Gründen beschränken.

Der Departementsvorsteher kann von den Einschränkungen nach diesem Kapitel geschäftlich bedingte Ausnahmen erlauben.

Das AFI ist berechtigt, die Verkehrsdaten der Internetzugriffe und des E-Mail-Verkehrs aufzuzeichnen.

Im Falle von Internetzugriffen dürfen die Benutzernamen, die aufgerufenen Internetadressen, die Zeit und das Datum des Zugriffs sowie die Grösse der heruntergeladenen Dateien protokolliert werden.

Im E-Mail-Verkehr dürfen Absender- und Empfängeradressen, Betreffzeile, Zeit und Datum der Übermittlung, Grösse der Mails und Bezeichnung sowie Grösse der Anhänge aufgezeichnet werden.

Die Kontrolldaten werden unter Vorbehalt von Verdachtsfällen spätestens nach 12 Monaten gelöscht.

Mitarbeiter, die Anzeichen für einen Verstoss gegen diesen Beschluss oder gegen eine strafrechtliche Norm wahrnehmen, sind berechtigt, dem Informatik-Sicherheitsbeauftragten Meldung zu erstatten.

Das AFI und der Informatik-Sicherheitsbeauftragte sind berechtigt, die verantwortlichen Stellen über festgestellte Anzeichen zu informieren.

Vorbehalten bleiben Strafanzeigen gemäss Art. 15 des Einführungsgesetzes zur Schweizerischen Strafprozessordnung (EG StPO).

Bei Anzeichen für Verstösse sind technische oder organisatorische Massnahmen zur Unterbindung weiterer Verstösse zu prüfen.

Der Informatik-Sicherheitsbeauftragte kann bei Anzeichen für einen Verstoss eine personenbezogene Auswertung der Kontrolldaten durch das AFI anordnen.

Der Informatik-Sicherheitsbeauftragte zeigt die Durchführung einer personenbezogenen Auswertung dem betroffenen Mitarbeiter und dem jeweiligen Departementsvorsteher an. Der Mitarbeiter darf Einsicht in die Daten und Resultate nehmen.

Erhärtet sich der Verdacht aufgrund der Auswertung der greifbaren Daten nicht, ist die personenbezogene Auswertung abzubrechen. Die personenbezogenen Daten sind umgehend zu löschen. Der Informatik-Sicherheitsbeauftragte informiert den betroffenen Mitarbeiter und den jeweiligen Departementsvorsteher.

Wird ein Verstoss festgestellt, informiert der Informatik-Sicherheitsbeauftragte die fehlbare Person, deren Vorgesetzten und den jeweiligen Departementsvorsteher.

Personenbezogene Daten, die einen Verstoss dokumentieren, werden gesichert und im Personaldossier vermerkt.

Der Informatik-Sicherheitsbeauftragte kann personenbezogene Auswertungen anordnen, soweit dies zur Ermittlung der Ursachen für technische Probleme oder zur Gewährleistung der Funktionsfähigkeit des Informatiksystems unerlässlich ist.

Eine Anzeige an die betroffenen Personen ist nur notwendig, wenn Anzeichen bestehen, dass die Ursache für die technischen Probleme und die Gefährdung der Funktionsfähigkeit Verstösse gegen diesen Beschluss sind.

Im Falle von Verstössen gegen diesen Beschluss drohen neben strafrechtlichen Konsequenzen personalrechtliche Massnahmen und Schadenersatzansprüche.

Das AFI kann im Einvernehmen mit dem Vorgesetzten insbesondere

Dieser Beschluss löst die bisherigen Vorgaben für Informatiknutzer ab, insbesondere die Richtlinien für Informatikbenutzerinnen und -benutzer.

Dieser Beschluss tritt auf den 1. August 2013 in Kraft.