Sicherheitsleitlinie - Einhaltung von Vorgaben
 

Identifikation der anwendbaren Gesetze

Jeder Verstoß gegen Gesetze im Bereich der Informationsverarbeitung kann die Organisation in Schwierigkeiten bringen (Auswirkungen) in Bezug auf ihre Kunden (Ansehen). Es können auch finanzielle (Geldstrafe) oder strafrechtliche (private Haftung) Konsequenzen entstehen. Die Organisation muss die Gesetze einhalten, insbesondere in Bezug auf:

Geistiges Eigentum

Die Organisation muss auch für die Einhaltung der Autoren-  und Lizenzrechte sorgen. Sanktionen, die im Fall einer Missachtung der Gesetze verhängt werden, können die Organisation gefährden (KMU: siehe Ungültige oder fehlende Lizenz).  Hierbei handelt es sich hauptsächlich um Autorenrechte von literarischen und künstlerischen Werken, welchen auch Programme und auch Datenbanken zugeordnet werden, so, wie dies im Gesetz vom 18. April 2001 festgehalten ist.

Die EDV-Abteilung muss überprüfen, ob alle Anforderungen in Bezug auf die verwendeten Programme sowie auf die verarbeiteten Daten erfüllt werden. Im Zweifelsfall kann sie die betreffenden Gesetze unter der Adresse http://www.eco.public.lu/dpi nachlesen oder einen Anwalt konsultieren.

Die Basisprinzipien hierfür sind:

  • jede Vervielfältigung, öffentliche Wiedergabe und jede Verteilung muss vom Autor genehmigt sein;

  • dies gilt auch für die Wiedergabe über das Internet;

  • Software-Lizenzen müssen respektiert werden;

  • die Patente müssen respektiert werden;

  • man muss Marken, Muster und Modelle respektieren;

Schutz der organisationseigenen Aufzeichnungen

Je nach Art der verarbeiteten Daten, muss das Gesetz vom 2. August 2002 befolgt werden und es müssen geeignete Maßnahmen getroffen werden, um den Zugang zu den Verarbeitungsanlagen durch nicht autorisierte Personen zu verhindern (siehe rechtliche Aspekte).

Geschäftsdaten der Organisation müssen mindestens zehn Jahre nach Abschluss des betreffenden Geschäftsjahres aufbewahrt werden.

Schutz der personenbezogenen Daten

Jede Erstellung einer Datei oder Datenbank obliegt dem Gesetz vom 2. August 2002 zum Schutz personenbezogener Daten bei der Datenverarbeitung. Das gleiche gilt für den Umgang mit diesen Daten und für bereits bestehende Daten. (KMU: siehe Unerlaubte Verarbeitung personenbezogener Daten - Überwachung der Mitarbeiter)

Um diesen Gesetzen gerecht zu werden, müssen sich der IT-Beauftragte und der verantwortliche Jurist, nachdem sie die anwendbaren Gesetzestexte von der Nationalen Kommission für Datenschutz ("Commission Nationale pour la Protection des Données - CNPD") erhalten haben, von der Zulänglichkeit und Funktionsfähigkeit der Struktur überzeugen, vor allem auf dem Niveau:

  • der Angabe der Daten und Verfahren bei der CNPD;

  • des Erhalts einer Genehmigung seitens der CNPD, falls notwendig;

  • der Qualität der Daten und der Legitimität der Verfahren;

  • des Rechts auf Information und Widerspruch der betreffenden Personen;

  • der potenziell diskriminierenden Daten (rassenbezogen, ethnisch, politisch, religiös, philosophisch, gewerkschaftlich) oder der gesundheitsbezogenen Daten;