(1) ¹Ergibt eine automatisierte Auswertung nach § 18 Abs. 1 oder § 19 Abs. 1 oder 2 zureichende tatsächliche Anhaltspunkte für eine durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachte Gefahr für die IT-Sicherheit, so kann die Behörde die nach § 18 Abs. 1 oder § 19 Abs. 1 oder 2 erhobenen und ausgewerteten Daten sowie die Auswertungsergebnisse zusammenführen, höchstens 30 Tage speichern und in dieser Zeitspanne weiter einzelfallbezogen automatisiert auswerten, soweit dies zur Erkennung oder Abwehr der Gefahr erforderlich ist. ²Die nach Satz 1 gespeicherten Daten sind unverzüglich automatisiert zu pseudonymisieren, soweit dies technisch möglich ist und die Daten nicht bereits pseudonym sind. ³Ergibt die Auswertung nach Satz 1 keine hinreichenden tatsächlichen Anhaltspunkte für eine durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachte Gefahr für die IT-Sicherheit, so sind die gespeicherten Daten sowie die Auswertungsergebnisse unverzüglich zu löschen.

(2) ¹Ergibt eine automatisierte Auswertung nach § 18 Abs. 1 oder § 19 Abs. 1 oder 2 oder eine weitere automatisierte Auswertung nach Absatz 1 hinreichende tatsächliche Anhaltspunkte für eine durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachte Gefahr für die IT-Sicherheit, so dürfen die Daten über den Ablauf der in Absatz 1 Satz 1 bestimmten Frist hinaus gespeichert, auch nicht automatisiert ausgewertet und entpseudonymisiert werden, soweit und solange dies zur Erkennung oder Abwehr der Gefahr erforderlich ist. ²Die weitere Auswertung nach Satz 1 bedarf der Anordnung der Behördenleitung im Einvernehmen mit einer oder einem weiteren Beschäftigten der Behörde mit der Befähigung zum Richteramt. ³Wenn eine solche Person nicht beschäftigt ist oder aus anderen Gründen nicht zur Verfügung steht, tritt an deren Stelle eine bei der Aufsichtsbehörde beschäftigte und von deren Behördenleitung bestimmte Person mit der Befähigung zum Richteramt. ⁴Ergibt die Auswertung nach Satz 1 tatsächliche Anhaltspunkte für eine andere durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachte Gefahr für die IT-Sicherheit, so dürfen die Daten auch gespeichert und nicht automatisiert ausgewertet werden, soweit und solange dies zur Erkennung oder Abwehr der anderen Gefahr erforderlich ist; die Sätze 2 und 3 gelten entsprechend.

(3) Nach den Absätzen 1 und 2 dürfen keine Inhaltsdaten gespeichert oder ausgewertet werden.

(4) Soweit die nach Absatz 2 ausgewerteten Daten sowie die Auswertungsergebnisse nicht mehr für die dort genannten Zwecke oder eine Übermittlung nach § 29 erforderlich sind, sind sie unverzüglich zu löschen.