Reglement über den Einsatz der Informatikmittel in der Römisch-katholischen Körperschaft des Kantons Zürich

die Information und den Datenschutz (IDG)2 sowie §

Anstellungsordnung (AO)4, beschliesst folgendes Reglement:

I Grundlagen

a. die Nutzungsbedingungen für den Einsatz der Informatikmittel der und Zweck Körperschaft, b. die Organisation und Verantwortung innerhalb der Körperschaft für den gesetzeskonformen Betrieb und die Nutzung von Informatik- mitteln der Körperschaft, c. die Überwachung der Informatikmittel der Körperschaft zur Ver- hinderung von Missbrauch, zur Gewährleistung des sicheren Be- triebs und zur Ressourcenplanung, d. die Massnahmen zur Gewährleistung der IT-Sicherheit, e. die Nutzung von Künstlicher Intelligenz (KI), f. die Massnahmen und das Verfahren im Falle von Missbrauch von Informatikmitteln der Körperschaft, g. die anonymisierten Auswertungen und die Bearbeitung von per- sonenbezogenen Daten im Rahmen der Überwachung von Infor- matikmitteln der Körperschaft oder bei Verdacht auf Nichteinhal- tung dieses Reglements.

für alle Mitarbeitenden und Mitglieder der Römisch-katholischen Kör- perschaft des Kantons Zürich verbindlich. 2 Für Dritte, welche die Informatikmittel der Körperschaft nutzen,

wird dieses Reglement auf vertraglicher Basis für verbindlich erklärt. Zuständig ist die Generalsekretärin oder der Generalsekretär.

1. 10. 25 - 130 1

182.42 ICT-Reglement

II Nutzungsvorschriften

Einsatz von In-

formatikmitteln Körperschaft zur Verfügung gestellten Hard- und Software zu bearbei- und Installation von Software ten. Vorbehalten bleiben

einrichtungen erfolgt ausschliesslich durch die ICT-Verantwortlichen der Körperschaft. 3 Zusätzliche Datensicherungen oder Kopien auf externen Fest-

platten und USB-Sticks sind verboten. 4 Nicht ausdrücklich zugelassene Plattformen und Collaboration

Tools sowie Cloud-Dienste sind verboten. Passwörter und

Benutzer- werden. berechtigungen 2 Passwörter müssen aus mindestens zehn Stellen bestehen und sollen

eine Kombination von Klein- und Grossbuchstaben, Ziffern und Son- derzeichen enthalten. Leicht zu erratende Passwörter und solche, die einen Bezug zur eigenen Person aufweisen (z.B. Name, Name von An- gehörigen, Geburtsdatum usw.), sind nicht erlaubt. Geschäftlich ge- nutzte Passwörter dürfen nicht privat verwendet werden. 3 Passwörter sollten regelmässig gewechselt werden. Sie sind sofort zu

ändern, wenn ein Verdacht besteht, dass sie Dritten zur Kenntnis gelangt sind. Ein früher bereits benutztes Passwort darf nicht erneut verwendet werden. 4 Die Mitarbeitenden dürfen nur ihre persönlichen Benutzerken-

nungen oder die ihnen zugeteilten funktionellen Kennungen verwen- den. Sie sind für die mit ihren Kennungen erfolgten Zugriffe verant- wortlich. Der Zugriff auf Daten, die nicht zur Aufgabenerfüllung be- nötigt werden, ist verboten. Sicherheits-

massnahmen sperren oder die Benutzerin oder der Benutzer meldet sich vom System ab. Laptops und Smartphones sind entsprechend zu sichern, schutz- bedürftige Unterlagen vor Zugang zu schützen. 2 Es ist dafür zu sorgen, dass keine Unbefugten Zutritt zu den

Arbeitsräumlichkeiten haben. Halten sich Unbefugte in den Büro- räumlichkeiten auf, sind Massnahmen zu treffen, die ihnen einen Zu- gang zu Informationen verwehren. 3 USB-Sticks und externe Festplatten von Dritten sind vor dem

Öffnen durch den auf den Informatikmitteln des Synodalrates instal- lierten Virenschutz zu überprüfen. Es dürfen nur Datenträger aus be- kannten Quellen verwendet werden.

2

ICT-Reglement 182.42 4 Die Mitarbeitenden dürfen die Sicherheitssoftware (Virenschutz,

Firewall usw.) nicht ausschalten, blockieren oder deren Konfiguration verändern. E-Mails mit unbekannter Absenderadresse, verdächtigem Betreff oder unüblichem Inhalt sind vorsichtig zu behandeln, da sie von der Virenschutzsoftware nicht erkannte Viren enthalten könnten. Ihre Anhänge sowie Links auf Webseiten sollen keinesfalls geöffnet werden.

schaft sind unverzüglich dem Bereich ICT zu melden. Dieser entscheidet über weitere Massnahmen. 2 Bei Verdacht auf Schwachstellen und mögliche IT-Sicherheits-

vorfälle (z.B. Virenbefall, Datensicherheit) ist der Bereich ICT zwingend zu informieren. Im Übrigen sind alle beobachteten oder vermuteten IT- Notfälle und Informationssicherheitsvorfälle unverzüglich dem Be- reich ICT zu melden.

nahme der eigenen Personendaten nur innerhalb des körperschafts- und vertrauliche eigenen Netzwerks oder der von der Körperschaft bewilligten Cloud Sachdaten aufbewahrt werden. 2 Ausgenommen von Abs. 1 sind Personendaten und vertrauliche

Sachdaten von Spitalseelsorgenden, welche die spitaleigene Infrastruktur für ihre Tätigkeit benutzen müssen. 3 Personendaten und vertrauliche Sachdaten dürfen online (Internet,

soziale Medien, unverschlüsselte E-Mails oder sonstige unverschlüs- selten Kommunikationsmittel) nicht genannt werden.

Zwecken genutzt, müssen sie mit sechsstelligem Passwort, Fingerprint von privaten oder Gesichtserkennung gesichert werden. PCs und Laptops müssen Geräten zu geschäftlichen mit mindestens zehnstelligem Passwort geschützt werden. Die Geräte Zwecken dürfen nicht unbeaufsichtigt gelassen oder Dritten zur Nutzung über- lassen werden. 2 Der Zugriff auf geschäftliche Daten sowie deren Verarbeitung

darf ausschliesslich über browserbasierte Webanwendungen (z.B. Out- look Webaccess, iKath, onegovGEVER) erfolgen. 3 Das Herunterladen oder Speichern von geschäftlichen Daten auf

private Geräte ist mit Ausnahme der eigenen Personendaten nicht zu- lässig.

1. 10. 25 - 130 3

182.42 ICT-Reglement

Private Nutzung

der Informatik- der Körperschaft ist erlaubt. Sie ist jedoch während der Arbeitszeit auf mittel und der Infrastruktur ein Minimum zu beschränken und sollte grundsätzlich nur während der Körper- Pausen erfolgen. schaft 2 Das Herunterladen von privaten Dateien in grosser Menge oder

mit grosser Netzwerkbelastung sowie deren Speicherung in der Daten- ablage (Foto-, Video- und Musikdateien) sind nicht erlaubt. 3 Der Zugang zum Internet mit privaten Geräten ist nur im Gäste-

oder Mitarbeitendenbereich des WLAN erlaubt. Private E-Mails

und Weiter- Mail-Konto der Körperschaft ist erlaubt. Entsprechende E-Mails müssen leitung von E-Mails in einem als «privat» bezeichneten Ordner abgelegt werden. Bei der automatischen Sicherung (Backup) der E-Mails der Arbeitnehmen- den werden auch die privaten E-Mails gesichert. 2 Private E-Mails, welche nicht als solche gekennzeichnet sind, gelten

als geschäftliche E-Mails. 3 Nicht erlaubt ist das Publizieren der dienstlichen E-Mail-Adresse

auf Webseiten zu privaten Zwecken. 4 Das automatische Weiterleiten (Forwarding) von E-Mails an die

private sowie weitere interne und externe E-Mail-Adressen ist ver- boten. Bei mehrtägiger Abwesenheit ist im E-Mail-Konto eine ent- sprechende Abwesenheitsnotiz zu erstellen. Nutzung von

Künstlicher bei ihrer geschäftlichen Tätigkeit Technologien und Systeme nutzen, Intelligenz (KI) die auf Künstlicher Intelligenz basieren (KI-basierte Technologien und Systeme oder kurz: KI). 2 Um einen ethischen, rechtskonformen und sicheren Einsatz von

KI-basierten Technologien und Systemen zu gewährleisten, gelten die folgenden Vorgaben: a. der Einsatz von KI-basierten Technologien und Systemen muss durch den Bereich ICT genehmigt werden. Die zugelassenen KI- Systeme werden in einem Anhang zu diesem Reglement festgelegt. Nicht zugelassene KI-basierte Technologien und Systeme sind ver- boten, b. KI darf nur für Zwecke eingesetzt werden, die dem Geschäfts- zweck der Körperschaft entsprechen und rechtskonform sind,

4

ICT-Reglement 182.42 c. der Einsatz von KI darf nicht zu Diskriminierung («Bias»), Ver- letzung des Datenschutzes oder unethischen, rechtswidrigen oder strafbaren Handlungen führen, d. die Ergebnisse aus der KI-Nutzung dürfen nicht unvoreingenom- men und ohne menschliches Monitoring übernommen werden (Plausibilitätskontrolle), e. bei der Nutzung von KI-Systemen dürfen Personendaten, einschliess- lich besonderer Personendaten, sowie vertrauliche Sachdaten der Körperschaft nur im Rahmen der kirchlichen Aufgabenerfüllung und in vom Bereich ICT bewilligten geschlossenen KI-Systemen (keine Open Source AI) verwendet werden; die Datensicherheit ist stets zu gewährleisten, f. werden besondere Personendaten in KI-Systemen bearbeitet, ist vorab eine datenschutzrechtliche Risikoabwägung des entsprechen- den KI-Systems durch die Beauftragte oder den Beauftragten für den Datenschutz vorzunehmen. Ergibt sich daraus ein hohes Risiko für die betroffenen Personen, ist eine Datenschutz-Folgenabschät- zung gemäss den geltenden datenschutzrechtlichen Vorgaben durch- zuführen. Ist die Bearbeitung und Verwendung von besonderen Personendaten rechtlich notwendig, sind angemessene datenschutz- rechtliche Schutzmassnahmen wie Anonymisierung oder Pseudo- nymisierung zu treffen, g. der Einsatz von KI muss für Betroffene transparent sein; bei der Verwendung von KI in Arbeitsergebnissen ist entsprechend darauf hinzuweisen, h. sofern Entscheidungen auf Basis von KI getroffen werden, ist dieser Prozess nachvollziehbar zu dokumentieren, i. KI darf nicht für automatisierte Entscheidungen verwendet wer- den, die für die Betroffenen erhebliche rechtliche oder ethische Konsequenzen haben können. 3 Weiterführende Vorgaben und konkrete Anwendungsrichtlinien

können in einem gesonderten Merkblatt festgelegt werden. 4 Der Bereich ICT kann die Einhaltung der Vorgaben zur KI-

Nutzung eigenständig überprüfen und bei Bedarf oder missbräuch- licher Verwendung die Nutzung einschränken oder verbieten.

darf grundsätzlich nur mit Zustimmung der betreffenden Mitarbei- geschäftlichen Daten bei terin oder des betreffenden Mitarbeiters erfolgen. Abwesenheiten 2 Sofern betrieblich notwendig, ist die Bereichsleiterin oder der

Bereichsleiter Personal bei längerer Abwesenheit (aufgrund von Unfall, Krankheit oder sonstigen ausserordentlichen Ereignissen) einer oder eines Mitarbeitenden nach mehrmalig versuchter Rücksprache mit der

1. 10. 25 - 130 5

182.42 ICT-Reglement

oder dem Mitarbeitenden berechtigt, auf deren oder dessen geschäft- liche Daten (persönliches Laufwerk, Datenablage und E-Mail-Konto) zuzugreifen. Sie oder er macht es mit Zustimmung und unter Mit- wirkung der oder des Beauftragten für den Datenschutz. 3 Die als privat gekennzeichneten Daten bleiben in der Daten-

ablage der betroffenen Person. Die Vertraulichkeit und der Schutz der nicht als privat gekennzeichneten Daten kann nicht gewährleistet wer- den. 4 Der Zugang und die Datenverarbeitung werden genau festgehalten

und protokolliert. Rechtswidrige

Nutzung und andere Webinhalte mit rassistischen, pornografischen, sexistischen, gewaltverherrlichenden oder rechtswidrigen Inhalten dürfen weder konsumiert noch heruntergeladen oder weiterverbreitet werden.

III Organisation und Verantwortung

Synodalrat

schaftseigenen IT-Infrastruktur. Er gewährleistet die rechtskonforme Nutzung, die Datensicherheit sowie den Daten- und Persönlichkeits- schutz der Angestellten und Behördenmitglieder der Körperschaft. Bereich ICT

IT-Konzepte der Körperschaft, deren Umsetzung und Überwachung. Er trifft die notwendigen technischen Massnahmen zur Gewährleis- tung der Datensicherheit und des Datenschutzes. 2 Er ist insbesondere zuständig für:

a. die Installation von Software und Programmen gemäss

b. das Sperren und Freischalten von Internetseiten sowie sozialer Medien und Plattformen, c. die Anordnung und Umsetzung von angemessenen technischen Massnahmen, wie z.B. Firewalls, Spamfilter, Virenschutz usw., d. die Löschung von als Spam erkannten Daten, e. die technische Behebung von Verstössen gegen Nutzungsvorschriften dieses Reglements, insbesondere das unverzügliche Entfernen von widerrechtlicher oder missbräuchlicher Hard- und Software, f. Notfallmassnahmen, welche schnell getroffen werden müssen (z.B. für kompromittierte Dienste),

6

ICT-Reglement 182.42 g. Massnahmen zur Gewährleistung der IT-Sicherheit gemäss §

h. Massnahmen gemäss

perschaft ist eine Stelle des Bereichs ICT der Körperschaft. oder Beauftrag- 2 Die oder der Beauftragte für den Datenschutz in der Körper- ter für den Datenschutz schaft ist die zuständige Ansprechperson in Datenschutzfragen im in der Körper- Sinne von

wortlich für die Überprüfung und Überwachung der Datensicherheit und des Datenschutzes der IT-Konzepte und der IT-Infrastruktur der Körperschaft, insbesondere was das Feststellen und Beheben von IT- Sicherheitsmängeln betrifft. Sie oder er schlägt Sicherheitsmassnahmen vor und gibt Sicherheitsempfehlungen ab, um die IT-Anwendungen und -Systeme vor unbefugten Einwirkungen und vor unbefugtem Zu- griff zu schützen. Sie kann zur Abklärung und Behebung von Sicher- heitsmängeln externe Fachpersonen beiziehen. 3 Die oder der Beauftragte für den Datenschutz ist im Weiteren

verantwortlich für: a. die Überprüfung der Einhaltung von datenschutzrechtlichen Vor- schriften und Richtlinien sowie die Einhaltung der Nutzungsvor- schriften dieses Reglements, b. Massnahmen gemäss

c. die Auswertung der periodischen anonymisierten Berichte gemäss

d. die Einleitung des Verfahrens einer personenbezogenen Auswer- tung sowie die Auswertung der Daten gemäss

den Betrieb der IT-Infrastruktur und der Dienste der Körperschaft zuständig sind. 2 Durch Vertrag des Synodalrates oder Weisung des Bereichs ICT

wird sichergestellt, dass die Betreiberstellen die rechtskonforme und sichere Nutzung der IT-Infrastruktur und der Dienste der Körper- schaft ermöglichen.

1. 10. 25 - 130 7

182.42 ICT-Reglement

IV Massnahmen zur Gewährleistung der IT-Sicherheit

Technische

Schutz- konform genutzt wird. Er trifft die dazu nötigen technischen Schutz- vorkehrungen und Nutzungs- vorkehrungen, erlässt Nutzungsrichtlinien für Mitarbeitende sowie Dritt- richtlinien nutzende und überwacht die Einhaltung dieses Reglements. Aufzeichnung

und Auswertung wertet diese periodisch anonymisiert aus. Die Randdaten werden für von Randdaten höchstens zwölf Monate aufgezeichnet und beschränken sich auf fol- gende Informationen: a. interner Speicher (Homedrive, Teamfolder, s2Drive), b. Telefonie pro Hauptnummer zuhanden der Finanzbuchhaltung zum Zweck der Weiterverrechnung an die Kostenstellen (allgemeine Kosten, kostenpflichtige Telefonnummern und Auslandstelefo- nie), c. Webtraffic (externer Datenfluss), Überwachung von Zieladres- sen, d. Netzwerktraffic (interner Datenfluss) oder Datenvolumen, e. letztmalige Systemanmeldungen der PCs und Laptops in der Kör- perschaft, f. Installation von illegaler Software auf der IT-Infrastruktur der Körperschaft. 2 Die Auswertungen dürfen keine Rückschlüsse auf einzelne Mit-

arbeitende zulassen. Insbesondere dürfen sich aus ihnen weder die einzelnen Mitarbeitenden noch die einzelnen Arbeitsplätze ergeben. 3 Besteht aufgrund der anonymisierten Auswertungen ein erheb-

licher Verdacht auf Missbrauch im Sinne von

Beauftragte für den Datenschutz einen Bericht zuhanden der General- sekretärin oder des Generalsekretärs und leitet damit das Verfahren der personenbezogenen Auswertung gemäss

ein.

V Verfahren und Folgen bei Missbrauch oder erheblichem Verdacht auf Missbrauch

Missbrauch

Verstoss gegen die Nutzungsvorschriften gemäss §

15 Abs. 2 vor.

8

ICT-Reglement 182.42

den Datenschutz im Rahmen ihrer Aufgabenerfüllung Verstösse gegen Ersatz- dieses Reglement fest oder werden dem Bereich ICT oder der oder vornahmenund vorsorg- dem Beauftragten für den Datenschutz solche gemeldet, ergreift die liche Mass- Bereichsleiterin oder der Bereichsleiter ICT insbesondere die folgen- nahmen den Massnahmen: a. Anweisung an die Mitarbeiterin oder den Mitarbeiter, die miss- bräuchliche Nutzung innert Frist zu beseitigen und künftig zu unter- lassen, b. die eigenmächtige Beseitigung des rechtswidrigen Zustands, sofern dieser entgegen der Anweisung nicht innert Frist durch die Mit- arbeiterin oder den Mitarbeiter selber erfolgt oder erfolgen kann, c. vorsorgliche Sicherung von Daten sowie missbräuchlicher Hard- und Software zu Beweiszwecken bei erheblichem Verdacht auf eine Straftat nach dem Schweizerischen Strafgesetzbuch5 nach Rück- sprache mit der Generalsekretärin oder dem Generalsekretär sowie der Bereichsleiterin oder dem Bereichsleiter Personal. Wird kein Strafverfahren eingeleitet, wird das gesicherte Beweismaterial ver- nichtet. 2 Der Bereich ICT oder die oder der Beauftragte für den Daten-

schutz informiert die zuständige Bereichsleiterin oder den zuständigen Bereichsleiter, die linienvorgesetzte Person sowie die Bereichsleiterin oder den Bereichsleiter Personal über die getroffenen Massnahmen.

gemäss

eine personenbezogene Auswertung an. Sie oder er informiert die Be- bezogenen Auswertungen reichsleiterin oder den Bereichsleiter Personal vorgängig über die An- ordnung. 2 Die Generalsekretärin oder der Generalsekretär informiert die

betroffene Mitarbeiterin oder den betroffenen Mitarbeiter über Inhalt und Dauer der personenbezogenen Auswertung. 3 Die personenbezogenen Auswertungen beziehen sich auf die

missbrauchsrelevanten Bereiche der anonymisierten Auswertungen unter Angabe des Namens der oder des Nutzenden. 4 Die Betreiberstelle stellt die als vertraulich deklarierten Aus-

wertungen der oder dem Beauftragten für den Datenschutz zu. 5 Die Generalsekretärin oder der Generalsekretär entscheidet zusam-

men mit der Bereichsleiterin oder dem Bereichsleiter Personal auf- grund der personenbezogenen Auswertung, ob der Personalkommis- sion beantragt wird, eine Massnahme gemäss §

Folgen des Missbrauchs) einzuleiten sowie andere Massnahmen zu treffen.

1. 10. 25 - 130 9

182.42 ICT-Reglement

6 Die Generalsekretärin oder der Generalsekretär teilt der Mit-

arbeiterin oder dem Mitarbeiter den Entscheid mit. 7 Die Protokolle der personenbezogenen Auswertungen werden

spätestens nach zwölf Monaten gelöscht, wenn sich der Verdacht auf Missbrauch nicht bestätigt oder sämtliche Verfahren rechtskräftig ab- geschlossen sind. Die betreffende Mitarbeiterin oder der betreffende Mitarbeiter wird über die Löschung informiert. Weitere Folgen

des Missbrauchs

oder des Beauftragten für den Datenschutz werden zudem personal- rechtliche Massnahmen nach der Anstellungsordnung geprüft und ein- geleitet. Zuständig für den Entscheid über personalrechtliche Mass- nahmen ist die Personalkommission. 2 Vorbehalten bleibt die Einleitung eines Strafverfahrens und die

Geltendmachung von Schadenersatzansprüchen durch den Synodal- rat. Zuständig ist die Generalsekretärin oder der Generalsekretär.

VI Schlussbestimmungen

Bestätigung der

Kenntnisnahme glied der Körperschaft unterzeichnet das Reglement als Erklärung, des Reglements dass sie oder er das Reglement gelesen und den Inhalt zur Kenntnis genommen hat. Inkrafttreten

ersetzt das ICT-Nutzungsreglement vom 20. Mai 2019.

1 OS 80, 211; Begründung siehe ABl 2025-07-18. 2 LS 170.4. 3 LS 182.10.

4 LS 182.41.

5 SR 311.0.

10