Nr. 6c Verordnung über die Benutzung von Informatikmitteln am Arbeitsplatz vom 0. Dezember 00* (Stand. August 0) Der Regierungsrat des Kantons Luzern, gestützt auf 0 des Informatikgesetzes vom 7. März 005 sowie 8 des Personalgesetzes vom 6. Juni 00, auf Antrag des Finanzdepartementes sowie des Justiz-, Gemeinde- und Kulturdepartementes, beschliesst: I. Allgemeine Bestimmungen Zweck Diese Verordnung regelt die Benutzung von Informatikmitteln des Kantons. Sie hat zum Zweck, die sensitiven Datenbestände zu schützen, den sicheren und wirtschaftlichen Einsatz der Informatikmittel zu gewährleisten sowie die Persönlichkeitsrechte der Anwenderinnen und Anwender zu wahren. Geltungsbereich Diese Verordnung gilt für die Mitarbeiterinnen und Mitarbeiter der kantonalen Verwaltung (einschliesslich kantonaler Schulen) und der Gerichte. Soweit die Sicherheit, die * G 00 69. Gemäss Änderung vom. Februar 00, in Kraft seit dem. März 00 (G 00 9), wurde die bis am 8. Februar 00 gültige SRL Nr. 8c durch die Nummer 6c ersetzt. SRL Nr. 6 G 00 05 (SRL Nr. 5) Fassung des Ingresses gemäss Änderung vom. Februar 00, in Kraft seit dem. März 00 (G 00 9).
Nr. 6c Funktionsfähigkeit, die Vertraulichkeit und die Verfügbarkeit der Informatikmittel betroffen sind, unterstehen ihr auch die Behördenmitglieder. Ausgenommen sind die Ausgleichskasse Luzern, die IV-Stelle Luzern, die Arbeitslosenkasse, die Gebäudeversicherung Luzern, die Luzerner Pensionskasse, die Lustat Statistik Luzern, der Verkehrsverbund Luzern, die kantonalen Spitäler (Luzerner Kantonsspital, Luzerner Psychiatrie), die Pädagogische Hochschule Luzern und die Universität. 5 Sie gilt jedoch auch für die in Absatz genannten sowie für weitere Stellen und Körperschaften, soweit sie Informatikmittel des Kantons Luzern benutzen. Begriffe Informationen im Sinn dieser Verordnung sind Sach- und Personendaten. Der Begriff der Informatikmittel sowie die Organisation und die Verantwortung für die Informatik richten sich nach dem Informatikgesetz vom 7. März 005 6. 7 Der Begriff der Personendaten richtet sich nach dem Gesetz über den Schutz von Personendaten (Datenschutzgesetz) vom. Juli 990 8. II. Grundsätze Persönliche Verantwortung Alle Anwenderinnen und Anwender sind für die Verwendung der Informatikmittel im Rahmen der geltenden Rechtsordnung und dieser Verordnung persönlich verantwortlich. Insbesondere sind sie dafür verantwortlich, dass an ihrem Arbeitsplatz und in ihrem Zuständigkeitsbereich die entsprechenden Vorgaben zur Gewährleistung von Datenschutz und Datensicherheit befolgt werden. 9 Die Sicherheitsanforderungen richten sich nach der Verordnung über die Informatiksicherheit vom. Februar 00 0. Fassung gemäss Änderung vom. Februar 00, in Kraft seit dem. März 00 (G 00 9). 5 Fassung gemäss Änderung vom. Mai 0, in Kraft seit dem. August 0 (G 0 66). 6 SRL Nr. 6 7 Fassung gemäss Änderung vom. Februar 00, in Kraft seit dem. März 00 (G 00 9). 8 SRL Nr. 8 9 Fassung gemäss Änderung vom. Februar 00, in Kraft seit dem. März 00 (G 00 9). 0 G 00 (SRL Nr. 6b) Eingefügt durch Änderung vom. Februar 00, in Kraft seit dem. März 00 (G 00 9).
Nr. 6c 5 Schulungs- und Informationspflicht Die Departemente, die Staatskanzlei und die Gerichte sorgen dafür, dass die Anwenderinnen und Anwender über den richtigen Umgang mit den Informatikmitteln geschult und regelmässig informiert werden. Sie sind befugt, für ihren Zuständigkeitsbereich Weisungen über die Nutzung der Informatikmittel zu erlassen. III. Gebrauch und Missbrauch von Informatikmitteln 6 Grundsätze Es dürfen grundsätzlich nur die von den Organisations- und Informatikbeauftragten bereitgestellten Informatikmittel verwendet werden. Der Einsatz privater Informatikmittel bedarf der Bewilligung des oder der Organisations- und -Informatikbeauftragten. Die Informatikmittel dürfen grundsätzlich nur zur Erfüllung dienstlicher Aufgaben benutzt werden. Die Verwendung der Informatikmittel zu privaten Zwecken darf den Dienstbetrieb nicht erschweren oder einschränken. Benutzernamen und Passwörter sind persönlich und nicht übertragbar. Die Passwörter sind geheim zu halten. 7 Gebrauch von E-Mail und Internet Mit E-Mail dürfen keine vertraulichen Informationen und insbesondere keine vertraulichen Personendaten übermittelt werden. Vorbehalten bleibt a. die Übermittlung über E-Mail-Anschlüsse, die mit entsprechenden Sicherheitseinrichtungen (Verschlüsselung) ausgestattet sind und von den Organisations- und Informatikbeauftragten bewilligt wurden, b. die Möglichkeit für Mitglieder des Kantonsrates, ihre E-Mails an persönliche externe E-Mail-Anschlüsse, die nicht dem Kanton unterstehen, weiterzuleiten. Die Kantonsratsmitglieder müssen schriftlich bestätigen, dass sie die damit -verbundenen Risiken kennen und akzeptieren. Der private Gebrauch von Internet und E-Mail ist in beschränktem Umfang zulässig. Er ist auf ein Minimum zu beschränken und soll in der Regel ausserhalb der Arbeitszeiten stattfinden. Fassung gemäss Änderung vom. Februar 00, in Kraft seit dem. März 00 (G 00 9). Fassung gemäss Änderung vom. Februar 00, in Kraft seit dem. März 00 (G 00 9). Fassung gemäss Änderung vom. Februar 00, in Kraft seit dem. März 00 (G 00 9).
Nr. 6c 8 Missbrauch der Informatikmittel Missbräuchlich ist jede Verwendung der Informatikmittel, die a. gegen diese Verordnung verstösst, b. gegen andere Bestimmungen der Rechtsordnung verstösst, c. Rechte Dritter verletzt. Missbräuchlich sind insbesondere folgende Handlungen: a. Einrichten, Anschliessen oder Installation nicht bewilligter Informatikmittel, b. Manipulation von Informatikmitteln des Kantons, c. Vorkehrungen zur Störung des Betriebs von Computern oder Netzwerken, d. Erstellen, Speichern, Ausführen und Verbreiten von Fernsteuerungs-, Spionage- und Virenprogrammen (z.b. Viren, Trojanische Pferde, Würmer oder Scripte), e. Versendung von E-Mails in Täuschungs- oder Belästigungsabsicht und private Massenversendungen, f. Zugreifen auf Daten mit rassistischem, sexistischem oder pornografischem Inhalt sowie deren Erfassung, Verarbeitung, Speicherung und Übermittlung, soweit die Handlungen nicht im Rahmen eines dienstlichen Auftrags erfolgen, 5 g. widerrechtliches Kopieren von Daten oder Software jeglicher Art, h. widerrechtliches Bereitstellen und Verbreiten von urheberrechtlich geschützten Werken jeglicher Art (insbesondere Filme, Musik und Fotos) 6. IV. Kontrollen 9 Kontroll- und Überwachungsmassnahmen Kontroll- und Überwachungsmassnahmen bezwecken in erster Linie die Überprüfung und Gewährleistung der technischen Sicherheit, der Funktionsfähigkeit und der Verfügbarkeit der Informatikmittel. Sämtliche Internetzugriffe und der gesamte E-Mail-Verkehr der Anwenderinnen und Anwender werden aufgezeichnet (protokolliert). Diese Protokolldaten können im Rahmen der 0 und zur Überprüfung des Vollzugs dieser Verordnung verwendet werden. Zur Verhinderung des Missbrauchs kann der Zugang zu bestimmten Internet-Adressen mittels Filtersperren beschränkt oder verhindert werden, und es können Netzwerküberwachungs- oder Netzwerkanalysewerkzeuge wie z.b. Portscanner oder Sniffer eingesetzt werden. Nicht gestattet ist der Einsatz so genannter Spionageprogramme. 5 Fassung gemäss Änderung vom. Februar 00, in Kraft seit dem. März 00 (G 00 9). 6 Eingefügt durch Änderung vom. Februar 00, in Kraft seit dem. März 00 (G 00 9).
Nr. 6c 5 Es werden folgende Daten protokolliert: a. Internetzugriffe: Benutzername, aufgerufene Internet-Adressen, Zugriffszeit, Zugriffsdauer, Grösse der heruntergeladenen Dateien, b. E-Mail-Verkehr: Absenderadresse, Empfängeradresse, Betreffzeile, Datum, Zeit, Grösse des E-Mails und allfälliger Attachments, c. Datensammlungen: Benutzername, Zugriffszeit und personenbezogenes Merkmal, d. Zugriffe auf Informationen, die als «geheim» gekennzeichnet sind. 7 5 Personenbezogene Protokolldaten sind während sechs Monaten aufzubewahren und anschliessend zu vernichten. Zu den Protokolldaten haben ausschliesslich die dazu speziell autorisierten Systemverantwortlichen Zugang. 8 6 Der Inhalt von E-Mails und Attachments darf ohne Zustimmung der betroffenen Anwenderinnen und Anwender nicht gelesen werden. 9 7 Der Leiter oder die Leiterin der Dienstelle Informatik beantragt bei dem oder der Datenschutzbeauftragten die Bewilligung der Autorisation der Systemverantwortlichen nach Absatz 5 und 0 Absatz. 0 0 Sicherheit, Funktionsfähigkeit, Vertraulichkeit und Verfügbarkeit der Informatikmittel Für die Anordnung von Kontroll- und Überwachungsmassnahmen zur Überprüfung und Gewährleistung der technischen Sicherheit, der Funktionsfähigkeit, der Vertraulichkeit und der Verfügbarkeit der Informatikmittel sowie die Durchführung von entsprechenden Auswertungen ist der Leiter oder die Leiterin der Dienstelle Informatik zuständig. Er oder sie hat dafür zu sorgen, dass solche Auswertungen nur von den dazu speziell autorisierten Systemverantwortlichen durchgeführt und streng vertraulich behandelt werden. Die Protokolldaten sind in anonymisierter Form auszuwerten. Rückschlüsse auf bestimmte Anwenderinnen und Anwender dürfen nicht möglich sein. Werden Störungen festgestellt, welche die technische Sicherheit, die Funktionsfähigkeit, die Vertraulichkeit oder die Verfügbarkeit der Informatikmittel ernsthaft gefährden, dürfen die Protokolldaten ausnahmsweise personenbezogen ausgewertet werden, sofern dies zur Störungsbehebung unumgänglich ist. Der oder die Organisations- und Informatikbeauftragte informiert die betroffenen Anwenderinnen und Anwender unverzüglich über Tatsache und Umfang der personenbezogenen Auswertung. 7 Fassung gemäss Änderung vom. Februar 00, in Kraft seit dem. März 00 (G 00 9). 8 Fassung gemäss Änderung vom. Februar 00, in Kraft seit dem. März 00 (G 00 9). 9 Fassung gemäss Änderung vom. Februar 00, in Kraft seit dem. März 00 (G 00 9). 0 Eingefügt durch Änderung vom. Februar 00, in Kraft seit dem. März 00 (G 00 9). Fassung gemäss Änderung vom. Februar 00, in Kraft seit dem. März 00 (G 00 9).
6 Nr. 6c Bei personenbezogenen Auswertungen hat der Leiter oder die Leiterin der Dienststelle Informatik die vorgängige Einwilligung der nach Absatz zuständigen Behörde einzuholen und dieser sowie der oder dem Datenschutzbeauftragten nachträglich Bericht über die durchgeführte Untersuchung und die allenfalls getroffenen Massnahmen zu erstatten. Kann die Einwilligung vorgängig nicht eingeholt werden, darf die Auswertung durchgeführt werden, sofern die Gewährleistung der technischen Sicherheit, der Funktionsfähigkeit, der Vertraulichkeit und der Verfügbarkeit der Informatikmittel keinen Aufschub erlaubt. Vollzug Für die Überprüfung des Vollzugs dieser Verordnung mittels Auswertung der Protokolldaten sind die Departementssekretärinnen und -sekretäre, der Staatsschreiber oder die Staatsschreiberin und der Präsident oder die Präsidentin des Kantonsgerichtes zuständig. Die gemäss Absatz zuständige Behörde kann beim Leiter oder der Leiterin der Dienststelle Informatik mittels der in 9 erwähnten Protokolldaten anonyme Plausibilitätskontrollen (Stichproben) über eine jeweils beschränkte Benutzungsdauer durchführen lassen, um den Vollzug dieser Verordnung zu überprüfen. Besteht begründeter Verdacht auf Missbrauch von Informatikmitteln, kann die gemäss Absatz zuständige Behörde nach schriftlicher Ankündigung bei den betroffenen Personen a. eine Auswertung der verdächtigen Protokolle durchführen lassen, b. für einen begrenzten Personenkreis eine zeitlich befristete Kontrolle durchführen lassen. Die Durchführung der Kontrollen hat unter Aufsicht des Leiters oder der Leiterin der Dienststelle Informatik zu geschehen. Die oder der Datenschutzbeauftragte ist vorgängig zu informieren, und es ist ihr oder ihm über die durchgeführte Untersuchung und allenfalls getroffenen Massnahmen nachträglich Bericht zu erstatten. 5 Die Auswertungsresultate werden ausschliesslich der gemäss Absatz zuständigen Behörde bekannt gegeben und sind streng vertraulich zu behandeln. Diese informiert die von der Auswertung der Protokolle betroffenen Personen über die sie betreffenden Ergebnisse der Auswertung, ausser wenn eine solche Information im Rahmen eines Ermittlungs- oder Strafverfahrens erfolgt und die Strafprozessordnung darauf Anwendung findet. Fassung gemäss Änderung vom. Februar 00, in Kraft seit dem. März 00 (G 00 9). Fassung gemäss Änderung vom 0. April 0, in Kraft seit dem. Juni 0 (G 0 87).
Nr. 6c 7 V. Schlussbestimmungen Sanktionen Bei Verstoss gegen die Rechtsordnung im Zusammenhang mit dem Gebrauch von Informatikmitteln und bei Verstoss gegen diese Verordnung können die personalrechtlich vorgesehenen Sanktionen ergriffen werden. Die Strafverfolgung und die Geltendmachung zivilrechtlicher Ansprüche bleiben vorbehalten. Inkrafttreten Die Verordnung tritt am. Januar 00 in Kraft. Sie ist zu veröffentlichen. Luzern, 0. Dezember 00 Im Namen des Regierungsrates Der Schultheiss: Ulrich Fässler Der Staatsschreiber: Viktor Baumeler