Verordnung über die Benutzung von Informatikmitteln am Arbeitsplatz --> 26c (38c)
CH - LU

Verordnung über die Benutzung von Informatikmitteln am Arbeitsplatz --> 26c

SRL-Nummer
38c Titel Verordnung über die Benutzung von Informatikmitteln am Arbeitsplatz Abkürzung Datum
10. Dezember 2002 Inkrafttreten
1. Januar 2003 Fundstelle G 2002 619 Änderungen Rechtstext HTML PDF (108KB)
SRL Nr. 38c Verordnung über die Benutzung von Informatikmitteln am vom 10. Dezember 2002* Der Regierungsrat des Kantons Luzern, gestützt auf die §§ 7 und 13 des Datenschutzgesetzes vom 2. Juli 1990
1 sowie § 81 des Personalgesetzes vom 26. Juni 2001
2 , auf Antrag des Finanzdepartementes sowie des Justiz-, Gemeinde- und Kulturdeparte- mentes, beschliesst: I. Allgemeine Bestimmungen

§ 1

Zweck
1 Diese Verordnung regelt die Benutzung von Informatikmitteln des Kantons.
2 Sie hat zum Zweck, die sensitiven Datenbestände zu schützen, den sicheren und wirt- schaftlichen Einsatz der Informatikmittel zu gewährleisten sowie die Persönlichkeits- rechte der Anwenderinnen und Anwender zu wahren.

§ 2

Geltungsbereich
1 Diese Verordnung gilt für die Mitarbeiterinnen und Mitarbeiter der kantonalen Verwal- tung (einschliesslich Spitäler, Kliniken und kantonale Schulen) und der Gerichte. Soweit die Sicherheit, die Funktionsfähigkeit und die Verfügbarkeit der Informatikmittel betrof- fen sind, unterstehen ihr auch die Behördenmitglieder. * G 2002 619
1 SRL Nr. 38
2 G 2002 305 (SRL Nr. 51)
2 Nr. 38c
2 Ausgenommen sind die Ausgleichskasse Luzern, die IV-Stelle Luzern, die Arbeitslo- senkasse, die Gebäudeversicherung und die Luzerner Pensionskasse.
3 Sie gilt jedoch auch für die in Absatz 2 genannten sowie für weitere Stellen und Kör- perschaften, soweit sie Informatikmittel des Kantons Luzern benutzen.

§ 3

Begriffe
1 Informationen im Sinn dieser Verordnung sind Sach- und Personendaten.
2 Der Begriff der Informatikmittel sowie die Organisation und die Verantwortung für die Informatik richten sich nach der Informatikverordnung vom 10. Dezember 2002 .
3 Der Begriff der Personendaten richtet sich nach dem Gesetz über den Schutz von Per- sonendaten (Datenschutzgesetz) vom 2. Juli 1990 . II. Grundsätze

§ 4

Persönliche Verantwortung
1 Alle Anwenderinnen und Anwender sind für die Verwendung der Informatikmittel im Rahmen der geltenden Rechtsordnung und dieser Verordnung persönlich verantwortlich.
2 Insbesondere sind sie dafür verantwortlich, dass an ihrem Arbeitsplatz und in ihrem Zuständigkeitsbereich die entsprechenden Vorgaben zur Gewährleistung von Daten- schutz und Datensicherheit befolgt und die notwendigen Massnahmen getroffen werden. Feststellungen über technische Mängel und sicherheitsrelevante Vorkommnisse sind den Informatikverantwortlichen unverzüglich zu melden.

§ 5

Schulungs- und Informationspflicht
1 Die Departemente, die Staatskanzlei und die Gerichte sorgen dafür, dass die Anwende- rinnen und Anwender über den richtigen Umgang mit den Informatikmitteln geschult und regelmässig informiert werden.
2 Sie sind befugt, für ihren Zuständigkeitsbereich Weisungen über die Nutzung der In- formatikmittel zu erlassen.
3 SRL Nr. 39
4 SRL Nr. 38
Nr. 38c
3 III. Gebrauch und Missbrauch von Informatikmitteln

§ 6

Grundsätze
1 Es dürfen grundsätzlich nur die von den Informatikverantwortlichen bereitgestellten In- formatikmittel verwendet werden. Der Einsatz privater Informatikmittel bedarf der Be- willigung des oder der zuständigen Informatikverantwortlichen.
2 Die Informatikmittel dürfen grundsätzlich nur zur Erfüllung dienstlicher Aufgaben be- nutzt werden.
3 Die Verwendung der Informatikmittel zu privaten Zwecken darf den Dienstbetrieb nicht erschweren oder einschränken.
4 Benutzernamen und Passwörter sind persönlich und nicht übertragbar. Die Passwörter sind geheim zu halten und nach Anweisung der Informatikverantwortlichen regelmässig zu ändern.

§ 7

Gebrauch von E-Mail
1 Mit E-Mail dürfen keine vertraulichen Informationen und insbesondere keine vertrauli- chen Personendaten übermittelt werden.
2 Vorbehalten bleibt die Übermittlung über E-Mail-Anschlüsse, die mit entsprechenden Sicherheitseinrichtungen (Verschlüsselung) ausgestattet sind und von den Informatik- verantwortlichen bewilligt wurden.

§ 8

Missbrauch der Informatikmittel
1 Missbräuchlich ist jede Verwendung der Informatikmittel, die a. gegen diese Verordnung verstösst, b. gegen andere Bestimmungen der Rechtsordnung verstösst, c. Rechte Dritter verletzt.
2 Missbräuchlich sind insbesondere folgende Handlungen: a. Einrichten, Anschliessen oder Installation nicht bewilligter Informatikmittel, b. Manipulation von Informatikmitteln des Kantons, c. Vorkehrungen zur Störung des Betriebs von Computern oder Netzwerken, d. Erstellen, Speichern, Ausführen und Verbreiten von Fernsteuerungs-, Spionage- und Virenprogrammen (z.B. Viren, Trojanische Pferde, Würmer oder Scripte), e. Versendung von E-Mails in Täuschungs- oder Belästigungsabsicht und private Mas- senversendungen, f. Zugreifen auf Daten mit rassistischem, sexistischem oder pornografischem Inhalt sowie deren Erfassung, Verarbeitung, Speicherung und Übermittlung, g. widerrechtliches Kopieren von Daten oder Software jeglicher Art.
4 Nr. 38c IV. Kontrollen

§ 9

Kontroll- und Überwachungsmassnahmen
1 Kontroll- und Überwachungsmassnahmen bezwecken in erster Linie die Überprüfung und Gewährleistung der technischen Sicherheit, der Funktionsfähigkeit und der Verfüg- barkeit der Informatikmittel.
2 Sämtliche Internetzugriffe und der gesamte E-Mail-Verkehr der Anwenderinnen und Anwender werden aufgezeichnet (protokolliert). Diese Protokolldaten können im Rah- men der §§ 10 und 11 zur Überprüfung des Vollzugs dieser Verordnung verwendet wer- den.
3 Zur Verhinderung des Missbrauchs kann der Zugang zu bestimmten Internet-Adressen mittels Filtersperren beschränkt oder verhindert werden, und es können Netzwerküber- wachungs- oder Netzwerkanalysewerkzeuge wie z.B. Portscanner oder Sniffer einge- setzt werden. Nicht gestattet ist der Einsatz so genannter Spionageprogramme.
4 Es werden folgende Daten protokolliert: a. Internetzugriffe: Benutzername, aufgerufene Internet-Adressen, Zugriffszeit, Zugriffsdauer, Grösse des heruntergeladenen Files, b. E-Mail-Verkehr: Absenderadresse, Empfängeradresse, Betreffzeile, Datum, Zeit, Grösse des E-Mails und allfälliger Attachments. Die Protokolldaten sind während zweier Monate aufzubewahren und anschliessend zu vernichten. Zu den Protokolldaten dürfen ausschliesslich die dazu speziell autorisierten Systemverantwortlichen Zugang haben.
5 Der Inhalt der E-Mails darf ohne Zustimmung der betroffenen Anwenderinnen und Anwender nicht gelesen werden.
6 Die Autorisation der Systemverantwortlichen nach Absatz 4 und § 10 Absatz 1 erfolgt gemäss § 18 Absatz 2 der Informatikverordnung vom 10. Dezember 2002
5 .

§ 10

Sicherheit, Funktionsfähigkeit und Verfügbarkeit der Informatikmittel
1 Für die Anordnung von Kontroll- und Überwachungsmassnahmen zur Überprüfung und Gewährleistung der technischen Sicherheit, der Funktionsfähigkeit und der Verfüg- barkeit der Informatikmittel sowie die Durchführung von entsprechenden Auswertungen ist der oder die Informatikgesamtverantwortliche zuständig. Er oder sie hat dafür zu sor- gen, dass solche Auswertungen nur von den dazu speziell autorisierten Systemverant- wortlichen durchgeführt und streng vertraulich behandelt werden.
2 Die Protokolldaten sind in anonymisierter Form auszuwerten. Rückschlüsse auf be- stimmte Anwenderinnen und Anwender dürfen nicht möglich sein.
5 SRL Nr. 39
Nr. 38c
5
3 Werden Störungen festgestellt, welche die technische Sicherheit, die Funktionsfähig- keit oder die Verfügbarkeit der Informatikmittel ernsthaft gefährden, dürfen die Proto- kolldaten ausnahmsweise personenbezogen ausgewertet werden, sofern dies zur Stö- rungsbehebung unumgänglich ist. Die betroffenen Anwenderinnen und Anwender sind über Tatsache und Umfang der personenbezogenen Auswertung unverzüglich zu infor- mieren.
4 Bei personenbezogenen Auswertungen hat der oder die Informatikgesamtverantwortli- che die vorgängige Einwilligung der nach § 11 Absatz 1 zuständigen Behörde einzuho- len und erstattet dieser sowie der oder dem Datenschutzbeauftragten nachträglich Be- richt über die durchgeführte Untersuchung und die allenfalls getroffenen Massnahmen. Kann eine Einwilligung vorgängig nicht eingeholt werden, darf die Auswertung durch- geführt werden, sofern die Gewährleistung der technischen Sicherheit, der Funktionsfä- higkeit oder der Verfügbarkeit der Informatikmittel keinen Aufschub erlaubt.

§ 11

Vollzug
1 Für die Überprüfung des Vollzugs dieser Verordnung mittels Auswertung der Proto- kolldaten sind die Vorsteherinnen und Vorsteher der Departemente, der Staatsschreiber oder die Staatsschreiberin und die Präsidentinnen oder Präsidenten des Obergerichtes und des Verwaltungsgerichtes zuständig.
2 Die gemäss Absatz 1 zuständige Behörde kann bei dem oder der Informatikgesamtver- antwortlichen mittels der in § 9 erwähnten Protokolldaten anonyme Plausibilitätskon- trollen (Stichproben) über eine jeweils beschränkte Benutzungsdauer durchführen las- sen, um den Vollzug dieser Verordnung zu überprüfen.
3 Besteht begründeter Verdacht auf Missbrauch von Informatikmitteln, kann die gemäss Absatz 1 zuständige Behörde gegenüber einem begrenzten Personenkreis eine den Be- troffenen schriftlich angekündigte, zeitlich befristete Kontrolle durchführen lassen.
4 Die Durchführung der Kontrollen hat unter Aufsicht des oder der Informatikgesamt- verantwortlichen zu geschehen. Die oder der Datenschutzbeauftragte ist vorgängig zu informieren, und es ist ihr oder ihm über die durchgeführte Untersuchung und allenfalls getroffene Massnahmen nachträglich Bericht zu erstatten.
5 Die Auswertungsresultate werden ausschliesslich der gemäss Absatz 1 zuständigen Behörde bekannt gegeben und sind streng vertraulich zu behandeln.
6 Nr. 38c V. Schlussbestimmungen

§ 12

Sanktionen Bei Verstoss gegen die Rechtsordnung im Zusammenhang mit dem Gebrauch von In- formatikmitteln und bei Verstoss gegen diese Verordnung können die personalrechtlich vorgesehenen Sanktionen ergriffen werden. Die Strafverfolgung und die Geltendma- chung zivilrechtlicher Ansprüche bleiben vorbehalten.

§ 13

Inkrafttreten Die Verordnung tritt am 1. Januar 2003 in Kraft. Sie ist zu veröffentlichen. Luzern, 10. Dezember 2002 Im Namen des Regierungsrates Der Schultheiss: Ulrich Fässler Der Staatsschreiber: Viktor Baumeler
Markierungen
Leseansicht