182.42•Reglement über den Einsatz der Informatikmittel in der Römisch-katholischen Körperschaft des Kantons Zürich (ICT-Reglement)
182.42ICT-NutzungsreglementReglement01.10.2025
182.42
über den Einsatz der Informatikmittel in der Römisch-katholischen Körperschaft des Kantons Zürich (ICT-Reglement)
(vom 7. Juli 2025)¹
Der Synodalrat,
gestützt auf Art. 7 der Kirchenordnung (KO)³, § 7 des Gesetzes über die Information und den Datenschutz (IDG)² sowie §§ 39 und 60 der Anstellungsordnung (AO)⁴,
beschliesst folgendes Reglement:
Dieses Reglement regelt:
¹ Dieses Reglement sowie die dazugehörigen Anhänge sind für alle Mitarbeitenden und Mitglieder der Römisch-katholischen Körperschaft des Kantons Zürich verbindlich.
² Für Dritte, welche die Informatikmittel der Körperschaft nutzen, wird dieses Reglement auf vertraglicher Basis für verbindlich erklärt. Zuständig ist die Generalsekretärin oder der Generalsekretär.
Geltungsbereich
1.10.25 - 130
182.42
ICT-Reglement
Einsatz von Informatikmitteln und Installation von Software
¹ Die geschäftlich anfallenden Daten sind mit der von der Körperschaft zur Verfügung gestellten Hard- und Software zu bearbeiten. Vorbehalten bleiben § 7 Abs. 1 und 2 sowie § 8.
² Die Installation von Hard- und Software sowie Kommunikationseinrichtungen erfolgt ausschliesslich durch die ICT-Verantwortlichen der Körperschaft.
³ Zusätzliche Datensicherungen oder Kopien auf externen Festplatten und USB-Sticks sind verboten.
⁴ Nicht ausdrücklich zugelassene Plattformen und Collaboration Tools sowie Cloud-Dienste sind verboten.
Passwörter und Benutzerberechtigungen
¹ Das Passwort ist persönlich und darf nicht weitergegeben werden.
² Passwörter müssen aus mindestens zehn Stellen bestehen und sollen eine Kombination von Klein- und Grossbuchstaben, Ziffern und Sonderzeichen enthalten. Leicht zu erratende Passwörter und solche, die einen Bezug zur eigenen Person aufweisen (z.B. Name, Name von Angehörigen, Geburtsdatum usw.), sind nicht erlaubt. Geschäftlich genutzte Passwörter dürfen nicht privat verwendet werden.
³ Passwörter sollten regelmäßig gewechselt werden. Sie sind sofort zu ändern, wenn ein Verdacht besteht, dass sie Dritten zur Kenntnis gelangt sind. Ein früher bereits benutztes Passwort darf nicht erneut verwendet werden.
⁴ Die Mitarbeitenden dürfen nur ihre persönlichen Benutzerkennungen oder die ihnen zugeteilten funktionellen Kennungen verwenden. Sie sind für die mit ihren Kennungen erfolgten Zugriffe verantwortlich. Der Zugriff auf Daten, die nicht zur Aufgabenerfüllung benötigt werden, ist verboten.
Sicherheitsmassnahmen
¹ Beim Verlassen des Arbeitsplatzes ist die Arbeitsstation zu sperren oder die Benutzerin oder der Benutzer meldet sich vom System ab. Laptops und Smartphones sind entsprechend zu sichern, schutzbedürftige Unterlagen vor Zugang zu schützen.
² Es ist dafür zu sorgen, dass keine Unbefugten Zutritt zu den Arbeitsräumlichkeiten haben. Halten sich Unbefugte in den Büroräumlichkeiten auf, sind Massnahmen zu treffen, die ihnen einen Zugang zu Informationen verwehren.
³ USB-Sticks und externe Festplatten von Dritten sind vor dem Öffnen durch den auf den Informatikmitteln des Synodalrates installierten Virenschutz zu überprüfen. Es dürfen nur Datenträger aus bekannten Quellen verwendet werden.
ICT-Reglement 182.42
4 Die Mitarbeitenden dürfen die Sicherheitssoftware (Virenschutz, Firewall usw.) nicht ausschalten, blockieren oder deren Konfiguration verändern. E-Mails mit unbekannter Absenderadresse, verdächtigem Betreff oder unüblichem Inhalt sind vorsichtig zu behandeln, da sie von der Virenschutzsoftware nicht erkannte Viren enthalten könnten. Ihre Anhänge sowie Links auf Webseiten sollen keinesfalls geöffnet werden.
¹ Verlorene oder gestohlene Informatikmittel der Körperschaft sind unverzüglich dem Bereich ICT zu melden. Dieser entscheidet über weitere Massnahmen.
² Bei Verdacht auf Schwachstellen und mögliche IT-Sicherheitsvorfälle (z.B. Virenbefall, Datensicherheit) ist der Bereich ICT zwingend zu informieren. Im Übrigen sind alle beobachteten oder vermuteten IT-Notfälle und Informationssicherheitsvorfälle unverzüglich dem Bereich ICT zu melden.
¹ Personendaten und vertrauliche Sachdaten dürfen mit Ausnahme der eigenen Personendaten nur innerhalb des körperschaftseigenen Netzwerks oder der von der Körperschaft bewilligten Cloud aufbewahrt werden.
² Ausgenommen von Abs. 1 sind Personendaten und vertrauliche Sachdaten von Spitalseelsorgenden, welche die spitaleigene Infrastruktur für ihre Tätigkeit benutzen müssen.
³ Personendaten und vertrauliche Sachdaten dürfen online (Internet, soziale Medien, unverschlüsselte E-Mails oder sonstige unverschlüsselten Kommunikationsmittel) nicht genannt werden.
¹ Werden private Smartphones und Tablets zu geschäftlichen Zwecken genutzt, müssen sie mit sechsstelligem Passwort, Fingerprint oder Gesichtserkennung gesichert werden. PCs und Laptops müssen mit mindestens zehnstelligem Passwort geschützt werden. Die Geräte dürfen nicht unbeaufsichtigt gelassen oder Dritten zur Nutzung überlassen werden.
² Der Zugriff auf geschäftliche Daten sowie deren Verarbeitung darf ausschließlich über browserbasierte Webanwendungen (z.B. Outlook Webaccess, iKath, onegovGEVER) erfolgen.
³ Das Herunterladen oder Speichern von geschäftlichen Daten auf private Geräte ist mit Ausnahme der eigenen Personendaten nicht zulässig.
1.10.25 - 130
182.42
ICT-Reglement
Private Nutzung der Informatikmittel und der Infrastruktur der Körperschaft
¹ Die private nicht kommerzielle Nutzung der IT-Infrastruktur der Körperschaft ist erlaubt. Sie ist jedoch während der Arbeitszeit auf ein Minimum zu beschränken und sollte grundsätzlich nur während Pausen erfolgen.
² Das Herunterladen von privaten Dateien in grosser Menge oder mit grosser Netzwerkbelastung sowie deren Speicherung in der Datenablage (Foto-, Video- und Musikdateien) sind nicht erlaubt.
³ Der Zugang zum Internet mit privaten Geräten ist nur im Gäste- oder Mitarbeitendenbereich des WLAN erlaubt.
Private E-Mails und Weiterleitung von E-Mails
¹ Das Versenden und Empfangen privater E-Mails über das Mail-Konto der Körperschaft ist erlaubt. Entsprechende E-Mails müssen in einem als «privat» bezeichneten Ordner abgelegt werden. Bei der automatischen Sicherung (Backup) der E-Mails der Arbeitnehmenden werden auch die privaten E-Mails gesichert.
² Private E-Mails, welche nicht als solche gekennzeichnet sind, gelten als geschäftliche E-Mails.
³ Nicht erlaubt ist das Publizieren der dienstlichen E-Mail-Adresse auf Webseiten zu privaten Zwecken.
⁴ Das automatische Weiterleiten (Forwarding) von E-Mails an die private sowie weitere interne und externe E-Mail-Adressen ist verboten. Bei mehrtägiger Abwesenheit ist im E-Mail-Konto eine entsprechende Abwesenheitsnotiz zu erstellen.
Nutzung von Künstlicher Intelligenz (KI)
¹ Die Mitarbeitenden und Mitglieder der Körperschaft dürfen bei ihrer geschäftlichen Tätigkeit Technologien und Systeme nutzen, die auf Künstlicher Intelligenz basieren (KI-basierte Technologien und Systeme oder kurz: KI).
² Um einen ethischen, rechtskonformen und sicheren Einsatz von KI-basierten Technologien und Systemen zu gewährleisten, gelten die folgenden Vorgaben:
a. der Einsatz von KI-basierten Technologien und Systemen muss durch den Bereich ICT genehmigt werden. Die zugelassenen KI-Systeme werden in einem Anhang zu diesem Reglement festgelegt. Nicht zugelassene KI-basierte Technologien und Systeme sind verboten,
b. KI darf nur für Zwecke eingesetzt werden, die dem Geschäftszweck der Körperschaft entsprechen und rechtskonform sind,
ICT-Reglement 182.42
KI darf nicht für automatisierte Entscheidungen verwendet werden, die für die Betroffenen erhebliche rechtliche oder ethische Konsequenzen haben können.
³ Weiterführende Vorgaben und konkrete Anwendungsrichtlinien können in einem gesonderten Merkblatt festgelegt werden.
⁴ Der Bereich ICT kann die Einhaltung der Vorgaben zur KI-Nutzung eigenständig überprüfen und bei Bedarf oder missbräuchlicher Verwendung die Nutzung einschränken oder verbieten.
¹ Der Zugang zu geschäftlichen Daten bei Abwesenheiten darf grundsätzlich nur mit Zustimmung der betreffenden Mitarbeiterin oder des betreffenden Mitarbeiters erfolgen.
² Sofern betrieblich notwendig, ist die Bereichsleiterin oder der Bereichsleiter Personal bei längerer Abwesenheit (aufgrund von Unfall, Krankheit oder sonstigen ausserordentlichen Ereignissen) einer oder eines Mitarbeitenden nach mehrmalig versuchter Rücksprache mit der
Zugang zu geschäftlichen Daten bei Abwesenheiten
1.10.25 - 130
182.42
ICT-Reglement
oder dem Mitarbeitenden berechtigt, auf deren oder dessen geschäftliche Daten (persönliches Laufwerk, Datenablage und E-Mail-Konto) zuzugreifen. Sie oder er macht es mit Zustimmung und unter Mitwirkung der oder des Beauftragten für den Datenschutz.
3 Die als privat gekennzeichneten Daten bleiben in der Datenablage der betroffenen Person. Die Vertraulichkeit und der Schutz der nicht als privat gekennzeichneten Daten kann nicht gewährleistet werden.
4 Der Zugang und die Datenverarbeitung werden genau festgehalten und protokolliert.
Rechtswidrige Nutzung
Dokumente, Videos und Bilder sowie E-Mails, Webseiten und andere Webinhalte mit rassistischen, pornografischen, sexistischen, gewaltverherrlichenden oder rechtswidrigen Inhalten dürfen weder konsumiert noch heruntergeladen oder weiterverbreitet werden.
Synodalrat
Der Synodalrat ist verantwortlich für den Betrieb der körperschaftseigenen IT-Infrastruktur. Er gewährleistet die rechtskonforme Nutzung, die Datensicherheit sowie den Daten- und Persönlichkeits-schutz der Angestellten und Behördenmitglieder der Körperschaft.
Bereich ICT
¹ Der Bereich ICT ist verantwortlich für die Erstellung der IT-Konzepte der Körperschaft, deren Umsetzung und Überwachung. Er trifft die notwendigen technischen Massnahmen zur Gewährleistung der Datensicherheit und des Datenschutzes.
² Er ist insbesondere zuständig für:
ICT-Reglement 182.42
¹ Die oder der Beauftragte für den Datenschutz in der Körperschaft ist eine Stelle des Bereichs ICT der Körperschaft.
² Die oder der Beauftragte für den Datenschutz in der Körperschaft ist die zuständige Ansprechperson in Datenschutzfragen im Sinne von Art. 7 Abs. 1 der Kirchenordnung. Sie oder er ist verantwortlich für die Überprüfung und Überwachung der Datensicherheit und des Datenschutzes der IT-Konzepte und der IT-Infrastruktur der Körperschaft, insbesondere was das Feststellen und Beheben von IT-Sicherheitsmängeln betrifft. Sie oder er schlägt Sicherheitsmassnahmen vor und gibt Sicherheitsempfehlungen ab, um die IT-Anwendungen und -Systeme vor unbefugten Einwirkungen und vor unbefugtem Zugriff zu schützen. Sie kann zur Abklärung und Behebung von Sicherheitsmängeln externe Fachpersonen beziehen.
³ Die oder der Beauftragte für den Datenschutz ist im Weiteren verantwortlich für:
¹ Als Betreiberstellen gelten die Informatikdienste, die für den Betrieb der IT-Infrastruktur und der Dienste der Körperschaft zuständig sind.
² Durch Vertrag des Synodalrates oder Weisung des Bereichs ICT wird sichergestellt, dass die Betreiberstellen die rechtskonforme und sichere Nutzung der IT-Infrastruktur und der Dienste der Körperschaft ermöglichen.
Beauftragte oder Beauftragter für den Datenschutz in der Körperschaft
Betreiberstelle
1.10.25 - 130
182.42
ICT-Reglement
Technische Schutzvorkehrungen und Nutzungsrichtlinien
Aufzeichnung und Auswertung von Randdaten
Der Bereich ICT sorgt dafür, dass die IT-Infrastruktur rechtskonform genutzt wird. Er trifft die dazu nötigen technischen Schutzvorkehrungen, erlässt Nutzungsrichtlinien für Mitarbeitende sowie Dritt-nutzende und überwacht die Einhaltung dieses Reglements.
¹ Der Bereich ICT zeichnet bestimmte Randdaten auf und wertet diese periodisch anonymisiert aus. Die Randdaten werden für höchstens zwölf Monate aufgezeichnet und beschränken sich auf folgende Informationen:
² Die Auswertungen dürfen keine Rückschlüsse auf einzelne Mitarbeitende zulassen. Insbesondere dürfen sich aus ihnen weder die einzelnen Mitarbeitenden noch die einzelnen Arbeitsplätze ergeben.
³ Besteht aufgrund der anonymisierten Auswertungen ein erheblicher Verdacht auf Missbrauch im Sinne von § 20, erstellt die oder der Beauftragte für den Datenschutz einen Bericht zuhanden der Generalsekretärin oder des Generalsekretärs und leitet damit das Verfahren der personenbezogenen Auswertung gemäß § 22 ein.
Missbrauch
Ein Missbrauch im Sinne dieses Reglements liegt bei einem Verstoss gegen die Nutzungsvorschriften gemäß §§ 3–11 und 13 sowie 15 Abs. 2 vor.
ICT-Reglement 182.42
¹ Stellt der Bereich ICT oder die oder der Beauftragte für den Datenschutz im Rahmen ihrer Aufgabenerfüllung Verstösse gegen dieses Reglement fest oder werden dem Bereich ICT oder der oder dem Beauftragten für den Datenschutz solche gemeldet, ergreift die Bereichsleiterin oder der Bereichsleiter ICT insbesondere die folgenden Massnahmen:
² Der Bereich ICT oder die oder der Beauftragte für den Datenschutz informiert die zuständige Bereichsleiterin oder den zuständigen Bereichsleiter, die linienvorgesetzte Person sowie die Bereichsleiterin oder den Bereichsleiter Personal über die getroffenen Massnahmen.
¹ Gestützt auf den Bericht der anonymisierten Auswertung gemäß § 19 ordnet die Generalsekretärin oder der Generalsekretär eine personenbezogene Auswertung an. Sie oder er informiert die Bereichsleiterin oder den Bereichsleiter Personal vorgängig über die Anordnung.
² Die Generalsekretärin oder der Generalsekretär informiert die betroffene Mitarbeiterin oder den betroffenen Mitarbeiter über Inhalt und Dauer der personenbezogenen Auswertung.
³ Die personenbezogenen Auswertungen beziehen sich auf die missbrauchsrelevanten Bereiche der anonymisierten Auswertungen unter Angabe des Namens der oder des Nutzenden.
⁴ Die Betreiberstelle stellt die als vertraulich deklarierten Auswertungen der oder dem Beauftragten für den Datenschutz zu.
⁵ Die Generalsekretärin oder der Generalsekretär entscheidet zusammen mit der Bereichsleiterin oder dem Bereichsleiter Personal aufgrund der personenbezogenen Auswertung, ob der Personalkommission beantragt wird, eine Massnahme gemäß §§ 21 und 23 (weitere Folgen des Missbrauchs) einzuleiten sowie andere Massnahmen zu treffen.
Weisungen, Ersatzvornahmen und vorsorgliche Massnahmen
Verfahren der personenbezogenen Auswertungen
1.10.25 - 130
182.42
ICT-Reglement
6 Die Generalsekretärin oder der Generalsekretär teilt der Mitarbeiterin oder dem Mitarbeiter den Entscheid mit.
7 Die Protokolle der personenbezogenen Auswertungen werden spätestens nach zwölf Monaten gelöscht, wenn sich der Verdacht auf Missbrauch nicht bestätigt oder sämtliche Verfahren rechtskräftig abgeschlossen sind. Die betreffende Mitarbeiterin oder der betreffende Mitarbeiter wird über die Löschung informiert.
Weitere Folgen des Missbrauchs
¹ Bei Missbrauch, wiederholtem Missbrauch im Sinne von § 20 oder Nichtbefolgung der Weisungen des Bereichs ICT sowie der oder des Beauftragten für den Datenschutz werden zudem personalrechtliche Massnahmen nach der Anstellungsordnung geprüft und eingeleitet. Zuständig für den Entscheid über personalrechtliche Massnahmen ist die Personalkommission.
² Vorbehalten bleibt die Einleitung eines Strafverfahrens und die Geltendmachung von Schadenersatzansprüchen durch den Synodalrat. Zuständig ist die Generalsekretärin oder der Generalsekretär.
Bestätigung der Kenntnisnahme des Reglements
Jede Mitarbeiterin und jeder Mitarbeiter sowie jedes Mitglied der Körperschaft unterzeichnet das Reglement als Erklärung, dass sie oder er das Reglement gelesen und den Inhalt zur Kenntnis genommen hat.
Inkrafttreten
Dieses Reglement tritt am 1. Oktober 2025 in Kraft. Es ersetzt das ICT-Nutzungsreglement vom 20. Mai 2019.
¹ OS 80, 211; Begründung siehe ABl 2025-07-18. ² LS 170.4. ³ LS 182.10. ⁴ LS 182.41. ⁵ SR 311.0.
{
"legislation": {
"lawId": "erlass-182_42",
"source": "ch-zh-erlass",
"kurztitel": "ICT-Nutzungsreglement",
"bandnummer": "2",
"collection": "ls",
"sourceStem": "erlass-182_42-2025_07_07-2025_10_01-130",
"ordnungsnummer": "182.42"
},
"content": {
"collection": "ls",
"ordnungsnummer": "182.42"
}
}