Informatikgesetz

Nr. 26 Informatikgesetz vom 7. März 2005 (Stand 1. September 2021) Der Grosse Rat des Kantons Luzern, nach Einsicht in die Botschaft des Regierungsrates vom 27. Januar 2004

1 , beschliesst:

1 Allgemeine Bestimmungen

§ 1

Zweck

1 Dieses Gesetz legt die Organisation der Informatik fest und regelt den Einsatz der In

- formatikmittel unter Einbezug des Datenschutzes.

§ 2

Geltungsbereich

1 Das Gesetz gilt für die kantonale Verwaltung (einschliesslich Spitäler und kantonaler Schulen) und für die Gerichte. Ausgenommen sind die Ausgleichskasse Luzern, die IV- Stelle Luzern, die Arbeitslosenkasse, die Gebäudeversicherung, die Luzerner Pensions

- kasse, die im Rahmen eines Konkordats geführten Hochschulen und Fachhochschulen, die Universität Luzern sowie die Pädagogische Hochschule Luzern. *

2 Für die in Absatz 1 ausgenommenen Stellen und für andere vom Regierungsrat durch Verordnung bezeichnete Stellen gelten die Teile 1, 2 und 6. Der Teil 5 ist für sie an

- wendbar, soweit sie Informatikmittel des Kantons Luzern benutzen.

3 Für die Gemeinden gelten die Teile 1, 2 und 6.

4 Der Regierungsrat kann bestimmte Anlagen vom Geltungsbereich dieses Gesetzes aus

- nehmen.

1 GR 2005 22 * Siehe Tabellen mit Änderungsinformationen am Schluss des Erlasses. K 2005 563 | G 2005 87

2 Nr. 26

§ 3

Begriffe

1 Die Begriffe «Personendaten», «besonders schützenswerte Personendaten», «betroffe

- ne Person», «Bearbeiten von Personendaten», «Profiling», «verantwortliches Organ» so

- wie «Organ» richten sich nach dem Kantonalen Gesetz über den Schutz von Personen

- daten (Kantonales Datenschutzgesetz) vom 2. Juli 1990

2 . Sie umfassen in diesem Gesetz in der Regel auch Angaben über bestimmte oder bestimmbare juristische Personen oder Personengesellschaften des Handelsrechts. *

2 Der Begriff Informatik umfasst die Steuerung, Planung und Einführung sowie den Betrieb und Unterhalt von Prozessen und Techniken, welche der maschinellen oder ma

- schinell unterstützten Bearbeitung von Informationen aller Art dienen.

3 Informatikmittel sind Geräte, Einrichtungen und Dienste, wie insbesondere Computer

- systeme, Computerprogramme, Kommunikationsdienste, die der elektronischen Erfas

- sung, Verarbeitung, Speicherung, Übermittlung, Auswertung, Archivierung oder Ver

- nichtung von Informationen dienen.

4 Zentrale Datenbanken bestehen aus zusammengeführten Datenbeständen verschiedener Organe. Sie können sich an einem beliebigen Ort befinden. Datenwarenhäuser und Da

- tendrehscheiben sind zentrale Datenbanken. *

5 Datenwarenhäuser (data warehouses) dienen der dauerhaften Speicherung von Daten.

6 In Datendrehscheiben stehen Daten für den Datenaustausch vorübergehend zur Verfü

- gung.

7 Abrufverfahren sind automatisierte Verfahren, welche es Dritten ermöglichen, Perso

- nendaten ohne Intervention des bekanntgebenden Organs zu bearbeiten.

8 Eine Auslagerung ist das Zurückgreifen eines Organs auf Informatikmittel Dritter zur Erfüllung seiner Aufgaben. Organe innerhalb eines Gemeinwesens gelten nicht als Drit

- te.

§ 4

Grundsätze

1 Die Informatik unterstützt die Wirtschaftlichkeit und die Wirksamkeit von Geschäfts- und von Lernprozessen.

2 Der Informatikeinsatz muss wirtschaftlich sein, der Erfüllung der öffentlichen Aufga

- ben dienen und den Bedürfnissen der Benutzerinnen und Benutzer entsprechen.

3 Techniken, die geeignet sind, aus Daten oder Personendaten besonders schützenswerte Personendaten herzustellen oder damit ein Profiling vorzunehmen, dürfen nur dann ein

- gesetzt werden, wenn die Voraussetzungen gemäss § 5 Absatz 2 des Kantonalen Daten

- schutzgesetzes erfüllt sind. *

2 SRL Nr.

38 . Auf dieses Gesetz wird im Folgenden nicht mehr hingewiesen.

Nr. 26

2 Zentrale Datenbanken und Abrufverfahren

§ 5

Zulässigkeit zentraler Datenbanken

1 Die Errichtung und der Betrieb zentraler Datenbanken sind zulässig, sofern die Vor

- schriften über den Datenschutz und die Bestimmungen dieses Gesetzes eingehalten wer

- den.

2 Die Errichtung und der Betrieb zentraler Datenbanken setzen eine zwischen den ange

- schlossenen Organen und dem Betreiber abgeschlossene und durch die zuständigen Be

- hörden genehmigte Leistungsvereinbarung voraus. Diese regelt mindestens folgende Punkte: a. Struktur der zentralen Datenbank, b. Inhalt der Datenbank insbesondere in Bezug auf Personendaten, c. verwendete Techniken, einschliesslich Entwicklung und Wartung, d. Zugriffsverwaltung, e. Sicherheits- und Datenlöschkonzept, f. Standort der Hardware, g. Kontrollrechte und -pflichten, h. Verantwortlichkeiten, i. Publikation gemäss § 10.

3 Der Regierungsrat kann, nachdem er die Stellungnahme des oder der Beauftragten für den Datenschutz eingeholt hat, vor Inkrafttreten eines formellen Gesetzes eine zentrale Datenbank mit besonders schützenswerten Personendaten oder Resultaten von Profilings während einer einmaligen befristeten Zeitspanne von höchstens fünf Jahren bewilligen, wenn * a. die Aufgaben, die diese Bearbeitung erforderlich machen, in einem formellen Ge

- setz geregelt sind, b. ausreichende Massnahmen zur Verhinderung von Persönlichkeitsverletzungen ge

- troffen werden, c. die praktische Umsetzung einer Datenbearbeitung vor Inkrafttreten eines formel

- len Gesetzes zwingend eine Testphase erfordert und d. die Zustimmung des Kantonsgerichtes

3 vorliegt für den Fall, dass an der zentralen Datenbank ausschliesslich Organe des kantonalen Gerichtswesens beteiligt sind.

4 Wird eine zentrale Datenbank gestützt auf eine Bewilligung gemäss Absatz 3 betrie

- ben, orientieren die an der zentralen Datenbank angeschlossenen Organe den Regie

- rungsrat jährlich über den Stand der Projektarbeiten und über die Notwendigkeit der Weiterführung des Betriebs.

3 Gemäss Gesetz über die Schaffung des Kantonsgerichtes vom 14. Mai 2012, in Kraft seit dem

1. Juni 2013 (G 2012 189), wurden in den §§ 5 und 17 die Bezeichnungen «zuständiges oberstes Gericht» und «oberste Gerichte» durch «Kantonsgericht» ersetzt.

4 Nr. 26

§ 6

Betreiber

1 Der Betreiber einer zentralen Datenbank ist für den technischen Betrieb und die techni

- sche Sicherheit zuständig und verantwortlich.

2 Betreiber kann ein an der zentralen Datenbank beteiligtes Organ, ein Organ der Infor

- matik gemäss § 17 Absatz 2 oder, unter Vorbehalt der Bestimmungen über die Auslage

- rung, ein Dritter sein.

3 Dem Betreiber stehen die für die Erfüllung seiner Aufgaben erforderlichen Zugriffs- und Bearbeitungsrechte auf die gespeicherten Personendaten zu. Die Systemadministra

- tion und die Zugriffsverwaltung dürfen nicht derselben Person übertragen werden.

4 Der Betreiber und jede von ihm mit Aufgaben des Betriebs betraute Person ist über die von ihm wahrgenommenen Personendaten zur Verschwiegenheit verpflichtet.

§ 6 Absatz 3 des Kantonalen Datenschutzgesetzes ist auf zentrale Datenbanken nicht

anwendbar. *

§ 7

Zugriffsverwaltung und Löschung der Personendaten

1 Der Umfang der Zugriffs- und Bearbeitungsberechtigung von Organen auf Personen

- daten einer zentralen Datenbank bestimmt sich nach Massgabe des Kantonalen Daten

- schutzgesetzes und ist technisch und organisatorisch auf geeignete Weise sicherzustel

- len. § 6 Absatz 3 bleibt vorbehalten. *

2 Werden die in einem Datenwarenhaus gespeicherten Personendaten von keinem betei

- ligten Organ mehr benötigt, sind sie dem zuständigen Archiv zur Übernahme anzubie

- ten. Werden sie vom Archiv als nicht archivwürdig eingestuft, sind sie umgehend zu löschen oder zu vernichten. *

§ 8

Erhebung von Personendaten

1 Personendaten, welche in einem Datenwarenhaus gespeichert werden sollen, können für mehrere Organe gemeinsam erhoben werden.

2 Werden Personendaten, welche in einem Datenwarenhaus gespeichert werden sollen, für mehrere Organe gemeinsam erhoben, so ist die betroffene Person anlässlich der Er

- hebung auch auf die Speicherung ihrer Personendaten im Datenwarenhaus und auf die daran beteiligten Organe hinzuweisen.

§ 9

Datenschutzfreundliche Technologien

1 Bei der Beschaffung von Informatikmitteln für zentrale Datenbanken ist die Daten schutzfreundlichkeit der Technologien angemessen zu berücksichtigen.

- gen Aufsichtsstellen für den Datenschutz anzuhören. Sie können innert angemessener Frist eine Stellungnahme abgeben.

Nr. 26

§ 10

Publikation *

1 Die Errichtung von Datenwarenhäusern ist vom Betreiber vor der Betriebsaufnahme im Kantonsblatt zu publizieren. In der Publikation sind für jedes Datenwarenhaus die daran beteiligten Organe und die entsprechenden Datenbestände sowie der Betreiber aufzufüh

- ren. Ferner hat die Publikation für jeden Datenbestand Auskunft zu geben über die Rechtsgrundlage, den Zweck, die Mittel und Verfahren des Bearbeitens, die Art und Herkunft der Personendaten und deren regelmässige Empfänger sowie über das Vorhan

- densein und den Aufbewahrungsort von Kopien. *

2 In der Publikation sind ferner die Kontrollrechte jeder Person sowie die zuständigen Aufsichtsstellen für den Datenschutz gemäss diesem Gesetz und dem Kantonalen Daten

- schutzgesetz anzugeben. *

3 Die Angaben gemäss Absatz 1 sind in das Verzeichnis der Datenbearbeitungstätigkei

- ten aufzunehmen. *

§ 11

Kontrollrechte der betroffenen Person

1 Jede Person kann bei der zuständigen Aufsichtsstelle für den Datenschutz Auskunft verlangen a. * über den Inhalt des Verzeichnisses der Datenbearbeitungstätigkeiten, b. ob über sie in einem Datenwarenhaus Personendaten gespeichert sind; sie hat sich dabei über ihre Identität auszuweisen.

2 Die zuständige Aufsichtsstelle für den Datenschutz und der oder die zuständige Infor

- matikverantwortliche prüfen gemeinsam, ob über die betroffene Person im Datenwaren

- haus Personendaten gespeichert sind und welchen Organen dafür Zugriffs- oder Bearbei

- tungsrechte zustehen. Der zuständigen Aufsichtsstelle für den Datenschutz und dem oder der Informatikverantwortlichen stehen die dazu erforderlichen Zutrittsrechte zu den Räumen und Anlagen des Betreibers sowie die erforderlichen Zugriffs- und Bearbei

- tungsrechte auf im Datenwarenhaus gespeicherte Personendaten zu. Der Betreiber hat alle für die Prüfung notwendige Unterstützung zu leisten.

3 Die zuständige Aufsichtsstelle für den Datenschutz gibt der betroffenen Person Aus

- kunft darüber, welche am Datenwarenhaus beteiligten Organe berechtigt sind, auf ihre Personendaten zuzugreifen oder sie zu bearbeiten. Die zuständige Aufsichtsstelle für den Datenschutz darf diese Auskunft aus überwiegenden öffentlichen Interessen oder über

- wiegenden privaten Interessen Dritter oder der betroffenen Person einschränken, mit Auflagen versehen oder verweigern.

4 Das Verfahren betreffend Auskunft über die über eine betroffene Person vorhandenen Personendaten sowie betreffend Einsicht, Berichtigung und andere Ansprüche richtet sich nach dem Kantonalen Datenschutzgesetz. Auf Begehren der betroffenen Person leitet die zuständige Aufsichtsstelle für den Datenschutz bei den Organen, welche be

- rechtigt sind, auf ihre Personendaten zuzugreifen oder sie zu bearbeiten, das Verfahren ein. *

6 Nr. 26

5 Die Aufsichtsstellen für den Datenschutz und die Informatikverantwortlichen sind über die von ihnen wahrgenommenen Personendaten zur Verschwiegenheit verpflichtet.

§ 12

Abrufverfahren

1 Teil 2 dieses Gesetzes ist auf die Errichtung und den Betrieb von Abrufverfahren sinn

- gemäss anwendbar. Vorbehalten bleiben die Vorschriften über Publikation und Register.

3 Auslagerung

§ 13

Zulässigkeit

1 Die Auslagerung von Informatikdienstleistungen ist zulässig, sofern die Vorschriften über den Datenschutz sowie die Bestimmungen dieses Gesetzes eingehalten werden. Die finanzrechtlichen Vorschriften bleiben vorbehalten.

2 Die Auslagerung setzt eine schriftliche Vereinbarung voraus, die mindestens folgende Punkte regelt: a. Inhalt der Dienstleistung, b. Wahrung des Amtsgeheimnisses sowie besonderer Geheimhaltungspflichten, c. Verantwortlichkeiten, d. verwendete Techniken, einschliesslich Entwicklung und Wartung, e. Zugriffs- und Zutrittsrechte, f. Sicherheits- und Datenlöschkonzept, g. Standorte der Hardware und der Datenbearbeitung, h. Kontrollrechte, i. Beizug von Dritten, j. Archivierung, k. Rückführung und Löschung der Daten im Fall der Vertragsauflösung.

3 Das auslagernde Organ stellt durch organisatorische oder technische Massnahmen so

- wie vertraglich sicher, dass die staatliche Aufgabenerfüllung auch dann ohne wesentli

- che Beeinträchtigung gewährleistet ist, wenn der Auftragnehmer Abmachungen nicht einhält oder die Geschäftstätigkeit einstellt.

§ 14

Genehmigungs- und Meldepflicht

1 Die Auslagerung von Informatikdienstleistungen von übergeordnetem oder strategi

- schem Interesse bedarf der Genehmigung des Regierungsrates.

2 Die übrigen Auslagerungsvorhaben sind vorgängig der zuständigen Behörde zu mel

- den.

Nr. 26

§ 15

Pflichten des Auftragnehmers

1 Der Auftragnehmer, einschliesslich dessen Mitarbeitende und Hilfspersonen, muss die

- jenigen Amts-, Berufs- und besonderen Geheimhaltungspflichten übernehmen sowie die Bestimmungen über den Datenschutz und die Informatiksicherheit einhalten, an welche das auslagernde Organ gebunden ist.

2 Er hat dem auslagernden Organ, der zuständigen Aufsichtsstelle für den Datenschutz sowie der Finanzkontrolle Zutritt zu den Räumen und Anlagen sowie die erforderlichen Zugriffsrechte auf die entsprechenden Daten zu gewähren und sie angemessen zu unter

- stützen. *

§ 16

Kontrollrechte der betroffenen Person

1 Als Inhaber der Datensammlung gilt das verantwortliche Organ. *

2 Werden beim Auftragnehmer Kontrollrechte gemäss Datenschutzrecht geltend ge

- macht, hat dieser die betroffene Person an das auslagernde Organ zu verweisen und eine materielle Bearbeitung der Begehren zu unterlassen.

4 Informatikorganisation

§ 17

Organisationsstruktur

1 Die Informatikorganisation des Kantons Luzern besteht aus der Konzerninformatik und der Departementsinformatik.

2 Der Regierungsrat bezeichnet die Organe der Informatik und bestimmt deren grund

- sätzliche Aufgaben, Funktionen und Zuständigkeiten.

3 Die Departementsinformatik ist unter Berücksichtigung der strategischen Vorgabe der Konzerninformatik Sache der Departemente, der Staatskanzlei sowie des Kantonsgerich

- tes.

5 Informatiksicherheit

§ 18

Zuständigkeit

1 Die Informatikmittel sind durch das verantwortliche Organ beziehungsweise den Be

- treiber einer zentralen Datenbank gegen Verlust und unerwünschte Einwirkungen zu si

- chern. Personendaten sind vor unbefugtem Zugriff und unbefugter Bearbeitung zu schüt

- zen. *

8 Nr. 26

2 Die Organe der Informatik unterstützen die verantwortlichen Organe und die Betreiber von zentralen Datenbanken bei der Festlegung und der Umsetzung von Sicherheitsmass nahmen. *

§ 19

Grundsätze

1 Die Dienststellen und die Gerichte sowie die andern gemäss § 2 Absatz 2 dem Gel tungsbereich unterliegenden Stellen klassifizieren die Daten und die Informatikmittel und legen gestützt darauf die Schutzziele fest. Sie erstellen einen Massnahmenplan zur Erreichung der Schutzziele.

2 Schutzziele und Massnahmenplan sind periodisch zu überprüfen.

3 Der Regierungsrat regelt das Nähere.

§ 20

Benutzung von Informatikmitteln am Arbeitsplatz

1 Alle Anwenderinnen und Anwender sind für die Benutzung der Informatikmittel im Rahmen der geltenden Rechtsordnung und dieses Gesetzes persönlich verantwortlich. Informatikmittel dürfen nicht in missbräuchlicher Weise benutzt werden.

2 Der Regierungsrat regelt die Benutzung der Informatikmittel am Arbeitsplatz und be

- zeichnet die Fälle der missbräuchlichen Benutzung.

3 Für Kontroll- und Überwachungsmassnahmen gelten die folgenden Grundsätze: a. Kontroll- und Überwachungsmassnahmen dienen in erster Linie der Überprüfung und der Gewährleistung der technischen Sicherheit, der Funktionsfähigkeit und der Verfügbarkeit der Informatikmittel. b. Sämtliche Internetzugriffe und der gesamte E-Mail-Verkehr der Anwenderinnen und Anwender werden aufgezeichnet (protokolliert). Der Inhalt der E-Mails darf ohne Zustimmung der betroffenen Anwenderinnen und Anwender nicht gelesen werden. Von diesem Grundsatz darf nur abgewichen werden, wenn es für die staatliche Aufgabenerfüllung unerlässlich ist. c. Protokolldaten sind in anonymisierter Form auszuwerten. d. Personenbezogene Auswertungen sind ausnahmsweise zulässig, sofern die techni

- sche Sicherheit, die Funktionsfähigkeit oder die Verfügbarkeit der Informatikmit

- tel ernsthaft gefährdet sind und dies zur Störungsbehebung unumgänglich ist. Die

- se Auswertungen dürfen sich nicht auf den Inhalt von E-Mails und Internetzugrif

- fen beziehen. e. Bei begründetem Verdacht auf Missbrauch von Informatikmitteln sind nach schriftlicher Ankündigung personenbezogene Auswertungen möglich, welche sich auch auf den Inhalt von E-Mails und Internetzugriffen beziehen. f. Technische Überwachungs- und Kontrollinstrumente sowie Filtersperren sind mit Ausnahme sogenannter Spionageprogramme zulässig.

4 Der Regierungsrat regelt das Nähere, insbesondere das Kontrollverfahren. Er kann ins

- besondere vorsehen, anonymisierte Plausibilitätskontrollen über eine jeweils beschränk

- te Benutzungsdauer durchführen zu lassen.

Nr. 26

6 Schlussbestimmungen

§ 21

Zuständige Behörde

1 Der Regierungsrat bestimmt die zuständige Behörde gemäss § 5 Absatz 2 und § 14 Ab

- satz 2.

2 In den Gemeinden bestimmt der Gemeinderat die zuständige Behörde.

§ 22

Änderung von Erlassen

1 Folgende Erlasse werden gemäss Anhang

4 geändert: a. Gesetz über den Schutz von Personendaten (Datenschutzgesetz) vom

2. Juli

1990

5 , b. Gesetz über die Kantonspolizei vom 27. Januar 1998

6 .

§ 23

Strafen und Massnahmen

1 Wer die Vorschriften der §§ 4 Absatz 3, 6 Absatz 4, 10 Absatz 1 und 15 Absatz 1 ver

- letzt, wird mit Busse bis 5000 Franken bestraft. *

2 Der Regierungsrat kann durch Verordnung für Verstösse gegen die Vorschriften von §

20 oder gegen Verordnungsbestimmungen, die gestützt auf diese Bestimmung erlassen werden, Bussen bis zu 3000 Franken vorsehen.

3 An die Stelle der Strafe kann eine Massnahme treten, sofern der Fehlbare einwilligt. Diese besteht aus einem Datenschutzunterricht auf Kosten des Fehlbaren.

4 Der oder die Beauftragte für den Datenschutz organisiert den Datenschutzunterricht. Dieser kann durch Dritte erteilt werden.

5 Vorbehalten bleiben die Bestimmungen des Schweizerischen Strafgesetzbuches

§ 24

Inkrafttreten

1 Das Gesetz tritt am 1. Juli 2005 in Kraft. Es unterliegt dem fakultativen Referendum

4 Die Erlassänderungen, die der Grosse Rat am 7. März 2005 zusammen mit dem Informatikgesetz beschlossen hat, bilden gemäss § 22 einen Bestandteil dieses Gesetzes. Sie wurden in einem Anhang wiedergegeben, der am 21. Mai 2005 in der Gesetzessammlung veröffentlicht wurde (G 2005 96). Bei der vorliegenden Ausgabe wird auf die Wiedergabe dieses Anhangs mit den Erlassänderungen verzichtet.

5 SRL Nr. 38

6 SRL Nr. 350

7 SR

geändert G 2021-054

10.05.2021

01.09.2021

§ 18 Abs. 2

geändert G 2021-054