(1)
Soweit dies zum Erkennen und Abwehren von Gefahren für die Informationssicherheit durch Sicherheitslücken, Schadprogramme oder erfolgte oder versuchte Angriffe auf die Informationstechnik der Stellen nach § 1 erforderlich ist, darf der an den Übergabe- und Knotenpunkten des Landesdatennetzes anfallende Datenverkehr automatisiert erhoben und dürfen
1.
der Erhebungszeitpunkt, die IP-Adresse einschließlich der Subnetzmaske, die Präfixlänge, der Port und die Medienzugriffskontrolladresse (Media-Access-Control-Address, MAC-Adresse), der vollständige Domänenname sowie die Kopf- und Statusdaten von Netzwerkpaketen für ein- und ausgehende Verbindungen,
2.
für ein- und ausgehende Verbindung auf Basis der Hypertext-Übertragungsprotokolle (Hypertext Transfer Protocol, HTTP, und Hypertext Transfer Protocol Secure, HTTPS) zusätzlich zu Nr. 1 der vollständige einheitliche Ressourcenzeiger (Uniform Resource Locator, URL) und die Kopfdaten exklusive Cookie,
unverzüglich automatisiert ausgewertet werden.
(2)
Eine Auswertung des während der automatisierten Erhebung des Datenverkehrs nach Abs. 1 anfallenden Inhalts der Kommunikation ist nur unter den Voraussetzungen des § 11 zulässig. Die nach Abs. 1 erhobenen Daten sowie die Daten der Auswertung sind nach der automatisierten Auswertung unverzüglich zu löschen, es sei denn, die §§ 10 oder 11 sehen eine weitere Verwendung vor.