Versionsverlauf

Pflichtfeld

  • ab 02.11.2019 (aktuelle Fassung)

§ 21 NDIG - Weitere Auswertung von Inhaltsdaten in Verdachtsfällen

Bibliographie

Titel
Niedersächsisches Gesetz über digitale Verwaltung und Informationssicherheit (NDIG) 
Amtliche Abkürzung
NDIG
Normtyp
Gesetz
Normgeber
Niedersachsen
Gliederungs-Nr.
20500

(1) 1Ergibt eine automatisierte Auswertung nach § 19 Abs. 1 oder 2 zureichende tatsächliche Anhaltspunkte dafür, dass die ausgewerteten Inhaltsdaten zur Erkennung oder Abwehr einer durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachten Gefahr für die IT-Sicherheit erforderlich sind, so kann die Behörde abweichend von § 20 Abs. 3 auch Inhaltsdaten und Auswertungsergebnisse höchstens 30 Tage speichern und in dieser Zeitspanne weiter einzelfallbezogen automatisiert auswerten, soweit und solange dies zur Erkennung oder Abwehr der Gefahr erforderlich ist; die Auswertung der kommunikativen Bedeutung der Inhaltsdaten ist unzulässig. 2Die nach Satz 1 gespeicherten Daten sind unverzüglich automatisiert zu pseudonymisieren, soweit dies technisch möglich ist und die Daten nicht bereits pseudonym sind. 3Die Speicherung nach Satz 1 bedarf der unverzüglichen Genehmigung der Behördenleitung im Einvernehmen mit einer oder einem weiteren Beschäftigten der Behörde mit der Befähigung zum Richteramt. 4Wenn eine solche Person nicht beschäftigt ist oder aus anderen Gründen nicht zur Verfügung steht, tritt an deren Stelle eine bei der Aufsichtsbehörde beschäftigte und von deren Behördenleitung bestimmte Person mit der Befähigung zum Richteramt. 5Wird die Genehmigung abgelehnt oder nicht unverzüglich erteilt, so sind die gespeicherten Inhaltsdaten sowie die Auswertungsergebnisse unverzüglich zu löschen. 6Ergibt die Auswertung nach Satz 1 keine hinreichenden tatsächlichen Anhaltspunkte dafür, dass die ausgewerteten Inhaltsdaten zur Erkennung oder Abwehr einer durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachten Gefahr für die IT-Sicherheit erforderlich sind, so sind die gespeicherten Inhaltsdaten sowie die Auswertungsergebnisse unverzüglich zu löschen.

(2) 1Ergibt eine automatisierte Auswertung nach § 19 Abs. 1 oder 2 oder eine weitere automatisierte Auswertung nach Absatz 1 hinreichende tatsächliche Anhaltspunkte dafür, dass die ausgewerteten Inhaltsdaten zur Erkennung oder Abwehr einer durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachten Gefahr für die IT-Sicherheit erforderlich sind, so dürfen die Daten über den Ablauf der in Absatz 1 Satz 1 bestimmten Frist hinaus gespeichert, auch nicht automatisiert ausgewertet und entpseudonymisiert werden, soweit und solange dies zur Erkennung oder Abwehr der Gefahr erforderlich ist; die Auswertung der kommunikativen Bedeutung der Inhaltsdaten ist unzulässig. 2Die weitere Auswertung nach Satz 1 bedarf der Anordnung der Behördenleitung im Einvernehmen mit einer oder einem weiteren Beschäftigten der Behörde mit der Befähigung zum Richteramt. 3Wenn eine solche Person nicht beschäftigt ist oder aus anderen Gründen nicht zur Verfügung steht, tritt an deren Stelle eine bei der Aufsichtsbehörde beschäftigte und von deren Behördenleitung bestimmte Person mit der Befähigung zum Richteramt. 4Ergibt die Auswertung nach Satz 1 tatsächliche Anhaltspunkte für eine andere durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachte Gefahr für die IT-Sicherheit, so dürfen die Daten auch gespeichert und nicht automatisiert ausgewertet werden, soweit und solange dies zur Erkennung oder Abwehr der anderen Gefahr erforderlich ist; die Sätze 2 und 3 gelten entsprechend.

(3) Soweit die nach Absatz 2 ausgewerteten Daten sowie die Auswertungsergebnisse nicht mehr für die dort genannten Zwecke oder eine Übermittlung nach § 29 erforderlich sind, sind sie unverzüglich zu löschen.

(4) 1Sind nach Absatz 2 ausgewertete Daten dem Kernbereich privater Lebensgestaltung oder besonderen Kategorien personenbezogener Daten (Artikel 9 der Datenschutz-Grundverordnung) zuzurechnen oder geeignet, die betroffene Person in ihrer beruflichen oder gesellschaftlichen Stellung zu beeinträchtigen, so dürfen diese nicht gespeichert, verändert, genutzt oder übermittelt werden; sie sind unverzüglich zu löschen. 2Satz 1 gilt auch in Zweifelsfällen. 3Die Tatsache, dass in den Sätzen 1 und 2 genannte Daten ausgewertet wurden, und die Löschung dieser Daten sind zu dokumentieren. 4Die in der Dokumentation enthaltenen Daten dürfen ausschließlich zur Datenschutzkontrolle verwendet werden. 5Sie sind zu löschen, wenn seit einer Benachrichtigung nach § 26 Abs. 1 Satz 1 ein Jahr vergangen ist, frühestens jedoch zwei Jahre nach der Dokumentation, es sei denn, die oder der Landesbeauftragte für den Datenschutz zeigt an, dass die Daten zur Erfüllung ihrer oder seiner Aufgaben weiterhin benötigt werden.