(1)
Das Zentrum für Informationssicherheit darf personenbezogene Daten verarbeiten, wenn die Verarbeitung zur Erfüllung seiner im öffentlichen Interesse liegenden Aufgaben erforderlich ist.
(2)
Die Verarbeitung personenbezogener Daten durch das Zentrum für Informationssicherheit zu anderen Zwecken als demjenigen, zu dem die Daten ursprünglich erhoben wurden, ist unbeschadet des Art. 6 Abs. 4 der Datenschutz-Grundverordnung und des § 21 des Hessischen Datenschutz- und Informationsfreiheitsgesetzes zulässig, wenn
1.
die Verarbeitung erforderlich ist
a)
zur Sammlung, Auswertung oder Untersuchung von Informationen über Risiken oder Vorkehrungen für die Informationssicherheit oder
b)
zur Unterstützung, Beratung oder Warnung in Fragen der Informationssicherheit und
2.
kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.
Eine Verarbeitung von besonderen Kategorien personenbezogener Daten durch das Zentrum für Informationssicherheit ist abweichend von Art. 9 Abs. 1 der Datenschutz-Grundverordnung und unbeschadet des § 20 Abs. 1 des Hessischen Datenschutz- und Informationsfreiheitsgesetzes zulässig, wenn
1.
die Verarbeitung erforderlich ist zur Abwehr einer erheblichen Gefahr für die Informationssicherheit,
2.
ein Ausschluss dieser Daten von der Verarbeitung die Erfüllung der Aufgaben des Zentrums für Informationssicherheit unmöglich machen oder diese erheblich gefährden würde und
3.
kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss dieser Daten von der Verarbeitung überwiegt.
Im Fall des Satz 2 sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person nach § 20 Abs. 2 Satz 2 des Hessischen Datenschutz- und Informationsfreiheitsgesetzes vorzusehen.
(3)
Ist die Verarbeitung der Daten über den Abschluss des Auswertungsvorgangs hinaus erforderlich, sind darin enthaltene personenbezogene Daten unverzüglich automatisiert zu anonymisieren. Ist eine Verarbeitung der Daten im Sinne des Satz 1 mit anonymisierten personenbezogenen Daten nicht möglich, sind für die weitere Verarbeitung der personenbezogenen Daten die §§ 10, 11, 13 und 17 entsprechend anzuwenden.
(4)
Soweit die Auswertungen nach §§ 7 bis 11 ein Schadprogramm identifizieren, kann dieses jederzeit beseitigt oder in seiner Funktionsweise gehindert werden.
(5)
Die Verwendungsbeschränkungen nach § 7 Abs. 3 und §§ 8 bis 11 betreffen nur Daten, die dem Fernmeldegeheimnis aus Art. 10 des Grundgesetzes für die Bundesrepublik Deutschland unterliegen oder einen Personenbezug aufweisen.