Office-Policy

Die Policy sollte ausdrücklich festhalten, dass sie für alle Arbeitsorte gilt, an denen mit Unternehmensmitteln, Unternehmensdaten oder im Namen des Unternehmens gearbeitet wird: Büro, Kundensite, Homeoffice und andere genehmigte mobile Arbeitsorte. Für hochsensible Tätigkeiten oder regulierte Funktionen können Anhänge mit strengeren Regeln vorgesehen werden. Beschäftigtendaten dürfen nur verarbeitet werden, soweit dies für das Beschäftigungsverhältnis erforderlich ist; Datenschutz und Datensicherheit sind von Anfang an in Prozesse und Voreinstellungen einzubauen.

Die regelmäßige Arbeitszeit beträgt für Vollzeitbeschäftigte 40 Stunden pro Woche von Montag bis Freitag. Der Arbeitsbeginn kann innerhalb der Gleitzeitbandbreite zwischen 06:30 Uhr und 09:30 Uhr, das Arbeitsende zwischen 15:30 Uhr und 20:00 Uhr liegen. Kernzeit ist Montag bis Donnerstag 09:30 Uhr bis 15:30 Uhr sowie Freitag 09:30 Uhr bis 14:00 Uhr. Beginn, Ende und Pausen der täglichen Arbeitszeit sind vollständig und wahrheitsgemäß im Zeiterfassungssystem zu dokumentieren. Mehrarbeit bedarf vor ihrer Leistung der vorherigen Freigabe durch die Führungskraft, sofern kein akuter betrieblicher Notfall vorliegt.

Gesetzliche Pausen und Ruhezeiten sind verbindlich einzuhalten und im System zu erfassen. Beschäftigte sind außerhalb ihrer regulären Arbeitszeit nicht verpflichtet, elektronische Kommunikation zu überwachen oder zu beantworten, sofern keine Rufbereitschaft oder ein dokumentierter Notfall vorliegt. Führungskräfte haben Arbeitsorganisation und Meetingkultur so zu gestalten, dass Pausen tatsächlich möglich sind.

Mobile Arbeit kann auf Antrag oder im Rahmen der Funktionsbeschreibung genehmigt werden, sofern die Tätigkeit hierfür geeignet ist, betriebliche Belange nicht entgegenstehen und die Sicherheitsanforderungen eingehalten werden. Ein Anspruch auf mobile Arbeit besteht nicht. Die konkrete Ausgestaltung – etwa Anzahl mobiler Tage, Präsenzanker, Erreichbarkeit, Arbeitsort und Genehmigungsdauer – ergibt sich aus der individuellen Vereinbarung oder dem Teamstandard.

Beschäftigte dürfen im Homeoffice ausschließlich genehmigte Systeme, Anwendungen und Speicherorte verwenden. Unternehmensdaten dürfen nicht auf private Speichermedien, private Cloud-Konten oder private E-Mail-Postfächer übertragen werden. Vertrauliche Gespräche sind so zu führen, dass Dritte keine Kenntnis erlangen können. Arbeiten in öffentlich zugänglichen Bereichen mit Einsicht auf vertrauliche Inhalte ist unzulässig. Die Nutzung öffentlicher WLAN-Netze ist nur über das freigegebene VPN erlaubt.

Urlaub, Krankheit und sonstige Abwesenheiten sollten in einem einheitlichen Workflow geführt werden. Gesetzlich haben Beschäftigte Anspruch auf bezahlten Erholungsurlaub; bei der zeitlichen Festlegung sind Urlaubswünsche grundsätzlich zu berücksichtigen, soweit nicht dringende betriebliche Gründe oder vorrangige soziale Belange anderer Beschäftigter entgegenstehen. Krankheitstage während des Urlaubs werden bei ärztlichem Nachweis nicht auf den Urlaub angerechnet.

Im Krankheitsfall informieren Beschäftigte ihre Führungskraft und HR unverzüglich über ihre Arbeitsunfähigkeit und die voraussichtliche Dauer. Soweit gesetzlich vorgesehen, erfolgt der Nachweis über das eAU-Verfahren; die Pflicht zur unverzüglichen Krankmeldung bleibt hiervon unberührt. Das Unternehmen kann einen früheren Nachweis verlangen, soweit dies rechtlich zulässig ist.

Anträge auf Elternzeit sind fristgerecht und in Textform an HR zu richten. Schwangere oder stillende Beschäftigte können sich jederzeit vertraulich an HR wenden. Nach Mitteilung werden die erforderliche Gefährdungsbeurteilung, etwaige Schutzmaßnahmen und organisatorische Anpassungen unverzüglich geprüft und dokumentiert. Nachteile wegen Schwangerschaft, Mutterschutz oder Elternzeit sind unzulässig.

Unbezahlte Freistellungen werden nur auf schriftlichen Antrag und nach HR-Prüfung bewilligt. Sie bedürfen einer individuellen Vereinbarung über Zeitraum, Vertretung, Rückkehr, Vergütungsfolgen und sozialversicherungsrechtliche Bewertung.

Alle Beschäftigten behandeln einander respektvoll, professionell und frei von Diskriminierung, Einschüchterung, Mobbing, Belästigung oder sexueller Belästigung. Unerwünschtes Verhalten, das die Würde einer Person verletzt oder ein feindliches Umfeld schafft, ist verboten. Beschwerden können an Führungskraft, HR oder die benannte Beschwerdestelle gerichtet werden. Meldende Personen dürfen keine Nachteile erleiden.

Kleidung und Auftreten müssen der Tätigkeit, dem Sicherheitsniveau und dem Kundenumfeld angemessen sein. Besondere Kleidungsanforderungen dürfen nur aus sachlichen Gründen festgelegt werden. Individuelle Belange aus Religion, Behinderung oder Gesundheit werden im Rahmen der rechtlichen Vorgaben angemessen berücksichtigt.

Personenbezogene Daten dürfen nur für festgelegte, legitime und dokumentierte Zwecke verarbeitet werden. Es sind nur diejenigen Daten zu erheben, zu nutzen und zugänglich zu machen, die für den jeweiligen Zweck erforderlich sind. Zugriffe erfolgen nach dem Need-to-know-Prinzip. Neue Prozesse, Systeme und Tools sind vor Einführung auf Datenschutz, Rechtsgrundlage, Rollen, Löschfristen und Sicherheitsmaßnahmen zu prüfen.

Für alle Unternehmenskonten sind individuelle Zugangsdaten zu verwenden. MFA ist für alle extern erreichbaren Konten sowie für sensible Systeme verpflichtend. Passwörter dürfen nicht geteilt, wiederverwendet oder unverschlüsselt gespeichert werden. Das Unternehmen stellt einen freigegebenen Passwortmanager oder ein gleichwertiges Verfahren bereit. Bei Verdacht auf Kompromittierung ist das Passwort unverzüglich zu ändern und IT zu informieren.

Die dienstliche Nutzung privater Endgeräte ist nur nach schriftlicher Genehmigung durch IT und HR zulässig. Voraussetzung sind mindestens Geräteverschlüsselung, aktuelles Betriebssystem, sichere Bildschirmsperre, MDM/Container-Lösung, Trennung privater und geschäftlicher Daten sowie die Zustimmung zu sicherheitsbezogenen Unternehmensmaßnahmen im geschäftlichen Container. Ohne diese Freigabe ist BYOD (buy your own devices) untersagt.

Für alle Datenbestände gelten dokumentierte Aufbewahrungs- und Löschfristen. Nach Ablauf der Frist sind Daten unverzüglich zu löschen, zu anonymisieren oder – bei gesetzlicher Aufbewahrungspflicht bzw. Legal Hold – gesperrt weiter aufzubewahren. Fachbereiche sind für die fachliche Fristdefinition verantwortlich; IT stellt die technische Umsetzbarkeit und Protokollierung sicher.

Jeder vermutete oder bestätigte Verlust, Diebstahl, Fehlversand, unberechtigte Zugriff, Malware-Befall, Phishing-Erfolg oder sonstige Sicherheits-/Datenschutzvorfall ist unverzüglich über den festgelegten Meldeweg an IT und die Datenschutzfunktion zu melden. Eigene Lösch- oder Vertuschungsversuche sind unzulässig; Beweise sind soweit möglich zu sichern.

Zutrittsmedien sind personengebunden und dürfen nicht weitergegeben werden. Verlust oder Diebstahl ist unverzüglich zu melden. Besucher melden sich bei Empfang oder Ansprechpartner an, tragen einen Besucherstatus sichtbar und dürfen sich außerhalb dafür vorgesehener Bereiche nicht unbeaufsichtigt im Gebäude bewegen. Vertrauliche Unterlagen sind so aufzubewahren, dass Besucher keinen Einblick erhalten.

Im Alarm- oder Gefahrenfall sind die vorgesehenen Alarmierungs-, Räumungs- und Sammelpunktregeln einzuhalten. Ersthelfende und benannte Notfallrollen unterstützen die Evakuierung. Unfälle, Beinaheunfälle und sicherheitsrelevante Beobachtungen sind unverzüglich zu melden und zu dokumentieren.

Das Unternehmen führt Gefährdungsbeurteilungen für Büro- und mobile Tätigkeiten durch und leitet daraus technische, organisatorische und verhaltensbezogene Schutzmaßnahmen ab. Beschäftigte sind verpflichtet, Arbeitsschutzanweisungen einzuhalten, ergonomische Defizite oder Belastungssituationen zu melden und Sicherheitsmängel nicht eigenmächtig zu ignorieren.

Führungskräfte haben Arbeitsmenge, Prioritäten, Erreichbarkeit und soziale Einbindung ihrer Teams so zu steuern, dass Überlastung, Entgrenzung und Isolation möglichst vermieden werden. Beschäftigte können Belastungssituationen vertraulich an Führungskraft, HR, Betriebsarzt oder benannte Unterstützungsstellen melden.

Alle nicht öffentlichen Informationen über Kunden, Beschäftigte, Lieferanten, Preise, Kalkulationen, Verträge, Strategien, Quellcodes, Sicherheitsmaßnahmen und interne Abläufe sind vertraulich zu behandeln. Eine Weitergabe an Unbefugte – auch innerhalb des Unternehmens – ist untersagt. Die Geheimhaltungspflicht gilt auch nach Beendigung des Arbeitsverhältnisses fort.

Arbeitsergebnisse, Unterlagen, Konzepte, Texte, Designs, Prozesse, Datenmodelle, Quellcodes und vergleichbare Ergebnisse, die in Erfüllung arbeitsvertraglicher Pflichten erstellt werden, dürfen vom Unternehmen nach Maßgabe der vertraglichen und gesetzlichen Regelungen genutzt werden. Beschäftigte haben die hierfür erforderlichen Mitwirkungshandlungen zu erbringen und dürfen Unternehmens-IP nicht unbefugt extern verwerten.

Nur autorisierte Personen dürfen offizielle Erklärungen im Namen des Unternehmens veröffentlichen. Beschäftigte dürfen keine vertraulichen Informationen, personenbezogenen Daten, Sicherheitsdetails oder nicht veröffentlichte Geschäftsinformationen in sozialen Medien teilen. Bei beruflichem Unternehmensbezug ist auf einen respektvollen, nicht diskriminierenden und wahrheitsgemäßen Auftritt zu achten.

Verstöße gegen diese Policy werden vertraulich, fair und verhältnismäßig untersucht. Betroffene Beschäftigte erhalten Gelegenheit zur Stellungnahme. Je nach Schwere des Verstoßes kommen Hinweis, Schulung, Zugriffsbeschränkung, Abmahnung oder weitergehende arbeitsrechtliche Maßnahmen in Betracht. Gegen Entscheidungen aus dem Policy-Verfahren kann innerhalb von zehn Arbeitstagen schriftlich bei HR Einspruch erhoben werden.