Dieses Gesetz legt die Organisation der Informatik fest und regelt den Einsatz der Informatikmittel unter Einbezug des Datenschutzes.

Das Gesetz gilt für die kantonale Verwaltung (einschliesslich Spitäler und kantonaler Schulen) und für die Gerichte. Ausgenommen sind die Ausgleichskasse Luzern, die IV-Stelle Luzern, die Arbeitslosenkasse, die Gebäudeversicherung, die Luzerner Pensionskasse, die im Rahmen eines Konkordats geführten Hochschulen und Fachhochschulen, die Universität Luzern sowie die Pädagogische Hochschule Luzern. *

Für die in Absatz 1 ausgenommenen Stellen und für andere vom Regierungsrat durch Verordnung bezeichnete Stellen gelten die Teile 1, 2 und 6. Der Teil 5 ist für sie anwendbar, soweit sie Informatikmittel des Kantons Luzern benutzen.

Für die Gemeinden gelten die Teile 1, 2 und 6.

Der Regierungsrat kann bestimmte Anlagen vom Geltungsbereich dieses Gesetzes ausnehmen.

Die Begriffe «Personendaten», «besonders schützenswerte Personendaten», «betroffene Person», «Bearbeiten von Personendaten», «Profiling», «verantwortliches Organ» sowie «Organ» richten sich nach dem Kantonalen Gesetz über den Schutz von Personendaten (Kantonales Datenschutzgesetz) vom 2. Juli 1990[2]. Sie umfassen in diesem Gesetz in der Regel auch Angaben über bestimmte oder bestimmbare juristische Personen oder Personengesellschaften des Handelsrechts. *

Der Begriff Informatik umfasst die Steuerung, Planung und Einführung sowie den Betrieb und Unterhalt von Prozessen und Techniken, welche der maschinellen oder maschinell unterstützten Bearbeitung von Informationen aller Art dienen.

Informatikmittel sind Geräte, Einrichtungen und Dienste, wie insbesondere Computersysteme, Computerprogramme, Kommunikationsdienste, die der elektronischen Erfassung, Verarbeitung, Speicherung, Übermittlung, Auswertung, Archivierung oder Vernichtung von Informationen dienen.

Zentrale Datenbanken bestehen aus zusammengeführten Datenbeständen verschiedener Organe. Sie können sich an einem beliebigen Ort befinden. Datenwarenhäuser und Datendrehscheiben sind zentrale Datenbanken. *

Datenwarenhäuser (data warehouses) dienen der dauerhaften Speicherung von Daten.

In Datendrehscheiben stehen Daten für den Datenaustausch vorübergehend zur Verfügung.

Abrufverfahren sind automatisierte Verfahren, welche es Dritten ermöglichen, Personendaten ohne Intervention des bekanntgebenden Organs zu bearbeiten.

Eine Auslagerung ist das Zurückgreifen eines Organs auf Informatikmittel Dritter zur Erfüllung seiner Aufgaben. Organe innerhalb eines Gemeinwesens gelten nicht als Dritte.

Die Informatik unterstützt die Wirtschaftlichkeit und die Wirksamkeit von Geschäfts- und von Lernprozessen.

Der Informatikeinsatz muss wirtschaftlich sein, der Erfüllung der öffentlichen Aufgaben dienen und den Bedürfnissen der Benutzerinnen und Benutzer entsprechen.

Techniken, die geeignet sind, aus Daten oder Personendaten besonders schützenswerte Personendaten herzustellen oder damit ein Profiling vorzunehmen, dürfen nur dann eingesetzt werden, wenn die Voraussetzungen gemäss § 5 Absatz 2 des Kantonalen Datenschutzgesetzes erfüllt sind. *

Die Errichtung und der Betrieb zentraler Datenbanken sind zulässig, sofern die Vorschriften über den Datenschutz und die Bestimmungen dieses Gesetzes eingehalten werden.

Wird eine zentrale Datenbank gestützt auf eine Bewilligung gemäss Absatz 3 betrieben, orientieren die an der zentralen Datenbank angeschlossenen Organe den Regierungsrat jährlich über den Stand der Projektarbeiten und über die Notwendigkeit der Weiterführung des Betriebs.

Der Betreiber einer zentralen Datenbank ist für den technischen Betrieb und die technische Sicherheit zuständig und verantwortlich.

Betreiber kann ein an der zentralen Datenbank beteiligtes Organ, ein Organ der Informatik gemäss § 17 Absatz 2 oder, unter Vorbehalt der Bestimmungen über die Auslagerung, ein Dritter sein.

Dem Betreiber stehen die für die Erfüllung seiner Aufgaben erforderlichen Zugriffs- und Bearbeitungsrechte auf die gespeicherten Personendaten zu. Die Systemadministration und die Zugriffsverwaltung dürfen nicht derselben Person übertragen werden.

Der Betreiber und jede von ihm mit Aufgaben des Betriebs betraute Person ist über die von ihm wahrgenommenen Personendaten zur Verschwiegenheit verpflichtet.

§ 6 Absatz 3 des Kantonalen Datenschutzgesetzes ist auf zentrale Datenbanken nicht anwendbar. *

Der Umfang der Zugriffs- und Bearbeitungsberechtigung von Organen auf Personendaten einer zentralen Datenbank bestimmt sich nach Massgabe des Kantonalen Datenschutzgesetzes und ist technisch und organisatorisch auf geeignete Weise sicherzustellen. § 6 Absatz 3 bleibt vorbehalten. *

Werden die in einem Datenwarenhaus gespeicherten Personendaten von keinem beteiligten Organ mehr benötigt, sind sie dem zuständigen Archiv zur Übernahme anzubieten. Werden sie vom Archiv als nicht archivwürdig eingestuft, sind sie umgehend zu löschen oder zu vernichten. *

Personendaten, welche in einem Datenwarenhaus gespeichert werden sollen, können für mehrere Organe gemeinsam erhoben werden.

Werden Personendaten, welche in einem Datenwarenhaus gespeichert werden sollen, für mehrere Organe gemeinsam erhoben, so ist die betroffene Person anlässlich der Erhebung auch auf die Speicherung ihrer Personendaten im Datenwarenhaus und auf die daran beteiligten Organe hinzuweisen.

Bei der Beschaffung von Informatikmitteln für zentrale Datenbanken ist die Datenschutzfreundlichkeit der Technologien angemessen zu berücksichtigen.

Bevor Informatikmittel für zentrale Datenbanken beschafft werden, sind die zuständigen Aufsichtsstellen für den Datenschutz anzuhören. Sie können innert angemessener Frist eine Stellungnahme abgeben.

Die Errichtung von Datenwarenhäusern ist vom Betreiber vor der Betriebsaufnahme im Kantonsblatt zu publizieren. In der Publikation sind für jedes Datenwarenhaus die daran beteiligten Organe und die entsprechenden Datenbestände sowie der Betreiber aufzuführen. Ferner hat die Publikation für jeden Datenbestand Auskunft zu geben über die Rechtsgrundlage, den Zweck, die Mittel und Verfahren des Bearbeitens, die Art und Herkunft der Personendaten und deren regelmässige Empfänger sowie über das Vorhandensein und den Aufbewahrungsort von Kopien. *

In der Publikation sind ferner die Kontrollrechte jeder Person sowie die zuständigen Aufsichtsstellen für den Datenschutz gemäss diesem Gesetz und dem Kantonalen Datenschutzgesetz anzugeben. *

Die Angaben gemäss Absatz 1 sind in das Verzeichnis der Datenbearbeitungstätigkeiten aufzunehmen.  *

Die zuständige Aufsichtsstelle für den Datenschutz und der oder die zuständige Informatikverantwortliche prüfen gemeinsam, ob über die betroffene Person im Datenwarenhaus Personendaten gespeichert sind und welchen Organen dafür Zugriffs- oder Bearbeitungsrechte zustehen. Der zuständigen Aufsichtsstelle für den Datenschutz und dem oder der Informatikverantwortlichen stehen die dazu erforderlichen Zutrittsrechte zu den Räumen und Anlagen des Betreibers sowie die erforderlichen Zugriffs- und Bearbeitungsrechte auf im Datenwarenhaus gespeicherte Personendaten zu. Der Betreiber hat alle für die Prüfung notwendige Unterstützung zu leisten.

Die zuständige Aufsichtsstelle für den Datenschutz gibt der betroffenen Person Auskunft darüber, welche am Datenwarenhaus beteiligten Organe berechtigt sind, auf ihre Personendaten zuzugreifen oder sie zu bearbeiten. Die zuständige Aufsichtsstelle für den Datenschutz darf diese Auskunft aus überwiegenden öffentlichen Interessen oder überwiegenden privaten Interessen Dritter oder der betroffenen Person einschränken, mit Auflagen versehen oder verweigern.

Das Verfahren betreffend Auskunft über die über eine betroffene Person vorhandenen Personendaten sowie betreffend Einsicht, Berichtigung und andere Ansprüche richtet sich nach dem Kantonalen Datenschutzgesetz. Auf Begehren der betroffenen Person leitet die zuständige Aufsichtsstelle für den Datenschutz bei den Organen, welche berechtigt sind, auf ihre Personendaten zuzugreifen oder sie zu bearbeiten, das Verfahren ein. *

Die Aufsichtsstellen für den Datenschutz und die Informatikverantwortlichen sind über die von ihnen wahrgenommenen Personendaten zur Verschwiegenheit verpflichtet.

Teil 2 dieses Gesetzes ist auf die Errichtung und den Betrieb von Abrufverfahren sinngemäss anwendbar. Vorbehalten bleiben die Vorschriften über Publikation und Register.

Die Auslagerung von Informatikdienstleistungen ist zulässig, sofern die Vorschriften über den Datenschutz sowie die Bestimmungen dieses Gesetzes eingehalten werden. Die finanzrechtlichen Vorschriften bleiben vorbehalten.

Das auslagernde Organ stellt durch organisatorische oder technische Massnahmen sowie vertraglich sicher, dass die staatliche Aufgabenerfüllung auch dann ohne wesentliche Beeinträchtigung gewährleistet ist, wenn der Auftragnehmer Abmachungen nicht einhält oder die Geschäftstätigkeit einstellt.

Die Auslagerung von Informatikdienstleistungen von übergeordnetem oder strategischem Interesse bedarf der Genehmigung des Regierungsrates.

Die übrigen Auslagerungsvorhaben sind vorgängig der zuständigen Behörde zu melden.

Der Auftragnehmer, einschliesslich dessen Mitarbeitende und Hilfspersonen, muss diejenigen Amts-, Berufs- und besonderen Geheimhaltungspflichten übernehmen sowie die Bestimmungen über den Datenschutz und die Informatiksicherheit einhalten, an welche das auslagernde Organ gebunden ist.

Er hat dem auslagernden Organ, der zuständigen Aufsichtsstelle für den Datenschutz sowie der Finanzkontrolle Zutritt zu den Räumen und Anlagen sowie die erforderlichen Zugriffsrechte auf die entsprechenden Daten zu gewähren und sie angemessen zu unterstützen. *

Als Inhaber der Datensammlung gilt das verantwortliche Organ. *

Werden beim Auftragnehmer Kontrollrechte gemäss Datenschutzrecht geltend gemacht, hat dieser die betroffene Person an das auslagernde Organ zu verweisen und eine materielle Bearbeitung der Begehren zu unterlassen.

Die Informatikorganisation des Kantons Luzern besteht aus der Konzerninformatik und der Departementsinformatik.

Der Regierungsrat bezeichnet die Organe der Informatik und bestimmt deren grundsätzliche Aufgaben, Funktionen und Zuständigkeiten.

Die Departementsinformatik ist unter Berücksichtigung der strategischen Vorgabe der Konzerninformatik Sache der Departemente, der Staatskanzlei sowie des Kantonsgerichtes.

Die Informatikmittel sind durch das verantwortliche Organ beziehungsweise den Betreiber einer zentralen Datenbank gegen Verlust und unerwünschte Einwirkungen zu sichern. Personendaten sind vor unbefugtem Zugriff und unbefugter Bearbeitung zu schützen. *

Die Organe der Informatik unterstützen die verantwortlichen Organe und die Betreiber von zentralen Datenbanken bei der Festlegung und der Umsetzung von Sicherheitsmassnahmen. *

Die Dienststellen und die Gerichte sowie die andern gemäss § 2 Absatz 2 dem Geltungsbereich unterliegenden Stellen klassifizieren die Daten und die Informatikmittel und legen gestützt darauf die Schutzziele fest. Sie erstellen einen Massnahmenplan zur Erreichung der Schutzziele.

Schutzziele und Massnahmenplan sind periodisch zu überprüfen.

Der Regierungsrat regelt das Nähere.

Alle Anwenderinnen und Anwender sind für die Benutzung der Informatikmittel im Rahmen der geltenden Rechtsordnung und dieses Gesetzes persönlich verantwortlich. Informatikmittel dürfen nicht in missbräuchlicher Weise benutzt werden.

Der Regierungsrat regelt die Benutzung der Informatikmittel am Arbeitsplatz und bezeichnet die Fälle der missbräuchlichen Benutzung.

Der Regierungsrat regelt das Nähere, insbesondere das Kontrollverfahren. Er kann insbesondere vorsehen, anonymisierte Plausibilitätskontrollen über eine jeweils beschränkte Benutzungsdauer durchführen zu lassen.

Der Regierungsrat bestimmt die zuständige Behörde gemäss § 5 Absatz 2 und § 14 Absatz 2.

In den Gemeinden bestimmt der Gemeinderat die zuständige Behörde.

Wer die Vorschriften der §§ 4 Absatz 3, 6 Absatz 4, 10 Absatz 1 und 15 Absatz 1 verletzt, wird mit Busse bis 5000 Franken bestraft. *

Der Regierungsrat kann durch Verordnung für Verstösse gegen die Vorschriften von § 20 oder gegen Verordnungsbestimmungen, die gestützt auf diese Bestimmung erlassen werden, Bussen bis zu 3000 Franken vorsehen.

An die Stelle der Strafe kann eine Massnahme treten, sofern der Fehlbare einwilligt. Diese besteht aus einem Datenschutzunterricht auf Kosten des Fehlbaren.

Der oder die Beauftragte für den Datenschutz organisiert den Datenschutzunterricht. Dieser kann durch Dritte erteilt werden.

Vorbehalten bleiben die Bestimmungen des Schweizerischen Strafgesetzbuches[7].

Das Gesetz tritt am 1. Juli 2005 in Kraft. Es unterliegt dem fakultativen Referendum[8].