§ 23 NDIG - Speicherung und Auswertung von Daten zur Abwehr einer dringenden Gefahr für die IT-Sicherheit
Bibliographie
- Titel
- Niedersächsisches Gesetz über digitale Verwaltung und Informationssicherheit (NDIG)
- Amtliche Abkürzung
- NDIG
- Normtyp
- Gesetz
- Normgeber
- Niedersachsen
- Gliederungs-Nr.
- 20500
(1) 1Jede Behörde kann den nach § 19 Abs. 2 erhobenen Datenverkehr zu dem Zweck, durch Schadprogramme oder Angriffe verursachte, im Hinblick auf das Ausmaß des zu erwartenden Schadens und die Wahrscheinlichkeit des Schadenseintritts erhöhte Gefahren für die IT-Sicherheit im gesamten Landesdatennetz (dringende Gefahren für die IT-Sicherheit) abzuwehren, automatisiert speichern. 2Die gespeicherten Daten sind unverzüglich automatisiert zu pseudonymisieren, soweit dies technisch möglich ist und die Daten nicht bereits pseudonym sind; nach höchstens 30 Tagen sind die Daten zu löschen.
(2) 1Soweit und solange es zur Abwehr einer dringenden Gefahr für die IT-Sicherheit unerlässlich ist, dürfen die nach Absatz 1 Satz 1 gespeicherten Daten automatisiert und nicht automatisiert ausgewertet, entpseudonymisiert sowie über den Ablauf der in Absatz 1 Satz 2 bestimmten Frist hinaus gespeichert werden; die Auswertung der kommunikativen Bedeutung von Inhaltsdaten ist unzulässig. 2§ 21 Abs. 4 gilt entsprechend.
(3) 1Maßnahmen nach Absatz 2 bedürfen der Anordnung des Amtsgerichts, in dessen Bezirk die Behörde ihren Sitz hat. 2Im Antrag der Behörde sind der Sachverhalt und eine Begründung anzugeben. 3Die Anordnung ergeht schriftlich. 4Sie muss den Sachverhalt und die wesentlichen Gründe enthalten. 5Für das gerichtliche Verfahren gilt § 19 Abs. 4 des Niedersächsischen Polizei- und Ordnungsbehördengesetzes (NPOG) entsprechend. 6Bei Gefahr im Verzug kann die Behördenleitung die Anordnung treffen; die Sätze 3 und 4 gelten entsprechend mit der Maßgabe, dass die Anordnung auch eine Begründung der Gefahr im Verzug enthalten muss. 7Die richterliche Bestätigung der Anordnung ist unverzüglich zu beantragen. 8Wird die Bestätigung abgelehnt, so tritt die Anordnung außer Kraft. 9Die Daten und die Auswertungsergebnisse dürfen in diesem Fall nicht mehr verwendet werden und sind unverzüglich zu löschen; die Speicherung nach Absatz 1 bleibt unberührt.
(4) Soweit die nach Absatz 2 verarbeiteten Daten sowie die Auswertungsergebnisse nicht mehr für den dort genannten Zweck oder eine Übermittlung nach § 29 erforderlich sind, sind sie unverzüglich zu löschen; die Speicherung nach Absatz 1 bleibt unberührt.