Cybersecurity Navigator

NDIG - Niedersächsisches Gesetz über digitale Verwaltung und Informationssicherheit

Sektor	Staat und Verwaltung
Branche	Regierung u. Verwaltung
Ebene	Landesrecht
Bundesland	Niedersachsen
Rechtsakt	Gesetzlich

Niedersächsisches Gesetz über digitale Verwaltung und Informationssicherheit (NDIG)
NDIG
§§ 13-29

§ 13 Sicherheitsverbund

(1) ¹Die Behörden und Gerichte des Landes, deren IT-Systeme mit dem Landesdatennetz verbunden sind, sind Mitglieder eines Sicherheitsverbundes. ²Jedes Mitglied des Sicherheitsverbundes hat auf der Basis von Risikoanalysen eine dem Schutzbedarf der verarbeiteten Daten und der Bedrohungslage angemessene Informationssicherheit, auch in Hinblick auf andere Mitglieder des Sicherheitsverbundes, zu gewährleisten. ³Jedes Mitglied des Sicherheitsverbundes hat die nach Satz 2 erforderlichen technischen und organisatorischen Maßnahmen unverzüglich zu veranlassen und regelmäßig zu überprüfen und anzupassen.

(2) Die das Landesdatennetz betreibende Behörde kann einer Stelle, die nicht Mitglied des Sicherheitsverbundes ist, die Verbindung ihrer IT-Systeme mit dem Landesdatennetz gestatten, wenn sie sich verpflichtet, die in Absatz 1 Sätze 2 und 3 sowie in § 14 Abs. 2 genannten Pflichten einzuhalten.

§ 14 Zentralstelle für Informationssicherheit

(1) Bei dem für die zentrale IT-Steuerung zuständigen Ministerium ist eine Zentralstelle für Informationssicherheit eingerichtet, die

1. fortlaufend ein Sicherheitslagebild über Bedrohungen für und Angriffe auf IT-Systeme erstellt,

2. das Sicherheitslagebild mit dem Ziel analysiert, Veränderungen der Gefahrenlage zu erkennen, und aus dieser Analyse, auch unter Berücksichtigung einer Gesamtschau der Risikoanalysen, Hinweise zur Anpassung der Gesamtheit der technischen und organisatorischen IT-Sicherheitsmaßnahmen entwickelt sowie

3. die Mitglieder des Sicherheitsverbundes zu Fragen der IT- Sicherheit berät und bei Sicherheitsvorfällen unterstützt.

(2) Jedes Mitglied des Sicherheitsverbundes ist verpflichtet, der Zentralstelle für Informationssicherheit Sicherheitsvorfälle in einer von ihr vorgegebenen Form unverzüglich mitzuteilen, wenn diese geeignet sind, auch die IT-Sicherheit bei anderen Stellen, deren IT-Systeme mit dem Landesdatennetz verbunden sind, zu beeinträchtigen.

(3) Jede Stelle, die Befugnisse nach dem Zweiten Abschnitt wahrnimmt, ist verpflichtet, der Zentralstelle für Informationssicherheit den Betrieb von IT-Systemen zur Erkennung und Abwehr von Gefahren für die IT-Sicherheit anzuzeigen.

§ 15 Förderung der IT-Sicherheit

(1) ¹Die das Landesdatennetz betreibende Behörde fördert die IT-Sicherheit im Landesdatennetz mit Ausnahme des Netzabschnitts des Geschäftsbereichs des Justizministeriums.²Im Netzabschnitt des Geschäftsbereichs des Justizministeriums fördert eine vom Justizministerium bestimmte Stelle die IT-Sicherheit.

(2) Die in Absatz 1 genannten Stellen haben jeweils für ihren Netzabschnitt die Aufgabe,

1. durch Sicherheitslücken, Schadprogramme oder Angriffe verursachte Gefahren für die IT-Sicherheit abzuwehren,

2. Informationen über Gefahren für die IT-Sicherheit und über Sicherheitsvorkehrungen zu sammeln, diese auszuwerten, die Sicherheitsrisiken zu analysieren und die gewonnenen Erkenntnisse den Stellen, deren IT-Systeme mit dem Landesdatennetz verbunden sind, zur Verfügung zu stellen,

3. Sicherheitsvorkehrungen für das Landesdatennetz zu planen, um künftige Gefahren für die IT-Sicherheit abwehren zu können,

4. die Zentralstelle für Informationssicherheit nach deren Vorgaben zu unterstützen.

(3) Zusätzlich hat die das Landesdatennetz betreibende Behörde, auch für den Netzabschnitt des Geschäftsbereichs des Justizministeriums, die Aufgabe,

1. sicherheitstechnische Anforderungen an die von den Stellen, deren IT-Systeme mit dem Landesdatennetz verbunden sind, einzusetzende Informationstechnik und an die Verbindung von Netzen und IT-Systemen mit dem Landesdatennetz zu entwickeln und fortzuschreiben,

2. den Stellen, deren IT-Systeme mit dem Landesdatennetz verbunden sind, informationstechnische Verfahren und Geräte für die IT-Sicherheit (IT-Sicherheitsprodukte) bereitzustellen,

3. die Stellen, deren IT-Systeme mit dem Landesdatennetz verbunden sind, im Benehmen mit der Zentralstelle für Informationssicherheit bei der Förderung der IT-Sicherheit zu unterstützen sowie

4. die Stellen, deren IT-Systeme mit dem Landesdatennetz verbunden sind, in herausgehobenen Fällen bei der Wiederherstellung der IT-Sicherheit zu unterstützen.

(4) Die in Absatz 1 genannten Stellen sind verpflichtet, in ihrem jeweiligen Netzabschnitt dem Stand der Technik entsprechende IT-Systeme zur Erkennung und Abwehr von Gefahren für die IT-Sicherheit zu betreiben.

§ 16 Vorübergehende und unaufschiebbare Maßnahmen
¹Bei einer gegenwärtigen Gefahr für die IT-Sicherheit kann die oder der IT-Bevollmächtigte der Landesregierung ein Mitglied des Sicherheitsverbundes anweisen, vorübergehende und unaufschiebbare Maßnahmen zu ergreifen, die zur Gewährleistung der IT-Sicherheit bei anderen Stellen, deren IT-Systeme mit dem Landesdatennetz verbunden sind, erforderlich sind. ²Satz 1 gilt nicht für Maßnahmen nach dem Zweiten Abschnitt.

§ 17 Übertragung und Beschränkung der Befugnisse nach diesem Abschnitt

(1) Jede Behörde kann ihre Befugnisse nach diesem Abschnitt im Einvernehmen mit der das Landesdatennetz betreibenden Behörde auf diese übertragen; das Recht der kommunalen Zusammenarbeit bleibt unberührt.

(2) Soweit der Datenverkehr mit dem Landesrechnungshof, mit der von der oder dem Landesbeauftragten für den Datenschutz geleiteten Behörde oder mit der Landtagsverwaltung betroffen ist, dürfen die Befugnisse nach diesem Abschnitt nur im Einvernehmen mit dieser Behörde wahrgenommen werden.

(3) Im Netzabschnitt des Geschäftsbereichs des Justizministeriums und in den damit verbundenen lokalen Netzen der Stellen aus dem Geschäftsbereich des Justizministeriums werden die Befugnisse nach diesem Abschnitt von einer vom Justizministerium bestimmten Stelle wahrgenommen.

(4) Die Befugnisse nach diesem Abschnitt stehen den Hochschulen und Einrichtungen des Landes, die mit Forschungsaufgaben betraut sind, nicht zu.

§ 18 Automatisierte Erhebung und Auswertung von Daten eines Verzeichnis- und Berechtigungsdienstes

(1) Jede Behörde kann den personenbezogenen Datenverkehr eines Verzeichnis- und Berechtigungsdienstes auf einem von ihr betriebenen, mit dem Landesdatennetz verbundenen IT-System automatisiert erheben und auswerten, soweit dies zu dem Zweck, durch Sicherheitslücken, Schadprogramme oder Angriffe verursachte Gefahren für die IT-Sicherheit abzuwehren, erforderlich ist.

(2) Die nach Absatz 1 erhobenen Daten sowie die Auswertungsergebnisse sind unverzüglich zu löschen, soweit sie zu dem in Absatz 1 genannten Zweck nicht mehr erforderlich sind.

§ 19 Automatisierte Auswertung von Ereignisdokumentationen und Datenverkehr

(1) ¹Jede Behörde kann auf den von ihr betriebenen, mit dem Landesdatennetz verbundenen IT-Systemen die dort zum Erkennen und Nachverfolgen von Auffälligkeiten gespeicherten personenbezogenen Daten nach Maßgabe der Sätze 2 und 3 automatisiert auswerten, soweit dies zu dem Zweck, durch Sicherheitslücken, Schadprogramme oder Angriffe verursachte Gefahren für die IT-Sicherheit abzuwehren, erforderlich ist. ²Für die Auswertung nach Satz 1 dürfen ausschließlich die automatisierten Ereignisdokumentationen von

1. Firewall-Systemen und Systemen zum Netzwerkbetrieb,

2. Systemen zur Erkennung und Beseitigung von Schadsoftware,

3. Systemen zur Erkennung von unerwünschten Werbe-, Betrugs- oder schädlichen E-Mails,

4. Servern von Datenbanken, Verzeichnisdiensten und Anwendungen und

5. Betriebssoftware und Anwendungen von Computersystemen

herangezogen werden. ³Zum Zweck der Auswertung dürfen die in Satz 2 genannten Daten zusammengeführt und gemeinsam verarbeitet werden.

(2) ¹Jede Behörde kann an den von ihr betriebenen, mit dem Landesdatennetz verbundenen Übergabe- und Knotenpunkten nach Maßgabe des Satzes 2 nach auffälligem Datenverkehr suchen, soweit dies zu dem Zweck, durch Sicherheitslücken, Schadprogramme oder Angriffe verursachte Gefahren für die IT-Sicherheit abzuwehren, erforderlich ist.²Der an den Übergabe- und Knotenpunkten anfallende personenbezogene Datenverkehr darf automatisiert erhoben, entschlüsselt und unverzüglich automatisiert ausgewertet werden.

(3) Werden nach Absatz 1 oder 2 Inhalte einer Telekommunikation (Inhaltsdaten) verarbeitet, so ist die Auswertung ihrer kommunikativen Bedeutung unzulässig.

(4) ¹Ergibt die Auswertung nach Absatz 1 oder 2 keine zureichenden tatsächlichen Anhaltspunkte für eine durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachte Gefahr für die IT-Sicherheit, so sind die nach Absatz 1 oder 2 erhobenen und ausgewerteten Daten sowie die Auswertungsergebnisse unverzüglich zu löschen. ²Die Speicherung und sonstige Verarbeitung der nach Absatz 1 ausgewerteten Daten nach dem ursprünglichen Verwendungszweck bleiben von Satz 1 unberührt.

§ 20 Weitere Auswertung ohne Inhaltsdaten in Verdachtsfällen

(1) ¹Ergibt eine automatisierte Auswertung nach § 18 Abs. 1 oder § 19 Abs. 1 oder 2 zureichende tatsächliche Anhaltspunkte für eine durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachte Gefahr für die IT-Sicherheit, so kann die Behörde die nach § 18 Abs. 1 oder § 19 Abs. 1 oder 2 erhobenen und ausgewerteten Daten sowie die Auswertungsergebnisse zusammenführen, höchstens 30 Tage speichern und in dieser Zeitspanne weiter einzelfallbezogen automatisiert auswerten, soweit dies zur Erkennung oder Abwehr der Gefahr erforderlich ist. ²Die nach Satz 1 gespeicherten Daten sind unverzüglich automatisiert zu pseudonymisieren, soweit dies technisch möglich ist und die Daten nicht bereits pseudonym sind.³Ergibt die Auswertung nach Satz 1 keine hinreichenden tatsächlichen Anhaltspunkte für eine durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachte Gefahr für die IT-Sicherheit, so sind die gespeicherten Daten sowie die Auswertungsergebnisse unverzüglich zu löschen.

(2) ¹Ergibt eine automatisierte Auswertung nach § 18 Abs. 1 oder § 19 Abs. 1 oder 2 oder eine weitere automatisierte Auswertung nach Absatz 1 hinreichende tatsächliche Anhaltspunkte für eine durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachte Gefahr für die IT-Sicherheit, so dürfen die Daten über den Ablauf der in Absatz 1 Satz 1 bestimmten Frist hinaus gespeichert, auch nicht automatisiert ausgewertet und entpseudonymisiert werden, soweit und solange dies zur Erkennung oder Abwehr der Gefahr erforderlich ist. ²Die weitere Auswertung nach Satz 1 bedarf der Anordnung der Behördenleitung im Einvernehmen mit einer oder einem weiteren Beschäftigten der Behörde mit der Befähigung zum Richteramt. ³Wenn eine solche Person nicht beschäftigt ist oder aus anderen Gründen nicht zur Verfügung steht, tritt an deren Stelle eine bei der Aufsichtsbehörde beschäftigte und von deren Behördenleitung bestimmte Person mit der Befähigung zum Richteramt. ⁴Ergibt die Auswertung nach Satz 1 tatsächliche Anhaltspunkte für eine andere durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachte Gefahr für die IT-Sicherheit, so dürfen die Daten auch gespeichert und nicht automatisiert ausgewertet werden, soweit und solange dies zur Erkennung oder Abwehr der anderen Gefahr erforderlich ist; die Sätze 2 und 3 gelten entsprechend.

(3) Nach den Absätzen 1 und 2 dürfen keine Inhaltsdaten gespeichert oder ausgewertet werden.

(4) Soweit die nach Absatz 2 ausgewerteten Daten sowie die Auswertungsergebnisse nicht mehr für die dort genannten Zwecke oder eine Übermittlung nach § 29 erforderlich sind, sind sie unverzüglich zu löschen.

§ 21 Weitere Auswertung von Inhaltsdaten in Verdachtsfällen

(1) ¹Ergibt eine automatisierte Auswertung nach § 19 Abs. 1 oder 2 zureichende tatsächliche Anhaltspunkte dafür, dass die ausgewerteten Inhaltsdaten zur Erkennung oder Abwehr einer durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachten Gefahr für die IT-Sicherheit erforderlich sind, so kann die Behörde abweichend von § 20 Abs. 3 auch Inhaltsdaten und Auswertungsergebnisse höchstens 30 Tage speichern und in dieser Zeitspanne weiter einzelfallbezogen automatisiert auswerten, soweit und solange dies zur Erkennung oder Abwehr der Gefahr erforderlich ist; die Auswertung der kommunikativen Bedeutung der Inhaltsdaten ist unzulässig. ²Die nach Satz 1 gespeicherten Daten sind unverzüglich automatisiert zu pseudonymisieren, soweit dies technisch möglich ist und die Daten nicht bereits pseudonym sind. ³Die Speicherung nach Satz 1 bedarf der unverzüglichen Genehmigung der Behördenleitung im Einvernehmen mit einer oder einem weiteren Beschäftigten der Behörde mit der Befähigung zum Richteramt. ⁴Wenn eine solche Person nicht beschäftigt ist oder aus anderen Gründen nicht zur Verfügung steht, tritt an deren Stelle eine bei der Aufsichtsbehörde beschäftigte und von deren Behördenleitung bestimmte Person mit der Befähigung zum Richteramt. ⁵Wird die Genehmigung abgelehnt oder nicht unverzüglich erteilt, so sind die gespeicherten Inhaltsdaten sowie die Auswertungsergebnisse unverzüglich zu löschen. ⁶Ergibt die Auswertung nach Satz 1 keine hinreichenden tatsächlichen Anhaltspunkte dafür, dass die ausgewerteten Inhaltsdaten zur Erkennung oder Abwehr einer durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachten Gefahr für die IT-Sicherheit erforderlich sind, so sind die gespeicherten Inhaltsdaten sowie die Auswertungsergebnisse unverzüglich zu löschen.

(2) ¹Ergibt eine automatisierte Auswertung nach § 19 Abs. 1 oder 2 oder eine weitere automatisierte Auswertung nach Absatz 1 hinreichende tatsächliche Anhaltspunkte dafür, dass die ausgewerteten Inhaltsdaten zur Erkennung oder Abwehr einer durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachten Gefahr für die IT-Sicherheit erforderlich sind, so dürfen die Daten über den Ablauf der in Absatz 1 Satz 1 bestimmten Frist hinaus gespeichert, auch nicht automatisiert ausgewertet und entpseudonymisiert werden, soweit und solange dies zur Erkennung oder Abwehr der Gefahr erforderlich ist; die Auswertung der kommunikativen Bedeutung der Inhaltsdaten ist unzulässig. ²Die weitere Auswertung nach Satz 1 bedarf der Anordnung der Behördenleitung im Einvernehmen mit einer oder einem weiteren Beschäftigten der Behörde mit der Befähigung zum Richteramt. ³Wenn eine solche Person nicht beschäftigt ist oder aus anderen Gründen nicht zur Verfügung steht, tritt an deren Stelle eine bei der Aufsichtsbehörde beschäftigte und von deren Behördenleitung bestimmte Person mit der Befähigung zum Richteramt. ⁴Ergibt die Auswertung nach Satz 1 tatsächliche Anhaltspunkte für eine andere durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachte Gefahr für die IT-Sicherheit, so dürfen die Daten auch gespeichert und nicht automatisiert ausgewertet werden, soweit und solange dies zur Erkennung oder Abwehr der anderen Gefahr erforderlich ist; die Sätze 2 und 3 gelten entsprechend.

(3) Soweit die nach Absatz 2 ausgewerteten Daten sowie die Auswertungsergebnisse nicht mehr für die dort genannten Zwecke oder eine Übermittlung nach § 29 erforderlich sind, sind sie unverzüglich zu löschen.

(4) ¹Sind nach Absatz 2 ausgewertete Daten dem Kernbereich privater Lebensgestaltung oder besonderen Kategorien personenbezogener Daten (Artikel 9 der Datenschutz-Grundverordnung) zuzurechnen oder geeignet, die betroffene Person in ihrer beruflichen oder gesellschaftlichen Stellung zu beeinträchtigen, so dürfen diese nicht gespeichert, verändert, genutzt oder übermittelt werden; sie sind unverzüglich zu löschen. ²Satz 1 gilt auch in Zweifelsfällen. ³Die Tatsache, dass in den Sätzen 1 und 2 genannte Daten ausgewertet wurden, und die Löschung dieser Daten sind zu dokumentieren. ⁴Die in der Dokumentation enthaltenen Daten dürfen ausschließlich zur Datenschutzkontrolle verwendet werden. ⁵Sie sind zu löschen, wenn seit einer Benachrichtigung nach § 26 Abs. 1 Satz 1 ein Jahr vergangen ist, frühestens jedoch zwei Jahre nach der Dokumentation, es sei denn, die oder der Landesbeauftragte für den Datenschutz zeigt an, dass die Daten zur Erfüllung ihrer oder seiner Aufgaben weiterhin benötigt werden.

§ 22 Ergänzende Auswertung durch das Bundesamt für Sicherheit in der Informationstechnik

¹Jede Behörde, die selbst IT-Systeme zur Erkennung und Abwehr von Gefahren für die IT-Sicherheit betreibt, kann das Bundesamt für Sicherheit in der Informationstechnik (BSI) beauftragen, den von ihr nach § 19 Abs. 2 erhobenen Datenverkehr, dessen automatisierte Auswertung keine zureichenden oder hinreichenden tatsächlichen Anhaltspunkte für eine durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachte Gefahr für die IT-Sicherheit ergeben hat, ergänzend auszuwerten und den Datenverkehr zu diesem Zweck an das BSI übermitteln. ²Der Auftrag darf nur erteilt werden, wenn

1. die ergänzende Auswertung durch das BSI nur nach Maßgabe der §§ 20 und 21 erfolgt und über die dabei erforderlichen Anordnungen oder Genehmigungen von der beauftragenden Behörde entschieden wird,

2. das BSI die Auswertungsergebnisse der beauftragenden Behörde unverzüglich zur Verfügung stellen wird,

3. eine Verwendung der personenbezogenen Daten durch das BSI zu anderen Zwecken als zur ergänzenden Auswertung unzulässig ist,

4. die Daten nach Maßgabe des § 25 verarbeitet sowie nach Abschluss der ergänzenden Auswertung unverzüglich gelöscht werden und

5. das BSI in geeigneter Weise Nachweise dafür erbringen kann, dass die übermittelten Daten ordnungsgemäß verarbeitet und gelöscht werden.

³Die ergänzende Auswertung des BSI erfolgt ausschließlich nach Weisung der beauftragenden Behörde.

§ 23 Speicherung und Auswertung von Daten zur Abwehr einer dringenden Gefahr für die IT-Sicherheit

(1) ¹Jede Behörde kann den nach § 19 Abs. 2 erhobenen Datenverkehr zu dem Zweck, durch Schadprogramme oder Angriffe verursachte, im Hinblick auf das Ausmaß des zu erwartenden Schadens und die Wahrscheinlichkeit des Schadenseintritts erhöhte Gefahren für die IT-Sicherheit im gesamten Landesdatennetz (dringende Gefahren für die IT-Sicherheit) abzuwehren, automatisiert speichern. ²Die gespeicherten Daten sind unverzüglich automatisiert zu pseudonymisieren, soweit dies technisch möglich ist und die Daten nicht bereits pseudonym sind; nach höchstens 30 Tagen sind die Daten zu löschen.

(2) ¹Soweit und solange es zur Abwehr einer dringenden Gefahr für die IT-Sicherheit unerlässlich ist, dürfen die nach Absatz 1 Satz 1 gespeicherten Daten automatisiert und nicht automatisiert ausgewertet, entpseudonymisiert sowie über den Ablauf der in Absatz 1 Satz 2 bestimmten Frist hinaus gespeichert werden; die Auswertung der kommunikativen Bedeutung von Inhaltsdaten ist unzulässig. ²§ 21 Abs. 4 gilt entsprechend.

(3) ¹Maßnahmen nach Absatz 2 bedürfen der Anordnung des Amtsgerichts, in dessen Bezirk die Behörde ihren Sitz hat. ²Im Antrag der Behörde sind der Sachverhalt und eine Begründung anzugeben. ³Die Anordnung ergeht schriftlich. ⁴Sie muss den Sachverhalt und die wesentlichen Gründe enthalten. ⁵Für das gerichtliche Verfahren gilt § 19 Abs. 4 des Niedersächsischen Polizei- und Ordnungsbehördengesetzes (NPOG) entsprechend. ⁶Bei Gefahr im Verzug kann die Behördenleitung die Anordnung treffen; die Sätze 3 und 4 gelten entsprechend mit der Maßgabe, dass die Anordnung auch eine Begründung der Gefahr im Verzug enthalten muss.⁷Die richterliche Bestätigung der Anordnung ist unverzüglich zu beantragen. ⁸Wird die Bestätigung abgelehnt, so tritt die Anordnung außer Kraft. ⁹Die Daten und die Auswertungsergebnisse dürfen in diesem Fall nicht mehr verwendet werden und sind unverzüglich zu löschen; die Speicherung nach Absatz 1 bleibt unberührt.

(4) Soweit die nach Absatz 2 verarbeiteten Daten sowie die Auswertungsergebnisse nicht mehr für den dort genannten Zweck oder eine Übermittlung nach § 29 erforderlich sind, sind sie unverzüglich zu löschen; die Speicherung nach Absatz 1 bleibt unberührt.

§ 24 Beseitigung von Schadprogrammen
¹Soweit die Auswertungen nach den §§ 18 bis 23 ein Schadprogramm identifizieren, kann dieses jederzeit beseitigt oder in seiner Funktionsweise gehindert werden. ²Soweit Daten von dem Schadprogramm nicht oder nur mit unverhältnismäßigem Aufwand getrennt werden können, kann die Behörde diese Daten gemeinsam mit dem Schadprogramm löschen.

§ 25 Datensicherheit, Protokollierung

(1) ¹Die nach den §§ 18 bis 23 verarbeiteten Daten sowie die Auswertungsergebnisse sind durch technische und organisatorische Maßnahmen nach dem Stand der Technik gegen unbefugte Kenntnisnahme, Veränderung und Verwendung zu schützen. ²Bei der Umsetzung dieser Maßnahmen ist ein besonders hohes Maß an Datensicherheit zu gewährleisten.

(2) Insbesondere

1. sind der Zutritt zu den und der Zugriff auf die Datenverarbeitungsanlagen auf Personen zu beschränken, die durch die jeweilige Behördenleitung hierzu besonders ermächtigt sind,

2. ist organisatorisch sicherzustellen, dass eine Kenntnisnahme der nach den §§ 18 bis 23 verarbeiteten Daten sowie der Auswertungsergebnisse durch andere als die nach Nummer 1 ermächtigten Personen ausgeschlossen ist,

3. ist sicherzustellen, dass die für Datenverarbeitung nach den §§ 18 bis 23 verwendeten IT-Systeme von den für die üblichen betrieblichen Aufgaben verwendeten IT-Systemen getrennt sind, insbesondere die Speicherung in gesonderten Speichereinrichtungen erfolgt,

4. sind besondere Sicherungsmaßnahmen gegen den unberechtigten Zugriff aus anderen Netzen, insbesondere aus dem Internet, zu treffen,

5. sind nach dem Stand der Technik als besonders sicher geltende Verschlüsselungsverfahren zur Gewährleistung der Vertraulichkeit der gespeicherten Daten einzusetzen und

6. ist technisch und organisatorisch sicherzustellen, dass der Zugriff auf die Daten nur gemeinsam durch mindestens zwei nach Nummer 1 ermächtigte Personen erfolgen kann.

(3) ¹Eine Behörde darf von den Ermächtigungen der §§ 18 bis 23 nur Gebrauch machen, wenn sie ein Sicherheitskonzept für die dazu eingesetzten technischen Systeme erstellt und die Umsetzung aller darin vorgesehenen technischen und organisatorischen Maßnahmen aktenkundig gemacht hat. ²Das Sicherheitskonzept ist alle zwei Jahre einer Revision zu unterziehen.³Für jede Veränderung der eingesetzten technischen Systeme gilt Satz 1 entsprechend.

(4) ¹Jeder Zugriff, insbesondere das Lesen, Kopieren, Ändern, Übermitteln, Löschen und Sperren von nach den §§ 18 bis 23 verarbeiteten Daten sowie von Auswertungsergebnissen ist zu protokollieren. ²Das Protokoll enthält Zeitpunkt, Art und Zweck des Zugriffs sowie eine eindeutige Kennung der auf die Daten zugreifenden Person. ³Das Protokoll darf ausschließlich zur Datenschutzkontrolle verwendet werden. ⁴Jeder Eintrag in das Protokoll ist zwei Jahre nach seiner Aufnahme zu löschen, es sei denn, die oder der Landesbeauftragte für den Datenschutz zeigt an, dass die Daten zur Erfüllung ihrer oder seiner Aufgaben weiterhin benötigt werden.

§ 26 Benachrichtigung der betroffenen Personen

(1) ¹Die von Maßnahmen nach den §§ 18 bis 23 und 29 betroffenen Personen sind unverzüglich, spätestens nach der Abwehr der durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachten Gefahr für die IT-Sicherheit, zu benachrichtigen. ²Satz 1 gilt nicht, soweit zur Durchführung der Benachrichtigung in unverhältnismäßiger Weise weitere Daten der betroffenen Personen erhoben werden müssten.

(2) ¹Die Benachrichtigung kann unterbleiben,

1. solange ihr ein in § 29 Abs. 2 Satz 1 genannter Zweck entgegensteht,

2. solange durch das mit der Benachrichtigung verbundene Bekanntwerden einer Sicherheitslücke die IT-Sicherheit gefährdet würde oder

3. wenn die Person nur unerheblich betroffen ist und anzunehmen ist, dass sie an einer Benachrichtigung kein Interesse hat.

²Soll eine Benachrichtigung nach Satz 1 Nr. 1 oder 2 unterbleiben, so bedarf dies der Zustimmung des Amtsgerichts, in dessen Bezirk die Behörde ihren Sitz hat; für das gerichtliche Verfahren gilt § 19 Abs. 4 NPOG entsprechend.³Soll eine Benachrichtigung nach Satz 1 Nr. 3 unterbleiben, so bedarf dies der Anordnung der Behördenleitung im Einvernehmen mit einer oder einem weiteren Beschäftigten der Behörde mit der Befähigung zum Richteramt.⁴Wenn eine solche Person nicht beschäftigt ist oder aus anderen Gründen nicht zur Verfügung steht, tritt an deren Stelle eine bei der Aufsichtsbehörde beschäftigte und von deren Behördenleitung bestimmte Person mit der Befähigung zum Richteramt.

§ 27 Dokumentation
¹Anordnungen, Genehmigungen, Bestätigungen und Zustimmungen nach § 20 Abs. 2 Satz 2, § 21 Abs. 1 Satz 3 und Abs. 2 Satz 2, § 23 Abs. 3 Sätze 1, 6 und 7, § 26 Abs. 2 Sätze 2 und 3 sowie § 29 Abs. 2 Sätze 3 bis 6 sind zu dokumentieren. ²Die in der Dokumentation enthaltenen personenbezogenen Daten dürfen ausschließlich zur Datenschutzkontrolle verwendet werden.³Sie sind zu löschen, wenn seit einer Benachrichtigung nach § 26 Abs. 1 Satz 1 ein Jahr vergangen ist, frühestens jedoch zwei Jahre nach der Dokumentation, es sei denn, die oder der Landesbeauftragte für den Datenschutz zeigt an, dass die Daten zur Erfüllung ihrer oder seiner Aufgaben weiterhin benötigt werden.

§ 28 Beteiligung der oder des Landesbeauftragten für den Datenschutz
¹Jede Behörde, die ihre Befugnisse nach diesem Abschnitt wahrnimmt, legt der oder dem Landesbeauftragten für den Datenschutz einmal jährlich eine Aufstellung über die Datenverarbeitung nach den §§ 18 bis 23, 26 und 29 Abs. 2 sowie die Dokumentation nach § 27 vor. ²Satz 1 gilt nicht für den Landtag, seine Mitglieder, die Fraktionen sowie ihre jeweiligen Verwaltungen und Beschäftigten, soweit sie bei der Wahrnehmung parlamentarischer Aufgaben personenbezogene Daten verarbeiten.

§ 29 NDIG - Zweckbindung, Übermittlung personenbezogener Daten

(1) 1Die nach den §§ 18 bis 23 verarbeiteten personenbezogenen Daten sowie die Auswertungsergebnisse dürfen nicht zu anderen als den dort genannten Zwecken verarbeitet werden. 2Insbesondere ist die Erstellung von personenbezogenen Profilen zur Vorhersage des Nutzungsverhaltens von natürlichen Personen untersagt.

(2) 1Jede Behörde soll abweichend von Absatz 1 die nach § 20 Abs. 2, § 21 Abs. 2 oder § 23 Abs. 2 ausgewerteten personenbezogenen Daten sowie die Auswertungsergebnisse übermitteln

1. an die Strafverfolgungsbehörden, wenn dies zur Verfolgung einer Straftat erforderlich ist und die Strafverfolgungsbehörden die Daten mit einer Maßnahme nach § 100 a oder § 100 g der Strafprozessordnung (StPO) hätten erheben dürfen,

2. an die Polizeibehörden des Bundes und der Länder, wenn dies zur Abwehr einer gegenwärtigen Gefahr für Leib, Leben oder Freiheit einer Person erforderlich ist,

3. an die Verfassungsschutzbehörde des Landes, wenn dies zur Erfüllung der Aufgabe nach § 3 Abs. 1 des Niedersächsischen Verfassungsschutzgesetzes erforderlich ist und die Verfassungsschutzbehörde die Daten mit einer Maßnahme nach § 20 des Niedersächsischen Verfassungsschutzgesetzes oder § 3 des Artikel 10-Gesetzes hätte erheben dürfen.

2Die Übermittlung von Daten einer in § 53 oder § 53 a StPO genannten Person, über die diese das Zeugnis verweigern dürfte, ist unzulässig. 3Eine Übermittlung nach Satz 1 Nr. 1 oder 2 bedarf der vorherigen Zustimmung des Amtsgerichts, in dessen Bezirk die übermittelnde Behörde ihren Sitz hat; für das gerichtliche Verfahren gilt § 19 Abs. 4 NPOG entsprechend. 4Eine Übermittlung nach Satz 1 Nr. 3 bedarf der vorherigen Zustimmung der nach § 3 Abs. 1 Sätze 1 bis 4 des Niedersächsischen Gesetzes zur Ausführung des Artikel 10-Gesetzes (Nds. AG G 10) bestellten G 10-Kommission; § 3 Abs. 1 Sätze 5 bis 7 und Abs. 2 bis 4 Nds. AG G 10 gilt entsprechend. 5Bei Gefahr im Verzug kann die Behördenleitung anordnen, dass die Daten vor der nach Satz 3 oder 4 erforderlichen Zustimmung übermittelt werden. 6In diesem Fall ist unverzüglich die nachträgliche Zustimmung einzuholen. 7Wird die nachträgliche Zustimmung abgelehnt, so tritt die Anordnung außer Kraft. 8Die bereits übermittelten Daten dürfen in diesem Fall nicht verwendet werden und sind unverzüglich zu löschen; die empfangende Stelle ist darüber zu unterrichten.

(3) Wurde durch Maßnahmen nach den §§ 18 bis 23 eine Sicherheitslücke, ein Schadprogramm oder ein Angriff festgestellt, so kann jede Behörde Auswertungsergebnisse, soweit erforderlich auch einschließlich der darin enthaltenen personenbezogenen Daten, an Stellen übermitteln, deren IT-Systeme mit dem Landesdatennetz verbunden sind, wenn dies zur Abwehr von durch die Sicherheitslücke, das Schadprogramm oder den Angriff verursachten Gefahren für die IT-Sicherheit erforderlich ist.

Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
Albrecht/Schmid, K&R 2013, 529 (E-Government)
BT-Drs. 18/4096
BT-Drs. 18/5121
Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung)
Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
Clauß/Köpsell, IT-Sicherheit 1/2012, 44 (Datenschutztechnologien Verwaltung)
Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
Eikel/Kohlhause, IT-Sicherheit 3/2012, 64 (United Communications)
Fischer/Lemm, IT-Sicherheit 1/2012, 48 (Kommunales Cloud Computing)
Frische/Ramsauer, NVwZ 2013, 1505 (Das E-Government-Gesetz)
Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
Geis, K&R 2002, 59 (Singnaturverordnung)
Glombik, VR 2016, 306 (Europäischer elektr. Datenaustausch)
Gola, K&R 2017, 145 (Interpretation der DSGVO)
Hoffmann/Schulz/Brackmann, ZD 2013, 122 (öffentliche Verwaltung und soziale Medien)
Johannes, MMR 2013, 694 (Elektronische Formulare, Verwaltungsverfahren)
Kahler, CR 2015, 153 (Outsourcing im öffentl. Sektor, Amtsgeheimnis)
Karg, DuD 2013, 702 (E-Akte, datenschutzrechtliche Anforderungen)
Klimburg, IT-Sicherheit 2/2012, 45 (Datenschutz, Sicherheitskonzept, Verwaltung in NRW)
Kramer, DSB 2015, Nr 04, 79 (Vorgaben für den behördlichen DSB)
König, LKV 2010, 293 (Verwaltungsreform in Thüringen, E-Government)
Laue, DSB 2011, Nr 9, 12 (§ 3a, Datenvermeidung und Datensparsamkeit)
Leisterer/Schneider, K&R 2015, 681 (staatliches Informationshandeln im Bereich der IT-Sicherheit)
Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
Mayer, IT-Sicherheit, 5/2012, 68 (Mobility, ByoD)
Oberthür/Hundt/Kroeger, RVaktuell 2017, 18 (E-Government-Gesetz)
Prell, NVwZ 2013, 1514 (E-Government)
Probst/Winters, CR 2015, 557 (eVergabe, elektr. Durchführung der Vergabe öffentl. Aufträge)
Roßnagel, CR 2011, 23 (sicherer elektronischer Rechtsverkehr)
Roßnagel, MMR 2015, 359 (eIDAS-VO, elektr. Signaturen für Vertrauensdienste)
Roßnagel, NJW 2013, 2710 ( E-Government-Gesetz)
Roßnagel, NJW 2014, 3686 (Sichere elektronische Transaktionen)
Schrotz/Zdanowiecki, CR 2015, 485 (Cloud Computing im öffentl. Sektor, Datenschutz u. IT-Sicherheit)
Schulte/ Schröder, Handbuch des Technikrechts, 2011
Schulz, CR 2009, 267-272 (Der neue „E-Personalausweis”)
Schulz, DuD 2015, 446 (Leitlinie für IT-Sicherheit in Kommunen)
Schulz, MMR 2010, 75 (Chancen und Risiken von Cloud Computing in der öffentlichen Verwaltung)
Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
VGH Bayern, B. v. 01.12.2014 16a DZ 11.2411 (E-Mail-Kontrolle bei Beamten, Datensicherheit);
Weidemann, DVP 2013, 232-234 (DE-Mail, Verwaltungszustellungsgesetz)
Zaudig, IT-Sicherheit 4/2012, 64 (IT-Sicherheitsmanagement in der Kommunalbehörde)

Suche in Deutsch und Englisch

Thema

Ergebnis 41

BSI TR 03138

Deutsch: Ersetzendes Scannen; Version 1.2

Englisch: Replacement Scanning; Version 1.2

Ergebnis 42

BSI TR 03138 Anlage A

Deutsch: Ersetzendes Scannen - Anlage A: Ergebnis der Risikoanalyse; Version 1.2

Englisch: —

Ergebnis 43

BSI TR 03138 Anlage P

Deutsch: Ersetzendes Scannen - Anlage P: Prüfspezifikation; Version 1.3

Englisch: —

Ergebnis 44

BSI TR 03138 Anlage R

Deutsch: Ersetzendes Scannen - Anlage R: Unverbindliche rechtliche Hinweise; Version 1.2

Englisch: —

Ergebnis 45

BSI TR 03138 Anlage V

Deutsch: Ersetzendes Scannen - Anlage V: Exemplarische Gliederung einer Verfahrensanweisung; Version 1.2

Englisch: —

Ergebnis 46

BSI TR 03146

Deutsch: Elektronische Bildübermittlung zur Beantragung hoheitlicher Dokumente (E-Bild hD); Version 1.0

Englisch: —

Ergebnis 47

BSI TR 03147

Deutsch: Technische Richtlinie TR-03147 - Vertrauensniveaubewertung von Verfahren zur Identitätsprüfung natürlicher Personen; Version 1.0.5

Englisch: —

Ergebnis 48

BSI TL 03305

Deutsch: Für staatliche VS zugelassene abstrahlsichere /-arme Hardware

Englisch: —

Ergebnis 49

NIST FIPS 201-2:2013-09

Deutsch: —

Englisch: Personal Identity Verification (PIV) of Federal Employees and Contractors

Ergebnis 50

DIN SPEC 27099:2016-07

Deutsch: Informationstechnik - Sicherheitsverfahren - Hochsichere Netzwerk-Architektur zur Verwahrung hoch schutzbedürftiger Daten

Englisch: Information technology - Safety procedures - High-security network architecture for storage of highly vulnerable data
- zurück
- 1
- 2
- 3
- 4
- 5

NDIG - Niedersächsisches Gesetz über digitale Verwaltung und Informationssicherheit

NDIG - Niedersächsisches Gesetz über digitale Verwaltung und Informationssicherheit

Metadaten

Rechtstext

Literatur und Quellen

Technische Normen und Standards (Treffer 50)

Suche in Deutsch und Englisch

Thema