SächsISichG - Sächsisches Informationssicherheitsgesetz
SächsISichG - Sächsisches Informationssicherheitsgesetz |
| Sektor | Staat und Verwaltung |
|---|---|
| Branche | Justizeinrichtungen |
| Ebene | Landesrecht |
| Bundesland | Sachsen |
| Rechtsakt | Gesetzlich |
Sächsisches Informationssicherheitsgesetz
SächSISichG§§ 4; 5; 6; 12; 13
§ 4 Grundsätze der Informationssicherheit
(1) 1Die staatlichen Stellen treffen angemessene organisatorische und technische Vorkehrungen sowie sonstige Maßnahmen zur Gewährleistung der Informationssicherheit. 2Für technische Maßnahmen soll der Stand der Technik maßgeblich sein. 3Maßnahmen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen der Verletzung der Schutzziele steht. 4Um die Erreichung und Aufrechterhaltung eines angemessenen Informationssicherheitsniveaus zu gewährleisten, haben alle staatlichen Stellen die jeweils geltenden Standards und das jeweils geltende IT-Grundschutz-Kompendium des Bundesamtes für Sicherheit in der Informationstechnik zu berücksichtigen. 5Die staatlichen Stellen erstellen und pflegen ein Informationssicherheitsmanagementsystem.
(2) 1Für die nicht-staatlichen Stellen gilt Absatz 1 Satz 1 bis 3 entsprechend. 2Die jeweils geltenden Standards und das jeweils geltende IT-Grundschutz-Kompendium des Bundesamtes für Sicherheit in der Informationstechnik werden zur Anwendung empfohlen. 3Werden dem Freistaat Sachsen Informationssicherheitsstandards verbindlich durch Beschlüsse des IT-Planungsrates gemäß Artikel 91c Absatz 2 Satz 1 des Grundgesetzes für die Bundesrepublik Deutschland vorgeschrieben oder nach § 5 des Onlinezugangsgesetzes vom 14. August 2017 (BGBl. I S. 3122, 3138), in der jeweils geltenden Fassung, festgelegt, sind diese Standards durch die nicht-staatlichen Stellen bei den von ihnen eingesetzten informationstechnischen Systemen einzuhalten.
(3) 1Die Verantwortung für die Informationssicherheit im Sinne des Absatzes 1 trägt der jeweilige Leiter der staatlichen oder nicht-staatlichen Stelle, bei Schulen der jeweilige Schulträger. 2Er stellt im Rahmen der ihm zugewiesenen Aufgaben und Befugnisse die erforderlichen personellen und finanziellen Ressourcen zur Verfügung.
(4) Wesentliche Änderungen an den informationstechnischen Systemen einer staatlichen oder nicht-staatlichen Stelle dürfen nur im Benehmen mit dem für diese staatliche oder nicht-staatliche Stelle ernannten Beauftragten für Informationssicherheit durchgeführt werden.
(5) Im Einzelfall ist auf den Einsatz informationstechnischer Systeme zu verzichten, wenn die erforderlichen Vorkehrungen zur Gewährleistung der Informationssicherheit außer Verhältnis zur erreichbaren Herabsetzung des Risikos für die in § 3 Absatz 1 genannten Schutzziele stehen.§ 5 Beauftragter für Informationssicherheit des Landes
(1) 1Der Beauftragte für Informationssicherheit des Landes wird vom Beauftragten für Informationstechnologie des Freistaates Sachsen ernannt und nimmt seine Aufgaben hauptamtlich wahr. 2Er fördert und unterstützt durch die Erstellung von konkreten Handlungsempfehlungen, Maßnahme- und Formulierungsvorschlägen, Erläuterungen, Leitfäden und auf Anforderung durch individuelle Beratung die Beauftragten für Informationssicherheit nach § 7 Absatz 1 bei der Erfüllung ihrer Aufgaben, insbesondere bei der Erstellung und Pflege eines Informationssicherheitsmanagementsystems. 3Er initiiert und koordiniert landesweite Sensibilisierungs- und Schulungsmaßnahmen und Projekte zur Informationssicherheit. 4Der Beauftragte für Informationssicherheit des Landes hat ein direktes Vorspracherecht beim Beauftragten für Informationstechnologie des Freistaates Sachsen. 5Er berät ihn bei seiner Aufgabenwahrnehmung bezüglich der Informationssicherheit und unterstützt ihn bei der Umsetzung.
(2) Zur Erfüllung seiner Aufgaben kann der Beauftragte für Informationssicherheit des Landes dem Sicherheitsnotfallteam fachliche Weisungen erteilen.
(3) 1Gegenüber an das Sächsische Verwaltungsnetz angeschlossenen staatlichen Stellen kann der Beauftragte für Informationssicherheit des Landes Anordnungen treffen oder Maßnahmen ergreifen, um Gefahren für die informationstechnischen Systeme, die mit dem Sächsischen Verwaltungsnetz verbunden sind, abzuwehren. 2Zur Abwehr von stellenübergreifenden Sicherheitsvorfällen ihrer informationstechnischen Systeme oder Prozesse darf er bei Gefahr im Verzug vorübergehende Netztrennungen anordnen. 3Der Leiter der staatlichen Stelle und der für die staatliche Stelle ernannte Beauftragte für Informationssicherheit sind unverzüglich zu unterrichten. 4Für die Umsetzung der Maßnahmen bedient sich der Beauftragte für Informationssicherheit des Landes des Sicherheitsnotfallteams.
(4) 1Gegenüber nicht-staatlichen Stellen kann der Beauftragte für Informationssicherheit des Landes Anordnungen im Benehmen mit dem Beauftragten für Informationssicherheit des Betreibers des Kommunalen Datennetzes treffen, um Gefahren für die informationstechnischen Systeme, die mit dem Kommunalen Datennetz verbunden sind, abzuwehren. 2Zur Abwehr von stellenübergreifenden Sicherheitsvorfällen auf informationstechnische Systeme oder Prozesse innerhalb des Sächsischen Verwaltungsnetzes darf er bei Gefahr im Verzug vorübergehende Trennungen des Kommunalen Datennetzes vom Sächsischen Verwaltungsnetz anordnen. 3Der Leiter der nicht-staatlichen Stelle, der für diese ernannte Beauftragte für Informationssicherheit und der Beauftragte für Informationssicherheit des Betreibers des Kommunalen Datennetzes sind unverzüglich zu unterrichten. 4Die vom Beauftragten für Informationssicherheit des Landes angeordneten Maßnahmen nach Satz 2 werden durch das Sicherheitsnotfallteam umgesetzt.
(5) Der Beauftragte für Informationssicherheit des Landes ist für die Erstellung des Informationssicherheitsmanagementsystems für die sächsische Staatsverwaltung zuständig.
(6) 1Der Beauftragte für Informationssicherheit des Landes erstellt verbindliche Mindeststandards zur Informationssicherheit für die staatlichen Stellen und legt sie nach Anhörung der Arbeitsgruppe Informationssicherheit dem Gremium nach § 17 Absatz 1 des Sächsischen E-Government-Gesetzes vom 9. Juli 2014 (SächsGVBl. S. 398), das zuletzt durch Artikel 2 des Gesetzes vom 2. August 2019 (SächsGVBl. S. 630) geändert worden ist, in der jeweils geltenden Fassung, zur Entscheidung vor. 2Die Arbeitsgruppe Informationssicherheit unterstützt den Beauftragten für Informationssicherheit des Landes dabei. 3Den nicht-staatlichen Stellen wird die Anwendung der Mindeststandards empfohlen. 4Auf Ersuchen berät der Beauftragte für Informationssicherheit des Landes die staatlichen oder nicht-staatlichen Stellen bei der Umsetzung und Einhaltung der Mindeststandards.
(7) 1Um die Wirksamkeit des Informationssicherheitsmanagementsystems und den Stand der Erfüllung der Mindeststandards zu überprüfen, kann der Beauftragte für Informationssicherheit des Landes die erforderlichen Auskünfte und die Überlassung von entsprechenden Unterlagen der staatlichen Stellen verlangen. 2Zu diesem Zweck darf er eigene Revisionen durchführen, wobei für den Sächsischen Rechnungshof, den Sächsischen Datenschutzbeauftragten, die Gerichte und Staatsanwaltschaften sowie die Behörden und Organisationen mit Sicherheitsaufgaben hierfür deren Einvernehmen einzuholen ist. 3Er ist über geplante Audits oder Revisionen zu unterrichten. 4Vorliegende Zertifikate auf der Basis von IT-Grundschutz nach dem BSI-Gesetz und der Zertifizierungsverordnung zum BSI-Gesetz sind dabei zu beachten.
(8) 1Der Beauftragte für Informationssicherheit des Landes unterrichtet den Landtag jährlich allgemein über seine Tätigkeit und über
1. die durch das Sicherheitsnotfallteam getroffenen Anordnungen und ergriffenen Maßnahmen gemäß § 6 Absatz 3,
2. die Anzahl von Fällen der Verarbeitung personenbezogener Daten durch das Sicherheitsnotfallteam zu anderen Zwecken als demjenigen, zu dem die Daten ursprünglich erhoben wurden, gemäß § 6 Absatz 4,
3. die zur Abwehr von Gefahren für die informationstechnischen Systeme ergriffenen Maßnahmen gemäß § 12,
4. die Anzahl von Fällen der nicht automatisierten Auswertung, der personenbezogenen Verarbeitung und der Wiederherstellung des Personenbezugs pseudonymisierter Daten bei Protokolldaten gemäß § 13 Absatz 2,
5. die Anzahl von Fällen der Speicherung und der Auswertung von Inhaltsdaten und Wiederherstellung des Personenbezugs pseudonymisierter Daten gemäß § 13 Absatz 3,
6. die Anzahl von Fällen der nicht automatisierten Verarbeitung von Daten gemäß § 13 Absatz 4,
7. die Anzahl der durchgeführten, unterbliebenen sowie nachgeholten Benachrichtigungen gemäß § 13 Absatz 5,
8. die Anzahl von Fällen der Übermittlung von Daten gemäß § 13 Absatz 6 und 7,
9. den Umgang mit unzulässig erlangten Daten, die den Kernbereich privater Lebensgestaltung betreffen, gemäß § 13 Absatz 8, sowie
10. die Anzahl von gemäß §§ 15 bis 17 gemeldeten Sicherheitsereignissen und Sicherheitsvorfällen.
2Die staatlichen und nicht-staatlichen Stellen, die die Maßnahmen nach §§ 12 und 13 in eigener Zuständigkeit ausüben, unterrichten den Beauftragten für Informationssicherheit des Landes jährlich über ihre Tätigkeit gemäß Satz 1 Nummern 3 bis 10.
(9) Der Beauftragte für Informationssicherheit des Landes unterrichtet die Gremien nach § 17 Absatz 1 und § 18 Absatz 2 des Sächsischen E-Government-Gesetzes und die Arbeitsgruppe Informationssicherheit regelmäßig über seine Tätigkeit.
(10) Der Beauftragte für Informationssicherheit des Landes unterrichtet die Öffentlichkeit über wesentliche Entwicklungen der Informationssicherheit im Freistaat Sachsen.
§ 6 Sicherheitsnotfallteam
(1) 1Das Sicherheitsnotfallteam ist im Staatsbetrieb Sächsische Informatik Dienste angesiedelt. 2Aufgaben des Sicherheitsnotfallteams sind:
1. das Aufzeigen von Lösungen bei konkreten Sicherheitsereignissen oder -vorfällen,
2. die Prüfung auf Risiken im Betrieb von informationstechnischen Systemen und die Unterstützung bei ihrer Beseitigung,
3. die Information zu Sicherheitslücken,
4. die Erfassung und Analyse der Lage der Informationssicherheit sowie die Erstellung daraus abgeleiteter Empfehlungen,
5. die Wahrnehmung der zentralen Meldestelle im Sinne des BSI-Gesetzes,
6. die Wahrnehmung der zentralen Meldestelle im Sinne des IT-Planungsrates im Verwaltungs-CERT-Verbund,
7. die Mitwirkung bei der technischen und technologischen Koordinierung der Informationssicherheit in den staatlichen und nicht-staatlichen Stellen sowie
8. die regelmäßige Information über die Lage der Informationssicherheit im Freistaat Sachsen.
3Das Sicherheitsnotfallteam unterstützt den Beauftragten für Informationssicherheit des Landes und die Beauftragten für Informationssicherheit der staatlichen oder nicht-staatlichen Stellen des Freistaates Sachsen in technischen Sicherheitsfragen.
(2) 1Das Sicherheitsnotfallteam hat zur Wahrnehmung seiner Aufgaben alle für die Abwehr von Gefahren für die Informationssicherheit erforderlichen Informationen, insbesondere zu Sicherheitslücken, Schadprogrammen, erfolgten oder versuchten Angriffen auf die Sicherheit in den informationstechnischen Systemen und der dabei beobachteten Vorgehensweise, zu sammeln und auszuwerten. 2Die staatlichen oder nicht-staatlichen Stellen im Freistaat Sachsen stellen dem Sicherheitsnotfallteam die Daten unverzüglich und unentgeltlich für die Zwecke nach Satz 1 je nach Anforderung kontinuierlich oder auf Anforderung zur Verfügung. 3Daten des Sächsischen Rechnungshofs, des Sächsischen Datenschutzbeauftragten, der Gerichte und Staatsanwaltschaften sowie der Behörden und Organisationen mit Sicherheitsaufgaben dürfen nur einvernehmlich mit diesen erhoben, gespeichert, ausgewertet, genutzt oder sonst verarbeitet werden. 4Sind Daten betroffen, die dem richterlichen, staatsanwaltschaftlichen oder rechtspflegerischen Arbeitsprozess zuzurechnen sind, ist § 41c des Sächsischen Justizgesetzes vom 24. November 2000 (SächsGVBl. S. 482; 2001 S. 704), das zuletzt durch Artikel 15 des Gesetzes vom 11. Mai 2019 (SächsGVBl. S. 358) geändert worden ist, in der jeweils geltenden Fassung, entsprechend anzuwenden. 5Für Hochschulen im Sinne von § 1 Absatz 1 des Sächsischen Hochschulfreiheitsgesetzes in der Fassung der Bekanntmachung vom 15. Januar 2013 (SächsGVBl. S. 3), das zuletzt durch Artikel 2 Absatz 27 des Gesetzes vom 5. April 2019 (SächsGVBl. S. 245) geändert worden ist, und hochschulnahe Einrichtungen gilt Satz 2 nicht.
(3) 1Das Sicherheitsnotfallteam kann zur Erfüllung seiner Aufgaben gegenüber staatlichen Stellen und nicht-staatlichen Stellen, soweit sie an das Sächsische Verwaltungsnetz oder das Kommunale Datennetz angeschlossen sind, im Einvernehmen mit dem Beauftragten für Informationssicherheit des Landes und im Benehmen mit dem jeweils zuständigen Beauftragten für Informationssicherheit die erforderlichen Anordnungen treffen oder Maßnahmen ergreifen, um die Gefahren für die informationstechnischen Systeme etwa durch Schadprogramme, Sicherheitslücken, unbefugte Datennutzung oder unbefugte Datenverarbeitung durch Dritte zu erkennen und abzuwehren. 2Das umfasst insbesondere die dazu erforderliche Datenverarbeitung.
(4) 1Die Verarbeitung personenbezogener Daten durch das Sicherheitsnotfallteam zu anderen Zwecken als demjenigen, zu dem die Daten ursprünglich erhoben wurden, ist zur Sammlung, Auswertung oder Untersuchung von Informationen zu Sicherheitslücken, Schadprogrammen, erfolgten oder versuchten Angriffen auf die Sicherheit in den informationstechnischen Systemen und der dabei beobachteten Vorgehensweise oder zur Unterstützung oder Beratung zu Fragen der Informationssicherheit zulässig, wenn sie zur Gewährleistung der Informationssicherheit erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. 2Die Verarbeitung personenbezogener Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1, L 314 vom 22.11.2016, S. 72, L 127 vom 23.5.2018, S. 2) durch das Sicherheitsnotfallteam ist zulässig, wenn
1. die Verarbeitung erforderlich ist zur Abwehr einer erheblichen Gefahr für die Netz-, Daten- oder Informationssicherheit,
2. ein Ausschluss dieser Daten von der Verarbeitung die Erfüllung der Aufgaben des Sicherheitsnotfallteams unmöglich machen oder diese erheblich gefährden würde und
3. kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss dieser Daten von der Verarbeitung überwiegt.
3Personenbezogene Daten sind unverzüglich zu löschen, sobald sie für die Erfüllung der Aufgaben des Sicherheitsnotfallteams nicht mehr benötigt werden. 4Sie sind spätestens 90 Tage nach ihrer Erhebung zu pseudonymisieren; § 13 Absatz 2 Satz 6 und 7 gilt entsprechend. 5Satz 1 gilt nicht für Daten, die dem richterlichen, staatsanwaltschaftlichen oder rechtspflegerischen Arbeitsprozess zuzurechnen sind.
(5) 1Das Sicherheitsnotfallteam sieht angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vor. 2§ 22 Absatz 2 Satz 2 des Bundesdatenschutzfesetzes vom 30. Juni 2017 (BGBl. I S. 2097) gilt entsprechend.
§ 12 Abwehr von Gefahren für die informationstechnischen Systeme im Freistaat Sachsen
(1) Zur Erkennung und Abwehr von Gefahren für die informationstechnischen Systeme im Freistaat Sachsen etwa durch Schadprogramme, Sicherheitslücken oder unbefugte Datenverarbeitung dürfen das Sicherheitsnotfallteam sowie die staatlichen und nicht-staatlichen Stellen im Freistaat Sachsen innerhalb ihres jeweiligen Zuständigkeitsbereichs
1. Protokolldaten erheben und automatisiert auswerten sowie
2. die an den Schnittstellen der informationstechnischen Systeme anfallenden Protokoll- und Inhaltsdaten erheben und automatisiert auswerten,
soweit dies zur Verhinderung oder Abwehr von Angriffen auf informationstechnische Systeme der staatlichen und nicht-staatlichen Stellen im Freistaat Sachsen oder zum Erkennen, Eingrenzen oder Beseitigen dieser Störungen der Informationssicherheit erforderlich ist.
(2) Die staatlichen und nicht-staatlichen Stellen im Freistaat Sachsen sind verpflichtet, das Sicherheitsnotfallteam bei Maßnahmen nach Absatz 1 und § 13 zu unterstützen sowie hierbei dem Sicherheitsnotfallteam behördeninterne Protokolldaten nach Absatz 1 Nummer 1 und Daten nach Absatz 1 Nummer 2 zur Verfügung zu stellen.
(3) 1Daten des Landtags, des Sächsischen Rechnungshofs, des Sächsischen Datenschutzbeauftragten, der Gerichte und Staatsanwaltschaften, der Behörden und Organisationen mit Sicherheitsaufgaben sowie der Hochschulen im Sinne von § 1 Absatz 1 des Sächsischen Hochschulfreiheitsgesetzes dürfen nur einvernehmlich mit diesen erhoben, gespeichert, ausgewertet, genutzt oder sonst verarbeitet werden. 2Sind Daten betroffen, die dem richterlichen, staatsanwaltschaftlichen oder rechtspflegerischen Arbeitsprozess zuzurechnen sind, ist § 41c des Sächsischen Justizgesetzes entsprechend anzuwenden.
§ 13 Datenspeicherung und -auswertung
(1) 1Sofern nicht die Absätze 2 bis 8 eine weitere Verarbeitung gestatten, muss eine automatisierte Auswertung der Daten nach § 12 Absatz 1 unverzüglich erfolgen und diese müssen nach erfolgtem Abgleich sofort und nach dem Stand der Technik sicher gelöscht werden. 2Daten, die weder personenbezogen sind noch dem Fernmeldegeheimnis unterliegen, sind von den Verarbeitungseinschränkungen dieser Vorschrift ausgenommen.
(2) 1Protokolldaten dürfen über den für die automatisierte Auswertung erforderlichen Zeitraum hinaus, längstens jedoch für 90 Tage, gespeichert werden, soweit tatsächliche Anhaltspunkte bestehen, dass die Daten erforderlich sein können:
1. für den Fall der Bestätigung eines Verdachts nach Absatz 4 Satz 1 zur Abwehr von Gefahren für die informationstechnischen Systeme oder
2. zur Verhütung, Unterbindung oder Verfolgung damit zusammenhängender Straftaten.
2Die Daten sind im Gebiet der Europäischen Union zu speichern. 3Durch organisatorische und technische Maßnahmen nach dem Stand der Technik ist sicherzustellen, dass eine Auswertung der nach Satz 1 gespeicherten Daten nur automatisiert erfolgt. 4Die Daten sind zu pseudonymisieren, soweit dies automatisiert möglich ist. 5Eine nicht automatisierte Auswertung oder eine personenbezogene Verarbeitung ist nur nach Maßgabe der Absätze 4 bis 8 zulässig. 6Soweit hierzu die Wiederherstellung des Personenbezugs pseudonymisierter Daten erforderlich ist, muss diese durch den zuständigen Leiter der staatlichen oder nicht-staatlichen Stelle angeordnet werden. 7Diese Entscheidung ist zu dokumentieren.
(3) 1Inhaltsdaten dürfen über den für die automatisierte Auswertung erforderlichen Zeitraum hinaus, längstens für 60 Tage gespeichert werden, soweit tatsächliche Anhaltspunkte bestehen, dass die Daten erforderlich sein können:
1. für den Fall der Bestätigung eines Verdachts nach Absatz 4 Satz 1 zur Abwehr von Gefahren für die informationstechnischen Systeme oder
2. zur Verhütung, Unterbindung oder Verfolgung damit zusammenhängender Straftaten
und die Speicherung zum Schutz der technischen Systeme unerlässlich ist. 2Die Speicherung und Auswertung der Inhaltsdaten ist vom zuständigen Leiter der staatlichen oder nicht-staatlichen Stelle und einem weiteren Bediensteten dieser Stelle mit Befähigung zum Richteramt anzuordnen. 3Die Daten sind im Gebiet der Europäischen Union zu speichern. 4Durch organisatorische und technische Maßnahmen nach dem Stand der Technik ist sicherzustellen, dass eine Auswertung der nach Satz 1 gespeicherten Daten nur automatisiert erfolgt. 5Die Daten sind zu pseudonymisieren, soweit dies automatisiert möglich ist. 6Eine nicht automatisierte Auswertung oder eine personenbezogene Verarbeitung ist nur nach Maßgabe der Absätze 4 bis 8 zulässig. 7Soweit hierzu die Wiederherstellung des Personenbezugs pseudonymisierter Daten erforderlich ist, muss diese durch den zuständigen Leiter der staatlichen oder nicht-staatlichen Stelle und einen weiteren Bediensteten dieser Stelle mit der Befähigung zum Richteramt angeordnet werden. 8Sofern diese Stelle keinen weiteren Bediensteten mit der Befähigung zum Richteramt beschäftigt, ist die Anordnung der Speicherung und Auswertung der Inhaltsdaten oder der Wiederherstellung des Personenbezugs pseudonymisierter Daten durch den Leiter der staatlichen oder nicht-staatlichen Stelle und einen Bediensteten der Aufsichtsbehörde mit der Befähigung zum Richteramt zu treffen. 9Die Anordnung gilt längstens für zwei Monate; sie kann verlängert werden. 10Diese Entscheidung ist zu dokumentieren.
(4) 1Die Verarbeitung der in § 12 Absatz 1 genannten Daten ist auch zulässig,
1. wenn bestimmte Tatsachen den Verdacht begründen, dass die Daten Gefahren für die informationstechnischen Systeme etwa durch Schadprogramme, programmtechnische Sicherheitslücken oder unbefugte Datenverarbeitung enthalten oder Hinweise auf solche Gefahren geben können, und
2. soweit die Datenverarbeitung erforderlich ist, um den Verdacht zu bestätigen oder zu widerlegen.
2Im Falle der Bestätigung des Verdachts ist die weitere Verarbeitung der Daten zulässig, soweit die Datenverarbeitung zur Abwehr von Gefahren für die informationstechnischen Systeme erforderlich ist. 3Ein Schadprogramm darf beseitigt oder in seiner Funktionsweise gehindert werden. 4Die nicht automatisierte Verarbeitung der Daten nach den Sätzen 1 und 2 darf nur durch den Leiter der staatlichen oder nicht-staatlichen Stelle und einen Bediensteten dieser Stelle mit der Befähigung zum Richteramt angeordnet werden. 5Sofern diese Stelle keinen weiteren Bediensteten mit der Befähigung zum Richteramt beschäftigt, ist die Anordnung nach Satz 4 durch den Leiter der staatlichen oder nicht-staatlichen Stelle und einen Bediensteten der Aufsichtsbehörde mit der Befähigung zum Richteramt zu treffen.
(5) 1Die von den Maßnahmen nach Absatz 4 betroffenen Personen und betroffenen staatlichen oder nicht-staatlichen Stellen sind spätestens nach dem Erkennen und der Abwehr eines Schadprogramms oder von Gefahren, die von einem Schadprogramm ausgehen, zu benachrichtigen, wenn sie bekannt sind oder ihre Identifikation ohne unverhältnismäßigen Aufwand möglich ist sowie nicht überwiegende schutzwürdige Belange Dritter entgegenstehen. 2Die Benachrichtigung kann unterbleiben, wenn die Person nur unerheblich betroffen wurde und anzunehmen ist, dass sie an einer Benachrichtigung kein Interesse hat. 3Die staatlichen und nicht-staatlichen Stellen legen Fälle, in denen sie von einer Benachrichtigung absehen, dem zuständigen Datenschutzbeauftragten der staatlichen oder nicht-staatlichen Stelle sowie einem weiteren Bediensteten dieser Stelle, der die Befähigung zum Richteramt hat, zur Kontrolle vor. 4Der zuständige Datenschutzbeauftragte ist bei Ausübung dieser Aufgabe weisungsfrei und darf deswegen nicht benachteiligt werden (Artikel 38 Absatz 3 der Verordnung [EU] 2016/679 beziehungsweise § 11 Absatz 2 des Sächsischen Datenschutzgesetzes). 5Wenn der zuständige Datenschutzbeauftragte der Entscheidung der staatlichen oder nicht-staatlichen Stelle widerspricht, ist die Benachrichtigung nachzuholen. 6Die Entscheidung über die Nichtbenachrichtigung ist zu dokumentieren. 7Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. 8Sie ist nach zwölf Monaten zu löschen. 9In den Fällen der Absätze 6 und 7 erfolgt die Benachrichtigung durch die dort genannten Behörden nach den für diese Behörden geltenden Vorschriften. 10Enthalten diese keine Bestimmungen zu Benachrichtigungspflichten, sind die Vorschriften der Strafprozessordnung in der Fassung der Bekanntmachung vom 7. April 1987 (BGBl. I S. 1074, 1319), die zuletzt durch Artikel 3 des Gesetzes vom 18. April 2019 (BGBl. I S. 466) geändert worden ist, in der jeweils geltenden Fassung, entsprechend anzuwenden.
(6) 1Die nach Absatz 4 verarbeiteten personenbezogenen Daten dürfen an die Strafverfolgungsbehörden zur Verfolgung einer Straftat nach den §§ 202a, 202b, 303a oder 303b des Strafgesetzbuches übermittelt werden. 2Ferner dürfen diese Daten zur Abwehr einer Gefahr für die öffentliche Sicherheit, die unmittelbar von einem Schadprogramm ausgeht, an die Polizei des Freistaates Sachsen übermittelt werden.
(7) 1Für sonstige Zwecke dürfen die Daten übermittelt werden an:
1. die Strafverfolgungsbehörden zur Verfolgung einer Straftat von auch im Einzelfall erheblicher Bedeutung, insbesondere einer in § 100a Absatz 2 der Strafprozessordnung bezeichneten Straftat,
2. die Polizeibehörden zur Abwehr einer gegenwärtigen Gefahr für Leib, Leben oder Freiheit einer Person sowie zur Verhütung und Unterbindung von in Nummer 1 genannten Straftaten,
3. das Landesamt für Verfassungsschutz, wenn tatsächliche Anhaltspunkte für Bestrebungen nach § 2 Absatz 1 Nummer 2 des Sächsischen Verfassungsschutzgesetzes vom 16. Oktober 1992 (SächsGVBl. S. 459), das zuletzt durch Artikel 1 des Gesetzes vom 3. Mai 2019 (SächsGVBl. S. 312) geändert worden ist, oder für Bestrebungen vorliegen, die durch Anwendung von Gewalt oder darauf gerichtete Vorbereitungshandlungen gegen die in § 2 Absatz 1 Nummer 1, 3 und 3a des Sächsischen Verfassungsschutzgesetzes genannten Schutzgüter gerichtet sind. 2§ 10 des Sächsischen Verfassungsschutzgesetzes bleibt unberührt.
2Die Übermittlung nach Satz 1 Nummer 1 und 2 bedarf der vorherigen gerichtlichen Zustimmung. 3Für das Verfahren nach Satz 1 Nummer 1 und 2 gelten die Vorschriften des Gesetzes über das Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen Gerichtsbarkeit vom 17. Dezember 2008 (BGBl. I S. 2586, 2587), das zuletzt durch Artikel 13 des Gesetzes vom 18. Dezember 2018 (BGBl. I S. 2639) geändert worden ist, entsprechend. 4Zuständig ist das Amtsgericht, in dessen Bezirk die übermittelnde Stelle ihren Sitz hat. 5Die Übermittlung nach Satz 1 Nummer 3 erfolgt nach Zustimmung des Staatsministeriums des Innern; die §§ 9 bis 16 des Artikel 10-Gesetzes vom 26. Juni 2001 (BGBl. I S. 1254, 2298; 2007 I S. 154), das zuletzt durch Artikel 12 des Gesetzes vom 14. August 2017 (BGBl. I S. 3202) geändert worden ist, gelten entsprechend.
(8) 1Eine über die Absätze 1 bis 7 hinausgehende inhaltliche Auswertung zu anderen Zwecken und die Weitergabe von personenbezogenen Daten an Dritte sind unzulässig. 2Soweit möglich, ist bei der Datenverarbeitung technisch sicherzustellen, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden. 3Werden Erkenntnisse aus dem Kernbereich privater Lebensgestaltung erlangt, dürfen diese Daten nicht verwendet werden und sind unverzüglich zu löschen. 4Dies gilt auch in Zweifelsfällen. 5Die Tatsache ihrer Erlangung und Löschung ist zu dokumentieren.
(9) Anstelle des Schulleiters ist für Anordnungen nach den Absätzen 3 und 4 ein vom Schulträger zu bestimmender Bediensteter des Schulträgers zuständig.
- Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
- BT-Drs. 18/4096
- BT-Drs. 18/5121
- Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung)
- Berlit, Betrifft Justiz 2015, 15 (eJustice, eAkte und Richterschaft)
- Bernhardt, NJW 2015, 2775 (eJustice im europäischen Kontext)
- Brosch, K&R 2014, 9 (Gesetz zur Förderung des elektr. Rechtsverkehrs mit den Gerichten, sichere Übermittlungswege)
- Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
- Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
- Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
- Geis, K&R 2002, 59 (Singnaturverordnung)
- Gundlach, DRiZ 2015, 96 (eAkte in der Praxis)
- Jandt, NJW 2015, 1205, (Beweissicherheit elektronischer Rechtsverkehr)
- Kulow, K&R 2015, 537 (Elektronische Signatur und ektronisches Anwaltspostfach)
- Leisterer/Schneider, K&R 2015, 681 (Staatliches Informationshandeln, IT-Sicherheit)
- Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
- Müller, JuS 2015, 609 (wachsende Digitalisierung der Justiz, eJustice)
- Müller, NZS 2015, 896 (elektr. Rechtsverkehr)
- Roßnagel, CR 2011, 23 (sicherer elektronischer Rechtsverkehr)
- Roßnagel, NJW 2014, 3686 (Sichere elektronische Transaktionen)
- Scholz, DRiZ 2016, 22 (Elektr. Kommunikation in der Justiz aus Sicht der Richterschaft)
- Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
- Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
- Viefhues, DRiZ 2015, 312 (Chancen der eAkte)
- Voßhoff/Büttgen, DRiZ 2015, 88 (Verschlüssung und Signatur der Kommunikation im Rahmen des elektr. Rechtsverkehrs)
-
Ergebnis 1
NIST FIPS 199:2004-02
Deutsch: —
Englisch: Standards for Security Categorization of Federal Information and Information Systems
Ergebnis 2
NIST FIPS 200:2006-03
Deutsch: —
Englisch: Minimum Security Requirements for Federal Information and Information Systems
Ergebnis 3
DIN EN 319421:2016-08
Deutsch: Elektronische Signaturen und Infrastrukturen (ESI) - Policy- und Sicherheitsanforderungen an Vertrauensdiensteanbieter, die Zeitstempel ausgeben (Anerkennung der Englischen Fassung EN 319 421 V1.1. (2016-03) als Deutsche Norm)
Englisch: Electronic Signatures and Infrastructures (ESI) - Policy and Security Requirements for Trust Service Providers issuing Time-Stamps (Endorsement of the English version EN 319 421 V1.1. (2016-03) as German standard)
Ergebnis 4
BSI TR 03138
Deutsch: Ersetzendes Scannen; Version 1.2
Englisch: Replacement Scanning; Version 1.2
Ergebnis 5
BSI TR 03138 Anlage A
Deutsch: Ersetzendes Scannen - Anlage A: Ergebnis der Risikoanalyse; Version 1.2
Englisch: —
Ergebnis 6
BSI TR 03138 Anlage P
Deutsch: Ersetzendes Scannen - Anlage P: Prüfspezifikation; Version 1.3
Englisch: —
Ergebnis 7
BSI TR 03138 Anlage R
Deutsch: Ersetzendes Scannen - Anlage R: Unverbindliche rechtliche Hinweise; Version 1.2
Englisch: —
Ergebnis 8
BSI TR 03138 Anlage V
Deutsch: Ersetzendes Scannen - Anlage V: Exemplarische Gliederung einer Verfahrensanweisung; Version 1.2
Englisch: —
Ergebnis 9
NIST FIPS 201-2:2013-09
Deutsch: —
Englisch: Personal Identity Verification (PIV) of Federal Employees and Contractors
Ergebnis 10
DIN SPEC 27099:2016-07
Deutsch: Informationstechnik - Sicherheitsverfahren - Hochsichere Netzwerk-Architektur zur Verwahrung hoch schutzbedürftiger Daten
Englisch: Information technology - Safety procedures - High-security network architecture for storage of highly vulnerable data