(1)
Soweit das Landesdatennetz einschließlich der Übergabe- und Knotenpunkte oder die informationstechnischen Systeme der Stellen nach § 1 Nr. 1 und 2 betroffen sind, ist das Zentrum für Informationssicherheit für die Ergreifung der Maßnahmen nach §§ 8 bis 11 zuständig. Dies betrifft alle Systeme, Verfahren und Plattformen, die beim zentralen IT-Dienstleister des Landes betrieben und für mehrere Geschäftsbereiche bestimmt sind. Die Bereitstellung von Daten oder von Analyseergebnissen zu Daten, die nicht vom zentralen IT-Dienstleister verarbeitet werden oder für einen einzelnen Geschäftsbereich verarbeitet werden, sind in einer Landesrichtlinie zu regeln. Daten des Hessischen Landtags, des Hessischen Rechnungshofs, des Hessischen Beauftragten für Datenschutz und Informationsfreiheit, der Gerichte und Staatsanwaltschaften sowie der Hochschulen nach § 2 des Hessischen Hochschulgesetzes dürfen nur einvernehmlich mit diesen verarbeitet werden. Daten, die dem richterlichen, staatsanwaltschaftlichen oder rechtspflegerischen Arbeitsprozess oder der Abgeordnetentätigkeit zuzurechnen sind, dürfen von dem Zentrum für Informationssicherheit nicht verarbeitet werden.
(2)
Die Stellen nach § 1 sind für die Ergreifung der Maßnahmen nach §§ 8 bis 11 für ihren Verantwortungsbereich zuständig. Sie können das Zentrum für Informationssicherheit mit den erforderlichen Maßnahmen nach §§ 8 bis 11 im Wege der Auftragsverarbeitung im Sinne von Art. 28 der Datenschutz-Grundverordnung betrauen, sofern die Kapazitäten des Zentrums für Informationssicherheit dies erlauben. Ein Anspruch auf Übernahme der Maßnahmen durch das Zentrum für Informationssicherheit besteht nicht.