Die Verordnung bestimmt das Verfahren, die Zuständigkeiten und Verantwortlichkeiten sowie den Vollzug zur Gewährleistung der Sicherheit von Informationen, die mit Informatikmitteln bearbeitet werden.

Sie bezweckt die Regelung des sicheren und wirtschaftlichen Einsatzes von Informatikmitteln zur Erfüllung von gesetzlichen Aufgaben sowie die Wahrung der Persönlichkeitsrechte der Anwenderinnen und Anwender.

Diese Verordnung gilt für die kantonale Verwaltung (einschliesslich kantonaler Schulen) und für die Gerichte. Soweit die Sicherheit, die Funktionsfähigkeit, die Vertraulichkeit und die Verfügbarkeit der Informatikmittel betroffen sind, unterstehen ihr auch die Behördenmitglieder. Ausgenommen sind die Ausgleichskasse Luzern, die IV-Stelle Luzern, die Arbeitslosenkasse, die Gebäudeversicherung Luzern, die Luzerner Pensionskasse, die Lustat Statistik Luzern, der Verkehrsverbund Luzern, die kantonalen Spitäler (Luzerner Kantonsspital, Luzerner Psychiatrie), die Pädagogische Hochschule Luzern, die Universität und die Hochschule Luzern. *

Sie gilt jedoch auch für die gemäss Absatz 1 ausgenommenen sowie für weitere Stellen, Körperschaften, Organe und Anwenderinnen und Anwender, soweit diese Informatikmittel des Kantons Luzern benutzen.

Soweit diese Verordnung nichts anderes bestimmt, gelten für die Lernenden der kantonalen Schulen sinngemäss dieselben Vorschriften wie für die übrigen Anwenderinnen und Anwender. Falls Lernenden kantonale Geräte mit erweiterten Benutzerrechten zur Verfügung gestellt werden, gelten für diese Geräte die Bestimmungen für nichtkantonale Geräte. *

Soweit die in den Absätzen 1–3 genannten Stellen, Körperschaften, Organe und Anwenderinnen und Anwender zur Bearbeitung von Informationen des Kantons Luzern nichtkantonale Geräte nutzen, finden für diese Geräte die §§ 4, 7, 8 Absätze 1 und 2, 9–16, 18, 20, 24 Absatz 3 und 26 keine Anwendung. *

Informationen im Sinn dieser Verordnung sind Sach- und Personendaten.

Der Begriff der Informatikmittel richtet sich nach dem Informatikgesetz vom 7. März 2005[4]. Informatikmittel sind Geräte, Einrichtungen und Dienste, wie insbesondere Computersysteme, Computerprogramme, Kommunikationsdienste, die der elektronischen Erfassung, Verarbeitung, Speicherung, Übermittlung, Auswertung, Archivierung oder Vernichtung von Informationen dienen.  *

Die Begriffe der Personendaten und der Organe richten sich nach dem Gesetz über den Schutz von Personendaten (Kantonales Datenschutzgesetz) vom 2. Juli 1990[5].  *

Anonym bedeutet, dass keine Rückschlüsse auf eine einzelne Person möglich sind.

Protokolldaten sind sämtliche zum Zweck der Überwachung und Kontrolle nach dieser Verordnung notwendigen Daten.

Der Begriff der Leistungserbringer richtet sich nach der Informatikverordnung vom 17. Juni 2016[6].

Inhaber einer Datensammlung und Betreiber einer zentralen Datenbank sind verpflichtet, Informatikmittel gegen Verlust und unerwünschte Einwirkungen zu sichern und Informationen, insbesondere Personendaten, vor unbefugtem Zugriff und unbefugter Bearbeitung zu schützen.

Alle Anwenderinnen und Anwender sind für die Verwendung ihrer Informatikmittel im Rahmen der geltenden Rechtsordnung und dieser Verordnung persönlich verantwortlich.

Insbesondere sind sie dafür verantwortlich, dass an ihrem Arbeitsplatz und in ihrem Zuständigkeitsbereich die entsprechenden Vorgaben zur Gewährleistung von Datenschutz und Informationssicherheit befolgt werden.

Die Departemente, die Staatskanzlei und die Gerichte sowie die gemäss § 2 Absatz 1 ausgenommenen und die weiteren Organe, Stellen und Körperschaften, soweit diese Informatikmittel des Kantons Luzern benutzen, sorgen dafür, dass die Anwenderinnen und Anwender über den richtigen Umgang mit den Informatikmitteln geschult und regelmässig informiert werden.

Sie sind befugt, für ihren Zuständigkeitsbereich Weisungen über die Nutzung der Informatikmittel zu erlassen. Diese Weisungen sind dem oder der kantonalen Beauftragten für Informationssicherheit bekannt zu machen.

Um die Risiken durch menschlichen Irrtum, Diebstahl, Betrug oder Missbrauch von Informationen und Informatikmitteln zu verringern, sensibilisieren sie die Anwenderinnen und Anwender für die Informatiksicherheit. Sie stellen dabei sicher, dass diese ihre Verantwortlichkeiten in Bezug auf die Schutzziele verstehen und regelmässig über organisationseigene Regelungen und Verfahren zur Informatiksicherheit informiert werden.

Die Organe und die Dienststelle Informatik sind befugt, für ihren Zuständigkeitsbereich die Schutzziele zu verfeinern und zusätzliche Weisungen zu erlassen.

Die Dienststelle Informatik stellt den Organen einen Leitfaden für die Klassifizierung zur Verfügung. Die Organe und die Dienststelle Informatik sind befugt, die Klassifikationen für ihren Zuständigkeitsbereich zu verfeinern und zusätzliche Weisungen zu erlassen, insbesondere für den Umgang der Anwenderinnen und Anwender mit klassifizierten Informationen. *

Vertrauliche und geheime Informationen, namentlich besonders schützenswerte Personendaten und Persönlichkeitsprofile, dürfen nur verschlüsselt übertragen und auf Endgeräten gespeichert werden. Der oder die Beauftragte für den Datenschutz kann für die Speicherung von Personendaten und Persönlichkeitsprofilen auf Endgeräten Ausnahmen bewilligen. *

In allen Projekten für neue Anwendungen und Systeme, mit denen vertrauliche oder geheime Informationen bearbeitet werden, ist ein Informationssicherheits- und Datenschutzkonzept zu erstellen. Die Dienststelle Informatik überwacht die Umsetzung der in den Projekten vereinbarten technischen Sicherheitsanforderungen.

Die Dienststelle Informatik plant die kantonalen Informatiksicherheitsprojekte. Sie unterstützt die Organe bei der Projektierung und Einrichtung einer sicheren Informatik.

Der Massnahmenplan dient der Erreichung der Schutzziele und der Einhaltung der Sicherheitsanforderungen im Zuständigkeitsbereich der Organe. Die einzelnen Massnahmen richten sich nach den Sicherheitsanforderungen im zweiten Teil dieser Verordnung. Dabei sind der Grundsatz der Verhältnismässigkeit, der Stand der Technik und die verfügbaren Mittel zu berücksichtigen.

Die Organe überprüfen in ihrem Zuständigkeitsbereich mindestens jährlich die Schutzziele und die Klassifizierung der Informationen und Informatikmittel sowie die Einhaltung der Sicherheitsanforderungen und die Angemessenheit der Sicherheitsmassnahmen. Sie erstatten den Organisations- und Informatikbeauftragten und dem oder der kantonalen Beauftragten für Informationssicherheit darüber Bericht und passen den Massnahmenplan wenn nötig an. Die Prüfung ist umgehend vorzunehmen, wenn die Aufgaben, die Organisation oder die eingesetzten Informatikmittel eines Organs ändern. Die Organe können die Schutzziele und die Klassifizierung sowie die getroffenen Massnahmen in ihrem Zuständigkeitsbereich zusätzlich durch eine qualifizierte unabhängige externe Stelle prüfen lassen.

Sicherheitsmassnahmen und Notfallkonzepte für Informationen und Informatikmittel mit der Klassifizierung «geheim» oder mit sehr hohen Anforderungen an die Verfügbarkeit sind jährlich durch die Organe oder eine unabhängige externe Stelle zu überprüfen. *

Der oder die Beauftragte für den Datenschutz überprüft periodisch die Sicherheit, die Massnahmen und deren Umsetzung bei personenbezogenen Daten. *

Die in der vorliegenden Verordnung enthaltenen Regelungen zur Klassifizierung und zur Behandlung klassifizierter Informationen und Informatikmittel gelten nur insofern, als sie den übergeordneten bundes- und kantonalrechtlichen Vorgaben zur Vertraulichkeit von Informationen und Informatikmitteln nicht widersprechen.

Zur Verhinderung von Verlust, Beschädigung und Missbrauch von Informationen und Informatikmitteln und zur Verhinderung eines Unterbruchs von Geschäftsaktivitäten müssen die Gebäude, Räume und Geräte vor Sicherheitsbedrohungen und umgebungsbedingten Gefahren geschützt werden.

Der Zugriff auf Informationen und Informatikmittel sowie die Vergabe und Mutation von Berechtigungen sind durch die Organe in einem Zugriffskonzept zu regeln. 

Sicherheitsbereiche müssen durch angemessene Zutrittskontrollen geschützt sein, damit sichergestellt ist, dass nur autorisierten Personen Zutritt gewährt wird.

Benutzerpasswörter für die Informatikmittel müssen den Anwenderinnen und Anwendern (Angestellten, Auftragnehmern und Drittbenutzern) durch die Organe in einem geregelten und kontrollierbaren Verfahren zugeteilt werden. Die Anwenderinnen und Anwender müssen dabei auf ihre Verantwortung für die Aufrechterhaltung effektiver Zugriffskontrollen, insbesondere in Bezug auf die Nutzung des Passworts gemäss der entsprechenden Weisung zur Passwort-Policy, und auf die Sicherheit der Benutzergeräte hingewiesen werden.

Privilegierte Zugriffsrechte sowie Zugriffsrechte auf vertraulich und geheim klassifizierte Informationen und Informatikmittel dürfen nur in dem für die Ausübung der jeweiligen Rolle erforderlichen Ausmass vergeben werden. Solche Zugriffe müssen protokolliert und die Zugriffsrechte periodisch überprüft werden. *

Im Rahmen der einzelnen Funktionen eines Systems oder einer Anwendung sind die jeweiligen Anforderungen an die Überprüfung der Identität des Benutzers oder der Benutzerin beziehungsweise des Systems direkt zu formulieren und entsprechend in den Systemen und Anwendungen abzubilden.

Zur Authentifizierung des Benutzers oder der Benutzerin ist grundsätzlich das zentrale Benutzerregister zu verwenden.

Zutritts- und Zugriffsrechte von Anwenderinnen und Anwendern, Auftragnehmern oder Drittbenutzern müssen von den zuständigen Organen sofort entzogen werden, wenn deren Anstellung, deren Auftrag oder eine entsprechende Nutzungsvereinbarung beendet ist. Ändern Anstellung, Auftrag oder Nutzungsvereinbarung, sind die Zutritts- und Zugriffsrechte umgehend anzupassen.

Informationen der kantonalen Organe sind grundsätzlich über das Datenkommunikationsnetz des Kantons Luzern (LUnet) auszutauschen.

Anschlüsse an verwaltungsinterne oder -externe Informatikmittel, Netzwerke und Anwendungen bedürfen einer Bewilligung der betroffenen Organe. Mit einem externen Partner sind die seitens der Dienststelle Informatik vorgeschriebenen Sicherheitsmassnahmen schriftlich zu vereinbaren. Die Einhaltung der Sicherheitsanforderungen und die Angemessenheit der Sicherheitsmassnahmen ist durch die betroffenen Organe regelmässig risikobasiert zu überprüfen.

Die Dienststelle Informatik ist verantwortlich für die Sicherheit des LUnet. Sie kann Einschränkungen in der Nutzung festlegen, um die allgemeine Verfügbarkeit des LUnet sicherzustellen.

Die Dienststelle Informatik ist für die Sicherung der Netzübergänge zuständig.

Der Austausch von Informationen zwischen sämtlichen Kommunikationseinrichtungen hat nach den von der Dienststelle Informatik festgelegten Verfahren und Methoden zu erfolgen.

Die Leistungserbringer ergreifen geeignete Schutzmassnahmen, um unbefugten Zugriff, Missbrauch und Verfälschung der Informationen während des Datenaustausches zu verhindern. Der Schutz muss auch beim Austausch über Organisationsgrenzen hinweg gewährleistet sein.

Die Kommunikationsteilnehmerinnen und -teilnehmer sind selbst dafür verantwortlich, dass bei der Kommunikation über LUnet die jeweiligen Vertraulichkeitsanforderungen eingehalten werden.

Informationen und elektronische Datenträger sind so aufzubewahren, dass sie für Unberechtigte nicht einsehbar sind. Anwenderinnen und Anwender müssen Informationen gemäss den geltenden Weisungen geordnet und zentral auf den dafür vorgesehenen und geeigneten Anwendungen und Systemen speichern und ablegen, damit sie verfügbar bleiben und regelmässig gesichert werden.

Die Dienststelle Informatik ist in alle Vorhaben, die eine temporäre oder dauerhafte Speicherung von Informationen des Kantons Luzern auf Systemen von Dritten einschliessen, frühzeitig einzubeziehen.

Der Leistungserbringer stellt sicher, dass Informationen und Software in regelmässigen Abständen gesichert werden.

Der Leistungserbringer ist verantwortlich dafür, dass die Funktionsfähigkeit der Datensicherungskopien regelmässig getestet wird. Bei der elektronischen Archivierung stellt er die Verlässlichkeit und die Authentizität der Informationen mit angemessenen organisatorischen und technischen Vorkehrungen sicher.

Die Organe sind dafür verantwortlich, dass Pläne entwickelt und umgesetzt werden, um Störungen und Ausfällen von kritischen Geschäftsprozessen im erforderlichen Umfang zu begegnen und die Verfügbarkeit der Informatikmittel in Zusammenarbeit mit dem Leistungserbringer sicherzustellen.

Die Leistungserbringer betreiben Infrastrukturen, mit denen das Eindringen und die Verbreitung von Schadsoftware erkannt und soweit möglich verhindert werden.

Für die Bearbeitung von Informationen des Kantons Luzern dürfen grundsätzlich nur kantonale Informatikmittel verwendet werden. Kantonale Schulen sind von dieser Regelung nicht betroffen.

Für den sicheren Umgang mit mobilen Datenträgern und Informatikmitteln sind von der Dienststelle Informatik spezielle Weisungen zu erlassen. Insbesondere müssen die Weisungen vorsehen, dass Informationen vor unberechtigten Zugriffen zu schützen sind, und festlegen, welche Informationen auf mobilen Datenträgern und Informatikmitteln gespeichert werden dürfen.

Nutzen Anwenderinnen und Anwender einen mobilen Arbeitsplatz, haben sie sich an die geltenden Weisungen und Sicherheitsvorgaben zu halten. Wenn sie hoheitliche Aufgaben erfüllen, hat dies unter Ausschluss der Öffentlichkeit an den von den Organen dafür vorgeschriebenen Arbeitsorten zu erfolgen.

Vorkommnisse oder Schwachstellen im Zusammenhang mit Personendaten sind von den zuständigen Organisations- und Informatikbeauftragten dem oder der Beauftragten für den Datenschutz zu melden. *

Die zuständigen Organisations- und Informatikbeauftragten müssen ein Verfahren vorsehen, das eine schnelle, planmässige und wirksame Reaktion auf sicherheitsrelevante Vorkommnisse ermöglicht. Für Informationen und Informatikmittel mit Verfügbarkeit während 7x24 Stunden ist ein spezielles Notfallkonzept zu erstellen.

Mit E-Mail dürfen keine vertraulichen und geheimen Informationen und namentlich keine besonders schützenswerte Personendaten unverschlüsselt übermittelt werden.

Vorbehalten bleibt das Versenden von vertraulichen und geheimen Informationen namentlich von besonders schützenswerten Personendaten ohne Verschlüsselung, soweit die Dateneigner der vertraulichen Informationen und bei Personendaten die betroffenen Personen ausdrücklich damit einverstanden sind.

Die private Nutzung von Internet und E-Mail ist in beschränktem Umfang zulässig. Sie ist auf ein Minimum zu beschränken und soll in der Regel ausserhalb der Arbeitszeiten stattfinden.

Zur Gewährleistung der Sicherheit der Informatikmittel ist es dem oder der kantonalen Beauftragten für Informationssicherheit erlaubt, anerkannte Werkzeuge und Methoden für die Schwachstellenanalyse einzusetzen. Er oder sie kann eine externe Stelle mit dieser Analyse beauftragen. Der Leiter oder die Leiterin der Dienststelle Informatik ist vorgängig über die beabsichtigte Überprüfung zu informieren.

Kann in einem dienstlichen Notfall vom betroffenen Anwender oder von der betroffenen Anwenderin  nicht vorgängig die Zustimmung eingeholt werden, so kann bei den Organisations- und Informatikbeauftragten, beim Leiter oder bei der Leiterin der Dienststelle Informatik, bei deren Stellvertretung oder bei dem oder der kantonalen Beauftragten für Informationssicherheit Antrag gestellt werden, damit unter Aufsicht des oder der kantonalen Beauftragten für Informationssicherheit oder deren Stellvertretung auf das Postfach oder auf Dateien des persönlichen Laufwerks des Anwenders oder der Anwenderin zugegriffen werden kann, um dringend benötigte dienstliche Informationen zu beschaffen. Auf privat gekennzeichnete Unterordner, offensichtlich private oder als solche gekennzeichnete E-Mails oder Dateien darf nicht zugegriffen werden. Der betroffene Anwender oder die betroffene Anwenderin ist vom Leiter oder von der Leiterin der Dienststelle Informatik über den Vorgang schriftlich zu informieren.

Die Organe und die Dienststelle Informatik haben die Informatikmittel in ihrem Zuständigkeitsbereich zu überwachen und zu kontrollieren.

Die zuständigen Organe können die Ausführung von Aufgaben im Bereich der Überwachung und Kontrolle an andere Organe oder unabhängige Dritte delegieren. Der Leiter oder die Leiterin der Dienststelle Informatik und der oder die Beauftragte für den Datenschutz sind durch die Organe vor der Delegation rechtzeitig zu orientieren. *

Informatikmittel werden, soweit wirtschaftlich und technisch sinnvoll, mit geeigneten technischen und organisatorischen Massnahmen vor unerwünschten Einwirkungen, technischen Störungen und missbräuchlicher Nutzung geschützt. Die Wirksamkeit der technischen Massnahmen wird mit Systemüberwachungssoftware und mittels Auswertung von Protokolldaten gewährleistet.

E-Mails inklusive Attachments und als privat gekennzeichnete Informationen dürfen ohne vorgängige Zustimmung der betroffenen Personen nicht gelesen werden.

Unzulässig sind die Erstellung und die Auswertung von Protokolldaten mit dem einzigen Zweck, personenbezogene Nutzungsprofile von Informatikmitteln zu erhalten. Ausgenommen sind Auswertungen, wenn Störungen festgestellt werden, welche die technische Sicherheit, die Funktionsfähigkeit oder die Verfügbarkeit der Informatikmittel ernsthaft gefährden, sowie Auswertungen bei begründetem Verdacht auf Missbrauch der Informatikmittel oder bei strafrechtlichen Vorfällen.

Technische Überwachungs- und Kontrollinstrumente sowie Filtersperren sind zulässig.

Gesicherte und archivierte Protokolldaten dürfen nur im Rahmen der gesetzlichen Vorgaben verwendet werden.

Protokolldaten dürfen nur anonymisiert an Dritte übergeben werden. Ist es für die Gewährleistung der technischen Sicherheit, der Funktionsfähigkeit oder der Verfügbarkeit der Informatikmittel zwingend, kann ausnahmsweise auf die Anonymisierung verzichtet werden. Vor der Übergabe von Protokolldaten an Dritte muss mit diesen eine Geheimhaltungsvereinbarung abgeschlossen werden.

Die Organisations- und Informatikverantwortlichen, der Leiter oder die Leiterin der Dienststelle Informatik, deren Stellvertretung und der oder die kantonale Beauftragte für Informationssicherheit können einzelne anonyme Auswertungen zur Überprüfung der Zweckerfüllung der Überwachungs- und Kontrollmassnahmen anordnen. Die eingesetzten Systemverantwortlichen sind für die Durchführung der angeordneten anonymen Auswertungen und für Auswertungen im Rahmen ihres dienstlichen Auftrages verantwortlich. Die Auswertungen können von der Dienststelle Informatik oder von Dritten manuell oder maschinell mittels spezieller Software durchgeführt werden.

Anonyme Auswertungen zur Gewährleistung der technischen Sicherheit, der Funktionsfähigkeit oder der Verfügbarkeit der Informatikmittel sind uneingeschränkt erlaubt.

Die zuständigen Departementssekretärinnen und -sekretäre, der Staatsschreiber oder die Staatsschreiberin, der Präsident oder die Präsidentin des Kantonsgerichtes, der Leiter oder die Leiterin der Dienststelle Informatik und der oder die kantonale Beauftragte für Informationssicherheit können ausnahmsweise einzelne personenbezogene Auswertungen zur Gewährleistung der technischen Sicherheit, der Funktionsfähigkeit oder der Verfügbarkeit der Informatikmittel anordnen, wenn eine ernsthafte Gefährdung besteht und personenbezogene Auswertungen zur Störungsbehebung unumgänglich sind.

Bei begründetem Verdacht auf Missbrauch von Informatikmitteln können die Departementssekretärinnen und -sekretäre, der Staatsschreiber oder die Staatsschreiberin und der Präsident oder die Präsidentin des Kantonsgerichtes ausnahmsweise einzelne personenbezogene Auswertungen anordnen, welche sich auch auf den Inhalt von E-Mails und auf Internetzugriffe beziehen. Über personenbezogene Auswertungen, welche sich auf den Inhalt von E-Mails und auf Internetzugriffe beziehen, müssen betroffene Personen sowie der oder die Beauftragte für den Datenschutz vorgängig schriftlich informiert werden. *

Der Leiter oder die Leiterin der Dienststelle Informatik ist für die Durchführung von personenbezogenen Auswertungen zuständig. Die Auswertungen können manuell oder mittels spezieller Software durchgeführt werden.

Dem oder der Beauftragten für den Datenschutz und den betroffenen Personen ist nachträglich über die durchgeführten Auswertungen Bericht zu erstatten. Den betroffenen Personen sind die sie betreffenden Auswertungsresultate mitzuteilen, ausser wenn eine solche Auswertung im Rahmen eines Ermittlungs- oder Strafverfahrens erfolgt ist und die Strafprozessordnung darauf Anwendung findet. *

Protokolldaten werden mindestens sechs Monate und längstens zwei Jahre beziehungsweise spätestens bis zum Abschluss eines Straf-, Zivil- oder Verwaltungsverfahrens aufbewahrt.

Personenbezogene Protokolle und Protokolldaten werden sechs Monate beziehungsweise spätestens bis zum Abschluss eines Straf-, Zivil- oder Verwaltungsverfahrens aufbewahrt und danach irreversibel vernichtet.

Nach Ablauf der Aufbewahrungsfrist werden die Protokolldaten gelöscht. Archiv-, Backup- und Sicherungsdaten bleiben davon unberührt.

Archiv-, Backup- und Sicherungsdaten dürfen nur innerhalb der Fristen gemäss den Absätzen 1 und 2 zum Zweck der Kontrolle und zur Überwachung des Nutzerverhaltens verwendet werden.

Der Regierungsrat und der Präsident oder die Präsidentin des Kantonsgerichtes sind für die Überprüfung des Vollzugs dieser Verordnung mittels Auswertung von Protokolldaten zuständig.

Die gemäss Absatz 1 zuständige Behörde kann durch den Leiter oder die Leiterin der Dienststelle Informatik unter den Voraussetzungen gemäss § 30 anonyme Plausibilitätskontrollen (Stichproben) über eine beschränkte vergangene oder zukünftige Benutzungsdauer durchführen lassen, um den Vollzug dieser Verordnung zu überprüfen.

Besteht begründeter Verdacht auf Missbrauch von Informatikmitteln, kann die gemäss Absatz 1 zuständige Behörde unter den Voraussetzungen gemäss § 31 personenbezogene Auswertungen von Protokolldaten durchführen lassen.

Bei Verstoss gegen die Rechtsordnung im Zusammenhang mit der Nutzung von Informatikmitteln und bei Verstoss gegen diese Verordnung können die personalrechtlich vorgesehenen Sanktionen ergriffen werden, soweit für die betroffenen Personen das Personalrecht des Kantons Luzern anwendbar ist.

Gegen Lernende der kantonalen Schulen, welche im Zusammenhang mit der Nutzung von Informatikmitteln gegen die Rechtsordnung oder gegen diese Verordnung verstossen, können bildungsrechtlich vorgesehene Massnahmen ergriffen werden.

Die Strafverfolgung und die Geltendmachung zivilrechtlicher Ansprüche bleiben vorbehalten.

Die Umsetzung der §§ 15 Absatz 4, 20 und 32 Absatz 1 hat bis zum 31. Dezember 2018 zu erfolgen.

Die Umsetzung der §§ 8 Absatz 3 und 24 Absatz 1 hat bis zum 31. Dezember 2022 zu erfolgen. *