1. Allgemeines

   1. Anbieter der Login-App und der Nutzung der damit verbundenen Services ist die REWE digital GmbH, Domstrasse 20, 50668 Köln (nachfolgend „REWE“), Geschäftsführer: Thomas Friedl, Dr. André Marburger, Stefan Matzelle, Dr. Robert Zores (Amtsgericht Köln HRB 78670, Ust-IdNr. DE 290 605 450). Sitz der Gesellschaft ist Köln.

   2. REWE stellt die Login-App im Auftrag von anderen Unternehmen der REWE Group zur Verfügung, damit deren Mitarbeiter*innen bzw. die Mitarbeiter*innen von Geschäftspartnern der Unternehmen der REWE Group dienstliche Anwendungen auf unsicheren Geräten mithilfe einer passwortlosen Anmeldung ermöglicht wird.

   3. Die vorliegenden Nutzungsbedingungen regeln das Angebot sowie den Abschluss eines Vertrages über die Nutzung der Login-App und der darüber angebotenen Services. REWE stellt die Login-App im Auftrag von anderen Unternehmen der REWE Group zur Verfügung, damit deren Mitarbeiter*innen bzw. die Mitarbeiter*innen von Geschäftspartnern der Unternehmen der REWE Group (nachfolgend auch die „Nutzer“ genannt) dienstliche Anwendungen auf unsicheren Geräten mithilfe einer passwortlosen Anmeldung ermöglicht wird. Diese App wird im Folgenden als „Login-App“ bezeichnet.

   4. REWE stellt klar, dass Nutzer der Login-App keinen Anspruch auf Nutzung der Login-App haben. Die Nutzung der Login-App erfolgt auf freiwilliger Basis und ist für den Nutzer kostenlos.

2. Informationen zur Nutzung der Login-App

   1. Die Nutzung der Login-App richtet sich ausschließlich an berechtigte Nutzer, d.h. aktive Mitarbeiter*innen von Unternehmen der REWE Group die bereits einen Benutzeraccount in der REWE Group besitzen und die LogIn-App im Rahmen der Leistungserbringung nutzen wollen. Vor diesem Hintergrund erfolgt vor jeder Nutzung weiterer dienstlicher Anwendungen auf unsicheren Geräten mittels der Login-App eine Authentifizierung der Nutzer.

   2. Der Anspruch auf Nutzung der Login-App besteht nur im Rahmen der technischen und betrieblichen Möglichkeiten von REWE. REWE bemüht sich um eine möglichst unterbrechungsfreie Nutzbarkeit der Login- App und ihrer Funktionen. Jedoch können durch technische Störungen (wie z.B. Unterbrechung der Stromversorgung, Hardware- oder Softwarefehler, technische Probleme in den Datenleitungen) zeitweilige Beschränkungen oder Unterbrechungen auftreten.

   3. REWE kann seine Leistungen zeitweilig beschränken, soweit dies erforderlich ist, um die Sicherheit und Integrität der technischen Einrichtungen zu gewährleisten, um technische Maßnahmen durchzuführen, die der ordnungsgemäßen oder verbesserten Erbringung der Dienstleistungen dienen oder im Falle des Eintritts unvorhersehbarer technischer Störungen wie insbesondere bei der Unterbrechung der Stromversorgung, Hardware- oder Softwarefehlern oder technischen Problemen in der Datenleitung. Ein Anspruch auf Nutzung der Login-App besteht auch in solchen Fällen nicht.

   4. Die Nutzungsberechtigung beschränkt sich auf den Zugang zur Login-App im Rahmen dieser Nutzungsbedingungen.

3. Nutzerendgeräte

   1. Die Login-App darf von Nutzern auf privaten Endgeräten genutzt werden. Das private Endgerät muss nach der Installation einmalig ordnungsgemäß registriert werden, bevor die Login-App für die Anmeldung an anderen Anwendungen genutzt werden kann.

   2. Es liegt in der Verantwortung des Nutzers sicherzustellen, dass der Zugang zur Login-App ausschließlich durch den Nutzer selbst erfolgt.

   3. Neben den vorliegenden Nutzungsbedingungen gelten für die Login-App noch folgende Regelungen:

      • Die „Regelungen zum mobilen Arbeiten“ (Vgl. Anlagen) und
      • Die „Regelungen zur Nutzung privater Endgeräte“, insofern die Login-App von privaten Endgeräten genutzt wird (Vgl. Anlagen).

   4. Ein Verlust oder Diebstahl des Endgeräts, auf dem die Login App installiert ist, ist der REWE unverzüglich anzuzeigen. Marktmitarbeiter wenden sich dazu an die Markthotline 0800/7968353 (Mo.-Sa. von 06:00 bis 24:00 Uhr). Verwaltungsmitarbeiter wenden sich dazu an die Zentralhotline 0800/1492828 (Mo.-Do. 07:00 – 18:00 Uhr, Fr. 07:00-16:00 Uhr). anzuzeigen. Dies gilt auch für den Missbrauch oder Verdacht des Missbrauchs des Endgeräts (z.B. Trojaner, Hacking, etc.).

4. Nutzungsrechte an der LogIn-App

   1. REWE räumt dem Nutzer ein nicht ausschließliches, jederzeit widerrufliches Recht ein, die Login-App zu nutzen.

   2. Es ist Nutzern nicht gestattet, Dritten die hiermit eingeräumten Rechte zu übertragen oder Dritten den Zugang zur Login-App zu ermöglichen.

   3. Die Nutzung der Login-App ist für den Nutzer kostenfrei.

5. Beendigung sowie Sperrung des Login-App Zugangs

   Darüber hinaus ist REWE berechtigt Nutzer von der Nutzung der Login-App in berechtigten Gründen zeitweise oder dauerhaft auszuschließen. Dies ist insbesondere der Fall, wenn

   • Der Nutzer seine Nutzerberechtigung verliert (siehe Ziffer 2.1);
   • Der Nutzer gegen die vorliegenden Nutzungsbedingungen verstößt oder er sich sonst vertragswidrig verhält (u.a. Nutzung der Login-App durch Dritte)

   Das Recht zur außerordentlichen Kündigung bleibt beiderseitig ausdrücklich vorbehalten.

   Nach Beendigung hat der Nutzer die Login-App und alle zugehörigen Daten unverzüglich und unwiederbringlich von seinem privaten Endgerät zu löschen.

6. Datenschutz

   Über den Umgang mit den im Rahmen der Nutzung der Login-App überlassenen und von REWE verarbeiteten personenbezogenen Daten wird in den Datenschutzhinweisen informiert.

7. Haftungsbeschränkung

   1. Für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, die auf einer Pflichtverletzung eines gesetzlichen Vertreters oder Erfüllungsgehilfen von REWE beruhen, haftet REWE unbeschränkt.

   2. Bei den übrigen Haftungsansprüchen haftet REWE unbeschränkt nur bei Vorsatz und grober Fahrlässigkeit ihrer gesetzlichen Vertreter, leitenden Angestellten und Erfüllungsgehilfen.

   3. Für einfache Fahrlässigkeit ihrer gesetzlichen Vertreter, leitenden Angestellten und Erfüllungsgehilfen haftet REWE nicht, es sei denn, dass eine Pflicht verletzt wird, deren Einhaltung für die Erreichung des Vertragszwecks von besonderer Bedeutung ist (Kardinalpflicht). Kardinalpflichten sind solche Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags erst ermöglicht, deren Verletzung die Erreichung des Vertragszwecks gefährdet und auf deren Einhaltung die andere Vertragspartei regelmäßig vertraut. Bei der fahrlässigen Verletzung einer Kardinalpflicht ist die Haftung beschränkt auf den vertragstypisch vorhersehbaren Schaden.

   4. Die Haftung nach dem Produkthaftungsgesetz bleibt bestehen.

8. Anwendbares Recht

   Für sämtliche Streitigkeiten, die in Zusammenhang mit der Nutzung der Login-App entstehen, gilt ausschließlich deutsches Recht unter Ausschluss des UN-Kaufrechts.

9. Anpassung der Nutzungsbedingungen

   REWE behält sich das Recht vor, bei notwendigen Anpassungen diese Nutzungsbedingungen zu ändern. Eine notwendige Anpassung ist insbesondere gegeben, wenn der Leistungsumfang erweitert wird, Regelungslücken zu schließen oder Anpassungen aufgrund geänderter Rechtsprechung oder Gesetzgebung erforderlich sind.

   Die geänderten Nutzungsbedingungen werden dem Nutzer spätestens sechs Wochen vor ihrem Inkrafttreten in Textform angezeigt. Widerspricht der Nutzer nicht innerhalb von sechs Wochen nach der Anzeige, gelten die geänderten Nutzungsbedingungen als angenommen. Widerspricht der Nutzer fristgerecht den Nutzungsbedingungen, werden diese nicht Rechtsgrundlage der Nutzung der Login-App und der damit verbundenen Services. REWE hat sodann die Möglichkeit, dir die Nutzung des Login-App unter Berücksichtigung einer angemessenen Frist zu kündigen. Hierauf wird REWE den Nutzer gesondert hinweisen.

10. Verbraucherschlichtung

    Hiermit informiert REWE den Nutzer darüber, dass REWE nicht an Streitbeilegungsverfahren einer Verbraucherschlichtungsstelle teilnimmt und dazu auch nicht verpflichtet ist.

Anl­age „Regel­ungen zum mo­bil­en Ar­beit­en“

Diese Anlage beschreibt die Regelungen zum mobilen Arbeiten. Die Regelungen sind als Ergänzung zu anderen bestehenden Anforderungen zu verstehen.

Eine Zuwiderhandlung gegen die Regelungen kann unter anderem eine Untersagung oder Sperrung des mobilen Arbeitens zur Folge haben.

Bei den nachfolgenden Regelungen handelt es sich sowohl um technische als auch organisatorische Maßnahmen. Diese orientieren sich an dem IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Regelungen zum Schutz vor Unbefugten

Es MUSS grundsätzlich sichergestellt sein, dass Unbefugte zu keiner Zeit auf dienstliche Daten zugreifen können. Eine unbeaufsichtigte Ablage dienstlicher Dokumente, dienstlicher genutzter Datenträger oder dienstlich genutzter Endgeräte an für Unbefugte leicht zugänglichen und wenig geschützten Orten ist untersagt.

• Häuslicher Arbeitsplatz und beschränkt öffentliche Bereiche: Im Kontext des häuslichen Arbeitsplatzes ist zu berücksichtigen, dass zu den Unbefugten nicht nur Besucher oder fremde Personen (Freunde, Handwerker, Reinigungskräfte, etc.), sondern auch Verwandte und in der Wohnung lebende firmenfremde Personen (Lebenspartner, Kinder, Eltern, etc.) gehören. Generell SOLLTE der häusliche Arbeitsplatz durch eine geeignete Raumaufteilung von den privaten Bereichen der Wohnung getrennt sein. Am häuslichen Arbeitsplatz und in beschränkt öffentlichen Bereichen (Arbeitsplatz bei einem Geschäftspartner, Hotelzimmer, Co-Working Space, Schulungs- oder Veranstaltungsräum, etc.) SOLLTEN dienstliche Dokumente, dienstlich genutzte Datenträger oder dienstlich genutzte Endgeräte grundsätzlich nicht unbeaufsichtigt gelassen werden. Ist dies jedoch (kurzzeitig) notwendig, so sind entsprechende Maßnahmen zu ergreifen, um den Zugriff auf diese Dokumente, Datenträger und Endgeräte durch Unbefugte zu verhindern. Die Schutzmaßnahmen SOLLTEN an die örtlichen Gegebenheiten und den vorliegenden Schutzbedarf angepasst sein. Beispielweise SOLLTEN Türen und Fenster abgeschlossen werden, wenn der Arbeitsplatz verlassen wird (z.B. Hotelzimmer, privates Arbeitszimmer / Wohnung, etc.). Ist dies nicht möglich (z.B. Arbeitsplatz bei Fremdfirmen, kein eigenes Büro/Raum), MÜSSEN die Mitarbeiter, solange sie abwesend sind, diese Dokumente, Datenträger und Endgeräte an einer sicheren Stelle verwahren (z.B. abschließbare Rollcontainer / Schränke, etc.) und durch geeignete Maßnahmen vor Diebstahl sichern (z.B. Kensington Lock). Jeder Mitarbeiter MUSS seinen Arbeitsplatz aufgeräumt hinterlassen und sicherstellen, dass keine sensitiven Informationen für Unbefugte zugänglich sind. Dies gilt beispielweise auch für handschriftliche Notizen auf Zetteln oder Whiteboards (auch in Schulungs- oder Veranstaltungsräumen). Endgeräte MÜSSEN auch beim kurzen Verlassen des Arbeitsplatzes gesperrt oder heruntergefahren werden, sodass sie nur nach erfolgreicher Authentifizierung wieder benutzt werden können.
• Öffentliche Bereiche: In öffentlichen Bereichen (Bahn, Flughafen, Hotellobby, etc) sind geeignete Maßnahmen zu ergreifen, um das Risiko der Einsichtnahme Unbefugter auf dienstliche Dokumente, dienstlich genutzte Datenträger oder dienstlich genutzte Endgeräte soweit wie möglich zu verhindern (Vermeidung von Menschenmassen, Vermeidung von unbefugten Personen im Hintergrund, Verwendung von Sichtschutzfolie für Endgeräte, etc.). In öffentlichen Bereichen ist eine unbeaufsichtigte Ablage dienstlicher Dokumente, dienstlich genutzter Datenträger oder dienstlich genutzter Endgeräte UNTERSAGT.
• Kurzzeitige beaufsichtigte Ablage: Im Fall einer kurzzeitigen beaufsichtigten Ablage von dienstlich genutzten Endgeräten durch eine vertrauenswürdige Person MÜSSEN die Endgeräte gesperrt oder heruntergefahren werden, sodass sie nur nach erfolgreicher Authentifizierung wieder benutzt werden können. Im Fall einer kurzzeitigen beaufsichtigten Ablage von dienstlichen Dokumenten oder dienstlich genutzten Datenträgern durch eine vertrauenswürdige Person, muss die Möglichkeit zur direkten Einsichtnahme durch die beaufsichtigende Person in die dienstlichen Dokumente bzw. auf die dienstlich genutzten Datenträger unterbunden sein (z.B. durch Aufbewahrung in Aktenkoffer mit Schlüssel / Nummernschloss, Verschlüsselung des Datenträgers), es sei denn die vertrauenswürdige Person ist ohnehin berechtigt diese Informationen einzusehen.
• Fahrzeuge: : Es ist NICHT GESTATTET streng vertrauliche Informationen (Vertraulichkeitsklasse 3) auch nur kurzzeitig in einem Fahrzeug unbeaufsichtigt aufzubewahren. Darüber hinaus SOLLTEN dienstliche Dokumente, dienstliche genutzte Datenträger und dienstlich genutzte Endgeräte in Fahrzeugen (z.B. Dienstfahrzeuge, private Fahrzeuge, Mietwagen, etc.) nicht unbeaufsichtigt aufbewahrt werden (z.B. über Nacht). Im Fall einer notwendigen kurzzeitigen unbeaufsichtigten Ablage im Fahrzeug MUSS das Fahrzeug verschlossen sein (z.B. Türen, Fenster, Kofferraum, etc.). Zudem DÜRFEN die dienstlichen Dokumente, dienstlich genutzten Datenträger und dienstlich genutzten Endgeräte NICHT von außen einsehbar sein. Vor einer Abgabe von Fahrzeugen an Dritte (z.B. Werkstatt, Bekannte, Verwandte, etc.) MÜSSEN entsprechende Dokumente, Datenträger oder Endgeräte aus dem Fahrzeug entfernt werden.
• Transport, Austausch und Versand von Daten: Der Transport und Austausch von dienstlichen Daten ist ausschließlich unter Nutzung dienstlich bereitgestellter Lösungen zulässig. Beim Transport von dienstlichen Dokumenten ist darauf zu achten, dass Unbefugte keine unmittelbare Einsicht in Dokumente erhalten können. Beim Transport von besonders schützenswerten Dokumenten ist darauf zu achten, dass auch im Falle von Diebstahl oder Verlust keine unmittelbare Einsicht in Dokumente erfolgen kann (z.B. Aufbewahrung in Aktenkoffer mit Schlüssel / Nummernschloss). Besteht die Notwendigkeit Daten zu Versenden (z.B. per Post), so sind vertrauenswürdige Transportdienstleister zu wählen und die Daten vor einem Zugriff geeignet zu sichern (z.B. besonderer Dienstleister, Behälter, Verschlüsselung).
• Entsorgung von Dokumenten: Vertrauliche dienstliche Dokumente (Vertraulichkeitsklasse 2) - auch Ausdrucke - sind ausschließlich über die dienstlich bereitgestellten Entsorgungsbehälter zu entsorgen. Eine Entsorgung über fremde oder private Mülleimer ist nicht zulässig.
• Rückgabe von dienstlichen Endgeräten & Datenträgern: Dienstliche Endgeräte & Datenträger sind an den Vorgesetzten auszuhändigen. Im Fall von Smartphones / Tablets sind diese zuvor vom Nutzer auf die Werkeinstellungen zurückzusetzen (inkl. Löschen aller Daten sowie Verknüpfungen zu etwaigen Konten).

Regelungen zu Endgeräten, Datenträgern & Netzwerken

Grundsätzlich SOLLTE die Verarbeitung und Speicherung von dienstlichen Daten ausschließlich auf vom Unternehmen bereitgestellten Endgeräten und Datenträgern erfolgen.

• Öffentliche Endgeräte: Es ist NICHT GESTATTET öffentliche Endgeräte (z.B. Internet-Café, PC in der Hotellobby, etc.) für dienstliche Zwecke zu nutzen.
• Endgeräte von Geschäftspartnern: Die Nutzung von Endgeräten von Geschäftspartnern für dienstliche Zwecke, ist nur nach vorheriger Genehmigung durch den zuständigen Informationssicherheitsbeauftragten (ISB), Datenschutzbeauftragten (DSB) und Vorgesetzten zulässig.
• Peripherie-Geräte: Grundsätzlich SOLLTEN für dienstliche Zwecke nur Peripherie-Geräte (z.B. Monitor, Tastatur, Maus, Präsentationsgeräte etc.) genutzt werden, die vom Unternehmen zur Verfügung gestellt worden sind. Generell SOLLTE jede Nutzung von nicht von der REWE Group bereitgestellten Peripherie-Geräten auf das notwendigste begrenzt bleiben. Am häuslichen Arbeitsplatz ist die Nutzung von eigenen Tastaturen, Mäusen und Monitoren gestattet.

  Werden Mitarbeitern der REWE Group von Geschäftspartnern der REWE Group in beschränkt öffentlichen Räumlichkeiten (z.B. Arbeitsplätze bei Geschäftspartnern, Hotelzimmer, Co-Working Spaces der REWE Group, etc.) für ihre dienstliche Tätigkeit Peripheriegeräte (z.B. Monitor, Tastatur, Maus, Präsentationsgeräte etc.) zur Verfügung gestellt, so ist deren Nutzung GESTATTET.

• Drucker: Grundsätzlich SOLLTE das Drucken von Unterlagen außerhalb der Räumlichkeiten der REWE Group vermieden werden. Es SOLLTE nur das notwendigste gedruckt werden und das Risiko der Einsichtnahme durch Unbefugte abgewogen werden. Werden dienstliche Unterlagen außerhalb der Räumlichkeiten der REWE Group gedruckt, so SOLLTE vermieden werden, dass sich der Drucker in einem anderen Raum als der Arbeitsplatz befindet. Gedruckte Dokumente MÜSSEN unmittelbar vom Drucker abgeholt und DÜRFEN NICHT unbeaufsichtigt liegengelassen werden.

  Die Nutzung eigener Drucker am häuslichen Arbeitsplatz ist GESTATTET, insofern die dienstlichen Daten kabelgebunden oder ausschließlich über ein gesichertes Netzwerk an den eigenen Drucker übertragen werden. Insofern die dienstlichen Daten im Rahmen des Druckvorgangs an Dritte übermittelt (z.B. Cloud-basierte Druck-Services) oder über fremde Netzwerke (Internet, fremdes WLAN ,etc.) übertragen werden, ist die Nutzung privater Drucker für dienstliche Zwecke UNTERSAGT.

  Werden Mitarbeitern der REWE Group von Geschäftspartnern der REWE Group in beschränkt öffentlichen Räumlichkeiten (z.B. Arbeitsplätze bei Geschäftspartnern, Hotelzimmer, Co-Working Spaces der REWE Group, etc.) für ihre dienstliche Tätigkeit Drucker zur Verfügung gestellt, so ist deren Nutzung GESTATTET, insofern es sich nicht um streng vertrauliche Daten (Vertraulichkeitsklasse 3) handeln.

• Mobile Datenträger: Es dürfen nur vom Unternehmen bereitgestellte mobile Datenträger zur Speicherung oder Transport von dienstlichen Daten verwendet werden. Die Nutzung von fremden oder privaten mobilen Datenträgern (z.B. Speicherkarte, USB-Stick, externe Festplatte) zur Speicherung oder Transport von dienstlichen Daten ist UNTERSAGT.
• Internetzugänge und Netzwerke: Im (beschränkt) öffentlichen Bereich sind grundsätzlich Netzwerkverbindungen, die nachvollziehbar von Vertragspartnern der REWE Group (z.B. Mobilfunk-Provider, Geschäftspartner, etc.) bereitgestellt werden, denen fremder Anbieter vorzuziehen. Weiterhin sind Internetzugänge über das Mobilfunknetz dem öffentlicher Internetzugänge (z.B. Hotspots, WLANs, etc.) vorzuziehen, es sei denn das öffentliche WLAN wird nachvollziehbar von einem Vertragspartner der REWE Group bereitgestellt (Mobilfunkanbieter, Geschäftspartner, etc.).

  Am häuslichen Arbeitsplatz sind ausschließlich Internetzugänge und Netzwerke (LAN, WLAN, etc.) zu nutzen, die unter der Verwaltung / Kontrolle des Mitarbeiters sind oder von der REWE Group bereitgestellt worden sind (z.B. keine fremden Internetzugänge oder WLANs). Es ist dafür zu sorgen, dass bei Netzwerkkomponenten (Router, Switches, etc.) die voreingestellten Standard-Passwörter geändert werden. Weiterhin müssen aktuelle Firmware-Versionen und Patchen zeitnah eingespielt werden.

  Generell sind bei der Wahl der Netzwerkverbindung, kabelgebundene Verbindungen (LAN) den kabellosen Verbindungen (WLAN) vorzuziehen. Wird WLAN verwendet, so MUSS dieses mindestens WPA2 verschlüsselt sein. Insofern ein VPN-Client zur Verfügung gestellt wird, MUSS dieser bei dienstlicher Nutzung von öffentlichen / fremden Internetzugängen und Netzwerken verwendet werden.

Regelungen zu Diebstahl und Verlust

• Anzeige von Diebstahl oder Verlust von Daten & Endgeräten: Mitarbeiter MÜSSEN den Diebstahl oder Verlust von dienstlichen Dokumenten, dienstlich genutzten Datenträgern und dienstlich genutzten Endgeräten unverzüglich und auch schon bei Verdacht der REWE Group anzeigen. Das beinhaltet auch den Verdacht des Befalls durch Schadsoftware (z.B. Viren, Trojaner, Ransomware, Phishing). Dies gilt dementsprechend auch für private Endgeräte, die für dienstliche Zwecke genutzt werden. Die Meldung hat entweder über die Zentral-Hotline (0800 149-2828), die Markt-Hotline (0800 796-8353) oder die Krisenhotline (0221 149-4444) zu erfolgen.
• Anzeige von Diebstahl oder Verlust von „Login-Daten“: Mitarbeiter MÜSSEN den Diebstahl oder Verlust von „Login-Daten“ (Informationen, Daten oder Gegenstände, mit deren Hilfe der Login / Zugriff auf dienstliche Daten / Endgeräte / Anwendungen möglich ist) unverzüglich und auch schon bei Verdacht der REWE Group anzeigen. Das beinhaltet auch den Verdacht des Befalls durch Schadsoftware (z.B. Viren, Trojaner, Ransomware, Phishing). Dabei kann es sich auch um „Login-Daten“ privater Endgeräte handeln, wenn diese für dienstliche Zwecke genutzt werden und damit ein Zugriff auf dienstliche Daten möglich wäre. Die Meldung hat entweder über die Zentral-Hotline (0800 149-2828), die Markt-Hotline (0800 796-8353) oder die Krisenhotline (0221 149-4444) zu erfolgen.
• Kompromittierung von Netzwerken: Mitarbeiter MÜSSEN die Kompromittierung eines für dienstliche Kommunikation genutzten Netzwerks durch Unbefugte unverzüglich und auch schon beim Verdacht der REWE Group anzeigen. Dabei kann es sich auch um ein privates Netzwerk handeln, welches dienstlich genutzt wurde. Die Meldung hat entweder über die Zentral-Hotline (0800 149-2828), die Markt-Hotline (0800 796-8353) oder die Krisenhotline (0221 149-4444) zu erfolgen.

Regelungen zum Schutz Dritter

Insofern die dienstliche Nutzung Audio-, Video- oder Fotoaufnahmen erfordert, ist darauf zu achten, dass dies nur für den eigentlichen Zweck erfolgt und keine Rechte Dritter verletzt werden. So SOLLTEN Mikrofone oder Kameras nur aktiviert und benutzt werden, wenn unbedingt notwendig. Es SOLLTE immer darauf geachtet werden, dass keine Aufzeichnungen von Personen gemacht werden, wenn dies nicht dem eigentlichen dienstlichen Zweck dient (z.B. sprechende / telefonierende Personen in unmittelbarer Nähe, fremde Personen im Bereich der Kamera).

Bei Anwendungen, die auf mobilen Endgeräten verfügbar sind, hat der Nutzer darauf zu achten, dass er die Anwendung nicht in einer Weise nutzt, die ihn ablenkt und das Einhalten von Verkehrsregeln oder Sicherheitsvorschriften verhindert.

Anl­age „Regel­ungen zur Nut­zung pri­vat­er End­ge­räte“

Diese Anlage beschreibt die Regelungen zur Nutzung privater Endgeräte, insofern diese entsprechend der Konzernrichtlinie „KR2101 - Informationssicherheit“ durch die jeweilige Geschäftführung als Ausnahme beschlossen worden ist. Die Regelungen sind als Ergänzung zu anderen bestehenden Anforderungen zu verstehen.

Die Nutzung privater Endgeräte zu dienstlichen Zwecken ist grundsätzlich freiwillig.

Die Nutzung privater Endgeräte im Markt ist während der Arbeitszeit ausschließlich für dienstliche Zwecke gestattet.

Die Nutzung privater Endgeräte im Markt für private Zwecke ist lediglich während der Pausenzeit gestattet.

Eine Zuwiderhandlung gegen die Regelungen kann unter anderem eine Untersagung oder Sperrung der Nutzung privater Endgeräte für dienstliche Zwecke zur Folge haben.

Bei den nachfolgenden Regelungen handelt es sich sowohl um technische als auch organisatorische Maßnahmen. Diese orientieren sich an dem IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Die nachfolgenden Anforderungen sind für Nutzung privater Endgeräte für dienstliche Zwecke mindestens einzuhalten:

• Vertraulichkeit: Auf privaten Endgeräten dürfen nur dienstliche Daten bis zu einer Vertraulichkeitsklasse 2 verarbeitet oder gespeichert werden.
• Betriebssystem: Das eingesetzte Betriebssystem DARF NICHT mehr als drei Major-Releases hinter der jeweils aktuellsten Betriebssystemversion liegen. Es MUSS sichergestellt sein, dass das Betriebssystem des Endgeräts durch den Hersteller nach wie vor mit Sicherheitsupdates versorgt wird. Diese Sicherheitsupdates MÜSSEN zeitnah auf dem Endgerät installiert werden.
• Installierte Anwendungen: Installierte Anwendungen MÜSSEN auf dem aktuellen Stand gehalten werden und existierende Sicherheitsupdates MÜSSEN zeitnah auf dem Endgerät installiert werden.
• Schutz vor Schadprogrammen: Jeder eingesetzte Laptop / PC MUSS mit einem aktivierten Virenschutz versehen sein. Je nach eingesetztem Betriebssystem liefern Hersteller werkseitig einen Virenschutz. Dieser MUSS aktiviert sein. Alternativ können Lösungen von Drittherstellern auf dem Laptop / PC genutzt werden, sofern diese einen angemessenen Schutz bieten. Es MUSS regelmäßig geprüft werden, ob für den Virenschutz Sicherheitsupdates vom Hersteller bereitgestellt werden. Erscheinen neue Sicherheitsupdates für den eingesetzten Virenschutz, MÜSSEN diese umgehend installiert werden.
• Installationsquellen: Auf Smartphones / Tablets dürfen ausschließlich Anwendungen installiert sein, die aus sicheren Quellen bezogen worden sind (z.B. für mobile Endgeräte: offizielle App-Stores von Google / Apple, unternehmenseigene App-Stores oder unternehmensinterne Softwareverteilung).
• Authentifizierung & Bildschirmsperre: Das Endgerät muss durch ein personalisiertes Authentifizierungsverfahren abgesichert sein (z.B. PIN, Fingerabdruck). Die automatische Bildschirmsperre ist zu aktivieren. Auch beim kurzen Verlassen des Endgeräts muss dieses gesperrt oder ausgeschaltet werden, sodass es erst nach einer erfolgreichen Authentifizierung wieder benutzt werden kann. Es ist sicherzustellen, dass keine Daten der REWE Group auf dem Sperrbildschirm angezeigt werden (z.B. Kalendereinträge).
• Personalisierung: Wird das Endgerät von mehreren Personen genutzt, so ist sicherzustellen, dass ein Nutzer keinen Zugriff auf die Anwendungen oder Daten eines anderen Nutzers hat. Der Zugriff auf eine geschäftliche Anwendung darf nur durch den berechtigten Nutzer erfolgen. Das bedeutet unter anderem, dass die Weitergabe des PINs zum Zugriff auf das Benutzerkonto an andere Personen (auch des gleichen Haushalts, Lebenspartner, Kindern o.ä.) oder das registrieren von biometrischen Daten verschiedener Personen für den Zugriff auf das gleiche Benutzerkonto nicht gestattet ist.
• Speicherung: Die Speicherung von geschäftlichen Daten auf dem physischen Speicher des privaten Endgeräts (z.B. Festplatte, SD-Karten) sollte nur vorgenommen werden, wenn dies unbedingt nötig ist. Dabei ist sicherzustellen, dass dieser Speicher verschlüsselt ist. Sobald die geschäftlichen Daten nicht mehr benötigt werden, müssen diese umgehend vom privaten Speicher entfernt werden. Sollte der betreffende Speicher nicht verschlüsselt sein, dürfen keine geschäftliche Informationen auf diesem abgespeichert werden.
• Nutzung von privaten Cloud-Speichern: Soweit die Synchronisation von Fotos und Dokumenten in private Cloud-Speicher aktiviert wurde, ist sicherzustellen, dass keine geschäftlichen Informationen in private Cloud-Speicher transportiert werden. Aus diesem Grund sollte grundsätzlich vermieden werden, dass Fotos und Dokumente mit Unternehmensdaten und personenbezogenen Daten auf dem privaten Endgerät abgespeichert werden. Ist eine Speicherung von geschäftlichen Informationen auf dem privaten Endgerät erforderlich, muss vorher sichergestellt werden, dass die (automatische) Synchronisation dieser Informationen in private Cloud-Speicher verhindert wird.
• Rooting & Jailbreak: Die Nutzung eines Endgeräts dessen Nutzungsbeschränkungen deaktiviert wurden (z.B. durch Jailbreak / Rooting) oder dessen Betriebssystem anderweitig modifiziert wurde, ist für die dienstliche Nutzung untersagt.
• Entsorgung & Weitergabe: Werden dienstlich genutzte private Endgeräte entsorgt oder an andere Personen weitergegeben (z.B. Verkauf), so sind zuvor alle dienstlichen Daten, Konten und Anwendungen auf dem Gerät unwiederherstellbar zu löschen. Im Fall von Smartphones & Tablets wird empfohlen diese auf die Werkseinstellungen zurückzusetzen (inkl. Datenlöschung).
• Passwort-Manager: Die Nutzung eines privaten Passwort-Managers zur Speicherung von dienstlichen Passwörtern ist UNTERSAGT. Dies gilt sowohl für mit den Endgeräten ausgelieferten Passwort-Managern (wie "Schlüsselbund" von Apple, Kennwort sichern im Browser) sowie Drittapplikationen (z.B. LastPass). Wird ein privater Passwort-Manager verwendet, MUSS mindestens sichergestellt werden, dass keine geschäftlichen Passwörter in privaten Passwortmanagern gespeichert werden.