(1)Alle Behörden der Berliner Verwaltung sind verpflichtet, ein Informations-Sicherheits-Management-System (ISMS) gemäß den Standards des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) auf Grundlage des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 3 des Gesetzes vom 21. Dezember 2015 (BGBl. I S. 2408) geändert worden ist, aufzubauen und weiterzuentwickeln. Für alle Beschäftigten der jeweiligen Behörde sind mindestens einmal jährlich eine verpflichtende Fortbildungsveranstaltung sowie mindestens eine übergreifende IT-Sicherheitsübung durchzuführen.
(2)Der zentrale IKT-Dienstleister betreibt zur Unterstützung und Beratung der Behörden der Berliner Verwaltung bei sicherheitsrelevanten Vorfällen in IKT-Systemen ein Computersicherheits-Ereignis- und Reaktionsteam (Berlin-CERT). Die an das Berliner Landesnetzwerk angeschlossenen Behörden und Einrichtungen haben dem Berlin-CERT sicherheitsrelevante Vorfälle unverzüglich zu melden. Das Berlin-CERT unterstützt reaktiv die unmittelbare Abwehr von Gefahren für die Berliner Verwaltung. Das Berlin-CERT sammelt und bewertet die zur Abwehr von Gefahren für die Sicherheit der Informationstechnik erforderlichen Daten, insbesondere zu Sicherheitslücken, Schadprogrammen, erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und der dabei angewandten Vorgehensweise und spricht Warnungen und Handlungsempfehlungen aus.
(3)Für die in Absatz 2 Satz 3 genannten Aufgaben dürfen vom Berlin-CERT Protokolldaten, die beim Betrieb der IKT des Landes anfallen, sowie die an den Schnittstellen der IKT des Landes anfallenden Daten ausschließlich automatisiert verarbeitet werden, soweit dies zur Verhinderung und Abwehr von Angriffen auf die Informationstechnik des Landes oder zum Erkennen und Beseitigen technischer Störungen oder Fehler erforderlich ist. Die Daten sind zu pseudonymisieren, soweit dies automatisiert möglich ist. Durch organisatorische und technische Maßnahmen ist sicherzustellen, dass eine Verarbeitung nach diesem Absatz nur automatisiert erfolgt. Die automatisierte Verarbeitung erfolgt unverzüglich; danach sind die Daten umgehend zu löschen. Abweichend von Satz 4 dürfen die Daten für längstens drei Monate gespeichert werden, wenn die Voraussetzungen nach Absatz 4 Satz 1 vorliegen.
(4)Eine über die automatisierte Verarbeitung nach Absatz 3 hinausgehende Verarbeitung von personenbezogenen Daten ist nur zulässig, wenn bestimmte Tatsachen den Verdacht begründen, dass1.diese eine Schadfunktion enthalten,
2.diese durch eine Schadfunktion übermittelt wurden oder
3.sich aus ihnen Hinweise auf eine Schadfunktion ergeben können,
und soweit die Verarbeitung zur Bestätigung oder Widerlegung des Verdachts erforderlich ist. Bei Bestätigung des Verdachts ist die weitere Verarbeitung der Daten zulässig, sofern dies
1.zur Abwehr der Schadfunktion,
2.zur Abwehr von Gefahren, die von der aufgefundenen Schadfunktion ausgehen, oder
3.zur Erkennung und Abwehr anderer Schadfunktionen erforderlich ist.
Eine Schadfunktion kann beseitigt oder in ihrer Funktionsweise gehindert werden. Die nicht automatisierte Verarbeitung von Daten nach diesem Absatz darf nur durch Bedienstete mit der Befähigung zum Richteramt angeordnet werden. Soweit nach Satz 1, Satz 2 oder Absatz 5 die Wiederherstellung des Personenbezugs von nach Absatz 3 Satz 2 pseudonymisierten Daten erforderlich oder diese auf Grund besonderer bundes- oder landesrechtlicher Rechtsvorschriften zulässig ist, muss sie durch den IKT-Staatssekretär oder die IKT-Staatssekretärin oder den Bevollmächtigten oder die Bevollmächtigte im Sinne des § 21 Absatz 2 Satz 2 Nummer 4 angeordnet werden. Anordnungen nach den Sätzen 4 und 5 sind zu protokollieren; die Protokollierung soll binnen drei Tagen erfolgen.
(5)Von einer Maßnahme nach Absatz 3 oder Absatz 4 betroffene Personen eines Kommunikationsvorgangs sind spätestens nach dem Erkennen oder der Abwehr einer Schadfunktion oder der davon ausgehenden Gefahren zu benachrichtigen, wenn sie bekannt sind und nicht überwiegende schutzwürdige Belange Dritter entgegenstehen. Die Unterrichtung kann unterbleiben, wenn die betroffene Person in ihren Rechten nur unerheblich beeinträchtigt wurde und anzunehmen ist, dass sie an einer Benachrichtigung kein Interesse hat. Der zentrale IKT-Dienstleister legt Fälle, in denen er von einer Benachrichtigung absieht, dem oder der behördlichen Datenschutzbeauftragten des zentralen IKT-Dienstleisters sowie dem IKT-Staatssekretär oder der IKT-Staatssekretärin oder dem Bevollmächtigten oder der Bevollmächtigten im Sinne des § 21 Absatz 2 Satz 2 Nummer 4 zur Kontrolle vor. Wenn der behördliche Datenschutzbeauftragte oder die behördliche Datenschutzbeauftragte der Entscheidung des zentralen IKT-Dienstleisters widerspricht, ist die Benachrichtigung nachzuholen. Die Entscheidung über die Nichtbenachrichtigung ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden; sie ist nach zwölf Monaten zu löschen.
(6)Die Regelungen zur Datenverarbeitung nach den Absätzen 3 und 4 sowie die Informationspflichten nach Absatz 5 gelten für die Verarbeitung der in Absatz 2 Satz 1 genannten Daten nur, sofern diese personenbezogene oder dem Fernmeldegeheimnis unterliegende Daten beinhalten. Daten nach Satz 1 dürfen nicht weitergehend oder für andere Zwecke als nach den Absätzen 3 und 4 verarbeitet werden, insbesondere ist die Weitergabe an Dritte unzulässig. Die Zulässigkeit ihrer Übermittlung an die Strafverfolgungsbehörden und an die Polizei Berlin sowie an andere Behörden oder Stellen des Bundes und der Länder richtet sich nach den für diese geltenden gesetzlichen Ermächtigungen; von diesen Übermittlungen sind die Beteiligten eines Kommunikationsvorgangs entsprechend Absatz 5 zu unterrichten.