(1)Der zentrale Dienstleister für Informations- und Kommunikationstechnik der Landesverwaltung darf zur Abwehr von Gefahren für die Informationstechnik der Landesverwaltung1.Protokolldaten, die beim Betrieb von Informationstechnik der Landesverwaltung anfallen, erheben und automatisiert auswerten, soweit dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern bei der Informationstechnik der Landesverwaltung oder von Angriffen auf die Informationstechnik der Landesverwaltung erforderlich ist,
2.die an den Schnittstellen der Informationstechnik der Landesverwaltung anfallenden Daten automatisiert auswerten, soweit dies für die Erkennung und Abwehr von Schadprogrammen erforderlich ist.
Sofern nicht die Absätze 3 bis 7 eine weitere Verwendung gestatten, muss die automatisierte Auswertung dieser Daten unverzüglich erfolgen; die ausgewerteten Daten müssen nach erfolgtem Abgleich sofort und spurenlos gelöscht werden. Die Verwendungsbeschränkungen gelten nicht für Protokolldaten, sofern diese weder personenbezogene noch dem Fernmeldegeheimnis oder Kommunikationsgeheimnis unterliegende Daten beinhalten. Die Behörden des Landes sind verpflichtet, den zentralen Dienstleister für Informations- und Kommunikationstechnik der Landesverwaltung bei Maßnahmen nach Satz 1 zu unterstützen und hierbei den Zugang des zentralen Dienstleisters für Informations- und Kommunikationstechnik der Landesverwaltung zu behördeninternen Protokolldaten nach Satz 1 Nr. 1 sowie Schnittstellendaten nach Satz 1 Nr. 2 sicherzustellen. Protokolldaten der Gerichte und Staatsanwaltschaften dürfen nur mit deren Einvernehmen erhoben werden.
(2)Protokolldaten im Sinne dieses Gesetzes sind Steuerdaten eines informationstechnischen Protokolls zur Datenübertragung, die unabhängig vom Inhalt eines Kommunikationsvorgangs übertragen oder auf den am Kommunikationsvorgang beteiligten Servern gespeichert werden und zur Gewährleistung der Kommunikation zwischen Empfänger und Sender notwendig sind. Protokolldaten können Verkehrsdaten nach § 3 Nr. 70 des Telekommunikationsgesetzes und Nutzungsdaten nach § 2 Abs. 2 Nr. 3 des Telekommunikation-Telemedien-Datenschutz-Gesetzes enthalten.
(3)Protokolldaten nach Absatz 1 Satz 1 Nr. 1 dürfen über den für die automatisierte Auswertung nach Absatz 1 Satz 1 Nr. 1 erforderlichen Zeitraum hinaus, längstens jedoch für drei Monate, gespeichert werden, soweit tatsächliche Anhaltspunkte bestehen, dass diese für den Fall der Bestätigung eines Verdachts nach Absatz 4 Satz 2 zur Abwehr von Gefahren, die von dem gefundenen Schadprogramm ausgehen oder zur Erkennung und Abwehr anderer Schadprogramme erforderlich sein können. Schadprogramme sind Programme und sonstige informationstechnische Routinen und Verfahren, die dem Zweck dienen, unbefugt Daten zu nutzen oder zu löschen, oder die dem Zweck dienen, unbefugt auf sonstige informationstechnische Abläufe einzuwirken. Durch organisatorische und technische Maßnahmen ist sicherzustellen, dass eine Auswertung der nach diesem Absatz gespeicherten Daten nur automatisiert erfolgt. Die Daten sind zu pseudonymisieren, soweit dies automatisiert möglich ist. Eine nicht automatisierte Auswertung oder eine personenbezogene Verwendung ist nur nach Maßgabe der nachfolgenden Absätze zulässig. Soweit hierzu die Wiederherstellung des Personenbezugs pseudonymisierter Daten erforderlich ist, muss diese durch den Leiter des zentralen Dienstleisters für Informations- und Kommunikationstechnik Landesverwaltung im Einvernehmen mit der datenschutzrechtlich verantwortlichen Stelle im Sinne des Artikels 24 Abs. 1 der Verordnung (EU) 2016/679 angeordnet werden. Die Entscheidung ist zu protokollieren und zu begründen.
(4)Eine über die Absätze 1 und 3 hinausgehende Verwendung personenbezogener Daten ist nur zulässig, wenn bestimmte Tatsachen den Verdacht begründen, dass1.diese ein Schadprogramm enthalten,
2.diese durch ein Schadprogramm übermittelt wurden oder
3.sich aus ihnen Hinweise auf ein Schadprogramm ergeben können,
und soweit die Datenverarbeitung erforderlich ist, um den Verdacht zu bestätigen oder zu widerlegen. Im Fall der Bestätigung ist die weitere Verarbeitung personenbezogener Daten zulässig, soweit dies
1.zur Abwehr des Schadprogramms,
2.zur Abwehr von Gefahren, die von dem aufgefundenen Schadprogramm ausgehen, oder
3.zur Erkennung und Abwehr anderer Schadprogramme erforderlich ist.
Ein Schadprogramm kann beseitigt oder in seiner Funktionsweise gehindert werden. Die nicht automatisierte Verwendung der Daten nach den Sätzen 1 und 2 darf nur durch den Leiter, seinen Stellvertreter oder einen Bediensteten des zentralen Dienstleisters für Informations- und Kommunikationstechnik der Landesverwaltung oder des für die Fachaufsicht über den zentralen Dienstleister für Informations- und Kommunikationstechnik der Landesverwaltung zuständigen Ministeriums angeordnet werden. Der Anordnende muss die Befähigung zum Richteramt besitzen.
(5)Die Beteiligten des Kommunikationsvorgangs sind spätestens nach dem Erkennen und der Abwehr eines Schadprogramms oder von Gefahren, die von einem Schadprogramm ausgehen, zu benachrichtigen, wenn sie bekannt sind oder ihre Identifikation ohne unverhältnismäßige weitere Ermittlungen möglich ist und nicht überwiegende schutzwürdige Belange Dritter entgegenstehen. Die Unterrichtung kann unterbleiben, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich kein hohes Risiko für die persönlichen Rechte und Freiheiten der Person zur Folge hat. Der zentrale Dienstleister für Informations- und Kommunikationstechnik der Landesverwaltung legt Fälle, in denen er von einer Benachrichtigung absieht, dem behördlichen Beauftragten für den Datenschutz des zentralen Dienstleisters für Informations- und Kommunikationstechnik der Landesverwaltung sowie einem weiteren Bediensteten, der die Befähigung zum Richteramt hat und beim zentralen Dienstleister für Informations- und Kommunikationstechnik der Landesverwaltung oder im für die Fachaufsicht über den zentralen Dienstleister für Informations- und Kommunikationstechnik der Landesverwaltung zuständigen Ministerium tätig ist, zur Kontrolle vor. Der behördliche Beauftragte für den Datenschutz ist bei Ausübung dieser Aufgabe weisungsfrei und darf wegen dieser Tätigkeit nicht benachteiligt werden. Wenn der behördliche Beauftragte für den Datenschutz der Entscheidung des zentralen Dienstleisters für Informations- und Kommunikationstechnik der Landesverwaltung widerspricht, ist die Benachrichtigung nachzuholen. Die Entscheidung über die Nichtbenachrichtigung ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist nach zwölf Monaten zu löschen. In den Fällen der Absätze 6 und 7 erfolgt die Benachrichtigung durch die dort genannten Behörden in entsprechender Anwendung der für diese Behörden geltenden Vorschriften. Enthalten die für diese Behörden geltenden Vorschriften keine Bestimmungen zu Benachrichtigungspflichten, sind die Bestimmungen der Strafprozessordnung entsprechend anzuwenden.
(6)Der zentrale IT-Dienstleister der Landesverwaltung kann die nach Absatz 4 verwendeten personenbezogenen Daten an die Strafverfolgungsbehörden zur Verfolgung einer mittels eines Schadprogramms begangenen Straftat nach den §§ 202a, 202b, 303a oder 303b des Strafgesetzbuches übermitteln. Er kann diese Daten ferner übermitteln1.zur Abwehr einer Gefahr für die öffentliche Sicherheit, die unmittelbar von einem Schadprogramm ausgeht, an die Polizeibehörden des Bundes und der Länder,
2.zur Unterrichtung über Tatsachen, die sicherheitsgefährdende oder geheimdienstliche Tätigkeiten für eine fremde Macht erkennen lassen, an das Amt für Verfassungsschutz.
(7)Für sonstige Zwecke kann der zentrale IT-Dienstleister der Landesverwaltung die Daten übermitteln1.an die Strafverfolgungsbehörden zur Verfolgung einer Straftat von auch im Einzelfall erheblicher Bedeutung, insbesondere einer in § 100a Abs. 2 der Strafprozessordnung (StPO) bezeichneten Straftat,
2.an die Polizeibehörden des Bundes und der Länder zur Abwehr einer Gefahr für den Bestand oder die Sicherheit des Staates oder Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhalt im öffentlichen Interesse geboten ist,
3.an die Verfassungsschutzbehörden des Bundes und der Länder, wenn tatsächliche Anhaltspunkte für Bestrebungen in der Bundesrepublik Deutschland vorliegen, die durch Anwendung von Gewalt oder darauf gerichtete Vorbereitungshandlungen gegen die in § 4 Abs. 1 Satz 1 des Thüringer Verfassungsschutzgesetzes genannten Schutzgüter gerichtet sind.
Die Übermittlung nach Satz 1 Nr. 1 und 2 bedarf der vorherigen gerichtlichen Zustimmung. Für das Verfahren nach Satz 1 Nr. 1 und 2 gelten die Bestimmungen des Gesetzes über das Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen Gerichtsbarkeit entsprechend. Zuständig ist das Amtsgericht, in dessen Bezirk der zentrale IT-Dienstleister der Landesverwaltung seinen Sitz hat. Die Übermittlung nach Satz 1 Nr. 3 erfolgt nach Zustimmung des für Inneres zuständigen Ministeriums, die §§ 9 bis 16 des Artikel 10-Gesetzes gelten entsprechend.
(8)Eine über die in den Absätzen 1 und 3 bis 7 hinausgehende inhaltliche Auswertung zu anderen Zwecken und die Weitergabe von personenbezogenen Daten an Dritte sind unzulässig. Soweit möglich, ist technisch sicherzustellen, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden. Werden aufgrund der Maßnahmen der Absätze 1, 3 und 4 Erkenntnisse aus dem Kernbereich privater Lebensgestaltung erlangt, dürfen diese nicht verwendet werden. Erkenntnisse aus dem Kernbereich privater Lebensgestaltung sind unverzüglich zu löschen. Dies gilt auch in Zweifelsfällen. Die Tatsache ihrer Erlangung und Löschung ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist zu löschen, wenn sie für diese Zwecke nicht mehr erforderlich ist, spätestens jedoch am Ende des Kalenderjahres, das dem Jahr der Dokumentation folgt. Werden im Rahmen der Absätze 5 oder 6 Inhalte oder Umstände der Kommunikation von in § 53 Abs. 1 Satz 1 StPO genannten Personen übermittelt, auf die sich das Zeugnisverweigerungsrecht der genannten Personen erstreckt, ist die Verwertung dieser Daten zu Beweiszwecken in einem Strafverfahren nur insoweit zulässig, als Gegenstand dieses Strafverfahrens eine Straftat ist, die im Höchstmaß mit mindestens fünf Jahren Freiheitsstrafe bedroht ist.
(9)Vor Aufnahme der Datenerhebung und -verwendung hat der zentrale Dienstleister für Informations- und Kommunikationstechnik der Landesverwaltung ein Datenerhebungs- und -verwendungskonzept zu erstellen und für Kontrollen durch den Landesbeauftragten für den Datenschutz bereitzuhalten. Das Konzept hat dem besonderen Schutzbedürfnis der Kommunikation innerhalb der Landesregierung Rechnung zu tragen. Die für die automatisierte Auswertung verwendeten Kriterien sind zu dokumentieren.
(10)Das für die Fachaufsicht über den zentralen Dienstleister für Informations- und Kommunikationstechnik der Landesverwaltung zuständige Ministerium unterrichtet den Landesbeauftragten für den Datenschutz kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres über1.die Anzahl der Vorgänge, in denen Daten nach Absatz 6 Satz 1, Absatz 6 Satz 2 Nr. 1 oder Absatz 7 Satz 1 Nr. 1 übermittelt wurden, aufgegliedert nach den einzelnen Übermittlungsbefugnissen,
2.die Anzahl der personenbezogenen Auswertungen nach Absatz 4 Satz 1, in denen der Verdacht widerlegt wurde, sowie
3.die Anzahl der Fälle, in denen der zentrale IT-Dienstleister der Landesverwaltung nach Absatz 5 Satz 2 oder 3 von einer Benachrichtigung der Betroffenen abgesehen hat.
(11)Das für die Fachaufsicht über den zentralen IT-Dienstleister der Landesverwaltung zuständige Ministerium unterrichtet kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres den Innen- und Kommunalausschuss des Landtags über die Anwendung dieser Bestimmung, insbesondere über konkrete Erkenntnisse bezogen auf die Bedrohungssituation und Angriffsszenarien für die Informationstechnik der Landesverwaltung.