Verordnung über die Benutzung von Informatikmitteln am Arbeitsplatz

Nr. 26c Verordnung über die Benutzung von Informatikmitteln am Arbeitsplatz vom 10. Dezember 2002 (Stand 1. August 2015) Der Regierungsrat des Kantons Luzern,

1 gestützt auf § 20 des Informatikgesetzes vom 7. März 2005

2 sowie § 81 des Personalge

- setzes vom 26. Juni 2001

3 , auf Antrag des Finanzdepartementes sowie des Justiz-, Gemeinde- und Kulturdeparte

- mentes, * beschliesst:

1 Allgemeine Bestimmungen

§ 1

Zweck

1 Diese Verordnung regelt die Benutzung von Informatikmitteln des Kantons.

2 Sie hat zum Zweck, die sensitiven Datenbestände zu schützen, den sicheren und wirtschaftlichen Einsatz der Informatikmittel zu gewährleisten sowie die Persönlich

- keitsrechte der Anwenderinnen und Anwender zu wahren.

§ 2

Geltungsbereich

1 Diese Verordnung gilt für die Mitarbeiterinnen und Mitarbeiter der kantonalen Verwal

- tung (einschliesslich kantonaler Schulen) und der Gerichte. Soweit die Sicherheit, die Funktionsfähigkeit, die Vertraulichkeit und die Verfügbarkeit der Informatikmittel betroffen sind, unterstehen ihr auch die Behördenmitglieder. *

1 Gemäss Änderung vom 2. Februar 2010, in Kraft seit dem 1. März 2010 (G 2010 29), wurde die bis am 28. Februar 2010 gültige SRL Nr. 38c durch die Nummer 26c ersetzt.

2 SRL Nr.

3 G 2002 305 (SRL Nr.

51 ) * Siehe Tabellen mit Änderungsinformationen am Schluss des Erlasses. G 2002 619

2 Nr. 26c

2 Ausgenommen sind die Ausgleichskasse Luzern, die IV-Stelle Luzern, die Arbeitslo

- senkasse, die Gebäudeversicherung Luzern, die Luzerner Pensionskasse, die Lustat Sta

- tistik Luzern, der Verkehrsverbund Luzern, die kantonalen Spitäler (Luzerner Kantons

- spital, Luzerner Psychiatrie), die Pädagogische Hochschule Luzern und die Universi

- tät. *

3 Sie gilt jedoch auch für die in Absatz 2 genannten sowie für weitere Stellen und Kör

- perschaften, soweit sie Informatikmittel des Kantons Luzern benutzen.

§ 3

Begriffe

1 Informationen im Sinn dieser Verordnung sind Sach- und Personendaten.

2 Der Begriff der Informatikmittel sowie die Organisation und die Verantwortung für die Informatik richten sich nach dem Informatikgesetz vom 7. März 2005

4 . *

3 Der Begriff der Personendaten richtet sich nach dem Gesetz über den Schutz von Per

- sonendaten (Datenschutzgesetz) vom 2. Juli 1990

5 .

2 Grundsätze

§ 4

Persönliche Verantwortung

1 Alle Anwenderinnen und Anwender sind für die Verwendung der Informatikmittel im Rahmen der geltenden Rechtsordnung und dieser Verordnung persönlich verantwortlich.

2 Insbesondere sind sie dafür verantwortlich, dass an ihrem Arbeitsplatz und in ihrem Zuständigkeitsbereich die entsprechenden Vorgaben zur Gewährleistung von Daten schutz und Datensicherheit befolgt werden. *

3 Die Sicherheitsanforderungen richten sich nach der Verordnung über die Informatiksi

- cherheit vom 2. Februar 2010

6 . *

§ 5

Schulungs- und Informationspflicht

1 Die Departemente, die Staatskanzlei und die Gerichte sorgen dafür, dass die Anwende

- rinnen und Anwender über den richtigen Umgang mit den Informatikmitteln geschult und regelmässig informiert werden.

2 Sie sind befugt, für ihren Zuständigkeitsbereich Weisungen über die Nutzung der Infor

- matikmittel zu erlassen.

4 SRL Nr.

5 SRL Nr.

6 G 2010 21 (SRL Nr.

26b )

Nr. 26c

3 Gebrauch und Missbrauch von Informatikmitteln

§ 6

Grundsätze

1 Es dürfen grundsätzlich nur die von den Organisations- und Informatikbeauftragten be

- reitgestellten Informatikmittel verwendet werden. Der Einsatz privater Informatikmittel bedarf der Bewilligung des oder der Organisations- und -Informatikbeauftragten.

2 Die Informatikmittel dürfen grundsätzlich nur zur Erfüllung dienstlicher Aufgaben be

- nutzt werden.

3 Die Verwendung der Informatikmittel zu privaten Zwecken darf den Dienstbetrieb nicht erschweren oder einschränken.

4 Benutzernamen und Passwörter sind persönlich und nicht übertragbar. Die Passwörter sind geheim zu halten. *

§ 7

* Gebrauch von E-Mail und Internet

1 Mit E-Mail dürfen keine vertraulichen Informationen und insbesondere keine vertrauli

- chen Personendaten übermittelt werden.

2 Vorbehalten bleibt a. die Übermittlung über E-Mail-Anschlüsse, die mit entsprechenden Sicherheitsein

- richtungen (Verschlüsselung) ausgestattet sind und von den Organisations- und In

- formatikbeauftragten bewilligt wurden, b. die Möglichkeit für Mitglieder des Kantonsrates, ihre E-Mails an persönliche ex

- terne E-Mail-Anschlüsse, die nicht dem Kanton unterstehen, weiterzuleiten. Die Kantonsratsmitglieder müssen schriftlich bestätigen, dass sie die damit verbunde

- nen Risiken kennen und akzeptieren.

3 Der private Gebrauch von Internet und E-Mail ist in beschränktem Umfang zulässig. Er ist auf ein Minimum zu beschränken und soll in der Regel ausserhalb der Arbeitszei

- ten stattfinden.

§ 8

Missbrauch der Informatikmittel

1 Missbräuchlich ist jede Verwendung der Informatikmittel, die a. gegen diese Verordnung verstösst, b. gegen andere Bestimmungen der Rechtsordnung verstösst, c. Rechte Dritter verletzt.

2 Missbräuchlich sind insbesondere folgende Handlungen: a. Einrichten, Anschliessen oder Installation nicht bewilligter Informatikmittel, b. Manipulation von Informatikmitteln des Kantons, c. Vorkehrungen zur Störung des Betriebs von Computern oder Netzwerken, d. Erstellen, Speichern, Ausführen und Verbreiten von Fernsteuerungs-, Spionage- und Virenprogrammen (z.B. Viren, Trojanische Pferde, Würmer oder Scripte),

4 Nr. 26c e. Versendung von E-Mails in Täuschungs- oder Belästigungsabsicht und private Massenversendungen, f. * Zugreifen auf Daten mit rassistischem, sexistischem oder pornografischem Inhalt sowie deren Erfassung, Verarbeitung, Speicherung und Übermittlung, soweit die Handlungen nicht im Rahmen eines dienstlichen Auftrags erfolgen, g. widerrechtliches Kopieren von Daten oder Software jeglicher Art, h. * widerrechtliches Bereitstellen und Verbreiten von urheberrechtlich geschützten Werken jeglicher Art (insbesondere Filme, Musik und Fotos).

4 Kontrollen

§ 9

Kontroll- und Überwachungsmassnahmen

1 Kontroll- und Überwachungsmassnahmen bezwecken in erster Linie die Überprüfung und Gewährleistung der technischen Sicherheit, der Funktionsfähigkeit und der Verfüg

- barkeit der Informatikmittel.

2 Sämtliche Internetzugriffe und der gesamte E-Mail-Verkehr der Anwenderinnen und Anwender werden aufgezeichnet (protokolliert). Diese Protokolldaten können im Rah

- men der §§ 10 und 11 zur Überprüfung des Vollzugs dieser Verordnung verwendet wer

- den.

3 Zur Verhinderung des Missbrauchs kann der Zugang zu bestimmten Internet-Adressen mittels Filtersperren beschränkt oder verhindert werden, und es können Netzwerküber

- wachungs- oder Netzwerkanalysewerkzeuge wie z.B. Portscanner oder Sniffer einge

- setzt werden. Nicht gestattet ist der Einsatz so genannter Spionageprogramme.

4 Es werden folgende Daten, die Rückschlüsse auf Personen erlauben, protokolliert:

* a. Internetzugriffe: Benutzername, aufgerufene Internet-Adressen, Zugriffszeit, Zu

- griffsdauer, Grösse der heruntergeladenen Dateien, b. E-Mail-Verkehr: Absenderadresse, Empfängeradresse, Betreffzeile, Datum, Zeit, Grösse des E-Mails und allfälliger Attachments, c. Datensammlungen: Benutzername, Zugriffszeit und personenbezogenes Merkmal, d. Zugriffe auf Informationen, die als «geheim» gekennzeichnet sind, e. IP-Adressen und Hostnamen der Informatikgeräte, f. Zugehörigkeiten zu Gruppen mit speziellen Berechtigungen oder Autorisationen.

5 Personenbezogene Protokolldaten sind während sechs Monaten aufzubewahren und an

- schliessend zu vernichten. Zu den Protokolldaten haben ausschliesslich die dazu speziell autorisierten Systemverantwortlichen Zugang. *

6 Der Inhalt von E-Mails und Attachments darf ohne Zustimmung der betroffenen An

- wenderinnen und Anwender nicht gelesen werden. *

Nr. 26c

7 Der Leiter oder die Leiterin der Dienstelle Informatik beantragt bei dem oder der Da

- tenschutzbeauftragten die Bewilligung der Autorisation der Systemverantwortlichen nach Absatz 5 und § 10 Absatz 1. *

§ 10

* Sicherheit, Funktionsfähigkeit, Vertraulichkeit und Verfügbarkeit der Informatikmittel

1 Für die Anordnung von Kontroll- und Überwachungsmassnahmen zur Überprüfung und Gewährleistung der technischen Sicherheit, der Funktionsfähigkeit, der Vertraulich

- keit und der Verfügbarkeit der Informatikmittel sowie die Durchführung von entspre

- chenden Auswertungen ist der Leiter oder die Leiterin der Dienstelle Informatik zustän

- dig. Er oder sie hat dafür zu sorgen, dass solche Auswertungen nur von den dazu speziell autorisierten Systemverantwortlichen durchgeführt und streng vertraulich behandelt werden.

2 Die Protokolldaten sind in anonymisierter Form auszuwerten. Rückschlüsse auf be

- stimmte Anwenderinnen und Anwender dürfen nicht möglich sein.

3 Werden Störungen festgestellt, welche die technische Sicherheit, die Funktionsfähig

- keit, die Vertraulichkeit oder die Verfügbarkeit der Informatikmittel ernsthaft gefährden, dürfen die Protokolldaten ausnahmsweise personenbezogen ausgewertet werden, sofern dies zur Störungsbehebung unumgänglich ist. Der oder die Organisations- und Informa

- tikbeauftragte informiert die betroffenen Anwenderinnen und Anwender unverzüglich über Tatsache und Umfang der personenbezogenen Auswertung.

4 Bei personenbezogenen Auswertungen hat der Leiter oder die Leiterin der Dienststelle Informatik die vorgängige Einwilligung der nach § 11 Absatz 1 zuständigen Behörde einzuholen und dieser sowie der oder dem Datenschutzbeauftragten nachträglich Bericht über die durchgeführte Untersuchung und die allenfalls getroffenen Massnahmen zu er

- statten. Kann die Einwilligung vorgängig nicht eingeholt werden, darf die Auswertung durchgeführt werden, sofern die Gewährleistung der technischen Sicherheit, der Funkti

- onsfähigkeit, der Vertraulichkeit und der Verfügbarkeit der Informatikmittel keinen Auf

- schub erlaubt.

§ 11

* Vollzug

1 Für die Überprüfung des Vollzugs dieser Verordnung mittels Auswertung der Protokoll

- daten sind der Regierungsrat und der Präsident oder die Präsidentin des Kantonsgerich

- tes zuständig. *

2 Die gemäss Absatz 1 zuständige Behörde kann beim Leiter oder der Leiterin der Dienststelle Informatik mittels der in § 9 erwähnten Protokolldaten anonyme Plausibili

- tätskontrollen (Stichproben) über eine jeweils beschränkte Benutzungsdauer durchfüh

- ren lassen, um den Vollzug dieser Verordnung zu überprüfen.

6 Nr. 26c

3 Besteht begründeter Verdacht auf Missbrauch von Informatikmitteln, kann die gemäss Absatz 1 zuständige Behörde nach schriftlicher Ankündigung bei den betroffenen Perso

- nen a. eine Auswertung der verdächtigen Protokolle durchführen lassen, b. für einen begrenzten Personenkreis eine zeitlich befristete Kontrolle durchführen lassen.

4 Die Durchführung der Kontrollen hat unter Aufsicht des Leiters oder der Leiterin der Dienststelle Informatik zu geschehen. Die oder der Datenschutzbeauftragte ist vorgängig zu informieren, und es ist ihr oder ihm über die durchgeführte Untersuchung und allen

- falls getroffenen Massnahmen nachträglich Bericht zu erstatten.

5 Die Auswertungsresultate werden ausschliesslich der gemäss Absatz 1 zuständigen Be

- hörde bekannt gegeben und sind streng vertraulich zu behandeln. Diese informiert die von der Auswertung der Protokolle betroffenen Personen über die sie betreffenden Er

- gebnisse der Auswertung, ausser wenn eine solche Information im Rahmen eines Ermitt

- lungs- oder Strafverfahrens erfolgt und die Strafprozessordnung darauf Anwendung fin

- det.

5 Schlussbestimmungen

§ 12

Sanktionen

1 Bei Verstoss gegen die Rechtsordnung im Zusammenhang mit dem Gebrauch von In

- formatikmitteln und bei Verstoss gegen diese Verordnung können die personalrechtlich vorgesehenen Sanktionen ergriffen werden. Die Strafverfolgung und die Geltendma chung zivilrechtlicher Ansprüche bleiben vorbehalten.

§ 13

Inkrafttreten

1 Die Verordnung tritt am 1. Januar 2003 in Kraft. Sie ist zu veröffentlichen.

Nr. 26c

geändert G 2015 211