Kurzantwort:

Auf jeden Fall benötigen Sie als Unternehmen Richtlinien, die den Umgang mit den IT-Systemen, mobilen Endgeräten und Diensten regeln. Das ist nicht nur aus Sicht des Arbeitsrechts sinnvoll (dazu gehen wir hier nicht näher ein), sondern aus datenschutzrechtlicher Sicht angezeigt und spätestens mit Wirksamwerden der Datenschutzgrundverordnung Pflicht.

Warum Sie weiter lesen sollten (oder auch Haftung)

Sie setzen sich mit dieser Thematik nicht auseinander, weil bisher keine Probleme aufgetaucht sind? Oder anders ausgedrückt, warum Sie weiterhlesen sollten: _Wir haben schlechte Nachrichten: Die "bisher ging alles gut"-Strategie geht mit der DSGVO nicht mehr auf. Wurde der Verstoß nach der (bald alten) Rechtslage nach dem Bundesdatenschutzgesetz (BDSG) nur verfolgt, wenn aufgrund mangehlafter oder fehlender organisatorischer Maßnahmen ein Datenschutzverstoß entstanden ist, so liegt nach der DSGVO bereits ein Verstoß nach Art. 83 Abs. 4 DSGVO vor, wenn schon bei einer bloßen Prüfung die organisatorischen Maßnahmen nicht nachweisen kann.

Was sind IT-Richtlinien?

Kurz und knapp regeln IT-Richtlinien den Umgang mit der IT in Ihrem Unternehmen.

In der Langversion: Zunächst ist zu differenzieren, wenn Sie einen Betriebsrat haben, so handelt es sich nicht um "Richtlinien", sondern um Betriebsvereinbarungen, die gemeinsam mit dem Betriebsrat abgeschlossen werden. Sie regeln sog. "organisatorische Maßnahmen" zur IT-Sicherheit. Vergegenwärtigt man sich, dass über 80% aller Angriffe nicht auf Sicherheitslücken in der IT, sondern auf menschliches Fehlverhalten zurückzuführen sind, wird deutlich, dass es nicht nur rechtlich, sondern gerade auch tatsächlich sinnvoll ist, sich mit diesem Thema auseinanderzusetzen.

In einer Richtlinie zum Umgang mit den IT-Systemen ist beispielhaft zu regeln:

welche Anforderungen an ein Passwort zu stellen sind
Wo dürfen Passwörter gespeichert werden?
Wie häufig müssen diese geändert werden?
Dürfen aufgefundene oder fremde USB Sticks an PC-Systeme des Unternehmens angeschlossen werden? (Trojaner)
Darf das private Handy angeschlossen werden?

Wo ist die Pflicht geregelt?

Einerseits kann die Verpflichtung aus der Geschäftsführer- bzw. Vorstandshaftung nach § 43 Abs. 2 GmbHG bzw. § 93 Abs. 1 AktG abgeleitet werden.

Viel deutlicher wird aber die Datenschutzgrundverordnung, mit der wir uns hier beschäftigen. Auch stellen sich datenschutzrechtlich eine Fülle weiterer rechtliche Fragen, die für die bloße Informationssicherheit nicht relevant sind, Die DSGVO regelt die Pflicht in Art. 32 DSGVO, der die Überschrift "Sicherheit der Verarbeitung" trägt vor:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; […]

Wie sollten sie formuliert sein?

Verabschieden Sie sich von dem Gedanken, diese Richtlinien nur vorzuhalten. Es nützt Ihnen nichts, wenn nur die theoretische die Möglichkeit einer Kenntnisnahme ihrer Mitarbeiter besteht. Entwickeln Sie Richtlinien, die an ihr Unternhemen angepasst sind. Das fängt schon damit an, dass sie so formuliert sein sollten, wie der Umgangston auch üblich ist. Klären Sie ihre Mitarbeiter auch über das Vorhandensein auf und sensibilisieren Sie diese mit unterschiedlichsten Maßnahmen. Wir haben beispielsweise sehr gute Erfahrungen mit tatsächlichen Tests gemacht. Auch die besten Richtlinien helfen Ihnen nicht, wenn bei einer Prüfung herauskommt, dass diese nicht gelebt werden.

Welche IT-Richtlinien brauche ich?