Cybersecurity Navigator Login

NDIG - Niedersächsisches Gesetz über digitale Verwaltung und Informationssicherheit


NDIG - Niedersächsisches Gesetz über digitale Verwaltung und Informationssicherheit

Sektor Energie
Branche Mineralöl
Ebene Landesrecht
Bundesland Niedersachsen
Rechtsakt Gesetzlich


  • Niedersächsisches Gesetz über digitale Verwaltung und Informationssicherheit (NDIG)

    Wichtige §§

    13-28



    § 13 Sicherheitsverbund

    (1) 1 Die Behörden und Gerichte des Landes, deren IT-Systeme mit dem Landesdatennetz verbunden sind, sind Mitglieder eines Sicherheitsverbundes. 2 Jedes Mitglied des Sicherheitsverbundes hat auf der Basis von Risikoanalysen eine dem Schutzbedarf der verarbeiteten Daten und der Bedrohungslage angemessene Informationssicherheit, auch in Hinblick auf andere Mitglieder des Sicherheitsverbundes, zu gewährleisten. 3 Jedes Mitglied des Sicherheitsverbundes hat die nach Satz 2 erforderlichen technischen und organisatorischen Maßnahmen unverzüglich zu veranlassen und regelmäßig zu überprüfen und anzupassen.

    (2) Die das Landesdatennetz betreibende Behörde kann einer Stelle, die nicht Mitglied des Sicherheitsverbundes ist, die Verbindung ihrer IT-Systeme mit dem Landesdatennetz gestatten, wenn sie sich verpflichtet, die in Absatz 1 Sätze 2 und 3 sowie in § 14 Abs. 2 genannten Pflichten einzuhalten.



    § 14 Zentralstelle für Informationssicherheit

    (1) Bei dem für die zentrale IT-Steuerung zuständigen Ministerium ist eine Zentralstelle für Informationssicherheit eingerichtet, die

    1. fortlaufend ein Sicherheitslagebild über Bedrohungen für und Angriffe auf IT-Systeme erstellt,

    2. das Sicherheitslagebild mit dem Ziel analysiert, Veränderungen der Gefahrenlage zu erkennen, und aus dieser Analyse, auch unter Berücksichtigung einer Gesamtschau der Risikoanalysen, Hinweise zur Anpassung der Gesamtheit der technischen und organisatorischen IT-Sicherheitsmaßnahmen entwickelt sowie

    3. die Mitglieder des Sicherheitsverbundes zu Fragen der IT- Sicherheit berät und bei Sicherheitsvorfällen unterstützt.

    (2) Jedes Mitglied des Sicherheitsverbundes ist verpflichtet, der Zentralstelle für Informationssicherheit Sicherheitsvorfälle in einer von ihr vorgegebenen Form unverzüglich mitzuteilen, wenn diese geeignet sind, auch die IT-Sicherheit bei anderen Stellen, deren IT-Systeme mit dem Landesdatennetz verbunden sind, zu beeinträchtigen.

    (3) Jede Stelle, die Befugnisse nach dem Zweiten Abschnitt wahrnimmt, ist verpflichtet, der Zentralstelle für Informationssicherheit den Betrieb von IT-Systemen zur Erkennung und Abwehr von Gefahren für die IT-Sicherheit anzuzeigen.



    § 15 Förderung der IT-Sicherheit

    (1) 1 Die das Landesdatennetz betreibende Behörde fördert die IT-Sicherheit im Landesdatennetz mit Ausnahme des Netzabschnitts des Geschäftsbereichs des Justizministeriums. 2 Im Netzabschnitt des Geschäftsbereichs des Justizministeriums fördert eine vom Justizministerium bestimmte Stelle die IT-Sicherheit.

    (2) Die in Absatz 1 genannten Stellen haben jeweils für ihren Netzabschnitt die Aufgabe,

    1. durch Sicherheitslücken, Schadprogramme oder Angriffe verursachte Gefahren für die IT-Sicherheit abzuwehren,

    2. Informationen über Gefahren für die IT-Sicherheit und über Sicherheitsvorkehrungen zu sammeln, diese auszuwerten, die Sicherheitsrisiken zu analysieren und die gewonnenen Erkenntnisse den Stellen, deren IT-Systeme mit dem Landesdatennetz verbunden sind, zur Verfügung zu stellen,

    3. Sicherheitsvorkehrungen für das Landesdatennetz zu planen, um künftige Gefahren für die IT-Sicherheit abwehren zu können,

    4. die Zentralstelle für Informationssicherheit nach deren Vorgaben zu unterstützen.

    (3) Zusätzlich hat die das Landesdatennetz betreibende Behörde, auch für den Netzabschnitt des Geschäftsbereichs des Justizministeriums, die Aufgabe,

    1. sicherheitstechnische Anforderungen an die von den Stellen, deren IT-Systeme mit dem Landesdatennetz verbunden sind, einzusetzende Informationstechnik und an die Verbindung von Netzen und IT-Systemen mit dem Landesdatennetz zu entwickeln und fortzuschreiben,

    2. den Stellen, deren IT-Systeme mit dem Landesdatennetz verbunden sind, informationstechnische Verfahren und Geräte für die IT-Sicherheit (IT-Sicherheitsprodukte) bereitzustellen,

    3. die Stellen, deren IT-Systeme mit dem Landesdatennetz verbunden sind, im Benehmen mit der Zentralstelle für Informationssicherheit bei der Förderung der IT-Sicherheit zu unterstützen sowie

    4. die Stellen, deren IT-Systeme mit dem Landesdatennetz verbunden sind, in herausgehobenen Fällen bei der Wiederherstellung der IT-Sicherheit zu unterstützen.

    (4) Die in Absatz 1 genannten Stellen sind verpflichtet, in ihrem jeweiligen Netzabschnitt dem Stand der Technik entsprechende IT-Systeme zur Erkennung und Abwehr von Gefahren für die IT-Sicherheit zu betreiben.



    § 16 Vorübergehende und unaufschiebbare Maßnahmen

    1 Bei einer gegenwärtigen Gefahr für die IT-Sicherheit kann die oder der IT-Bevollmächtigte der Landesregierung ein Mitglied des Sicherheitsverbundes anweisen, vorübergehende und unaufschiebbare Maßnahmen zu ergreifen, die zur Gewährleistung der IT-Sicherheit bei anderen Stellen, deren IT-Systeme mit dem Landesdatennetz verbunden sind, erforderlich sind. 2 Satz 1 gilt nicht für Maßnahmen nach dem Zweiten Abschnitt.



    § 17 Übertragung und Beschränkung der Befugnisse nach diesem Abschnitt

    (1) Jede Behörde kann ihre Befugnisse nach diesem Abschnitt im Einvernehmen mit der das Landesdatennetz betreibenden Behörde auf diese übertragen; das Recht der kommunalen Zusammenarbeit bleibt unberührt.

    (2) Soweit der Datenverkehr mit dem Landesrechnungshof, mit der von der oder dem Landesbeauftragten für den Datenschutz geleiteten Behörde oder mit der Landtagsverwaltung betroffen ist, dürfen die Befugnisse nach diesem Abschnitt nur im Einvernehmen mit dieser Behörde wahrgenommen werden.

    (3) Im Netzabschnitt des Geschäftsbereichs des Justizministeriums und in den damit verbundenen lokalen Netzen der Stellen aus dem Geschäftsbereich des Justizministeriums werden die Befugnisse nach diesem Abschnitt von einer vom Justizministerium bestimmten Stelle wahrgenommen.

    (4) Die Befugnisse nach diesem Abschnitt stehen den Hochschulen und Einrichtungen des Landes, die mit Forschungsaufgaben betraut sind, nicht zu.



    § 18 Automatisierte Erhebung und Auswertung von Daten eines Verzeichnis- und Berechtigungsdienstes

    (1) Jede Behörde kann den personenbezogenen Datenverkehr eines Verzeichnis- und Berechtigungsdienstes auf einem von ihr betriebenen, mit dem Landesdatennetz verbundenen IT-System automatisiert erheben und auswerten, soweit dies zu dem Zweck, durch Sicherheitslücken, Schadprogramme oder Angriffe verursachte Gefahren für die IT-Sicherheit abzuwehren, erforderlich ist.

    (2) Die nach Absatz 1 erhobenen Daten sowie die Auswertungsergebnisse sind unverzüglich zu löschen, soweit sie zu dem in Absatz 1 genannten Zweck nicht mehr erforderlich sind.



    § 19 Automatisierte Auswertung von Ereignisdokumentationen und Datenverkehr

    (1) 1 Jede Behörde kann auf den von ihr betriebenen, mit dem Landesdatennetz verbundenen IT-Systemen die dort zum Erkennen und Nachverfolgen von Auffälligkeiten gespeicherten personenbezogenen Daten nach Maßgabe der Sätze 2 und 3 automatisiert auswerten, soweit dies zu dem Zweck, durch Sicherheitslücken, Schadprogramme oder Angriffe verursachte Gefahren für die IT-Sicherheit abzuwehren, erforderlich ist. 2 Für die Auswertung nach Satz 1 dürfen ausschließlich die automatisierten Ereignisdokumentationen von

    1. Firewall-Systemen und Systemen zum Netzwerkbetrieb,

    2. Systemen zur Erkennung und Beseitigung von Schadsoftware,

    3. Systemen zur Erkennung von unerwünschten Werbe-, Betrugs- oder schädlichen E-Mails,

    4. Servern von Datenbanken, Verzeichnisdiensten und Anwendungen und

    5. Betriebssoftware und Anwendungen von Computersystemen

    herangezogen werden. 3 Zum Zweck der Auswertung dürfen die in Satz 2 genannten Daten zusammengeführt und gemeinsam verarbeitet werden.

    (2) 1 Jede Behörde kann an den von ihr betriebenen, mit dem Landesdatennetz verbundenen Übergabe- und Knotenpunkten nach Maßgabe des Satzes 2 nach auffälligem Datenverkehr suchen, soweit dies zu dem Zweck, durch Sicherheitslücken, Schadprogramme oder Angriffe verursachte Gefahren für die IT-Sicherheit abzuwehren, erforderlich ist. 2 Der an den Übergabe- und Knotenpunkten anfallende personenbezogene Datenverkehr darf automatisiert erhoben, entschlüsselt und unverzüglich automatisiert ausgewertet werden.

    (3) Werden nach Absatz 1 oder 2 Inhalte einer Telekommunikation (Inhaltsdaten) verarbeitet, so ist die Auswertung ihrer kommunikativen Bedeutung unzulässig.

    (4) 1 Ergibt die Auswertung nach Absatz 1 oder 2 keine zureichenden tatsächlichen Anhaltspunkte für eine durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachte Gefahr für die IT-Sicherheit, so sind die nach Absatz 1 oder 2 erhobenen und ausgewerteten Daten sowie die Auswertungsergebnisse unverzüglich zu löschen. 2 Die Speicherung und sonstige Verarbeitung der nach Absatz 1 ausgewerteten Daten nach dem ursprünglichen Verwendungszweck bleiben von Satz 1 unberührt.



    § 20 Weitere Auswertung ohne Inhaltsdaten in Verdachtsfällen

    (1) 1 Ergibt eine automatisierte Auswertung nach § 18 Abs. 1 oder § 19 Abs. 1 oder 2 zureichende tatsächliche Anhaltspunkte für eine durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachte Gefahr für die IT-Sicherheit, so kann die Behörde die nach § 18 Abs. 1 oder § 19 Abs. 1 oder 2 erhobenen und ausgewerteten Daten sowie die Auswertungsergebnisse zusammenführen, höchstens 30 Tage speichern und in dieser Zeitspanne weiter einzelfallbezogen automatisiert auswerten, soweit dies zur Erkennung oder Abwehr der Gefahr erforderlich ist. 2 Die nach Satz 1 gespeicherten Daten sind unverzüglich automatisiert zu pseudonymisieren, soweit dies technisch möglich ist und die Daten nicht bereits pseudonym sind. 3 Ergibt die Auswertung nach Satz 1 keine hinreichenden tatsächlichen Anhaltspunkte für eine durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachte Gefahr für die IT-Sicherheit, so sind die gespeicherten Daten sowie die Auswertungsergebnisse unverzüglich zu löschen.

    (2) 1 Ergibt eine automatisierte Auswertung nach § 18 Abs. 1 oder § 19 Abs. 1 oder 2 oder eine weitere automatisierte Auswertung nach Absatz 1 hinreichende tatsächliche Anhaltspunkte für eine durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachte Gefahr für die IT-Sicherheit, so dürfen die Daten über den Ablauf der in Absatz 1 Satz 1 bestimmten Frist hinaus gespeichert, auch nicht automatisiert ausgewertet und entpseudonymisiert werden, soweit und solange dies zur Erkennung oder Abwehr der Gefahr erforderlich ist. 2 Die weitere Auswertung nach Satz 1 bedarf der Anordnung der Behördenleitung im Einvernehmen mit einer oder einem weiteren Beschäftigten der Behörde mit der Befähigung zum Richteramt. 3 Wenn eine solche Person nicht beschäftigt ist oder aus anderen Gründen nicht zur Verfügung steht, tritt an deren Stelle eine bei der Aufsichtsbehörde beschäftigte und von deren Behördenleitung bestimmte Person mit der Befähigung zum Richteramt. 4 Ergibt die Auswertung nach Satz 1 tatsächliche Anhaltspunkte für eine andere durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachte Gefahr für die IT-Sicherheit, so dürfen die Daten auch gespeichert und nicht automatisiert ausgewertet werden, soweit und solange dies zur Erkennung oder Abwehr der anderen Gefahr erforderlich ist; die Sätze 2 und 3 gelten entsprechend.

    (3) Nach den Absätzen 1 und 2 dürfen keine Inhaltsdaten gespeichert oder ausgewertet werden.

    (4) Soweit die nach Absatz 2 ausgewerteten Daten sowie die Auswertungsergebnisse nicht mehr für die dort genannten Zwecke oder eine Übermittlung nach § 29 erforderlich sind, sind sie unverzüglich zu löschen.



    § 21 Weitere Auswertung von Inhaltsdaten in Verdachtsfällen

    (1) 1 Ergibt eine automatisierte Auswertung nach § 19 Abs. 1 oder 2 zureichende tatsächliche Anhaltspunkte dafür, dass die ausgewerteten Inhaltsdaten zur Erkennung oder Abwehr einer durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachten Gefahr für die IT-Sicherheit erforderlich sind, so kann die Behörde abweichend von § 20 Abs. 3 auch Inhaltsdaten und Auswertungsergebnisse höchstens 30 Tage speichern und in dieser Zeitspanne weiter einzelfallbezogen automatisiert auswerten, soweit und solange dies zur Erkennung oder Abwehr der Gefahr erforderlich ist; die Auswertung der kommunikativen Bedeutung der Inhaltsdaten ist unzulässig. 2 Die nach Satz 1 gespeicherten Daten sind unverzüglich automatisiert zu pseudonymisieren, soweit dies technisch möglich ist und die Daten nicht bereits pseudonym sind. 3 Die Speicherung nach Satz 1 bedarf der unverzüglichen Genehmigung der Behördenleitung im Einvernehmen mit einer oder einem weiteren Beschäftigten der Behörde mit der Befähigung zum Richteramt. 4 Wenn eine solche Person nicht beschäftigt ist oder aus anderen Gründen nicht zur Verfügung steht, tritt an deren Stelle eine bei der Aufsichtsbehörde beschäftigte und von deren Behördenleitung bestimmte Person mit der Befähigung zum Richteramt. 5 Wird die Genehmigung abgelehnt oder nicht unverzüglich erteilt, so sind die gespeicherten Inhaltsdaten sowie die Auswertungsergebnisse unverzüglich zu löschen. 6 Ergibt die Auswertung nach Satz 1 keine hinreichenden tatsächlichen Anhaltspunkte dafür, dass die ausgewerteten Inhaltsdaten zur Erkennung oder Abwehr einer durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachten Gefahr für die IT-Sicherheit erforderlich sind, so sind die gespeicherten Inhaltsdaten sowie die Auswertungsergebnisse unverzüglich zu löschen.

    (2) 1 Ergibt eine automatisierte Auswertung nach § 19 Abs. 1 oder 2 oder eine weitere automatisierte Auswertung nach Absatz 1 hinreichende tatsächliche Anhaltspunkte dafür, dass die ausgewerteten Inhaltsdaten zur Erkennung oder Abwehr einer durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachten Gefahr für die IT-Sicherheit erforderlich sind, so dürfen die Daten über den Ablauf der in Absatz 1 Satz 1 bestimmten Frist hinaus gespeichert, auch nicht automatisiert ausgewertet und entpseudonymisiert werden, soweit und solange dies zur Erkennung oder Abwehr der Gefahr erforderlich ist; die Auswertung der kommunikativen Bedeutung der Inhaltsdaten ist unzulässig. 2 Die weitere Auswertung nach Satz 1 bedarf der Anordnung der Behördenleitung im Einvernehmen mit einer oder einem weiteren Beschäftigten der Behörde mit der Befähigung zum Richteramt. 3 Wenn eine solche Person nicht beschäftigt ist oder aus anderen Gründen nicht zur Verfügung steht, tritt an deren Stelle eine bei der Aufsichtsbehörde beschäftigte und von deren Behördenleitung bestimmte Person mit der Befähigung zum Richteramt. 4 Ergibt die Auswertung nach Satz 1 tatsächliche Anhaltspunkte für eine andere durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachte Gefahr für die IT-Sicherheit, so dürfen die Daten auch gespeichert und nicht automatisiert ausgewertet werden, soweit und solange dies zur Erkennung oder Abwehr der anderen Gefahr erforderlich ist; die Sätze 2 und 3 gelten entsprechend.

    (3) Soweit die nach Absatz 2 ausgewerteten Daten sowie die Auswertungsergebnisse nicht mehr für die dort genannten Zwecke oder eine Übermittlung nach § 29 erforderlich sind, sind sie unverzüglich zu löschen.

    (4) 1 Sind nach Absatz 2 ausgewertete Daten dem Kernbereich privater Lebensgestaltung oder besonderen Kategorien personenbezogener Daten (Artikel 9 der Datenschutz-Grundverordnung) zuzurechnen oder geeignet, die betroffene Person in ihrer beruflichen oder gesellschaftlichen Stellung zu beeinträchtigen, so dürfen diese nicht gespeichert, verändert, genutzt oder übermittelt werden; sie sind unverzüglich zu löschen. 2 Satz 1 gilt auch in Zweifelsfällen. 3 Die Tatsache, dass in den Sätzen 1 und 2 genannte Daten ausgewertet wurden, und die Löschung dieser Daten sind zu dokumentieren. 4 Die in der Dokumentation enthaltenen Daten dürfen ausschließlich zur Datenschutzkontrolle verwendet werden. 5 Sie sind zu löschen, wenn seit einer Benachrichtigung nach § 26 Abs. 1 Satz 1 ein Jahr vergangen ist, frühestens jedoch zwei Jahre nach der Dokumentation, es sei denn, die oder der Landesbeauftragte für den Datenschutz zeigt an, dass die Daten zur Erfüllung ihrer oder seiner Aufgaben weiterhin benötigt werden.



    § 22 Ergänzende Auswertung durch das Bundesamt für Sicherheit in der Informationstechnik

    1 Jede Behörde, die selbst IT-Systeme zur Erkennung und Abwehr von Gefahren für die IT-Sicherheit betreibt, kann das Bundesamt für Sicherheit in der Informationstechnik (BSI) beauftragen, den von ihr nach § 19 Abs. 2 erhobenen Datenverkehr, dessen automatisierte Auswertung keine zureichenden oder hinreichenden tatsächlichen Anhaltspunkte für eine durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachte Gefahr für die IT-Sicherheit ergeben hat, ergänzend auszuwerten und den Datenverkehr zu diesem Zweck an das BSI übermitteln. 2 Der Auftrag darf nur erteilt werden, wenn

    1. die ergänzende Auswertung durch das BSI nur nach Maßgabe der §§ 20 und 21 erfolgt und über die dabei erforderlichen Anordnungen oder Genehmigungen von der beauftragenden Behörde entschieden wird,

    2. das BSI die Auswertungsergebnisse der beauftragenden Behörde unverzüglich zur Verfügung stellen wird,

    3. eine Verwendung der personenbezogenen Daten durch das BSI zu anderen Zwecken als zur ergänzenden Auswertung unzulässig ist,

    4. die Daten nach Maßgabe des § 25 verarbeitet sowie nach Abschluss der ergänzenden Auswertung unverzüglich gelöscht werden und

    5. das BSI in geeigneter Weise Nachweise dafür erbringen kann, dass die übermittelten Daten ordnungsgemäß verarbeitet und gelöscht werden.

    3 Die ergänzende Auswertung des BSI erfolgt ausschließlich nach Weisung der beauftragenden Behörde.



    § 23 Speicherung und Auswertung von Daten zur Abwehr einer dringenden Gefahr für die IT-Sicherheit

    (1) 1 Jede Behörde kann den nach § 19 Abs. 2 erhobenen Datenverkehr zu dem Zweck, durch Schadprogramme oder Angriffe verursachte, im Hinblick auf das Ausmaß des zu erwartenden Schadens und die Wahrscheinlichkeit des Schadenseintritts erhöhte Gefahren für die IT-Sicherheit im gesamten Landesdatennetz (dringende Gefahren für die IT-Sicherheit) abzuwehren, automatisiert speichern. 2 Die gespeicherten Daten sind unverzüglich automatisiert zu pseudonymisieren, soweit dies technisch möglich ist und die Daten nicht bereits pseudonym sind; nach höchstens 30 Tagen sind die Daten zu löschen.

    (2) 1 Soweit und solange es zur Abwehr einer dringenden Gefahr für die IT-Sicherheit unerlässlich ist, dürfen die nach Absatz 1 Satz 1 gespeicherten Daten automatisiert und nicht automatisiert ausgewertet, entpseudonymisiert sowie über den Ablauf der in Absatz 1 Satz 2 bestimmten Frist hinaus gespeichert werden; die Auswertung der kommunikativen Bedeutung von Inhaltsdaten ist unzulässig. 2 § 21 Abs. 4 gilt entsprechend.

    (3) 1 Maßnahmen nach Absatz 2 bedürfen der Anordnung des Amtsgerichts, in dessen Bezirk die Behörde ihren Sitz hat. 2 Im Antrag der Behörde sind der Sachverhalt und eine Begründung anzugeben. 3 Die Anordnung ergeht schriftlich. 4 Sie muss den Sachverhalt und die wesentlichen Gründe enthalten. 5 Für das gerichtliche Verfahren gilt § 19 Abs. 4 des Niedersächsischen Polizei- und Ordnungsbehördengesetzes (NPOG) entsprechend. 6 Bei Gefahr im Verzug kann die Behördenleitung die Anordnung treffen; die Sätze 3 und 4 gelten entsprechend mit der Maßgabe, dass die Anordnung auch eine Begründung der Gefahr im Verzug enthalten muss. 7 Die richterliche Bestätigung der Anordnung ist unverzüglich zu beantragen. 8 Wird die Bestätigung abgelehnt, so tritt die Anordnung außer Kraft. 9 Die Daten und die Auswertungsergebnisse dürfen in diesem Fall nicht mehr verwendet werden und sind unverzüglich zu löschen; die Speicherung nach Absatz 1 bleibt unberührt.

    (4) Soweit die nach Absatz 2 verarbeiteten Daten sowie die Auswertungsergebnisse nicht mehr für den dort genannten Zweck oder eine Übermittlung nach § 29 erforderlich sind, sind sie unverzüglich zu löschen; die Speicherung nach Absatz 1 bleibt unberührt.



    § 24 Beseitigung von Schadprogrammen

    1 Soweit die Auswertungen nach den §§ 18 bis 23 ein Schadprogramm identifizieren, kann dieses jederzeit beseitigt oder in seiner Funktionsweise gehindert werden. 2 Soweit Daten von dem Schadprogramm nicht oder nur mit unverhältnismäßigem Aufwand getrennt werden können, kann die Behörde diese Daten gemeinsam mit dem Schadprogramm löschen.



    § 25 Datensicherheit, Protokollierung

    (1) 1 Die nach den §§ 18 bis 23 verarbeiteten Daten sowie die Auswertungsergebnisse sind durch technische und organisatorische Maßnahmen nach dem Stand der Technik gegen unbefugte Kenntnisnahme, Veränderung und Verwendung zu schützen. 2 Bei der Umsetzung dieser Maßnahmen ist ein besonders hohes Maß an Datensicherheit zu gewährleisten.

    (2) Insbesondere

    1. sind der Zutritt zu den und der Zugriff auf die Datenverarbeitungsanlagen auf Personen zu beschränken, die durch die jeweilige Behördenleitung hierzu besonders ermächtigt sind,

    2. ist organisatorisch sicherzustellen, dass eine Kenntnisnahme der nach den §§ 18 bis 23 verarbeiteten Daten sowie der Auswertungsergebnisse durch andere als die nach Nummer 1 ermächtigten Personen ausgeschlossen ist,

    3. ist sicherzustellen, dass die für Datenverarbeitung nach den §§ 18 bis 23 verwendeten IT-Systeme von den für die üblichen betrieblichen Aufgaben verwendeten IT-Systemen getrennt sind, insbesondere die Speicherung in gesonderten Speichereinrichtungen erfolgt,

    4. sind besondere Sicherungsmaßnahmen gegen den unberechtigten Zugriff aus anderen Netzen, insbesondere aus dem Internet, zu treffen,

    5. sind nach dem Stand der Technik als besonders sicher geltende Verschlüsselungsverfahren zur Gewährleistung der Vertraulichkeit der gespeicherten Daten einzusetzen und

    6. ist technisch und organisatorisch sicherzustellen, dass der Zugriff auf die Daten nur gemeinsam durch mindestens zwei nach Nummer 1 ermächtigte Personen erfolgen kann.

    (3) 1 Eine Behörde darf von den Ermächtigungen der §§ 18 bis 23 nur Gebrauch machen, wenn sie ein Sicherheitskonzept für die dazu eingesetzten technischen Systeme erstellt und die Umsetzung aller darin vorgesehenen technischen und organisatorischen Maßnahmen aktenkundig gemacht hat. 2 Das Sicherheitskonzept ist alle zwei Jahre einer Revision zu unterziehen. 3 Für jede Veränderung der eingesetzten technischen Systeme gilt Satz 1 entsprechend.

    (4) 1 Jeder Zugriff, insbesondere das Lesen, Kopieren, Ändern, Übermitteln, Löschen und Sperren von nach den §§ 18 bis 23 verarbeiteten Daten sowie von Auswertungsergebnissen ist zu protokollieren. 2 Das Protokoll enthält Zeitpunkt, Art und Zweck des Zugriffs sowie eine eindeutige Kennung der auf die Daten zugreifenden Person. 3 Das Protokoll darf ausschließlich zur Datenschutzkontrolle verwendet werden. 4 Jeder Eintrag in das Protokoll ist zwei Jahre nach seiner Aufnahme zu löschen, es sei denn, die oder der Landesbeauftragte für den Datenschutz zeigt an, dass die Daten zur Erfüllung ihrer oder seiner Aufgaben weiterhin benötigt werden.



    § 26 Benachrichtigung der betroffenen Personen

    (1) 1 Die von Maßnahmen nach den §§ 18 bis 23 und 29 betroffenen Personen sind unverzüglich, spätestens nach der Abwehr der durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachten Gefahr für die IT-Sicherheit, zu benachrichtigen. 2 Satz 1 gilt nicht, soweit zur Durchführung der Benachrichtigung in unverhältnismäßiger Weise weitere Daten der betroffenen Personen erhoben werden müssten.

    (2) 1 Die Benachrichtigung kann unterbleiben,

    1. solange ihr ein in § 29 Abs. 2 Satz 1 genannter Zweck entgegensteht,

    2. solange durch das mit der Benachrichtigung verbundene Bekanntwerden einer Sicherheitslücke die IT-Sicherheit gefährdet würde oder

    3. wenn die Person nur unerheblich betroffen ist und anzunehmen ist, dass sie an einer Benachrichtigung kein Interesse hat.

    2 Soll eine Benachrichtigung nach Satz 1 Nr. 1 oder 2 unterbleiben, so bedarf dies der Zustimmung des Amtsgerichts, in dessen Bezirk die Behörde ihren Sitz hat; für das gerichtliche Verfahren gilt § 19 Abs. 4 NPOG entsprechend. 3 Soll eine Benachrichtigung nach Satz 1 Nr. 3 unterbleiben, so bedarf dies der Anordnung der Behördenleitung im Einvernehmen mit einer oder einem weiteren Beschäftigten der Behörde mit der Befähigung zum Richteramt. 4 Wenn eine solche Person nicht beschäftigt ist oder aus anderen Gründen nicht zur Verfügung steht, tritt an deren Stelle eine bei der Aufsichtsbehörde beschäftigte und von deren Behördenleitung bestimmte Person mit der Befähigung zum Richteramt.



    § 27
    Dokumentation

    1 Anordnungen, Genehmigungen, Bestätigungen und Zustimmungen nach § 20 Abs. 2 Satz 2, § 21 Abs. 1 Satz 3 und Abs. 2 Satz 2, § 23 Abs. 3 Sätze 1, 6 und 7, § 26 Abs. 2 Sätze 2 und 3 sowie § 29 Abs. 2 Sätze 3 bis 6 sind zu dokumentieren. 2 Die in der Dokumentation enthaltenen personenbezogenen Daten dürfen ausschließlich zur Datenschutzkontrolle verwendet werden. 3 Sie sind zu löschen, wenn seit einer Benachrichtigung nach § 26 Abs. 1 Satz 1 ein Jahr vergangen ist, frühestens jedoch zwei Jahre nach der Dokumentation, es sei denn, die oder der Landesbeauftragte für den Datenschutz zeigt an, dass die Daten zur Erfüllung ihrer oder seiner Aufgaben weiterhin benötigt werden.



    § 28 Beteiligung der oder des Landesbeauftragten für den Datenschutz

    1 Jede Behörde, die ihre Befugnisse nach diesem Abschnitt wahrnimmt, legt der oder dem Landesbeauftragten für den Datenschutz einmal jährlich eine Aufstellung über die Datenverarbeitung nach den §§ 18 bis 23, 26 und 29 Abs. 2 sowie die Dokumentation nach § 27 vor. 2 Satz 1 gilt nicht für den Landtag, seine Mitglieder, die Fraktionen sowie ihre jeweiligen Verwaltungen und Beschäftigten, soweit sie bei der Wahrnehmung parlamentarischer Aufgaben personenbezogene Daten verarbeiten.



  • Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
  • BT-Drs. 18/4096 und BT-Drs. 18/5121
  • Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verplichtung)
  • Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
  • Dinter, ER 2015, 229 (geplantes Gesetz zur Digitalisierung der Energiewende, Smart Meter)
  • Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
  • Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
  • Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
  • Geis, K&R 2002, 59 (Singnaturverordnung)
  • Gola, K&R 2017, 145 (Interpretation der DSGVO)
  • Guckelberger, DVBl 2015, 1213 (Energieversorgung als kritische Infrastruktur, IT-SiG)
  • Karsten/Leonhardt, RDV 2016, 22 (intelligente Messsysteme, geplantes Gesetz zur Digitalisierung der Energiewende)
  • Kermel/Dinter, RdE 2016, 158 (geplantes Gesetz zur Digitalisierung der Energiewende, datenschutzrechtl. Anforderungen an die Technik von Messsystemen)
  • Kremer, CR 2017, 367 (Neues BDSG)
  • Köhler, EnWZ 2015, 407 (IT-Sicherheit, vernetzte Energiewirtschaft)
  • Leisterer/Schneider, K&R 2015, 681 (Staatliches Informationshandeln, IT-Sicherheit)
  • Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
  • Mehrbrey/Schreibauer, MMR 2016, 75 (Ansprüche u. Haftungsrisiken von Unternehmen bei Cyberangriffen)
  • Molzen, IT-Sicherheit 4/2012, 44 (Datensicherung in kleinen und mittelst. Unternehmen)
  • Roßnagel, CR 2011, 23 (sicherer elektronischer Rechtsverkehr)
  • Roßnagel, NJW 2014,3686 (Sichere elektronische Transaktionen)
  • Schallbruch, CR 2017, 648 (IT-Sicherheit)
  • Schreibauer/Spittka, ITRB 2015, 240 (IT-Sicherheitsgesetz, Anforderungen für Unternehmen)
  • Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
  • Thomale, VersorgW 2015, 301 (IT-Sicherheitsgesetz, Auswirkungen für Energieversorger)
  • Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
  • de Wyl/Weise/Bartsch, VersorgW 2014, 180 (Energieversorgungsnetz als kritische Infrastruktur)