(1)
Nach § 8 Abs. 1 und § 9 Abs. 1 verarbeitete Daten dürfen unverzüglich automatisiert nach technischen Indikatoren für Schadprogramme ausgewertet werden. Die nach Satz 1 ausgewerteten Daten sind nach ihrer automatisierten Auswertung unverzüglich zu löschen, es sei denn, die nachfolgenden Absätze sehen eine weitere Verwendung vor.
(2)
Soweit die automatisierte Auswertung nach Abs. 1 zureichende tatsächliche Anhaltspunkte dafür bietet, dass bestimmte Daten zum Schutz vor Schadprogrammen erforderlich sind, dürfen diese für höchstens 90 Tage gespeichert werden. Die Daten sind unverzüglich automatisiert zu pseudonymisieren, soweit sie nicht bereits pseudonym sind. Die weitere Auswertung der nach Satz 1 und 2 gespeicherten Daten erfolgt nur automatisiert. Die Datenverarbeitung nach Satz 1 bedarf der Anordnung durch die Leiterin oder den Leiter der nach § 12 zur Ergreifung der Maßnahme zuständigen Stelle. Sofern das Zentrum für Informationssicherheit zuständige Stelle ist, darf die Anordnung nur durch eine Beschäftigte oder einen Beschäftigten des für IT- und Cybersicherheit in der Landesverwaltung zuständigen Geschäftsbereichs mit der Befähigung zum Richteramt getroffen werden.
(3)
Eine über die Abs. 1 und 2 hinausgehende, insbesondere nicht automatisierte oder direkt personenbezogene Auswertung der Daten nach Abs. 1 Satz 1 ist nur zulässig, soweit und solange
1.
hinreichende tatsächliche Anhaltspunkte den Verdacht begründen, dass
a)
die Daten durch ein Schadprogramm verursacht wurden oder
b)
sich aus den Daten Hinweise auf ein Schadprogramm ergeben und
2.
die Datenverarbeitung zur Abwehr des Schadprogramms, zur Abwehr von Gefahren, die von dem Schadprogramm ausgehen oder zur Erkennung und Abwehr anderer Schadprogramme erforderlich ist.
Die Datenverarbeitung nach Satz 1 ebenso wie eine erforderliche Wiederherstellung des Personenbezugs bereits pseudonymisierter Daten bedarf der Anordnung durch die Leiterin oder den Leiter der nach § 12 zur Ergreifung der Maßnahme zuständigen Stelle. Sofern das Zentrum für Informationssicherheit zuständige Stelle ist, darf die Anordnung nur durch eine Beschäftigte oder einen Beschäftigten des für IT- und Cybersicherheit in der Landesverwaltung zuständigen Ministeriums mit der Befähigung zum Richteramt getroffen werden.
(4)
Soweit möglich, ist bei der Datenverarbeitung nach Abs. 1 bis 3 technisch sicherzustellen, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden. Werden aufgrund der Maßnahmen nach Abs. 1 bis 3 Erkenntnisse aus dem Kernbereich privater Lebensgestaltung erlangt, dürfen diese nicht verwendet werden. Auswertungsergebnisse, die den Kernbereich privater Lebensgestaltung betreffen, sind unverzüglich zu löschen. Dies gilt auch in Zweifelsfällen. Die Erlangung und Löschung ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der nachträglichen Überprüfung der Rechtmäßigkeit der Verarbeitung verwendet werden. Sie ist zu löschen, wenn sie für diese Zwecke nicht mehr erforderlich ist, spätestens jedoch zum Ablauf des Kalenderjahres, das dem Jahr der Dokumentation folgt. Satz 1 bis 6 gelten nicht, sofern für die Verarbeitung der in Satz 1 bis 3 genannten Daten eine Ausnahmeregelung nach Art. 9 Abs. 2 oder 3 der Datenschutz-Grundverordnung oder nach dem Hessischen Datenschutz- und Informationsfreiheitsgesetz greift.