Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG 2009)

§ 1 Bundesamt für Sicherheit in der Informationstechnik

Der Bund unterhält ein Bundesamt für Sicherheit in der Informationstechnik (Bundesamt) als Bundesoberbehörde. Das Bundesamt ist zuständig für die Informationssicherheit auf nationaler Ebene. Es untersteht dem Bundesministerium des Innern.

§ 2 Begriffsbestimmungen

(1) Die Informationstechnik im Sinne dieses Gesetzes umfasst alle technischen Mittel zur Verarbeitung oder Übertragung von Informationen.

(2) Sicherheit in der Informationstechnik im Sinne dieses Gesetzes bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen

1.
in informationstechnischen Systemen, Komponenten oder Prozessen oder
2.
bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen.

(3) Kommunikationstechnik des Bundes im Sinne dieses Gesetzes ist die Informationstechnik, die von einer oder mehreren Bundesbehörden oder im Auftrag einer oder mehrerer Bundesbehörden betrieben wird und der Kommunikation oder dem Datenaustausch der Bundesbehörden untereinander oder mit Dritten dient. Kommunikationstechnik der Bundesgerichte, soweit sie nicht öffentlich-rechtliche Verwaltungsaufgaben wahrnehmen, des Bundestages, des Bundesrates, des Bundespräsidenten und des Bundesrechnungshofes ist nicht Kommunikationstechnik des Bundes, soweit sie ausschließlich in deren eigener Zuständigkeit betrieben wird.

(4) Schnittstellen der Kommunikationstechnik des Bundes im Sinne dieses Gesetzes sind sicherheitsrelevante Netzwerkübergänge innerhalb der Kommunikationstechnik des Bundes sowie zwischen dieser und der Informationstechnik der einzelnen Bundesbehörden, Gruppen von Bundesbehörden oder Dritter. Dies gilt nicht für die Komponenten an den Netzwerkübergängen, die in eigener Zuständigkeit der in Absatz 3 Satz 2 genannten Gerichte und Verfassungsorgane betrieben werden.

(5) Schadprogramme im Sinne dieses Gesetzes sind Programme und sonstige informationstechnische Routinen und Verfahren, die dem Zweck dienen, unbefugt Daten zu nutzen oder zu löschen oder die dem Zweck dienen, unbefugt auf sonstige informationstechnische Abläufe einzuwirken.

(6) Sicherheitslücken im Sinne dieses Gesetzes sind Eigenschaften von Programmen oder sonstigen informationstechnischen Systemen, durch deren Ausnutzung es möglich ist, dass sich Dritte gegen den Willen des Berechtigten Zugang zu fremden informationstechnischen Systemen verschaffen oder die Funktion der informationstechnischen Systeme beeinflussen können.

(7) Zertifizierung im Sinne dieses Gesetzes ist die Feststellung durch eine Zertifizierungsstelle, dass ein Produkt, ein Prozess, ein System, ein Schutzprofil (Sicherheitszertifizierung), eine Person (Personenzertifizierung) oder ein IT-Sicherheitsdienstleister bestimmte Anforderungen erfüllt.

(8) Protokolldaten im Sinne dieses Gesetzes sind Steuerdaten eines informationstechnischen Protokolls zur Datenübertragung, die unabhängig vom Inhalt eines Kommunikationsvorgangs übertragen oder auf den am Kommunikationsvorgang beteiligten Servern gespeichert werden und zur Gewährleistung der Kommunikation zwischen Empfänger und Sender notwendig sind. Protokolldaten können Verkehrsdaten gemäß § 3 Nummer 30

Im Sinne dieses Gesetzes ist oder sind

1.
"Anruf" eine über einen öffentlich zugänglichen Telekommunikationsdienst aufgebaute Verbindung, die eine zweiseitige Sprachkommunikation ermöglicht;
2.
„Anwendungs-Programmierschnittstelle“ die Software-Schnittstelle zwischen Anwendungen, die von Sendeanstalten oder Diensteanbietern zur Verfügung gestellt werden, und den Anschlüssen in den erweiterten digitalen Fernsehempfangsgeräten für digitale Fernseh- und Rundfunkdienste;
2a.
"Auskunftsdienste" bundesweit jederzeit telefonisch erreichbare Dienste, insbesondere des Rufnummernbereichs 118, die ausschließlich der neutralen Weitergabe von Rufnummer, Name, Anschrift sowie zusätzlichen Angaben von Telekommunikationsnutzern dienen. Die Weitervermittlung zu einem erfragten Teilnehmer oder Dienst kann Bestandteil des Auskunftsdienstes sein;
2b.
„Baudenkmäler“ nach Landesrecht geschützte Gebäude oder Gebäudemehrheiten;
3.
"Bestandsdaten" Daten eines Teilnehmers, die für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses über Telekommunikationsdienste erhoben werden;
4.
"beträchtliche Marktmacht" eines oder mehrerer Unternehmen gegeben, wenn die Voraussetzungen nach § 11 Absatz 1 Satz 3 und 4 vorliegen;
4a.
„Betreiberauswahl“ der Zugang eines Teilnehmers zu den Diensten aller unmittelbar zusammengeschalteten Anbieter von öffentlich zugänglichen Telekommunikationsdiensten im Einzelwahlverfahren durch Wählen einer Kennzahl;
4b.
„Betreibervorauswahl“ der Zugang eines Teilnehmers zu den Diensten aller unmittelbar zusammengeschalteten Anbieter von öffentlich zugänglichen Telekommunikationsdiensten durch festgelegte Vorauswahl, wobei der Teilnehmer unterschiedliche Voreinstellungen für Orts- und Fernverbindungen vornehmen kann und bei jedem Anruf die festgelegte Vorauswahl durch Wählen einer Betreiberkennzahl übergehen kann;
5.
"Dienst mit Zusatznutzen" jeder Dienst, der die Erhebung und Verwendung von Verkehrsdaten oder Standortdaten in einem Maße erfordert, das über das für die Übermittlung einer Nachricht oder die Entgeltabrechnung dieses Vorganges erforderliche Maß hinausgeht;
6.
"Diensteanbieter" jeder, der ganz oder teilweise geschäftsmäßig
a)
Telekommunikationsdienste erbringt oder
b)
an der Erbringung solcher Dienste mitwirkt;
7.
"digitales Fernsehempfangsgerät" ein Fernsehgerät mit integriertem digitalem Decoder oder ein an ein Fernsehgerät anschließbarer digitaler Decoder zur Nutzung digital übertragener Fernsehsignale, die mit Zusatzsignalen, einschließlich einer Zugangsberechtigung, angereichert sein können;
7a.
„digitales Hochgeschwindigkeitsnetz“ ein Telekommunikationsnetz, das die Möglichkeit bietet, Datendienste mit Geschwindigkeiten von mindestens 50 Megabit pro Sekunde bereitzustellen;
7b.
„Einzelrichtlinien“
a)
die Richtlinie 2002/20/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über die Genehmigung elektronischer Kommunikationsnetze und -dienste (Genehmigungsrichtlinie) (ABl. L 108 vom 24.4.2002, S. 21), die zuletzt durch die Richtlinie 2009/140/EG (ABl. L 337 vom 18.12.2009, S. 37) geändert worden ist;
b)
die Richtlinie 2002/19/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über den Zugang zu elektronischen Kommunikationsnetzen und zugehörigen Einrichtungen sowie deren Zusammenschaltung (Zugangsrichtlinie) (ABl. L 108 vom 24.4.2002, S. 7), die zuletzt durch die Richtlinie 2009/140/EG (ABl. L 337 vom 18.12.2009, S. 37) geändert worden ist;
c)
die Richtlinie 2002/22/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten (Universaldienstrichtlinie) (ABl. L 108 vom 24.4.2002, S. 51), die zuletzt durch die Richtlinie 2009/136/EG (ABl. L 337 vom 18.12.2009, S. 11) geändert worden ist;
d)
die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 vom 31.7.2002, S. 37), die zuletzt durch die Richtlinie 2009/136/EG (ABl. L 337 vom 18.12.2009, S. 11) geändert worden ist, und
e)
die Richtlinie 2014/61/EU des Europäischen Parlaments und des Rates vom 15. Mai 2014 über Maßnahmen zur Reduzierung der Kosten des Ausbaus von Hochgeschwindigkeitsnetzen für die elektronische Kommunikation (Kostensenkungsrichtlinie) (ABl. L 155 vom 23.5.2014, S. 1);
8.
„Endnutzer“ ein Nutzer, der weder öffentliche Telekommunikationsnetze betreibt noch öffentlich zugängliche Telekommunikationsdienste erbringt;
8a.
"entgeltfreie Telefondienste" Dienste, insbesondere des Rufnummernbereichs (0)800, bei deren Inanspruchnahme der Anrufende kein Entgelt zu entrichten hat;
8b.
„Service-Dienste” Dienste, insbesondere des Rufnummernbereichs (0)180, die bundesweit zu einem einheitlichen Entgelt zu erreichen sind;
9.
"Frequenznutzung" jede gewollte Aussendung oder Abstrahlung elektromagnetischer Wellen zwischen 9 kHz und 3 000 GHz zur Nutzung durch Funkdienste und andere Anwendungen elektromagnetischer Wellen;
9a.
„Frequenzzuweisung“ die Benennung eines bestimmten Frequenzbereichs für die Nutzung durch einen oder mehrere Funkdienste oder durch andere Anwendungen elektromagnetischer Wellen, falls erforderlich mit weiteren Festlegungen;
9b.
„gemeinsamer Zugang zum Teilnehmeranschluss“ die Bereitstellung des Zugangs zum Teilnehmeranschluss oder zum Teilabschnitt in der Weise, dass die Nutzung eines bestimmten Teils der Kapazität der Netzinfrastruktur, wie etwa eines Teils der Frequenz oder Gleichwertiges, ermöglicht wird;
9c.
„GEREK“ das Gremium Europäischer Regulierungsstellen für elektronische Kommunikation;
9d.
„Gerät“ eine Funkanlage, eine Telekommunikationsendeinrichtung oder eine Kombination von beiden;
10.
"geschäftsmäßiges Erbringen von Telekommunikationsdiensten" das nachhaltige Angebot von Telekommunikation für Dritte mit oder ohne Gewinnerzielungsabsicht;
10a.
(weggefallen)
11.
"Kundenkarten" Karten, mit deren Hilfe Telekommunikationsverbindungen hergestellt und personenbezogene Daten erhoben werden können;
11a.
"Kurzwahl-Datendienste" Kurzwahldienste, die der Übermittlung von nichtsprachgestützten Inhalten mittels Telekommunikation dienen und die keine Telemedien sind;
11b.
"Kurzwahldienste" Dienste, die die Merkmale eines Premium-Dienstes haben, jedoch eine spezielle Nummernart mit kurzen Nummern nutzen;
11c.
"Kurzwahl-Sprachdienste" Kurzwahldienste, bei denen die Kommunikation sprachgestützt erfolgt;
11d.
"Massenverkehrs-Dienste" Dienste, insbesondere des Rufnummernbereichs (0)137, die charakterisiert sind durch ein hohes Verkehrsaufkommen in einem oder mehreren kurzen Zeitintervallen mit kurzer Belegungsdauer zu einem Ziel mit begrenzter Abfragekapazität;
12.
"nachhaltig wettbewerbsorientierter Markt" ein Markt, auf dem der Wettbewerb so abgesichert ist, dass er ohne sektorspezifische Regulierung besteht;
12a.
„Netzabschlusspunkt“ der physische Punkt, an dem einem Teilnehmer der Zugang zu einem Telekommunikationsnetz bereitgestellt wird; in Netzen, in denen eine Vermittlung oder Leitwegebestimmung erfolgt, wird der Netzabschlusspunkt anhand einer bestimmten Netzadresse bezeichnet, die mit der Nummer oder dem Namen eines Teilnehmers verknüpft sein kann;
12b.
"Neuartige Dienste" Dienste, insbesondere des Rufnummernbereichs (0)12, bei denen Nummern für einen Zweck verwendet werden, für den kein anderer Rufnummernraum zur Verfügung steht;
13.
"Nummern" Zeichenfolgen, die in Telekommunikationsnetzen Zwecken der Adressierung dienen;
13a.
"Nummernart" die Gesamtheit aller Nummern eines Nummernraums für einen bestimmten Dienst oder eine bestimmte technische Adressierung;
13b.
"Nummernbereich" eine für eine Nummernart bereitgestellte Teilmenge des Nummernraums;
13c.
"Nummernraum" die Gesamtheit aller Nummern, die für eine bestimmte Art der Adressierung verwendet werden;
13d.
"Nummernteilbereich" eine Teilmenge eines Nummernbereichs;
14.
„Nutzer“ jede natürliche oder juristische Person, die einen öffentlich zugänglichen Telekommunikationsdienst für private oder geschäftliche Zwecke in Anspruch nimmt oder beantragt, ohne notwendigerweise Teilnehmer zu sein;
15.
"öffentliches Münz- und Kartentelefon" ein der Allgemeinheit zur Verfügung stehendes Telefon, für dessen Nutzung als Zahlungsmittel unter anderem Münzen, Kredit- und Abbuchungskarten oder Guthabenkarten, auch solche mit Einwahlcode, verwendet werden können;
16.
"öffentliches Telefonnetz" ein Telekommunikationsnetz, das zur Bereitstellung des öffentlich zugänglichen Telefondienstes genutzt wird und darüber hinaus weitere Dienste wie Telefax- oder Datenfernübertragung und einen funktionalen Internetzugang ermöglicht;
16a.
„öffentliches Telekommunikationsnetz“ ein Telekommunikationsnetz, das ganz oder überwiegend der Bereitstellung öffentlich zugänglicher Telekommunikationsdienste dient, die die Übertragung von Informationen zwischen Netzabschlusspunkten ermöglichen;
16b.
„öffentliche Versorgungsnetze“ entstehende, betriebene oder stillgelegte physische Infrastrukturen für die öffentliche Bereitstellung von
a)
Erzeugungs-, Leitungs- oder Verteilungsdiensten für
aa)
Telekommunikation,
bb)
Gas,
cc)
Elektrizität, einschließlich der Elektrizität für die öffentliche Straßenbeleuchtung,
dd)
Fernwärme oder
ee)
Wasser, ausgenommen Trinkwasser im Sinne des § 3 Nummer 1 der Trinkwasserverordnung in der Fassung der Bekanntmachung vom 10. März 2016 (BGBl. I S. 459), die durch Artikel 4 Absatz 21 des Gesetzes vom 18. Juli 2016 (BGBl. I S. 1666) geändert worden ist; zu den öffentlichen Versorgungsnetzen zählen auch physische Infrastrukturen zur Abwasserbehandlung und -entsorgung sowie die Kanalisationssysteme;
b)
Verkehrsdiensten; zu diesen Infrastrukturen gehören insbesondere Schienenwege, Straßen, Wasserstraßen, Brücken, Häfen und Flugplätze;
17.
„öffentlich zugänglicher Telefondienst“ ein der Öffentlichkeit zur Verfügung stehender Dienst, der direkt oder indirekt über eine oder mehrere Nummern eines nationalen oder internationalen Telefonnummernplans oder eines anderen Adressierungsschemas das Führen folgender Gespräche ermöglicht:
a)
aus- und eingehende Inlandsgespräche oder
b)
aus- und eingehende Inlands- und Auslandsgespräche;
17a.
„öffentlich zugängliche Telekommunikationsdienste“ der Öffentlichkeit zur Verfügung stehende Telekommunikationsdienste;
17b.
„passive Netzinfrastrukturen“ Komponenten eines Netzes, die andere Netzkomponenten aufnehmen sollen, selbst jedoch nicht zu aktiven Netzkomponenten werden; hierzu zählen zum Beispiel Fernleitungen, Leer- und Leitungsrohre, Kabelkanäle, Kontrollkammern, Einstiegsschächte, Verteilerkästen, Gebäude und Gebäudeeingänge, Antennenanlagen und Trägerstrukturen wie Türme, Ampeln und Straßenlaternen, Masten und Pfähle; Kabel, einschließlich unbeschalteter Glasfaserkabel, sind keine passiven Netzinfrastrukturen;
17c.
"Premium-Dienste" Dienste, insbesondere der Rufnummernbereiche (0)190 und (0)900, bei denen über die Telekommunikationsdienstleistung hinaus eine weitere Dienstleistung erbracht wird, die gegenüber dem Anrufer gemeinsam mit der Telekommunikationsdienstleistung abgerechnet wird und die nicht einer anderen Nummernart zuzurechnen ist;
18.
"Rufnummer" eine Nummer, durch deren Wahl im öffentlich zugänglichen Telefondienst eine Verbindung zu einem bestimmten Ziel aufgebaut werden kann;
18a.
"Rufnummernbereich" eine für eine Nummernart bereitgestellte Teilmenge des Nummernraums für das öffentliche Telefonnetz;
18b.
„Schnittstelle“ ein Netzabschlusspunkt, das heißt, der physische Anschlusspunkt, über den der Benutzer Zugang zu öffentlichen Telekommunikationsnetzen erhält;
19.
"Standortdaten" Daten, die in einem Telekommunikationsnetz oder von einem Telekommunikationsdienst erhoben oder verwendet werden und die den Standort des Endgeräts eines Endnutzers eines öffentlich zugänglichen Telekommunikationsdienstes angeben;
19a.
„Teilabschnitt“ eine Teilkomponente des Teilnehmeranschlusses, die den Netzabschlusspunkt am Standort des Teilnehmers mit einem Konzentrationspunkt oder einem festgelegten zwischengeschalteten Zugangspunkt des öffentlichen Festnetzes verbindet;
20.
"Teilnehmer" jede natürliche oder juristische Person, die mit einem Anbieter von öffentlich zugänglichen Telekommunikationsdiensten einen Vertrag über die Erbringung derartiger Dienste geschlossen hat;
21.
"Teilnehmeranschluss" die physische Verbindung, mit dem der Netzabschlusspunkt in den Räumlichkeiten des Teilnehmers mit den Hauptverteilerknoten oder mit einer gleichwertigen Einrichtung in festen öffentlichen Telefonnetzen verbunden wird;
22.
"Telekommunikation" der technische Vorgang des Aussendens, Übermittelns und Empfangens von Signalen mittels Telekommunikationsanlagen;
23.
"Telekommunikationsanlagen" technische Einrichtungen oder Systeme, die als Nachrichten identifizierbare elektromagnetische oder optische Signale senden, übertragen, vermitteln, empfangen, steuern oder kontrollieren können;
24.
"Telekommunikationsdienste" in der Regel gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen, einschließlich Übertragungsdienste in Rundfunknetzen;
24a.
„Telekommunikationsendeinrichtung“ eine direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten; sowohl bei direkten als auch bei indirekten Anschlüssen kann die Verbindung über elektrisch leitenden Draht, über optische Faser oder elektromagnetisch hergestellt werden; bei einem indirekten Anschluss ist zwischen der Telekommunikationsendeinrichtung und der Schnittstelle des öffentlichen Netzes ein Gerät geschaltet;
25.
"telekommunikationsgestützte Dienste" Dienste, die keinen räumlich und zeitlich trennbaren Leistungsfluss auslösen, sondern bei denen die Inhaltsleistung noch während der Telekommunikationsverbindung erfüllt wird;
26.
„Telekommunikationslinien“ unter- oder oberirdisch geführte Telekommunikationskabelanlagen, einschließlich ihrer zugehörigen Schalt- und Verzweigungseinrichtungen, Masten und Unterstützungen, Kabelschächte und Kabelkanalrohre, sowie weitere technische Einrichtungen, die für das Erbringen von öffentlich zugänglichen Telekommunikationsdiensten erforderlich sind;
27.
"Telekommunikationsnetz" die Gesamtheit von Übertragungssystemen und gegebenenfalls Vermittlungs- und Leitwegeinrichtungen sowie anderweitigen Ressourcen, einschließlich der nicht aktiven Netzbestandteile, die die Übertragung von Signalen über Kabel, Funk, optische und andere elektromagnetische Einrichtungen ermöglichen, einschließlich Satellitennetzen, festen, leitungs- und paketvermittelten Netzen, einschließlich des Internets, und mobilen terrestrischen Netzen, Stromleitungssystemen, soweit sie zur Signalübertragung genutzt werden, Netzen für Hör- und Fernsehfunk sowie Kabelfernsehnetzen, unabhängig von der Art der übertragenen Information;
27a.
„Überbau“ die nachträgliche Dopplung von Telekommunikationsinfrastrukturen durch parallele Errichtung, soweit damit dasselbe Versorgungsgebiet erschlossen werden soll;
28.
"Übertragungsweg" Telekommunikationsanlagen in Form von Kabel- oder Funkverbindungen mit ihren übertragungstechnischen Einrichtungen als Punkt-zu-Punkt- oder Punkt-zu-Mehrpunktverbindungen mit einem bestimmten Informationsdurchsatzvermögen (Bandbreite oder Bitrate) einschließlich ihrer Abschlusseinrichtungen;
28a.
„umfangreiche Renovierungen“ Tief- oder Hochbauarbeiten am Standort des Endnutzers, die strukturelle Veränderungen an den gesamten gebäudeinternen passiven Netzinfrastrukturen oder einem wesentlichen Teil davon umfassen;
29.
"Unternehmen" das Unternehmen selbst oder mit ihm im Sinne des § 36 Abs. 2 und § 37 Abs. 1 und 2 des Gesetzes gegen Wettbewerbsbeschränkungen verbundene Unternehmen;
30.
"Verkehrsdaten" Daten, die bei der Erbringung eines Telekommunikationsdienstes erhoben, verarbeitet oder genutzt werden;
30a.
„Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Datensicherheit, die zum Verlust, zur unrechtmäßigen Löschung, Veränderung, Speicherung, Weitergabe oder sonstigen unrechtmäßigen Verwendung personenbezogener Daten führt, die übertragen, gespeichert oder auf andere Weise im Zusammenhang mit der Bereitstellung öffentlich zugänglicher Telekommunikationsdienste verarbeitet werden sowie der unrechtmäßige Zugang zu diesen;
30b.
„vollständig entbündelter Zugang zum Teilnehmeranschluss“ die Bereitstellung des Zugangs zum Teilnehmeranschluss oder zum Teilabschnitt in der Weise, dass die Nutzung der gesamten Kapazität der Netzinfrastruktur ermöglicht wird;
30c.
„Warteschleife“ jede vom Nutzer eines Telekommunikationsdienstes eingesetzte Vorrichtung oder Geschäftspraxis, über die Anrufe entgegengenommen oder aufrechterhalten werden, ohne dass das Anliegen des Anrufers bearbeitet wird. Dies umfasst die Zeitspanne ab Rufaufbau vom Anschluss des Anrufers bis zu dem Zeitpunkt, an dem mit der Bearbeitung des Anliegens des Anrufers begonnen wird, gleichgültig ob dies über einen automatisierten Dialog oder durch eine persönliche Bearbeitung erfolgt. Ein automatisierter Dialog beginnt, sobald automatisiert Informationen abgefragt werden, die für die Bearbeitung des Anliegens erforderlich sind. Eine persönliche Bearbeitung des Anliegens beginnt, sobald eine natürliche Person den Anruf entgegennimmt und bearbeitet. Hierzu zählt auch die Abfrage von Informationen, die für die Bearbeitung des Anliegens erforderlich sind. Als Warteschleife ist ferner die Zeitspanne anzusehen, die anlässlich einer Weiterleitung zwischen Beendigung der vorhergehenden Bearbeitung des Anliegens und der weiteren Bearbeitung vergeht, ohne dass der Anruf technisch unterbrochen wird. Keine Warteschleife sind automatische Bandansagen, wenn die Dienstleistung für den Anrufer vor Herstellung der Verbindung erkennbar ausschließlich in einer Bandansage besteht;
31.
"wirksamer Wettbewerb" die Abwesenheit von beträchtlicher Marktmacht im Sinne des § 11 Absatz 1 Satz 3 und 4;
32.
„Zugang“ die Bereitstellung von Einrichtungen oder Diensten für ein anderes Unternehmen unter bestimmten Bedingungen zum Zwecke der Erbringung von Telekommunikationsdiensten, auch bei deren Verwendung zur Erbringung von Diensten der Informationsgesellschaft oder Rundfunkinhaltediensten. Dies umfasst unter anderem Folgendes:
a)
Zugang zu Netzkomponenten, einschließlich nicht aktiver Netzkomponenten, und zugehörigen Einrichtungen, wozu auch der feste oder nicht feste Anschluss von Geräten gehören kann. Dies beinhaltet insbesondere den Zugang zum Teilnehmeranschluss sowie zu Einrichtungen und Diensten, die erforderlich sind, um Dienste über den Teilnehmeranschluss zu erbringen, einschließlich des Zugangs zur Anschaltung und Ermöglichung des Anbieterwechsels des Teilnehmers und zu hierfür notwendigen Informationen und Daten und zur Entstörung;
b)
Zugang zu physischen Infrastrukturen wie Gebäuden, Leitungsrohren und Masten;
c)
Zugang zu einschlägigen Softwaresystemen, einschließlich Systemen für die Betriebsunterstützung;
d)
Zugang zu informationstechnischen Systemen oder Datenbanken für Vorbestellung, Bereitstellung, Auftragserteilung, Anforderung von Wartungs- und Instandsetzungsarbeiten sowie Abrechnung;
e)
Zugang zur Nummernumsetzung oder zu Systemen, die eine gleichwertige Funktion bieten;
f)
Zugang zu Fest- und Mobilfunknetzen, insbesondere, um Roaming zu ermöglichen;
g)
Zugang zu Zugangsberechtigungssystemen für Digitalfernsehdienste und
h)
Zugang zu Diensten für virtuelle Netze;
33.
"Zugangsberechtigungssysteme" technische Verfahren oder Vorrichtungen, welche die erlaubte Nutzung geschützter Rundfunkprogramme von einem Abonnement oder einer individuellen Erlaubnis abhängig machen;
33a.
„Zugangspunkt zu passiven gebäudeinternen Netzkomponenten“ ein physischer Punkt innerhalb oder außerhalb des Gebäudes, der für Eigentümer und Betreiber öffentlicher Telekommunikationsnetze zugänglich ist und den Anschluss an die hochgeschwindigkeitsfähigen gebäudeinternen passiven Netzinfrastrukturen ermöglicht;
33b.
„zugehörige Dienste“ diejenigen mit einem Telekommunikationsnetz oder einem Telekommunikationsdienst verbundenen Dienste, welche die Bereitstellung von Diensten über dieses Netz oder diesen Dienst ermöglichen, unterstützen oder dazu in der Lage sind. Darunter fallen unter anderem Systeme zur Nummernumsetzung oder Systeme, die eine gleichwertige Funktion bieten, Zugangsberechtigungssysteme und elektronische Programmführer sowie andere Dienste wie Dienste im Zusammenhang mit Identität, Standort und Präsenz des Nutzers;
33c.
„zugehörige Einrichtungen“ diejenigen mit einem Telekommunikationsnetz oder einem Telekommunikationsdienst verbundenen zugehörigen Dienste, physischen Infrastrukturen und sonstigen Einrichtungen und Komponenten, welche die Bereitstellung von Diensten über dieses Netz oder diesen Dienst ermöglichen, unterstützen oder dazu in der Lage sind. Darunter fallen unter anderem Gebäude, Gebäudezugänge, Verkabelungen in Gebäuden, Antennen, Türme und andere Trägerstrukturen, Leitungsrohre, Leerrohre, Masten, Einstiegsschächte und Verteilerkästen;
34.
"Zusammenschaltung" derjenige Zugang, der die physische und logische Verbindung öffentlicher Telekommunikationsnetze herstellt, um Nutzern eines Unternehmens die Kommunikation mit Nutzern desselben oder eines anderen Unternehmens oder die Inanspruchnahme von Diensten eines anderen Unternehmens zu ermöglichen; Dienste können von den beteiligten Parteien erbracht werden oder von anderen Parteien, die Zugang zum Netz haben. Zusammenschaltung ist ein Sonderfall des Zugangs und wird zwischen Betreibern öffentlicher Telekommunikationsnetze hergestellt.

des Telekommunikationsgesetzes und Nutzungsdaten nach § 15 Absatz 1

(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Nutzungsdaten sind insbesondere

1.
Merkmale zur Identifikation des Nutzers,
2.
Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und
3.
Angaben über die vom Nutzer in Anspruch genommenen Telemedien.

(2) Der Diensteanbieter darf Nutzungsdaten eines Nutzers über die Inanspruchnahme verschiedener Telemedien zusammenführen, soweit dies für Abrechnungszwecke mit dem Nutzer erforderlich ist.

(3) Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.

(4) Der Diensteanbieter darf Nutzungsdaten über das Ende des Nutzungsvorgangs hinaus verwenden, soweit sie für Zwecke der Abrechnung mit dem Nutzer erforderlich sind (Abrechnungsdaten). Zur Erfüllung bestehender gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsfristen darf der Diensteanbieter die Daten sperren.

(5) Der Diensteanbieter darf an andere Diensteanbieter oder Dritte Abrechnungsdaten übermitteln, soweit dies zur Ermittlung des Entgelts und zur Abrechnung mit dem Nutzer erforderlich ist. Hat der Diensteanbieter mit einem Dritten einen Vertrag über den Einzug des Entgelts geschlossen, so darf er diesem Dritten Abrechnungsdaten übermitteln, soweit es für diesen Zweck erforderlich ist. Zum Zwecke der Marktforschung anderer Diensteanbieter dürfen anonymisierte Nutzungsdaten übermittelt werden. § 14 Absatz 2 bis 5 findet entsprechende Anwendung.

(6) Die Abrechnung über die Inanspruchnahme von Telemedien darf Anbieter, Zeitpunkt, Dauer, Art, Inhalt und Häufigkeit bestimmter von einem Nutzer in Anspruch genommener Telemedien nicht erkennen lassen, es sei denn, der Nutzer verlangt einen Einzelnachweis.

(7) Der Diensteanbieter darf Abrechnungsdaten, die für die Erstellung von Einzelnachweisen über die Inanspruchnahme bestimmter Angebote auf Verlangen des Nutzers verarbeitet werden, höchstens bis zum Ablauf des sechsten Monats nach Versendung der Rechnung speichern. Werden gegen die Entgeltforderung innerhalb dieser Frist Einwendungen erhoben oder diese trotz Zahlungsaufforderung nicht beglichen, dürfen die Abrechnungsdaten weiter gespeichert werden, bis die Einwendungen abschließend geklärt sind oder die Entgeltforderung beglichen ist.

(8) Liegen dem Diensteanbieter zu dokumentierende tatsächliche Anhaltspunkte vor, dass seine Dienste von bestimmten Nutzern in der Absicht in Anspruch genommen werden, das Entgelt nicht oder nicht vollständig zu entrichten, darf er die personenbezogenen Daten dieser Nutzer über das Ende des Nutzungsvorgangs sowie die in Absatz 7 genannte Speicherfrist hinaus nur verwenden, soweit dies für Zwecke der Rechtsverfolgung erforderlich ist. Der Diensteanbieter hat die Daten unverzüglich zu löschen, wenn die Voraussetzungen nach Satz 1 nicht mehr vorliegen oder die Daten für die Rechtsverfolgung nicht mehr benötigt werden. Der betroffene Nutzer ist zu unterrichten, sobald dies ohne Gefährdung des mit der Maßnahme verfolgten Zweckes möglich ist.

des Telemediengesetzes enthalten.

(9) Datenverkehr im Sinne dieses Gesetzes sind die mittels technischer Protokolle übertragenen Daten. Der Datenverkehr kann Telekommunikationsinhalte nach § 88 Absatz 1

(1) Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.

(2) Zur Wahrung des Fernmeldegeheimnisses ist jeder Diensteanbieter verpflichtet. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist.

(3) Den nach Absatz 2 Verpflichteten ist es untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen. Sie dürfen Kenntnisse über Tatsachen, die dem Fernmeldegeheimnis unterliegen, nur für den in Satz 1 genannten Zweck verwenden. Eine Verwendung dieser Kenntnisse für andere Zwecke, insbesondere die Weitergabe an andere, ist nur zulässig, soweit dieses Gesetz oder eine andere gesetzliche Vorschrift dies vorsieht und sich dabei ausdrücklich auf Telekommunikationsvorgänge bezieht. Die Anzeigepflicht nach § 138 des Strafgesetzbuches hat Vorrang.

(4) Befindet sich die Telekommunikationsanlage an Bord eines Wasser- oder Luftfahrzeugs, so besteht die Pflicht zur Wahrung des Geheimnisses nicht gegenüber der Person, die das Fahrzeug führt oder gegenüber ihrer Stellvertretung.

des Telekommunikationsgesetzes und Nutzungsdaten nach § 15 Absatz 1

(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Nutzungsdaten sind insbesondere

1.
Merkmale zur Identifikation des Nutzers,
2.
Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und
3.
Angaben über die vom Nutzer in Anspruch genommenen Telemedien.

(2) Der Diensteanbieter darf Nutzungsdaten eines Nutzers über die Inanspruchnahme verschiedener Telemedien zusammenführen, soweit dies für Abrechnungszwecke mit dem Nutzer erforderlich ist.

(3) Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.

(4) Der Diensteanbieter darf Nutzungsdaten über das Ende des Nutzungsvorgangs hinaus verwenden, soweit sie für Zwecke der Abrechnung mit dem Nutzer erforderlich sind (Abrechnungsdaten). Zur Erfüllung bestehender gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsfristen darf der Diensteanbieter die Daten sperren.

(5) Der Diensteanbieter darf an andere Diensteanbieter oder Dritte Abrechnungsdaten übermitteln, soweit dies zur Ermittlung des Entgelts und zur Abrechnung mit dem Nutzer erforderlich ist. Hat der Diensteanbieter mit einem Dritten einen Vertrag über den Einzug des Entgelts geschlossen, so darf er diesem Dritten Abrechnungsdaten übermitteln, soweit es für diesen Zweck erforderlich ist. Zum Zwecke der Marktforschung anderer Diensteanbieter dürfen anonymisierte Nutzungsdaten übermittelt werden. § 14 Absatz 2 bis 5 findet entsprechende Anwendung.

(6) Die Abrechnung über die Inanspruchnahme von Telemedien darf Anbieter, Zeitpunkt, Dauer, Art, Inhalt und Häufigkeit bestimmter von einem Nutzer in Anspruch genommener Telemedien nicht erkennen lassen, es sei denn, der Nutzer verlangt einen Einzelnachweis.

(7) Der Diensteanbieter darf Abrechnungsdaten, die für die Erstellung von Einzelnachweisen über die Inanspruchnahme bestimmter Angebote auf Verlangen des Nutzers verarbeitet werden, höchstens bis zum Ablauf des sechsten Monats nach Versendung der Rechnung speichern. Werden gegen die Entgeltforderung innerhalb dieser Frist Einwendungen erhoben oder diese trotz Zahlungsaufforderung nicht beglichen, dürfen die Abrechnungsdaten weiter gespeichert werden, bis die Einwendungen abschließend geklärt sind oder die Entgeltforderung beglichen ist.

(8) Liegen dem Diensteanbieter zu dokumentierende tatsächliche Anhaltspunkte vor, dass seine Dienste von bestimmten Nutzern in der Absicht in Anspruch genommen werden, das Entgelt nicht oder nicht vollständig zu entrichten, darf er die personenbezogenen Daten dieser Nutzer über das Ende des Nutzungsvorgangs sowie die in Absatz 7 genannte Speicherfrist hinaus nur verwenden, soweit dies für Zwecke der Rechtsverfolgung erforderlich ist. Der Diensteanbieter hat die Daten unverzüglich zu löschen, wenn die Voraussetzungen nach Satz 1 nicht mehr vorliegen oder die Daten für die Rechtsverfolgung nicht mehr benötigt werden. Der betroffene Nutzer ist zu unterrichten, sobald dies ohne Gefährdung des mit der Maßnahme verfolgten Zweckes möglich ist.

des Telemediengesetzes enthalten.

(10) Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die

1.
den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
2.
von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.
Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach § 10 Absatz 1

(1) Das Bundesministerium des Innern bestimmt durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, nach Anhörung von Vertretern der Wissenschaft, der betroffenen Betreiber und der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie, dem Bundesministerium der Justiz und für Verbraucherschutz, dem Bundesministerium der Finanzen, dem Bundesministerium für Arbeit und Soziales, dem Bundesministerium für Ernährung und Landwirtschaft, dem Bundesministerium für Gesundheit, dem Bundesministerium für Verkehr und digitale Infrastruktur, dem Bundesministerium der Verteidigung und dem Bundesministerium für Umwelt, Naturschutz, Bau und Reaktorsicherheit unter Festlegung der in den jeweiligen Sektoren im Hinblick auf § 2 Absatz 10 Satz 1 Nummer 2 wegen ihrer Bedeutung als kritisch anzusehenden Dienstleistungen und deren als bedeutend anzusehenden Versorgungsgrads, welche Einrichtungen, Anlagen oder Teile davon als Kritische Infrastrukturen im Sinne dieses Gesetzes gelten. Der nach Satz 1 als bedeutend anzusehende Versorgungsgrad ist anhand von branchenspezifischen Schwellenwerten für jede wegen ihrer Bedeutung als kritisch anzusehende Dienstleistung im jeweiligen Sektor zu bestimmen. Zugang zu Akten, die die Erstellung oder Änderung dieser Verordnung betreffen, wird nicht gewährt.

(2) Das Bundesministerium des Innern bestimmt nach Anhörung der betroffenen Wirtschaftsverbände und im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, das Nähere über das Verfahren der Erteilung von Sicherheitszertifikaten und Anerkennungen nach § 9 und deren Inhalt.

(3) Für individuell zurechenbare öffentliche Leistungen nach diesem Gesetz und nach den zur Durchführung dieses Gesetzes erlassenen Rechtsverordnungen werden Gebühren und Auslagen erhoben. Die Höhe der Gebühren richtet sich nach dem mit den Leistungen verbundenen Verwaltungsaufwand. Das Bundesministerium des Innern bestimmt im Einvernehmen mit dem Bundesministerium der Finanzen durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, die gebührenpflichtigen Tatbestände, die Gebührensätze und die Auslagen.

(4) Soweit die Durchführungsrechtsakte der Kommission nach Artikel 16 Absatz 8 und 9 der Richtlinie (EU) 2016/1148 keine abschließenden Bestimmungen über die von Anbietern digitaler Dienste nach § 8c Absatz 2 zu treffenden Maßnahmen oder über die Parameter zur Beurteilung der Erheblichkeit der Auswirkungen von Sicherheitsvorfällen nach § 8c Absatz 3 Satz 2 oder über Form und Verfahren der Meldungen nach § 8c Absatz 3 Satz 4 enthalten, werden diese Bestimmungen vom Bundesministerium des Innern im Einvernehmen mit den jeweils betroffenen Ressorts durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, getroffen.

näher bestimmt.

(11) Digitale Dienste im Sinne dieses Gesetzes sind Dienste im Sinne von Artikel 1 Absatz 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 241 vom 17.9.2015, S. 1), und die

1.
es Verbrauchern oder Unternehmern im Sinne des Artikels 4 Absatz 1 Buchstabe a beziehungsweise Buchstabe b der Richtlinie 2013/11/EU des Europäischen Parlaments und des Rates vom 21. Mai 2013 über die alternative Beilegung verbraucherrechtlicher Streitigkeiten und zur Änderung der Verordnung (EG) Nr. 2006/2004 und der Richtlinie 2009/22/EG (Richtlinie über alternative Streitbeilegung in Verbraucherangelegenheiten) (ABl. L 165 vom 18.6.2013, S. 63) ermöglichen, Kaufverträge oder Dienstleistungsverträge mit Unternehmern entweder auf der Webseite dieser Dienste oder auf der Webseite eines Unternehmers, die von diesen Diensten bereitgestellte Rechendienste verwendet, abzuschließen (Online-Marktplätze);
2.
es Nutzern ermöglichen, Suchen grundsätzlich auf allen Webseiten oder auf Webseiten in einer bestimmten Sprache anhand einer Abfrage zu einem beliebigen Thema in Form eines Stichworts, einer Wortgruppe oder einer anderen Eingabe vorzunehmen, die daraufhin Links anzeigen, über die der Abfrage entsprechende Inhalte abgerufen werden können (Online-Suchmaschinen);
3.
den Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglichen (Cloud-Computing-Dienste),
und nicht zum Schutz grundlegender staatlicher Funktionen eingerichtet worden sind oder für diese genutzt werden.

(12) „Anbieter digitaler Dienste“ im Sinne dieses Gesetzes ist eine juristische Person, die einen digitalen Dienst anbietet.

§ 3 Aufgaben des Bundesamtes

(1) Das Bundesamt fördert die Sicherheit in der Informationstechnik. Hierzu nimmt es folgende Aufgaben wahr:

1.
Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes;
2.
Sammlung und Auswertung von Informationen über Sicherheitsrisiken und Sicherheitsvorkehrungen und Zurverfügungstellung der gewonnenen Erkenntnisse für andere Stellen, soweit dies zur Erfüllung ihrer Aufgaben oder erforderlich ist, sowie für Dritte, soweit dies zur Wahrung ihrer Sicherheitsinteressen erforderlich ist;
3.
Untersuchung von Sicherheitsrisiken bei Anwendung der Informationstechnik sowie Entwicklung von Sicherheitsvorkehrungen, insbesondere von informationstechnischen Verfahren und Geräten für die Sicherheit in der Informationstechnik (IT-Sicherheitsprodukte), soweit dies zur Erfüllung von Aufgaben des Bundes erforderlich ist, einschließlich der Forschung im Rahmen seiner gesetzlichen Aufgaben;
4.
Entwicklung von Kriterien, Verfahren und Werkzeugen für die Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und für die Prüfung und Bewertung der Konformität im Bereich der IT-Sicherheit;
5.
Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und Erteilung von Sicherheitszertifikaten;
6.
Prüfung und Bestätigung der Konformität im Bereich der IT-Sicherheit von informationstechnischen Systemen und Komponenten mit technischen Richtlinien des Bundesamtes;
7.
Prüfung, Bewertung und Zulassung von informationstechnischen Systemen oder Komponenten, die für die Verarbeitung oder Übertragung amtlich geheim gehaltener Informationen nach § 4

(1) Verschlusssachen sind im öffentlichen Interesse, insbesondere zum Schutz des Wohles des Bundes oder eines Landes, geheimhaltungsbedürftige Tatsachen, Gegenstände oder Erkenntnisse, unabhängig von ihrer Darstellungsform. Verschlusssachen können auch Produkte und die dazugehörenden Dokumente sowie zugehörige Schlüsselmittel zur Entschlüsselung, Verschlüsselung und Übertragung von Informationen sein (Kryptomittel). Geheimhaltungsbedürftig im öffentlichen Interesse können auch Geschäfts-, Betriebs-, Erfindungs-, Steuer- oder sonstige private Geheimnisse oder Umstände des persönlichen Lebensbereichs sein.

(1a) Von einer Verschlusssache dürfen nur Personen Kenntnis erhalten, die auf Grund ihrer Aufgabenerfüllung Kenntnis haben müssen. Keine Person darf über eine Verschlusssache umfassender oder eher unterrichtet werden, als dies aus Gründen der Aufgabenerfüllung notwendig ist.

(2) Verschlusssachen werden entsprechend ihrer Schutzbedürftigkeit von einer amtlichen Stelle des Bundes oder auf deren Veranlassung in folgende Geheimhaltungsgrade eingestuft:

1.
STRENG GEHEIM, wenn die Kenntnisnahme durch Unbefugte den Bestand oder lebenswichtige Interessen der Bundesrepublik Deutschland oder eines ihrer Länder gefährden kann,
2.
GEHEIM, wenn die Kenntnisnahme durch Unbefugte die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder gefährden oder ihren Interessen schweren Schaden zufügen kann,
3.
VS-VERTRAULICH, wenn die Kenntnisnahme durch Unbefugte für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder schädlich sein kann,
4.
VS-NUR FÜR DEN DIENSTGEBRAUCH, wenn die Kenntnisnahme durch Unbefugte für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder nachteilig sein kann.

(3) Wer auf Grund dieses Gesetzes oder sonst in berechtigter Weise Zugang zu einer Verschlusssache erlangt,

1.
ist zur Verschwiegenheit über die ihm dadurch zur Kenntnis gelangten Informationen verpflichtet und
2.
hat durch Einhaltung der Schutzmaßnahmen, die auf Grund dieses Gesetzes erlassen worden sind, dafür Sorge zu tragen, dass keine unbefugte Person Kenntnis von der Verschlusssache erlangt.

(4) Behörden und sonstige öffentliche Stellen des Bundes sind verpflichtet, Verschlusssachen durch Maßnahmen des materiellen Geheimschutzes nach der jeweils für sie geltenden allgemeinen Verwaltungsvorschrift, die nach § 35 zu erlassen ist, so zu schützen, dass Durchbrechungen ihrer Vertraulichkeit entgegengewirkt wird, und darauf hinzuwirken, dass solche Versuche erkannt und aufgeklärt werden können. Dies gilt auch für die Weitergabe von Verschlusssachen an nichtöffentliche Stellen. Die eine Verschlusssache herausgebende Stelle kann weitere Vorgaben zum Schutz der Verschlusssache treffen.

(5) Bei der Durchführung der nach § 35 Absatz 1 erster Halbsatz zu erlassenden allgemeinen Verwaltungsvorschrift zum materiellen Geheimschutz wirkt das Bundesamt für Sicherheit in der Informationstechnik mit. Bei der Durchführung der nach § 35 Absatz 3 zu erlassenden allgemeinen Verwaltungsvorschrift zum materiellen Geheimschutz wirkt der Militärische Abschirmdienst mit. Bei der Betreuung der nichtöffentlichen Stellen im materiellen Geheimschutz sowie bei den Nachrichtendiensten des Bundes wirkt das Bundesamt für Sicherheit in der Informationstechnik auf Ersuchen der jeweils zuständigen Behörde mit.

(6) Das Bundesamt für Verfassungsschutz, der Militärische Abschirmdienst und der Bundesnachrichtendienst teilen dem Bundesamt für Sicherheit in der Informationstechnik nichtpersonenbezogene Erkenntnisse, die für den Schutz von Verschlusssachen oder die Aufrechterhaltung des Geheimschutzes von Bedeutung sein können, unverzüglich mit. Das gilt nicht, soweit die Erkenntnisse einem Weitergabeverbot unterliegen. § 23 des Bundesverfassungsschutzgesetzes gilt entsprechend.

des Sicherheitsüberprüfungsgesetzes im Bereich des Bundes oder bei Unternehmen im Rahmen von Aufträgen des Bundes eingesetzt werden sollen;
8.
Herstellung von Schlüsseldaten und Betrieb von Krypto- und Sicherheitsmanagementsystemen für informationssichernde Systeme des Bundes, die im Bereich des staatlichen Geheimschutzes oder auf Anforderung der betroffenen Behörde auch in anderen Bereichen eingesetzt werden;
9.
Unterstützung und Beratung bei organisatorischen und technischen Sicherheitsmaßnahmen sowie Durchführung von technischen Prüfungen zum Schutz amtlich geheim gehaltener Informationen nach § 4

(1) Verschlusssachen sind im öffentlichen Interesse, insbesondere zum Schutz des Wohles des Bundes oder eines Landes, geheimhaltungsbedürftige Tatsachen, Gegenstände oder Erkenntnisse, unabhängig von ihrer Darstellungsform. Verschlusssachen können auch Produkte und die dazugehörenden Dokumente sowie zugehörige Schlüsselmittel zur Entschlüsselung, Verschlüsselung und Übertragung von Informationen sein (Kryptomittel). Geheimhaltungsbedürftig im öffentlichen Interesse können auch Geschäfts-, Betriebs-, Erfindungs-, Steuer- oder sonstige private Geheimnisse oder Umstände des persönlichen Lebensbereichs sein.

(1a) Von einer Verschlusssache dürfen nur Personen Kenntnis erhalten, die auf Grund ihrer Aufgabenerfüllung Kenntnis haben müssen. Keine Person darf über eine Verschlusssache umfassender oder eher unterrichtet werden, als dies aus Gründen der Aufgabenerfüllung notwendig ist.

(2) Verschlusssachen werden entsprechend ihrer Schutzbedürftigkeit von einer amtlichen Stelle des Bundes oder auf deren Veranlassung in folgende Geheimhaltungsgrade eingestuft:

1.
STRENG GEHEIM, wenn die Kenntnisnahme durch Unbefugte den Bestand oder lebenswichtige Interessen der Bundesrepublik Deutschland oder eines ihrer Länder gefährden kann,
2.
GEHEIM, wenn die Kenntnisnahme durch Unbefugte die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder gefährden oder ihren Interessen schweren Schaden zufügen kann,
3.
VS-VERTRAULICH, wenn die Kenntnisnahme durch Unbefugte für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder schädlich sein kann,
4.
VS-NUR FÜR DEN DIENSTGEBRAUCH, wenn die Kenntnisnahme durch Unbefugte für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder nachteilig sein kann.

(3) Wer auf Grund dieses Gesetzes oder sonst in berechtigter Weise Zugang zu einer Verschlusssache erlangt,

1.
ist zur Verschwiegenheit über die ihm dadurch zur Kenntnis gelangten Informationen verpflichtet und
2.
hat durch Einhaltung der Schutzmaßnahmen, die auf Grund dieses Gesetzes erlassen worden sind, dafür Sorge zu tragen, dass keine unbefugte Person Kenntnis von der Verschlusssache erlangt.

(4) Behörden und sonstige öffentliche Stellen des Bundes sind verpflichtet, Verschlusssachen durch Maßnahmen des materiellen Geheimschutzes nach der jeweils für sie geltenden allgemeinen Verwaltungsvorschrift, die nach § 35 zu erlassen ist, so zu schützen, dass Durchbrechungen ihrer Vertraulichkeit entgegengewirkt wird, und darauf hinzuwirken, dass solche Versuche erkannt und aufgeklärt werden können. Dies gilt auch für die Weitergabe von Verschlusssachen an nichtöffentliche Stellen. Die eine Verschlusssache herausgebende Stelle kann weitere Vorgaben zum Schutz der Verschlusssache treffen.

(5) Bei der Durchführung der nach § 35 Absatz 1 erster Halbsatz zu erlassenden allgemeinen Verwaltungsvorschrift zum materiellen Geheimschutz wirkt das Bundesamt für Sicherheit in der Informationstechnik mit. Bei der Durchführung der nach § 35 Absatz 3 zu erlassenden allgemeinen Verwaltungsvorschrift zum materiellen Geheimschutz wirkt der Militärische Abschirmdienst mit. Bei der Betreuung der nichtöffentlichen Stellen im materiellen Geheimschutz sowie bei den Nachrichtendiensten des Bundes wirkt das Bundesamt für Sicherheit in der Informationstechnik auf Ersuchen der jeweils zuständigen Behörde mit.

(6) Das Bundesamt für Verfassungsschutz, der Militärische Abschirmdienst und der Bundesnachrichtendienst teilen dem Bundesamt für Sicherheit in der Informationstechnik nichtpersonenbezogene Erkenntnisse, die für den Schutz von Verschlusssachen oder die Aufrechterhaltung des Geheimschutzes von Bedeutung sein können, unverzüglich mit. Das gilt nicht, soweit die Erkenntnisse einem Weitergabeverbot unterliegen. § 23 des Bundesverfassungsschutzgesetzes gilt entsprechend.

des Sicherheitsüberprüfungsgesetzes gegen die Kenntnisnahme durch Unbefugte;
10.
Entwicklung von sicherheitstechnischen Anforderungen an die einzusetzende Informationstechnik des Bundes und an die Eignung von Auftragnehmern im Bereich von Informationstechnik mit besonderem Schutzbedarf;
11.
Bereitstellung von IT-Sicherheitsprodukten für Stellen des Bundes;
12.
Unterstützung der für Sicherheit in der Informationstechnik zuständigen Stellen des Bundes, insbesondere soweit sie Beratungs- oder Kontrollaufgaben wahrnehmen; dies gilt vorrangig für den Bundesbeauftragten für den Datenschutz, dessen Unterstützung im Rahmen der Unabhängigkeit erfolgt, die ihm bei der Erfüllung seiner Aufgaben nach dem Bundesdatenschutzgesetz zusteht;
13.
Unterstützung
a)
der Polizeien und Strafverfolgungsbehörden bei der Wahrnehmung ihrer gesetzlichen Aufgaben,
b)
der Verfassungsschutzbehörden und des Militärischen Abschirmdienstes bei der Auswertung und Bewertung von Informationen, die bei der Beobachtung terroristischer Bestrebungen oder nachrichtendienstlicher Tätigkeiten im Rahmen der gesetzlichen Befugnisse nach den Verfassungsschutzgesetzen des Bundes und der Länder beziehungsweise dem Gesetz über den Militärischen Abschirmdienst anfallen,
c)
des Bundesnachrichtendienstes bei der Wahrnehmung seiner gesetzlichen Aufgaben.
Die Unterstützung darf nur gewährt werden, soweit sie erforderlich ist, um Tätigkeiten zu verhindern oder zu erforschen, die gegen die Sicherheit in der Informationstechnik gerichtet sind oder unter Nutzung der Informationstechnik erfolgen. Die Unterstützungsersuchen sind durch das Bundesamt aktenkundig zu machen;
13a.
auf Ersuchen der zuständigen Stellen der Länder Unterstützung dieser Stellen in Fragen der Abwehr von Gefahren für die Sicherheit in der Informationstechnik;
14.
Beratung und Warnung der Stellen des Bundes, der Länder sowie der Hersteller, Vertreiber und Anwender in Fragen der Sicherheit in der Informationstechnik unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen;
15.
Aufbau geeigneter Kommunikationsstrukturen zur Krisenfrüherkennung, Krisenreaktion und Krisenbewältigung sowie Koordinierung der Zusammenarbeit zum Schutz der Sicherheit in der Informationstechnik Kritischer Infrastrukturen im Verbund mit der Privatwirtschaft;
16.
Aufgaben als zentrale Stelle im Bereich der Sicherheit in der Informationstechnik im Hinblick auf die Zusammenarbeit mit den zuständigen Stellen im Ausland, unbeschadet besonderer Zuständigkeiten anderer Stellen;
17.
Aufgaben nach den §§ 8a bis 8c
§ 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen

(1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.

(2) Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Das Bundesamt stellt auf Antrag fest, ob diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. Die Feststellung erfolgt

1.
im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe,
2.
im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde.

(3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann die Vorlage der Dokumentation, die der Überprüfung zugrunde gelegt wurde, verlangen. Es kann bei Sicherheitsmängeln im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen.

(4) Das Bundesamt kann beim Betreiber Kritischer Infrastrukturen die Einhaltung der Anforderungen nach Absatz 1 überprüfen; es kann sich bei der Durchführung der Überprüfung eines qualifizierten unabhängigen Dritten bedienen. Der Betreiber Kritischer Infrastrukturen hat dem Bundesamt und den in dessen Auftrag handelnden Personen zum Zweck der Überprüfung das Betreten der Geschäfts- und Betriebsräume während der üblichen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren. Für die Überprüfung erhebt das Bundesamt Gebühren und Auslagen bei dem jeweiligen Betreiber Kritischer Infrastrukturen nur, sofern das Bundesamt auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Einhaltung der Anforderungen nach Absatz 1 begründeten.

(5) Das Bundesamt kann zur Ausgestaltung des Verfahrens der Sicherheitsaudits, Prüfungen und Zertifizierungen nach Absatz 3 Anforderungen an die Art und Weise der Durchführung, an die hierüber auszustellenden Nachweise sowie fachliche und organisatorische Anforderungen an die prüfende Stelle nach Anhörung von Vertretern der betroffenen Betreiber und der betroffenen Wirtschaftsverbände festlegen.

§ 8b Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen

(1) Das Bundesamt ist die zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit in der Informationstechnik.

(2) Das Bundesamt hat zur Wahrnehmung dieser Aufgabe

1.
die für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik wesentlichen Informationen zu sammeln und auszuwerten, insbesondere Informationen zu Sicherheitslücken, zu Schadprogrammen, zu erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und zu der dabei beobachteten Vorgehensweise,
2.
deren potentielle Auswirkungen auf die Verfügbarkeit der Kritischen Infrastrukturen in Zusammenarbeit mit den zuständigen Aufsichtsbehörden und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe zu analysieren,
3.
das Lagebild bezüglich der Sicherheit in der Informationstechnik der Kritischen Infrastrukturen kontinuierlich zu aktualisieren und
4.
unverzüglich
a)
die Betreiber Kritischer Infrastrukturen über sie betreffende Informationen nach den Nummern 1 bis 3,
b)
die zuständigen Aufsichtsbehörden und die sonst zuständigen Behörden des Bundes über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3,
c)
die zuständigen Aufsichtsbehörden der Länder oder die zu diesem Zweck dem Bundesamt von den Ländern als zentrale Kontaktstellen benannten Behörden über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3 sowie
d)
die zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union über nach Absatz 4 oder nach vergleichbaren Regelungen gemeldete erhebliche Störungen, die Auswirkungen in diesem Mitgliedstaat haben,
zu unterrichten.

(3) Die Betreiber Kritischer Infrastrukturen haben dem Bundesamt binnen sechs Monaten nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 eine Kontaktstelle für die von ihnen betriebenen Kritischen Infrastrukturen zu benennen. Die Betreiber haben sicherzustellen, dass sie hierüber jederzeit erreichbar sind. Die Übermittlung von Informationen durch das Bundesamt nach Absatz 2 Nummer 4 erfolgt an diese Kontaktstelle.

(4) Betreiber Kritischer Infrastrukturen haben die folgenden Störungen unverzüglich über die Kontaktstelle an das Bundesamt zu melden:

1.
Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt haben,
2.
erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können.
Die Meldung muss Angaben zu der Störung, zu möglichen grenzübergreifenden Auswirkungen sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur erbrachten kritischen Dienstleistung und zu den Auswirkungen der Störung auf diese Dienstleistung enthalten. Die Nennung des Betreibers ist nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat.

(5) Zusätzlich zu ihrer Kontaktstelle nach Absatz 3 können Betreiber Kritischer Infrastrukturen, die dem gleichen Sektor angehören, eine gemeinsame übergeordnete Ansprechstelle benennen. Wurde eine solche benannt, erfolgt der Informationsaustausch zwischen den Kontaktstellen und dem Bundesamt in der Regel über die gemeinsame Ansprechstelle.

(6) Soweit erforderlich kann das Bundesamt vom Hersteller der betroffenen informationstechnischen Produkte und Systeme die Mitwirkung an der Beseitigung oder Vermeidung einer Störung nach Absatz 4 verlangen. Satz 1 gilt für Störungen bei Betreibern und Genehmigungsinhabern im Sinne von § 8c Absatz 3 entsprechend.

(7) Soweit im Rahmen dieser Vorschrift personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ist eine über die vorstehenden Absätze hinausgehende Verarbeitung und Nutzung zu anderen Zwecken unzulässig. § 5 Absatz 7 Satz 3 bis 8 ist entsprechend anzuwenden. Im Übrigen sind die Regelungen des Bundesdatenschutzgesetzes anzuwenden.

§ 8c Besondere Anforderungen an Anbieter digitaler Dienste

(1) Anbieter digitaler Dienste haben geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen, zu bewältigen. Sie haben Maßnahmen zu treffen, um den Auswirkungen von Sicherheitsvorfällen auf innerhalb der Europäischen Union erbrachte digitale Dienste vorzubeugen oder die Auswirkungen so gering wie möglich zu halten.

(2) Maßnahmen zur Bewältigung von Risiken für die Sicherheit der Netz- und Informationssysteme nach Absatz 1 Satz 1 müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Dabei ist folgenden Aspekten Rechnung zu tragen:

1.
der Sicherheit der Systeme und Anlagen,
2.
der Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen,
3.
dem Betriebskontinuitätsmanagement,
4.
der Überwachung, Überprüfung und Erprobung,
5.
der Einhaltung internationaler Normen.
Die notwendigen Maßnahmen werden durch Durchführungsrechtsakte der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 näher bestimmt.

(3) Anbieter digitaler Dienste haben jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines von ihnen innerhalb der Europäischen Union erbrachten digitalen Dienstes hat, unverzüglich dem Bundesamt zu melden. Die Voraussetzungen, nach denen Auswirkungen eines Sicherheitsvorfalls erheblich sind, werden durch Durchführungsakte der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 unter Berücksichtigung insbesondere der folgenden Parameter näher bestimmt:

1.
die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer, insbesondere der Nutzer, die den Dienst für die Bereitstellung ihrer eigenen Dienste benötigen,
2.
die Dauer des Sicherheitsvorfalls,
3.
das von dem Sicherheitsvorfall betroffene geographische Gebiet,
4.
das Ausmaß der Unterbrechung der Bereitstellung des Dienstes,
5.
das Ausmaß der Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten.
Die Pflicht zur Meldung eines Sicherheitsvorfalls entfällt, wenn der Anbieter keinen ausreichenden Zugang zu den Informationen hat, die erforderlich sind, um die Auswirkung eines Sicherheitsvorfalls gemessen an den Parametern nach Satz 2 zu bewerten. Für den Inhalt der Meldungen gilt § 8b Absatz 3 entsprechend, soweit nicht Durchführungsakte der Kommission nach Artikel 16 Absatz 9 der Richtlinie (EU) 2016/1148 etwas anderes bestimmen. Über nach Satz 1 gemeldete Sicherheitsvorfälle, die Auswirkungen in einem anderen Mitgliedstaat der Europäischen Union haben, hat das Bundesamt die zuständige Behörde dieses Mitgliedstaats zu unterrichten.

(4) Liegen Anhaltspunkte dafür vor, dass ein Anbieter digitaler Dienste die Anforderungen des Absatzes 1 in Verbindung mit den Durchführungsrechtsakten der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 und des Absatzes 2 in Verbindung mit den Durchführungsrechtsakten der Kommission nach Artikel 16 Absatz 9 der Richtlinie (EU) 2016/1148 nicht erfüllt, kann das Bundesamt von dem Anbieter digitaler Dienste folgende Maßnahmen verlangen:

1.
die Übermittlung der zur Beurteilung der Sicherheit seiner Netz- und Informationssysteme erforderlichen Informationen, einschließlich Nachweisen über ergriffene Sicherheitsmaßnahmen,
2.
die Beseitigung von Mängeln bei der Erfüllung der in den Absätzen 1 und 2 bestimmten Anforderungen.
Die Anhaltspunkte können sich auch aus Feststellungen ergeben, die dem Bundesamt von den zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union vorgelegt werden.

(5) Hat ein Anbieter digitaler Dienste seine Hauptniederlassung, einen Vertreter oder Netz- und Informationssysteme in einem anderen Mitgliedstaat der Europäischen Union, so arbeitet das Bundesamt bei der Erfüllung der Aufgaben nach Absatz 4 mit der zuständigen Behörde dieses Mitgliedstaats zusammen. Diese Zusammenarbeit kann das Ersuchen umfassen, die Maßnahmen in Absatz 4 Satz 1 Nummer 1 und 2 zu ergreifen.

als zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen und digitaler Dienste;
18.
Unterstützung bei der Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen nach § 5a

(1) Handelt es sich bei einer Beeinträchtigung der Sicherheit oder Funktionsfähigkeit eines informationstechnischen Systems einer Stelle des Bundes oder eines Betreibers einer Kritischen Infrastruktur um einen herausgehobenen Fall, so kann das Bundesamt auf Ersuchen der betroffenen Stelle oder des betroffenen Betreibers die Maßnahmen treffen, die zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems erforderlich sind. Soweit das Bundesamt erste Maßnahmen zur Schadensbegrenzung und Sicherstellung des Notbetriebes vor Ort ergreift, werden hierfür keine Gebühren oder Auslagen für die Tätigkeit des Bundesamtes erhoben. Hiervon unberührt bleiben etwaige Kosten für die Hinzuziehung qualifizierter Dritter.

(2) Ein herausgehobener Fall nach Absatz 1 liegt insbesondere dann vor, wenn es sich um einen Angriff von besonderer technischer Qualität handelt oder die zügige Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems von besonderem öffentlichem Interesse ist.

(3) Das Bundesamt darf bei Maßnahmen nach Absatz 1 personenbezogene oder dem Fernmeldegeheimnis unterliegende Daten erheben und verarbeiten, soweit dies zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems erforderlich und angemessen ist. Die Daten sind unverzüglich zu löschen, sobald sie für die Wiederherstellung der Sicherheit oder Funktionsfähigkeit des informationstechnischen Systems nicht mehr benötigt werden. Wenn die Daten in Fällen des Absatzes 4 an eine andere Behörde zur Erfüllung von deren gesetzlichen Aufgaben weitergegeben worden sind, darf das Bundesamt die Daten abweichend von Satz 2 bis zur Beendigung der Unterstützung dieser Behörden weiterverarbeiten. Eine Nutzung zu anderen Zwecken ist unzulässig. § 5 Absatz 7 ist entsprechend anzuwenden. Im Übrigen sind die Regelungen des Bundesdatenschutzgesetzes anzuwenden.

(4) Das Bundesamt darf Informationen, von denen es im Rahmen dieser Vorschrift Kenntnis erlangt, nur mit Einwilligung des Ersuchenden weitergeben, es sei denn, die Informationen lassen keine Rückschlüsse auf die Identität des Ersuchenden zu oder die Informationen können entsprechend § 5 Absatz 5 und 6 übermittelt werden. Zugang zu den in Verfahren nach Absatz 1 geführten Akten wird Dritten nicht gewährt.

(5) Das Bundesamt kann sich bei Maßnahmen nach Absatz 1 mit der Einwilligung des Ersuchenden der Hilfe qualifizierter Dritter bedienen, wenn dies zur rechtzeitigen oder vollständigen Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems erforderlich ist. Die hierdurch entstehenden Kosten hat der Ersuchende zu tragen. Das Bundesamt kann den Ersuchenden auch auf qualifizierte Dritte verweisen. Das Bundesamt und vom Ersuchenden oder vom Bundesamt nach Satz 1 beauftragte Dritte können einander bei Maßnahmen nach Absatz 1 mit der Einwilligung des Ersuchenden Daten übermitteln. Hierfür gilt Absatz 3 entsprechend.

(6) Soweit es zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des informationstechnischen Systems erforderlich ist, kann das Bundesamt vom Hersteller des informationstechnischen Systems verlangen, an der Wiederherstellung der Sicherheit oder Funktionsfähigkeit mitzuwirken.

(7) In begründeten Einzelfällen kann das Bundesamt auch bei anderen als den in Absatz 1 genannten Einrichtungen tätig werden, wenn es darum ersucht wurde und es sich um einen herausgehobenen Fall im Sinne des Absatzes 2 handelt.

(8) Im Falle von Anlagen oder Tätigkeiten, die einer Genehmigung nach dem Atomgesetz bedürfen, ist in Fällen der Absätze 1, 4, 5 und 7 vor Tätigwerden des Bundesamtes das Benehmen mit den zuständigen atomrechtlichen Aufsichtsbehörden des Bundes und der Länder herzustellen. Im Falle von Anlagen oder Tätigkeiten, die einer Genehmigung nach dem Atomgesetz bedürfen, haben bei Maßnahmen des Bundesamtes nach § 5a die Vorgaben aufgrund des Atomgesetzes Vorrang.

.

(2) Das Bundesamt kann die Länder auf Ersuchen bei der Sicherung ihrer Informationstechnik unterstützen.

(3) Das Bundesamt kann Betreiber Kritischer Infrastrukturen auf deren Ersuchen bei der Sicherung ihrer Informationstechnik beraten und unterstützen oder auf qualifizierte Sicherheitsdienstleister verweisen.

§ 4 Zentrale Meldestelle für die Sicherheit in der Informationstechnik des Bundes

(1) Das Bundesamt ist die zentrale Meldestelle für die Zusammenarbeit der Bundesbehörden in Angelegenheiten der Sicherheit in der Informationstechnik.

(2) Das Bundesamt hat zur Wahrnehmung dieser Aufgabe

1.
alle für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik erforderlichen Informationen, insbesondere zu Sicherheitslücken, Schadprogrammen, erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und der dabei beobachteten Vorgehensweise, zu sammeln und auszuwerten,
2.
die Bundesbehörden unverzüglich über die sie betreffenden Informationen nach Nummer 1 und die in Erfahrung gebrachten Zusammenhänge zu unterrichten.

(3) Werden anderen Bundesbehörden Informationen nach Absatz 2 Nummer 1 bekannt, die für die Erfüllung von Aufgaben oder die Sicherheit der Informationstechnik anderer Behörden von Bedeutung sind, unterrichten diese ab dem 1. Januar 2010 das Bundesamt hierüber unverzüglich, soweit andere Vorschriften dem nicht entgegenstehen.

(4) Ausgenommen von den Unterrichtungspflichten nach Absatz 2 Nummer 2 und Absatz 3 sind Informationen, die aufgrund von Regelungen zum Geheimschutz oder Vereinbarungen mit Dritten nicht weitergegeben werden dürfen oder deren Weitergabe im Widerspruch zu der verfassungsrechtlichen Stellung eines Abgeordneten des Bundestages oder eines Verfassungsorgans oder der gesetzlich geregelten Unabhängigkeit einzelner Stellen stünde.

(5) Die Vorschriften zum Schutz personenbezogener Daten bleiben unberührt.

(6) Das Bundesministerium des Innern erlässt nach Zustimmung durch den Rat der IT-Beauftragten der Bundesregierung allgemeine Verwaltungsvorschriften zur Durchführung des Absatzes 3.

§ 5 Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes

(1) Das Bundesamt darf zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes

1.
Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen, erheben und automatisiert auswerten, soweit dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern bei der Kommunikationstechnik des Bundes oder von Angriffen auf die Informationstechnik des Bundes erforderlich ist,
2.
die an den Schnittstellen der Kommunikationstechnik des Bundes anfallenden Daten automatisiert auswerten, soweit dies für die Erkennung und Abwehr von Schadprogrammen erforderlich ist.
Sofern nicht die nachfolgenden Absätze eine weitere Verwendung gestatten, muss die automatisierte Auswertung dieser Daten unverzüglich erfolgen und müssen diese nach erfolgtem Abgleich sofort und spurenlos gelöscht werden. Die Verwendungsbeschränkungen gelten nicht für Protokolldaten, sofern diese weder personenbezogene noch dem Fernmeldegeheimnis unterliegende Daten beinhalten. Die Bundesbehörden sind verpflichtet, das Bundesamt bei Maßnahmen nach Satz 1 zu unterstützen und hierbei den Zugang des Bundesamtes zu behördeninternen Protokolldaten nach Satz 1 Nummer 1 sowie Schnittstellendaten nach Satz 1 Nummer 2 sicherzustellen. Protokolldaten der Bundesgerichte dürfen nur in deren Einvernehmen erhoben werden.

(2) Protokolldaten nach Absatz 1 Satz 1 Nummer 1 dürfen über den für die automatisierte Auswertung nach Absatz 1 Satz 1 Nummer 1 erforderlichen Zeitraum hinaus, längstens jedoch für drei Monate, gespeichert werden, soweit tatsächliche Anhaltspunkte bestehen, dass diese für den Fall der Bestätigung eines Verdachts nach Absatz 3 Satz 2 zur Abwehr von Gefahren, die von dem gefundenen Schadprogramm ausgehen oder zur Erkennung und Abwehr anderer Schadprogramme erforderlich sein können. Durch organisatorische und technische Maßnahmen ist sicherzustellen, dass eine Auswertung der nach diesem Absatz gespeicherten Daten nur automatisiert erfolgt. Die Daten sind zu pseudonymisieren, soweit dies automatisiert möglich ist. Eine nicht automatisierte Auswertung oder eine personenbezogene Verwendung ist nur nach Maßgabe der nachfolgenden Absätze zulässig. Soweit hierzu die Wiederherstellung des Personenbezugs pseudonymisierter Daten erforderlich ist, muss diese durch den Präsidenten des Bundesamtes angeordnet werden. Die Entscheidung ist zu protokollieren.

(3) Eine über die Absätze 1 und 2 hinausgehende Verwendung personenbezogener Daten ist nur zulässig, wenn bestimmte Tatsachen den Verdacht begründen, dass

1.
diese ein Schadprogramm enthalten,
2.
diese durch ein Schadprogramm übermittelt wurden oder
3.
sich aus ihnen Hinweise auf ein Schadprogramm ergeben können,
und soweit die Datenverarbeitung erforderlich ist, um den Verdacht zu bestätigen oder zu widerlegen. Im Falle der Bestätigung ist die weitere Verarbeitung personenbezogener Daten zulässig, soweit dies
1.
zur Abwehr des Schadprogramms,
2.
zur Abwehr von Gefahren, die von dem aufgefundenen Schadprogramm ausgehen, oder
3.
zur Erkennung und Abwehr anderer Schadprogramme erforderlich ist.
Ein Schadprogramm kann beseitigt oder in seiner Funktionsweise gehindert werden. Die nicht automatisierte Verwendung der Daten nach den Sätzen 1 und 2 darf nur durch einen Bediensteten des Bundesamtes mit der Befähigung zum Richteramt angeordnet werden.

(4) Die Beteiligten des Kommunikationsvorgangs sind spätestens nach dem Erkennen und der Abwehr eines Schadprogramms oder von Gefahren, die von einem Schadprogramm ausgehen, zu benachrichtigen, wenn sie bekannt sind oder ihre Identifikation ohne unverhältnismäßige weitere Ermittlungen möglich ist und nicht überwiegende schutzwürdige Belange Dritter entgegenstehen. Die Unterrichtung kann unterbleiben, wenn die Person nur unerheblich betroffen wurde, und anzunehmen ist, dass sie an einer Benachrichtigung kein Interesse hat. Das Bundesamt legt Fälle, in denen es von einer Benachrichtigung absieht, dem behördlichen Datenschutzbeauftragten des Bundesamtes sowie einem weiteren Bediensteten des Bundesamtes, der die Befähigung zum Richteramt hat, zur Kontrolle vor. Der behördliche Datenschutzbeauftragte ist bei Ausübung dieser Aufgabe weisungsfrei und darf deswegen nicht benachteiligt werden (§ 4f Absatz 3 des Bundesdatenschutzgesetzes). Wenn der behördliche Datenschutzbeauftragte der Entscheidung des Bundesamtes widerspricht, ist die Benachrichtigung nachzuholen. Die Entscheidung über die Nichtbenachrichtigung ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist nach zwölf Monaten zu löschen. In den Fällen der Absätze 5 und 6 erfolgt die Benachrichtigung durch die dort genannten Behörden in entsprechender Anwendung der für diese Behörden geltenden Vorschriften. Enthalten diese keine Bestimmungen zu Benachrichtigungspflichten, sind die Vorschriften der Strafprozessordnung entsprechend anzuwenden.

(5) Das Bundesamt kann die nach Absatz 3 verwendeten personenbezogenen Daten an die Strafverfolgungsbehörden zur Verfolgung einer mittels eines Schadprogramms begangenen Straftat nach den §§ 202a, 202b, 303a oder 303b des Strafgesetzbuches übermitteln. Es kann diese Daten ferner übermitteln

1.
zur Abwehr einer Gefahr für die öffentliche Sicherheit, die unmittelbar von einem Schadprogramm ausgeht, an die Polizeien des Bundes und der Länder,
2.
zur Unterrichtung über Tatsachen, die sicherheitsgefährdende oder geheimdienstliche Tätigkeiten für eine fremde Macht erkennen lassen, an das Bundesamt für Verfassungsschutz sowie an den Militärischen Abschirmdienst, wenn sich diese Tätigkeiten gegen Personen, Dienststellen oder Einrichtungen im Geschäftsbereich des Bundesministeriums der Verteidigung richten,
3.
zur Unterrichtung über Tatsachen, die einen internationalen kriminellen, terroristischen oder staatlichen Angriff mittels Schadprogrammen oder vergleichbaren schädlich wirkenden informationstechnischen Mitteln auf die Vertraulichkeit, Integrität oder Verfügbarkeit von IT-Systemen in Fällen von erheblicher Bedeutung mit Bezug zur Bundesrepublik Deutschland erkennen lassen, an den Bundesnachrichtendienst.

(6) Für sonstige Zwecke kann das Bundesamt die Daten übermitteln

1.
an die Strafverfolgungsbehörden zur Verfolgung einer Straftat von auch im Einzelfall erheblicher Bedeutung, insbesondere einer in § 100a Absatz 2 der Strafprozessordnung bezeichneten Straftat,
2.
an die Polizeien des Bundes und der Länder zur Abwehr einer Gefahr für den Bestand oder die Sicherheit des Staates oder Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhalt im öffentlichen Interesse geboten ist,
3.
an die Verfassungsschutzbehörden des Bundes und der Länder sowie an den Militärischen Abschirmdienst, wenn tatsächliche Anhaltspunkte für Bestrebungen in der Bundesrepublik Deutschland vorliegen, die durch Anwendung von Gewalt oder darauf gerichtete Vorbereitungshandlungen gegen die in § 3 Absatz 1

(1) Aufgabe der Verfassungsschutzbehörden des Bundes und der Länder ist die Sammlung und Auswertung von Informationen, insbesondere von sach- und personenbezogenen Auskünften, Nachrichten und Unterlagen, über

1.
Bestrebungen, die gegen die freiheitliche demokratische Grundordnung, den Bestand oder die Sicherheit des Bundes oder eines Landes gerichtet sind oder eine ungesetzliche Beeinträchtigung der Amtsführung der Verfassungsorgane des Bundes oder eines Landes oder ihrer Mitglieder zum Ziele haben,
2.
sicherheitsgefährdende oder geheimdienstliche Tätigkeiten im Geltungsbereich dieses Gesetzes für eine fremde Macht,
3.
Bestrebungen im Geltungsbereich dieses Gesetzes, die durch Anwendung von Gewalt oder darauf gerichtete Vorbereitungshandlungen auswärtige Belange der Bundesrepublik Deutschland gefährden,
4.
Bestrebungen im Geltungsbereich dieses Gesetzes, die gegen den Gedanken der Völkerverständigung (Artikel 9 Abs. 2 des Grundgesetzes), insbesondere gegen das friedliche Zusammenleben der Völker (Artikel 26 Abs. 1 des Grundgesetzes) gerichtet sind.

(2) Die Verfassungsschutzbehörden des Bundes und der Länder wirken mit

1.
bei der Sicherheitsüberprüfung von Personen, denen im öffentlichen Interesse geheimhaltungsbedürftige Tatsachen, Gegenstände oder Erkenntnisse anvertraut werden, die Zugang dazu erhalten sollen oder ihn sich verschaffen können,
2.
bei der Sicherheitsüberprüfung von Personen, die an sicherheitsempfindlichen Stellen von lebens- oder verteidigungswichtigen Einrichtungen beschäftigt sind oder werden sollen,
3.
bei technischen Sicherheitsmaßnahmen zum Schutz von im öffentlichen Interesse geheimhaltungsbedürftigen Tatsachen, Gegenständen oder Erkenntnissen gegen die Kenntnisnahme durch Unbefugte,
4.
bei der Überprüfung von Personen in sonstigen gesetzlich bestimmten Fällen,
5.
bei der Geheimschutzbetreuung von nichtöffentlichen Stellen durch den Bund oder durch ein Land.
Die Befugnisse des Bundesamtes für Verfassungsschutz bei der Mitwirkung nach Satz 1 Nr. 1, 2 und 4 sind im Sicherheitsüberprüfungsgesetz vom 20. April 1994 (BGBl. I S. 867) geregelt. Bei der Mitwirkung nach Satz 1 Nummer 5 ist das Bundesamt für Verfassungsschutz zur sicherheitsmäßigen Bewertung der Angaben der nichtöffentlichen Stelle unter Berücksichtigung der Erkenntnisse der Verfassungsschutzbehörden des Bundes und der Länder befugt. Sofern es im Einzelfall erforderlich erscheint, können bei der Mitwirkung nach Satz 1 Nummer 5 zusätzlich die Nachrichtendienste des Bundes sowie ausländische öffentliche Stellen um Übermittlung und Bewertung vorhandener Erkenntnisse und um Bewertung übermittelter Erkenntnisse ersucht werden.

(3) Die Verfassungsschutzbehörden sind an die allgemeinen Rechtsvorschriften gebunden (Artikel 20 des Grundgesetzes).

des Bundesverfassungsschutzgesetzes beziehungsweise § 1 Absatz 1

(1) Aufgabe des Militärischen Abschirmdienstes des Bundesministeriums der Verteidigung ist die Sammlung und Auswertung von Informationen, insbesondere von sach- und personenbezogenen Auskünften, Nachrichten und Unterlagen, über

1.
Bestrebungen, die gegen die freiheitliche demokratische Grundordnung, den Bestand oder die Sicherheit des Bundes oder eines Landes gerichtet sind,
2.
sicherheitsgefährdende oder geheimdienstliche Tätigkeiten im Geltungsbereich dieses Gesetzes für eine fremde Macht,
wenn sich diese Bestrebungen oder Tätigkeiten gegen Personen, Dienststellen oder Einrichtungen im Geschäftsbereich des Bundesministeriums der Verteidigung richten und von Personen ausgehen oder ausgehen sollen, die diesem Geschäftsbereich angehören oder in ihm tätig sind. Darüber hinaus obliegt dem Militärischen Abschirmdienst die Sammlung und Auswertung von Informationen, insbesondere von sach- und personenbezogenen Auskünften, Nachrichten und Unterlagen, über die Beteiligung von Angehörigen des Geschäftsbereiches des Bundesministeriums der Verteidigung sowie von Personen, die in ihm tätig sind oder in ihm tätig sein sollen, an Bestrebungen, die gegen den Gedanken der Völkerverständigung (Artikel 9 Abs. 2 des Grundgesetzes), insbesondere gegen das friedliche Zusammenleben der Völker (Artikel 26 Abs. 1 des Grundgesetzes) gerichtet sind. § 4 des Bundesverfassungsschutzgesetzes findet Anwendung.

(2) Darüber hinaus obliegt dem Militärischen Abschirmdienst zur Beurteilung der Sicherheitslage

1.
von Dienststellen und Einrichtungen im Geschäftsbereich des Bundesministeriums der Verteidigung und
2.
von Dienststellen und Einrichtungen der verbündeten Streitkräfte und der internationalen militärischen Hauptquartiere, wenn die Bundesrepublik Deutschland in internationalen Vereinbarungen Verpflichtungen zur Sicherheit dieser Dienststellen und Einrichtungen übernommen hat und die Beurteilung der Sicherheitslage im Einvernehmen zwischen dem Bundesministerium der Verteidigung und den zuständigen obersten Landesbehörden dem Militärischen Abschirmdienst übertragen worden ist,
die Auswertung von Informationen über die in Absatz 1 genannten Bestrebungen und Tätigkeiten gegen diese Dienststellen und Einrichtungen, auch soweit sie von Personen ausgehen oder ausgehen sollen, die nicht dem Geschäftsbereich des Bundesministeriums der Verteidigung angehören oder in ihm tätig sind.

(3) Der Militärische Abschirmdienst wirkt mit

1.
bei der Sicherheitsüberprüfung von Personen, die dem Geschäftsbereich des Bundesministeriums der Verteidigung angehören, in ihm tätig sind oder werden sollen und
a)
denen im öffentlichen Interesse geheimhaltungsbedürftige Tatsachen, Gegenstände oder Erkenntnisse anvertraut werden, die Zugang dazu erhalten sollen oder ihn sich verschaffen können
b)
die an sicherheitsempfindlichen Stellen des Geschäftsbereichs des Bundesministeriums der Verteidigung eingesetzt sind oder werden sollen oder
c)
die in sonstigen gesetzlich bestimmten Fällen einer Sicherheitsüberprüfung unterliegen,
2.
bei technischen Sicherheitsmaßnahmen im Geschäftsbereich des Bundesministeriums der Verteidigung zum Schutz von im öffentlichen Interesse geheimhaltungsbedürftigen Tatsachen, Gegenständen oder Erkenntnissen gegen die Kenntnisnahme durch Unbefugte.
Die Befugnisse des Militärischen Abschirmdienstes bei der Mitwirkung nach Satz 1 Nummer 1 Buchstabe a bis c sind im Sicherheitsüberprüfungsgesetz geregelt.

(4) Der Militärische Abschirmdienst darf einer polizeilichen Dienststelle nicht angegliedert werden.

(5) Der Militärische Abschirmdienst ist an die allgemeinen Rechtsvorschriften gebunden (Artikel 20 des Grundgesetzes).

des Gesetzes über den Militärischen Abschirmdienst genannten Schutzgüter gerichtetsind,
4.
an den Bundesnachrichtendienst, wenn tatsächliche Anhaltspunkte für den Verdacht bestehen, dass jemand Straftaten nach § 3 Absatz 1 Nummer 8

(1) Beschränkungen nach § 1 Abs. 1 Nr. 1 dürfen unter den dort bezeichneten Voraussetzungen angeordnet werden, wenn tatsächliche Anhaltspunkte für den Verdacht bestehen, dass jemand

1.
Straftaten des Friedensverrats oder des Hochverrats (§§ 80a bis 83 des Strafgesetzbuches),
2.
Straftaten der Gefährdung des demokratischen Rechtsstaates (§§ 84 bis 86, 87 bis 89b, 89c Absatz 1 bis 4 des Strafgesetzbuches, § 20 Abs. 1 Nr. 1 bis 4 des Vereinsgesetzes),
3.
Straftaten des Landesverrats und der Gefährdung der äußeren Sicherheit (§§ 94 bis 96, 97a bis 100a des Strafgesetzbuches),
4.
Straftaten gegen die Landesverteidigung (§§ 109e bis 109g des Strafgesetzbuches),
5.
Straftaten gegen die Sicherheit der in der Bundesrepublik Deutschland stationierten Truppen der nichtdeutschen Vertragsstaaten des Nordatlantikvertrages (§§ 87, 89, 94 bis 96, 98 bis 100, 109e bis 109g des Strafgesetzbuches in Verbindung mit § 1 des NATO-Truppen-Schutzgesetzes),
6.
Straftaten nach
a)
den §§ 129a bis 130 des Strafgesetzbuches sowie
b)
den §§ 211, 212, 239a, 239b, 306 bis 306c, 308 Abs. 1 bis 3, § 315 Abs. 3, § 316b Abs. 3 und § 316c Abs. 1 und 3 des Strafgesetzbuches, soweit diese sich gegen die freiheitliche demokratische Grundordnung, den Bestand oder die Sicherheit des Bundes oder eines Landes richten,
7.
Straftaten nach § 95 Abs. 1 Nr. 8 des Aufenthaltsgesetzes,
8.
Straftaten nach den §§ 202a, 202b und 303a, 303b des Strafgesetzbuches, soweit sich die Straftat gegen die innere oder äußere Sicherheit der Bundesrepublik Deutschland, insbesondere gegen sicherheitsempfindliche Stellen von lebenswichtigen Einrichtungen richtet, oder
9.
Straftaten nach § 13 des Völkerstrafgesetzbuches
plant, begeht oder begangen hat. Gleiches gilt, wenn tatsächliche Anhaltspunkte für den Verdacht bestehen, dass jemand Mitglied einer Vereinigung ist, deren Zwecke oder deren Tätigkeit darauf gerichtet sind, Straftaten zu begehen, die gegen die freiheitliche demokratische Grundordnung, den Bestand oder die Sicherheit des Bundes oder eines Landes gerichtet sind.

(1a) Beschränkungen nach § 1 Abs. 1 Nr. 1 dürfen unter den dort bezeichneten Voraussetzungen für den Bundesnachrichtendienst auch für Telekommunikationsanschlüsse, die sich an Bord deutscher Schiffe außerhalb deutscher Hoheitsgewässer befinden, angeordnet werden, wenn tatsächliche Anhaltspunkte bestehen, dass jemand eine der in § 23a Abs. 1 und 3 des Zollfahndungsdienstgesetzes genannten Straftaten plant, begeht oder begangen hat.

(2) Die Anordnung ist nur zulässig, wenn die Erforschung des Sachverhalts auf andere Weise aussichtslos oder wesentlich erschwert wäre. Sie darf sich nur gegen den Verdächtigen oder gegen Personen richten, von denen auf Grund bestimmter Tatsachen anzunehmen ist, dass sie für den Verdächtigen bestimmte oder von ihm herrührende Mitteilungen entgegennehmen oder weitergeben oder dass der Verdächtige ihren Anschluss benutzt. Maßnahmen, die sich auf Sendungen beziehen, sind nur hinsichtlich solcher Sendungen zulässig, bei denen Tatsachen die Annahme rechtfertigen, dass sie von dem, gegen den sich die Anordnung richtet, herrühren oder für ihn bestimmt sind. Abgeordnetenpost von Mitgliedern des Deutschen Bundestages und der Parlamente der Länder darf nicht in eine Maßnahme einbezogen werden, die sich gegen einen Dritten richtet.

des Artikel 10-Gesetzes plant, begeht oder begangen hat und dies von außen- und sicherheitspolitischer Bedeutung für die Bundesrepublik Deutschland ist.
Die Übermittlung nach Satz 1 Nummer 1 und 2 bedarf der vorherigen gerichtlichen Zustimmung. Für das Verfahren nach Satz 1 Nummer 1 und 2 gelten die Vorschriften des Gesetzes über das Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen Gerichtsbarkeit entsprechend. Zuständig ist das Amtsgericht, in dessen Bezirk das Bundesamt seinen Sitz hat. Die Übermittlung nach Satz 1 Nummer 3 und Nummer 4 erfolgt nach Zustimmung des Bundesministeriums des Innern; die §§ 9 bis 16
§ 9 Antrag

(1) Beschränkungsmaßnahmen nach diesem Gesetz dürfen nur auf Antrag angeordnet werden.

(2) Antragsberechtigt sind im Rahmen ihres Geschäftsbereichs

1.
das Bundesamt für Verfassungsschutz,
2.
die Verfassungsschutzbehörden der Länder,
3.
der Militärische Abschirmdienst und
4.
der Bundesnachrichtendienst
durch den Behördenleiter oder seinen Stellvertreter.

(3) Der Antrag ist schriftlich zu stellen und zu begründen. Er muss alle für die Anordnung erforderlichen Angaben enthalten. In den Fällen der §§ 3 und 8 hat der Antragsteller darzulegen, dass die Erforschung des Sachverhalts auf andere Weise aussichtslos oder wesentlich erschwert wäre.

§ 10 Anordnung

(1) Zuständig für die Anordnung von Beschränkungsmaßnahmen ist bei Anträgen der Verfassungsschutzbehörden der Länder die zuständige oberste Landesbehörde, im Übrigen das Bundesministerium des Innern.

(2) Die Anordnung ergeht schriftlich. In ihr sind der Grund der Anordnung und die zur Überwachung berechtigte Stelle anzugeben sowie Art, Umfang und Dauer der Beschränkungsmaßnahme zu bestimmen.

(3) In den Fällen des § 3 muss die Anordnung denjenigen bezeichnen, gegen den sich die Beschränkungsmaßnahme richtet. Bei einer Überwachung der Telekommunikation ist auch die Rufnummer oder eine andere Kennung des Telekommunikationsanschlusses oder die Kennung des Endgerätes, wenn diese allein diesem Endgerät zuzuordnen ist, anzugeben.

(4) In den Fällen der §§ 5 und 8 sind die Suchbegriffe in der Anordnung zu benennen. Ferner sind das Gebiet, über das Informationen gesammelt werden sollen, und die Übertragungswege, die der Beschränkung unterliegen, zu bezeichnen. Weiterhin ist festzulegen, welcher Anteil der auf diesen Übertragungswegen zur Verfügung stehenden Übertragungskapazität überwacht werden darf. In den Fällen des § 5 darf dieser Anteil höchstens 20 vom Hundert betragen.

(5) In den Fällen der §§ 3 und 5 ist die Anordnung auf höchstens drei Monate zu befristen. Verlängerungen um jeweils nicht mehr als drei weitere Monate sind auf Antrag zulässig, soweit die Voraussetzungen der Anordnung fortbestehen.

(6) Die Anordnung ist dem nach § 2 Abs. 1 Satz 1 oder 3 Verpflichteten insoweit mitzuteilen, als dies erforderlich ist, um ihm die Erfüllung seiner Verpflichtungen zu ermöglichen. Die Mitteilung entfällt, wenn die Anordnung ohne seine Mitwirkung ausgeführt werden kann.

(7) Das Bundesamt für Verfassungsschutz unterrichtet die jeweilige Landesbehörde für Verfassungsschutz über die in deren Bereich getroffenen Beschränkungsanordnungen. Die Landesbehörden für Verfassungsschutz teilen dem Bundesamt für Verfassungsschutz die in ihrem Bereich getroffenen Beschränkungsanordnungen mit.

§ 11 Durchführung

(1) Die aus der Anordnung sich ergebenden Beschränkungsmaßnahmen sind unter Verantwortung der Behörde, auf deren Antrag die Anordnung ergangen ist, und unter Aufsicht eines Bediensteten vorzunehmen, der die Befähigung zum Richteramt hat.

(2) Die Maßnahmen sind unverzüglich zu beenden, wenn sie nicht mehr erforderlich sind oder die Voraussetzungen der Anordnung nicht mehr vorliegen. Die Beendigung ist der Stelle, die die Anordnung getroffen hat, und dem nach § 2 Abs. 1 Satz 1 oder 3 Verpflichteten, dem die Anordnung mitgeteilt worden ist, anzuzeigen. Die Anzeige an den Verpflichteten entfällt, wenn die Anordnung ohne seine Mitwirkung ausgeführt wurde.

(3) Postsendungen, die zur Öffnung und Einsichtnahme ausgehändigt worden sind, sind dem Postverkehr unverzüglich wieder zuzuführen. Telegramme dürfen dem Postverkehr nicht entzogen werden. Der zur Einsichtnahme berechtigten Stelle ist eine Abschrift des Telegramms zu übergeben.

§ 12 Mitteilungen an Betroffene

(1) Beschränkungsmaßnahmen nach § 3 sind dem Betroffenen nach ihrer Einstellung mitzuteilen. Die Mitteilung unterbleibt, solange eine Gefährdung des Zwecks der Beschränkung nicht ausgeschlossen werden kann oder solange der Eintritt übergreifender Nachteile für das Wohl des Bundes oder eines Landes absehbar ist. Erfolgt die nach Satz 2 zurückgestellte Mitteilung nicht binnen zwölf Monaten nach Beendigung der Maßnahme, bedarf die weitere Zurückstellung der Zustimmung der G10-Kommission. Die G10-Kommission bestimmt die Dauer der weiteren Zurückstellung. Einer Mitteilung bedarf es nicht, wenn die G10-Kommission einstimmig festgestellt hat, dass

1.
eine der Voraussetzungen in Satz 2 auch nach fünf Jahren nach Beendigung der Maßnahme noch vorliegt,
2.
sie mit an Sicherheit grenzender Wahrscheinlichkeit auch in Zukunft vorliegt und
3.
die Voraussetzungen für eine Löschung sowohl bei der erhebenden Stelle als auch beim Empfänger vorliegen.

(2) Absatz 1 gilt entsprechend für Beschränkungsmaßnahmen nach den §§ 5 und 8, sofern die personenbezogenen Daten nicht unverzüglich gelöscht wurden. Die Frist von fünf Jahren beginnt mit der Erhebung der personenbezogenen Daten.

(3) Die Mitteilung obliegt der Behörde, auf deren Antrag die Anordnung ergangen ist. Wurden personenbezogene Daten übermittelt, erfolgt die Mitteilung im Benehmen mit dem Empfänger.

§ 13 Rechtsweg

Gegen die Anordnung von Beschränkungsmaßnahmen nach den §§ 3 und 5 Abs. 1 Satz 3 Nr. 1 und ihren Vollzug ist der Rechtsweg vor der Mitteilung an den Betroffenen nicht zulässig.

des Artikel 10-Gesetzes gelten entsprechend.

(7) Eine über die vorstehenden Absätze hinausgehende inhaltliche Auswertung zu anderen Zwecken und die Weitergabe von personenbezogenen Daten an Dritte sind unzulässig. Soweit möglich, ist technisch sicherzustellen, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden. Werden aufgrund der Maßnahmen der Absätze 1 bis 3 Erkenntnisse aus dem Kernbereich privater Lebensgestaltung oder Daten im Sinne des § 3

Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist.

Absatz 9 des Bundesdatenschutzgesetzes erlangt, dürfen diese nicht verwendet werden. Erkenntnisse aus dem Kernbereich privater Lebensgestaltung sind unverzüglich zu löschen. Dies gilt auch in Zweifelsfällen. Die Tatsache ihrer Erlangung und Löschung ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist zu löschen, wenn sie für diese Zwecke nicht mehr erforderlich ist, spätestens jedoch am Ende des Kalenderjahres, das dem Jahr der Dokumentation folgt. Werden im Rahmen der Absätze 4 oder 5 Inhalte oder Umstände der Kommunikation von in § 53 Absatz 1 Satz 1 der Strafprozessordnung genannten Personen übermittelt, auf die sich das Zeugnisverweigerungsrecht der genannten Personen erstreckt, ist die Verwertung dieser Daten zu Beweiszwecken in einem Strafverfahren nur insoweit zulässig, als Gegenstand dieses Strafverfahrens eine Straftat ist, die im Höchstmaß mit mindestens fünf Jahren Freiheitsstrafe bedroht ist.

(8) Vor Aufnahme der Datenerhebung und -verwendung hat das Bundesamt ein Datenerhebungs- und -verwendungskonzept zu erstellen und für Kontrollen durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit bereitzuhalten. Das Konzept hat dem besonderen Schutzbedürfnis der Regierungskommunikation Rechnung zu tragen. Die für die automatisierte Auswertung verwendeten Kriterien sind zu dokumentieren. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit teilt das Ergebnis seiner Kontrollen nach § 24

(1) Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch nichtöffentliche Stellen ist zulässig, wenn

1.
sie zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist oder
2.
sie zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche erforderlich ist,
sofern nicht die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung überwiegen.

(2) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen des Absatzes 1 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach § 22 vorliegen.

des Bundesdatenschutzgesetzes auch dem Rat der IT-Beauftragten der Bundesregierung mit.

(9) Das Bundesamt unterrichtet den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres über

1.
die Anzahl der Vorgänge, in denen Daten nach Absatz 5 Satz 1, Absatz 5 Satz 2 Nummer 1 oder Absatz 6 Nummer 1 übermittelt wurden, aufgegliedert nach den einzelnen Übermittlungsbefugnissen,
2.
die Anzahl der personenbezogenen Auswertungen nach Absatz 3 Satz 1, in denen der Verdacht widerlegt wurde,
3.
die Anzahl der Fälle, in denen das Bundesamt nach Absatz 4 Satz 2 oder 3 von einer Benachrichtigung der Betroffenen abgesehen hat.

(10) Das Bundesamt unterrichtet kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres den Innenausschuss des Deutschen Bundestages über die Anwendung dieser Vorschrift.

§ 5a Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen

(1) Handelt es sich bei einer Beeinträchtigung der Sicherheit oder Funktionsfähigkeit eines informationstechnischen Systems einer Stelle des Bundes oder eines Betreibers einer Kritischen Infrastruktur um einen herausgehobenen Fall, so kann das Bundesamt auf Ersuchen der betroffenen Stelle oder des betroffenen Betreibers die Maßnahmen treffen, die zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems erforderlich sind. Soweit das Bundesamt erste Maßnahmen zur Schadensbegrenzung und Sicherstellung des Notbetriebes vor Ort ergreift, werden hierfür keine Gebühren oder Auslagen für die Tätigkeit des Bundesamtes erhoben. Hiervon unberührt bleiben etwaige Kosten für die Hinzuziehung qualifizierter Dritter.

(2) Ein herausgehobener Fall nach Absatz 1 liegt insbesondere dann vor, wenn es sich um einen Angriff von besonderer technischer Qualität handelt oder die zügige Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems von besonderem öffentlichem Interesse ist.

(3) Das Bundesamt darf bei Maßnahmen nach Absatz 1 personenbezogene oder dem Fernmeldegeheimnis unterliegende Daten erheben und verarbeiten, soweit dies zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems erforderlich und angemessen ist. Die Daten sind unverzüglich zu löschen, sobald sie für die Wiederherstellung der Sicherheit oder Funktionsfähigkeit des informationstechnischen Systems nicht mehr benötigt werden. Wenn die Daten in Fällen des Absatzes 4 an eine andere Behörde zur Erfüllung von deren gesetzlichen Aufgaben weitergegeben worden sind, darf das Bundesamt die Daten abweichend von Satz 2 bis zur Beendigung der Unterstützung dieser Behörden weiterverarbeiten. Eine Nutzung zu anderen Zwecken ist unzulässig. § 5 Absatz 7

(1) Das Bundesamt darf zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes

1.
Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen, erheben und automatisiert auswerten, soweit dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern bei der Kommunikationstechnik des Bundes oder von Angriffen auf die Informationstechnik des Bundes erforderlich ist,
2.
die an den Schnittstellen der Kommunikationstechnik des Bundes anfallenden Daten automatisiert auswerten, soweit dies für die Erkennung und Abwehr von Schadprogrammen erforderlich ist.
Sofern nicht die nachfolgenden Absätze eine weitere Verwendung gestatten, muss die automatisierte Auswertung dieser Daten unverzüglich erfolgen und müssen diese nach erfolgtem Abgleich sofort und spurenlos gelöscht werden. Die Verwendungsbeschränkungen gelten nicht für Protokolldaten, sofern diese weder personenbezogene noch dem Fernmeldegeheimnis unterliegende Daten beinhalten. Die Bundesbehörden sind verpflichtet, das Bundesamt bei Maßnahmen nach Satz 1 zu unterstützen und hierbei den Zugang des Bundesamtes zu behördeninternen Protokolldaten nach Satz 1 Nummer 1 sowie Schnittstellendaten nach Satz 1 Nummer 2 sicherzustellen. Protokolldaten der Bundesgerichte dürfen nur in deren Einvernehmen erhoben werden.

(2) Protokolldaten nach Absatz 1 Satz 1 Nummer 1 dürfen über den für die automatisierte Auswertung nach Absatz 1 Satz 1 Nummer 1 erforderlichen Zeitraum hinaus, längstens jedoch für drei Monate, gespeichert werden, soweit tatsächliche Anhaltspunkte bestehen, dass diese für den Fall der Bestätigung eines Verdachts nach Absatz 3 Satz 2 zur Abwehr von Gefahren, die von dem gefundenen Schadprogramm ausgehen oder zur Erkennung und Abwehr anderer Schadprogramme erforderlich sein können. Durch organisatorische und technische Maßnahmen ist sicherzustellen, dass eine Auswertung der nach diesem Absatz gespeicherten Daten nur automatisiert erfolgt. Die Daten sind zu pseudonymisieren, soweit dies automatisiert möglich ist. Eine nicht automatisierte Auswertung oder eine personenbezogene Verwendung ist nur nach Maßgabe der nachfolgenden Absätze zulässig. Soweit hierzu die Wiederherstellung des Personenbezugs pseudonymisierter Daten erforderlich ist, muss diese durch den Präsidenten des Bundesamtes angeordnet werden. Die Entscheidung ist zu protokollieren.

(3) Eine über die Absätze 1 und 2 hinausgehende Verwendung personenbezogener Daten ist nur zulässig, wenn bestimmte Tatsachen den Verdacht begründen, dass

1.
diese ein Schadprogramm enthalten,
2.
diese durch ein Schadprogramm übermittelt wurden oder
3.
sich aus ihnen Hinweise auf ein Schadprogramm ergeben können,
und soweit die Datenverarbeitung erforderlich ist, um den Verdacht zu bestätigen oder zu widerlegen. Im Falle der Bestätigung ist die weitere Verarbeitung personenbezogener Daten zulässig, soweit dies
1.
zur Abwehr des Schadprogramms,
2.
zur Abwehr von Gefahren, die von dem aufgefundenen Schadprogramm ausgehen, oder
3.
zur Erkennung und Abwehr anderer Schadprogramme erforderlich ist.
Ein Schadprogramm kann beseitigt oder in seiner Funktionsweise gehindert werden. Die nicht automatisierte Verwendung der Daten nach den Sätzen 1 und 2 darf nur durch einen Bediensteten des Bundesamtes mit der Befähigung zum Richteramt angeordnet werden.

(4) Die Beteiligten des Kommunikationsvorgangs sind spätestens nach dem Erkennen und der Abwehr eines Schadprogramms oder von Gefahren, die von einem Schadprogramm ausgehen, zu benachrichtigen, wenn sie bekannt sind oder ihre Identifikation ohne unverhältnismäßige weitere Ermittlungen möglich ist und nicht überwiegende schutzwürdige Belange Dritter entgegenstehen. Die Unterrichtung kann unterbleiben, wenn die Person nur unerheblich betroffen wurde, und anzunehmen ist, dass sie an einer Benachrichtigung kein Interesse hat. Das Bundesamt legt Fälle, in denen es von einer Benachrichtigung absieht, dem behördlichen Datenschutzbeauftragten des Bundesamtes sowie einem weiteren Bediensteten des Bundesamtes, der die Befähigung zum Richteramt hat, zur Kontrolle vor. Der behördliche Datenschutzbeauftragte ist bei Ausübung dieser Aufgabe weisungsfrei und darf deswegen nicht benachteiligt werden (§ 4f Absatz 3 des Bundesdatenschutzgesetzes). Wenn der behördliche Datenschutzbeauftragte der Entscheidung des Bundesamtes widerspricht, ist die Benachrichtigung nachzuholen. Die Entscheidung über die Nichtbenachrichtigung ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist nach zwölf Monaten zu löschen. In den Fällen der Absätze 5 und 6 erfolgt die Benachrichtigung durch die dort genannten Behörden in entsprechender Anwendung der für diese Behörden geltenden Vorschriften. Enthalten diese keine Bestimmungen zu Benachrichtigungspflichten, sind die Vorschriften der Strafprozessordnung entsprechend anzuwenden.

(5) Das Bundesamt kann die nach Absatz 3 verwendeten personenbezogenen Daten an die Strafverfolgungsbehörden zur Verfolgung einer mittels eines Schadprogramms begangenen Straftat nach den §§ 202a, 202b, 303a oder 303b des Strafgesetzbuches übermitteln. Es kann diese Daten ferner übermitteln

1.
zur Abwehr einer Gefahr für die öffentliche Sicherheit, die unmittelbar von einem Schadprogramm ausgeht, an die Polizeien des Bundes und der Länder,
2.
zur Unterrichtung über Tatsachen, die sicherheitsgefährdende oder geheimdienstliche Tätigkeiten für eine fremde Macht erkennen lassen, an das Bundesamt für Verfassungsschutz sowie an den Militärischen Abschirmdienst, wenn sich diese Tätigkeiten gegen Personen, Dienststellen oder Einrichtungen im Geschäftsbereich des Bundesministeriums der Verteidigung richten,
3.
zur Unterrichtung über Tatsachen, die einen internationalen kriminellen, terroristischen oder staatlichen Angriff mittels Schadprogrammen oder vergleichbaren schädlich wirkenden informationstechnischen Mitteln auf die Vertraulichkeit, Integrität oder Verfügbarkeit von IT-Systemen in Fällen von erheblicher Bedeutung mit Bezug zur Bundesrepublik Deutschland erkennen lassen, an den Bundesnachrichtendienst.

(6) Für sonstige Zwecke kann das Bundesamt die Daten übermitteln

1.
an die Strafverfolgungsbehörden zur Verfolgung einer Straftat von auch im Einzelfall erheblicher Bedeutung, insbesondere einer in § 100a Absatz 2 der Strafprozessordnung bezeichneten Straftat,
2.
an die Polizeien des Bundes und der Länder zur Abwehr einer Gefahr für den Bestand oder die Sicherheit des Staates oder Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhalt im öffentlichen Interesse geboten ist,
3.
an die Verfassungsschutzbehörden des Bundes und der Länder sowie an den Militärischen Abschirmdienst, wenn tatsächliche Anhaltspunkte für Bestrebungen in der Bundesrepublik Deutschland vorliegen, die durch Anwendung von Gewalt oder darauf gerichtete Vorbereitungshandlungen gegen die in § 3 Absatz 1 des Bundesverfassungsschutzgesetzes beziehungsweise § 1 Absatz 1 des Gesetzes über den Militärischen Abschirmdienst genannten Schutzgüter gerichtetsind,
4.
an den Bundesnachrichtendienst, wenn tatsächliche Anhaltspunkte für den Verdacht bestehen, dass jemand Straftaten nach § 3 Absatz 1 Nummer 8 des Artikel 10-Gesetzes plant, begeht oder begangen hat und dies von außen- und sicherheitspolitischer Bedeutung für die Bundesrepublik Deutschland ist.
Die Übermittlung nach Satz 1 Nummer 1 und 2 bedarf der vorherigen gerichtlichen Zustimmung. Für das Verfahren nach Satz 1 Nummer 1 und 2 gelten die Vorschriften des Gesetzes über das Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen Gerichtsbarkeit entsprechend. Zuständig ist das Amtsgericht, in dessen Bezirk das Bundesamt seinen Sitz hat. Die Übermittlung nach Satz 1 Nummer 3 und Nummer 4 erfolgt nach Zustimmung des Bundesministeriums des Innern; die §§ 9 bis 16 des Artikel 10-Gesetzes gelten entsprechend.

(7) Eine über die vorstehenden Absätze hinausgehende inhaltliche Auswertung zu anderen Zwecken und die Weitergabe von personenbezogenen Daten an Dritte sind unzulässig. Soweit möglich, ist technisch sicherzustellen, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden. Werden aufgrund der Maßnahmen der Absätze 1 bis 3 Erkenntnisse aus dem Kernbereich privater Lebensgestaltung oder Daten im Sinne des § 3 Absatz 9 des Bundesdatenschutzgesetzes erlangt, dürfen diese nicht verwendet werden. Erkenntnisse aus dem Kernbereich privater Lebensgestaltung sind unverzüglich zu löschen. Dies gilt auch in Zweifelsfällen. Die Tatsache ihrer Erlangung und Löschung ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist zu löschen, wenn sie für diese Zwecke nicht mehr erforderlich ist, spätestens jedoch am Ende des Kalenderjahres, das dem Jahr der Dokumentation folgt. Werden im Rahmen der Absätze 4 oder 5 Inhalte oder Umstände der Kommunikation von in § 53 Absatz 1 Satz 1 der Strafprozessordnung genannten Personen übermittelt, auf die sich das Zeugnisverweigerungsrecht der genannten Personen erstreckt, ist die Verwertung dieser Daten zu Beweiszwecken in einem Strafverfahren nur insoweit zulässig, als Gegenstand dieses Strafverfahrens eine Straftat ist, die im Höchstmaß mit mindestens fünf Jahren Freiheitsstrafe bedroht ist.

(8) Vor Aufnahme der Datenerhebung und -verwendung hat das Bundesamt ein Datenerhebungs- und -verwendungskonzept zu erstellen und für Kontrollen durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit bereitzuhalten. Das Konzept hat dem besonderen Schutzbedürfnis der Regierungskommunikation Rechnung zu tragen. Die für die automatisierte Auswertung verwendeten Kriterien sind zu dokumentieren. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit teilt das Ergebnis seiner Kontrollen nach § 24 des Bundesdatenschutzgesetzes auch dem Rat der IT-Beauftragten der Bundesregierung mit.

(9) Das Bundesamt unterrichtet den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres über

1.
die Anzahl der Vorgänge, in denen Daten nach Absatz 5 Satz 1, Absatz 5 Satz 2 Nummer 1 oder Absatz 6 Nummer 1 übermittelt wurden, aufgegliedert nach den einzelnen Übermittlungsbefugnissen,
2.
die Anzahl der personenbezogenen Auswertungen nach Absatz 3 Satz 1, in denen der Verdacht widerlegt wurde,
3.
die Anzahl der Fälle, in denen das Bundesamt nach Absatz 4 Satz 2 oder 3 von einer Benachrichtigung der Betroffenen abgesehen hat.

(10) Das Bundesamt unterrichtet kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres den Innenausschuss des Deutschen Bundestages über die Anwendung dieser Vorschrift.

ist entsprechend anzuwenden. Im Übrigen sind die Regelungen des Bundesdatenschutzgesetzes anzuwenden.

(4) Das Bundesamt darf Informationen, von denen es im Rahmen dieser Vorschrift Kenntnis erlangt, nur mit Einwilligung des Ersuchenden weitergeben, es sei denn, die Informationen lassen keine Rückschlüsse auf die Identität des Ersuchenden zu oder die Informationen können entsprechend § 5 Absatz 5 und 6

(1) Das Bundesamt darf zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes

1.
Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen, erheben und automatisiert auswerten, soweit dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern bei der Kommunikationstechnik des Bundes oder von Angriffen auf die Informationstechnik des Bundes erforderlich ist,
2.
die an den Schnittstellen der Kommunikationstechnik des Bundes anfallenden Daten automatisiert auswerten, soweit dies für die Erkennung und Abwehr von Schadprogrammen erforderlich ist.
Sofern nicht die nachfolgenden Absätze eine weitere Verwendung gestatten, muss die automatisierte Auswertung dieser Daten unverzüglich erfolgen und müssen diese nach erfolgtem Abgleich sofort und spurenlos gelöscht werden. Die Verwendungsbeschränkungen gelten nicht für Protokolldaten, sofern diese weder personenbezogene noch dem Fernmeldegeheimnis unterliegende Daten beinhalten. Die Bundesbehörden sind verpflichtet, das Bundesamt bei Maßnahmen nach Satz 1 zu unterstützen und hierbei den Zugang des Bundesamtes zu behördeninternen Protokolldaten nach Satz 1 Nummer 1 sowie Schnittstellendaten nach Satz 1 Nummer 2 sicherzustellen. Protokolldaten der Bundesgerichte dürfen nur in deren Einvernehmen erhoben werden.

(2) Protokolldaten nach Absatz 1 Satz 1 Nummer 1 dürfen über den für die automatisierte Auswertung nach Absatz 1 Satz 1 Nummer 1 erforderlichen Zeitraum hinaus, längstens jedoch für drei Monate, gespeichert werden, soweit tatsächliche Anhaltspunkte bestehen, dass diese für den Fall der Bestätigung eines Verdachts nach Absatz 3 Satz 2 zur Abwehr von Gefahren, die von dem gefundenen Schadprogramm ausgehen oder zur Erkennung und Abwehr anderer Schadprogramme erforderlich sein können. Durch organisatorische und technische Maßnahmen ist sicherzustellen, dass eine Auswertung der nach diesem Absatz gespeicherten Daten nur automatisiert erfolgt. Die Daten sind zu pseudonymisieren, soweit dies automatisiert möglich ist. Eine nicht automatisierte Auswertung oder eine personenbezogene Verwendung ist nur nach Maßgabe der nachfolgenden Absätze zulässig. Soweit hierzu die Wiederherstellung des Personenbezugs pseudonymisierter Daten erforderlich ist, muss diese durch den Präsidenten des Bundesamtes angeordnet werden. Die Entscheidung ist zu protokollieren.

(3) Eine über die Absätze 1 und 2 hinausgehende Verwendung personenbezogener Daten ist nur zulässig, wenn bestimmte Tatsachen den Verdacht begründen, dass

1.
diese ein Schadprogramm enthalten,
2.
diese durch ein Schadprogramm übermittelt wurden oder
3.
sich aus ihnen Hinweise auf ein Schadprogramm ergeben können,
und soweit die Datenverarbeitung erforderlich ist, um den Verdacht zu bestätigen oder zu widerlegen. Im Falle der Bestätigung ist die weitere Verarbeitung personenbezogener Daten zulässig, soweit dies
1.
zur Abwehr des Schadprogramms,
2.
zur Abwehr von Gefahren, die von dem aufgefundenen Schadprogramm ausgehen, oder
3.
zur Erkennung und Abwehr anderer Schadprogramme erforderlich ist.
Ein Schadprogramm kann beseitigt oder in seiner Funktionsweise gehindert werden. Die nicht automatisierte Verwendung der Daten nach den Sätzen 1 und 2 darf nur durch einen Bediensteten des Bundesamtes mit der Befähigung zum Richteramt angeordnet werden.

(4) Die Beteiligten des Kommunikationsvorgangs sind spätestens nach dem Erkennen und der Abwehr eines Schadprogramms oder von Gefahren, die von einem Schadprogramm ausgehen, zu benachrichtigen, wenn sie bekannt sind oder ihre Identifikation ohne unverhältnismäßige weitere Ermittlungen möglich ist und nicht überwiegende schutzwürdige Belange Dritter entgegenstehen. Die Unterrichtung kann unterbleiben, wenn die Person nur unerheblich betroffen wurde, und anzunehmen ist, dass sie an einer Benachrichtigung kein Interesse hat. Das Bundesamt legt Fälle, in denen es von einer Benachrichtigung absieht, dem behördlichen Datenschutzbeauftragten des Bundesamtes sowie einem weiteren Bediensteten des Bundesamtes, der die Befähigung zum Richteramt hat, zur Kontrolle vor. Der behördliche Datenschutzbeauftragte ist bei Ausübung dieser Aufgabe weisungsfrei und darf deswegen nicht benachteiligt werden (§ 4f Absatz 3 des Bundesdatenschutzgesetzes). Wenn der behördliche Datenschutzbeauftragte der Entscheidung des Bundesamtes widerspricht, ist die Benachrichtigung nachzuholen. Die Entscheidung über die Nichtbenachrichtigung ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist nach zwölf Monaten zu löschen. In den Fällen der Absätze 5 und 6 erfolgt die Benachrichtigung durch die dort genannten Behörden in entsprechender Anwendung der für diese Behörden geltenden Vorschriften. Enthalten diese keine Bestimmungen zu Benachrichtigungspflichten, sind die Vorschriften der Strafprozessordnung entsprechend anzuwenden.

(5) Das Bundesamt kann die nach Absatz 3 verwendeten personenbezogenen Daten an die Strafverfolgungsbehörden zur Verfolgung einer mittels eines Schadprogramms begangenen Straftat nach den §§ 202a, 202b, 303a oder 303b des Strafgesetzbuches übermitteln. Es kann diese Daten ferner übermitteln

1.
zur Abwehr einer Gefahr für die öffentliche Sicherheit, die unmittelbar von einem Schadprogramm ausgeht, an die Polizeien des Bundes und der Länder,
2.
zur Unterrichtung über Tatsachen, die sicherheitsgefährdende oder geheimdienstliche Tätigkeiten für eine fremde Macht erkennen lassen, an das Bundesamt für Verfassungsschutz sowie an den Militärischen Abschirmdienst, wenn sich diese Tätigkeiten gegen Personen, Dienststellen oder Einrichtungen im Geschäftsbereich des Bundesministeriums der Verteidigung richten,
3.
zur Unterrichtung über Tatsachen, die einen internationalen kriminellen, terroristischen oder staatlichen Angriff mittels Schadprogrammen oder vergleichbaren schädlich wirkenden informationstechnischen Mitteln auf die Vertraulichkeit, Integrität oder Verfügbarkeit von IT-Systemen in Fällen von erheblicher Bedeutung mit Bezug zur Bundesrepublik Deutschland erkennen lassen, an den Bundesnachrichtendienst.

(6) Für sonstige Zwecke kann das Bundesamt die Daten übermitteln

1.
an die Strafverfolgungsbehörden zur Verfolgung einer Straftat von auch im Einzelfall erheblicher Bedeutung, insbesondere einer in § 100a Absatz 2 der Strafprozessordnung bezeichneten Straftat,
2.
an die Polizeien des Bundes und der Länder zur Abwehr einer Gefahr für den Bestand oder die Sicherheit des Staates oder Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhalt im öffentlichen Interesse geboten ist,
3.
an die Verfassungsschutzbehörden des Bundes und der Länder sowie an den Militärischen Abschirmdienst, wenn tatsächliche Anhaltspunkte für Bestrebungen in der Bundesrepublik Deutschland vorliegen, die durch Anwendung von Gewalt oder darauf gerichtete Vorbereitungshandlungen gegen die in § 3 Absatz 1 des Bundesverfassungsschutzgesetzes beziehungsweise § 1 Absatz 1 des Gesetzes über den Militärischen Abschirmdienst genannten Schutzgüter gerichtetsind,
4.
an den Bundesnachrichtendienst, wenn tatsächliche Anhaltspunkte für den Verdacht bestehen, dass jemand Straftaten nach § 3 Absatz 1 Nummer 8 des Artikel 10-Gesetzes plant, begeht oder begangen hat und dies von außen- und sicherheitspolitischer Bedeutung für die Bundesrepublik Deutschland ist.
Die Übermittlung nach Satz 1 Nummer 1 und 2 bedarf der vorherigen gerichtlichen Zustimmung. Für das Verfahren nach Satz 1 Nummer 1 und 2 gelten die Vorschriften des Gesetzes über das Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen Gerichtsbarkeit entsprechend. Zuständig ist das Amtsgericht, in dessen Bezirk das Bundesamt seinen Sitz hat. Die Übermittlung nach Satz 1 Nummer 3 und Nummer 4 erfolgt nach Zustimmung des Bundesministeriums des Innern; die §§ 9 bis 16 des Artikel 10-Gesetzes gelten entsprechend.

(7) Eine über die vorstehenden Absätze hinausgehende inhaltliche Auswertung zu anderen Zwecken und die Weitergabe von personenbezogenen Daten an Dritte sind unzulässig. Soweit möglich, ist technisch sicherzustellen, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden. Werden aufgrund der Maßnahmen der Absätze 1 bis 3 Erkenntnisse aus dem Kernbereich privater Lebensgestaltung oder Daten im Sinne des § 3 Absatz 9 des Bundesdatenschutzgesetzes erlangt, dürfen diese nicht verwendet werden. Erkenntnisse aus dem Kernbereich privater Lebensgestaltung sind unverzüglich zu löschen. Dies gilt auch in Zweifelsfällen. Die Tatsache ihrer Erlangung und Löschung ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist zu löschen, wenn sie für diese Zwecke nicht mehr erforderlich ist, spätestens jedoch am Ende des Kalenderjahres, das dem Jahr der Dokumentation folgt. Werden im Rahmen der Absätze 4 oder 5 Inhalte oder Umstände der Kommunikation von in § 53 Absatz 1 Satz 1 der Strafprozessordnung genannten Personen übermittelt, auf die sich das Zeugnisverweigerungsrecht der genannten Personen erstreckt, ist die Verwertung dieser Daten zu Beweiszwecken in einem Strafverfahren nur insoweit zulässig, als Gegenstand dieses Strafverfahrens eine Straftat ist, die im Höchstmaß mit mindestens fünf Jahren Freiheitsstrafe bedroht ist.

(8) Vor Aufnahme der Datenerhebung und -verwendung hat das Bundesamt ein Datenerhebungs- und -verwendungskonzept zu erstellen und für Kontrollen durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit bereitzuhalten. Das Konzept hat dem besonderen Schutzbedürfnis der Regierungskommunikation Rechnung zu tragen. Die für die automatisierte Auswertung verwendeten Kriterien sind zu dokumentieren. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit teilt das Ergebnis seiner Kontrollen nach § 24 des Bundesdatenschutzgesetzes auch dem Rat der IT-Beauftragten der Bundesregierung mit.

(9) Das Bundesamt unterrichtet den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres über

1.
die Anzahl der Vorgänge, in denen Daten nach Absatz 5 Satz 1, Absatz 5 Satz 2 Nummer 1 oder Absatz 6 Nummer 1 übermittelt wurden, aufgegliedert nach den einzelnen Übermittlungsbefugnissen,
2.
die Anzahl der personenbezogenen Auswertungen nach Absatz 3 Satz 1, in denen der Verdacht widerlegt wurde,
3.
die Anzahl der Fälle, in denen das Bundesamt nach Absatz 4 Satz 2 oder 3 von einer Benachrichtigung der Betroffenen abgesehen hat.

(10) Das Bundesamt unterrichtet kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres den Innenausschuss des Deutschen Bundestages über die Anwendung dieser Vorschrift.

übermittelt werden. Zugang zu den in Verfahren nach Absatz 1 geführten Akten wird Dritten nicht gewährt.

(5) Das Bundesamt kann sich bei Maßnahmen nach Absatz 1 mit der Einwilligung des Ersuchenden der Hilfe qualifizierter Dritter bedienen, wenn dies zur rechtzeitigen oder vollständigen Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems erforderlich ist. Die hierdurch entstehenden Kosten hat der Ersuchende zu tragen. Das Bundesamt kann den Ersuchenden auch auf qualifizierte Dritte verweisen. Das Bundesamt und vom Ersuchenden oder vom Bundesamt nach Satz 1 beauftragte Dritte können einander bei Maßnahmen nach Absatz 1 mit der Einwilligung des Ersuchenden Daten übermitteln. Hierfür gilt Absatz 3 entsprechend.

(6) Soweit es zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des informationstechnischen Systems erforderlich ist, kann das Bundesamt vom Hersteller des informationstechnischen Systems verlangen, an der Wiederherstellung der Sicherheit oder Funktionsfähigkeit mitzuwirken.

(7) In begründeten Einzelfällen kann das Bundesamt auch bei anderen als den in Absatz 1 genannten Einrichtungen tätig werden, wenn es darum ersucht wurde und es sich um einen herausgehobenen Fall im Sinne des Absatzes 2 handelt.

(8) Im Falle von Anlagen oder Tätigkeiten, die einer Genehmigung nach dem Atomgesetz bedürfen, ist in Fällen der Absätze 1, 4, 5 und 7 vor Tätigwerden des Bundesamtes das Benehmen mit den zuständigen atomrechtlichen Aufsichtsbehörden des Bundes und der Länder herzustellen. Im Falle von Anlagen oder Tätigkeiten, die einer Genehmigung nach dem Atomgesetz bedürfen, haben bei Maßnahmen des Bundesamtes nach § 5a

(1) Handelt es sich bei einer Beeinträchtigung der Sicherheit oder Funktionsfähigkeit eines informationstechnischen Systems einer Stelle des Bundes oder eines Betreibers einer Kritischen Infrastruktur um einen herausgehobenen Fall, so kann das Bundesamt auf Ersuchen der betroffenen Stelle oder des betroffenen Betreibers die Maßnahmen treffen, die zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems erforderlich sind. Soweit das Bundesamt erste Maßnahmen zur Schadensbegrenzung und Sicherstellung des Notbetriebes vor Ort ergreift, werden hierfür keine Gebühren oder Auslagen für die Tätigkeit des Bundesamtes erhoben. Hiervon unberührt bleiben etwaige Kosten für die Hinzuziehung qualifizierter Dritter.

(2) Ein herausgehobener Fall nach Absatz 1 liegt insbesondere dann vor, wenn es sich um einen Angriff von besonderer technischer Qualität handelt oder die zügige Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems von besonderem öffentlichem Interesse ist.

(3) Das Bundesamt darf bei Maßnahmen nach Absatz 1 personenbezogene oder dem Fernmeldegeheimnis unterliegende Daten erheben und verarbeiten, soweit dies zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems erforderlich und angemessen ist. Die Daten sind unverzüglich zu löschen, sobald sie für die Wiederherstellung der Sicherheit oder Funktionsfähigkeit des informationstechnischen Systems nicht mehr benötigt werden. Wenn die Daten in Fällen des Absatzes 4 an eine andere Behörde zur Erfüllung von deren gesetzlichen Aufgaben weitergegeben worden sind, darf das Bundesamt die Daten abweichend von Satz 2 bis zur Beendigung der Unterstützung dieser Behörden weiterverarbeiten. Eine Nutzung zu anderen Zwecken ist unzulässig. § 5 Absatz 7 ist entsprechend anzuwenden. Im Übrigen sind die Regelungen des Bundesdatenschutzgesetzes anzuwenden.

(4) Das Bundesamt darf Informationen, von denen es im Rahmen dieser Vorschrift Kenntnis erlangt, nur mit Einwilligung des Ersuchenden weitergeben, es sei denn, die Informationen lassen keine Rückschlüsse auf die Identität des Ersuchenden zu oder die Informationen können entsprechend § 5 Absatz 5 und 6 übermittelt werden. Zugang zu den in Verfahren nach Absatz 1 geführten Akten wird Dritten nicht gewährt.

(5) Das Bundesamt kann sich bei Maßnahmen nach Absatz 1 mit der Einwilligung des Ersuchenden der Hilfe qualifizierter Dritter bedienen, wenn dies zur rechtzeitigen oder vollständigen Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems erforderlich ist. Die hierdurch entstehenden Kosten hat der Ersuchende zu tragen. Das Bundesamt kann den Ersuchenden auch auf qualifizierte Dritte verweisen. Das Bundesamt und vom Ersuchenden oder vom Bundesamt nach Satz 1 beauftragte Dritte können einander bei Maßnahmen nach Absatz 1 mit der Einwilligung des Ersuchenden Daten übermitteln. Hierfür gilt Absatz 3 entsprechend.

(6) Soweit es zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des informationstechnischen Systems erforderlich ist, kann das Bundesamt vom Hersteller des informationstechnischen Systems verlangen, an der Wiederherstellung der Sicherheit oder Funktionsfähigkeit mitzuwirken.

(7) In begründeten Einzelfällen kann das Bundesamt auch bei anderen als den in Absatz 1 genannten Einrichtungen tätig werden, wenn es darum ersucht wurde und es sich um einen herausgehobenen Fall im Sinne des Absatzes 2 handelt.

(8) Im Falle von Anlagen oder Tätigkeiten, die einer Genehmigung nach dem Atomgesetz bedürfen, ist in Fällen der Absätze 1, 4, 5 und 7 vor Tätigwerden des Bundesamtes das Benehmen mit den zuständigen atomrechtlichen Aufsichtsbehörden des Bundes und der Länder herzustellen. Im Falle von Anlagen oder Tätigkeiten, die einer Genehmigung nach dem Atomgesetz bedürfen, haben bei Maßnahmen des Bundesamtes nach § 5a die Vorgaben aufgrund des Atomgesetzes Vorrang.

die Vorgaben aufgrund des Atomgesetzes Vorrang.

§ 6 Löschung

Soweit das Bundesamt im Rahmen seiner Befugnisse personenbezogene Daten erhebt, sind diese unverzüglich zu löschen, sobald sie für die Erfüllung der Aufgaben, für die sie erhoben worden sind, oder für eine etwaige gerichtliche Überprüfung nicht mehr benötigt werden. Soweit die Löschung lediglich für eine etwaige gerichtliche Überprüfung von Maßnahmen nach § 5 Absatz 3

(1) Das Bundesamt darf zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes

1.
Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen, erheben und automatisiert auswerten, soweit dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern bei der Kommunikationstechnik des Bundes oder von Angriffen auf die Informationstechnik des Bundes erforderlich ist,
2.
die an den Schnittstellen der Kommunikationstechnik des Bundes anfallenden Daten automatisiert auswerten, soweit dies für die Erkennung und Abwehr von Schadprogrammen erforderlich ist.
Sofern nicht die nachfolgenden Absätze eine weitere Verwendung gestatten, muss die automatisierte Auswertung dieser Daten unverzüglich erfolgen und müssen diese nach erfolgtem Abgleich sofort und spurenlos gelöscht werden. Die Verwendungsbeschränkungen gelten nicht für Protokolldaten, sofern diese weder personenbezogene noch dem Fernmeldegeheimnis unterliegende Daten beinhalten. Die Bundesbehörden sind verpflichtet, das Bundesamt bei Maßnahmen nach Satz 1 zu unterstützen und hierbei den Zugang des Bundesamtes zu behördeninternen Protokolldaten nach Satz 1 Nummer 1 sowie Schnittstellendaten nach Satz 1 Nummer 2 sicherzustellen. Protokolldaten der Bundesgerichte dürfen nur in deren Einvernehmen erhoben werden.

(2) Protokolldaten nach Absatz 1 Satz 1 Nummer 1 dürfen über den für die automatisierte Auswertung nach Absatz 1 Satz 1 Nummer 1 erforderlichen Zeitraum hinaus, längstens jedoch für drei Monate, gespeichert werden, soweit tatsächliche Anhaltspunkte bestehen, dass diese für den Fall der Bestätigung eines Verdachts nach Absatz 3 Satz 2 zur Abwehr von Gefahren, die von dem gefundenen Schadprogramm ausgehen oder zur Erkennung und Abwehr anderer Schadprogramme erforderlich sein können. Durch organisatorische und technische Maßnahmen ist sicherzustellen, dass eine Auswertung der nach diesem Absatz gespeicherten Daten nur automatisiert erfolgt. Die Daten sind zu pseudonymisieren, soweit dies automatisiert möglich ist. Eine nicht automatisierte Auswertung oder eine personenbezogene Verwendung ist nur nach Maßgabe der nachfolgenden Absätze zulässig. Soweit hierzu die Wiederherstellung des Personenbezugs pseudonymisierter Daten erforderlich ist, muss diese durch den Präsidenten des Bundesamtes angeordnet werden. Die Entscheidung ist zu protokollieren.

(3) Eine über die Absätze 1 und 2 hinausgehende Verwendung personenbezogener Daten ist nur zulässig, wenn bestimmte Tatsachen den Verdacht begründen, dass

1.
diese ein Schadprogramm enthalten,
2.
diese durch ein Schadprogramm übermittelt wurden oder
3.
sich aus ihnen Hinweise auf ein Schadprogramm ergeben können,
und soweit die Datenverarbeitung erforderlich ist, um den Verdacht zu bestätigen oder zu widerlegen. Im Falle der Bestätigung ist die weitere Verarbeitung personenbezogener Daten zulässig, soweit dies
1.
zur Abwehr des Schadprogramms,
2.
zur Abwehr von Gefahren, die von dem aufgefundenen Schadprogramm ausgehen, oder
3.
zur Erkennung und Abwehr anderer Schadprogramme erforderlich ist.
Ein Schadprogramm kann beseitigt oder in seiner Funktionsweise gehindert werden. Die nicht automatisierte Verwendung der Daten nach den Sätzen 1 und 2 darf nur durch einen Bediensteten des Bundesamtes mit der Befähigung zum Richteramt angeordnet werden.

(4) Die Beteiligten des Kommunikationsvorgangs sind spätestens nach dem Erkennen und der Abwehr eines Schadprogramms oder von Gefahren, die von einem Schadprogramm ausgehen, zu benachrichtigen, wenn sie bekannt sind oder ihre Identifikation ohne unverhältnismäßige weitere Ermittlungen möglich ist und nicht überwiegende schutzwürdige Belange Dritter entgegenstehen. Die Unterrichtung kann unterbleiben, wenn die Person nur unerheblich betroffen wurde, und anzunehmen ist, dass sie an einer Benachrichtigung kein Interesse hat. Das Bundesamt legt Fälle, in denen es von einer Benachrichtigung absieht, dem behördlichen Datenschutzbeauftragten des Bundesamtes sowie einem weiteren Bediensteten des Bundesamtes, der die Befähigung zum Richteramt hat, zur Kontrolle vor. Der behördliche Datenschutzbeauftragte ist bei Ausübung dieser Aufgabe weisungsfrei und darf deswegen nicht benachteiligt werden (§ 4f Absatz 3 des Bundesdatenschutzgesetzes). Wenn der behördliche Datenschutzbeauftragte der Entscheidung des Bundesamtes widerspricht, ist die Benachrichtigung nachzuholen. Die Entscheidung über die Nichtbenachrichtigung ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist nach zwölf Monaten zu löschen. In den Fällen der Absätze 5 und 6 erfolgt die Benachrichtigung durch die dort genannten Behörden in entsprechender Anwendung der für diese Behörden geltenden Vorschriften. Enthalten diese keine Bestimmungen zu Benachrichtigungspflichten, sind die Vorschriften der Strafprozessordnung entsprechend anzuwenden.

(5) Das Bundesamt kann die nach Absatz 3 verwendeten personenbezogenen Daten an die Strafverfolgungsbehörden zur Verfolgung einer mittels eines Schadprogramms begangenen Straftat nach den §§ 202a, 202b, 303a oder 303b des Strafgesetzbuches übermitteln. Es kann diese Daten ferner übermitteln

1.
zur Abwehr einer Gefahr für die öffentliche Sicherheit, die unmittelbar von einem Schadprogramm ausgeht, an die Polizeien des Bundes und der Länder,
2.
zur Unterrichtung über Tatsachen, die sicherheitsgefährdende oder geheimdienstliche Tätigkeiten für eine fremde Macht erkennen lassen, an das Bundesamt für Verfassungsschutz sowie an den Militärischen Abschirmdienst, wenn sich diese Tätigkeiten gegen Personen, Dienststellen oder Einrichtungen im Geschäftsbereich des Bundesministeriums der Verteidigung richten,
3.
zur Unterrichtung über Tatsachen, die einen internationalen kriminellen, terroristischen oder staatlichen Angriff mittels Schadprogrammen oder vergleichbaren schädlich wirkenden informationstechnischen Mitteln auf die Vertraulichkeit, Integrität oder Verfügbarkeit von IT-Systemen in Fällen von erheblicher Bedeutung mit Bezug zur Bundesrepublik Deutschland erkennen lassen, an den Bundesnachrichtendienst.

(6) Für sonstige Zwecke kann das Bundesamt die Daten übermitteln

1.
an die Strafverfolgungsbehörden zur Verfolgung einer Straftat von auch im Einzelfall erheblicher Bedeutung, insbesondere einer in § 100a Absatz 2 der Strafprozessordnung bezeichneten Straftat,
2.
an die Polizeien des Bundes und der Länder zur Abwehr einer Gefahr für den Bestand oder die Sicherheit des Staates oder Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhalt im öffentlichen Interesse geboten ist,
3.
an die Verfassungsschutzbehörden des Bundes und der Länder sowie an den Militärischen Abschirmdienst, wenn tatsächliche Anhaltspunkte für Bestrebungen in der Bundesrepublik Deutschland vorliegen, die durch Anwendung von Gewalt oder darauf gerichtete Vorbereitungshandlungen gegen die in § 3 Absatz 1 des Bundesverfassungsschutzgesetzes beziehungsweise § 1 Absatz 1 des Gesetzes über den Militärischen Abschirmdienst genannten Schutzgüter gerichtetsind,
4.
an den Bundesnachrichtendienst, wenn tatsächliche Anhaltspunkte für den Verdacht bestehen, dass jemand Straftaten nach § 3 Absatz 1 Nummer 8 des Artikel 10-Gesetzes plant, begeht oder begangen hat und dies von außen- und sicherheitspolitischer Bedeutung für die Bundesrepublik Deutschland ist.
Die Übermittlung nach Satz 1 Nummer 1 und 2 bedarf der vorherigen gerichtlichen Zustimmung. Für das Verfahren nach Satz 1 Nummer 1 und 2 gelten die Vorschriften des Gesetzes über das Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen Gerichtsbarkeit entsprechend. Zuständig ist das Amtsgericht, in dessen Bezirk das Bundesamt seinen Sitz hat. Die Übermittlung nach Satz 1 Nummer 3 und Nummer 4 erfolgt nach Zustimmung des Bundesministeriums des Innern; die §§ 9 bis 16 des Artikel 10-Gesetzes gelten entsprechend.

(7) Eine über die vorstehenden Absätze hinausgehende inhaltliche Auswertung zu anderen Zwecken und die Weitergabe von personenbezogenen Daten an Dritte sind unzulässig. Soweit möglich, ist technisch sicherzustellen, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden. Werden aufgrund der Maßnahmen der Absätze 1 bis 3 Erkenntnisse aus dem Kernbereich privater Lebensgestaltung oder Daten im Sinne des § 3 Absatz 9 des Bundesdatenschutzgesetzes erlangt, dürfen diese nicht verwendet werden. Erkenntnisse aus dem Kernbereich privater Lebensgestaltung sind unverzüglich zu löschen. Dies gilt auch in Zweifelsfällen. Die Tatsache ihrer Erlangung und Löschung ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist zu löschen, wenn sie für diese Zwecke nicht mehr erforderlich ist, spätestens jedoch am Ende des Kalenderjahres, das dem Jahr der Dokumentation folgt. Werden im Rahmen der Absätze 4 oder 5 Inhalte oder Umstände der Kommunikation von in § 53 Absatz 1 Satz 1 der Strafprozessordnung genannten Personen übermittelt, auf die sich das Zeugnisverweigerungsrecht der genannten Personen erstreckt, ist die Verwertung dieser Daten zu Beweiszwecken in einem Strafverfahren nur insoweit zulässig, als Gegenstand dieses Strafverfahrens eine Straftat ist, die im Höchstmaß mit mindestens fünf Jahren Freiheitsstrafe bedroht ist.

(8) Vor Aufnahme der Datenerhebung und -verwendung hat das Bundesamt ein Datenerhebungs- und -verwendungskonzept zu erstellen und für Kontrollen durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit bereitzuhalten. Das Konzept hat dem besonderen Schutzbedürfnis der Regierungskommunikation Rechnung zu tragen. Die für die automatisierte Auswertung verwendeten Kriterien sind zu dokumentieren. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit teilt das Ergebnis seiner Kontrollen nach § 24 des Bundesdatenschutzgesetzes auch dem Rat der IT-Beauftragten der Bundesregierung mit.

(9) Das Bundesamt unterrichtet den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres über

1.
die Anzahl der Vorgänge, in denen Daten nach Absatz 5 Satz 1, Absatz 5 Satz 2 Nummer 1 oder Absatz 6 Nummer 1 übermittelt wurden, aufgegliedert nach den einzelnen Übermittlungsbefugnissen,
2.
die Anzahl der personenbezogenen Auswertungen nach Absatz 3 Satz 1, in denen der Verdacht widerlegt wurde,
3.
die Anzahl der Fälle, in denen das Bundesamt nach Absatz 4 Satz 2 oder 3 von einer Benachrichtigung der Betroffenen abgesehen hat.

(10) Das Bundesamt unterrichtet kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres den Innenausschuss des Deutschen Bundestages über die Anwendung dieser Vorschrift.

zurückgestellt ist, dürfen die Daten ohne Einwilligung des Betroffenen nur zu diesem Zweck verwendet werden; sie sind für andere Zwecke zu sperren. § 5 Absatz 7

(1) Das Bundesamt darf zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes

1.
Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen, erheben und automatisiert auswerten, soweit dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern bei der Kommunikationstechnik des Bundes oder von Angriffen auf die Informationstechnik des Bundes erforderlich ist,
2.
die an den Schnittstellen der Kommunikationstechnik des Bundes anfallenden Daten automatisiert auswerten, soweit dies für die Erkennung und Abwehr von Schadprogrammen erforderlich ist.
Sofern nicht die nachfolgenden Absätze eine weitere Verwendung gestatten, muss die automatisierte Auswertung dieser Daten unverzüglich erfolgen und müssen diese nach erfolgtem Abgleich sofort und spurenlos gelöscht werden. Die Verwendungsbeschränkungen gelten nicht für Protokolldaten, sofern diese weder personenbezogene noch dem Fernmeldegeheimnis unterliegende Daten beinhalten. Die Bundesbehörden sind verpflichtet, das Bundesamt bei Maßnahmen nach Satz 1 zu unterstützen und hierbei den Zugang des Bundesamtes zu behördeninternen Protokolldaten nach Satz 1 Nummer 1 sowie Schnittstellendaten nach Satz 1 Nummer 2 sicherzustellen. Protokolldaten der Bundesgerichte dürfen nur in deren Einvernehmen erhoben werden.

(2) Protokolldaten nach Absatz 1 Satz 1 Nummer 1 dürfen über den für die automatisierte Auswertung nach Absatz 1 Satz 1 Nummer 1 erforderlichen Zeitraum hinaus, längstens jedoch für drei Monate, gespeichert werden, soweit tatsächliche Anhaltspunkte bestehen, dass diese für den Fall der Bestätigung eines Verdachts nach Absatz 3 Satz 2 zur Abwehr von Gefahren, die von dem gefundenen Schadprogramm ausgehen oder zur Erkennung und Abwehr anderer Schadprogramme erforderlich sein können. Durch organisatorische und technische Maßnahmen ist sicherzustellen, dass eine Auswertung der nach diesem Absatz gespeicherten Daten nur automatisiert erfolgt. Die Daten sind zu pseudonymisieren, soweit dies automatisiert möglich ist. Eine nicht automatisierte Auswertung oder eine personenbezogene Verwendung ist nur nach Maßgabe der nachfolgenden Absätze zulässig. Soweit hierzu die Wiederherstellung des Personenbezugs pseudonymisierter Daten erforderlich ist, muss diese durch den Präsidenten des Bundesamtes angeordnet werden. Die Entscheidung ist zu protokollieren.

(3) Eine über die Absätze 1 und 2 hinausgehende Verwendung personenbezogener Daten ist nur zulässig, wenn bestimmte Tatsachen den Verdacht begründen, dass

1.
diese ein Schadprogramm enthalten,
2.
diese durch ein Schadprogramm übermittelt wurden oder
3.
sich aus ihnen Hinweise auf ein Schadprogramm ergeben können,
und soweit die Datenverarbeitung erforderlich ist, um den Verdacht zu bestätigen oder zu widerlegen. Im Falle der Bestätigung ist die weitere Verarbeitung personenbezogener Daten zulässig, soweit dies
1.
zur Abwehr des Schadprogramms,
2.
zur Abwehr von Gefahren, die von dem aufgefundenen Schadprogramm ausgehen, oder
3.
zur Erkennung und Abwehr anderer Schadprogramme erforderlich ist.
Ein Schadprogramm kann beseitigt oder in seiner Funktionsweise gehindert werden. Die nicht automatisierte Verwendung der Daten nach den Sätzen 1 und 2 darf nur durch einen Bediensteten des Bundesamtes mit der Befähigung zum Richteramt angeordnet werden.

(4) Die Beteiligten des Kommunikationsvorgangs sind spätestens nach dem Erkennen und der Abwehr eines Schadprogramms oder von Gefahren, die von einem Schadprogramm ausgehen, zu benachrichtigen, wenn sie bekannt sind oder ihre Identifikation ohne unverhältnismäßige weitere Ermittlungen möglich ist und nicht überwiegende schutzwürdige Belange Dritter entgegenstehen. Die Unterrichtung kann unterbleiben, wenn die Person nur unerheblich betroffen wurde, und anzunehmen ist, dass sie an einer Benachrichtigung kein Interesse hat. Das Bundesamt legt Fälle, in denen es von einer Benachrichtigung absieht, dem behördlichen Datenschutzbeauftragten des Bundesamtes sowie einem weiteren Bediensteten des Bundesamtes, der die Befähigung zum Richteramt hat, zur Kontrolle vor. Der behördliche Datenschutzbeauftragte ist bei Ausübung dieser Aufgabe weisungsfrei und darf deswegen nicht benachteiligt werden (§ 4f Absatz 3 des Bundesdatenschutzgesetzes). Wenn der behördliche Datenschutzbeauftragte der Entscheidung des Bundesamtes widerspricht, ist die Benachrichtigung nachzuholen. Die Entscheidung über die Nichtbenachrichtigung ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist nach zwölf Monaten zu löschen. In den Fällen der Absätze 5 und 6 erfolgt die Benachrichtigung durch die dort genannten Behörden in entsprechender Anwendung der für diese Behörden geltenden Vorschriften. Enthalten diese keine Bestimmungen zu Benachrichtigungspflichten, sind die Vorschriften der Strafprozessordnung entsprechend anzuwenden.

(5) Das Bundesamt kann die nach Absatz 3 verwendeten personenbezogenen Daten an die Strafverfolgungsbehörden zur Verfolgung einer mittels eines Schadprogramms begangenen Straftat nach den §§ 202a, 202b, 303a oder 303b des Strafgesetzbuches übermitteln. Es kann diese Daten ferner übermitteln

1.
zur Abwehr einer Gefahr für die öffentliche Sicherheit, die unmittelbar von einem Schadprogramm ausgeht, an die Polizeien des Bundes und der Länder,
2.
zur Unterrichtung über Tatsachen, die sicherheitsgefährdende oder geheimdienstliche Tätigkeiten für eine fremde Macht erkennen lassen, an das Bundesamt für Verfassungsschutz sowie an den Militärischen Abschirmdienst, wenn sich diese Tätigkeiten gegen Personen, Dienststellen oder Einrichtungen im Geschäftsbereich des Bundesministeriums der Verteidigung richten,
3.
zur Unterrichtung über Tatsachen, die einen internationalen kriminellen, terroristischen oder staatlichen Angriff mittels Schadprogrammen oder vergleichbaren schädlich wirkenden informationstechnischen Mitteln auf die Vertraulichkeit, Integrität oder Verfügbarkeit von IT-Systemen in Fällen von erheblicher Bedeutung mit Bezug zur Bundesrepublik Deutschland erkennen lassen, an den Bundesnachrichtendienst.

(6) Für sonstige Zwecke kann das Bundesamt die Daten übermitteln

1.
an die Strafverfolgungsbehörden zur Verfolgung einer Straftat von auch im Einzelfall erheblicher Bedeutung, insbesondere einer in § 100a Absatz 2 der Strafprozessordnung bezeichneten Straftat,
2.
an die Polizeien des Bundes und der Länder zur Abwehr einer Gefahr für den Bestand oder die Sicherheit des Staates oder Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhalt im öffentlichen Interesse geboten ist,
3.
an die Verfassungsschutzbehörden des Bundes und der Länder sowie an den Militärischen Abschirmdienst, wenn tatsächliche Anhaltspunkte für Bestrebungen in der Bundesrepublik Deutschland vorliegen, die durch Anwendung von Gewalt oder darauf gerichtete Vorbereitungshandlungen gegen die in § 3 Absatz 1 des Bundesverfassungsschutzgesetzes beziehungsweise § 1 Absatz 1 des Gesetzes über den Militärischen Abschirmdienst genannten Schutzgüter gerichtetsind,
4.
an den Bundesnachrichtendienst, wenn tatsächliche Anhaltspunkte für den Verdacht bestehen, dass jemand Straftaten nach § 3 Absatz 1 Nummer 8 des Artikel 10-Gesetzes plant, begeht oder begangen hat und dies von außen- und sicherheitspolitischer Bedeutung für die Bundesrepublik Deutschland ist.
Die Übermittlung nach Satz 1 Nummer 1 und 2 bedarf der vorherigen gerichtlichen Zustimmung. Für das Verfahren nach Satz 1 Nummer 1 und 2 gelten die Vorschriften des Gesetzes über das Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen Gerichtsbarkeit entsprechend. Zuständig ist das Amtsgericht, in dessen Bezirk das Bundesamt seinen Sitz hat. Die Übermittlung nach Satz 1 Nummer 3 und Nummer 4 erfolgt nach Zustimmung des Bundesministeriums des Innern; die §§ 9 bis 16 des Artikel 10-Gesetzes gelten entsprechend.

(7) Eine über die vorstehenden Absätze hinausgehende inhaltliche Auswertung zu anderen Zwecken und die Weitergabe von personenbezogenen Daten an Dritte sind unzulässig. Soweit möglich, ist technisch sicherzustellen, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden. Werden aufgrund der Maßnahmen der Absätze 1 bis 3 Erkenntnisse aus dem Kernbereich privater Lebensgestaltung oder Daten im Sinne des § 3 Absatz 9 des Bundesdatenschutzgesetzes erlangt, dürfen diese nicht verwendet werden. Erkenntnisse aus dem Kernbereich privater Lebensgestaltung sind unverzüglich zu löschen. Dies gilt auch in Zweifelsfällen. Die Tatsache ihrer Erlangung und Löschung ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist zu löschen, wenn sie für diese Zwecke nicht mehr erforderlich ist, spätestens jedoch am Ende des Kalenderjahres, das dem Jahr der Dokumentation folgt. Werden im Rahmen der Absätze 4 oder 5 Inhalte oder Umstände der Kommunikation von in § 53 Absatz 1 Satz 1 der Strafprozessordnung genannten Personen übermittelt, auf die sich das Zeugnisverweigerungsrecht der genannten Personen erstreckt, ist die Verwertung dieser Daten zu Beweiszwecken in einem Strafverfahren nur insoweit zulässig, als Gegenstand dieses Strafverfahrens eine Straftat ist, die im Höchstmaß mit mindestens fünf Jahren Freiheitsstrafe bedroht ist.

(8) Vor Aufnahme der Datenerhebung und -verwendung hat das Bundesamt ein Datenerhebungs- und -verwendungskonzept zu erstellen und für Kontrollen durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit bereitzuhalten. Das Konzept hat dem besonderen Schutzbedürfnis der Regierungskommunikation Rechnung zu tragen. Die für die automatisierte Auswertung verwendeten Kriterien sind zu dokumentieren. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit teilt das Ergebnis seiner Kontrollen nach § 24 des Bundesdatenschutzgesetzes auch dem Rat der IT-Beauftragten der Bundesregierung mit.

(9) Das Bundesamt unterrichtet den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres über

1.
die Anzahl der Vorgänge, in denen Daten nach Absatz 5 Satz 1, Absatz 5 Satz 2 Nummer 1 oder Absatz 6 Nummer 1 übermittelt wurden, aufgegliedert nach den einzelnen Übermittlungsbefugnissen,
2.
die Anzahl der personenbezogenen Auswertungen nach Absatz 3 Satz 1, in denen der Verdacht widerlegt wurde,
3.
die Anzahl der Fälle, in denen das Bundesamt nach Absatz 4 Satz 2 oder 3 von einer Benachrichtigung der Betroffenen abgesehen hat.

(10) Das Bundesamt unterrichtet kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres den Innenausschuss des Deutschen Bundestages über die Anwendung dieser Vorschrift.

bleibt unberührt.

§ 7 Warnungen

(1) Zur Erfüllung seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 14

(1) Das Bundesamt fördert die Sicherheit in der Informationstechnik. Hierzu nimmt es folgende Aufgaben wahr:

1.
Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes;
2.
Sammlung und Auswertung von Informationen über Sicherheitsrisiken und Sicherheitsvorkehrungen und Zurverfügungstellung der gewonnenen Erkenntnisse für andere Stellen, soweit dies zur Erfüllung ihrer Aufgaben oder erforderlich ist, sowie für Dritte, soweit dies zur Wahrung ihrer Sicherheitsinteressen erforderlich ist;
3.
Untersuchung von Sicherheitsrisiken bei Anwendung der Informationstechnik sowie Entwicklung von Sicherheitsvorkehrungen, insbesondere von informationstechnischen Verfahren und Geräten für die Sicherheit in der Informationstechnik (IT-Sicherheitsprodukte), soweit dies zur Erfüllung von Aufgaben des Bundes erforderlich ist, einschließlich der Forschung im Rahmen seiner gesetzlichen Aufgaben;
4.
Entwicklung von Kriterien, Verfahren und Werkzeugen für die Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und für die Prüfung und Bewertung der Konformität im Bereich der IT-Sicherheit;
5.
Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und Erteilung von Sicherheitszertifikaten;
6.
Prüfung und Bestätigung der Konformität im Bereich der IT-Sicherheit von informationstechnischen Systemen und Komponenten mit technischen Richtlinien des Bundesamtes;
7.
Prüfung, Bewertung und Zulassung von informationstechnischen Systemen oder Komponenten, die für die Verarbeitung oder Übertragung amtlich geheim gehaltener Informationen nach § 4 des Sicherheitsüberprüfungsgesetzes im Bereich des Bundes oder bei Unternehmen im Rahmen von Aufträgen des Bundes eingesetzt werden sollen;
8.
Herstellung von Schlüsseldaten und Betrieb von Krypto- und Sicherheitsmanagementsystemen für informationssichernde Systeme des Bundes, die im Bereich des staatlichen Geheimschutzes oder auf Anforderung der betroffenen Behörde auch in anderen Bereichen eingesetzt werden;
9.
Unterstützung und Beratung bei organisatorischen und technischen Sicherheitsmaßnahmen sowie Durchführung von technischen Prüfungen zum Schutz amtlich geheim gehaltener Informationen nach § 4 des Sicherheitsüberprüfungsgesetzes gegen die Kenntnisnahme durch Unbefugte;
10.
Entwicklung von sicherheitstechnischen Anforderungen an die einzusetzende Informationstechnik des Bundes und an die Eignung von Auftragnehmern im Bereich von Informationstechnik mit besonderem Schutzbedarf;
11.
Bereitstellung von IT-Sicherheitsprodukten für Stellen des Bundes;
12.
Unterstützung der für Sicherheit in der Informationstechnik zuständigen Stellen des Bundes, insbesondere soweit sie Beratungs- oder Kontrollaufgaben wahrnehmen; dies gilt vorrangig für den Bundesbeauftragten für den Datenschutz, dessen Unterstützung im Rahmen der Unabhängigkeit erfolgt, die ihm bei der Erfüllung seiner Aufgaben nach dem Bundesdatenschutzgesetz zusteht;
13.
Unterstützung
a)
der Polizeien und Strafverfolgungsbehörden bei der Wahrnehmung ihrer gesetzlichen Aufgaben,
b)
der Verfassungsschutzbehörden und des Militärischen Abschirmdienstes bei der Auswertung und Bewertung von Informationen, die bei der Beobachtung terroristischer Bestrebungen oder nachrichtendienstlicher Tätigkeiten im Rahmen der gesetzlichen Befugnisse nach den Verfassungsschutzgesetzen des Bundes und der Länder beziehungsweise dem Gesetz über den Militärischen Abschirmdienst anfallen,
c)
des Bundesnachrichtendienstes bei der Wahrnehmung seiner gesetzlichen Aufgaben.
Die Unterstützung darf nur gewährt werden, soweit sie erforderlich ist, um Tätigkeiten zu verhindern oder zu erforschen, die gegen die Sicherheit in der Informationstechnik gerichtet sind oder unter Nutzung der Informationstechnik erfolgen. Die Unterstützungsersuchen sind durch das Bundesamt aktenkundig zu machen;
13a.
auf Ersuchen der zuständigen Stellen der Länder Unterstützung dieser Stellen in Fragen der Abwehr von Gefahren für die Sicherheit in der Informationstechnik;
14.
Beratung und Warnung der Stellen des Bundes, der Länder sowie der Hersteller, Vertreiber und Anwender in Fragen der Sicherheit in der Informationstechnik unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen;
15.
Aufbau geeigneter Kommunikationsstrukturen zur Krisenfrüherkennung, Krisenreaktion und Krisenbewältigung sowie Koordinierung der Zusammenarbeit zum Schutz der Sicherheit in der Informationstechnik Kritischer Infrastrukturen im Verbund mit der Privatwirtschaft;
16.
Aufgaben als zentrale Stelle im Bereich der Sicherheit in der Informationstechnik im Hinblick auf die Zusammenarbeit mit den zuständigen Stellen im Ausland, unbeschadet besonderer Zuständigkeiten anderer Stellen;
17.
Aufgaben nach den §§ 8a bis 8c als zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen und digitaler Dienste;
18.
Unterstützung bei der Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen nach § 5a.

(2) Das Bundesamt kann die Länder auf Ersuchen bei der Sicherung ihrer Informationstechnik unterstützen.

(3) Das Bundesamt kann Betreiber Kritischer Infrastrukturen auf deren Ersuchen bei der Sicherung ihrer Informationstechnik beraten und unterstützen oder auf qualifizierte Sicherheitsdienstleister verweisen.

kann das Bundesamt

1.
die folgenden Warnungen an die Öffentlichkeit oder an die betroffenen Kreise richten:
a)
Warnungen vor Sicherheitslücken in informationstechnischen Produkten und Diensten,
b)
Warnungen vor Schadprogrammen und
c)
Warnungen im Falle eines Verlustes von oder eines unerlaubten Zugriffs auf Daten;
2.
Sicherheitsmaßnahmen sowie den Einsatz bestimmter Sicherheitsprodukte empfehlen.
Das Bundesamt kann zur Wahrnehmung der Aufgaben nach Satz 1 Dritte einbeziehen, wenn dies für eine wirksame und rechtzeitige Warnung erforderlich ist. Die Hersteller betroffener Produkte sind rechtzeitig vor Veröffentlichung von diese Produkte betreffenden Warnungen zu informieren, sofern hierdurch die Erreichung des mit der Maßnahme verfolgten Zwecks nicht gefährdet wird. Soweit entdeckte Sicherheitslücken oder Schadprogramme nicht allgemein bekannt werden sollen, um eine Weiterverbreitung oder rechtswidrige Ausnutzung zu verhindern oder weil das Bundesamt gegenüber Dritten zur Vertraulichkeit verpflichtet ist, kann es den Kreis der zu warnenden Personen anhand sachlicher Kriterien einschränken; sachliche Kriterien können insbesondere die besondere Gefährdung bestimmter Einrichtungen oder die besondere Zuverlässigkeit des Empfängers sein.

(2) Zur Erfüllung seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 14

(1) Das Bundesamt fördert die Sicherheit in der Informationstechnik. Hierzu nimmt es folgende Aufgaben wahr:

1.
Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes;
2.
Sammlung und Auswertung von Informationen über Sicherheitsrisiken und Sicherheitsvorkehrungen und Zurverfügungstellung der gewonnenen Erkenntnisse für andere Stellen, soweit dies zur Erfüllung ihrer Aufgaben oder erforderlich ist, sowie für Dritte, soweit dies zur Wahrung ihrer Sicherheitsinteressen erforderlich ist;
3.
Untersuchung von Sicherheitsrisiken bei Anwendung der Informationstechnik sowie Entwicklung von Sicherheitsvorkehrungen, insbesondere von informationstechnischen Verfahren und Geräten für die Sicherheit in der Informationstechnik (IT-Sicherheitsprodukte), soweit dies zur Erfüllung von Aufgaben des Bundes erforderlich ist, einschließlich der Forschung im Rahmen seiner gesetzlichen Aufgaben;
4.
Entwicklung von Kriterien, Verfahren und Werkzeugen für die Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und für die Prüfung und Bewertung der Konformität im Bereich der IT-Sicherheit;
5.
Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und Erteilung von Sicherheitszertifikaten;
6.
Prüfung und Bestätigung der Konformität im Bereich der IT-Sicherheit von informationstechnischen Systemen und Komponenten mit technischen Richtlinien des Bundesamtes;
7.
Prüfung, Bewertung und Zulassung von informationstechnischen Systemen oder Komponenten, die für die Verarbeitung oder Übertragung amtlich geheim gehaltener Informationen nach § 4 des Sicherheitsüberprüfungsgesetzes im Bereich des Bundes oder bei Unternehmen im Rahmen von Aufträgen des Bundes eingesetzt werden sollen;
8.
Herstellung von Schlüsseldaten und Betrieb von Krypto- und Sicherheitsmanagementsystemen für informationssichernde Systeme des Bundes, die im Bereich des staatlichen Geheimschutzes oder auf Anforderung der betroffenen Behörde auch in anderen Bereichen eingesetzt werden;
9.
Unterstützung und Beratung bei organisatorischen und technischen Sicherheitsmaßnahmen sowie Durchführung von technischen Prüfungen zum Schutz amtlich geheim gehaltener Informationen nach § 4 des Sicherheitsüberprüfungsgesetzes gegen die Kenntnisnahme durch Unbefugte;
10.
Entwicklung von sicherheitstechnischen Anforderungen an die einzusetzende Informationstechnik des Bundes und an die Eignung von Auftragnehmern im Bereich von Informationstechnik mit besonderem Schutzbedarf;
11.
Bereitstellung von IT-Sicherheitsprodukten für Stellen des Bundes;
12.
Unterstützung der für Sicherheit in der Informationstechnik zuständigen Stellen des Bundes, insbesondere soweit sie Beratungs- oder Kontrollaufgaben wahrnehmen; dies gilt vorrangig für den Bundesbeauftragten für den Datenschutz, dessen Unterstützung im Rahmen der Unabhängigkeit erfolgt, die ihm bei der Erfüllung seiner Aufgaben nach dem Bundesdatenschutzgesetz zusteht;
13.
Unterstützung
a)
der Polizeien und Strafverfolgungsbehörden bei der Wahrnehmung ihrer gesetzlichen Aufgaben,
b)
der Verfassungsschutzbehörden und des Militärischen Abschirmdienstes bei der Auswertung und Bewertung von Informationen, die bei der Beobachtung terroristischer Bestrebungen oder nachrichtendienstlicher Tätigkeiten im Rahmen der gesetzlichen Befugnisse nach den Verfassungsschutzgesetzen des Bundes und der Länder beziehungsweise dem Gesetz über den Militärischen Abschirmdienst anfallen,
c)
des Bundesnachrichtendienstes bei der Wahrnehmung seiner gesetzlichen Aufgaben.
Die Unterstützung darf nur gewährt werden, soweit sie erforderlich ist, um Tätigkeiten zu verhindern oder zu erforschen, die gegen die Sicherheit in der Informationstechnik gerichtet sind oder unter Nutzung der Informationstechnik erfolgen. Die Unterstützungsersuchen sind durch das Bundesamt aktenkundig zu machen;
13a.
auf Ersuchen der zuständigen Stellen der Länder Unterstützung dieser Stellen in Fragen der Abwehr von Gefahren für die Sicherheit in der Informationstechnik;
14.
Beratung und Warnung der Stellen des Bundes, der Länder sowie der Hersteller, Vertreiber und Anwender in Fragen der Sicherheit in der Informationstechnik unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen;
15.
Aufbau geeigneter Kommunikationsstrukturen zur Krisenfrüherkennung, Krisenreaktion und Krisenbewältigung sowie Koordinierung der Zusammenarbeit zum Schutz der Sicherheit in der Informationstechnik Kritischer Infrastrukturen im Verbund mit der Privatwirtschaft;
16.
Aufgaben als zentrale Stelle im Bereich der Sicherheit in der Informationstechnik im Hinblick auf die Zusammenarbeit mit den zuständigen Stellen im Ausland, unbeschadet besonderer Zuständigkeiten anderer Stellen;
17.
Aufgaben nach den §§ 8a bis 8c als zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen und digitaler Dienste;
18.
Unterstützung bei der Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen nach § 5a.

(2) Das Bundesamt kann die Länder auf Ersuchen bei der Sicherung ihrer Informationstechnik unterstützen.

(3) Das Bundesamt kann Betreiber Kritischer Infrastrukturen auf deren Ersuchen bei der Sicherung ihrer Informationstechnik beraten und unterstützen oder auf qualifizierte Sicherheitsdienstleister verweisen.

kann das Bundesamt die Öffentlichkeit unter Nennung der Bezeichnung und des Herstellers des betroffenen Produkts vor Sicherheitslücken in informationstechnischen Produkten und Diensten und vor Schadprogrammen warnen oder Sicherheitsmaßnahmen sowie den Einsatz bestimmter Sicherheitsprodukte empfehlen, wenn hinreichende Anhaltspunkte dafür vorliegen, dass Gefahren für die Sicherheit in der Informationstechnik hiervon ausgehen. Stellen sich die an die Öffentlichkeit gegebenen Informationen im Nachhinein als falsch oder die zugrunde liegenden Umstände als unzutreffend wiedergegeben heraus, ist dies unverzüglich öffentlich bekannt zu machen.

§ 7a Untersuchung der Sicherheit in der Informationstechnik

(1) Das Bundesamt kann zur Erfüllung seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1, 14, 17 und 18

(1) Das Bundesamt fördert die Sicherheit in der Informationstechnik. Hierzu nimmt es folgende Aufgaben wahr:

1.
Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes;
2.
Sammlung und Auswertung von Informationen über Sicherheitsrisiken und Sicherheitsvorkehrungen und Zurverfügungstellung der gewonnenen Erkenntnisse für andere Stellen, soweit dies zur Erfüllung ihrer Aufgaben oder erforderlich ist, sowie für Dritte, soweit dies zur Wahrung ihrer Sicherheitsinteressen erforderlich ist;
3.
Untersuchung von Sicherheitsrisiken bei Anwendung der Informationstechnik sowie Entwicklung von Sicherheitsvorkehrungen, insbesondere von informationstechnischen Verfahren und Geräten für die Sicherheit in der Informationstechnik (IT-Sicherheitsprodukte), soweit dies zur Erfüllung von Aufgaben des Bundes erforderlich ist, einschließlich der Forschung im Rahmen seiner gesetzlichen Aufgaben;
4.
Entwicklung von Kriterien, Verfahren und Werkzeugen für die Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und für die Prüfung und Bewertung der Konformität im Bereich der IT-Sicherheit;
5.
Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und Erteilung von Sicherheitszertifikaten;
6.
Prüfung und Bestätigung der Konformität im Bereich der IT-Sicherheit von informationstechnischen Systemen und Komponenten mit technischen Richtlinien des Bundesamtes;
7.
Prüfung, Bewertung und Zulassung von informationstechnischen Systemen oder Komponenten, die für die Verarbeitung oder Übertragung amtlich geheim gehaltener Informationen nach § 4 des Sicherheitsüberprüfungsgesetzes im Bereich des Bundes oder bei Unternehmen im Rahmen von Aufträgen des Bundes eingesetzt werden sollen;
8.
Herstellung von Schlüsseldaten und Betrieb von Krypto- und Sicherheitsmanagementsystemen für informationssichernde Systeme des Bundes, die im Bereich des staatlichen Geheimschutzes oder auf Anforderung der betroffenen Behörde auch in anderen Bereichen eingesetzt werden;
9.
Unterstützung und Beratung bei organisatorischen und technischen Sicherheitsmaßnahmen sowie Durchführung von technischen Prüfungen zum Schutz amtlich geheim gehaltener Informationen nach § 4 des Sicherheitsüberprüfungsgesetzes gegen die Kenntnisnahme durch Unbefugte;
10.
Entwicklung von sicherheitstechnischen Anforderungen an die einzusetzende Informationstechnik des Bundes und an die Eignung von Auftragnehmern im Bereich von Informationstechnik mit besonderem Schutzbedarf;
11.
Bereitstellung von IT-Sicherheitsprodukten für Stellen des Bundes;
12.
Unterstützung der für Sicherheit in der Informationstechnik zuständigen Stellen des Bundes, insbesondere soweit sie Beratungs- oder Kontrollaufgaben wahrnehmen; dies gilt vorrangig für den Bundesbeauftragten für den Datenschutz, dessen Unterstützung im Rahmen der Unabhängigkeit erfolgt, die ihm bei der Erfüllung seiner Aufgaben nach dem Bundesdatenschutzgesetz zusteht;
13.
Unterstützung
a)
der Polizeien und Strafverfolgungsbehörden bei der Wahrnehmung ihrer gesetzlichen Aufgaben,
b)
der Verfassungsschutzbehörden und des Militärischen Abschirmdienstes bei der Auswertung und Bewertung von Informationen, die bei der Beobachtung terroristischer Bestrebungen oder nachrichtendienstlicher Tätigkeiten im Rahmen der gesetzlichen Befugnisse nach den Verfassungsschutzgesetzen des Bundes und der Länder beziehungsweise dem Gesetz über den Militärischen Abschirmdienst anfallen,
c)
des Bundesnachrichtendienstes bei der Wahrnehmung seiner gesetzlichen Aufgaben.
Die Unterstützung darf nur gewährt werden, soweit sie erforderlich ist, um Tätigkeiten zu verhindern oder zu erforschen, die gegen die Sicherheit in der Informationstechnik gerichtet sind oder unter Nutzung der Informationstechnik erfolgen. Die Unterstützungsersuchen sind durch das Bundesamt aktenkundig zu machen;
13a.
auf Ersuchen der zuständigen Stellen der Länder Unterstützung dieser Stellen in Fragen der Abwehr von Gefahren für die Sicherheit in der Informationstechnik;
14.
Beratung und Warnung der Stellen des Bundes, der Länder sowie der Hersteller, Vertreiber und Anwender in Fragen der Sicherheit in der Informationstechnik unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen;
15.
Aufbau geeigneter Kommunikationsstrukturen zur Krisenfrüherkennung, Krisenreaktion und Krisenbewältigung sowie Koordinierung der Zusammenarbeit zum Schutz der Sicherheit in der Informationstechnik Kritischer Infrastrukturen im Verbund mit der Privatwirtschaft;
16.
Aufgaben als zentrale Stelle im Bereich der Sicherheit in der Informationstechnik im Hinblick auf die Zusammenarbeit mit den zuständigen Stellen im Ausland, unbeschadet besonderer Zuständigkeiten anderer Stellen;
17.
Aufgaben nach den §§ 8a bis 8c als zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen und digitaler Dienste;
18.
Unterstützung bei der Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen nach § 5a.

(2) Das Bundesamt kann die Länder auf Ersuchen bei der Sicherung ihrer Informationstechnik unterstützen.

(3) Das Bundesamt kann Betreiber Kritischer Infrastrukturen auf deren Ersuchen bei der Sicherung ihrer Informationstechnik beraten und unterstützen oder auf qualifizierte Sicherheitsdienstleister verweisen.

auf dem Markt bereitgestellte oder zur Bereitstellung auf dem Markt vorgesehene informationstechnische Produkte und Systeme untersuchen. Es kann sich hierbei der Unterstützung Dritter bedienen, soweit berechtigte Interessen des Herstellers der betroffenen Produkte und Systeme dem nicht entgegenstehen.

(2) Die aus den Untersuchungen gewonnenen Erkenntnisse dürfen nur zur Erfüllung der Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1, 14 und 17

(1) Das Bundesamt fördert die Sicherheit in der Informationstechnik. Hierzu nimmt es folgende Aufgaben wahr:

1.
Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes;
2.
Sammlung und Auswertung von Informationen über Sicherheitsrisiken und Sicherheitsvorkehrungen und Zurverfügungstellung der gewonnenen Erkenntnisse für andere Stellen, soweit dies zur Erfüllung ihrer Aufgaben oder erforderlich ist, sowie für Dritte, soweit dies zur Wahrung ihrer Sicherheitsinteressen erforderlich ist;
3.
Untersuchung von Sicherheitsrisiken bei Anwendung der Informationstechnik sowie Entwicklung von Sicherheitsvorkehrungen, insbesondere von informationstechnischen Verfahren und Geräten für die Sicherheit in der Informationstechnik (IT-Sicherheitsprodukte), soweit dies zur Erfüllung von Aufgaben des Bundes erforderlich ist, einschließlich der Forschung im Rahmen seiner gesetzlichen Aufgaben;
4.
Entwicklung von Kriterien, Verfahren und Werkzeugen für die Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und für die Prüfung und Bewertung der Konformität im Bereich der IT-Sicherheit;
5.
Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und Erteilung von Sicherheitszertifikaten;
6.
Prüfung und Bestätigung der Konformität im Bereich der IT-Sicherheit von informationstechnischen Systemen und Komponenten mit technischen Richtlinien des Bundesamtes;
7.
Prüfung, Bewertung und Zulassung von informationstechnischen Systemen oder Komponenten, die für die Verarbeitung oder Übertragung amtlich geheim gehaltener Informationen nach § 4 des Sicherheitsüberprüfungsgesetzes im Bereich des Bundes oder bei Unternehmen im Rahmen von Aufträgen des Bundes eingesetzt werden sollen;
8.
Herstellung von Schlüsseldaten und Betrieb von Krypto- und Sicherheitsmanagementsystemen für informationssichernde Systeme des Bundes, die im Bereich des staatlichen Geheimschutzes oder auf Anforderung der betroffenen Behörde auch in anderen Bereichen eingesetzt werden;
9.
Unterstützung und Beratung bei organisatorischen und technischen Sicherheitsmaßnahmen sowie Durchführung von technischen Prüfungen zum Schutz amtlich geheim gehaltener Informationen nach § 4 des Sicherheitsüberprüfungsgesetzes gegen die Kenntnisnahme durch Unbefugte;
10.
Entwicklung von sicherheitstechnischen Anforderungen an die einzusetzende Informationstechnik des Bundes und an die Eignung von Auftragnehmern im Bereich von Informationstechnik mit besonderem Schutzbedarf;
11.
Bereitstellung von IT-Sicherheitsprodukten für Stellen des Bundes;
12.
Unterstützung der für Sicherheit in der Informationstechnik zuständigen Stellen des Bundes, insbesondere soweit sie Beratungs- oder Kontrollaufgaben wahrnehmen; dies gilt vorrangig für den Bundesbeauftragten für den Datenschutz, dessen Unterstützung im Rahmen der Unabhängigkeit erfolgt, die ihm bei der Erfüllung seiner Aufgaben nach dem Bundesdatenschutzgesetz zusteht;
13.
Unterstützung
a)
der Polizeien und Strafverfolgungsbehörden bei der Wahrnehmung ihrer gesetzlichen Aufgaben,
b)
der Verfassungsschutzbehörden und des Militärischen Abschirmdienstes bei der Auswertung und Bewertung von Informationen, die bei der Beobachtung terroristischer Bestrebungen oder nachrichtendienstlicher Tätigkeiten im Rahmen der gesetzlichen Befugnisse nach den Verfassungsschutzgesetzen des Bundes und der Länder beziehungsweise dem Gesetz über den Militärischen Abschirmdienst anfallen,
c)
des Bundesnachrichtendienstes bei der Wahrnehmung seiner gesetzlichen Aufgaben.
Die Unterstützung darf nur gewährt werden, soweit sie erforderlich ist, um Tätigkeiten zu verhindern oder zu erforschen, die gegen die Sicherheit in der Informationstechnik gerichtet sind oder unter Nutzung der Informationstechnik erfolgen. Die Unterstützungsersuchen sind durch das Bundesamt aktenkundig zu machen;
13a.
auf Ersuchen der zuständigen Stellen der Länder Unterstützung dieser Stellen in Fragen der Abwehr von Gefahren für die Sicherheit in der Informationstechnik;
14.
Beratung und Warnung der Stellen des Bundes, der Länder sowie der Hersteller, Vertreiber und Anwender in Fragen der Sicherheit in der Informationstechnik unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen;
15.
Aufbau geeigneter Kommunikationsstrukturen zur Krisenfrüherkennung, Krisenreaktion und Krisenbewältigung sowie Koordinierung der Zusammenarbeit zum Schutz der Sicherheit in der Informationstechnik Kritischer Infrastrukturen im Verbund mit der Privatwirtschaft;
16.
Aufgaben als zentrale Stelle im Bereich der Sicherheit in der Informationstechnik im Hinblick auf die Zusammenarbeit mit den zuständigen Stellen im Ausland, unbeschadet besonderer Zuständigkeiten anderer Stellen;
17.
Aufgaben nach den §§ 8a bis 8c als zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen und digitaler Dienste;
18.
Unterstützung bei der Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen nach § 5a.

(2) Das Bundesamt kann die Länder auf Ersuchen bei der Sicherung ihrer Informationstechnik unterstützen.

(3) Das Bundesamt kann Betreiber Kritischer Infrastrukturen auf deren Ersuchen bei der Sicherung ihrer Informationstechnik beraten und unterstützen oder auf qualifizierte Sicherheitsdienstleister verweisen.

genutzt werden. Das Bundesamt darf seine Erkenntnisse weitergeben und veröffentlichen, soweit dies zur Erfüllung dieser Aufgaben erforderlich ist. Zuvor ist dem Hersteller der betroffenen Produkte und Systeme mit angemessener Frist Gelegenheit zur Stellungnahme zu geben.

§ 8 Vorgaben des Bundesamtes

(1) Das Bundesamt erarbeitet Mindeststandards für die Sicherheit der Informationstechnik des Bundes. Das Bundesministerium des Innern kann im Benehmen mit dem IT-Rat diese Mindeststandards ganz oder teilweise als allgemeine Verwaltungsvorschriften für alle Stellen des Bundes erlassen. Das Bundesamt berät die Stellen des Bundes auf Ersuchen bei der Umsetzung und Einhaltung der Mindeststandards. Für die in § 2 Absatz 3 Satz 2

(1) Die Informationstechnik im Sinne dieses Gesetzes umfasst alle technischen Mittel zur Verarbeitung oder Übertragung von Informationen.

(2) Sicherheit in der Informationstechnik im Sinne dieses Gesetzes bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen

1.
in informationstechnischen Systemen, Komponenten oder Prozessen oder
2.
bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen.

(3) Kommunikationstechnik des Bundes im Sinne dieses Gesetzes ist die Informationstechnik, die von einer oder mehreren Bundesbehörden oder im Auftrag einer oder mehrerer Bundesbehörden betrieben wird und der Kommunikation oder dem Datenaustausch der Bundesbehörden untereinander oder mit Dritten dient. Kommunikationstechnik der Bundesgerichte, soweit sie nicht öffentlich-rechtliche Verwaltungsaufgaben wahrnehmen, des Bundestages, des Bundesrates, des Bundespräsidenten und des Bundesrechnungshofes ist nicht Kommunikationstechnik des Bundes, soweit sie ausschließlich in deren eigener Zuständigkeit betrieben wird.

(4) Schnittstellen der Kommunikationstechnik des Bundes im Sinne dieses Gesetzes sind sicherheitsrelevante Netzwerkübergänge innerhalb der Kommunikationstechnik des Bundes sowie zwischen dieser und der Informationstechnik der einzelnen Bundesbehörden, Gruppen von Bundesbehörden oder Dritter. Dies gilt nicht für die Komponenten an den Netzwerkübergängen, die in eigener Zuständigkeit der in Absatz 3 Satz 2 genannten Gerichte und Verfassungsorgane betrieben werden.

(5) Schadprogramme im Sinne dieses Gesetzes sind Programme und sonstige informationstechnische Routinen und Verfahren, die dem Zweck dienen, unbefugt Daten zu nutzen oder zu löschen oder die dem Zweck dienen, unbefugt auf sonstige informationstechnische Abläufe einzuwirken.

(6) Sicherheitslücken im Sinne dieses Gesetzes sind Eigenschaften von Programmen oder sonstigen informationstechnischen Systemen, durch deren Ausnutzung es möglich ist, dass sich Dritte gegen den Willen des Berechtigten Zugang zu fremden informationstechnischen Systemen verschaffen oder die Funktion der informationstechnischen Systeme beeinflussen können.

(7) Zertifizierung im Sinne dieses Gesetzes ist die Feststellung durch eine Zertifizierungsstelle, dass ein Produkt, ein Prozess, ein System, ein Schutzprofil (Sicherheitszertifizierung), eine Person (Personenzertifizierung) oder ein IT-Sicherheitsdienstleister bestimmte Anforderungen erfüllt.

(8) Protokolldaten im Sinne dieses Gesetzes sind Steuerdaten eines informationstechnischen Protokolls zur Datenübertragung, die unabhängig vom Inhalt eines Kommunikationsvorgangs übertragen oder auf den am Kommunikationsvorgang beteiligten Servern gespeichert werden und zur Gewährleistung der Kommunikation zwischen Empfänger und Sender notwendig sind. Protokolldaten können Verkehrsdaten gemäß § 3 Nummer 30 des Telekommunikationsgesetzes und Nutzungsdaten nach § 15 Absatz 1 des Telemediengesetzes enthalten.

(9) Datenverkehr im Sinne dieses Gesetzes sind die mittels technischer Protokolle übertragenen Daten. Der Datenverkehr kann Telekommunikationsinhalte nach § 88 Absatz 1 des Telekommunikationsgesetzes und Nutzungsdaten nach § 15 Absatz 1 des Telemediengesetzes enthalten.

(10) Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die

1.
den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
2.
von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.
Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach § 10 Absatz 1 näher bestimmt.

(11) Digitale Dienste im Sinne dieses Gesetzes sind Dienste im Sinne von Artikel 1 Absatz 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 241 vom 17.9.2015, S. 1), und die

1.
es Verbrauchern oder Unternehmern im Sinne des Artikels 4 Absatz 1 Buchstabe a beziehungsweise Buchstabe b der Richtlinie 2013/11/EU des Europäischen Parlaments und des Rates vom 21. Mai 2013 über die alternative Beilegung verbraucherrechtlicher Streitigkeiten und zur Änderung der Verordnung (EG) Nr. 2006/2004 und der Richtlinie 2009/22/EG (Richtlinie über alternative Streitbeilegung in Verbraucherangelegenheiten) (ABl. L 165 vom 18.6.2013, S. 63) ermöglichen, Kaufverträge oder Dienstleistungsverträge mit Unternehmern entweder auf der Webseite dieser Dienste oder auf der Webseite eines Unternehmers, die von diesen Diensten bereitgestellte Rechendienste verwendet, abzuschließen (Online-Marktplätze);
2.
es Nutzern ermöglichen, Suchen grundsätzlich auf allen Webseiten oder auf Webseiten in einer bestimmten Sprache anhand einer Abfrage zu einem beliebigen Thema in Form eines Stichworts, einer Wortgruppe oder einer anderen Eingabe vorzunehmen, die daraufhin Links anzeigen, über die der Abfrage entsprechende Inhalte abgerufen werden können (Online-Suchmaschinen);
3.
den Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglichen (Cloud-Computing-Dienste),
und nicht zum Schutz grundlegender staatlicher Funktionen eingerichtet worden sind oder für diese genutzt werden.

(12) „Anbieter digitaler Dienste“ im Sinne dieses Gesetzes ist eine juristische Person, die einen digitalen Dienst anbietet.

genannten Gerichte und Verfassungsorgane haben die Vorschriften nach diesem Absatz empfehlenden Charakter.

(2) Das Bundesamt stellt im Rahmen seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 10

(1) Das Bundesamt fördert die Sicherheit in der Informationstechnik. Hierzu nimmt es folgende Aufgaben wahr:

1.
Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes;
2.
Sammlung und Auswertung von Informationen über Sicherheitsrisiken und Sicherheitsvorkehrungen und Zurverfügungstellung der gewonnenen Erkenntnisse für andere Stellen, soweit dies zur Erfüllung ihrer Aufgaben oder erforderlich ist, sowie für Dritte, soweit dies zur Wahrung ihrer Sicherheitsinteressen erforderlich ist;
3.
Untersuchung von Sicherheitsrisiken bei Anwendung der Informationstechnik sowie Entwicklung von Sicherheitsvorkehrungen, insbesondere von informationstechnischen Verfahren und Geräten für die Sicherheit in der Informationstechnik (IT-Sicherheitsprodukte), soweit dies zur Erfüllung von Aufgaben des Bundes erforderlich ist, einschließlich der Forschung im Rahmen seiner gesetzlichen Aufgaben;
4.
Entwicklung von Kriterien, Verfahren und Werkzeugen für die Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und für die Prüfung und Bewertung der Konformität im Bereich der IT-Sicherheit;
5.
Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und Erteilung von Sicherheitszertifikaten;
6.
Prüfung und Bestätigung der Konformität im Bereich der IT-Sicherheit von informationstechnischen Systemen und Komponenten mit technischen Richtlinien des Bundesamtes;
7.
Prüfung, Bewertung und Zulassung von informationstechnischen Systemen oder Komponenten, die für die Verarbeitung oder Übertragung amtlich geheim gehaltener Informationen nach § 4 des Sicherheitsüberprüfungsgesetzes im Bereich des Bundes oder bei Unternehmen im Rahmen von Aufträgen des Bundes eingesetzt werden sollen;
8.
Herstellung von Schlüsseldaten und Betrieb von Krypto- und Sicherheitsmanagementsystemen für informationssichernde Systeme des Bundes, die im Bereich des staatlichen Geheimschutzes oder auf Anforderung der betroffenen Behörde auch in anderen Bereichen eingesetzt werden;
9.
Unterstützung und Beratung bei organisatorischen und technischen Sicherheitsmaßnahmen sowie Durchführung von technischen Prüfungen zum Schutz amtlich geheim gehaltener Informationen nach § 4 des Sicherheitsüberprüfungsgesetzes gegen die Kenntnisnahme durch Unbefugte;
10.
Entwicklung von sicherheitstechnischen Anforderungen an die einzusetzende Informationstechnik des Bundes und an die Eignung von Auftragnehmern im Bereich von Informationstechnik mit besonderem Schutzbedarf;
11.
Bereitstellung von IT-Sicherheitsprodukten für Stellen des Bundes;
12.
Unterstützung der für Sicherheit in der Informationstechnik zuständigen Stellen des Bundes, insbesondere soweit sie Beratungs- oder Kontrollaufgaben wahrnehmen; dies gilt vorrangig für den Bundesbeauftragten für den Datenschutz, dessen Unterstützung im Rahmen der Unabhängigkeit erfolgt, die ihm bei der Erfüllung seiner Aufgaben nach dem Bundesdatenschutzgesetz zusteht;
13.
Unterstützung
a)
der Polizeien und Strafverfolgungsbehörden bei der Wahrnehmung ihrer gesetzlichen Aufgaben,
b)
der Verfassungsschutzbehörden und des Militärischen Abschirmdienstes bei der Auswertung und Bewertung von Informationen, die bei der Beobachtung terroristischer Bestrebungen oder nachrichtendienstlicher Tätigkeiten im Rahmen der gesetzlichen Befugnisse nach den Verfassungsschutzgesetzen des Bundes und der Länder beziehungsweise dem Gesetz über den Militärischen Abschirmdienst anfallen,
c)
des Bundesnachrichtendienstes bei der Wahrnehmung seiner gesetzlichen Aufgaben.
Die Unterstützung darf nur gewährt werden, soweit sie erforderlich ist, um Tätigkeiten zu verhindern oder zu erforschen, die gegen die Sicherheit in der Informationstechnik gerichtet sind oder unter Nutzung der Informationstechnik erfolgen. Die Unterstützungsersuchen sind durch das Bundesamt aktenkundig zu machen;
13a.
auf Ersuchen der zuständigen Stellen der Länder Unterstützung dieser Stellen in Fragen der Abwehr von Gefahren für die Sicherheit in der Informationstechnik;
14.
Beratung und Warnung der Stellen des Bundes, der Länder sowie der Hersteller, Vertreiber und Anwender in Fragen der Sicherheit in der Informationstechnik unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen;
15.
Aufbau geeigneter Kommunikationsstrukturen zur Krisenfrüherkennung, Krisenreaktion und Krisenbewältigung sowie Koordinierung der Zusammenarbeit zum Schutz der Sicherheit in der Informationstechnik Kritischer Infrastrukturen im Verbund mit der Privatwirtschaft;
16.
Aufgaben als zentrale Stelle im Bereich der Sicherheit in der Informationstechnik im Hinblick auf die Zusammenarbeit mit den zuständigen Stellen im Ausland, unbeschadet besonderer Zuständigkeiten anderer Stellen;
17.
Aufgaben nach den §§ 8a bis 8c als zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen und digitaler Dienste;
18.
Unterstützung bei der Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen nach § 5a.

(2) Das Bundesamt kann die Länder auf Ersuchen bei der Sicherung ihrer Informationstechnik unterstützen.

(3) Das Bundesamt kann Betreiber Kritischer Infrastrukturen auf deren Ersuchen bei der Sicherung ihrer Informationstechnik beraten und unterstützen oder auf qualifizierte Sicherheitsdienstleister verweisen.

technische Richtlinien bereit, die von den Stellen des Bundes als Rahmen für die Entwicklung sachgerechter Anforderungen an Auftragnehmer (Eignung) und IT-Produkte (Spezifikation) für die Durchführung von Vergabeverfahren berücksichtigt werden. Die Vorschriften des Vergaberechts und des Geheimschutzes bleiben unberührt.

(3) Die Bereitstellung von IT-Sicherheitsprodukten durch das Bundesamt nach § 3 Absatz 1 Satz 2 Nummer 11

(1) Das Bundesamt fördert die Sicherheit in der Informationstechnik. Hierzu nimmt es folgende Aufgaben wahr:

1.
Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes;
2.
Sammlung und Auswertung von Informationen über Sicherheitsrisiken und Sicherheitsvorkehrungen und Zurverfügungstellung der gewonnenen Erkenntnisse für andere Stellen, soweit dies zur Erfüllung ihrer Aufgaben oder erforderlich ist, sowie für Dritte, soweit dies zur Wahrung ihrer Sicherheitsinteressen erforderlich ist;
3.
Untersuchung von Sicherheitsrisiken bei Anwendung der Informationstechnik sowie Entwicklung von Sicherheitsvorkehrungen, insbesondere von informationstechnischen Verfahren und Geräten für die Sicherheit in der Informationstechnik (IT-Sicherheitsprodukte), soweit dies zur Erfüllung von Aufgaben des Bundes erforderlich ist, einschließlich der Forschung im Rahmen seiner gesetzlichen Aufgaben;
4.
Entwicklung von Kriterien, Verfahren und Werkzeugen für die Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und für die Prüfung und Bewertung der Konformität im Bereich der IT-Sicherheit;
5.
Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und Erteilung von Sicherheitszertifikaten;
6.
Prüfung und Bestätigung der Konformität im Bereich der IT-Sicherheit von informationstechnischen Systemen und Komponenten mit technischen Richtlinien des Bundesamtes;
7.
Prüfung, Bewertung und Zulassung von informationstechnischen Systemen oder Komponenten, die für die Verarbeitung oder Übertragung amtlich geheim gehaltener Informationen nach § 4 des Sicherheitsüberprüfungsgesetzes im Bereich des Bundes oder bei Unternehmen im Rahmen von Aufträgen des Bundes eingesetzt werden sollen;
8.
Herstellung von Schlüsseldaten und Betrieb von Krypto- und Sicherheitsmanagementsystemen für informationssichernde Systeme des Bundes, die im Bereich des staatlichen Geheimschutzes oder auf Anforderung der betroffenen Behörde auch in anderen Bereichen eingesetzt werden;
9.
Unterstützung und Beratung bei organisatorischen und technischen Sicherheitsmaßnahmen sowie Durchführung von technischen Prüfungen zum Schutz amtlich geheim gehaltener Informationen nach § 4 des Sicherheitsüberprüfungsgesetzes gegen die Kenntnisnahme durch Unbefugte;
10.
Entwicklung von sicherheitstechnischen Anforderungen an die einzusetzende Informationstechnik des Bundes und an die Eignung von Auftragnehmern im Bereich von Informationstechnik mit besonderem Schutzbedarf;
11.
Bereitstellung von IT-Sicherheitsprodukten für Stellen des Bundes;
12.
Unterstützung der für Sicherheit in der Informationstechnik zuständigen Stellen des Bundes, insbesondere soweit sie Beratungs- oder Kontrollaufgaben wahrnehmen; dies gilt vorrangig für den Bundesbeauftragten für den Datenschutz, dessen Unterstützung im Rahmen der Unabhängigkeit erfolgt, die ihm bei der Erfüllung seiner Aufgaben nach dem Bundesdatenschutzgesetz zusteht;
13.
Unterstützung
a)
der Polizeien und Strafverfolgungsbehörden bei der Wahrnehmung ihrer gesetzlichen Aufgaben,
b)
der Verfassungsschutzbehörden und des Militärischen Abschirmdienstes bei der Auswertung und Bewertung von Informationen, die bei der Beobachtung terroristischer Bestrebungen oder nachrichtendienstlicher Tätigkeiten im Rahmen der gesetzlichen Befugnisse nach den Verfassungsschutzgesetzen des Bundes und der Länder beziehungsweise dem Gesetz über den Militärischen Abschirmdienst anfallen,
c)
des Bundesnachrichtendienstes bei der Wahrnehmung seiner gesetzlichen Aufgaben.
Die Unterstützung darf nur gewährt werden, soweit sie erforderlich ist, um Tätigkeiten zu verhindern oder zu erforschen, die gegen die Sicherheit in der Informationstechnik gerichtet sind oder unter Nutzung der Informationstechnik erfolgen. Die Unterstützungsersuchen sind durch das Bundesamt aktenkundig zu machen;
13a.
auf Ersuchen der zuständigen Stellen der Länder Unterstützung dieser Stellen in Fragen der Abwehr von Gefahren für die Sicherheit in der Informationstechnik;
14.
Beratung und Warnung der Stellen des Bundes, der Länder sowie der Hersteller, Vertreiber und Anwender in Fragen der Sicherheit in der Informationstechnik unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen;
15.
Aufbau geeigneter Kommunikationsstrukturen zur Krisenfrüherkennung, Krisenreaktion und Krisenbewältigung sowie Koordinierung der Zusammenarbeit zum Schutz der Sicherheit in der Informationstechnik Kritischer Infrastrukturen im Verbund mit der Privatwirtschaft;
16.
Aufgaben als zentrale Stelle im Bereich der Sicherheit in der Informationstechnik im Hinblick auf die Zusammenarbeit mit den zuständigen Stellen im Ausland, unbeschadet besonderer Zuständigkeiten anderer Stellen;
17.
Aufgaben nach den §§ 8a bis 8c als zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen und digitaler Dienste;
18.
Unterstützung bei der Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen nach § 5a.

(2) Das Bundesamt kann die Länder auf Ersuchen bei der Sicherung ihrer Informationstechnik unterstützen.

(3) Das Bundesamt kann Betreiber Kritischer Infrastrukturen auf deren Ersuchen bei der Sicherung ihrer Informationstechnik beraten und unterstützen oder auf qualifizierte Sicherheitsdienstleister verweisen.

erfolgt durch Eigenentwicklung oder nach Durchführung von Vergabeverfahren aufgrund einer entsprechenden Bedarfsfeststellung. IT-Sicherheitsprodukte können nur in begründeten Ausnahmefällen durch eine Eigenentwicklung des Bundesamtes zur Verfügung gestellt werden. Die Vorschriften des Vergaberechts bleiben unberührt. Wenn das Bundesamt IT-Sicherheitsprodukte bereitstellt, können die Bundesbehörden diese Produkte beim Bundesamt abrufen. Durch Beschluss des Rats der IT-Beauftragten der Bundesregierung kann festgelegt werden, dass die Bundesbehörden verpflichtet sind, diese Produkte beim Bundesamt abzurufen. Eigenbeschaffungen anderer Bundesbehörden sind in diesem Fall nur zulässig, wenn das spezifische Anforderungsprofil den Einsatz abweichender Produkte erfordert. Die Sätze 5 und 6 gelten nicht für die in § 2 Absatz 3 Satz 2

(1) Die Informationstechnik im Sinne dieses Gesetzes umfasst alle technischen Mittel zur Verarbeitung oder Übertragung von Informationen.

(2) Sicherheit in der Informationstechnik im Sinne dieses Gesetzes bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen

1.
in informationstechnischen Systemen, Komponenten oder Prozessen oder
2.
bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen.

(3) Kommunikationstechnik des Bundes im Sinne dieses Gesetzes ist die Informationstechnik, die von einer oder mehreren Bundesbehörden oder im Auftrag einer oder mehrerer Bundesbehörden betrieben wird und der Kommunikation oder dem Datenaustausch der Bundesbehörden untereinander oder mit Dritten dient. Kommunikationstechnik der Bundesgerichte, soweit sie nicht öffentlich-rechtliche Verwaltungsaufgaben wahrnehmen, des Bundestages, des Bundesrates, des Bundespräsidenten und des Bundesrechnungshofes ist nicht Kommunikationstechnik des Bundes, soweit sie ausschließlich in deren eigener Zuständigkeit betrieben wird.

(4) Schnittstellen der Kommunikationstechnik des Bundes im Sinne dieses Gesetzes sind sicherheitsrelevante Netzwerkübergänge innerhalb der Kommunikationstechnik des Bundes sowie zwischen dieser und der Informationstechnik der einzelnen Bundesbehörden, Gruppen von Bundesbehörden oder Dritter. Dies gilt nicht für die Komponenten an den Netzwerkübergängen, die in eigener Zuständigkeit der in Absatz 3 Satz 2 genannten Gerichte und Verfassungsorgane betrieben werden.

(5) Schadprogramme im Sinne dieses Gesetzes sind Programme und sonstige informationstechnische Routinen und Verfahren, die dem Zweck dienen, unbefugt Daten zu nutzen oder zu löschen oder die dem Zweck dienen, unbefugt auf sonstige informationstechnische Abläufe einzuwirken.

(6) Sicherheitslücken im Sinne dieses Gesetzes sind Eigenschaften von Programmen oder sonstigen informationstechnischen Systemen, durch deren Ausnutzung es möglich ist, dass sich Dritte gegen den Willen des Berechtigten Zugang zu fremden informationstechnischen Systemen verschaffen oder die Funktion der informationstechnischen Systeme beeinflussen können.

(7) Zertifizierung im Sinne dieses Gesetzes ist die Feststellung durch eine Zertifizierungsstelle, dass ein Produkt, ein Prozess, ein System, ein Schutzprofil (Sicherheitszertifizierung), eine Person (Personenzertifizierung) oder ein IT-Sicherheitsdienstleister bestimmte Anforderungen erfüllt.

(8) Protokolldaten im Sinne dieses Gesetzes sind Steuerdaten eines informationstechnischen Protokolls zur Datenübertragung, die unabhängig vom Inhalt eines Kommunikationsvorgangs übertragen oder auf den am Kommunikationsvorgang beteiligten Servern gespeichert werden und zur Gewährleistung der Kommunikation zwischen Empfänger und Sender notwendig sind. Protokolldaten können Verkehrsdaten gemäß § 3 Nummer 30 des Telekommunikationsgesetzes und Nutzungsdaten nach § 15 Absatz 1 des Telemediengesetzes enthalten.

(9) Datenverkehr im Sinne dieses Gesetzes sind die mittels technischer Protokolle übertragenen Daten. Der Datenverkehr kann Telekommunikationsinhalte nach § 88 Absatz 1 des Telekommunikationsgesetzes und Nutzungsdaten nach § 15 Absatz 1 des Telemediengesetzes enthalten.

(10) Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die

1.
den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
2.
von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.
Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach § 10 Absatz 1 näher bestimmt.

(11) Digitale Dienste im Sinne dieses Gesetzes sind Dienste im Sinne von Artikel 1 Absatz 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 241 vom 17.9.2015, S. 1), und die

1.
es Verbrauchern oder Unternehmern im Sinne des Artikels 4 Absatz 1 Buchstabe a beziehungsweise Buchstabe b der Richtlinie 2013/11/EU des Europäischen Parlaments und des Rates vom 21. Mai 2013 über die alternative Beilegung verbraucherrechtlicher Streitigkeiten und zur Änderung der Verordnung (EG) Nr. 2006/2004 und der Richtlinie 2009/22/EG (Richtlinie über alternative Streitbeilegung in Verbraucherangelegenheiten) (ABl. L 165 vom 18.6.2013, S. 63) ermöglichen, Kaufverträge oder Dienstleistungsverträge mit Unternehmern entweder auf der Webseite dieser Dienste oder auf der Webseite eines Unternehmers, die von diesen Diensten bereitgestellte Rechendienste verwendet, abzuschließen (Online-Marktplätze);
2.
es Nutzern ermöglichen, Suchen grundsätzlich auf allen Webseiten oder auf Webseiten in einer bestimmten Sprache anhand einer Abfrage zu einem beliebigen Thema in Form eines Stichworts, einer Wortgruppe oder einer anderen Eingabe vorzunehmen, die daraufhin Links anzeigen, über die der Abfrage entsprechende Inhalte abgerufen werden können (Online-Suchmaschinen);
3.
den Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglichen (Cloud-Computing-Dienste),
und nicht zum Schutz grundlegender staatlicher Funktionen eingerichtet worden sind oder für diese genutzt werden.

(12) „Anbieter digitaler Dienste“ im Sinne dieses Gesetzes ist eine juristische Person, die einen digitalen Dienst anbietet.

genannten Gerichte und Verfassungsorgane.

§ 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen

(1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1

(1) Das Bundesministerium des Innern bestimmt durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, nach Anhörung von Vertretern der Wissenschaft, der betroffenen Betreiber und der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie, dem Bundesministerium der Justiz und für Verbraucherschutz, dem Bundesministerium der Finanzen, dem Bundesministerium für Arbeit und Soziales, dem Bundesministerium für Ernährung und Landwirtschaft, dem Bundesministerium für Gesundheit, dem Bundesministerium für Verkehr und digitale Infrastruktur, dem Bundesministerium der Verteidigung und dem Bundesministerium für Umwelt, Naturschutz, Bau und Reaktorsicherheit unter Festlegung der in den jeweiligen Sektoren im Hinblick auf § 2 Absatz 10 Satz 1 Nummer 2 wegen ihrer Bedeutung als kritisch anzusehenden Dienstleistungen und deren als bedeutend anzusehenden Versorgungsgrads, welche Einrichtungen, Anlagen oder Teile davon als Kritische Infrastrukturen im Sinne dieses Gesetzes gelten. Der nach Satz 1 als bedeutend anzusehende Versorgungsgrad ist anhand von branchenspezifischen Schwellenwerten für jede wegen ihrer Bedeutung als kritisch anzusehende Dienstleistung im jeweiligen Sektor zu bestimmen. Zugang zu Akten, die die Erstellung oder Änderung dieser Verordnung betreffen, wird nicht gewährt.

(2) Das Bundesministerium des Innern bestimmt nach Anhörung der betroffenen Wirtschaftsverbände und im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, das Nähere über das Verfahren der Erteilung von Sicherheitszertifikaten und Anerkennungen nach § 9 und deren Inhalt.

(3) Für individuell zurechenbare öffentliche Leistungen nach diesem Gesetz und nach den zur Durchführung dieses Gesetzes erlassenen Rechtsverordnungen werden Gebühren und Auslagen erhoben. Die Höhe der Gebühren richtet sich nach dem mit den Leistungen verbundenen Verwaltungsaufwand. Das Bundesministerium des Innern bestimmt im Einvernehmen mit dem Bundesministerium der Finanzen durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, die gebührenpflichtigen Tatbestände, die Gebührensätze und die Auslagen.

(4) Soweit die Durchführungsrechtsakte der Kommission nach Artikel 16 Absatz 8 und 9 der Richtlinie (EU) 2016/1148 keine abschließenden Bestimmungen über die von Anbietern digitaler Dienste nach § 8c Absatz 2 zu treffenden Maßnahmen oder über die Parameter zur Beurteilung der Erheblichkeit der Auswirkungen von Sicherheitsvorfällen nach § 8c Absatz 3 Satz 2 oder über Form und Verfahren der Meldungen nach § 8c Absatz 3 Satz 4 enthalten, werden diese Bestimmungen vom Bundesministerium des Innern im Einvernehmen mit den jeweils betroffenen Ressorts durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, getroffen.

angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.

(2) Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Das Bundesamt stellt auf Antrag fest, ob diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. Die Feststellung erfolgt

1.
im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe,
2.
im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde.

(3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann die Vorlage der Dokumentation, die der Überprüfung zugrunde gelegt wurde, verlangen. Es kann bei Sicherheitsmängeln im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen.

(4) Das Bundesamt kann beim Betreiber Kritischer Infrastrukturen die Einhaltung der Anforderungen nach Absatz 1 überprüfen; es kann sich bei der Durchführung der Überprüfung eines qualifizierten unabhängigen Dritten bedienen. Der Betreiber Kritischer Infrastrukturen hat dem Bundesamt und den in dessen Auftrag handelnden Personen zum Zweck der Überprüfung das Betreten der Geschäfts- und Betriebsräume während der üblichen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren. Für die Überprüfung erhebt das Bundesamt Gebühren und Auslagen bei dem jeweiligen Betreiber Kritischer Infrastrukturen nur, sofern das Bundesamt auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Einhaltung der Anforderungen nach Absatz 1 begründeten.

(5) Das Bundesamt kann zur Ausgestaltung des Verfahrens der Sicherheitsaudits, Prüfungen und Zertifizierungen nach Absatz 3 Anforderungen an die Art und Weise der Durchführung, an die hierüber auszustellenden Nachweise sowie fachliche und organisatorische Anforderungen an die prüfende Stelle nach Anhörung von Vertretern der betroffenen Betreiber und der betroffenen Wirtschaftsverbände festlegen.

§ 8b Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen

(1) Das Bundesamt ist die zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit in der Informationstechnik.

(2) Das Bundesamt hat zur Wahrnehmung dieser Aufgabe

1.
die für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik wesentlichen Informationen zu sammeln und auszuwerten, insbesondere Informationen zu Sicherheitslücken, zu Schadprogrammen, zu erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und zu der dabei beobachteten Vorgehensweise,
2.
deren potentielle Auswirkungen auf die Verfügbarkeit der Kritischen Infrastrukturen in Zusammenarbeit mit den zuständigen Aufsichtsbehörden und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe zu analysieren,
3.
das Lagebild bezüglich der Sicherheit in der Informationstechnik der Kritischen Infrastrukturen kontinuierlich zu aktualisieren und
4.
unverzüglich
a)
die Betreiber Kritischer Infrastrukturen über sie betreffende Informationen nach den Nummern 1 bis 3,
b)
die zuständigen Aufsichtsbehörden und die sonst zuständigen Behörden des Bundes über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3,
c)
die zuständigen Aufsichtsbehörden der Länder oder die zu diesem Zweck dem Bundesamt von den Ländern als zentrale Kontaktstellen benannten Behörden über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3 sowie
d)
die zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union über nach Absatz 4 oder nach vergleichbaren Regelungen gemeldete erhebliche Störungen, die Auswirkungen in diesem Mitgliedstaat haben,
zu unterrichten.

(3) Die Betreiber Kritischer Infrastrukturen haben dem Bundesamt binnen sechs Monaten nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1

(1) Das Bundesministerium des Innern bestimmt durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, nach Anhörung von Vertretern der Wissenschaft, der betroffenen Betreiber und der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie, dem Bundesministerium der Justiz und für Verbraucherschutz, dem Bundesministerium der Finanzen, dem Bundesministerium für Arbeit und Soziales, dem Bundesministerium für Ernährung und Landwirtschaft, dem Bundesministerium für Gesundheit, dem Bundesministerium für Verkehr und digitale Infrastruktur, dem Bundesministerium der Verteidigung und dem Bundesministerium für Umwelt, Naturschutz, Bau und Reaktorsicherheit unter Festlegung der in den jeweiligen Sektoren im Hinblick auf § 2 Absatz 10 Satz 1 Nummer 2 wegen ihrer Bedeutung als kritisch anzusehenden Dienstleistungen und deren als bedeutend anzusehenden Versorgungsgrads, welche Einrichtungen, Anlagen oder Teile davon als Kritische Infrastrukturen im Sinne dieses Gesetzes gelten. Der nach Satz 1 als bedeutend anzusehende Versorgungsgrad ist anhand von branchenspezifischen Schwellenwerten für jede wegen ihrer Bedeutung als kritisch anzusehende Dienstleistung im jeweiligen Sektor zu bestimmen. Zugang zu Akten, die die Erstellung oder Änderung dieser Verordnung betreffen, wird nicht gewährt.

(2) Das Bundesministerium des Innern bestimmt nach Anhörung der betroffenen Wirtschaftsverbände und im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, das Nähere über das Verfahren der Erteilung von Sicherheitszertifikaten und Anerkennungen nach § 9 und deren Inhalt.

(3) Für individuell zurechenbare öffentliche Leistungen nach diesem Gesetz und nach den zur Durchführung dieses Gesetzes erlassenen Rechtsverordnungen werden Gebühren und Auslagen erhoben. Die Höhe der Gebühren richtet sich nach dem mit den Leistungen verbundenen Verwaltungsaufwand. Das Bundesministerium des Innern bestimmt im Einvernehmen mit dem Bundesministerium der Finanzen durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, die gebührenpflichtigen Tatbestände, die Gebührensätze und die Auslagen.

(4) Soweit die Durchführungsrechtsakte der Kommission nach Artikel 16 Absatz 8 und 9 der Richtlinie (EU) 2016/1148 keine abschließenden Bestimmungen über die von Anbietern digitaler Dienste nach § 8c Absatz 2 zu treffenden Maßnahmen oder über die Parameter zur Beurteilung der Erheblichkeit der Auswirkungen von Sicherheitsvorfällen nach § 8c Absatz 3 Satz 2 oder über Form und Verfahren der Meldungen nach § 8c Absatz 3 Satz 4 enthalten, werden diese Bestimmungen vom Bundesministerium des Innern im Einvernehmen mit den jeweils betroffenen Ressorts durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, getroffen.

eine Kontaktstelle für die von ihnen betriebenen Kritischen Infrastrukturen zu benennen. Die Betreiber haben sicherzustellen, dass sie hierüber jederzeit erreichbar sind. Die Übermittlung von Informationen durch das Bundesamt nach Absatz 2 Nummer 4 erfolgt an diese Kontaktstelle.

(4) Betreiber Kritischer Infrastrukturen haben die folgenden Störungen unverzüglich über die Kontaktstelle an das Bundesamt zu melden:

1.
Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt haben,
2.
erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können.
Die Meldung muss Angaben zu der Störung, zu möglichen grenzübergreifenden Auswirkungen sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur erbrachten kritischen Dienstleistung und zu den Auswirkungen der Störung auf diese Dienstleistung enthalten. Die Nennung des Betreibers ist nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat.

(5) Zusätzlich zu ihrer Kontaktstelle nach Absatz 3 können Betreiber Kritischer Infrastrukturen, die dem gleichen Sektor angehören, eine gemeinsame übergeordnete Ansprechstelle benennen. Wurde eine solche benannt, erfolgt der Informationsaustausch zwischen den Kontaktstellen und dem Bundesamt in der Regel über die gemeinsame Ansprechstelle.

(6) Soweit erforderlich kann das Bundesamt vom Hersteller der betroffenen informationstechnischen Produkte und Systeme die Mitwirkung an der Beseitigung oder Vermeidung einer Störung nach Absatz 4 verlangen. Satz 1 gilt für Störungen bei Betreibern und Genehmigungsinhabern im Sinne von § 8c Absatz 3

(1) Anbieter digitaler Dienste haben geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen, zu bewältigen. Sie haben Maßnahmen zu treffen, um den Auswirkungen von Sicherheitsvorfällen auf innerhalb der Europäischen Union erbrachte digitale Dienste vorzubeugen oder die Auswirkungen so gering wie möglich zu halten.

(2) Maßnahmen zur Bewältigung von Risiken für die Sicherheit der Netz- und Informationssysteme nach Absatz 1 Satz 1 müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Dabei ist folgenden Aspekten Rechnung zu tragen:

1.
der Sicherheit der Systeme und Anlagen,
2.
der Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen,
3.
dem Betriebskontinuitätsmanagement,
4.
der Überwachung, Überprüfung und Erprobung,
5.
der Einhaltung internationaler Normen.
Die notwendigen Maßnahmen werden durch Durchführungsrechtsakte der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 näher bestimmt.

(3) Anbieter digitaler Dienste haben jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines von ihnen innerhalb der Europäischen Union erbrachten digitalen Dienstes hat, unverzüglich dem Bundesamt zu melden. Die Voraussetzungen, nach denen Auswirkungen eines Sicherheitsvorfalls erheblich sind, werden durch Durchführungsakte der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 unter Berücksichtigung insbesondere der folgenden Parameter näher bestimmt:

1.
die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer, insbesondere der Nutzer, die den Dienst für die Bereitstellung ihrer eigenen Dienste benötigen,
2.
die Dauer des Sicherheitsvorfalls,
3.
das von dem Sicherheitsvorfall betroffene geographische Gebiet,
4.
das Ausmaß der Unterbrechung der Bereitstellung des Dienstes,
5.
das Ausmaß der Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten.
Die Pflicht zur Meldung eines Sicherheitsvorfalls entfällt, wenn der Anbieter keinen ausreichenden Zugang zu den Informationen hat, die erforderlich sind, um die Auswirkung eines Sicherheitsvorfalls gemessen an den Parametern nach Satz 2 zu bewerten. Für den Inhalt der Meldungen gilt § 8b Absatz 3 entsprechend, soweit nicht Durchführungsakte der Kommission nach Artikel 16 Absatz 9 der Richtlinie (EU) 2016/1148 etwas anderes bestimmen. Über nach Satz 1 gemeldete Sicherheitsvorfälle, die Auswirkungen in einem anderen Mitgliedstaat der Europäischen Union haben, hat das Bundesamt die zuständige Behörde dieses Mitgliedstaats zu unterrichten.

(4) Liegen Anhaltspunkte dafür vor, dass ein Anbieter digitaler Dienste die Anforderungen des Absatzes 1 in Verbindung mit den Durchführungsrechtsakten der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 und des Absatzes 2 in Verbindung mit den Durchführungsrechtsakten der Kommission nach Artikel 16 Absatz 9 der Richtlinie (EU) 2016/1148 nicht erfüllt, kann das Bundesamt von dem Anbieter digitaler Dienste folgende Maßnahmen verlangen:

1.
die Übermittlung der zur Beurteilung der Sicherheit seiner Netz- und Informationssysteme erforderlichen Informationen, einschließlich Nachweisen über ergriffene Sicherheitsmaßnahmen,
2.
die Beseitigung von Mängeln bei der Erfüllung der in den Absätzen 1 und 2 bestimmten Anforderungen.
Die Anhaltspunkte können sich auch aus Feststellungen ergeben, die dem Bundesamt von den zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union vorgelegt werden.

(5) Hat ein Anbieter digitaler Dienste seine Hauptniederlassung, einen Vertreter oder Netz- und Informationssysteme in einem anderen Mitgliedstaat der Europäischen Union, so arbeitet das Bundesamt bei der Erfüllung der Aufgaben nach Absatz 4 mit der zuständigen Behörde dieses Mitgliedstaats zusammen. Diese Zusammenarbeit kann das Ersuchen umfassen, die Maßnahmen in Absatz 4 Satz 1 Nummer 1 und 2 zu ergreifen.

entsprechend.

(7) Soweit im Rahmen dieser Vorschrift personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ist eine über die vorstehenden Absätze hinausgehende Verarbeitung und Nutzung zu anderen Zwecken unzulässig. § 5 Absatz 7 Satz 3 bis 8

(1) Das Bundesamt darf zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes

1.
Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen, erheben und automatisiert auswerten, soweit dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern bei der Kommunikationstechnik des Bundes oder von Angriffen auf die Informationstechnik des Bundes erforderlich ist,
2.
die an den Schnittstellen der Kommunikationstechnik des Bundes anfallenden Daten automatisiert auswerten, soweit dies für die Erkennung und Abwehr von Schadprogrammen erforderlich ist.
Sofern nicht die nachfolgenden Absätze eine weitere Verwendung gestatten, muss die automatisierte Auswertung dieser Daten unverzüglich erfolgen und müssen diese nach erfolgtem Abgleich sofort und spurenlos gelöscht werden. Die Verwendungsbeschränkungen gelten nicht für Protokolldaten, sofern diese weder personenbezogene noch dem Fernmeldegeheimnis unterliegende Daten beinhalten. Die Bundesbehörden sind verpflichtet, das Bundesamt bei Maßnahmen nach Satz 1 zu unterstützen und hierbei den Zugang des Bundesamtes zu behördeninternen Protokolldaten nach Satz 1 Nummer 1 sowie Schnittstellendaten nach Satz 1 Nummer 2 sicherzustellen. Protokolldaten der Bundesgerichte dürfen nur in deren Einvernehmen erhoben werden.

(2) Protokolldaten nach Absatz 1 Satz 1 Nummer 1 dürfen über den für die automatisierte Auswertung nach Absatz 1 Satz 1 Nummer 1 erforderlichen Zeitraum hinaus, längstens jedoch für drei Monate, gespeichert werden, soweit tatsächliche Anhaltspunkte bestehen, dass diese für den Fall der Bestätigung eines Verdachts nach Absatz 3 Satz 2 zur Abwehr von Gefahren, die von dem gefundenen Schadprogramm ausgehen oder zur Erkennung und Abwehr anderer Schadprogramme erforderlich sein können. Durch organisatorische und technische Maßnahmen ist sicherzustellen, dass eine Auswertung der nach diesem Absatz gespeicherten Daten nur automatisiert erfolgt. Die Daten sind zu pseudonymisieren, soweit dies automatisiert möglich ist. Eine nicht automatisierte Auswertung oder eine personenbezogene Verwendung ist nur nach Maßgabe der nachfolgenden Absätze zulässig. Soweit hierzu die Wiederherstellung des Personenbezugs pseudonymisierter Daten erforderlich ist, muss diese durch den Präsidenten des Bundesamtes angeordnet werden. Die Entscheidung ist zu protokollieren.

(3) Eine über die Absätze 1 und 2 hinausgehende Verwendung personenbezogener Daten ist nur zulässig, wenn bestimmte Tatsachen den Verdacht begründen, dass

1.
diese ein Schadprogramm enthalten,
2.
diese durch ein Schadprogramm übermittelt wurden oder
3.
sich aus ihnen Hinweise auf ein Schadprogramm ergeben können,
und soweit die Datenverarbeitung erforderlich ist, um den Verdacht zu bestätigen oder zu widerlegen. Im Falle der Bestätigung ist die weitere Verarbeitung personenbezogener Daten zulässig, soweit dies
1.
zur Abwehr des Schadprogramms,
2.
zur Abwehr von Gefahren, die von dem aufgefundenen Schadprogramm ausgehen, oder
3.
zur Erkennung und Abwehr anderer Schadprogramme erforderlich ist.
Ein Schadprogramm kann beseitigt oder in seiner Funktionsweise gehindert werden. Die nicht automatisierte Verwendung der Daten nach den Sätzen 1 und 2 darf nur durch einen Bediensteten des Bundesamtes mit der Befähigung zum Richteramt angeordnet werden.

(4) Die Beteiligten des Kommunikationsvorgangs sind spätestens nach dem Erkennen und der Abwehr eines Schadprogramms oder von Gefahren, die von einem Schadprogramm ausgehen, zu benachrichtigen, wenn sie bekannt sind oder ihre Identifikation ohne unverhältnismäßige weitere Ermittlungen möglich ist und nicht überwiegende schutzwürdige Belange Dritter entgegenstehen. Die Unterrichtung kann unterbleiben, wenn die Person nur unerheblich betroffen wurde, und anzunehmen ist, dass sie an einer Benachrichtigung kein Interesse hat. Das Bundesamt legt Fälle, in denen es von einer Benachrichtigung absieht, dem behördlichen Datenschutzbeauftragten des Bundesamtes sowie einem weiteren Bediensteten des Bundesamtes, der die Befähigung zum Richteramt hat, zur Kontrolle vor. Der behördliche Datenschutzbeauftragte ist bei Ausübung dieser Aufgabe weisungsfrei und darf deswegen nicht benachteiligt werden (§ 4f Absatz 3 des Bundesdatenschutzgesetzes). Wenn der behördliche Datenschutzbeauftragte der Entscheidung des Bundesamtes widerspricht, ist die Benachrichtigung nachzuholen. Die Entscheidung über die Nichtbenachrichtigung ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist nach zwölf Monaten zu löschen. In den Fällen der Absätze 5 und 6 erfolgt die Benachrichtigung durch die dort genannten Behörden in entsprechender Anwendung der für diese Behörden geltenden Vorschriften. Enthalten diese keine Bestimmungen zu Benachrichtigungspflichten, sind die Vorschriften der Strafprozessordnung entsprechend anzuwenden.

(5) Das Bundesamt kann die nach Absatz 3 verwendeten personenbezogenen Daten an die Strafverfolgungsbehörden zur Verfolgung einer mittels eines Schadprogramms begangenen Straftat nach den §§ 202a, 202b, 303a oder 303b des Strafgesetzbuches übermitteln. Es kann diese Daten ferner übermitteln

1.
zur Abwehr einer Gefahr für die öffentliche Sicherheit, die unmittelbar von einem Schadprogramm ausgeht, an die Polizeien des Bundes und der Länder,
2.
zur Unterrichtung über Tatsachen, die sicherheitsgefährdende oder geheimdienstliche Tätigkeiten für eine fremde Macht erkennen lassen, an das Bundesamt für Verfassungsschutz sowie an den Militärischen Abschirmdienst, wenn sich diese Tätigkeiten gegen Personen, Dienststellen oder Einrichtungen im Geschäftsbereich des Bundesministeriums der Verteidigung richten,
3.
zur Unterrichtung über Tatsachen, die einen internationalen kriminellen, terroristischen oder staatlichen Angriff mittels Schadprogrammen oder vergleichbaren schädlich wirkenden informationstechnischen Mitteln auf die Vertraulichkeit, Integrität oder Verfügbarkeit von IT-Systemen in Fällen von erheblicher Bedeutung mit Bezug zur Bundesrepublik Deutschland erkennen lassen, an den Bundesnachrichtendienst.

(6) Für sonstige Zwecke kann das Bundesamt die Daten übermitteln

1.
an die Strafverfolgungsbehörden zur Verfolgung einer Straftat von auch im Einzelfall erheblicher Bedeutung, insbesondere einer in § 100a Absatz 2 der Strafprozessordnung bezeichneten Straftat,
2.
an die Polizeien des Bundes und der Länder zur Abwehr einer Gefahr für den Bestand oder die Sicherheit des Staates oder Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhalt im öffentlichen Interesse geboten ist,
3.
an die Verfassungsschutzbehörden des Bundes und der Länder sowie an den Militärischen Abschirmdienst, wenn tatsächliche Anhaltspunkte für Bestrebungen in der Bundesrepublik Deutschland vorliegen, die durch Anwendung von Gewalt oder darauf gerichtete Vorbereitungshandlungen gegen die in § 3 Absatz 1 des Bundesverfassungsschutzgesetzes beziehungsweise § 1 Absatz 1 des Gesetzes über den Militärischen Abschirmdienst genannten Schutzgüter gerichtetsind,
4.
an den Bundesnachrichtendienst, wenn tatsächliche Anhaltspunkte für den Verdacht bestehen, dass jemand Straftaten nach § 3 Absatz 1 Nummer 8 des Artikel 10-Gesetzes plant, begeht oder begangen hat und dies von außen- und sicherheitspolitischer Bedeutung für die Bundesrepublik Deutschland ist.
Die Übermittlung nach Satz 1 Nummer 1 und 2 bedarf der vorherigen gerichtlichen Zustimmung. Für das Verfahren nach Satz 1 Nummer 1 und 2 gelten die Vorschriften des Gesetzes über das Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen Gerichtsbarkeit entsprechend. Zuständig ist das Amtsgericht, in dessen Bezirk das Bundesamt seinen Sitz hat. Die Übermittlung nach Satz 1 Nummer 3 und Nummer 4 erfolgt nach Zustimmung des Bundesministeriums des Innern; die §§ 9 bis 16 des Artikel 10-Gesetzes gelten entsprechend.

(7) Eine über die vorstehenden Absätze hinausgehende inhaltliche Auswertung zu anderen Zwecken und die Weitergabe von personenbezogenen Daten an Dritte sind unzulässig. Soweit möglich, ist technisch sicherzustellen, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden. Werden aufgrund der Maßnahmen der Absätze 1 bis 3 Erkenntnisse aus dem Kernbereich privater Lebensgestaltung oder Daten im Sinne des § 3 Absatz 9 des Bundesdatenschutzgesetzes erlangt, dürfen diese nicht verwendet werden. Erkenntnisse aus dem Kernbereich privater Lebensgestaltung sind unverzüglich zu löschen. Dies gilt auch in Zweifelsfällen. Die Tatsache ihrer Erlangung und Löschung ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist zu löschen, wenn sie für diese Zwecke nicht mehr erforderlich ist, spätestens jedoch am Ende des Kalenderjahres, das dem Jahr der Dokumentation folgt. Werden im Rahmen der Absätze 4 oder 5 Inhalte oder Umstände der Kommunikation von in § 53 Absatz 1 Satz 1 der Strafprozessordnung genannten Personen übermittelt, auf die sich das Zeugnisverweigerungsrecht der genannten Personen erstreckt, ist die Verwertung dieser Daten zu Beweiszwecken in einem Strafverfahren nur insoweit zulässig, als Gegenstand dieses Strafverfahrens eine Straftat ist, die im Höchstmaß mit mindestens fünf Jahren Freiheitsstrafe bedroht ist.

(8) Vor Aufnahme der Datenerhebung und -verwendung hat das Bundesamt ein Datenerhebungs- und -verwendungskonzept zu erstellen und für Kontrollen durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit bereitzuhalten. Das Konzept hat dem besonderen Schutzbedürfnis der Regierungskommunikation Rechnung zu tragen. Die für die automatisierte Auswertung verwendeten Kriterien sind zu dokumentieren. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit teilt das Ergebnis seiner Kontrollen nach § 24 des Bundesdatenschutzgesetzes auch dem Rat der IT-Beauftragten der Bundesregierung mit.

(9) Das Bundesamt unterrichtet den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres über

1.
die Anzahl der Vorgänge, in denen Daten nach Absatz 5 Satz 1, Absatz 5 Satz 2 Nummer 1 oder Absatz 6 Nummer 1 übermittelt wurden, aufgegliedert nach den einzelnen Übermittlungsbefugnissen,
2.
die Anzahl der personenbezogenen Auswertungen nach Absatz 3 Satz 1, in denen der Verdacht widerlegt wurde,
3.
die Anzahl der Fälle, in denen das Bundesamt nach Absatz 4 Satz 2 oder 3 von einer Benachrichtigung der Betroffenen abgesehen hat.

(10) Das Bundesamt unterrichtet kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres den Innenausschuss des Deutschen Bundestages über die Anwendung dieser Vorschrift.

ist entsprechend anzuwenden. Im Übrigen sind die Regelungen des Bundesdatenschutzgesetzes anzuwenden.

§ 8c Besondere Anforderungen an Anbieter digitaler Dienste

(1) Anbieter digitaler Dienste haben geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen, zu bewältigen. Sie haben Maßnahmen zu treffen, um den Auswirkungen von Sicherheitsvorfällen auf innerhalb der Europäischen Union erbrachte digitale Dienste vorzubeugen oder die Auswirkungen so gering wie möglich zu halten.

(2) Maßnahmen zur Bewältigung von Risiken für die Sicherheit der Netz- und Informationssysteme nach Absatz 1 Satz 1 müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Dabei ist folgenden Aspekten Rechnung zu tragen:

1.
der Sicherheit der Systeme und Anlagen,
2.
der Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen,
3.
dem Betriebskontinuitätsmanagement,
4.
der Überwachung, Überprüfung und Erprobung,
5.
der Einhaltung internationaler Normen.
Die notwendigen Maßnahmen werden durch Durchführungsrechtsakte der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 näher bestimmt.

(3) Anbieter digitaler Dienste haben jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines von ihnen innerhalb der Europäischen Union erbrachten digitalen Dienstes hat, unverzüglich dem Bundesamt zu melden. Die Voraussetzungen, nach denen Auswirkungen eines Sicherheitsvorfalls erheblich sind, werden durch Durchführungsakte der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 unter Berücksichtigung insbesondere der folgenden Parameter näher bestimmt:

1.
die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer, insbesondere der Nutzer, die den Dienst für die Bereitstellung ihrer eigenen Dienste benötigen,
2.
die Dauer des Sicherheitsvorfalls,
3.
das von dem Sicherheitsvorfall betroffene geographische Gebiet,
4.
das Ausmaß der Unterbrechung der Bereitstellung des Dienstes,
5.
das Ausmaß der Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten.
Die Pflicht zur Meldung eines Sicherheitsvorfalls entfällt, wenn der Anbieter keinen ausreichenden Zugang zu den Informationen hat, die erforderlich sind, um die Auswirkung eines Sicherheitsvorfalls gemessen an den Parametern nach Satz 2 zu bewerten. Für den Inhalt der Meldungen gilt § 8b Absatz 3

(1) Das Bundesamt ist die zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit in der Informationstechnik.

(2) Das Bundesamt hat zur Wahrnehmung dieser Aufgabe

1.
die für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik wesentlichen Informationen zu sammeln und auszuwerten, insbesondere Informationen zu Sicherheitslücken, zu Schadprogrammen, zu erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und zu der dabei beobachteten Vorgehensweise,
2.
deren potentielle Auswirkungen auf die Verfügbarkeit der Kritischen Infrastrukturen in Zusammenarbeit mit den zuständigen Aufsichtsbehörden und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe zu analysieren,
3.
das Lagebild bezüglich der Sicherheit in der Informationstechnik der Kritischen Infrastrukturen kontinuierlich zu aktualisieren und
4.
unverzüglich
a)
die Betreiber Kritischer Infrastrukturen über sie betreffende Informationen nach den Nummern 1 bis 3,
b)
die zuständigen Aufsichtsbehörden und die sonst zuständigen Behörden des Bundes über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3,
c)
die zuständigen Aufsichtsbehörden der Länder oder die zu diesem Zweck dem Bundesamt von den Ländern als zentrale Kontaktstellen benannten Behörden über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3 sowie
d)
die zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union über nach Absatz 4 oder nach vergleichbaren Regelungen gemeldete erhebliche Störungen, die Auswirkungen in diesem Mitgliedstaat haben,
zu unterrichten.

(3) Die Betreiber Kritischer Infrastrukturen haben dem Bundesamt binnen sechs Monaten nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 eine Kontaktstelle für die von ihnen betriebenen Kritischen Infrastrukturen zu benennen. Die Betreiber haben sicherzustellen, dass sie hierüber jederzeit erreichbar sind. Die Übermittlung von Informationen durch das Bundesamt nach Absatz 2 Nummer 4 erfolgt an diese Kontaktstelle.

(4) Betreiber Kritischer Infrastrukturen haben die folgenden Störungen unverzüglich über die Kontaktstelle an das Bundesamt zu melden:

1.
Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt haben,
2.
erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können.
Die Meldung muss Angaben zu der Störung, zu möglichen grenzübergreifenden Auswirkungen sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur erbrachten kritischen Dienstleistung und zu den Auswirkungen der Störung auf diese Dienstleistung enthalten. Die Nennung des Betreibers ist nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat.

(5) Zusätzlich zu ihrer Kontaktstelle nach Absatz 3 können Betreiber Kritischer Infrastrukturen, die dem gleichen Sektor angehören, eine gemeinsame übergeordnete Ansprechstelle benennen. Wurde eine solche benannt, erfolgt der Informationsaustausch zwischen den Kontaktstellen und dem Bundesamt in der Regel über die gemeinsame Ansprechstelle.

(6) Soweit erforderlich kann das Bundesamt vom Hersteller der betroffenen informationstechnischen Produkte und Systeme die Mitwirkung an der Beseitigung oder Vermeidung einer Störung nach Absatz 4 verlangen. Satz 1 gilt für Störungen bei Betreibern und Genehmigungsinhabern im Sinne von § 8c Absatz 3 entsprechend.

(7) Soweit im Rahmen dieser Vorschrift personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ist eine über die vorstehenden Absätze hinausgehende Verarbeitung und Nutzung zu anderen Zwecken unzulässig. § 5 Absatz 7 Satz 3 bis 8 ist entsprechend anzuwenden. Im Übrigen sind die Regelungen des Bundesdatenschutzgesetzes anzuwenden.

entsprechend, soweit nicht Durchführungsakte der Kommission nach Artikel 16 Absatz 9 der Richtlinie (EU) 2016/1148 etwas anderes bestimmen. Über nach Satz 1 gemeldete Sicherheitsvorfälle, die Auswirkungen in einem anderen Mitgliedstaat der Europäischen Union haben, hat das Bundesamt die zuständige Behörde dieses Mitgliedstaats zu unterrichten.

(4) Liegen Anhaltspunkte dafür vor, dass ein Anbieter digitaler Dienste die Anforderungen des Absatzes 1 in Verbindung mit den Durchführungsrechtsakten der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 und des Absatzes 2 in Verbindung mit den Durchführungsrechtsakten der Kommission nach Artikel 16 Absatz 9 der Richtlinie (EU) 2016/1148 nicht erfüllt, kann das Bundesamt von dem Anbieter digitaler Dienste folgende Maßnahmen verlangen:

1.
die Übermittlung der zur Beurteilung der Sicherheit seiner Netz- und Informationssysteme erforderlichen Informationen, einschließlich Nachweisen über ergriffene Sicherheitsmaßnahmen,
2.
die Beseitigung von Mängeln bei der Erfüllung der in den Absätzen 1 und 2 bestimmten Anforderungen.
Die Anhaltspunkte können sich auch aus Feststellungen ergeben, die dem Bundesamt von den zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union vorgelegt werden.

(5) Hat ein Anbieter digitaler Dienste seine Hauptniederlassung, einen Vertreter oder Netz- und Informationssysteme in einem anderen Mitgliedstaat der Europäischen Union, so arbeitet das Bundesamt bei der Erfüllung der Aufgaben nach Absatz 4 mit der zuständigen Behörde dieses Mitgliedstaats zusammen. Diese Zusammenarbeit kann das Ersuchen umfassen, die Maßnahmen in Absatz 4 Satz 1 Nummer 1 und 2 zu ergreifen.

§ 8d Anwendungsbereich

(1) Die §§ 8a

(1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.

(2) Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Das Bundesamt stellt auf Antrag fest, ob diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. Die Feststellung erfolgt

1.
im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe,
2.
im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde.

(3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann die Vorlage der Dokumentation, die der Überprüfung zugrunde gelegt wurde, verlangen. Es kann bei Sicherheitsmängeln im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen.

(4) Das Bundesamt kann beim Betreiber Kritischer Infrastrukturen die Einhaltung der Anforderungen nach Absatz 1 überprüfen; es kann sich bei der Durchführung der Überprüfung eines qualifizierten unabhängigen Dritten bedienen. Der Betreiber Kritischer Infrastrukturen hat dem Bundesamt und den in dessen Auftrag handelnden Personen zum Zweck der Überprüfung das Betreten der Geschäfts- und Betriebsräume während der üblichen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren. Für die Überprüfung erhebt das Bundesamt Gebühren und Auslagen bei dem jeweiligen Betreiber Kritischer Infrastrukturen nur, sofern das Bundesamt auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Einhaltung der Anforderungen nach Absatz 1 begründeten.

(5) Das Bundesamt kann zur Ausgestaltung des Verfahrens der Sicherheitsaudits, Prüfungen und Zertifizierungen nach Absatz 3 Anforderungen an die Art und Weise der Durchführung, an die hierüber auszustellenden Nachweise sowie fachliche und organisatorische Anforderungen an die prüfende Stelle nach Anhörung von Vertretern der betroffenen Betreiber und der betroffenen Wirtschaftsverbände festlegen.

und 8b

(1) Das Bundesamt ist die zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit in der Informationstechnik.

(2) Das Bundesamt hat zur Wahrnehmung dieser Aufgabe

1.
die für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik wesentlichen Informationen zu sammeln und auszuwerten, insbesondere Informationen zu Sicherheitslücken, zu Schadprogrammen, zu erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und zu der dabei beobachteten Vorgehensweise,
2.
deren potentielle Auswirkungen auf die Verfügbarkeit der Kritischen Infrastrukturen in Zusammenarbeit mit den zuständigen Aufsichtsbehörden und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe zu analysieren,
3.
das Lagebild bezüglich der Sicherheit in der Informationstechnik der Kritischen Infrastrukturen kontinuierlich zu aktualisieren und
4.
unverzüglich
a)
die Betreiber Kritischer Infrastrukturen über sie betreffende Informationen nach den Nummern 1 bis 3,
b)
die zuständigen Aufsichtsbehörden und die sonst zuständigen Behörden des Bundes über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3,
c)
die zuständigen Aufsichtsbehörden der Länder oder die zu diesem Zweck dem Bundesamt von den Ländern als zentrale Kontaktstellen benannten Behörden über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3 sowie
d)
die zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union über nach Absatz 4 oder nach vergleichbaren Regelungen gemeldete erhebliche Störungen, die Auswirkungen in diesem Mitgliedstaat haben,
zu unterrichten.

(3) Die Betreiber Kritischer Infrastrukturen haben dem Bundesamt binnen sechs Monaten nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 eine Kontaktstelle für die von ihnen betriebenen Kritischen Infrastrukturen zu benennen. Die Betreiber haben sicherzustellen, dass sie hierüber jederzeit erreichbar sind. Die Übermittlung von Informationen durch das Bundesamt nach Absatz 2 Nummer 4 erfolgt an diese Kontaktstelle.

(4) Betreiber Kritischer Infrastrukturen haben die folgenden Störungen unverzüglich über die Kontaktstelle an das Bundesamt zu melden:

1.
Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt haben,
2.
erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können.
Die Meldung muss Angaben zu der Störung, zu möglichen grenzübergreifenden Auswirkungen sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur erbrachten kritischen Dienstleistung und zu den Auswirkungen der Störung auf diese Dienstleistung enthalten. Die Nennung des Betreibers ist nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat.

(5) Zusätzlich zu ihrer Kontaktstelle nach Absatz 3 können Betreiber Kritischer Infrastrukturen, die dem gleichen Sektor angehören, eine gemeinsame übergeordnete Ansprechstelle benennen. Wurde eine solche benannt, erfolgt der Informationsaustausch zwischen den Kontaktstellen und dem Bundesamt in der Regel über die gemeinsame Ansprechstelle.

(6) Soweit erforderlich kann das Bundesamt vom Hersteller der betroffenen informationstechnischen Produkte und Systeme die Mitwirkung an der Beseitigung oder Vermeidung einer Störung nach Absatz 4 verlangen. Satz 1 gilt für Störungen bei Betreibern und Genehmigungsinhabern im Sinne von § 8c Absatz 3 entsprechend.

(7) Soweit im Rahmen dieser Vorschrift personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ist eine über die vorstehenden Absätze hinausgehende Verarbeitung und Nutzung zu anderen Zwecken unzulässig. § 5 Absatz 7 Satz 3 bis 8 ist entsprechend anzuwenden. Im Übrigen sind die Regelungen des Bundesdatenschutzgesetzes anzuwenden.

sind nicht anzuwenden auf Kleinstunternehmen im Sinne der Empfehlung 2003/361/EC der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom 20.5.2003, S. 36). Artikel 3 Absatz 4 des Anhangs der Empfehlung ist nicht anzuwenden.

(2) § 8a

(1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.

(2) Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Das Bundesamt stellt auf Antrag fest, ob diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. Die Feststellung erfolgt

1.
im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe,
2.
im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde.

(3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann die Vorlage der Dokumentation, die der Überprüfung zugrunde gelegt wurde, verlangen. Es kann bei Sicherheitsmängeln im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen.

(4) Das Bundesamt kann beim Betreiber Kritischer Infrastrukturen die Einhaltung der Anforderungen nach Absatz 1 überprüfen; es kann sich bei der Durchführung der Überprüfung eines qualifizierten unabhängigen Dritten bedienen. Der Betreiber Kritischer Infrastrukturen hat dem Bundesamt und den in dessen Auftrag handelnden Personen zum Zweck der Überprüfung das Betreten der Geschäfts- und Betriebsräume während der üblichen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren. Für die Überprüfung erhebt das Bundesamt Gebühren und Auslagen bei dem jeweiligen Betreiber Kritischer Infrastrukturen nur, sofern das Bundesamt auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Einhaltung der Anforderungen nach Absatz 1 begründeten.

(5) Das Bundesamt kann zur Ausgestaltung des Verfahrens der Sicherheitsaudits, Prüfungen und Zertifizierungen nach Absatz 3 Anforderungen an die Art und Weise der Durchführung, an die hierüber auszustellenden Nachweise sowie fachliche und organisatorische Anforderungen an die prüfende Stelle nach Anhörung von Vertretern der betroffenen Betreiber und der betroffenen Wirtschaftsverbände festlegen.

ist nicht anzuwenden auf

1.
Betreiber Kritischer Infrastrukturen, soweit sie ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen,
2.
Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energiewirtschaftsgesetzes vom 7. Juli 2005 (BGBl. I S. 1970, 3621), das zuletzt durch Artikel 3 des Gesetzes vom 17. Juli 2015 (BGBl. I S. 1324) geändert worden ist, in der jeweils geltenden Fassung, soweit sie den Regelungen des § 11

(1) Betreiber von Energieversorgungsnetzen sind verpflichtet, ein sicheres, zuverlässiges und leistungsfähiges Energieversorgungsnetz diskriminierungsfrei zu betreiben, zu warten und bedarfsgerecht zu optimieren, zu verstärken und auszubauen, soweit es wirtschaftlich zumutbar ist. Sie haben insbesondere die Aufgaben nach den §§ 12 bis 16a zu erfüllen. Die Verpflichtung gilt auch im Rahmen der Wahrnehmung der wirtschaftlichen Befugnisse der Leitung des vertikal integrierten Energieversorgungsunternehmens und seiner Aufsichtsrechte nach § 7a Absatz 4 Satz 3. Der Ausbau eines L-Gasversorgungsnetzes ist nicht bedarfsgerecht im Sinne von Satz 1, wenn er auf Grund von Netzanschlüssen erfolgen muss, zu deren Einräumung der Betreiber des L-Gasversorgungsnetzes nicht nach den §§ 17 und 18 verpflichtet war.

(1a) Der Betrieb eines sicheren Energieversorgungsnetzes umfasst insbesondere auch einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind. Die Regulierungsbehörde erstellt hierzu im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen und veröffentlicht diesen. Der Katalog der Sicherheitsanforderungen enthält auch Regelungen zur regelmäßigen Überprüfung der Erfüllung der Sicherheitsanforderungen. Ein angemessener Schutz des Betriebs eines Energieversorgungsnetzes liegt vor, wenn dieser Katalog der Sicherheitsanforderungen eingehalten und dies vom Betreiber dokumentiert worden ist. Die Einhaltung kann von der Regulierungsbehörde überprüft werden. Zu diesem Zwecke kann die Regulierungsbehörde nähere Bestimmungen zu Format, Inhalt und Gestaltung der Dokumentation nach Satz 4 treffen.

(1b) Betreiber von Energieanlagen, die durch Inkrafttreten der Rechtsverordnung gemäß § 10 Absatz 1 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 8 des Gesetzes vom 17. Juli 2015 (BGBl. I S. 1324) geändert worden ist, in der jeweils geltenden Fassung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind, haben innerhalb einer von der Regulierungsbehörde festzulegenden Frist einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme zu gewährleisten, die für einen sicheren Anlagenbetrieb notwendig sind. Die Regulierungsbehörde erstellt hierzu im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen, in den auch die Bestimmung der Frist nach Satz 1 aufzunehmen ist, und veröffentlicht diesen. Für Telekommunikations- und elektronische Datenverarbeitungssysteme von Anlagen nach § 7 Absatz 1 des Atomgesetzes haben Vorgaben auf Grund des Atomgesetzes Vorrang. Die für die nukleare Sicherheit zuständigen Genehmigungs- und Aufsichtsbehörden des Bundes und der Länder sind bei der Erarbeitung des Katalogs von Sicherheitsanforderungen zu beteiligen. Der Katalog von Sicherheitsanforderungen enthält auch Regelungen zur regelmäßigen Überprüfung der Erfüllung der Sicherheitsanforderungen. Ein angemessener Schutz des Betriebs von Energieanlagen im Sinne von Satz 1 liegt vor, wenn dieser Katalog eingehalten und dies vom Betreiber dokumentiert worden ist. Die Einhaltung kann von der Bundesnetzagentur überprüft werden. Zu diesem Zwecke kann die Regulierungsbehörde nähere Bestimmungen zu Format, Inhalt und Gestaltung der Dokumentation nach Satz 6 treffen.

(1c) Betreiber von Energieversorgungsnetzen und von solchen Energieanlagen, die durch Inkrafttreten der Rechtsverordnung gemäß § 10 Absatz 1 des BSI-Gesetzes als Kritische Infrastruktur bestimmt wurden, haben

1.
Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer erheblichen Beeinträchtigung der Funktionsfähigkeit des Energieversorgungsnetzes oder der betreffenden Energieanlage geführt haben,
2.
erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer erheblichen Beeinträchtigung der Funktionsfähigkeit des Energieversorgungsnetzes oder der betreffenden Energieanlage führen können,
über die Kontaktstelle unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik zu melden.

Die Meldung muss Angaben zu der Störung, zu möglichen grenzübergreifenden Auswirkungen sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache und der betroffenen Informationstechnik, enthalten. Die Nennung des Betreibers ist nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat. Das Bundesamt für Sicherheit in der Informationstechnik hat die Meldungen unverzüglich an die Bundesnetzagentur weiterzuleiten. Das Bundesamt für Sicherheit in der Informationstechnik und die Bundesnetzagentur haben sicherzustellen, dass die unbefugte Offenbarung der ihnen nach Satz 1 zur Kenntnis gelangten Angaben ausgeschlossen wird. Zugang zu den Akten des Bundesamtes für Sicherheit in der Informationstechnik sowie zu den Akten der Bundesnetzagentur in Angelegenheiten nach § 11 Absatz 1a bis Absatz 1c wird nicht gewährt. § 29 des Verwaltungsverfahrensgesetzes bleibt unberührt. § 8e Absatz 1 des BSI-Gesetzes ist entsprechend anzuwenden.

(2) Für einen bedarfsgerechten, wirtschaftlich zumutbaren Ausbau der Elektrizitätsversorgungsnetze nach Absatz 1 Satz 1 können Betreiber von Elektrizitätsversorgungsnetzen den Berechnungen für ihre Netzplanung die Annahme zugrunde legen, dass die prognostizierte jährliche Stromerzeugung je unmittelbar an ihr Netz angeschlossener Anlage zur Erzeugung von elektrischer Energie aus Windenergie an Land oder solarer Strahlungsenergie um bis zu 3 Prozent reduziert werden darf (Spitzenkappung). Betreiber von Elektrizitätsversorgungsnetzen, die für ihre Netzplanung eine Spitzenkappung zugrunde gelegt haben, müssen dies

1.
auf ihrer Internetseite veröffentlichen,
2.
dem Betreiber des vorgelagerten Elektrizitätsversorgungsnetzes, dem Betreiber des Übertragungsnetzes, der Bundesnetzagentur sowie der zuständigen Landesregulierungsbehörde unverzüglich mitteilen und
3.
im Rahmen der Netzplanung für einen sachkundigen Dritten nachvollziehbar dokumentieren.
Die Dokumentation nach Satz 2 Nummer 3 muss der Bundesnetzagentur, der zuständigen Landesregulierungsbehörde, dem Betreiber des vorgelagerten Elektrizitätsversorgungsnetzes, dem Betreiber des Übertragungsnetzes, einem Einspeisewilligen sowie einem an das Netz angeschlossenen Anlagenbetreiber auf Verlangen unverzüglich vorgelegt werden. Die §§ 13 und 14 und die §§ 11, 14 und 15 des Erneuerbare-Energien-Gesetzes bleiben unberührt. Ein Betreiber des Elektrizitätsversorgungsnetzes, der nach § 15 Absatz 2 Satz 1 des Erneuerbare-Energien-Gesetzes Kosten für die Reduzierung der Einspeisung von mehr als 3 Prozent der jährlichen Stromerzeugung einer Anlage zur Erzeugung von Strom aus erneuerbaren Energien, Grubengas oder Kraft-Wärme-Kopplung bei der Ermittlung seiner Netzentgelte in Ansatz bringt, muss der Bundesnetzagentur sowie der zuständigen Landesregulierungsbehörde den Umfang der und die Ursachen für die Reduzierung der Einspeisung mitteilen und im Fall einer Spitzenkappung die Dokumentation nach Satz 2 Nummer 3 vorlegen.

(3) Betreiber von Übertragungsnetzen können besondere netztechnische Betriebsmittel vorhalten, um die Sicherheit und Zuverlässigkeit des Elektrizitätsversorgungssystems bei einem tatsächlichen örtlichen Ausfall eines oder mehrerer Betriebsmittel im Übertragungsnetz wieder herzustellen. Mit dem Betrieb besonderer netztechnischer Betriebsmittel sind Dritte zu beauftragen. Entsprechendes gilt bei der Errichtung von Anlagen zur Erzeugung elektrischer Energie und der Bereitstellung abschaltbarer Lasten. Aufträge nach den Sätzen 2 und 3 werden im Wettbewerb und im Wege transparenter Verfahren vergeben. Dabei sind

1.
die Grundsätze der Wirtschaftlichkeit und der Verhältnismäßigkeit zu wahren und
2.
alle Teilnehmer des Verfahrens gleich zu behandeln.
Der Teil 4 des Gesetzes gegen Wettbewerbsbeschränkungen bleibt unberührt. Die Leistung oder die Arbeit besonderer netztechnischer Betriebsmittel darf weder ganz noch teilweise auf den Strommärkten veräußert werden. Die Betreiber von Übertragungsnetzen legen der Bundesnetzagentur rechtzeitig vor einer geplanten Beschaffung besonderer netztechnischer Betriebsmittel vor:
1.
Analysen, aus denen sich die Erforderlichkeit besonderer netztechnischer Betriebsmittel unter Berücksichtigung bestehender Energieanlagen ergibt, sowie
2.
ein Beschaffungskonzept, welches das Vergabeverfahren nach den Sätzen 2 bis 5 beschreibt.

(4) In Rechtsverordnungen über die Regelung von Vertrags- und sonstigen Rechtsverhältnissen können auch Regelungen zur Haftung der Betreiber von Energieversorgungsnetzen aus Vertrag und unerlaubter Handlung für Sach- und Vermögensschäden, die ein Kunde durch Unterbrechung der Energieversorgung oder durch Unregelmäßigkeiten in der Energieversorgung erleidet, getroffen werden. Dabei kann die Haftung auf vorsätzliche oder grob fahrlässige Verursachung beschränkt und der Höhe nach begrenzt werden. Soweit es zur Vermeidung unzumutbarer wirtschaftlicher Risiken des Netzbetriebs im Zusammenhang mit Verpflichtungen nach § 13 Absatz 2, § 13b Absatz 5 und § 13f Absatz 1, auch in Verbindung mit § 14, und § 16 Absatz 2 und 2a, auch in Verbindung mit § 16a, erforderlich ist, kann die Haftung darüber hinaus vollständig ausgeschlossen werden.

des Energiewirtschaftsgesetzes unterliegen,
3.
die Gesellschaft für Telematik nach § 291a Absatz 7 Satz 2

(1) Die elektronische Gesundheitskarte dient mit den in den Absätzen 2 und 3 genannten Anwendungen der Verbesserung von Wirtschaftlichkeit, Qualität und Transparenz der Behandlung.

(1a) Werden von Unternehmen der privaten Krankenversicherung elektronische Gesundheitskarten für die Verarbeitung und Nutzung von Daten nach Absatz 2 Satz 1 Nr. 1 und Absatz 3 Satz 1 an ihre Versicherten ausgegeben, gelten Absatz 2 Satz 1 Nr. 1 und Satz 2 sowie die Absätze 3 bis 5a, 6 und 8 entsprechend. Für den Einsatz elektronischer Gesundheitskarten nach Satz 1 können Unternehmen der privaten Krankenversicherung als Versichertennummer den unveränderbaren Teil der Krankenversichertennummer nach § 290 Abs. 1 Satz 2 nutzen. § 290 Abs. 1 Satz 4 bis 7 gilt entsprechend. Die Vergabe der Versichertennummer erfolgt durch die Vertrauensstelle nach § 290 Abs. 2 Satz 2 und hat den Vorgaben der Richtlinien nach § 290 Abs. 2 Satz 1 für den unveränderbaren Teil der Krankenversichertennummer zu entsprechen. Die Kosten zur Bildung der Versichertennummer und, sofern die Vergabe einer Rentenversicherungsnummer erforderlich ist, zur Vergabe der Rentenversicherungsnummer tragen die Unternehmen der privaten Krankenversicherung. Die Regelungen dieses Absatzes gelten auch für die Postbeamtenkrankenkasse und die Krankenversorgung der Bundesbahnbeamten.

(2) Die elektronische Gesundheitskarte muss geeignet sein, Angaben aufzunehmen für

1.
die Übermittlung ärztlicher Verordnungen in elektronischer und maschinell verwertbarer Form sowie
2.
den Berechtigungsnachweis zur Inanspruchnahme von Leistungen in einem Mitgliedstaat der Europäischen Union, einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum oder der Schweiz.
§ 6c des Bundesdatenschutzgesetzes findet Anwendung.

(3) Über Absatz 2 hinaus muss die Gesundheitskarte geeignet sein, folgende Anwendungen zu unterstützen, insbesondere das Erheben, Verarbeiten und Nutzen von

1.
medizinischen Daten, soweit sie für die Notfallversorgung erforderlich sind,
2.
Befunden, Diagnosen, Therapieempfehlungen sowie Behandlungsberichten in elektronischer und maschinell verwertbarer Form für eine einrichtungsübergreifende, fallbezogene Kooperation (elektronischer Arztbrief),
3.
Daten des Medikationsplans nach § 31a einschließlich Daten zur Prüfung der Arzneimitteltherapiesicherheit,
4.
Daten über Befunde, Diagnosen, Therapiemaßnahmen, Behandlungsberichte sowie Impfungen für eine fall- und einrichtungsübergreifende Dokumentation über die Versicherten sowie durch von Versicherten selbst oder für sie zur Verfügung gestellte Daten (elektronische Patientenakte),
5.
(weggefallen)
6.
Daten über in Anspruch genommene Leistungen und deren vorläufige Kosten für die Versicherten (§ 305 Abs. 2),
7.
Erklärungen der Versicherten zur Organ- und Gewebespende,
8.
Hinweisen der Versicherten auf das Vorhandensein und den Aufbewahrungsort von Erklärungen zur Organ- und Gewebespende sowie
9.
Hinweisen der Versicherten auf das Vorhandensein und den Aufbewahrungsort von Vorsorgevollmachten oder Patientenverfügungen nach § 1901a des Bürgerlichen Gesetzbuchs;
die Verarbeitung und Nutzung von Daten nach Nummer 1 muss auch auf der Karte ohne Netzzugang möglich sein. Die Authentizität der Erklärungen nach Satz 1 Nummer 7 muss sichergestellt sein. Spätestens bei der Versendung der Karte hat die Krankenkasse die Versicherten umfassend und in allgemein verständlicher Form über deren Funktionsweise, einschließlich der Art der auf ihr oder durch sie zu erhebenden, zu verarbeitenden oder zu nutzenden personenbezogenen Daten zu informieren. § 6c des Bundesdatenschutzgesetzes findet Anwendung.

(4) Zum Zwecke des Erhebens, Verarbeitens oder Nutzens mittels der elektronischen Gesundheitskarte dürfen, soweit es zur Versorgung der Versicherten erforderlich ist, auf Daten

1.
nach Absatz 2 Satz 1 Nr. 1 ausschließlich
a)
Ärzte,
b)
Zahnärzte,
c)
Apotheker, Apothekerassistenten, Pharmazieingenieure, Apothekenassistenten,
d)
Personen, die
aa)
bei den unter Buchstabe a bis c Genannten oder
bb)
in einem Krankenhaus
als berufsmäßige Gehilfen oder zur Vorbereitung auf den Beruf tätig sind, soweit dies im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich ist und der Zugriff unter Aufsicht der in Buchstabe a bis c Genannten erfolgt,
e)
sonstige Erbringer ärztlich verordneter Leistungen,
2.
nach Absatz 3 Satz 1 Nr. 1 bis 5 ausschließlich
a)
Ärzte,
b)
Zahnärzte,
c)
Apotheker, Apothekerassistenten, Pharmazieingenieure, Apothekenassistenten,
d)
Personen, die
aa)
bei den unter Buchstabe a bis c Genannten oder
bb)
in einem Krankenhaus
als berufsmäßige Gehilfen oder zur Vorbereitung auf den Beruf tätig sind, soweit dies im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich ist und der Zugriff unter Aufsicht der in Buchstabe a bis c Genannten erfolgt,
e)
nach Absatz 3 Satz 1 Nr. 1, beschränkt auf den lesenden Zugriff, auch Angehörige eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert,
f)
Psychotherapeuten
zugreifen. Die Versicherten haben das Recht, auf die Daten nach Absatz 2 Satz 1 und Absatz 3 Satz 1 zuzugreifen.

(5) Das Erheben, Verarbeiten und Nutzen von Daten mittels der elektronischen Gesundheitskarte in den Fällen des Absatzes 3 Satz 1 ist nur mit dem Einverständnis der Versicherten zulässig. Durch technische Vorkehrungen ist zu gewährleisten, dass in den Fällen des Absatzes 3 Satz 1 Nr. 2 bis 6 der Zugriff vorbehaltlich Satz 4 nur durch Autorisierung der Versicherten möglich ist. Soweit es zur Notfallversorgung erforderlich ist, ist der Zugriff auf Daten nach Absatz 3 Satz 1 Nummer 1 ohne eine Autorisierung der Versicherten zulässig; ansonsten ist der Zugriff auf Daten nach Absatz 3 Satz 1 Nummer 1 zulässig, soweit er zur Versorgung der Versicherten erforderlich ist und wenn nachprüfbar protokolliert wird, dass der Zugriff mit Einverständnis der Versicherten erfolgt. Bei Daten nach Absatz 3 Satz 1 Nummer 3 können die Versicherten auf das Erfordernis der Zugriffsautorisierung nach Satz 2 verzichten. Der Zugriff auf Daten sowohl nach Absatz 2 Satz 1 Nr. 1 als auch nach Absatz 3 Satz 1 Nummer 1 bis 6 mittels der elektronischen Gesundheitskarte darf nur in Verbindung mit einem elektronischen Heilberufsausweis, im Falle des Absatzes 2 Satz 1 Nr. 1 auch in Verbindung mit einem entsprechenden Berufsausweis, erfolgen, die jeweils über eine Möglichkeit zur sicheren Authentifizierung und über eine qualifizierte elektronische Signatur verfügen. Zugriffsberechtigte Personen nach Absatz 4 Satz 1 Nr. 1 Buchstabe d und e sowie Nr. 2 Buchstabe d und e, die über keinen elektronischen Heilberufsausweis oder entsprechenden Berufsausweis verfügen, können auf die entsprechenden Daten zugreifen, wenn sie hierfür von Personen autorisiert sind, die über einen elektronischen Heilberufsausweis oder entsprechenden Berufsausweis verfügen, und wenn nachprüfbar elektronisch protokolliert wird, wer auf die Daten zugegriffen hat und von welcher Person die zugreifende Person autorisiert wurde. Der Zugriff auf Daten nach Absatz 2 Satz 1 Nr. 1 mittels der elektronischen Gesundheitskarte kann abweichend von den Sätzen 5 und 6 auch erfolgen, wenn die Versicherten den jeweiligen Zugriff durch ein geeignetes technisches Verfahren autorisieren. Abweichend von Satz 5 können die Versicherten auf Daten nach Absatz 3 Satz 1 Nummer 4 auch zugreifen, wenn sie sich für den Zugriff durch ein geeignetes technisches Verfahren authentifizieren. Ein Zugriff nach Satz 8 kann auch ohne Einsatz der elektronischen Gesundheitskarte erfolgen, wenn der Versicherte nach umfassender Information durch seine Krankenkasse gegenüber der Krankenkasse schriftlich oder elektronisch erklärt hat, dieses Zugriffsverfahren zu nutzen. Auf Wunsch des Versicherten haben Zugriffsberechtigte nach Absatz 4 bei Erhebung, Verarbeitung oder Nutzung der mittels der elektronischen Gesundheitskarte gespeicherten Daten nach Absatz 3 Satz 1 sowie der Daten nach § 291f diese dem Versicherten als Daten nach Absatz 3 Satz 1 Nummer 4 zur Verfügung zu stellen; die Zugriffsberechtigten haben die Versicherten über diese Möglichkeit zu informieren.

(5a) Zum Zwecke des Erhebens, Verarbeitens oder Nutzens mittels der elektronischen Gesundheitskarte dürfen, soweit es zur Versorgung erforderlich ist, auf Daten nach Absatz 3 Satz 1 Nummer 7 bis 9 ausschließlich

1.
Ärzte,
2.
Personen, die
a)
bei Ärzten oder
b)
in einem Krankenhaus
als berufsmäßige Gehilfen oder zur Vorbereitung auf den Beruf tätig sind, soweit dies im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich ist und der Zugriff unter Aufsicht eines Arztes erfolgt,
in Verbindung mit einem elektronischen Heilberufsausweis, der über eine Möglichkeit zur sicheren Authentifizierung und über eine qualifizierte elektronische Signatur verfügt, zugreifen; Absatz 5 Satz 1 und 6 gilt entsprechend. Ohne Einverständnis der betroffenen Person dürfen Zugriffsberechtigte nach Satz 1 auf Daten
1.
nach Absatz 3 Satz 1 Nummer 7 und 8 nur zugreifen, nachdem der Tod nach § 3 Absatz 1 Satz 1 Nummer 2 des Transplantationsgesetzes festgestellt wurde und der Zugriff zur Klärung erforderlich ist, ob die verstorbene Person in die Entnahme von Organen oder Gewebe eingewilligt hat,
2.
nach Absatz 3 Satz 1 Nummer 9 nur zugreifen, wenn eine ärztlich indizierte Maßnahme unmittelbar bevorsteht und die betroffene Person nicht fähig ist, in die Maßnahme einzuwilligen.
Zum Speichern, Verändern, Sperren oder Löschen von Daten nach Absatz 3 Satz 1 Nummer 7 durch Zugriffsberechtigte nach Satz 1 ist eine technische Autorisierung durch die Versicherten für den Zugriff erforderlich. Versicherte können auf Daten nach Absatz 3 Satz 1 Nummer 7 bis 9 zugreifen, wenn sie sich für den Zugriff durch ein geeignetes technisches Verfahren authentifizieren. Sobald die technische Infrastruktur für das Erheben, Verarbeiten und Nutzen von Daten nach Absatz 3 Satz 1 Nummer 7 bis 9 flächendeckend zur Verfügung steht, haben die Krankenkassen die Versicherten umfassend über die Möglichkeiten der Wahrnehmung ihrer Zugriffsrechte zu informieren sowie allein oder in Kooperation mit anderen Krankenkassen für ihre Versicherten technische Einrichtungen zur Wahrnehmung ihrer Zugriffsrechte nach Satz 4 flächendeckend zur Verfügung zu stellen. Der Spitzenverband Bund der Krankenkassen hat über die Ausstattung jährlich einen Bericht nach den Vorgaben des Bundesministeriums für Gesundheit zu erstellen und ihm diesen erstmals zum 31. Januar 2016 vorzulegen.

(5b) Die Gesellschaft für Telematik hat Verfahren zur Unterstützung der Versicherten bei der Verwaltung von Daten nach Absatz 3 Satz 1 Nummer 7 bis 9 zu entwickeln und hierbei auch die Möglichkeit zu schaffen, dass Versicherte für die Dokumentation der Erklärung auf der elektronischen Gesundheitskarte die Unterstützung der Krankenkasse in Anspruch nehmen können. Bei diesen für die Versicherten freiwilligen Verfahren sind Rückmeldeverfahren der Versicherten über die Krankenkassen mit einzubeziehen, bei denen die Krankenkassen mit Zustimmung der Versicherten Daten nach Absatz 3 Satz 1 Nummer 7 und 8 speichern und löschen können. Über das Ergebnis der Entwicklung legt die Gesellschaft für Telematik dem Deutschen Bundestag über das Bundesministerium für Gesundheit spätestens bis zum 30. Juni 2013 einen Bericht vor. Anderenfalls kann das Bundesministerium für Gesundheit Verfahren nach den Sätzen 1 und 2 im Rahmen eines Forschungs- und Entwicklungsvorhabens entwickeln lassen, dessen Kosten von der Gesellschaft für Telematik zu erstatten sind. In diesem Fall unterrichtet das Bundesministerium für Gesundheit den Deutschen Bundestag über das Ergebnis der Entwicklung.

(5c) Die Gesellschaft für Telematik hat bis zum 31. Dezember 2018 die erforderlichen Voraussetzungen dafür zu schaffen, dass

1.
Daten über den Versicherten in einer elektronischen Patientenakte nach Absatz 3 Satz 1 Nummer 4 bereitgestellt werden können und
2.
Versicherte für die elektronische Patientenakte nach Absatz 3 Satz 1 Nummer 4 Daten zur Verfügung stellen können.
Die technischen und organisatorischen Verfahren hierfür müssen geeignet sein, Daten nach Absatz 3 Satz 1 Nummer 1 bis 3 sowie Daten nach § 291f für eine fall- und einrichtungsübergreifende Dokumentation verfügbar zu machen. Sie sollen geeignet sein, weitere medizinische Daten des Versicherten verfügbar zu machen. Die Krankenkassen sind verpflichtet, ihren Versicherten spätestens ab dem 1. Januar 2021 eine von der Gesellschaft für Telematik nach § 291b Absatz 1a Satz 1 zugelassene elektronische Patientenakte zur Verfügung zu stellen. Die Krankenkassen haben ihre Versicherten spätestens bei der Zurverfügungstellung der elektronischen Patientenakte in allgemein verständlicher Form über deren Funktionsweise, einschließlich der Art der in ihr zu verarbeitenden Daten und über die Zugriffsrechte, zu informieren. Die Krankenkassen können ihren Versicherten in der zugelassenen elektronischen Patientenakte zusätzliche Inhalte und Anwendungen zu den Inhalten und Anwendungen, die von der Gesellschaft für Telematik für eine elektronische Patientenakte festgelegt werden, zur Verfügung stellen, sofern diese zusätzlichen Inhalte und Anwendungen die nach § 291b Absatz 1a Satz 1 zugelassene elektronische Patientenakte nicht beeinträchtigen. Bis alle Krankenkassen ihrer Verpflichtung nach Satz 4 nachgekommen sind, prüft der Spitzenverband Bund der Krankenkassen jährlich zum Stichtag 1. Januar eines Jahres, erstmals zum 1. Januar 2021, ob die Krankenkassen ihren Versicherten eine von der Gesellschaft für Telematik zugelassene elektronische Patientenakte nach Satz 4 zur Verfügung gestellt haben. Ist eine Krankenkasse ihrer Verpflichtung nach Satz 4 nicht nachgekommen, stellt der Spitzenverband Bund der Krankenkassen dies durch Bescheid fest. In dem Bescheid ist die betroffene Krankenkasse über die Sanktionierung gemäß § 270 Absatz 3 zu informieren. Klagen gegen den Bescheid haben keine aufschiebende Wirkung. Der Spitzenverband Bund der Krankenkassen teilt dem Bundesversicherungsamt erstmalig bis zum 15. Januar 2021 mit, welche Krankenkassen ihrer Verpflichtung nach Satz 4 nicht nachgekommen sind. Die Mitteilung nach Satz 11 erfolgt jeweils zum 15. Januar des Jahres, an dem der Spitzenverband Bund der Krankenkassen durch Bescheid festgestellt hat, dass eine Krankenkasse ihrer Verpflichtung nach Satz 4 nicht nachgekommen ist.

(5d) Bis zum 30. Juni 2020 hat die Gesellschaft für Telematik die Maßnahmen durchzuführen, die erforderlich sind, damit ärztliche Verordnungen für apothekenpflichtige Arzneimittel in elektronischer Form übermittelt werden können. Bei der Durchführung der Maßnahmen nach Satz 1 berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Verfahren schrittweise auf sonstige ärztliche Verordnungen, Verordnungen von Betäubungsmitteln und Verordnungen ohne direkten Kontakt zwischen Arzt oder Zahnarzt und Versicherten ausgedehnt werden sollen.

(5e) Die Länder bestimmen entsprechend dem Stand des Aufbaus der Telematikinfrastruktur

1.
die Stellen, die für die Ausgabe elektronischer Heilberufs- und Berufsausweise zuständig sind, und
2.
die Stellen, die bestätigen, dass eine Person
a)
befugt ist, einen der von Absatz 4 Satz 1 erfassten Berufe im Geltungsbereich dieses Gesetzes auszuüben oder, sofern für einen der in Absatz 4 Satz 1 erfassten Berufe lediglich die Führung der Berufsbezeichnung geschützt ist, die Berufsbezeichnung zu führen oder
b)
zu den sonstigen Zugriffsberechtigten nach Absatz 4 gehört.
Die Länder können zur Wahrnehmung der Aufgaben nach Satz 1 gemeinsame Stellen bestimmen. Die nach Satz 1 Nummer 2 oder nach Satz 2 jeweils zuständige Stelle hat der nach Satz 1 Nummer 1 zuständigen Stelle die für die Ausgabe elektronischer Heilberufs- und Berufsausweise erforderlichen Daten auf Anforderung zu übermitteln. Entfällt die Befugnis zur Ausübung des Berufs, zur Führung der Berufsbezeichnung oder sonst das Zugriffsrecht nach Absatz 4, hat die jeweilige Stelle nach Satz 1 Nr. 2 oder Satz 2 die herausgebende Stelle in Kenntnis zu setzen; diese hat unverzüglich die Sperrung der Authentifizierungsfunktion des elektronischen Heilberufs- oder Berufsausweises zu veranlassen.

(6) Daten nach Absatz 2 Satz 1 Nr. 1 und Absatz 3 Satz 1 müssen auf Verlangen der Versicherten gelöscht werden; die Verarbeitung und Nutzung von Daten nach Absatz 2 Satz 1 Nr. 1 für Zwecke der Abrechnung bleiben davon unberührt. Daten nach Absatz 2 Satz 1 Nummer 1 und Absatz 3 Satz 1 Nummer 4 und 7 bis 9 können Versicherte auch eigenständig löschen. Durch technische Vorkehrungen ist zu gewährleisten, dass mindestens die letzten 50 Zugriffe auf die Daten nach Absatz 2 oder Absatz 3 für Zwecke der Datenschutzkontrolle protokolliert werden. Eine Verwendung der Protokolldaten für andere Zwecke ist unzulässig. Die Protokolldaten sind durch geeignete Vorkehrungen gegen zweckfremde Verwendung und sonstigen Missbrauch zu schützen.

(7) Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, der Spitzenverband Bund der Krankenkassen, die Kassenärztliche Bundesvereinigung, die Kassenzahnärztliche Bundesvereinigung, die Bundesärztekammer, die Bundeszahnärztekammer, die Deutsche Krankenhausgesellschaft sowie die für die Wahrnehmung der wirtschaftlichen Interessen gebildete maßgebliche Spitzenorganisation der Apotheker auf Bundesebene schaffen die insbesondere für die Nutzung der elektronischen Gesundheitskarte und ihrer Anwendungen erforderliche interoperable und kompatible Informations-, Kommunikations- und Sicherheitsinfrastruktur (Telematikinfrastruktur). Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, und die in Satz 1 genannten Spitzenorganisationen nehmen diese Aufgabe durch eine Gesellschaft für Telematik nach Maßgabe des § 291b wahr, die die Regelungen zur Telematikinfrastruktur trifft sowie deren Aufbau und Betrieb übernimmt. Über Anwendungen der elektronischen Gesundheitskarte hinaus kann die Telematikinfrastruktur für weitere elektronische Anwendungen des Gesundheitswesens sowie für die Gesundheitsforschung verwendet werden, wenn

1.
die Wirksamkeit der Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit sowie die Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur nicht beeinträchtigt werden,
2.
im Falle des Erhebens, Verarbeitens und Nutzens personenbezogener Daten die dafür geltenden Vorschriften zum Datenschutz eingehalten und die erforderlichen technischen Maßnahmen getroffen werden, um die Anforderungen an die Sicherheit der Anwendung im Hinblick auf die Schutzbedürftigkeit der Daten zu gewährleisten, und
3.
bei den dafür erforderlichen technischen Systemen und Verfahren Barrierefreiheit für den Versicherten gewährleistet ist.
Vereinbarungen und Richtlinien zur elektronischen Datenübermittlung nach diesem Buch müssen, soweit sie die Telematikinfrastruktur berühren, mit deren Regelungen vereinbar sein. Die in Satz 1 genannten Spitzenorganisationen treffen eine Vereinbarung zur Finanzierung
1.
der erforderlichen erstmaligen Ausstattungskosten, die den Leistungserbringern in der Festlegungs-, Erprobungs- und Einführungsphase der Telematikinfrastruktur sowie
2.
der Kosten, die den Leistungserbringern im laufenden Betrieb der Telematikinfrastruktur, einschließlich der Aufteilung dieser Kosten auf die in den Absätzen 7a und 7b genannten Leistungssektoren, entstehen.
Zur Finanzierung der Gesellschaft für Telematik zahlt der Spitzenverband Bund der Krankenkassen an die Gesellschaft für Telematik jährlich einen Betrag in Höhe von 1,00 Euro je Mitglied der gesetzlichen Krankenversicherung; die Zahlungen sind quartalsweise, spätestens drei Wochen vor Beginn des jeweiligen Quartals, zu leisten. Die Höhe des Betrages kann das Bundesministerium für Gesundheit entsprechend dem Mittelbedarf der Gesellschaft für Telematik und unter Beachtung des Gebotes der Wirtschaftlichkeit durch Rechtsverordnung ohne Zustimmung des Bundesrates anpassen. Die Kosten der Sätze 5 und 6 zählen nicht zu den Ausgaben nach § 4 Abs. 4 Satz 2 und 6.

(7a) Die bei den Krankenhäusern entstehenden Investitions- und Betriebskosten nach Absatz 7 Satz 5 Nummer 1 und 2 werden durch einen Zuschlag finanziert (Telematikzuschlag). Der Zuschlag nach Satz 1 wird in der Rechnung des Krankenhauses jeweils gesondert ausgewiesen; er geht nicht in den Gesamtbetrag oder die Erlösausgleiche nach dem Krankenhausentgeltgesetz oder der Bundespflegesatzverordnung ein. Das Nähere zur Höhe und Erhebung des Zuschlags nach Satz 1 regelt der Spitzenverband Bund der Krankenkassen gemeinsam mit der Deutschen Krankenhausgesellschaft in einer gesonderten Vereinbarung. Kommt eine Vereinbarung nicht innerhalb einer vom Bundesministerium für Gesundheit gesetzten Frist oder, in den folgenden Jahren, jeweils bis zum 30. Juni zu Stande, legt die Schiedsstelle nach § 18a Absatz 6 des Krankenhausfinanzierungsgesetzes auf Antrag einer Vertragspartei oder des Bundesministeriums für Gesundheit mit Wirkung für die Vertragsparteien innerhalb einer Frist von zwei Monaten den Vereinbarungsinhalt fest. Die Klage gegen die Festsetzung der Schiedsstelle hat keine aufschiebende Wirkung. Für die Finanzierung der Investitions- und Betriebskosten nach Absatz 7 Satz 5 Nummer 1 und 2, die bei Leistungserbringern nach § 115b Absatz 2 Satz 1, § 116b Absatz 2 Satz 1 und § 120 Absatz 2 Satz 1 sowie bei Notfallambulanzen in Krankenhäusern, die Leistungen für die Versorgung im Notfall erbringen, entstehen, finden die Sätze 1 und 2 erster Halbsatz sowie die Sätze 3 und 4 entsprechend Anwendung.

(7b) Zum Ausgleich der Kosten nach Absatz 7 Satz 5 erhalten die in diesem Absatz genannten Leistungserbringer nutzungsbezogene Zuschläge von den Krankenkassen. Das Nähere zu den Regelungen der Vereinbarung nach Absatz 7 Satz 5 für die an der vertragsärztlichen Versorgung teilnehmenden Ärzte, Zahnärzte, Psychotherapeuten sowie medizinischen Versorgungszentren vereinbaren der Spitzenverband Bund der Krankenkassen und die Kassenärztlichen Bundesvereinigungen in den Bundesmantelverträgen. Bis zum 30. September 2017 vereinbaren die Vertragspartner nach Satz 2 mit Wirkung ab dem 1. Januar 2018 nutzungsbezogene Zuschläge für die Nutzung von Daten nach Absatz 3 Satz 1 Nummer 1 und für die Nutzung von Daten nach Absatz 3 Satz 1 Nummer 3. Das Nähere zu den Regelungen der Vereinbarung nach Absatz 7 Satz 5 für die Arzneimittelversorgung vereinbaren der Spitzenverband Bund der Krankenkassen und die für die Wahrnehmung der wirtschaftlichen Interessen gebildete maßgebliche Spitzenorganisation der Apotheker auf Bundesebene im Rahmenvertrag nach § 129 Abs. 2; die nutzungsbezogenen Zuschläge für die Nutzung von Daten nach Absatz 3 Satz 1 Nummer 3 sind bis zum 30. September 2017 mit Wirkung ab dem 1. Januar 2018 zu vereinbaren. Kommt eine Vereinbarung nach Satz 2 nicht innerhalb einer vom Bundesministerium für Gesundheit gesetzten Frist zustande oder kommt eine Vereinbarung nach Satz 3 nicht bis zum 30. September 2017 zustande, legt das jeweils zuständige Schiedsamt nach § 89 Absatz 2 auf Antrag einer Vertragspartei oder des Bundesministeriums für Gesundheit mit Wirkung für die Vertragsparteien innerhalb einer Frist von zwei Monaten den Vereinbarungsinhalt fest. Kommt eine Vereinbarung nach Satz 4 erster Halbsatz nicht innerhalb einer vom Bundesministerium für Gesundheit gesetzten Frist zustande oder kommt eine Vereinbarung nach Satz 4 zweiter Halbsatz nicht bis zum 30. September 2017 zustande, legt die Schiedsstelle nach § 129 Absatz 8 auf Antrag einer Vertragspartei oder des Bundesministeriums für Gesundheit innerhalb einer Frist von zwei Monaten den Vereinbarungsinhalt fest. In den Fällen der Sätze 5 und 6 ist Absatz 7a Satz 5 entsprechend anzuwenden.

(7c) Kommt eine Vereinbarung zu den Kosten nach Absatz 7 Satz 4 Nr. 1 nicht innerhalb einer vom Bundesministerium für Gesundheit gesetzten Frist zu Stande oder wird sie gekündigt, entrichten die Gesellschafter der Gesellschaft für Telematik den Finanzierungsbeitrag für die Kosten nach Absatz 7 Satz 4 Nr. 1 gemäß ihrem jeweiligen Geschäftsanteil und nach Aufforderung durch die Geschäftsführung der Gesellschaft; die Spitzenverbände der Krankenkassen erstatten den Finanzierungsbeitrag unmittelbar den Spitzenorganisationen, soweit die nachfolgenden Vorschriften keine andere Regelung enthalten. Im Krankenhausbereich erfolgt die Erstattung des Finanzierungsbeitrages über einen Zuschlag entsprechend Absatz 7a Satz 1 durch vertragliche Vereinbarung der Spitzenverbände der Krankenkassen mit der Deutschen Krankenhausgesellschaft. Kommt eine Vereinbarung nicht innerhalb einer vom Bundesministerium für Gesundheit gesetzten Frist oder, in den folgenden Jahren, jeweils bis zum 30. Juni zu Stande, entscheidet die Schiedsstelle nach § 18a Abs. 6 des Krankenhausfinanzierungsgesetzes auf Antrag einer Vertragspartei innerhalb einer Frist von zwei Monaten. Im Bereich der vertragsärztlichen Versorgung gilt für die Erstattung des Finanzierungsbeitrages Absatz 7b Satz 1, 2 und 4 entsprechend, im Bereich der Arzneimittelversorgung gilt Absatz 7b Satz 1, 3 und 5 entsprechend.

(7d) Kommt eine Vereinbarung zu den Kosten nach Absatz 7 Satz 5 Nummer 1 nicht innerhalb einer vom Bundesministerium für Gesundheit gesetzten Frist als Grundlage der Vereinbarungen nach Absatz 7a Satz 3 und 5 sowie Absatz 7b Satz 2 bis 4 zu Stande, trifft der Spitzenverband Bund der Krankenkassen Vereinbarungen zur Finanzierung der den jeweiligen Leistungserbringern entstehenden Kosten nach Absatz 7 Satz 5 Nummer 1 jeweils mit der Deutschen Krankenhausgesellschaft, den Kassenärztlichen Bundesvereinigungen und der für die Wahrnehmung der wirtschaftlichen Interessen gebildeten maßgeblichen Spitzenorganisation der Apotheker auf Bundesebene. Soweit diese Vereinbarungen nicht zu Stande kommen, entscheidet bei Nichteinigung mit der Deutschen Krankenhausgesellschaft die Schiedsstelle nach § 18a Abs. 6 des Krankenhausfinanzierungsgesetzes, bei Nichteinigung mit den Kassenärztlichen Bundesvereinigungen das jeweils zuständige Schiedsamt nach § 89 Absatz 2 und bei Nichteinigung mit der für die Wahrnehmung der wirtschaftlichen Interessen gebildeten maßgeblichen Spitzenorganisation der Apotheker auf Bundesebene die Schiedsstelle nach § 129 Abs. 8 jeweils auf Antrag einer Vertragspartei innerhalb einer Frist von zwei Monaten.

(7e) Kommt eine Vereinbarung zu den Kosten nach Absatz 7 Satz 5 Nummer 2 nicht innerhalb einer vom Bundesministerium für Gesundheit gesetzten Frist als Grundlage der Vereinbarungen nach Absatz 7a Satz 3 und 5, Absatz 7b Satz 2 bis 4 zu Stande, bilden die Spitzenorganisationen nach Absatz 7 Satz 1 eine gemeinsame Kommission aus Sachverständigen. Die Kommission ist innerhalb einer Woche nach Ablauf der Frist nach Satz 1 zu bilden. Sie besteht aus jeweils zwei Mitgliedern, die von den Spitzenorganisationen der Leistungserbringer und von dem Spitzenverband Bund der Krankenkassen berufen werden sowie einer oder einem unparteiischen Vorsitzenden, über die oder den sich die Spitzenorganisationen nach Absatz 7 Satz 1 gemeinsam verständigen. Kommt es innerhalb der Frist nach Satz 2 nicht zu einer Einigung über den Vorsitz oder die Berufung der weiteren Mitglieder, beruft das Bundesministerium für Gesundheit die Vorsitzende oder den Vorsitzenden und die weiteren Sachverständigen. Die Kosten der Kommission sind aus den Finanzmitteln der Gesellschaft für Telematik zu begleichen. Die Kommission gibt innerhalb von drei Monaten eine Empfehlung zur Aufteilung der Kosten, die den einzelnen Leistungssektoren nach den Absätzen 7a und 7b im laufenden Betrieb der Telematikinfrastruktur entstehen. Die Empfehlung der Kommission ist innerhalb eines Monats in der Vereinbarung nach Absatz 7 Satz 5 Nummer 2 zu berücksichtigen. Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung ohne Zustimmung des Bundesrates die Aufteilung der Kosten, die den einzelnen Leistungssektoren nach den Absätzen 7a und 7b im laufenden Betrieb der Telematikinfrastruktur entstehen, als Grundlage der Vereinbarungen nach den Absätzen 7a und 7b festzulegen, sofern die Empfehlung der Kommission nicht berücksichtigt wird.

(8) Vom Inhaber der Karte darf nicht verlangt werden, den Zugriff auf Daten nach Absatz 2 Satz 1 Nr. 1 oder Absatz 3 Satz 1 anderen als den in Absatz 4 Satz 1 und Absatz 5a Satz 1 genannten Personen oder zu anderen Zwecken als denen der Versorgung der Versicherten, einschließlich der Abrechnung der zum Zwecke der Versorgung erbrachten Leistungen, zu gestatten; mit ihnen darf nicht vereinbart werden, Derartiges zu gestatten. Sie dürfen nicht bevorzugt oder benachteiligt werden, weil sie einen Zugriff bewirkt oder verweigert haben.

(9) (weggefallen)

des Fünften Buches Sozialgesetzbuch und § 291b

(1) Im Rahmen der Aufgaben nach § 291a Absatz 7 Satz 2 hat die Gesellschaft für Telematik

1.
die funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts zu erstellen,
2.
Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung festzulegen,
3.
Vorgaben für den sicheren Betrieb der Telematikinfrastruktur zu erstellen und ihre Umsetzung zu überwachen,
4.
die notwendigen Test- und Zertifizierungsmaßnahmen sicherzustellen und
5.
Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren festzulegen zur Verwaltung
a)
der in § 291a Absatz 4 und 5a geregelten Zugriffsberechtigungen und
b)
der Steuerung der Zugriffe auf Daten nach § 291a Absatz 2 und 3.
Bei der Gestaltung der Verfahren nach Satz 1 Nummer 5 berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Zugriffsberechtigungen künftig auf weitere Leistungserbringergruppen ausgedehnt werden können. Soweit bei den Festlegungen und Maßnahmen nach Satz 1 Fragen der Datensicherheit berührt sind, sind diese im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu treffen. Die Gesellschaft für Telematik hat die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen. Die Gesellschaft für Telematik hat Aufgaben nur insoweit wahrzunehmen, als dies zur Schaffung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur erforderlich ist. Mit Teilaufgaben der Gesellschaft für Telematik können einzelne Gesellschafter oder Dritte beauftragt werden; hierbei sind durch die Gesellschaft für Telematik Interoperabilität, Kompatibilität und das notwendige Sicherheitsniveau der Telematikinfrastruktur zu gewährleisten. Die Kassenärztliche Bundesvereinigung trifft im Benehmen mit den übrigen Spitzenorganisationen nach § 291a Absatz 7 Satz 1, der Gesellschaft für Telematik, den maßgeblichen, fachlich betroffenen medizinischen Fachgesellschaften, der Bundespsychotherapeutenkammer, den maßgeblichen Bundesverbänden der Pflege, den für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen, den für die Wahrnehmung der Interessen der Forschung im Gesundheitswesen maßgeblichen Bundesverbänden und dem Deutschen Institut für Medizinische Dokumentation und Information die notwendigen Festlegungen für die Inhalte der elektronischen Patientenakte nach § 291a Absatz 3 Satz 1 Nummer 4, um deren semantische und syntaktische Interoperabilität zu gewährleisten. Sie hat dabei internationale Standards einzubeziehen und die Festlegungen nach § 31a Absatz 4 und 5 sowie die Festlegungen zur Verfügbarmachung von Daten nach § 291a Absatz 3 Satz 1 Nummer 1 zu berücksichtigen. Um einen strukturierten Prozess zu gewährleisten, erstellt die Kassenärztliche Bundesvereinigung innerhalb von vier Wochen nach dem 11. Mai 2019 eine Verfahrensordnung zur Herstellung des Benehmens nach Satz 7. Innerhalb von vier Wochen nach Erstellung der Verfahrensordnung hat die Kassenärztliche Bundesvereinigung das Benehmen hierzu mit den nach Satz 7 zu Beteiligenden herzustellen. Die Gesellschaft für Telematik kann der Kassenärztlichen Bundesvereinigung zur Erfüllung ihrer Aufgabe nach Satz 7 angemessene Fristen, entsprechend dem Projektstand, setzen; hält die Kassenärztliche Bundesvereinigung die jeweilige Frist nicht ein, kann die Gesellschaft für Telematik die Deutsche Krankenhausgesellschaft mit der Erstellung der jeweiligen Festlegungen nach Satz 7 im Benehmen mit den in Satz 7 genannten Organisationen beauftragen. Satz 8 findet entsprechende Anwendung. Das Verfahren für das Vorgehen nach Fristablauf legt die Gesellschaft für Telematik fest. Die Festlegungen der Kassenärztlichen Bundesvereinigung nach Satz 7 oder die Festlegungen der Deutschen Krankenhausgesellschaft nach Satz 11 zweiter Halbsatz sind für alle Gesellschafter, für die Leistungserbringer und Krankenkassen sowie für ihre Verbände nach diesem Buch verbindlich. Sie können nur durch eine alternative Entscheidung der in der Gesellschaft für Telematik vertretenen Spitzenorganisationen der Leistungserbringer nach § 291a Absatz 7 Satz 1 in gleicher Sache ersetzt werden. Eine Entscheidung der Spitzenorganisationen nach Satz 15 erfolgt mit der einfachen Mehrheit der sich aus deren Geschäftsanteilen ergebenden Stimmen. Die Festlegungen nach den Sätzen 7, 11 zweiter Halbsatz und Satz 15 sind in das Interoperabilitätsverzeichnis nach § 291e aufzunehmen. Der Kassenärztlichen Bundesvereinigung sind die zur Erfüllung ihrer Aufgaben nach Satz 7 entstandenen Kosten durch die Gesellschaft für Telematik zu erstatten. Satz 18 gilt für die Deutsche Krankenhausgesellschaft entsprechend, sofern diese nach Satz 11 zweiter Halbsatz die Aufgabe nach Satz 7 erfüllt. Im Auftrag des Bundesministeriums für Gesundheit nimmt die Gesellschaft für Telematik auf europäischer Ebene Aufgaben wahr, soweit die Telematikinfrastruktur berührt ist oder künftig berührt werden kann. Das Bundesministerium für Gesundheit kann ihr dabei Weisungen erteilen.

(1a) Die Komponenten und Dienste der Telematikinfrastruktur werden von der Gesellschaft für Telematik zugelassen. Die Zulassung wird auf Antrag des Anbieters einer Komponente oder des Anbieters eines Dienstes erteilt, wenn die Komponente oder der Dienst funktionsfähig, interoperabel und sicher ist. Die Zulassung kann mit Nebenbestimmungen versehen werden. Die Gesellschaft für Telematik prüft die Funktionsfähigkeit und Interoperabilität auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik durch eine Sicherheitszertifizierung. Hierzu entwickelt das Bundesamt für Sicherheit in der Informationstechnik geeignete Prüfvorschriften und veröffentlicht diese im Bundesanzeiger. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der Gesellschaft für Telematik in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik beschlossen. Die Gesellschaft für Telematik veröffentlicht eine Liste mit den zugelassenen Komponenten und Diensten. Die für die Aufgaben nach den Sätzen 5, 6 und 12 beim Bundesamt für Sicherheit in der Informationstechnik entstehenden Kosten sind diesem durch die Gesellschaft für Telematik zu erstatten. Die Einzelheiten werden von dem Bundesamt für Sicherheit in der Informationstechnik und der Gesellschaft für Telematik einvernehmlich festgelegt. Die Gesellschaft für Telematik kann eine befristete Genehmigung zur Verwendung von nicht zugelassenen Komponenten und Diensten in der Telematikinfrastruktur erteilen, wenn dies zur Aufrechterhaltung der Funktionsfähigkeit und Sicherheit der Telematikinfrastruktur erforderlich ist. Hinsichtlich der Sicherheit ist die Genehmigung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu erteilen. Für die Verfahren zum Zugriff der Versicherten nach § 291a Absatz 5 Satz 9 legt abweichend von den Sätzen 5 bis 7 die Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik den Umfang der Zulassung für die erforderlichen Komponenten und Dienste einschließlich der Anforderungen an die Sicherheit und das Nähere zum Zulassungsverfahren fest. Die Festlegungen nach Satz 13 sind von der Gesellschaft für Telematik bis zum 26. Mai 2019 zu veröffentlichen.

(1b) Die Gesellschaft für Telematik hat eine diskriminierungsfreie Nutzung der Telematikinfrastruktur für Anwendungen nach § 291a Absatz 7 Satz 3 zu gewährleisten. Dabei sind elektronische Anwendungen, die der Erfüllung von gesetzlichen Aufgaben der Kranken- und Pflegeversicherung dienen, vorrangig zu berücksichtigen. Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 291a Absatz 7 Satz 3 legt die Gesellschaft für Telematik in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit die erforderlichen Voraussetzungen bis zum 30. Juni 2016 fest und veröffentlicht diese auf ihrer Internetseite. Die Erfüllung dieser Voraussetzungen muss der Anbieter einer Anwendung gegenüber der Gesellschaft für Telematik in einem Bestätigungsverfahren nachweisen. Die Einzelheiten des Bestätigungsverfahrens sowie die dazu erforderlichen Prüfkriterien legt die Gesellschaft für Telematik in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik bis zum 30. September 2016 fest und veröffentlicht sie auf ihrer Internetseite. Das Bestätigungsverfahren wird auf Antrag eines Anbieters einer Anwendung durchgeführt. Die Bestätigung kann mit Nebenbestimmungen versehen werden. Die Gesellschaft für Telematik veröffentlicht eine Liste mit den erteilten Bestätigungen auf ihrer Internetseite. Für Leistungserbringer in der gesetzlichen Kranken- und Pflegeversicherung, die die Telematikinfrastruktur für Anwendungen nach § 291a Absatz 7 Satz 3 nutzen wollen und für die noch keine sicheren Authentisierungsverfahren nach Absatz 1 Satz 1 Nummer 5 festgelegt sind, legt die Gesellschaft für Telematik diese Verfahren in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik fest. Die nach diesem Absatz beim Bundesamt für Sicherheit in der Informationstechnik sowie bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich jeweils mit dem Bundesamt für Sicherheit in der Informationstechnik sowie der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(1c) Betriebsleistungen sind auf der Grundlage der von der Gesellschaft für Telematik zu beschließenden Rahmenbedingungen zu erbringen. Zur Durchführung des operativen Betriebs der Telematikinfrastruktur vergibt die Gesellschaft für Telematik Aufträge oder erteilt in einem transparenten und diskriminierungsfreien Verfahren Zulassungen; sind nach Absatz 1 Satz 6 erster Halbsatz einzelne Gesellschafter oder Dritte beauftragt worden, so sind die Beauftragten für die Vergabe und für die Erteilung der Zulassung zuständig. Bei der Vergabe von Aufträgen sind abhängig vom Auftragswert die Vorschriften über die Vergabe öffentlicher Aufträge: der Vierte Teil des Gesetzes gegen Wettbewerbsbeschränkungen sowie die Vergabeverordnung und § 22 der Verordnung über das Haushaltswesen in der Sozialversicherung sowie der Abschnitt 1 des Teils A der Verdingungsordnung für Leistungen (VOL/A) anzuwenden. Für die freihändige Vergabe von Leistungen gemäß § 3 Absatz 5 Buchstabe i der Verdingungsordnung für Leistungen - Teil A (VOL/A) werden die Ausführungsbestimmungen vom Bundesministerium für Gesundheit festgelegt und im Bundesanzeiger veröffentlicht. Bei Zulassungsverfahren nach Satz 2 haben Anbieter von operativen Betriebsleistungen einen Anspruch auf Zulassung, wenn

1.
die zu verwendenden Komponenten und Dienste nach den Absätzen 1a und 1e zugelassen sind,
2.
der Anbieter den Nachweis erbringt, dass die Verfügbarkeit und Sicherheit der Betriebsleistung gewährleistet sind, und
3.
der Anbieter sich vertraglich verpflichtet, die Rahmenbedingungen für Betriebsleistungen der Gesellschaft für Telematik einzuhalten.
Die Zulassung kann mit Nebenbestimmungen versehen werden. Die Gesellschaft für Telematik beziehungsweise die von ihr beauftragten Organisationen können die Anzahl der Zulassungen beschränken, soweit dies zur Gewährleistung von Interoperabilität, Kompatibilität und des notwendigen Sicherheitsniveaus erforderlich ist. Die Gesellschaft für Telematik beziehungsweise die von ihr beauftragten Organisationen veröffentlichen
1.
die fachlichen und sachlichen Voraussetzungen, die für den Nachweis nach Satz 5 Nr. 2 erfüllt sein müssen, sowie
2.
eine Liste mit den zugelassenen Anbietern.

(1d) Die Gesellschaft für Telematik kann für die Zulassungen und Bestätigungen der Absätze 1a bis 1c und 1e Gebühren und Auslagen erheben. Die Gebührensätze sind so zu bemessen, dass sie den auf die Leistungen entfallenden durchschnittlichen Personal- und Sachaufwand nicht übersteigen. Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung ohne Zustimmung des Bundesrates die gebührenpflichtigen Tatbestände zu bestimmen und dabei feste Sätze oder Rahmensätze vorzusehen sowie Regelungen über die Gebührenentstehung, die Gebührenerhebung, die Erstattung von Auslagen, den Gebührenschuldner, Gebührenbefreiungen, die Fälligkeit, die Stundung, die Niederschlagung, den Erlass, Säumniszuschläge, die Verjährung und die Erstattung zu treffen. Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 291a Absatz 7 Satz 3, die nicht in diesem Buch oder im Elften Buch Sozialgesetzbuch geregelt sind, kann die Gesellschaft für Telematik Entgelte verlangen. Der Entgeltkatalog bedarf der Genehmigung des Bundesministeriums für Gesundheit.

(1e) Die Gesellschaft für Telematik legt bis zum 31. Dezember 2016 sichere Verfahren zur Übermittlung medizinischer Dokumente über die Telematikinfrastruktur in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest und veröffentlicht diese Festlegungen auf ihrer Internetseite. Die Erfüllung dieser Festlegungen muss der Anbieter eines Dienstes für ein Übermittlungsverfahren gegenüber der Gesellschaft für Telematik in einem Zulassungsverfahren nachweisen. Für das Zulassungsverfahren gilt Absatz 1a. Die für das Zulassungsverfahren erforderlichen Festlegungen sind bis zum 31. März 2017 zu treffen und auf der Internetseite der Gesellschaft für Telematik zu veröffentlichen. Die nach diesem Absatz bei dem Bundesamt für Sicherheit in der Informationstechnik und bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(2) Der Gesellschaftsvertrag der Gesellschaft für Telematik, die auf der Grundlage des § 291a Absatz 7 in der bis zum 11. Mai 2019 geltenden Fassung gegründet worden ist, ist nach folgenden Grundsätzen anzupassen:

1.
Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, und die in § 291a Absatz 7 Satz 1 genannten Spitzenorganisationen sind Gesellschafter der Gesellschaft für Telematik. Die Geschäftsanteile entfallen zu 51 Prozent auf die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, zu 24,5 Prozent auf den Spitzenverband Bund der Krankenkassen und zu 24,5 Prozent auf die anderen in § 291a Absatz 7 Satz 1 genannten Spitzenorganisationen. Die Gesellschafter können den Beitritt weiterer Spitzenorganisationen der Leistungserbringer auf Bundesebene und des Verbandes der Privaten Krankenversicherung beschließen; im Fall eines Beitritts sind die Geschäftsanteile innerhalb der Gruppen der Kostenträger und Leistungserbringer entsprechend anzupassen;
2.
unbeschadet zwingender gesetzlicher Mehrheitserfordernisse entscheiden die Gesellschafter mit der einfachen Mehrheit der sich aus den Geschäftsanteilen ergebenden Stimmen.

(2a) Die Gesellschaft für Telematik hat einen Beirat einzurichten, der sie in fachlichen Belangen berät. Er kann Angelegenheiten von grundsätzlicher Bedeutung der Gesellschafterversammlung der Gesellschaft für Telematik zur Befassung vorlegen und ist vor der Beschlussfassung zu Angelegenheiten von grundsätzlicher Bedeutung zu hören. Zu Angelegenheiten von grundsätzlicher Bedeutung gehören insbesondere:

1.
Fachkonzepte zu Anwendungen der elektronischen Gesundheitskarte,
2.
Planungen und Konzepte für Erprobung und Betrieb der Telematikinfrastruktur sowie
3.
Konzepte zur Evaluation von Erprobungsphasen und Anwendungen.
Hierzu sind dem Beirat die entsprechenden Informationen in verständlicher Form so rechtzeitig zur Verfügung zu stellen, dass er sich mit ihnen inhaltlich befassen kann. Die Gesellschaft für Telematik hat sich mit den Stellungnahmen des Beirats zu befassen und dem Beirat mitzuteilen, inwieweit sie die Empfehlungen des Beirats berücksichtigt. Der Vorsitzende des Beirats kann an den Gesellschafterversammlungen der Gesellschaft für Telematik teilnehmen. Der Beirat besteht aus vier Vertretern der Länder, drei Vertretern der für die Wahrnehmung der Interessen der Patienten und der Selbsthilfe chronisch Kranker und behinderter Menschen maßgeblichen Organisationen, drei Vertretern der Wissenschaft, drei Vertretern der für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbände aus dem Bereich der Informationstechnologie im Gesundheitswesen, einem Vertreter der für die Wahrnehmung der Interessen der an der hausarztzentrierten Versorgung teilnehmenden Vertragsärzte maßgeblichen Spitzenorganisation sowie der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und der oder dem Beauftragten der Bundesregierung für die Belange der Patientinnen und Patienten. Vertreter weiterer Gruppen und Bundesbehörden können berufen werden. Die Mitglieder des Beirats werden von der Gesellschafterversammlung der Gesellschaft für Telematik berufen; die Vertreter der Länder werden von den Ländern benannt. Die Gesellschafter und die Geschäftsführung der Gesellschaft für Telematik können an den Sitzungen des Beirats teilnehmen.

(3) (weggefallen)

(4) Die Beschlüsse der Gesellschaft für Telematik zu den Regelungen, dem Aufbau und dem Betrieb der Telematikinfrastruktur sind für die Leistungserbringer und Krankenkassen sowie ihre Verbände nach diesem Buch verbindlich; dies gilt auch für Apothekerkammern der Länder für Beschlüsse über die Zuständigkeit für die Herausgabe von Komponenten zur Authentifizierung von Leistungserbringerinstitutionen, soweit dies nicht durch Bundes- oder Landesrecht geregelt ist. Vor der Beschlussfassung hat die Gesellschaft für Telematik dem oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und dem Bundesamt für Sicherheit in der Informationstechnik Gelegenheit zur Stellungnahme zu geben, sofern Belange des Datenschutzes oder der Datensicherheit berührt sind.

(5) (weggefallen)

(6) Soweit von Komponenten und Diensten eine Gefahr für die Funktionsfähigkeit oder Sicherheit der Telematikinfrastruktur ausgeht, ist die Gesellschaft für Telematik in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik befugt, die erforderlichen technischen und organisatorischen Maßnahmen zur Abwehr dieser Gefahr zu treffen. Betreiber von nach den Absätzen 1a und 1e zugelassenen Diensten und Betreiber von Diensten für nach Absatz 1b bestätigte Anwendungen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit dieser Dienste unverzüglich an die Gesellschaft für Telematik zu melden. Erheblich sind Störungen, die zum Ausfall oder zur Beeinträchtigung der Sicherheit oder Funktionsfähigkeit der in Satz 2 genannten Dienste oder zum Ausfall oder zur Beeinträchtigung der Sicherheit oder Funktionsfähigkeit der Telematikinfrastruktur führen können oder bereits geführt haben. Die Gesellschaft für Telematik hat die ihr nach Satz 2 gemeldeten Störungen sowie darüber hinausgehende bedeutende Störungen, die zu beträchtlichen Auswirkungen auf die Sicherheit oder Funktionsfähigkeit der Telematikinfrastruktur führen können oder bereits geführt haben, unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik zu melden. Die Gesellschaft für Telematik hat das Bundesministerium für Gesundheit unverzüglich über Meldungen nach Satz 4 zu informieren. Die Gesellschaft für Telematik kann zur Gefahrenabwehr im Einzelfall insbesondere Komponenten und Dienste für den Zugang zur Telematikinfrastruktur sperren oder den weiteren Zugang zur Telematikinfrastruktur nur unter der Bedingung gestatten, dass die von der Gesellschaft für Telematik angeordneten Maßnahmen zur Beseitigung der Gefahr umgesetzt werden.

(7) Die Gesellschaft für Telematik kann für Komponenten und Dienste, die die Telematikinfrastruktur nutzen, aber außerhalb der Telematikinfrastruktur betrieben werden, in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik solche Maßnahmen zur Überwachung des Betriebs treffen, die erforderlich sind, um die Sicherheit, Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur zu gewährleisten. Die Gesellschaft für Telematik legt hierzu fest, welche näheren Angaben ihr die Betreiber der Komponenten und Dienste offenzulegen haben, damit die Überwachung durchgeführt werden kann. Für die Erstattung der Kosten des Bundesamtes für Sicherheit in der Informationstechnik gilt Absatz 1a Satz 9 und 10 entsprechend.

(8) Die Gesellschaft für Telematik legt dem Bundesamt für Sicherheit in der Informationstechnik auf Verlangen die folgenden Unterlagen und Informationen vor:

1.
die Zulassungen und Bestätigungen nach den Absätzen 1a bis 1c und 1e einschließlich der zugrunde gelegten Dokumentation,
2.
eine Aufstellung der nach den Absätzen 6 und 7 getroffenen Maßnahmen einschließlich der festgestellten Sicherheitsmängel und Ergebnisse der Maßnahmen und
3.
sonstige für die Bewertung der Sicherheit der Telematikinfrastruktur sowie der zugelassenen Dienste und bestätigten Anwendungen erforderlichen Informationen.
Ergibt die Bewertung der in Satz 1 genannten Informationen Sicherheitsmängel, so kann das Bundesamt für Sicherheit in der Informationstechnik der Gesellschaft für Telematik verbindliche Anweisungen zur Beseitigung der festgestellten Sicherheitsmängel erteilen. Die Gesellschaft für Telematik ist befugt, Betreibern von zugelassenen Diensten und bestätigten Anwendungen nach den Absätzen 1a bis 1c und 1e verbindliche Anweisungen zur Beseitigung festgestellter Sicherheitsmängel zu erteilen. Die Kosten der Überprüfung tragen
1.
die Gesellschaft für Telematik, sofern das Bundesamt für Sicherheit in der Informationstechnik auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Sicherheit der Telematikinfrastruktur begründeten,
2.
der Betreiber von zugelassenen Diensten und bestätigten Anwendungen nach den Absätzen 1a bis 1c und 1e, sofern das Bundesamt für Sicherheit in der Informationstechnik auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Sicherheit der zugelassenen Dienste und bestätigten Anwendungen begründeten.

des Fünften Buches Sozialgesetzbuch, Betreiber von Diensten der Telematikinfrastruktur im Hinblick auf die nach § 291b Absatz 1a und 1e

(1) Im Rahmen der Aufgaben nach § 291a Absatz 7 Satz 2 hat die Gesellschaft für Telematik

1.
die funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts zu erstellen,
2.
Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung festzulegen,
3.
Vorgaben für den sicheren Betrieb der Telematikinfrastruktur zu erstellen und ihre Umsetzung zu überwachen,
4.
die notwendigen Test- und Zertifizierungsmaßnahmen sicherzustellen und
5.
Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren festzulegen zur Verwaltung
a)
der in § 291a Absatz 4 und 5a geregelten Zugriffsberechtigungen und
b)
der Steuerung der Zugriffe auf Daten nach § 291a Absatz 2 und 3.
Bei der Gestaltung der Verfahren nach Satz 1 Nummer 5 berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Zugriffsberechtigungen künftig auf weitere Leistungserbringergruppen ausgedehnt werden können. Soweit bei den Festlegungen und Maßnahmen nach Satz 1 Fragen der Datensicherheit berührt sind, sind diese im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu treffen. Die Gesellschaft für Telematik hat die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen. Die Gesellschaft für Telematik hat Aufgaben nur insoweit wahrzunehmen, als dies zur Schaffung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur erforderlich ist. Mit Teilaufgaben der Gesellschaft für Telematik können einzelne Gesellschafter oder Dritte beauftragt werden; hierbei sind durch die Gesellschaft für Telematik Interoperabilität, Kompatibilität und das notwendige Sicherheitsniveau der Telematikinfrastruktur zu gewährleisten. Die Kassenärztliche Bundesvereinigung trifft im Benehmen mit den übrigen Spitzenorganisationen nach § 291a Absatz 7 Satz 1, der Gesellschaft für Telematik, den maßgeblichen, fachlich betroffenen medizinischen Fachgesellschaften, der Bundespsychotherapeutenkammer, den maßgeblichen Bundesverbänden der Pflege, den für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen, den für die Wahrnehmung der Interessen der Forschung im Gesundheitswesen maßgeblichen Bundesverbänden und dem Deutschen Institut für Medizinische Dokumentation und Information die notwendigen Festlegungen für die Inhalte der elektronischen Patientenakte nach § 291a Absatz 3 Satz 1 Nummer 4, um deren semantische und syntaktische Interoperabilität zu gewährleisten. Sie hat dabei internationale Standards einzubeziehen und die Festlegungen nach § 31a Absatz 4 und 5 sowie die Festlegungen zur Verfügbarmachung von Daten nach § 291a Absatz 3 Satz 1 Nummer 1 zu berücksichtigen. Um einen strukturierten Prozess zu gewährleisten, erstellt die Kassenärztliche Bundesvereinigung innerhalb von vier Wochen nach dem 11. Mai 2019 eine Verfahrensordnung zur Herstellung des Benehmens nach Satz 7. Innerhalb von vier Wochen nach Erstellung der Verfahrensordnung hat die Kassenärztliche Bundesvereinigung das Benehmen hierzu mit den nach Satz 7 zu Beteiligenden herzustellen. Die Gesellschaft für Telematik kann der Kassenärztlichen Bundesvereinigung zur Erfüllung ihrer Aufgabe nach Satz 7 angemessene Fristen, entsprechend dem Projektstand, setzen; hält die Kassenärztliche Bundesvereinigung die jeweilige Frist nicht ein, kann die Gesellschaft für Telematik die Deutsche Krankenhausgesellschaft mit der Erstellung der jeweiligen Festlegungen nach Satz 7 im Benehmen mit den in Satz 7 genannten Organisationen beauftragen. Satz 8 findet entsprechende Anwendung. Das Verfahren für das Vorgehen nach Fristablauf legt die Gesellschaft für Telematik fest. Die Festlegungen der Kassenärztlichen Bundesvereinigung nach Satz 7 oder die Festlegungen der Deutschen Krankenhausgesellschaft nach Satz 11 zweiter Halbsatz sind für alle Gesellschafter, für die Leistungserbringer und Krankenkassen sowie für ihre Verbände nach diesem Buch verbindlich. Sie können nur durch eine alternative Entscheidung der in der Gesellschaft für Telematik vertretenen Spitzenorganisationen der Leistungserbringer nach § 291a Absatz 7 Satz 1 in gleicher Sache ersetzt werden. Eine Entscheidung der Spitzenorganisationen nach Satz 15 erfolgt mit der einfachen Mehrheit der sich aus deren Geschäftsanteilen ergebenden Stimmen. Die Festlegungen nach den Sätzen 7, 11 zweiter Halbsatz und Satz 15 sind in das Interoperabilitätsverzeichnis nach § 291e aufzunehmen. Der Kassenärztlichen Bundesvereinigung sind die zur Erfüllung ihrer Aufgaben nach Satz 7 entstandenen Kosten durch die Gesellschaft für Telematik zu erstatten. Satz 18 gilt für die Deutsche Krankenhausgesellschaft entsprechend, sofern diese nach Satz 11 zweiter Halbsatz die Aufgabe nach Satz 7 erfüllt. Im Auftrag des Bundesministeriums für Gesundheit nimmt die Gesellschaft für Telematik auf europäischer Ebene Aufgaben wahr, soweit die Telematikinfrastruktur berührt ist oder künftig berührt werden kann. Das Bundesministerium für Gesundheit kann ihr dabei Weisungen erteilen.

(1a) Die Komponenten und Dienste der Telematikinfrastruktur werden von der Gesellschaft für Telematik zugelassen. Die Zulassung wird auf Antrag des Anbieters einer Komponente oder des Anbieters eines Dienstes erteilt, wenn die Komponente oder der Dienst funktionsfähig, interoperabel und sicher ist. Die Zulassung kann mit Nebenbestimmungen versehen werden. Die Gesellschaft für Telematik prüft die Funktionsfähigkeit und Interoperabilität auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik durch eine Sicherheitszertifizierung. Hierzu entwickelt das Bundesamt für Sicherheit in der Informationstechnik geeignete Prüfvorschriften und veröffentlicht diese im Bundesanzeiger. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der Gesellschaft für Telematik in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik beschlossen. Die Gesellschaft für Telematik veröffentlicht eine Liste mit den zugelassenen Komponenten und Diensten. Die für die Aufgaben nach den Sätzen 5, 6 und 12 beim Bundesamt für Sicherheit in der Informationstechnik entstehenden Kosten sind diesem durch die Gesellschaft für Telematik zu erstatten. Die Einzelheiten werden von dem Bundesamt für Sicherheit in der Informationstechnik und der Gesellschaft für Telematik einvernehmlich festgelegt. Die Gesellschaft für Telematik kann eine befristete Genehmigung zur Verwendung von nicht zugelassenen Komponenten und Diensten in der Telematikinfrastruktur erteilen, wenn dies zur Aufrechterhaltung der Funktionsfähigkeit und Sicherheit der Telematikinfrastruktur erforderlich ist. Hinsichtlich der Sicherheit ist die Genehmigung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu erteilen. Für die Verfahren zum Zugriff der Versicherten nach § 291a Absatz 5 Satz 9 legt abweichend von den Sätzen 5 bis 7 die Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik den Umfang der Zulassung für die erforderlichen Komponenten und Dienste einschließlich der Anforderungen an die Sicherheit und das Nähere zum Zulassungsverfahren fest. Die Festlegungen nach Satz 13 sind von der Gesellschaft für Telematik bis zum 26. Mai 2019 zu veröffentlichen.

(1b) Die Gesellschaft für Telematik hat eine diskriminierungsfreie Nutzung der Telematikinfrastruktur für Anwendungen nach § 291a Absatz 7 Satz 3 zu gewährleisten. Dabei sind elektronische Anwendungen, die der Erfüllung von gesetzlichen Aufgaben der Kranken- und Pflegeversicherung dienen, vorrangig zu berücksichtigen. Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 291a Absatz 7 Satz 3 legt die Gesellschaft für Telematik in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit die erforderlichen Voraussetzungen bis zum 30. Juni 2016 fest und veröffentlicht diese auf ihrer Internetseite. Die Erfüllung dieser Voraussetzungen muss der Anbieter einer Anwendung gegenüber der Gesellschaft für Telematik in einem Bestätigungsverfahren nachweisen. Die Einzelheiten des Bestätigungsverfahrens sowie die dazu erforderlichen Prüfkriterien legt die Gesellschaft für Telematik in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik bis zum 30. September 2016 fest und veröffentlicht sie auf ihrer Internetseite. Das Bestätigungsverfahren wird auf Antrag eines Anbieters einer Anwendung durchgeführt. Die Bestätigung kann mit Nebenbestimmungen versehen werden. Die Gesellschaft für Telematik veröffentlicht eine Liste mit den erteilten Bestätigungen auf ihrer Internetseite. Für Leistungserbringer in der gesetzlichen Kranken- und Pflegeversicherung, die die Telematikinfrastruktur für Anwendungen nach § 291a Absatz 7 Satz 3 nutzen wollen und für die noch keine sicheren Authentisierungsverfahren nach Absatz 1 Satz 1 Nummer 5 festgelegt sind, legt die Gesellschaft für Telematik diese Verfahren in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik fest. Die nach diesem Absatz beim Bundesamt für Sicherheit in der Informationstechnik sowie bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich jeweils mit dem Bundesamt für Sicherheit in der Informationstechnik sowie der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(1c) Betriebsleistungen sind auf der Grundlage der von der Gesellschaft für Telematik zu beschließenden Rahmenbedingungen zu erbringen. Zur Durchführung des operativen Betriebs der Telematikinfrastruktur vergibt die Gesellschaft für Telematik Aufträge oder erteilt in einem transparenten und diskriminierungsfreien Verfahren Zulassungen; sind nach Absatz 1 Satz 6 erster Halbsatz einzelne Gesellschafter oder Dritte beauftragt worden, so sind die Beauftragten für die Vergabe und für die Erteilung der Zulassung zuständig. Bei der Vergabe von Aufträgen sind abhängig vom Auftragswert die Vorschriften über die Vergabe öffentlicher Aufträge: der Vierte Teil des Gesetzes gegen Wettbewerbsbeschränkungen sowie die Vergabeverordnung und § 22 der Verordnung über das Haushaltswesen in der Sozialversicherung sowie der Abschnitt 1 des Teils A der Verdingungsordnung für Leistungen (VOL/A) anzuwenden. Für die freihändige Vergabe von Leistungen gemäß § 3 Absatz 5 Buchstabe i der Verdingungsordnung für Leistungen - Teil A (VOL/A) werden die Ausführungsbestimmungen vom Bundesministerium für Gesundheit festgelegt und im Bundesanzeiger veröffentlicht. Bei Zulassungsverfahren nach Satz 2 haben Anbieter von operativen Betriebsleistungen einen Anspruch auf Zulassung, wenn

1.
die zu verwendenden Komponenten und Dienste nach den Absätzen 1a und 1e zugelassen sind,
2.
der Anbieter den Nachweis erbringt, dass die Verfügbarkeit und Sicherheit der Betriebsleistung gewährleistet sind, und
3.
der Anbieter sich vertraglich verpflichtet, die Rahmenbedingungen für Betriebsleistungen der Gesellschaft für Telematik einzuhalten.
Die Zulassung kann mit Nebenbestimmungen versehen werden. Die Gesellschaft für Telematik beziehungsweise die von ihr beauftragten Organisationen können die Anzahl der Zulassungen beschränken, soweit dies zur Gewährleistung von Interoperabilität, Kompatibilität und des notwendigen Sicherheitsniveaus erforderlich ist. Die Gesellschaft für Telematik beziehungsweise die von ihr beauftragten Organisationen veröffentlichen
1.
die fachlichen und sachlichen Voraussetzungen, die für den Nachweis nach Satz 5 Nr. 2 erfüllt sein müssen, sowie
2.
eine Liste mit den zugelassenen Anbietern.

(1d) Die Gesellschaft für Telematik kann für die Zulassungen und Bestätigungen der Absätze 1a bis 1c und 1e Gebühren und Auslagen erheben. Die Gebührensätze sind so zu bemessen, dass sie den auf die Leistungen entfallenden durchschnittlichen Personal- und Sachaufwand nicht übersteigen. Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung ohne Zustimmung des Bundesrates die gebührenpflichtigen Tatbestände zu bestimmen und dabei feste Sätze oder Rahmensätze vorzusehen sowie Regelungen über die Gebührenentstehung, die Gebührenerhebung, die Erstattung von Auslagen, den Gebührenschuldner, Gebührenbefreiungen, die Fälligkeit, die Stundung, die Niederschlagung, den Erlass, Säumniszuschläge, die Verjährung und die Erstattung zu treffen. Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 291a Absatz 7 Satz 3, die nicht in diesem Buch oder im Elften Buch Sozialgesetzbuch geregelt sind, kann die Gesellschaft für Telematik Entgelte verlangen. Der Entgeltkatalog bedarf der Genehmigung des Bundesministeriums für Gesundheit.

(1e) Die Gesellschaft für Telematik legt bis zum 31. Dezember 2016 sichere Verfahren zur Übermittlung medizinischer Dokumente über die Telematikinfrastruktur in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest und veröffentlicht diese Festlegungen auf ihrer Internetseite. Die Erfüllung dieser Festlegungen muss der Anbieter eines Dienstes für ein Übermittlungsverfahren gegenüber der Gesellschaft für Telematik in einem Zulassungsverfahren nachweisen. Für das Zulassungsverfahren gilt Absatz 1a. Die für das Zulassungsverfahren erforderlichen Festlegungen sind bis zum 31. März 2017 zu treffen und auf der Internetseite der Gesellschaft für Telematik zu veröffentlichen. Die nach diesem Absatz bei dem Bundesamt für Sicherheit in der Informationstechnik und bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(2) Der Gesellschaftsvertrag der Gesellschaft für Telematik, die auf der Grundlage des § 291a Absatz 7 in der bis zum 11. Mai 2019 geltenden Fassung gegründet worden ist, ist nach folgenden Grundsätzen anzupassen:

1.
Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, und die in § 291a Absatz 7 Satz 1 genannten Spitzenorganisationen sind Gesellschafter der Gesellschaft für Telematik. Die Geschäftsanteile entfallen zu 51 Prozent auf die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, zu 24,5 Prozent auf den Spitzenverband Bund der Krankenkassen und zu 24,5 Prozent auf die anderen in § 291a Absatz 7 Satz 1 genannten Spitzenorganisationen. Die Gesellschafter können den Beitritt weiterer Spitzenorganisationen der Leistungserbringer auf Bundesebene und des Verbandes der Privaten Krankenversicherung beschließen; im Fall eines Beitritts sind die Geschäftsanteile innerhalb der Gruppen der Kostenträger und Leistungserbringer entsprechend anzupassen;
2.
unbeschadet zwingender gesetzlicher Mehrheitserfordernisse entscheiden die Gesellschafter mit der einfachen Mehrheit der sich aus den Geschäftsanteilen ergebenden Stimmen.

(2a) Die Gesellschaft für Telematik hat einen Beirat einzurichten, der sie in fachlichen Belangen berät. Er kann Angelegenheiten von grundsätzlicher Bedeutung der Gesellschafterversammlung der Gesellschaft für Telematik zur Befassung vorlegen und ist vor der Beschlussfassung zu Angelegenheiten von grundsätzlicher Bedeutung zu hören. Zu Angelegenheiten von grundsätzlicher Bedeutung gehören insbesondere:

1.
Fachkonzepte zu Anwendungen der elektronischen Gesundheitskarte,
2.
Planungen und Konzepte für Erprobung und Betrieb der Telematikinfrastruktur sowie
3.
Konzepte zur Evaluation von Erprobungsphasen und Anwendungen.
Hierzu sind dem Beirat die entsprechenden Informationen in verständlicher Form so rechtzeitig zur Verfügung zu stellen, dass er sich mit ihnen inhaltlich befassen kann. Die Gesellschaft für Telematik hat sich mit den Stellungnahmen des Beirats zu befassen und dem Beirat mitzuteilen, inwieweit sie die Empfehlungen des Beirats berücksichtigt. Der Vorsitzende des Beirats kann an den Gesellschafterversammlungen der Gesellschaft für Telematik teilnehmen. Der Beirat besteht aus vier Vertretern der Länder, drei Vertretern der für die Wahrnehmung der Interessen der Patienten und der Selbsthilfe chronisch Kranker und behinderter Menschen maßgeblichen Organisationen, drei Vertretern der Wissenschaft, drei Vertretern der für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbände aus dem Bereich der Informationstechnologie im Gesundheitswesen, einem Vertreter der für die Wahrnehmung der Interessen der an der hausarztzentrierten Versorgung teilnehmenden Vertragsärzte maßgeblichen Spitzenorganisation sowie der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und der oder dem Beauftragten der Bundesregierung für die Belange der Patientinnen und Patienten. Vertreter weiterer Gruppen und Bundesbehörden können berufen werden. Die Mitglieder des Beirats werden von der Gesellschafterversammlung der Gesellschaft für Telematik berufen; die Vertreter der Länder werden von den Ländern benannt. Die Gesellschafter und die Geschäftsführung der Gesellschaft für Telematik können an den Sitzungen des Beirats teilnehmen.

(3) (weggefallen)

(4) Die Beschlüsse der Gesellschaft für Telematik zu den Regelungen, dem Aufbau und dem Betrieb der Telematikinfrastruktur sind für die Leistungserbringer und Krankenkassen sowie ihre Verbände nach diesem Buch verbindlich; dies gilt auch für Apothekerkammern der Länder für Beschlüsse über die Zuständigkeit für die Herausgabe von Komponenten zur Authentifizierung von Leistungserbringerinstitutionen, soweit dies nicht durch Bundes- oder Landesrecht geregelt ist. Vor der Beschlussfassung hat die Gesellschaft für Telematik dem oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und dem Bundesamt für Sicherheit in der Informationstechnik Gelegenheit zur Stellungnahme zu geben, sofern Belange des Datenschutzes oder der Datensicherheit berührt sind.

(5) (weggefallen)

(6) Soweit von Komponenten und Diensten eine Gefahr für die Funktionsfähigkeit oder Sicherheit der Telematikinfrastruktur ausgeht, ist die Gesellschaft für Telematik in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik befugt, die erforderlichen technischen und organisatorischen Maßnahmen zur Abwehr dieser Gefahr zu treffen. Betreiber von nach den Absätzen 1a und 1e zugelassenen Diensten und Betreiber von Diensten für nach Absatz 1b bestätigte Anwendungen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit dieser Dienste unverzüglich an die Gesellschaft für Telematik zu melden. Erheblich sind Störungen, die zum Ausfall oder zur Beeinträchtigung der Sicherheit oder Funktionsfähigkeit der in Satz 2 genannten Dienste oder zum Ausfall oder zur Beeinträchtigung der Sicherheit oder Funktionsfähigkeit der Telematikinfrastruktur führen können oder bereits geführt haben. Die Gesellschaft für Telematik hat die ihr nach Satz 2 gemeldeten Störungen sowie darüber hinausgehende bedeutende Störungen, die zu beträchtlichen Auswirkungen auf die Sicherheit oder Funktionsfähigkeit der Telematikinfrastruktur führen können oder bereits geführt haben, unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik zu melden. Die Gesellschaft für Telematik hat das Bundesministerium für Gesundheit unverzüglich über Meldungen nach Satz 4 zu informieren. Die Gesellschaft für Telematik kann zur Gefahrenabwehr im Einzelfall insbesondere Komponenten und Dienste für den Zugang zur Telematikinfrastruktur sperren oder den weiteren Zugang zur Telematikinfrastruktur nur unter der Bedingung gestatten, dass die von der Gesellschaft für Telematik angeordneten Maßnahmen zur Beseitigung der Gefahr umgesetzt werden.

(7) Die Gesellschaft für Telematik kann für Komponenten und Dienste, die die Telematikinfrastruktur nutzen, aber außerhalb der Telematikinfrastruktur betrieben werden, in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik solche Maßnahmen zur Überwachung des Betriebs treffen, die erforderlich sind, um die Sicherheit, Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur zu gewährleisten. Die Gesellschaft für Telematik legt hierzu fest, welche näheren Angaben ihr die Betreiber der Komponenten und Dienste offenzulegen haben, damit die Überwachung durchgeführt werden kann. Für die Erstattung der Kosten des Bundesamtes für Sicherheit in der Informationstechnik gilt Absatz 1a Satz 9 und 10 entsprechend.

(8) Die Gesellschaft für Telematik legt dem Bundesamt für Sicherheit in der Informationstechnik auf Verlangen die folgenden Unterlagen und Informationen vor:

1.
die Zulassungen und Bestätigungen nach den Absätzen 1a bis 1c und 1e einschließlich der zugrunde gelegten Dokumentation,
2.
eine Aufstellung der nach den Absätzen 6 und 7 getroffenen Maßnahmen einschließlich der festgestellten Sicherheitsmängel und Ergebnisse der Maßnahmen und
3.
sonstige für die Bewertung der Sicherheit der Telematikinfrastruktur sowie der zugelassenen Dienste und bestätigten Anwendungen erforderlichen Informationen.
Ergibt die Bewertung der in Satz 1 genannten Informationen Sicherheitsmängel, so kann das Bundesamt für Sicherheit in der Informationstechnik der Gesellschaft für Telematik verbindliche Anweisungen zur Beseitigung der festgestellten Sicherheitsmängel erteilen. Die Gesellschaft für Telematik ist befugt, Betreibern von zugelassenen Diensten und bestätigten Anwendungen nach den Absätzen 1a bis 1c und 1e verbindliche Anweisungen zur Beseitigung festgestellter Sicherheitsmängel zu erteilen. Die Kosten der Überprüfung tragen
1.
die Gesellschaft für Telematik, sofern das Bundesamt für Sicherheit in der Informationstechnik auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Sicherheit der Telematikinfrastruktur begründeten,
2.
der Betreiber von zugelassenen Diensten und bestätigten Anwendungen nach den Absätzen 1a bis 1c und 1e, sofern das Bundesamt für Sicherheit in der Informationstechnik auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Sicherheit der zugelassenen Dienste und bestätigten Anwendungen begründeten.

des Fünften Buches Sozialgesetzbuch zugelassenen Dienste und Betreiber von Diensten, soweit sie die Telematikinfrastruktur für nach § 291b Absatz 1b

(1) Im Rahmen der Aufgaben nach § 291a Absatz 7 Satz 2 hat die Gesellschaft für Telematik

1.
die funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts zu erstellen,
2.
Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung festzulegen,
3.
Vorgaben für den sicheren Betrieb der Telematikinfrastruktur zu erstellen und ihre Umsetzung zu überwachen,
4.
die notwendigen Test- und Zertifizierungsmaßnahmen sicherzustellen und
5.
Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren festzulegen zur Verwaltung
a)
der in § 291a Absatz 4 und 5a geregelten Zugriffsberechtigungen und
b)
der Steuerung der Zugriffe auf Daten nach § 291a Absatz 2 und 3.
Bei der Gestaltung der Verfahren nach Satz 1 Nummer 5 berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Zugriffsberechtigungen künftig auf weitere Leistungserbringergruppen ausgedehnt werden können. Soweit bei den Festlegungen und Maßnahmen nach Satz 1 Fragen der Datensicherheit berührt sind, sind diese im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu treffen. Die Gesellschaft für Telematik hat die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen. Die Gesellschaft für Telematik hat Aufgaben nur insoweit wahrzunehmen, als dies zur Schaffung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur erforderlich ist. Mit Teilaufgaben der Gesellschaft für Telematik können einzelne Gesellschafter oder Dritte beauftragt werden; hierbei sind durch die Gesellschaft für Telematik Interoperabilität, Kompatibilität und das notwendige Sicherheitsniveau der Telematikinfrastruktur zu gewährleisten. Die Kassenärztliche Bundesvereinigung trifft im Benehmen mit den übrigen Spitzenorganisationen nach § 291a Absatz 7 Satz 1, der Gesellschaft für Telematik, den maßgeblichen, fachlich betroffenen medizinischen Fachgesellschaften, der Bundespsychotherapeutenkammer, den maßgeblichen Bundesverbänden der Pflege, den für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen, den für die Wahrnehmung der Interessen der Forschung im Gesundheitswesen maßgeblichen Bundesverbänden und dem Deutschen Institut für Medizinische Dokumentation und Information die notwendigen Festlegungen für die Inhalte der elektronischen Patientenakte nach § 291a Absatz 3 Satz 1 Nummer 4, um deren semantische und syntaktische Interoperabilität zu gewährleisten. Sie hat dabei internationale Standards einzubeziehen und die Festlegungen nach § 31a Absatz 4 und 5 sowie die Festlegungen zur Verfügbarmachung von Daten nach § 291a Absatz 3 Satz 1 Nummer 1 zu berücksichtigen. Um einen strukturierten Prozess zu gewährleisten, erstellt die Kassenärztliche Bundesvereinigung innerhalb von vier Wochen nach dem 11. Mai 2019 eine Verfahrensordnung zur Herstellung des Benehmens nach Satz 7. Innerhalb von vier Wochen nach Erstellung der Verfahrensordnung hat die Kassenärztliche Bundesvereinigung das Benehmen hierzu mit den nach Satz 7 zu Beteiligenden herzustellen. Die Gesellschaft für Telematik kann der Kassenärztlichen Bundesvereinigung zur Erfüllung ihrer Aufgabe nach Satz 7 angemessene Fristen, entsprechend dem Projektstand, setzen; hält die Kassenärztliche Bundesvereinigung die jeweilige Frist nicht ein, kann die Gesellschaft für Telematik die Deutsche Krankenhausgesellschaft mit der Erstellung der jeweiligen Festlegungen nach Satz 7 im Benehmen mit den in Satz 7 genannten Organisationen beauftragen. Satz 8 findet entsprechende Anwendung. Das Verfahren für das Vorgehen nach Fristablauf legt die Gesellschaft für Telematik fest. Die Festlegungen der Kassenärztlichen Bundesvereinigung nach Satz 7 oder die Festlegungen der Deutschen Krankenhausgesellschaft nach Satz 11 zweiter Halbsatz sind für alle Gesellschafter, für die Leistungserbringer und Krankenkassen sowie für ihre Verbände nach diesem Buch verbindlich. Sie können nur durch eine alternative Entscheidung der in der Gesellschaft für Telematik vertretenen Spitzenorganisationen der Leistungserbringer nach § 291a Absatz 7 Satz 1 in gleicher Sache ersetzt werden. Eine Entscheidung der Spitzenorganisationen nach Satz 15 erfolgt mit der einfachen Mehrheit der sich aus deren Geschäftsanteilen ergebenden Stimmen. Die Festlegungen nach den Sätzen 7, 11 zweiter Halbsatz und Satz 15 sind in das Interoperabilitätsverzeichnis nach § 291e aufzunehmen. Der Kassenärztlichen Bundesvereinigung sind die zur Erfüllung ihrer Aufgaben nach Satz 7 entstandenen Kosten durch die Gesellschaft für Telematik zu erstatten. Satz 18 gilt für die Deutsche Krankenhausgesellschaft entsprechend, sofern diese nach Satz 11 zweiter Halbsatz die Aufgabe nach Satz 7 erfüllt. Im Auftrag des Bundesministeriums für Gesundheit nimmt die Gesellschaft für Telematik auf europäischer Ebene Aufgaben wahr, soweit die Telematikinfrastruktur berührt ist oder künftig berührt werden kann. Das Bundesministerium für Gesundheit kann ihr dabei Weisungen erteilen.

(1a) Die Komponenten und Dienste der Telematikinfrastruktur werden von der Gesellschaft für Telematik zugelassen. Die Zulassung wird auf Antrag des Anbieters einer Komponente oder des Anbieters eines Dienstes erteilt, wenn die Komponente oder der Dienst funktionsfähig, interoperabel und sicher ist. Die Zulassung kann mit Nebenbestimmungen versehen werden. Die Gesellschaft für Telematik prüft die Funktionsfähigkeit und Interoperabilität auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik durch eine Sicherheitszertifizierung. Hierzu entwickelt das Bundesamt für Sicherheit in der Informationstechnik geeignete Prüfvorschriften und veröffentlicht diese im Bundesanzeiger. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der Gesellschaft für Telematik in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik beschlossen. Die Gesellschaft für Telematik veröffentlicht eine Liste mit den zugelassenen Komponenten und Diensten. Die für die Aufgaben nach den Sätzen 5, 6 und 12 beim Bundesamt für Sicherheit in der Informationstechnik entstehenden Kosten sind diesem durch die Gesellschaft für Telematik zu erstatten. Die Einzelheiten werden von dem Bundesamt für Sicherheit in der Informationstechnik und der Gesellschaft für Telematik einvernehmlich festgelegt. Die Gesellschaft für Telematik kann eine befristete Genehmigung zur Verwendung von nicht zugelassenen Komponenten und Diensten in der Telematikinfrastruktur erteilen, wenn dies zur Aufrechterhaltung der Funktionsfähigkeit und Sicherheit der Telematikinfrastruktur erforderlich ist. Hinsichtlich der Sicherheit ist die Genehmigung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu erteilen. Für die Verfahren zum Zugriff der Versicherten nach § 291a Absatz 5 Satz 9 legt abweichend von den Sätzen 5 bis 7 die Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik den Umfang der Zulassung für die erforderlichen Komponenten und Dienste einschließlich der Anforderungen an die Sicherheit und das Nähere zum Zulassungsverfahren fest. Die Festlegungen nach Satz 13 sind von der Gesellschaft für Telematik bis zum 26. Mai 2019 zu veröffentlichen.

(1b) Die Gesellschaft für Telematik hat eine diskriminierungsfreie Nutzung der Telematikinfrastruktur für Anwendungen nach § 291a Absatz 7 Satz 3 zu gewährleisten. Dabei sind elektronische Anwendungen, die der Erfüllung von gesetzlichen Aufgaben der Kranken- und Pflegeversicherung dienen, vorrangig zu berücksichtigen. Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 291a Absatz 7 Satz 3 legt die Gesellschaft für Telematik in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit die erforderlichen Voraussetzungen bis zum 30. Juni 2016 fest und veröffentlicht diese auf ihrer Internetseite. Die Erfüllung dieser Voraussetzungen muss der Anbieter einer Anwendung gegenüber der Gesellschaft für Telematik in einem Bestätigungsverfahren nachweisen. Die Einzelheiten des Bestätigungsverfahrens sowie die dazu erforderlichen Prüfkriterien legt die Gesellschaft für Telematik in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik bis zum 30. September 2016 fest und veröffentlicht sie auf ihrer Internetseite. Das Bestätigungsverfahren wird auf Antrag eines Anbieters einer Anwendung durchgeführt. Die Bestätigung kann mit Nebenbestimmungen versehen werden. Die Gesellschaft für Telematik veröffentlicht eine Liste mit den erteilten Bestätigungen auf ihrer Internetseite. Für Leistungserbringer in der gesetzlichen Kranken- und Pflegeversicherung, die die Telematikinfrastruktur für Anwendungen nach § 291a Absatz 7 Satz 3 nutzen wollen und für die noch keine sicheren Authentisierungsverfahren nach Absatz 1 Satz 1 Nummer 5 festgelegt sind, legt die Gesellschaft für Telematik diese Verfahren in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik fest. Die nach diesem Absatz beim Bundesamt für Sicherheit in der Informationstechnik sowie bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich jeweils mit dem Bundesamt für Sicherheit in der Informationstechnik sowie der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(1c) Betriebsleistungen sind auf der Grundlage der von der Gesellschaft für Telematik zu beschließenden Rahmenbedingungen zu erbringen. Zur Durchführung des operativen Betriebs der Telematikinfrastruktur vergibt die Gesellschaft für Telematik Aufträge oder erteilt in einem transparenten und diskriminierungsfreien Verfahren Zulassungen; sind nach Absatz 1 Satz 6 erster Halbsatz einzelne Gesellschafter oder Dritte beauftragt worden, so sind die Beauftragten für die Vergabe und für die Erteilung der Zulassung zuständig. Bei der Vergabe von Aufträgen sind abhängig vom Auftragswert die Vorschriften über die Vergabe öffentlicher Aufträge: der Vierte Teil des Gesetzes gegen Wettbewerbsbeschränkungen sowie die Vergabeverordnung und § 22 der Verordnung über das Haushaltswesen in der Sozialversicherung sowie der Abschnitt 1 des Teils A der Verdingungsordnung für Leistungen (VOL/A) anzuwenden. Für die freihändige Vergabe von Leistungen gemäß § 3 Absatz 5 Buchstabe i der Verdingungsordnung für Leistungen - Teil A (VOL/A) werden die Ausführungsbestimmungen vom Bundesministerium für Gesundheit festgelegt und im Bundesanzeiger veröffentlicht. Bei Zulassungsverfahren nach Satz 2 haben Anbieter von operativen Betriebsleistungen einen Anspruch auf Zulassung, wenn

1.
die zu verwendenden Komponenten und Dienste nach den Absätzen 1a und 1e zugelassen sind,
2.
der Anbieter den Nachweis erbringt, dass die Verfügbarkeit und Sicherheit der Betriebsleistung gewährleistet sind, und
3.
der Anbieter sich vertraglich verpflichtet, die Rahmenbedingungen für Betriebsleistungen der Gesellschaft für Telematik einzuhalten.
Die Zulassung kann mit Nebenbestimmungen versehen werden. Die Gesellschaft für Telematik beziehungsweise die von ihr beauftragten Organisationen können die Anzahl der Zulassungen beschränken, soweit dies zur Gewährleistung von Interoperabilität, Kompatibilität und des notwendigen Sicherheitsniveaus erforderlich ist. Die Gesellschaft für Telematik beziehungsweise die von ihr beauftragten Organisationen veröffentlichen
1.
die fachlichen und sachlichen Voraussetzungen, die für den Nachweis nach Satz 5 Nr. 2 erfüllt sein müssen, sowie
2.
eine Liste mit den zugelassenen Anbietern.

(1d) Die Gesellschaft für Telematik kann für die Zulassungen und Bestätigungen der Absätze 1a bis 1c und 1e Gebühren und Auslagen erheben. Die Gebührensätze sind so zu bemessen, dass sie den auf die Leistungen entfallenden durchschnittlichen Personal- und Sachaufwand nicht übersteigen. Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung ohne Zustimmung des Bundesrates die gebührenpflichtigen Tatbestände zu bestimmen und dabei feste Sätze oder Rahmensätze vorzusehen sowie Regelungen über die Gebührenentstehung, die Gebührenerhebung, die Erstattung von Auslagen, den Gebührenschuldner, Gebührenbefreiungen, die Fälligkeit, die Stundung, die Niederschlagung, den Erlass, Säumniszuschläge, die Verjährung und die Erstattung zu treffen. Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 291a Absatz 7 Satz 3, die nicht in diesem Buch oder im Elften Buch Sozialgesetzbuch geregelt sind, kann die Gesellschaft für Telematik Entgelte verlangen. Der Entgeltkatalog bedarf der Genehmigung des Bundesministeriums für Gesundheit.

(1e) Die Gesellschaft für Telematik legt bis zum 31. Dezember 2016 sichere Verfahren zur Übermittlung medizinischer Dokumente über die Telematikinfrastruktur in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest und veröffentlicht diese Festlegungen auf ihrer Internetseite. Die Erfüllung dieser Festlegungen muss der Anbieter eines Dienstes für ein Übermittlungsverfahren gegenüber der Gesellschaft für Telematik in einem Zulassungsverfahren nachweisen. Für das Zulassungsverfahren gilt Absatz 1a. Die für das Zulassungsverfahren erforderlichen Festlegungen sind bis zum 31. März 2017 zu treffen und auf der Internetseite der Gesellschaft für Telematik zu veröffentlichen. Die nach diesem Absatz bei dem Bundesamt für Sicherheit in der Informationstechnik und bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(2) Der Gesellschaftsvertrag der Gesellschaft für Telematik, die auf der Grundlage des § 291a Absatz 7 in der bis zum 11. Mai 2019 geltenden Fassung gegründet worden ist, ist nach folgenden Grundsätzen anzupassen:

1.
Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, und die in § 291a Absatz 7 Satz 1 genannten Spitzenorganisationen sind Gesellschafter der Gesellschaft für Telematik. Die Geschäftsanteile entfallen zu 51 Prozent auf die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, zu 24,5 Prozent auf den Spitzenverband Bund der Krankenkassen und zu 24,5 Prozent auf die anderen in § 291a Absatz 7 Satz 1 genannten Spitzenorganisationen. Die Gesellschafter können den Beitritt weiterer Spitzenorganisationen der Leistungserbringer auf Bundesebene und des Verbandes der Privaten Krankenversicherung beschließen; im Fall eines Beitritts sind die Geschäftsanteile innerhalb der Gruppen der Kostenträger und Leistungserbringer entsprechend anzupassen;
2.
unbeschadet zwingender gesetzlicher Mehrheitserfordernisse entscheiden die Gesellschafter mit der einfachen Mehrheit der sich aus den Geschäftsanteilen ergebenden Stimmen.

(2a) Die Gesellschaft für Telematik hat einen Beirat einzurichten, der sie in fachlichen Belangen berät. Er kann Angelegenheiten von grundsätzlicher Bedeutung der Gesellschafterversammlung der Gesellschaft für Telematik zur Befassung vorlegen und ist vor der Beschlussfassung zu Angelegenheiten von grundsätzlicher Bedeutung zu hören. Zu Angelegenheiten von grundsätzlicher Bedeutung gehören insbesondere:

1.
Fachkonzepte zu Anwendungen der elektronischen Gesundheitskarte,
2.
Planungen und Konzepte für Erprobung und Betrieb der Telematikinfrastruktur sowie
3.
Konzepte zur Evaluation von Erprobungsphasen und Anwendungen.
Hierzu sind dem Beirat die entsprechenden Informationen in verständlicher Form so rechtzeitig zur Verfügung zu stellen, dass er sich mit ihnen inhaltlich befassen kann. Die Gesellschaft für Telematik hat sich mit den Stellungnahmen des Beirats zu befassen und dem Beirat mitzuteilen, inwieweit sie die Empfehlungen des Beirats berücksichtigt. Der Vorsitzende des Beirats kann an den Gesellschafterversammlungen der Gesellschaft für Telematik teilnehmen. Der Beirat besteht aus vier Vertretern der Länder, drei Vertretern der für die Wahrnehmung der Interessen der Patienten und der Selbsthilfe chronisch Kranker und behinderter Menschen maßgeblichen Organisationen, drei Vertretern der Wissenschaft, drei Vertretern der für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbände aus dem Bereich der Informationstechnologie im Gesundheitswesen, einem Vertreter der für die Wahrnehmung der Interessen der an der hausarztzentrierten Versorgung teilnehmenden Vertragsärzte maßgeblichen Spitzenorganisation sowie der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und der oder dem Beauftragten der Bundesregierung für die Belange der Patientinnen und Patienten. Vertreter weiterer Gruppen und Bundesbehörden können berufen werden. Die Mitglieder des Beirats werden von der Gesellschafterversammlung der Gesellschaft für Telematik berufen; die Vertreter der Länder werden von den Ländern benannt. Die Gesellschafter und die Geschäftsführung der Gesellschaft für Telematik können an den Sitzungen des Beirats teilnehmen.

(3) (weggefallen)

(4) Die Beschlüsse der Gesellschaft für Telematik zu den Regelungen, dem Aufbau und dem Betrieb der Telematikinfrastruktur sind für die Leistungserbringer und Krankenkassen sowie ihre Verbände nach diesem Buch verbindlich; dies gilt auch für Apothekerkammern der Länder für Beschlüsse über die Zuständigkeit für die Herausgabe von Komponenten zur Authentifizierung von Leistungserbringerinstitutionen, soweit dies nicht durch Bundes- oder Landesrecht geregelt ist. Vor der Beschlussfassung hat die Gesellschaft für Telematik dem oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und dem Bundesamt für Sicherheit in der Informationstechnik Gelegenheit zur Stellungnahme zu geben, sofern Belange des Datenschutzes oder der Datensicherheit berührt sind.

(5) (weggefallen)

(6) Soweit von Komponenten und Diensten eine Gefahr für die Funktionsfähigkeit oder Sicherheit der Telematikinfrastruktur ausgeht, ist die Gesellschaft für Telematik in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik befugt, die erforderlichen technischen und organisatorischen Maßnahmen zur Abwehr dieser Gefahr zu treffen. Betreiber von nach den Absätzen 1a und 1e zugelassenen Diensten und Betreiber von Diensten für nach Absatz 1b bestätigte Anwendungen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit dieser Dienste unverzüglich an die Gesellschaft für Telematik zu melden. Erheblich sind Störungen, die zum Ausfall oder zur Beeinträchtigung der Sicherheit oder Funktionsfähigkeit der in Satz 2 genannten Dienste oder zum Ausfall oder zur Beeinträchtigung der Sicherheit oder Funktionsfähigkeit der Telematikinfrastruktur führen können oder bereits geführt haben. Die Gesellschaft für Telematik hat die ihr nach Satz 2 gemeldeten Störungen sowie darüber hinausgehende bedeutende Störungen, die zu beträchtlichen Auswirkungen auf die Sicherheit oder Funktionsfähigkeit der Telematikinfrastruktur führen können oder bereits geführt haben, unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik zu melden. Die Gesellschaft für Telematik hat das Bundesministerium für Gesundheit unverzüglich über Meldungen nach Satz 4 zu informieren. Die Gesellschaft für Telematik kann zur Gefahrenabwehr im Einzelfall insbesondere Komponenten und Dienste für den Zugang zur Telematikinfrastruktur sperren oder den weiteren Zugang zur Telematikinfrastruktur nur unter der Bedingung gestatten, dass die von der Gesellschaft für Telematik angeordneten Maßnahmen zur Beseitigung der Gefahr umgesetzt werden.

(7) Die Gesellschaft für Telematik kann für Komponenten und Dienste, die die Telematikinfrastruktur nutzen, aber außerhalb der Telematikinfrastruktur betrieben werden, in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik solche Maßnahmen zur Überwachung des Betriebs treffen, die erforderlich sind, um die Sicherheit, Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur zu gewährleisten. Die Gesellschaft für Telematik legt hierzu fest, welche näheren Angaben ihr die Betreiber der Komponenten und Dienste offenzulegen haben, damit die Überwachung durchgeführt werden kann. Für die Erstattung der Kosten des Bundesamtes für Sicherheit in der Informationstechnik gilt Absatz 1a Satz 9 und 10 entsprechend.

(8) Die Gesellschaft für Telematik legt dem Bundesamt für Sicherheit in der Informationstechnik auf Verlangen die folgenden Unterlagen und Informationen vor:

1.
die Zulassungen und Bestätigungen nach den Absätzen 1a bis 1c und 1e einschließlich der zugrunde gelegten Dokumentation,
2.
eine Aufstellung der nach den Absätzen 6 und 7 getroffenen Maßnahmen einschließlich der festgestellten Sicherheitsmängel und Ergebnisse der Maßnahmen und
3.
sonstige für die Bewertung der Sicherheit der Telematikinfrastruktur sowie der zugelassenen Dienste und bestätigten Anwendungen erforderlichen Informationen.
Ergibt die Bewertung der in Satz 1 genannten Informationen Sicherheitsmängel, so kann das Bundesamt für Sicherheit in der Informationstechnik der Gesellschaft für Telematik verbindliche Anweisungen zur Beseitigung der festgestellten Sicherheitsmängel erteilen. Die Gesellschaft für Telematik ist befugt, Betreibern von zugelassenen Diensten und bestätigten Anwendungen nach den Absätzen 1a bis 1c und 1e verbindliche Anweisungen zur Beseitigung festgestellter Sicherheitsmängel zu erteilen. Die Kosten der Überprüfung tragen
1.
die Gesellschaft für Telematik, sofern das Bundesamt für Sicherheit in der Informationstechnik auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Sicherheit der Telematikinfrastruktur begründeten,
2.
der Betreiber von zugelassenen Diensten und bestätigten Anwendungen nach den Absätzen 1a bis 1c und 1e, sofern das Bundesamt für Sicherheit in der Informationstechnik auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Sicherheit der zugelassenen Dienste und bestätigten Anwendungen begründeten.

des Fünften Buches Sozialgesetzbuch bestätigte Anwendungen nutzen,
4.
Genehmigungsinhaber nach § 7 Absatz 1

(1) Wer eine ortsfeste Anlage zur Erzeugung oder zur Bearbeitung oder Verarbeitung oder zur Spaltung von Kernbrennstoffen oder zur Aufarbeitung bestrahlter Kernbrennstoffe errichtet, betreibt oder sonst innehat oder die Anlage oder ihren Betrieb wesentlich verändert, bedarf der Genehmigung. Für die Errichtung und den Betrieb von Anlagen zur Spaltung von Kernbrennstoffen zur gewerblichen Erzeugung von Elektrizität und von Anlagen zur Aufarbeitung bestrahlter Kernbrennstoffe werden keine Genehmigungen erteilt. Dies gilt nicht für wesentliche Veränderungen von Anlagen oder ihres Betriebs.

(1a) Die Berechtigung zum Leistungsbetrieb einer Anlage zur Spaltung von Kernbrennstoffen zur gewerblichen Erzeugung von Elektrizität erlischt, wenn die in Anlage 3 Spalte 2 für die Anlage aufgeführte Elektrizitätsmenge oder die sich auf Grund von Übertragungen nach Absatz 1b ergebende Elektrizitätsmenge erzeugt ist, jedoch spätestens

1.
mit Ablauf des 6. August 2011 für die Kernkraftwerke Biblis A, Neckarwestheim 1, Biblis B, Brunsbüttel, Isar 1, Unterweser, Philippsburg 1 und Krümmel,
2.
mit Ablauf des 31. Dezember 2015 für das Kernkraftwerk Grafenrheinfeld,
3.
mit Ablauf des 31. Dezember 2017 für das Kernkraftwerk Gundremmingen B,
4.
mit Ablauf des 31. Dezember 2019 für das Kernkraftwerk Philippsburg 2,
5.
mit Ablauf des 31. Dezember 2021 für die Kernkraftwerke Grohnde, Gundremmingen C und Brokdorf,
6.
mit Ablauf des 31. Dezember 2022 für die Kernkraftwerke Isar 2, Emsland und Neckarwestheim 2.
Die Erzeugung der in Anlage 3 Spalte 2 aufgeführten Elektrizitätsmengen ist durch ein Messgerät zu messen. Das Messgerät nach Satz 2 muss den Vorschriften des Mess- und Eichgesetzes und den auf Grund des Mess- und Eichgesetzes erlassenen Rechtsverordnungen entsprechen. Ein Messgerät nach Satz 2 darf erst in Betrieb genommen werden, nachdem eine Behörde nach § 54 Absatz 1 des Mess- und Eichgesetzes dessen Eignung und ordnungsgemäßes Verwenden festgestellt hat. Wer ein Messgerät nach Satz 2 verwendet, muss das Messgerät unverzüglich so aufstellen und anschließen sowie so handhaben und warten, dass die Richtigkeit der Messung und die zuverlässige Ablesung der Anzeige gewährleistet sind. Die Vorschriften des Mess- und Eichgesetzes und der auf Grund dieses Gesetzes erlassenen Rechtsverordnung finden Anwendung. Der Genehmigungsinhaber hat den bestimmungsgemäßen Zustand des Messgerätes in jedem Kalenderjahr durch eine Sachverständigenorganisation und die in jedem Kalenderjahr erzeugte Elektrizitätsmenge binnen eines Monats durch einen Wirtschaftsprüfer oder eine Wirtschaftsprüfungsgesellschaft überprüfen und bescheinigen zu lassen.

(1b) Elektrizitätsmengen nach Anlage 3 Spalte 2 können ganz oder teilweise von einer Anlage auf eine andere Anlage übertragen werden, wenn die empfangende Anlage den kommerziellen Leistungsbetrieb später als die abgebende Anlage begonnen hat. Elektrizitätsmengen können abweichend von Satz 1 auch von einer Anlage übertragen werden, die den kommerziellen Leistungsbetrieb später begonnen hat, wenn das Bundesministerium für Umwelt, Naturschutz, Bau und Reaktorsicherheit im Einvernehmen mit dem Bundeskanzleramt und dem Bundesministerium für Wirtschaft und Energie der Übertragung zugestimmt hat. Die Zustimmung nach Satz 2 ist nicht erforderlich, wenn die abgebende Anlage den Leistungsbetrieb dauerhaft einstellt und ein Antrag nach Absatz 3 Satz 1 zur Stilllegung der Anlage gestellt worden ist. Elektrizitätsmengen nach Anlage 3 Spalte 2 können von Anlagen nach Absatz 1a Satz 1 Nummer 1 bis 6 auch nach Erlöschen der Berechtigung zum Leistungsbetrieb nach den Sätzen 1 bis 3 übertragen werden.

(1c) Der Genehmigungsinhaber hat der zuständigen Behörde

1.
monatlich die im Sinne des Absatzes 1a in Verbindung mit der Anlage 3 Spalte 2 im Vormonat erzeugten Elektrizitätsmengen mitzuteilen,
2.
die Ergebnisse der Überprüfungen und die Bescheinigungen nach Absatz 1a Satz 3 binnen eines Monats nach deren Vorliegen vorzulegen,
3.
die zwischen Anlagen vorgenommenen Übertragungen nach Absatz 1b binnen einer Woche nach Festlegung der Übertragung mitzuteilen.
Der Genehmigungsinhaber hat in der ersten monatlichen Mitteilung über die erzeugte Elektrizitätsmenge nach Satz 1 Nr. 1 eine Mitteilung über die seit dem 1. Januar 2000 bis zum letzten Tag des April 2002 erzeugte Elektrizitätsmenge zu übermitteln, die von einem Wirtschaftsprüfer oder einer Wirtschaftsprüfungsgesellschaft überprüft und bescheinigt worden ist. Der Zeitraum der ersten monatlichen Mitteilung beginnt ab dem 1. Mai 2002. Die übermittelten Informationen nach Satz 1 Nummer 1 bis 3 sowie die Angabe der jeweils noch verbleibenden Elektrizitätsmenge werden durch die zuständige Behörde im Bundesanzeiger bekannt gemacht; hierbei werden die erzeugten Elektrizitätsmengen im Sinne des Satzes 1 Nummer 1 jährlich zusammengerechnet für ein Kalenderjahr im Bundesanzeiger bekannt gemacht, jedoch bei einer voraussichtlichen Restlaufzeit von weniger als sechs Monaten monatlich.

(1d) Für das Kernkraftwerk Mülheim-Kärlich gelten Absatz 1a Satz 1, Absatz 1b Satz 1 bis 3 und Absatz 1c Satz 1 Nr. 3 mit der Maßgabe, dass die in Anlage 3 Spalte 2 aufgeführte Elektrizitätsmenge nur nach Übertragung auf die dort aufgeführten Kernkraftwerke in diesen produziert werden darf.

(1e) (weggefallen)

(2) Die Genehmigung darf nur erteilt werden, wenn

1.
keine Tatsachen vorliegen, aus denen sich Bedenken gegen die Zuverlässigkeit des Antragstellers und der für die Errichtung, Leitung und Beaufsichtigung des Betriebs der Anlage verantwortlichen Personen ergeben, und die für die Errichtung, Leitung und Beaufsichtigung des Betriebs der Anlage verantwortlichen Personen die hierfür erforderliche Fachkunde besitzen,
2.
gewährleistet ist, daß die bei dem Betrieb der Anlage sonst tätigen Personen die notwendigen Kenntnisse über einen sicheren Betrieb der Anlage, die möglichen Gefahren und die anzuwendenden Schutzmaßnahmen besitzen,
3.
die nach dem Stand von Wissenschaft und Technik erforderliche Vorsorge gegen Schäden durch die Errichtung und den Betrieb der Anlage getroffen ist,
4.
die erforderliche Vorsorge für die Erfüllung gesetzlicher Schadensersatzverpflichtungen getroffen ist,
5.
der erforderliche Schutz gegen Störmaßnahmen oder sonstige Einwirkungen Dritter gewährleistet ist,
6.
überwiegende öffentliche Interessen, insbesondere im Hinblick auf die Umweltauswirkungen, der Wahl des Standorts der Anlage nicht entgegenstehen.

(2a) (weggefallen)

(3) Die Stillegung einer Anlage nach Absatz 1 Satz 1 sowie der sichere Einschluß der endgültig stillgelegten Anlage oder der Abbau der Anlage oder von Anlagenteilen bedürfen der Genehmigung. Absatz 2 gilt sinngemäß. Eine Genehmigung nach Satz 1 ist nicht erforderlich, soweit die geplanten Maßnahmen bereits Gegenstand einer Genehmigung nach Absatz 1 Satz 1 oder Anordnung nach § 19 Abs. 3 gewesen sind. Anlagen nach Absatz 1 Satz 1, deren Berechtigung zum Leistungsbetrieb nach Absatz 1a erloschen ist oder deren Leistungsbetrieb endgültig beendet ist und deren Betreiber Einzahlende nach § 2 Absatz 1 Satz 1 des Entsorgungsfondsgesetzes sind, sind unverzüglich stillzulegen und abzubauen. Die zuständige Behörde kann im Einzelfall für Anlagenteile vorübergehende Ausnahmen von Satz 4 zulassen, soweit und solange dies aus Gründen des Strahlenschutzes erforderlich ist.

(4) Im Genehmigungsverfahren sind alle Behörden des Bundes, der Länder, der Gemeinden und der sonstigen Gebietskörperschaften zu beteiligen, deren Zuständigkeitsbereich berührt wird. Bestehen zwischen der Genehmigungsbehörde und einer beteiligten Bundesbehörde Meinungsverschiedenheiten, so hat die Genehmigungsbehörde die Weisung des für die kerntechnische Sicherheit und den Strahlenschutz zuständigen Bundesministeriums einzuholen. Im übrigen wird das Genehmigungsverfahren nach den Grundsätzen der §§ 8, 10 Abs. 1 bis 4, 6 bis 8, 10 Satz 2 und des § 18 des Bundes-Immissionsschutzgesetzes durch Rechtsverordnung geregelt; dabei kann vorgesehen werden, dass bei der Prüfung der Umweltverträglichkeit der insgesamt zur Stilllegung, zum sicheren Einschluss oder zum Abbau von Anlagen zur Spaltung von Kernbrennstoffen oder von Anlagenteilen geplanten Maßnahmen von einem Erörterungstermin abgesehen werden kann.

(5) Für ortsveränderliche Anlagen gelten die Absätze 1, 2 und 4 entsprechend. Jedoch kann die in Absatz 4 Satz 3 genannte Rechtsverordnung vorsehen, daß von einer Bekanntmachung des Vorhabens und einer Auslegung der Unterlagen abgesehen werden kann und daß insoweit eine Erörterung von Einwendungen unterbleibt.

(6) § 14 des Bundes-Immissionsschutzgesetzes gilt sinngemäß für Einwirkungen, die von einer genehmigten Anlage auf ein anderes Grundstück ausgehen.

des Atomgesetzes in der Fassung der Bekanntmachung vom 15. Juli 1985 (BGBl. I S. 1565), das zuletzt durch Artikel 2 des Gesetzes vom 17. Juli 2015 (BGBl. I S. 1324) geändert worden ist, in der jeweils geltenden Fassung für den Geltungsbereich der Genehmigung sowie
5.
sonstige Betreiber Kritischer Infrastrukturen, soweit sie auf Grund von Rechtsvorschriften Anforderungen erfüllen müssen, die mit den Anforderungen nach § 8a

(1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.

(2) Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Das Bundesamt stellt auf Antrag fest, ob diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. Die Feststellung erfolgt

1.
im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe,
2.
im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde.

(3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann die Vorlage der Dokumentation, die der Überprüfung zugrunde gelegt wurde, verlangen. Es kann bei Sicherheitsmängeln im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen.

(4) Das Bundesamt kann beim Betreiber Kritischer Infrastrukturen die Einhaltung der Anforderungen nach Absatz 1 überprüfen; es kann sich bei der Durchführung der Überprüfung eines qualifizierten unabhängigen Dritten bedienen. Der Betreiber Kritischer Infrastrukturen hat dem Bundesamt und den in dessen Auftrag handelnden Personen zum Zweck der Überprüfung das Betreten der Geschäfts- und Betriebsräume während der üblichen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren. Für die Überprüfung erhebt das Bundesamt Gebühren und Auslagen bei dem jeweiligen Betreiber Kritischer Infrastrukturen nur, sofern das Bundesamt auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Einhaltung der Anforderungen nach Absatz 1 begründeten.

(5) Das Bundesamt kann zur Ausgestaltung des Verfahrens der Sicherheitsaudits, Prüfungen und Zertifizierungen nach Absatz 3 Anforderungen an die Art und Weise der Durchführung, an die hierüber auszustellenden Nachweise sowie fachliche und organisatorische Anforderungen an die prüfende Stelle nach Anhörung von Vertretern der betroffenen Betreiber und der betroffenen Wirtschaftsverbände festlegen.

vergleichbar oder weitergehend sind.

(3) § 8b Absatz 4

(1) Das Bundesamt ist die zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit in der Informationstechnik.

(2) Das Bundesamt hat zur Wahrnehmung dieser Aufgabe

1.
die für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik wesentlichen Informationen zu sammeln und auszuwerten, insbesondere Informationen zu Sicherheitslücken, zu Schadprogrammen, zu erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und zu der dabei beobachteten Vorgehensweise,
2.
deren potentielle Auswirkungen auf die Verfügbarkeit der Kritischen Infrastrukturen in Zusammenarbeit mit den zuständigen Aufsichtsbehörden und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe zu analysieren,
3.
das Lagebild bezüglich der Sicherheit in der Informationstechnik der Kritischen Infrastrukturen kontinuierlich zu aktualisieren und
4.
unverzüglich
a)
die Betreiber Kritischer Infrastrukturen über sie betreffende Informationen nach den Nummern 1 bis 3,
b)
die zuständigen Aufsichtsbehörden und die sonst zuständigen Behörden des Bundes über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3,
c)
die zuständigen Aufsichtsbehörden der Länder oder die zu diesem Zweck dem Bundesamt von den Ländern als zentrale Kontaktstellen benannten Behörden über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3 sowie
d)
die zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union über nach Absatz 4 oder nach vergleichbaren Regelungen gemeldete erhebliche Störungen, die Auswirkungen in diesem Mitgliedstaat haben,
zu unterrichten.

(3) Die Betreiber Kritischer Infrastrukturen haben dem Bundesamt binnen sechs Monaten nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 eine Kontaktstelle für die von ihnen betriebenen Kritischen Infrastrukturen zu benennen. Die Betreiber haben sicherzustellen, dass sie hierüber jederzeit erreichbar sind. Die Übermittlung von Informationen durch das Bundesamt nach Absatz 2 Nummer 4 erfolgt an diese Kontaktstelle.

(4) Betreiber Kritischer Infrastrukturen haben die folgenden Störungen unverzüglich über die Kontaktstelle an das Bundesamt zu melden:

1.
Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt haben,
2.
erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können.
Die Meldung muss Angaben zu der Störung, zu möglichen grenzübergreifenden Auswirkungen sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur erbrachten kritischen Dienstleistung und zu den Auswirkungen der Störung auf diese Dienstleistung enthalten. Die Nennung des Betreibers ist nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat.

(5) Zusätzlich zu ihrer Kontaktstelle nach Absatz 3 können Betreiber Kritischer Infrastrukturen, die dem gleichen Sektor angehören, eine gemeinsame übergeordnete Ansprechstelle benennen. Wurde eine solche benannt, erfolgt der Informationsaustausch zwischen den Kontaktstellen und dem Bundesamt in der Regel über die gemeinsame Ansprechstelle.

(6) Soweit erforderlich kann das Bundesamt vom Hersteller der betroffenen informationstechnischen Produkte und Systeme die Mitwirkung an der Beseitigung oder Vermeidung einer Störung nach Absatz 4 verlangen. Satz 1 gilt für Störungen bei Betreibern und Genehmigungsinhabern im Sinne von § 8c Absatz 3 entsprechend.

(7) Soweit im Rahmen dieser Vorschrift personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ist eine über die vorstehenden Absätze hinausgehende Verarbeitung und Nutzung zu anderen Zwecken unzulässig. § 5 Absatz 7 Satz 3 bis 8 ist entsprechend anzuwenden. Im Übrigen sind die Regelungen des Bundesdatenschutzgesetzes anzuwenden.

ist nicht anzuwenden auf

1.
Betreiber Kritischer Infrastrukturen, soweit sie ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen,
2.
Betreiber von Energieversorgungsnetzen oder Energieanlagen, soweit sie den Regelungen des § 11

(1) Betreiber von Energieversorgungsnetzen sind verpflichtet, ein sicheres, zuverlässiges und leistungsfähiges Energieversorgungsnetz diskriminierungsfrei zu betreiben, zu warten und bedarfsgerecht zu optimieren, zu verstärken und auszubauen, soweit es wirtschaftlich zumutbar ist. Sie haben insbesondere die Aufgaben nach den §§ 12 bis 16a zu erfüllen. Die Verpflichtung gilt auch im Rahmen der Wahrnehmung der wirtschaftlichen Befugnisse der Leitung des vertikal integrierten Energieversorgungsunternehmens und seiner Aufsichtsrechte nach § 7a Absatz 4 Satz 3. Der Ausbau eines L-Gasversorgungsnetzes ist nicht bedarfsgerecht im Sinne von Satz 1, wenn er auf Grund von Netzanschlüssen erfolgen muss, zu deren Einräumung der Betreiber des L-Gasversorgungsnetzes nicht nach den §§ 17 und 18 verpflichtet war.

(1a) Der Betrieb eines sicheren Energieversorgungsnetzes umfasst insbesondere auch einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind. Die Regulierungsbehörde erstellt hierzu im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen und veröffentlicht diesen. Der Katalog der Sicherheitsanforderungen enthält auch Regelungen zur regelmäßigen Überprüfung der Erfüllung der Sicherheitsanforderungen. Ein angemessener Schutz des Betriebs eines Energieversorgungsnetzes liegt vor, wenn dieser Katalog der Sicherheitsanforderungen eingehalten und dies vom Betreiber dokumentiert worden ist. Die Einhaltung kann von der Regulierungsbehörde überprüft werden. Zu diesem Zwecke kann die Regulierungsbehörde nähere Bestimmungen zu Format, Inhalt und Gestaltung der Dokumentation nach Satz 4 treffen.

(1b) Betreiber von Energieanlagen, die durch Inkrafttreten der Rechtsverordnung gemäß § 10 Absatz 1 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 8 des Gesetzes vom 17. Juli 2015 (BGBl. I S. 1324) geändert worden ist, in der jeweils geltenden Fassung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind, haben innerhalb einer von der Regulierungsbehörde festzulegenden Frist einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme zu gewährleisten, die für einen sicheren Anlagenbetrieb notwendig sind. Die Regulierungsbehörde erstellt hierzu im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen, in den auch die Bestimmung der Frist nach Satz 1 aufzunehmen ist, und veröffentlicht diesen. Für Telekommunikations- und elektronische Datenverarbeitungssysteme von Anlagen nach § 7 Absatz 1 des Atomgesetzes haben Vorgaben auf Grund des Atomgesetzes Vorrang. Die für die nukleare Sicherheit zuständigen Genehmigungs- und Aufsichtsbehörden des Bundes und der Länder sind bei der Erarbeitung des Katalogs von Sicherheitsanforderungen zu beteiligen. Der Katalog von Sicherheitsanforderungen enthält auch Regelungen zur regelmäßigen Überprüfung der Erfüllung der Sicherheitsanforderungen. Ein angemessener Schutz des Betriebs von Energieanlagen im Sinne von Satz 1 liegt vor, wenn dieser Katalog eingehalten und dies vom Betreiber dokumentiert worden ist. Die Einhaltung kann von der Bundesnetzagentur überprüft werden. Zu diesem Zwecke kann die Regulierungsbehörde nähere Bestimmungen zu Format, Inhalt und Gestaltung der Dokumentation nach Satz 6 treffen.

(1c) Betreiber von Energieversorgungsnetzen und von solchen Energieanlagen, die durch Inkrafttreten der Rechtsverordnung gemäß § 10 Absatz 1 des BSI-Gesetzes als Kritische Infrastruktur bestimmt wurden, haben

1.
Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer erheblichen Beeinträchtigung der Funktionsfähigkeit des Energieversorgungsnetzes oder der betreffenden Energieanlage geführt haben,
2.
erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer erheblichen Beeinträchtigung der Funktionsfähigkeit des Energieversorgungsnetzes oder der betreffenden Energieanlage führen können,
über die Kontaktstelle unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik zu melden.

Die Meldung muss Angaben zu der Störung, zu möglichen grenzübergreifenden Auswirkungen sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache und der betroffenen Informationstechnik, enthalten. Die Nennung des Betreibers ist nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat. Das Bundesamt für Sicherheit in der Informationstechnik hat die Meldungen unverzüglich an die Bundesnetzagentur weiterzuleiten. Das Bundesamt für Sicherheit in der Informationstechnik und die Bundesnetzagentur haben sicherzustellen, dass die unbefugte Offenbarung der ihnen nach Satz 1 zur Kenntnis gelangten Angaben ausgeschlossen wird. Zugang zu den Akten des Bundesamtes für Sicherheit in der Informationstechnik sowie zu den Akten der Bundesnetzagentur in Angelegenheiten nach § 11 Absatz 1a bis Absatz 1c wird nicht gewährt. § 29 des Verwaltungsverfahrensgesetzes bleibt unberührt. § 8e Absatz 1 des BSI-Gesetzes ist entsprechend anzuwenden.

(2) Für einen bedarfsgerechten, wirtschaftlich zumutbaren Ausbau der Elektrizitätsversorgungsnetze nach Absatz 1 Satz 1 können Betreiber von Elektrizitätsversorgungsnetzen den Berechnungen für ihre Netzplanung die Annahme zugrunde legen, dass die prognostizierte jährliche Stromerzeugung je unmittelbar an ihr Netz angeschlossener Anlage zur Erzeugung von elektrischer Energie aus Windenergie an Land oder solarer Strahlungsenergie um bis zu 3 Prozent reduziert werden darf (Spitzenkappung). Betreiber von Elektrizitätsversorgungsnetzen, die für ihre Netzplanung eine Spitzenkappung zugrunde gelegt haben, müssen dies

1.
auf ihrer Internetseite veröffentlichen,
2.
dem Betreiber des vorgelagerten Elektrizitätsversorgungsnetzes, dem Betreiber des Übertragungsnetzes, der Bundesnetzagentur sowie der zuständigen Landesregulierungsbehörde unverzüglich mitteilen und
3.
im Rahmen der Netzplanung für einen sachkundigen Dritten nachvollziehbar dokumentieren.
Die Dokumentation nach Satz 2 Nummer 3 muss der Bundesnetzagentur, der zuständigen Landesregulierungsbehörde, dem Betreiber des vorgelagerten Elektrizitätsversorgungsnetzes, dem Betreiber des Übertragungsnetzes, einem Einspeisewilligen sowie einem an das Netz angeschlossenen Anlagenbetreiber auf Verlangen unverzüglich vorgelegt werden. Die §§ 13 und 14 und die §§ 11, 14 und 15 des Erneuerbare-Energien-Gesetzes bleiben unberührt. Ein Betreiber des Elektrizitätsversorgungsnetzes, der nach § 15 Absatz 2 Satz 1 des Erneuerbare-Energien-Gesetzes Kosten für die Reduzierung der Einspeisung von mehr als 3 Prozent der jährlichen Stromerzeugung einer Anlage zur Erzeugung von Strom aus erneuerbaren Energien, Grubengas oder Kraft-Wärme-Kopplung bei der Ermittlung seiner Netzentgelte in Ansatz bringt, muss der Bundesnetzagentur sowie der zuständigen Landesregulierungsbehörde den Umfang der und die Ursachen für die Reduzierung der Einspeisung mitteilen und im Fall einer Spitzenkappung die Dokumentation nach Satz 2 Nummer 3 vorlegen.

(3) Betreiber von Übertragungsnetzen können besondere netztechnische Betriebsmittel vorhalten, um die Sicherheit und Zuverlässigkeit des Elektrizitätsversorgungssystems bei einem tatsächlichen örtlichen Ausfall eines oder mehrerer Betriebsmittel im Übertragungsnetz wieder herzustellen. Mit dem Betrieb besonderer netztechnischer Betriebsmittel sind Dritte zu beauftragen. Entsprechendes gilt bei der Errichtung von Anlagen zur Erzeugung elektrischer Energie und der Bereitstellung abschaltbarer Lasten. Aufträge nach den Sätzen 2 und 3 werden im Wettbewerb und im Wege transparenter Verfahren vergeben. Dabei sind

1.
die Grundsätze der Wirtschaftlichkeit und der Verhältnismäßigkeit zu wahren und
2.
alle Teilnehmer des Verfahrens gleich zu behandeln.
Der Teil 4 des Gesetzes gegen Wettbewerbsbeschränkungen bleibt unberührt. Die Leistung oder die Arbeit besonderer netztechnischer Betriebsmittel darf weder ganz noch teilweise auf den Strommärkten veräußert werden. Die Betreiber von Übertragungsnetzen legen der Bundesnetzagentur rechtzeitig vor einer geplanten Beschaffung besonderer netztechnischer Betriebsmittel vor:
1.
Analysen, aus denen sich die Erforderlichkeit besonderer netztechnischer Betriebsmittel unter Berücksichtigung bestehender Energieanlagen ergibt, sowie
2.
ein Beschaffungskonzept, welches das Vergabeverfahren nach den Sätzen 2 bis 5 beschreibt.

(4) In Rechtsverordnungen über die Regelung von Vertrags- und sonstigen Rechtsverhältnissen können auch Regelungen zur Haftung der Betreiber von Energieversorgungsnetzen aus Vertrag und unerlaubter Handlung für Sach- und Vermögensschäden, die ein Kunde durch Unterbrechung der Energieversorgung oder durch Unregelmäßigkeiten in der Energieversorgung erleidet, getroffen werden. Dabei kann die Haftung auf vorsätzliche oder grob fahrlässige Verursachung beschränkt und der Höhe nach begrenzt werden. Soweit es zur Vermeidung unzumutbarer wirtschaftlicher Risiken des Netzbetriebs im Zusammenhang mit Verpflichtungen nach § 13 Absatz 2, § 13b Absatz 5 und § 13f Absatz 1, auch in Verbindung mit § 14, und § 16 Absatz 2 und 2a, auch in Verbindung mit § 16a, erforderlich ist, kann die Haftung darüber hinaus vollständig ausgeschlossen werden.

des Energiewirtschaftsgesetzes unterliegen,
3.
die Gesellschaft für Telematik nach § 291a Absatz 7 Satz 2

(1) Die elektronische Gesundheitskarte dient mit den in den Absätzen 2 und 3 genannten Anwendungen der Verbesserung von Wirtschaftlichkeit, Qualität und Transparenz der Behandlung.

(1a) Werden von Unternehmen der privaten Krankenversicherung elektronische Gesundheitskarten für die Verarbeitung und Nutzung von Daten nach Absatz 2 Satz 1 Nr. 1 und Absatz 3 Satz 1 an ihre Versicherten ausgegeben, gelten Absatz 2 Satz 1 Nr. 1 und Satz 2 sowie die Absätze 3 bis 5a, 6 und 8 entsprechend. Für den Einsatz elektronischer Gesundheitskarten nach Satz 1 können Unternehmen der privaten Krankenversicherung als Versichertennummer den unveränderbaren Teil der Krankenversichertennummer nach § 290 Abs. 1 Satz 2 nutzen. § 290 Abs. 1 Satz 4 bis 7 gilt entsprechend. Die Vergabe der Versichertennummer erfolgt durch die Vertrauensstelle nach § 290 Abs. 2 Satz 2 und hat den Vorgaben der Richtlinien nach § 290 Abs. 2 Satz 1 für den unveränderbaren Teil der Krankenversichertennummer zu entsprechen. Die Kosten zur Bildung der Versichertennummer und, sofern die Vergabe einer Rentenversicherungsnummer erforderlich ist, zur Vergabe der Rentenversicherungsnummer tragen die Unternehmen der privaten Krankenversicherung. Die Regelungen dieses Absatzes gelten auch für die Postbeamtenkrankenkasse und die Krankenversorgung der Bundesbahnbeamten.

(2) Die elektronische Gesundheitskarte muss geeignet sein, Angaben aufzunehmen für

1.
die Übermittlung ärztlicher Verordnungen in elektronischer und maschinell verwertbarer Form sowie
2.
den Berechtigungsnachweis zur Inanspruchnahme von Leistungen in einem Mitgliedstaat der Europäischen Union, einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum oder der Schweiz.
§ 6c des Bundesdatenschutzgesetzes findet Anwendung.

(3) Über Absatz 2 hinaus muss die Gesundheitskarte geeignet sein, folgende Anwendungen zu unterstützen, insbesondere das Erheben, Verarbeiten und Nutzen von

1.
medizinischen Daten, soweit sie für die Notfallversorgung erforderlich sind,
2.
Befunden, Diagnosen, Therapieempfehlungen sowie Behandlungsberichten in elektronischer und maschinell verwertbarer Form für eine einrichtungsübergreifende, fallbezogene Kooperation (elektronischer Arztbrief),
3.
Daten des Medikationsplans nach § 31a einschließlich Daten zur Prüfung der Arzneimitteltherapiesicherheit,
4.
Daten über Befunde, Diagnosen, Therapiemaßnahmen, Behandlungsberichte sowie Impfungen für eine fall- und einrichtungsübergreifende Dokumentation über die Versicherten sowie durch von Versicherten selbst oder für sie zur Verfügung gestellte Daten (elektronische Patientenakte),
5.
(weggefallen)
6.
Daten über in Anspruch genommene Leistungen und deren vorläufige Kosten für die Versicherten (§ 305 Abs. 2),
7.
Erklärungen der Versicherten zur Organ- und Gewebespende,
8.
Hinweisen der Versicherten auf das Vorhandensein und den Aufbewahrungsort von Erklärungen zur Organ- und Gewebespende sowie
9.
Hinweisen der Versicherten auf das Vorhandensein und den Aufbewahrungsort von Vorsorgevollmachten oder Patientenverfügungen nach § 1901a des Bürgerlichen Gesetzbuchs;
die Verarbeitung und Nutzung von Daten nach Nummer 1 muss auch auf der Karte ohne Netzzugang möglich sein. Die Authentizität der Erklärungen nach Satz 1 Nummer 7 muss sichergestellt sein. Spätestens bei der Versendung der Karte hat die Krankenkasse die Versicherten umfassend und in allgemein verständlicher Form über deren Funktionsweise, einschließlich der Art der auf ihr oder durch sie zu erhebenden, zu verarbeitenden oder zu nutzenden personenbezogenen Daten zu informieren. § 6c des Bundesdatenschutzgesetzes findet Anwendung.

(4) Zum Zwecke des Erhebens, Verarbeitens oder Nutzens mittels der elektronischen Gesundheitskarte dürfen, soweit es zur Versorgung der Versicherten erforderlich ist, auf Daten

1.
nach Absatz 2 Satz 1 Nr. 1 ausschließlich
a)
Ärzte,
b)
Zahnärzte,
c)
Apotheker, Apothekerassistenten, Pharmazieingenieure, Apothekenassistenten,
d)
Personen, die
aa)
bei den unter Buchstabe a bis c Genannten oder
bb)
in einem Krankenhaus
als berufsmäßige Gehilfen oder zur Vorbereitung auf den Beruf tätig sind, soweit dies im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich ist und der Zugriff unter Aufsicht der in Buchstabe a bis c Genannten erfolgt,
e)
sonstige Erbringer ärztlich verordneter Leistungen,
2.
nach Absatz 3 Satz 1 Nr. 1 bis 5 ausschließlich
a)
Ärzte,
b)
Zahnärzte,
c)
Apotheker, Apothekerassistenten, Pharmazieingenieure, Apothekenassistenten,
d)
Personen, die
aa)
bei den unter Buchstabe a bis c Genannten oder
bb)
in einem Krankenhaus
als berufsmäßige Gehilfen oder zur Vorbereitung auf den Beruf tätig sind, soweit dies im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich ist und der Zugriff unter Aufsicht der in Buchstabe a bis c Genannten erfolgt,
e)
nach Absatz 3 Satz 1 Nr. 1, beschränkt auf den lesenden Zugriff, auch Angehörige eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert,
f)
Psychotherapeuten
zugreifen. Die Versicherten haben das Recht, auf die Daten nach Absatz 2 Satz 1 und Absatz 3 Satz 1 zuzugreifen.

(5) Das Erheben, Verarbeiten und Nutzen von Daten mittels der elektronischen Gesundheitskarte in den Fällen des Absatzes 3 Satz 1 ist nur mit dem Einverständnis der Versicherten zulässig. Durch technische Vorkehrungen ist zu gewährleisten, dass in den Fällen des Absatzes 3 Satz 1 Nr. 2 bis 6 der Zugriff vorbehaltlich Satz 4 nur durch Autorisierung der Versicherten möglich ist. Soweit es zur Notfallversorgung erforderlich ist, ist der Zugriff auf Daten nach Absatz 3 Satz 1 Nummer 1 ohne eine Autorisierung der Versicherten zulässig; ansonsten ist der Zugriff auf Daten nach Absatz 3 Satz 1 Nummer 1 zulässig, soweit er zur Versorgung der Versicherten erforderlich ist und wenn nachprüfbar protokolliert wird, dass der Zugriff mit Einverständnis der Versicherten erfolgt. Bei Daten nach Absatz 3 Satz 1 Nummer 3 können die Versicherten auf das Erfordernis der Zugriffsautorisierung nach Satz 2 verzichten. Der Zugriff auf Daten sowohl nach Absatz 2 Satz 1 Nr. 1 als auch nach Absatz 3 Satz 1 Nummer 1 bis 6 mittels der elektronischen Gesundheitskarte darf nur in Verbindung mit einem elektronischen Heilberufsausweis, im Falle des Absatzes 2 Satz 1 Nr. 1 auch in Verbindung mit einem entsprechenden Berufsausweis, erfolgen, die jeweils über eine Möglichkeit zur sicheren Authentifizierung und über eine qualifizierte elektronische Signatur verfügen. Zugriffsberechtigte Personen nach Absatz 4 Satz 1 Nr. 1 Buchstabe d und e sowie Nr. 2 Buchstabe d und e, die über keinen elektronischen Heilberufsausweis oder entsprechenden Berufsausweis verfügen, können auf die entsprechenden Daten zugreifen, wenn sie hierfür von Personen autorisiert sind, die über einen elektronischen Heilberufsausweis oder entsprechenden Berufsausweis verfügen, und wenn nachprüfbar elektronisch protokolliert wird, wer auf die Daten zugegriffen hat und von welcher Person die zugreifende Person autorisiert wurde. Der Zugriff auf Daten nach Absatz 2 Satz 1 Nr. 1 mittels der elektronischen Gesundheitskarte kann abweichend von den Sätzen 5 und 6 auch erfolgen, wenn die Versicherten den jeweiligen Zugriff durch ein geeignetes technisches Verfahren autorisieren. Abweichend von Satz 5 können die Versicherten auf Daten nach Absatz 3 Satz 1 Nummer 4 auch zugreifen, wenn sie sich für den Zugriff durch ein geeignetes technisches Verfahren authentifizieren. Ein Zugriff nach Satz 8 kann auch ohne Einsatz der elektronischen Gesundheitskarte erfolgen, wenn der Versicherte nach umfassender Information durch seine Krankenkasse gegenüber der Krankenkasse schriftlich oder elektronisch erklärt hat, dieses Zugriffsverfahren zu nutzen. Auf Wunsch des Versicherten haben Zugriffsberechtigte nach Absatz 4 bei Erhebung, Verarbeitung oder Nutzung der mittels der elektronischen Gesundheitskarte gespeicherten Daten nach Absatz 3 Satz 1 sowie der Daten nach § 291f diese dem Versicherten als Daten nach Absatz 3 Satz 1 Nummer 4 zur Verfügung zu stellen; die Zugriffsberechtigten haben die Versicherten über diese Möglichkeit zu informieren.

(5a) Zum Zwecke des Erhebens, Verarbeitens oder Nutzens mittels der elektronischen Gesundheitskarte dürfen, soweit es zur Versorgung erforderlich ist, auf Daten nach Absatz 3 Satz 1 Nummer 7 bis 9 ausschließlich

1.
Ärzte,
2.
Personen, die
a)
bei Ärzten oder
b)
in einem Krankenhaus
als berufsmäßige Gehilfen oder zur Vorbereitung auf den Beruf tätig sind, soweit dies im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich ist und der Zugriff unter Aufsicht eines Arztes erfolgt,
in Verbindung mit einem elektronischen Heilberufsausweis, der über eine Möglichkeit zur sicheren Authentifizierung und über eine qualifizierte elektronische Signatur verfügt, zugreifen; Absatz 5 Satz 1 und 6 gilt entsprechend. Ohne Einverständnis der betroffenen Person dürfen Zugriffsberechtigte nach Satz 1 auf Daten
1.
nach Absatz 3 Satz 1 Nummer 7 und 8 nur zugreifen, nachdem der Tod nach § 3 Absatz 1 Satz 1 Nummer 2 des Transplantationsgesetzes festgestellt wurde und der Zugriff zur Klärung erforderlich ist, ob die verstorbene Person in die Entnahme von Organen oder Gewebe eingewilligt hat,
2.
nach Absatz 3 Satz 1 Nummer 9 nur zugreifen, wenn eine ärztlich indizierte Maßnahme unmittelbar bevorsteht und die betroffene Person nicht fähig ist, in die Maßnahme einzuwilligen.
Zum Speichern, Verändern, Sperren oder Löschen von Daten nach Absatz 3 Satz 1 Nummer 7 durch Zugriffsberechtigte nach Satz 1 ist eine technische Autorisierung durch die Versicherten für den Zugriff erforderlich. Versicherte können auf Daten nach Absatz 3 Satz 1 Nummer 7 bis 9 zugreifen, wenn sie sich für den Zugriff durch ein geeignetes technisches Verfahren authentifizieren. Sobald die technische Infrastruktur für das Erheben, Verarbeiten und Nutzen von Daten nach Absatz 3 Satz 1 Nummer 7 bis 9 flächendeckend zur Verfügung steht, haben die Krankenkassen die Versicherten umfassend über die Möglichkeiten der Wahrnehmung ihrer Zugriffsrechte zu informieren sowie allein oder in Kooperation mit anderen Krankenkassen für ihre Versicherten technische Einrichtungen zur Wahrnehmung ihrer Zugriffsrechte nach Satz 4 flächendeckend zur Verfügung zu stellen. Der Spitzenverband Bund der Krankenkassen hat über die Ausstattung jährlich einen Bericht nach den Vorgaben des Bundesministeriums für Gesundheit zu erstellen und ihm diesen erstmals zum 31. Januar 2016 vorzulegen.

(5b) Die Gesellschaft für Telematik hat Verfahren zur Unterstützung der Versicherten bei der Verwaltung von Daten nach Absatz 3 Satz 1 Nummer 7 bis 9 zu entwickeln und hierbei auch die Möglichkeit zu schaffen, dass Versicherte für die Dokumentation der Erklärung auf der elektronischen Gesundheitskarte die Unterstützung der Krankenkasse in Anspruch nehmen können. Bei diesen für die Versicherten freiwilligen Verfahren sind Rückmeldeverfahren der Versicherten über die Krankenkassen mit einzubeziehen, bei denen die Krankenkassen mit Zustimmung der Versicherten Daten nach Absatz 3 Satz 1 Nummer 7 und 8 speichern und löschen können. Über das Ergebnis der Entwicklung legt die Gesellschaft für Telematik dem Deutschen Bundestag über das Bundesministerium für Gesundheit spätestens bis zum 30. Juni 2013 einen Bericht vor. Anderenfalls kann das Bundesministerium für Gesundheit Verfahren nach den Sätzen 1 und 2 im Rahmen eines Forschungs- und Entwicklungsvorhabens entwickeln lassen, dessen Kosten von der Gesellschaft für Telematik zu erstatten sind. In diesem Fall unterrichtet das Bundesministerium für Gesundheit den Deutschen Bundestag über das Ergebnis der Entwicklung.

(5c) Die Gesellschaft für Telematik hat bis zum 31. Dezember 2018 die erforderlichen Voraussetzungen dafür zu schaffen, dass

1.
Daten über den Versicherten in einer elektronischen Patientenakte nach Absatz 3 Satz 1 Nummer 4 bereitgestellt werden können und
2.
Versicherte für die elektronische Patientenakte nach Absatz 3 Satz 1 Nummer 4 Daten zur Verfügung stellen können.
Die technischen und organisatorischen Verfahren hierfür müssen geeignet sein, Daten nach Absatz 3 Satz 1 Nummer 1 bis 3 sowie Daten nach § 291f für eine fall- und einrichtungsübergreifende Dokumentation verfügbar zu machen. Sie sollen geeignet sein, weitere medizinische Daten des Versicherten verfügbar zu machen. Die Krankenkassen sind verpflichtet, ihren Versicherten spätestens ab dem 1. Januar 2021 eine von der Gesellschaft für Telematik nach § 291b Absatz 1a Satz 1 zugelassene elektronische Patientenakte zur Verfügung zu stellen. Die Krankenkassen haben ihre Versicherten spätestens bei der Zurverfügungstellung der elektronischen Patientenakte in allgemein verständlicher Form über deren Funktionsweise, einschließlich der Art der in ihr zu verarbeitenden Daten und über die Zugriffsrechte, zu informieren. Die Krankenkassen können ihren Versicherten in der zugelassenen elektronischen Patientenakte zusätzliche Inhalte und Anwendungen zu den Inhalten und Anwendungen, die von der Gesellschaft für Telematik für eine elektronische Patientenakte festgelegt werden, zur Verfügung stellen, sofern diese zusätzlichen Inhalte und Anwendungen die nach § 291b Absatz 1a Satz 1 zugelassene elektronische Patientenakte nicht beeinträchtigen. Bis alle Krankenkassen ihrer Verpflichtung nach Satz 4 nachgekommen sind, prüft der Spitzenverband Bund der Krankenkassen jährlich zum Stichtag 1. Januar eines Jahres, erstmals zum 1. Januar 2021, ob die Krankenkassen ihren Versicherten eine von der Gesellschaft für Telematik zugelassene elektronische Patientenakte nach Satz 4 zur Verfügung gestellt haben. Ist eine Krankenkasse ihrer Verpflichtung nach Satz 4 nicht nachgekommen, stellt der Spitzenverband Bund der Krankenkassen dies durch Bescheid fest. In dem Bescheid ist die betroffene Krankenkasse über die Sanktionierung gemäß § 270 Absatz 3 zu informieren. Klagen gegen den Bescheid haben keine aufschiebende Wirkung. Der Spitzenverband Bund der Krankenkassen teilt dem Bundesversicherungsamt erstmalig bis zum 15. Januar 2021 mit, welche Krankenkassen ihrer Verpflichtung nach Satz 4 nicht nachgekommen sind. Die Mitteilung nach Satz 11 erfolgt jeweils zum 15. Januar des Jahres, an dem der Spitzenverband Bund der Krankenkassen durch Bescheid festgestellt hat, dass eine Krankenkasse ihrer Verpflichtung nach Satz 4 nicht nachgekommen ist.

(5d) Bis zum 30. Juni 2020 hat die Gesellschaft für Telematik die Maßnahmen durchzuführen, die erforderlich sind, damit ärztliche Verordnungen für apothekenpflichtige Arzneimittel in elektronischer Form übermittelt werden können. Bei der Durchführung der Maßnahmen nach Satz 1 berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Verfahren schrittweise auf sonstige ärztliche Verordnungen, Verordnungen von Betäubungsmitteln und Verordnungen ohne direkten Kontakt zwischen Arzt oder Zahnarzt und Versicherten ausgedehnt werden sollen.

(5e) Die Länder bestimmen entsprechend dem Stand des Aufbaus der Telematikinfrastruktur

1.
die Stellen, die für die Ausgabe elektronischer Heilberufs- und Berufsausweise zuständig sind, und
2.
die Stellen, die bestätigen, dass eine Person
a)
befugt ist, einen der von Absatz 4 Satz 1 erfassten Berufe im Geltungsbereich dieses Gesetzes auszuüben oder, sofern für einen der in Absatz 4 Satz 1 erfassten Berufe lediglich die Führung der Berufsbezeichnung geschützt ist, die Berufsbezeichnung zu führen oder
b)
zu den sonstigen Zugriffsberechtigten nach Absatz 4 gehört.
Die Länder können zur Wahrnehmung der Aufgaben nach Satz 1 gemeinsame Stellen bestimmen. Die nach Satz 1 Nummer 2 oder nach Satz 2 jeweils zuständige Stelle hat der nach Satz 1 Nummer 1 zuständigen Stelle die für die Ausgabe elektronischer Heilberufs- und Berufsausweise erforderlichen Daten auf Anforderung zu übermitteln. Entfällt die Befugnis zur Ausübung des Berufs, zur Führung der Berufsbezeichnung oder sonst das Zugriffsrecht nach Absatz 4, hat die jeweilige Stelle nach Satz 1 Nr. 2 oder Satz 2 die herausgebende Stelle in Kenntnis zu setzen; diese hat unverzüglich die Sperrung der Authentifizierungsfunktion des elektronischen Heilberufs- oder Berufsausweises zu veranlassen.

(6) Daten nach Absatz 2 Satz 1 Nr. 1 und Absatz 3 Satz 1 müssen auf Verlangen der Versicherten gelöscht werden; die Verarbeitung und Nutzung von Daten nach Absatz 2 Satz 1 Nr. 1 für Zwecke der Abrechnung bleiben davon unberührt. Daten nach Absatz 2 Satz 1 Nummer 1 und Absatz 3 Satz 1 Nummer 4 und 7 bis 9 können Versicherte auch eigenständig löschen. Durch technische Vorkehrungen ist zu gewährleisten, dass mindestens die letzten 50 Zugriffe auf die Daten nach Absatz 2 oder Absatz 3 für Zwecke der Datenschutzkontrolle protokolliert werden. Eine Verwendung der Protokolldaten für andere Zwecke ist unzulässig. Die Protokolldaten sind durch geeignete Vorkehrungen gegen zweckfremde Verwendung und sonstigen Missbrauch zu schützen.

(7) Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, der Spitzenverband Bund der Krankenkassen, die Kassenärztliche Bundesvereinigung, die Kassenzahnärztliche Bundesvereinigung, die Bundesärztekammer, die Bundeszahnärztekammer, die Deutsche Krankenhausgesellschaft sowie die für die Wahrnehmung der wirtschaftlichen Interessen gebildete maßgebliche Spitzenorganisation der Apotheker auf Bundesebene schaffen die insbesondere für die Nutzung der elektronischen Gesundheitskarte und ihrer Anwendungen erforderliche interoperable und kompatible Informations-, Kommunikations- und Sicherheitsinfrastruktur (Telematikinfrastruktur). Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, und die in Satz 1 genannten Spitzenorganisationen nehmen diese Aufgabe durch eine Gesellschaft für Telematik nach Maßgabe des § 291b wahr, die die Regelungen zur Telematikinfrastruktur trifft sowie deren Aufbau und Betrieb übernimmt. Über Anwendungen der elektronischen Gesundheitskarte hinaus kann die Telematikinfrastruktur für weitere elektronische Anwendungen des Gesundheitswesens sowie für die Gesundheitsforschung verwendet werden, wenn

1.
die Wirksamkeit der Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit sowie die Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur nicht beeinträchtigt werden,
2.
im Falle des Erhebens, Verarbeitens und Nutzens personenbezogener Daten die dafür geltenden Vorschriften zum Datenschutz eingehalten und die erforderlichen technischen Maßnahmen getroffen werden, um die Anforderungen an die Sicherheit der Anwendung im Hinblick auf die Schutzbedürftigkeit der Daten zu gewährleisten, und
3.
bei den dafür erforderlichen technischen Systemen und Verfahren Barrierefreiheit für den Versicherten gewährleistet ist.
Vereinbarungen und Richtlinien zur elektronischen Datenübermittlung nach diesem Buch müssen, soweit sie die Telematikinfrastruktur berühren, mit deren Regelungen vereinbar sein. Die in Satz 1 genannten Spitzenorganisationen treffen eine Vereinbarung zur Finanzierung
1.
der erforderlichen erstmaligen Ausstattungskosten, die den Leistungserbringern in der Festlegungs-, Erprobungs- und Einführungsphase der Telematikinfrastruktur sowie
2.
der Kosten, die den Leistungserbringern im laufenden Betrieb der Telematikinfrastruktur, einschließlich der Aufteilung dieser Kosten auf die in den Absätzen 7a und 7b genannten Leistungssektoren, entstehen.
Zur Finanzierung der Gesellschaft für Telematik zahlt der Spitzenverband Bund der Krankenkassen an die Gesellschaft für Telematik jährlich einen Betrag in Höhe von 1,00 Euro je Mitglied der gesetzlichen Krankenversicherung; die Zahlungen sind quartalsweise, spätestens drei Wochen vor Beginn des jeweiligen Quartals, zu leisten. Die Höhe des Betrages kann das Bundesministerium für Gesundheit entsprechend dem Mittelbedarf der Gesellschaft für Telematik und unter Beachtung des Gebotes der Wirtschaftlichkeit durch Rechtsverordnung ohne Zustimmung des Bundesrates anpassen. Die Kosten der Sätze 5 und 6 zählen nicht zu den Ausgaben nach § 4 Abs. 4 Satz 2 und 6.

(7a) Die bei den Krankenhäusern entstehenden Investitions- und Betriebskosten nach Absatz 7 Satz 5 Nummer 1 und 2 werden durch einen Zuschlag finanziert (Telematikzuschlag). Der Zuschlag nach Satz 1 wird in der Rechnung des Krankenhauses jeweils gesondert ausgewiesen; er geht nicht in den Gesamtbetrag oder die Erlösausgleiche nach dem Krankenhausentgeltgesetz oder der Bundespflegesatzverordnung ein. Das Nähere zur Höhe und Erhebung des Zuschlags nach Satz 1 regelt der Spitzenverband Bund der Krankenkassen gemeinsam mit der Deutschen Krankenhausgesellschaft in einer gesonderten Vereinbarung. Kommt eine Vereinbarung nicht innerhalb einer vom Bundesministerium für Gesundheit gesetzten Frist oder, in den folgenden Jahren, jeweils bis zum 30. Juni zu Stande, legt die Schiedsstelle nach § 18a Absatz 6 des Krankenhausfinanzierungsgesetzes auf Antrag einer Vertragspartei oder des Bundesministeriums für Gesundheit mit Wirkung für die Vertragsparteien innerhalb einer Frist von zwei Monaten den Vereinbarungsinhalt fest. Die Klage gegen die Festsetzung der Schiedsstelle hat keine aufschiebende Wirkung. Für die Finanzierung der Investitions- und Betriebskosten nach Absatz 7 Satz 5 Nummer 1 und 2, die bei Leistungserbringern nach § 115b Absatz 2 Satz 1, § 116b Absatz 2 Satz 1 und § 120 Absatz 2 Satz 1 sowie bei Notfallambulanzen in Krankenhäusern, die Leistungen für die Versorgung im Notfall erbringen, entstehen, finden die Sätze 1 und 2 erster Halbsatz sowie die Sätze 3 und 4 entsprechend Anwendung.

(7b) Zum Ausgleich der Kosten nach Absatz 7 Satz 5 erhalten die in diesem Absatz genannten Leistungserbringer nutzungsbezogene Zuschläge von den Krankenkassen. Das Nähere zu den Regelungen der Vereinbarung nach Absatz 7 Satz 5 für die an der vertragsärztlichen Versorgung teilnehmenden Ärzte, Zahnärzte, Psychotherapeuten sowie medizinischen Versorgungszentren vereinbaren der Spitzenverband Bund der Krankenkassen und die Kassenärztlichen Bundesvereinigungen in den Bundesmantelverträgen. Bis zum 30. September 2017 vereinbaren die Vertragspartner nach Satz 2 mit Wirkung ab dem 1. Januar 2018 nutzungsbezogene Zuschläge für die Nutzung von Daten nach Absatz 3 Satz 1 Nummer 1 und für die Nutzung von Daten nach Absatz 3 Satz 1 Nummer 3. Das Nähere zu den Regelungen der Vereinbarung nach Absatz 7 Satz 5 für die Arzneimittelversorgung vereinbaren der Spitzenverband Bund der Krankenkassen und die für die Wahrnehmung der wirtschaftlichen Interessen gebildete maßgebliche Spitzenorganisation der Apotheker auf Bundesebene im Rahmenvertrag nach § 129 Abs. 2; die nutzungsbezogenen Zuschläge für die Nutzung von Daten nach Absatz 3 Satz 1 Nummer 3 sind bis zum 30. September 2017 mit Wirkung ab dem 1. Januar 2018 zu vereinbaren. Kommt eine Vereinbarung nach Satz 2 nicht innerhalb einer vom Bundesministerium für Gesundheit gesetzten Frist zustande oder kommt eine Vereinbarung nach Satz 3 nicht bis zum 30. September 2017 zustande, legt das jeweils zuständige Schiedsamt nach § 89 Absatz 2 auf Antrag einer Vertragspartei oder des Bundesministeriums für Gesundheit mit Wirkung für die Vertragsparteien innerhalb einer Frist von zwei Monaten den Vereinbarungsinhalt fest. Kommt eine Vereinbarung nach Satz 4 erster Halbsatz nicht innerhalb einer vom Bundesministerium für Gesundheit gesetzten Frist zustande oder kommt eine Vereinbarung nach Satz 4 zweiter Halbsatz nicht bis zum 30. September 2017 zustande, legt die Schiedsstelle nach § 129 Absatz 8 auf Antrag einer Vertragspartei oder des Bundesministeriums für Gesundheit innerhalb einer Frist von zwei Monaten den Vereinbarungsinhalt fest. In den Fällen der Sätze 5 und 6 ist Absatz 7a Satz 5 entsprechend anzuwenden.

(7c) Kommt eine Vereinbarung zu den Kosten nach Absatz 7 Satz 4 Nr. 1 nicht innerhalb einer vom Bundesministerium für Gesundheit gesetzten Frist zu Stande oder wird sie gekündigt, entrichten die Gesellschafter der Gesellschaft für Telematik den Finanzierungsbeitrag für die Kosten nach Absatz 7 Satz 4 Nr. 1 gemäß ihrem jeweiligen Geschäftsanteil und nach Aufforderung durch die Geschäftsführung der Gesellschaft; die Spitzenverbände der Krankenkassen erstatten den Finanzierungsbeitrag unmittelbar den Spitzenorganisationen, soweit die nachfolgenden Vorschriften keine andere Regelung enthalten. Im Krankenhausbereich erfolgt die Erstattung des Finanzierungsbeitrages über einen Zuschlag entsprechend Absatz 7a Satz 1 durch vertragliche Vereinbarung der Spitzenverbände der Krankenkassen mit der Deutschen Krankenhausgesellschaft. Kommt eine Vereinbarung nicht innerhalb einer vom Bundesministerium für Gesundheit gesetzten Frist oder, in den folgenden Jahren, jeweils bis zum 30. Juni zu Stande, entscheidet die Schiedsstelle nach § 18a Abs. 6 des Krankenhausfinanzierungsgesetzes auf Antrag einer Vertragspartei innerhalb einer Frist von zwei Monaten. Im Bereich der vertragsärztlichen Versorgung gilt für die Erstattung des Finanzierungsbeitrages Absatz 7b Satz 1, 2 und 4 entsprechend, im Bereich der Arzneimittelversorgung gilt Absatz 7b Satz 1, 3 und 5 entsprechend.

(7d) Kommt eine Vereinbarung zu den Kosten nach Absatz 7 Satz 5 Nummer 1 nicht innerhalb einer vom Bundesministerium für Gesundheit gesetzten Frist als Grundlage der Vereinbarungen nach Absatz 7a Satz 3 und 5 sowie Absatz 7b Satz 2 bis 4 zu Stande, trifft der Spitzenverband Bund der Krankenkassen Vereinbarungen zur Finanzierung der den jeweiligen Leistungserbringern entstehenden Kosten nach Absatz 7 Satz 5 Nummer 1 jeweils mit der Deutschen Krankenhausgesellschaft, den Kassenärztlichen Bundesvereinigungen und der für die Wahrnehmung der wirtschaftlichen Interessen gebildeten maßgeblichen Spitzenorganisation der Apotheker auf Bundesebene. Soweit diese Vereinbarungen nicht zu Stande kommen, entscheidet bei Nichteinigung mit der Deutschen Krankenhausgesellschaft die Schiedsstelle nach § 18a Abs. 6 des Krankenhausfinanzierungsgesetzes, bei Nichteinigung mit den Kassenärztlichen Bundesvereinigungen das jeweils zuständige Schiedsamt nach § 89 Absatz 2 und bei Nichteinigung mit der für die Wahrnehmung der wirtschaftlichen Interessen gebildeten maßgeblichen Spitzenorganisation der Apotheker auf Bundesebene die Schiedsstelle nach § 129 Abs. 8 jeweils auf Antrag einer Vertragspartei innerhalb einer Frist von zwei Monaten.

(7e) Kommt eine Vereinbarung zu den Kosten nach Absatz 7 Satz 5 Nummer 2 nicht innerhalb einer vom Bundesministerium für Gesundheit gesetzten Frist als Grundlage der Vereinbarungen nach Absatz 7a Satz 3 und 5, Absatz 7b Satz 2 bis 4 zu Stande, bilden die Spitzenorganisationen nach Absatz 7 Satz 1 eine gemeinsame Kommission aus Sachverständigen. Die Kommission ist innerhalb einer Woche nach Ablauf der Frist nach Satz 1 zu bilden. Sie besteht aus jeweils zwei Mitgliedern, die von den Spitzenorganisationen der Leistungserbringer und von dem Spitzenverband Bund der Krankenkassen berufen werden sowie einer oder einem unparteiischen Vorsitzenden, über die oder den sich die Spitzenorganisationen nach Absatz 7 Satz 1 gemeinsam verständigen. Kommt es innerhalb der Frist nach Satz 2 nicht zu einer Einigung über den Vorsitz oder die Berufung der weiteren Mitglieder, beruft das Bundesministerium für Gesundheit die Vorsitzende oder den Vorsitzenden und die weiteren Sachverständigen. Die Kosten der Kommission sind aus den Finanzmitteln der Gesellschaft für Telematik zu begleichen. Die Kommission gibt innerhalb von drei Monaten eine Empfehlung zur Aufteilung der Kosten, die den einzelnen Leistungssektoren nach den Absätzen 7a und 7b im laufenden Betrieb der Telematikinfrastruktur entstehen. Die Empfehlung der Kommission ist innerhalb eines Monats in der Vereinbarung nach Absatz 7 Satz 5 Nummer 2 zu berücksichtigen. Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung ohne Zustimmung des Bundesrates die Aufteilung der Kosten, die den einzelnen Leistungssektoren nach den Absätzen 7a und 7b im laufenden Betrieb der Telematikinfrastruktur entstehen, als Grundlage der Vereinbarungen nach den Absätzen 7a und 7b festzulegen, sofern die Empfehlung der Kommission nicht berücksichtigt wird.

(8) Vom Inhaber der Karte darf nicht verlangt werden, den Zugriff auf Daten nach Absatz 2 Satz 1 Nr. 1 oder Absatz 3 Satz 1 anderen als den in Absatz 4 Satz 1 und Absatz 5a Satz 1 genannten Personen oder zu anderen Zwecken als denen der Versorgung der Versicherten, einschließlich der Abrechnung der zum Zwecke der Versorgung erbrachten Leistungen, zu gestatten; mit ihnen darf nicht vereinbart werden, Derartiges zu gestatten. Sie dürfen nicht bevorzugt oder benachteiligt werden, weil sie einen Zugriff bewirkt oder verweigert haben.

(9) (weggefallen)

des Fünften Buches Sozialgesetzbuch und § 291b

(1) Im Rahmen der Aufgaben nach § 291a Absatz 7 Satz 2 hat die Gesellschaft für Telematik

1.
die funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts zu erstellen,
2.
Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung festzulegen,
3.
Vorgaben für den sicheren Betrieb der Telematikinfrastruktur zu erstellen und ihre Umsetzung zu überwachen,
4.
die notwendigen Test- und Zertifizierungsmaßnahmen sicherzustellen und
5.
Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren festzulegen zur Verwaltung
a)
der in § 291a Absatz 4 und 5a geregelten Zugriffsberechtigungen und
b)
der Steuerung der Zugriffe auf Daten nach § 291a Absatz 2 und 3.
Bei der Gestaltung der Verfahren nach Satz 1 Nummer 5 berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Zugriffsberechtigungen künftig auf weitere Leistungserbringergruppen ausgedehnt werden können. Soweit bei den Festlegungen und Maßnahmen nach Satz 1 Fragen der Datensicherheit berührt sind, sind diese im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu treffen. Die Gesellschaft für Telematik hat die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen. Die Gesellschaft für Telematik hat Aufgaben nur insoweit wahrzunehmen, als dies zur Schaffung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur erforderlich ist. Mit Teilaufgaben der Gesellschaft für Telematik können einzelne Gesellschafter oder Dritte beauftragt werden; hierbei sind durch die Gesellschaft für Telematik Interoperabilität, Kompatibilität und das notwendige Sicherheitsniveau der Telematikinfrastruktur zu gewährleisten. Die Kassenärztliche Bundesvereinigung trifft im Benehmen mit den übrigen Spitzenorganisationen nach § 291a Absatz 7 Satz 1, der Gesellschaft für Telematik, den maßgeblichen, fachlich betroffenen medizinischen Fachgesellschaften, der Bundespsychotherapeutenkammer, den maßgeblichen Bundesverbänden der Pflege, den für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen, den für die Wahrnehmung der Interessen der Forschung im Gesundheitswesen maßgeblichen Bundesverbänden und dem Deutschen Institut für Medizinische Dokumentation und Information die notwendigen Festlegungen für die Inhalte der elektronischen Patientenakte nach § 291a Absatz 3 Satz 1 Nummer 4, um deren semantische und syntaktische Interoperabilität zu gewährleisten. Sie hat dabei internationale Standards einzubeziehen und die Festlegungen nach § 31a Absatz 4 und 5 sowie die Festlegungen zur Verfügbarmachung von Daten nach § 291a Absatz 3 Satz 1 Nummer 1 zu berücksichtigen. Um einen strukturierten Prozess zu gewährleisten, erstellt die Kassenärztliche Bundesvereinigung innerhalb von vier Wochen nach dem 11. Mai 2019 eine Verfahrensordnung zur Herstellung des Benehmens nach Satz 7. Innerhalb von vier Wochen nach Erstellung der Verfahrensordnung hat die Kassenärztliche Bundesvereinigung das Benehmen hierzu mit den nach Satz 7 zu Beteiligenden herzustellen. Die Gesellschaft für Telematik kann der Kassenärztlichen Bundesvereinigung zur Erfüllung ihrer Aufgabe nach Satz 7 angemessene Fristen, entsprechend dem Projektstand, setzen; hält die Kassenärztliche Bundesvereinigung die jeweilige Frist nicht ein, kann die Gesellschaft für Telematik die Deutsche Krankenhausgesellschaft mit der Erstellung der jeweiligen Festlegungen nach Satz 7 im Benehmen mit den in Satz 7 genannten Organisationen beauftragen. Satz 8 findet entsprechende Anwendung. Das Verfahren für das Vorgehen nach Fristablauf legt die Gesellschaft für Telematik fest. Die Festlegungen der Kassenärztlichen Bundesvereinigung nach Satz 7 oder die Festlegungen der Deutschen Krankenhausgesellschaft nach Satz 11 zweiter Halbsatz sind für alle Gesellschafter, für die Leistungserbringer und Krankenkassen sowie für ihre Verbände nach diesem Buch verbindlich. Sie können nur durch eine alternative Entscheidung der in der Gesellschaft für Telematik vertretenen Spitzenorganisationen der Leistungserbringer nach § 291a Absatz 7 Satz 1 in gleicher Sache ersetzt werden. Eine Entscheidung der Spitzenorganisationen nach Satz 15 erfolgt mit der einfachen Mehrheit der sich aus deren Geschäftsanteilen ergebenden Stimmen. Die Festlegungen nach den Sätzen 7, 11 zweiter Halbsatz und Satz 15 sind in das Interoperabilitätsverzeichnis nach § 291e aufzunehmen. Der Kassenärztlichen Bundesvereinigung sind die zur Erfüllung ihrer Aufgaben nach Satz 7 entstandenen Kosten durch die Gesellschaft für Telematik zu erstatten. Satz 18 gilt für die Deutsche Krankenhausgesellschaft entsprechend, sofern diese nach Satz 11 zweiter Halbsatz die Aufgabe nach Satz 7 erfüllt. Im Auftrag des Bundesministeriums für Gesundheit nimmt die Gesellschaft für Telematik auf europäischer Ebene Aufgaben wahr, soweit die Telematikinfrastruktur berührt ist oder künftig berührt werden kann. Das Bundesministerium für Gesundheit kann ihr dabei Weisungen erteilen.

(1a) Die Komponenten und Dienste der Telematikinfrastruktur werden von der Gesellschaft für Telematik zugelassen. Die Zulassung wird auf Antrag des Anbieters einer Komponente oder des Anbieters eines Dienstes erteilt, wenn die Komponente oder der Dienst funktionsfähig, interoperabel und sicher ist. Die Zulassung kann mit Nebenbestimmungen versehen werden. Die Gesellschaft für Telematik prüft die Funktionsfähigkeit und Interoperabilität auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik durch eine Sicherheitszertifizierung. Hierzu entwickelt das Bundesamt für Sicherheit in der Informationstechnik geeignete Prüfvorschriften und veröffentlicht diese im Bundesanzeiger. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der Gesellschaft für Telematik in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik beschlossen. Die Gesellschaft für Telematik veröffentlicht eine Liste mit den zugelassenen Komponenten und Diensten. Die für die Aufgaben nach den Sätzen 5, 6 und 12 beim Bundesamt für Sicherheit in der Informationstechnik entstehenden Kosten sind diesem durch die Gesellschaft für Telematik zu erstatten. Die Einzelheiten werden von dem Bundesamt für Sicherheit in der Informationstechnik und der Gesellschaft für Telematik einvernehmlich festgelegt. Die Gesellschaft für Telematik kann eine befristete Genehmigung zur Verwendung von nicht zugelassenen Komponenten und Diensten in der Telematikinfrastruktur erteilen, wenn dies zur Aufrechterhaltung der Funktionsfähigkeit und Sicherheit der Telematikinfrastruktur erforderlich ist. Hinsichtlich der Sicherheit ist die Genehmigung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu erteilen. Für die Verfahren zum Zugriff der Versicherten nach § 291a Absatz 5 Satz 9 legt abweichend von den Sätzen 5 bis 7 die Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik den Umfang der Zulassung für die erforderlichen Komponenten und Dienste einschließlich der Anforderungen an die Sicherheit und das Nähere zum Zulassungsverfahren fest. Die Festlegungen nach Satz 13 sind von der Gesellschaft für Telematik bis zum 26. Mai 2019 zu veröffentlichen.

(1b) Die Gesellschaft für Telematik hat eine diskriminierungsfreie Nutzung der Telematikinfrastruktur für Anwendungen nach § 291a Absatz 7 Satz 3 zu gewährleisten. Dabei sind elektronische Anwendungen, die der Erfüllung von gesetzlichen Aufgaben der Kranken- und Pflegeversicherung dienen, vorrangig zu berücksichtigen. Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 291a Absatz 7 Satz 3 legt die Gesellschaft für Telematik in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit die erforderlichen Voraussetzungen bis zum 30. Juni 2016 fest und veröffentlicht diese auf ihrer Internetseite. Die Erfüllung dieser Voraussetzungen muss der Anbieter einer Anwendung gegenüber der Gesellschaft für Telematik in einem Bestätigungsverfahren nachweisen. Die Einzelheiten des Bestätigungsverfahrens sowie die dazu erforderlichen Prüfkriterien legt die Gesellschaft für Telematik in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik bis zum 30. September 2016 fest und veröffentlicht sie auf ihrer Internetseite. Das Bestätigungsverfahren wird auf Antrag eines Anbieters einer Anwendung durchgeführt. Die Bestätigung kann mit Nebenbestimmungen versehen werden. Die Gesellschaft für Telematik veröffentlicht eine Liste mit den erteilten Bestätigungen auf ihrer Internetseite. Für Leistungserbringer in der gesetzlichen Kranken- und Pflegeversicherung, die die Telematikinfrastruktur für Anwendungen nach § 291a Absatz 7 Satz 3 nutzen wollen und für die noch keine sicheren Authentisierungsverfahren nach Absatz 1 Satz 1 Nummer 5 festgelegt sind, legt die Gesellschaft für Telematik diese Verfahren in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik fest. Die nach diesem Absatz beim Bundesamt für Sicherheit in der Informationstechnik sowie bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich jeweils mit dem Bundesamt für Sicherheit in der Informationstechnik sowie der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(1c) Betriebsleistungen sind auf der Grundlage der von der Gesellschaft für Telematik zu beschließenden Rahmenbedingungen zu erbringen. Zur Durchführung des operativen Betriebs der Telematikinfrastruktur vergibt die Gesellschaft für Telematik Aufträge oder erteilt in einem transparenten und diskriminierungsfreien Verfahren Zulassungen; sind nach Absatz 1 Satz 6 erster Halbsatz einzelne Gesellschafter oder Dritte beauftragt worden, so sind die Beauftragten für die Vergabe und für die Erteilung der Zulassung zuständig. Bei der Vergabe von Aufträgen sind abhängig vom Auftragswert die Vorschriften über die Vergabe öffentlicher Aufträge: der Vierte Teil des Gesetzes gegen Wettbewerbsbeschränkungen sowie die Vergabeverordnung und § 22 der Verordnung über das Haushaltswesen in der Sozialversicherung sowie der Abschnitt 1 des Teils A der Verdingungsordnung für Leistungen (VOL/A) anzuwenden. Für die freihändige Vergabe von Leistungen gemäß § 3 Absatz 5 Buchstabe i der Verdingungsordnung für Leistungen - Teil A (VOL/A) werden die Ausführungsbestimmungen vom Bundesministerium für Gesundheit festgelegt und im Bundesanzeiger veröffentlicht. Bei Zulassungsverfahren nach Satz 2 haben Anbieter von operativen Betriebsleistungen einen Anspruch auf Zulassung, wenn

1.
die zu verwendenden Komponenten und Dienste nach den Absätzen 1a und 1e zugelassen sind,
2.
der Anbieter den Nachweis erbringt, dass die Verfügbarkeit und Sicherheit der Betriebsleistung gewährleistet sind, und
3.
der Anbieter sich vertraglich verpflichtet, die Rahmenbedingungen für Betriebsleistungen der Gesellschaft für Telematik einzuhalten.
Die Zulassung kann mit Nebenbestimmungen versehen werden. Die Gesellschaft für Telematik beziehungsweise die von ihr beauftragten Organisationen können die Anzahl der Zulassungen beschränken, soweit dies zur Gewährleistung von Interoperabilität, Kompatibilität und des notwendigen Sicherheitsniveaus erforderlich ist. Die Gesellschaft für Telematik beziehungsweise die von ihr beauftragten Organisationen veröffentlichen
1.
die fachlichen und sachlichen Voraussetzungen, die für den Nachweis nach Satz 5 Nr. 2 erfüllt sein müssen, sowie
2.
eine Liste mit den zugelassenen Anbietern.

(1d) Die Gesellschaft für Telematik kann für die Zulassungen und Bestätigungen der Absätze 1a bis 1c und 1e Gebühren und Auslagen erheben. Die Gebührensätze sind so zu bemessen, dass sie den auf die Leistungen entfallenden durchschnittlichen Personal- und Sachaufwand nicht übersteigen. Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung ohne Zustimmung des Bundesrates die gebührenpflichtigen Tatbestände zu bestimmen und dabei feste Sätze oder Rahmensätze vorzusehen sowie Regelungen über die Gebührenentstehung, die Gebührenerhebung, die Erstattung von Auslagen, den Gebührenschuldner, Gebührenbefreiungen, die Fälligkeit, die Stundung, die Niederschlagung, den Erlass, Säumniszuschläge, die Verjährung und die Erstattung zu treffen. Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 291a Absatz 7 Satz 3, die nicht in diesem Buch oder im Elften Buch Sozialgesetzbuch geregelt sind, kann die Gesellschaft für Telematik Entgelte verlangen. Der Entgeltkatalog bedarf der Genehmigung des Bundesministeriums für Gesundheit.

(1e) Die Gesellschaft für Telematik legt bis zum 31. Dezember 2016 sichere Verfahren zur Übermittlung medizinischer Dokumente über die Telematikinfrastruktur in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest und veröffentlicht diese Festlegungen auf ihrer Internetseite. Die Erfüllung dieser Festlegungen muss der Anbieter eines Dienstes für ein Übermittlungsverfahren gegenüber der Gesellschaft für Telematik in einem Zulassungsverfahren nachweisen. Für das Zulassungsverfahren gilt Absatz 1a. Die für das Zulassungsverfahren erforderlichen Festlegungen sind bis zum 31. März 2017 zu treffen und auf der Internetseite der Gesellschaft für Telematik zu veröffentlichen. Die nach diesem Absatz bei dem Bundesamt für Sicherheit in der Informationstechnik und bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(2) Der Gesellschaftsvertrag der Gesellschaft für Telematik, die auf der Grundlage des § 291a Absatz 7 in der bis zum 11. Mai 2019 geltenden Fassung gegründet worden ist, ist nach folgenden Grundsätzen anzupassen:

1.
Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, und die in § 291a Absatz 7 Satz 1 genannten Spitzenorganisationen sind Gesellschafter der Gesellschaft für Telematik. Die Geschäftsanteile entfallen zu 51 Prozent auf die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, zu 24,5 Prozent auf den Spitzenverband Bund der Krankenkassen und zu 24,5 Prozent auf die anderen in § 291a Absatz 7 Satz 1 genannten Spitzenorganisationen. Die Gesellschafter können den Beitritt weiterer Spitzenorganisationen der Leistungserbringer auf Bundesebene und des Verbandes der Privaten Krankenversicherung beschließen; im Fall eines Beitritts sind die Geschäftsanteile innerhalb der Gruppen der Kostenträger und Leistungserbringer entsprechend anzupassen;
2.
unbeschadet zwingender gesetzlicher Mehrheitserfordernisse entscheiden die Gesellschafter mit der einfachen Mehrheit der sich aus den Geschäftsanteilen ergebenden Stimmen.

(2a) Die Gesellschaft für Telematik hat einen Beirat einzurichten, der sie in fachlichen Belangen berät. Er kann Angelegenheiten von grundsätzlicher Bedeutung der Gesellschafterversammlung der Gesellschaft für Telematik zur Befassung vorlegen und ist vor der Beschlussfassung zu Angelegenheiten von grundsätzlicher Bedeutung zu hören. Zu Angelegenheiten von grundsätzlicher Bedeutung gehören insbesondere:

1.
Fachkonzepte zu Anwendungen der elektronischen Gesundheitskarte,
2.
Planungen und Konzepte für Erprobung und Betrieb der Telematikinfrastruktur sowie
3.
Konzepte zur Evaluation von Erprobungsphasen und Anwendungen.
Hierzu sind dem Beirat die entsprechenden Informationen in verständlicher Form so rechtzeitig zur Verfügung zu stellen, dass er sich mit ihnen inhaltlich befassen kann. Die Gesellschaft für Telematik hat sich mit den Stellungnahmen des Beirats zu befassen und dem Beirat mitzuteilen, inwieweit sie die Empfehlungen des Beirats berücksichtigt. Der Vorsitzende des Beirats kann an den Gesellschafterversammlungen der Gesellschaft für Telematik teilnehmen. Der Beirat besteht aus vier Vertretern der Länder, drei Vertretern der für die Wahrnehmung der Interessen der Patienten und der Selbsthilfe chronisch Kranker und behinderter Menschen maßgeblichen Organisationen, drei Vertretern der Wissenschaft, drei Vertretern der für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbände aus dem Bereich der Informationstechnologie im Gesundheitswesen, einem Vertreter der für die Wahrnehmung der Interessen der an der hausarztzentrierten Versorgung teilnehmenden Vertragsärzte maßgeblichen Spitzenorganisation sowie der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und der oder dem Beauftragten der Bundesregierung für die Belange der Patientinnen und Patienten. Vertreter weiterer Gruppen und Bundesbehörden können berufen werden. Die Mitglieder des Beirats werden von der Gesellschafterversammlung der Gesellschaft für Telematik berufen; die Vertreter der Länder werden von den Ländern benannt. Die Gesellschafter und die Geschäftsführung der Gesellschaft für Telematik können an den Sitzungen des Beirats teilnehmen.

(3) (weggefallen)

(4) Die Beschlüsse der Gesellschaft für Telematik zu den Regelungen, dem Aufbau und dem Betrieb der Telematikinfrastruktur sind für die Leistungserbringer und Krankenkassen sowie ihre Verbände nach diesem Buch verbindlich; dies gilt auch für Apothekerkammern der Länder für Beschlüsse über die Zuständigkeit für die Herausgabe von Komponenten zur Authentifizierung von Leistungserbringerinstitutionen, soweit dies nicht durch Bundes- oder Landesrecht geregelt ist. Vor der Beschlussfassung hat die Gesellschaft für Telematik dem oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und dem Bundesamt für Sicherheit in der Informationstechnik Gelegenheit zur Stellungnahme zu geben, sofern Belange des Datenschutzes oder der Datensicherheit berührt sind.

(5) (weggefallen)

(6) Soweit von Komponenten und Diensten eine Gefahr für die Funktionsfähigkeit oder Sicherheit der Telematikinfrastruktur ausgeht, ist die Gesellschaft für Telematik in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik befugt, die erforderlichen technischen und organisatorischen Maßnahmen zur Abwehr dieser Gefahr zu treffen. Betreiber von nach den Absätzen 1a und 1e zugelassenen Diensten und Betreiber von Diensten für nach Absatz 1b bestätigte Anwendungen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit dieser Dienste unverzüglich an die Gesellschaft für Telematik zu melden. Erheblich sind Störungen, die zum Ausfall oder zur Beeinträchtigung der Sicherheit oder Funktionsfähigkeit der in Satz 2 genannten Dienste oder zum Ausfall oder zur Beeinträchtigung der Sicherheit oder Funktionsfähigkeit der Telematikinfrastruktur führen können oder bereits geführt haben. Die Gesellschaft für Telematik hat die ihr nach Satz 2 gemeldeten Störungen sowie darüber hinausgehende bedeutende Störungen, die zu beträchtlichen Auswirkungen auf die Sicherheit oder Funktionsfähigkeit der Telematikinfrastruktur führen können oder bereits geführt haben, unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik zu melden. Die Gesellschaft für Telematik hat das Bundesministerium für Gesundheit unverzüglich über Meldungen nach Satz 4 zu informieren. Die Gesellschaft für Telematik kann zur Gefahrenabwehr im Einzelfall insbesondere Komponenten und Dienste für den Zugang zur Telematikinfrastruktur sperren oder den weiteren Zugang zur Telematikinfrastruktur nur unter der Bedingung gestatten, dass die von der Gesellschaft für Telematik angeordneten Maßnahmen zur Beseitigung der Gefahr umgesetzt werden.

(7) Die Gesellschaft für Telematik kann für Komponenten und Dienste, die die Telematikinfrastruktur nutzen, aber außerhalb der Telematikinfrastruktur betrieben werden, in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik solche Maßnahmen zur Überwachung des Betriebs treffen, die erforderlich sind, um die Sicherheit, Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur zu gewährleisten. Die Gesellschaft für Telematik legt hierzu fest, welche näheren Angaben ihr die Betreiber der Komponenten und Dienste offenzulegen haben, damit die Überwachung durchgeführt werden kann. Für die Erstattung der Kosten des Bundesamtes für Sicherheit in der Informationstechnik gilt Absatz 1a Satz 9 und 10 entsprechend.

(8) Die Gesellschaft für Telematik legt dem Bundesamt für Sicherheit in der Informationstechnik auf Verlangen die folgenden Unterlagen und Informationen vor:

1.
die Zulassungen und Bestätigungen nach den Absätzen 1a bis 1c und 1e einschließlich der zugrunde gelegten Dokumentation,
2.
eine Aufstellung der nach den Absätzen 6 und 7 getroffenen Maßnahmen einschließlich der festgestellten Sicherheitsmängel und Ergebnisse der Maßnahmen und
3.
sonstige für die Bewertung der Sicherheit der Telematikinfrastruktur sowie der zugelassenen Dienste und bestätigten Anwendungen erforderlichen Informationen.
Ergibt die Bewertung der in Satz 1 genannten Informationen Sicherheitsmängel, so kann das Bundesamt für Sicherheit in der Informationstechnik der Gesellschaft für Telematik verbindliche Anweisungen zur Beseitigung der festgestellten Sicherheitsmängel erteilen. Die Gesellschaft für Telematik ist befugt, Betreibern von zugelassenen Diensten und bestätigten Anwendungen nach den Absätzen 1a bis 1c und 1e verbindliche Anweisungen zur Beseitigung festgestellter Sicherheitsmängel zu erteilen. Die Kosten der Überprüfung tragen
1.
die Gesellschaft für Telematik, sofern das Bundesamt für Sicherheit in der Informationstechnik auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Sicherheit der Telematikinfrastruktur begründeten,
2.
der Betreiber von zugelassenen Diensten und bestätigten Anwendungen nach den Absätzen 1a bis 1c und 1e, sofern das Bundesamt für Sicherheit in der Informationstechnik auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Sicherheit der zugelassenen Dienste und bestätigten Anwendungen begründeten.

des Fünften Buches Sozialgesetzbuch, Betreiber von Diensten der Telematikinfrastruktur im Hinblick auf die nach § 291b Absatz 1a und 1e

(1) Im Rahmen der Aufgaben nach § 291a Absatz 7 Satz 2 hat die Gesellschaft für Telematik

1.
die funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts zu erstellen,
2.
Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung festzulegen,
3.
Vorgaben für den sicheren Betrieb der Telematikinfrastruktur zu erstellen und ihre Umsetzung zu überwachen,
4.
die notwendigen Test- und Zertifizierungsmaßnahmen sicherzustellen und
5.
Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren festzulegen zur Verwaltung
a)
der in § 291a Absatz 4 und 5a geregelten Zugriffsberechtigungen und
b)
der Steuerung der Zugriffe auf Daten nach § 291a Absatz 2 und 3.
Bei der Gestaltung der Verfahren nach Satz 1 Nummer 5 berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Zugriffsberechtigungen künftig auf weitere Leistungserbringergruppen ausgedehnt werden können. Soweit bei den Festlegungen und Maßnahmen nach Satz 1 Fragen der Datensicherheit berührt sind, sind diese im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu treffen. Die Gesellschaft für Telematik hat die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen. Die Gesellschaft für Telematik hat Aufgaben nur insoweit wahrzunehmen, als dies zur Schaffung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur erforderlich ist. Mit Teilaufgaben der Gesellschaft für Telematik können einzelne Gesellschafter oder Dritte beauftragt werden; hierbei sind durch die Gesellschaft für Telematik Interoperabilität, Kompatibilität und das notwendige Sicherheitsniveau der Telematikinfrastruktur zu gewährleisten. Die Kassenärztliche Bundesvereinigung trifft im Benehmen mit den übrigen Spitzenorganisationen nach § 291a Absatz 7 Satz 1, der Gesellschaft für Telematik, den maßgeblichen, fachlich betroffenen medizinischen Fachgesellschaften, der Bundespsychotherapeutenkammer, den maßgeblichen Bundesverbänden der Pflege, den für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen, den für die Wahrnehmung der Interessen der Forschung im Gesundheitswesen maßgeblichen Bundesverbänden und dem Deutschen Institut für Medizinische Dokumentation und Information die notwendigen Festlegungen für die Inhalte der elektronischen Patientenakte nach § 291a Absatz 3 Satz 1 Nummer 4, um deren semantische und syntaktische Interoperabilität zu gewährleisten. Sie hat dabei internationale Standards einzubeziehen und die Festlegungen nach § 31a Absatz 4 und 5 sowie die Festlegungen zur Verfügbarmachung von Daten nach § 291a Absatz 3 Satz 1 Nummer 1 zu berücksichtigen. Um einen strukturierten Prozess zu gewährleisten, erstellt die Kassenärztliche Bundesvereinigung innerhalb von vier Wochen nach dem 11. Mai 2019 eine Verfahrensordnung zur Herstellung des Benehmens nach Satz 7. Innerhalb von vier Wochen nach Erstellung der Verfahrensordnung hat die Kassenärztliche Bundesvereinigung das Benehmen hierzu mit den nach Satz 7 zu Beteiligenden herzustellen. Die Gesellschaft für Telematik kann der Kassenärztlichen Bundesvereinigung zur Erfüllung ihrer Aufgabe nach Satz 7 angemessene Fristen, entsprechend dem Projektstand, setzen; hält die Kassenärztliche Bundesvereinigung die jeweilige Frist nicht ein, kann die Gesellschaft für Telematik die Deutsche Krankenhausgesellschaft mit der Erstellung der jeweiligen Festlegungen nach Satz 7 im Benehmen mit den in Satz 7 genannten Organisationen beauftragen. Satz 8 findet entsprechende Anwendung. Das Verfahren für das Vorgehen nach Fristablauf legt die Gesellschaft für Telematik fest. Die Festlegungen der Kassenärztlichen Bundesvereinigung nach Satz 7 oder die Festlegungen der Deutschen Krankenhausgesellschaft nach Satz 11 zweiter Halbsatz sind für alle Gesellschafter, für die Leistungserbringer und Krankenkassen sowie für ihre Verbände nach diesem Buch verbindlich. Sie können nur durch eine alternative Entscheidung der in der Gesellschaft für Telematik vertretenen Spitzenorganisationen der Leistungserbringer nach § 291a Absatz 7 Satz 1 in gleicher Sache ersetzt werden. Eine Entscheidung der Spitzenorganisationen nach Satz 15 erfolgt mit der einfachen Mehrheit der sich aus deren Geschäftsanteilen ergebenden Stimmen. Die Festlegungen nach den Sätzen 7, 11 zweiter Halbsatz und Satz 15 sind in das Interoperabilitätsverzeichnis nach § 291e aufzunehmen. Der Kassenärztlichen Bundesvereinigung sind die zur Erfüllung ihrer Aufgaben nach Satz 7 entstandenen Kosten durch die Gesellschaft für Telematik zu erstatten. Satz 18 gilt für die Deutsche Krankenhausgesellschaft entsprechend, sofern diese nach Satz 11 zweiter Halbsatz die Aufgabe nach Satz 7 erfüllt. Im Auftrag des Bundesministeriums für Gesundheit nimmt die Gesellschaft für Telematik auf europäischer Ebene Aufgaben wahr, soweit die Telematikinfrastruktur berührt ist oder künftig berührt werden kann. Das Bundesministerium für Gesundheit kann ihr dabei Weisungen erteilen.

(1a) Die Komponenten und Dienste der Telematikinfrastruktur werden von der Gesellschaft für Telematik zugelassen. Die Zulassung wird auf Antrag des Anbieters einer Komponente oder des Anbieters eines Dienstes erteilt, wenn die Komponente oder der Dienst funktionsfähig, interoperabel und sicher ist. Die Zulassung kann mit Nebenbestimmungen versehen werden. Die Gesellschaft für Telematik prüft die Funktionsfähigkeit und Interoperabilität auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik durch eine Sicherheitszertifizierung. Hierzu entwickelt das Bundesamt für Sicherheit in der Informationstechnik geeignete Prüfvorschriften und veröffentlicht diese im Bundesanzeiger. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der Gesellschaft für Telematik in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik beschlossen. Die Gesellschaft für Telematik veröffentlicht eine Liste mit den zugelassenen Komponenten und Diensten. Die für die Aufgaben nach den Sätzen 5, 6 und 12 beim Bundesamt für Sicherheit in der Informationstechnik entstehenden Kosten sind diesem durch die Gesellschaft für Telematik zu erstatten. Die Einzelheiten werden von dem Bundesamt für Sicherheit in der Informationstechnik und der Gesellschaft für Telematik einvernehmlich festgelegt. Die Gesellschaft für Telematik kann eine befristete Genehmigung zur Verwendung von nicht zugelassenen Komponenten und Diensten in der Telematikinfrastruktur erteilen, wenn dies zur Aufrechterhaltung der Funktionsfähigkeit und Sicherheit der Telematikinfrastruktur erforderlich ist. Hinsichtlich der Sicherheit ist die Genehmigung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu erteilen. Für die Verfahren zum Zugriff der Versicherten nach § 291a Absatz 5 Satz 9 legt abweichend von den Sätzen 5 bis 7 die Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik den Umfang der Zulassung für die erforderlichen Komponenten und Dienste einschließlich der Anforderungen an die Sicherheit und das Nähere zum Zulassungsverfahren fest. Die Festlegungen nach Satz 13 sind von der Gesellschaft für Telematik bis zum 26. Mai 2019 zu veröffentlichen.

(1b) Die Gesellschaft für Telematik hat eine diskriminierungsfreie Nutzung der Telematikinfrastruktur für Anwendungen nach § 291a Absatz 7 Satz 3 zu gewährleisten. Dabei sind elektronische Anwendungen, die der Erfüllung von gesetzlichen Aufgaben der Kranken- und Pflegeversicherung dienen, vorrangig zu berücksichtigen. Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 291a Absatz 7 Satz 3 legt die Gesellschaft für Telematik in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit die erforderlichen Voraussetzungen bis zum 30. Juni 2016 fest und veröffentlicht diese auf ihrer Internetseite. Die Erfüllung dieser Voraussetzungen muss der Anbieter einer Anwendung gegenüber der Gesellschaft für Telematik in einem Bestätigungsverfahren nachweisen. Die Einzelheiten des Bestätigungsverfahrens sowie die dazu erforderlichen Prüfkriterien legt die Gesellschaft für Telematik in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik bis zum 30. September 2016 fest und veröffentlicht sie auf ihrer Internetseite. Das Bestätigungsverfahren wird auf Antrag eines Anbieters einer Anwendung durchgeführt. Die Bestätigung kann mit Nebenbestimmungen versehen werden. Die Gesellschaft für Telematik veröffentlicht eine Liste mit den erteilten Bestätigungen auf ihrer Internetseite. Für Leistungserbringer in der gesetzlichen Kranken- und Pflegeversicherung, die die Telematikinfrastruktur für Anwendungen nach § 291a Absatz 7 Satz 3 nutzen wollen und für die noch keine sicheren Authentisierungsverfahren nach Absatz 1 Satz 1 Nummer 5 festgelegt sind, legt die Gesellschaft für Telematik diese Verfahren in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik fest. Die nach diesem Absatz beim Bundesamt für Sicherheit in der Informationstechnik sowie bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich jeweils mit dem Bundesamt für Sicherheit in der Informationstechnik sowie der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(1c) Betriebsleistungen sind auf der Grundlage der von der Gesellschaft für Telematik zu beschließenden Rahmenbedingungen zu erbringen. Zur Durchführung des operativen Betriebs der Telematikinfrastruktur vergibt die Gesellschaft für Telematik Aufträge oder erteilt in einem transparenten und diskriminierungsfreien Verfahren Zulassungen; sind nach Absatz 1 Satz 6 erster Halbsatz einzelne Gesellschafter oder Dritte beauftragt worden, so sind die Beauftragten für die Vergabe und für die Erteilung der Zulassung zuständig. Bei der Vergabe von Aufträgen sind abhängig vom Auftragswert die Vorschriften über die Vergabe öffentlicher Aufträge: der Vierte Teil des Gesetzes gegen Wettbewerbsbeschränkungen sowie die Vergabeverordnung und § 22 der Verordnung über das Haushaltswesen in der Sozialversicherung sowie der Abschnitt 1 des Teils A der Verdingungsordnung für Leistungen (VOL/A) anzuwenden. Für die freihändige Vergabe von Leistungen gemäß § 3 Absatz 5 Buchstabe i der Verdingungsordnung für Leistungen - Teil A (VOL/A) werden die Ausführungsbestimmungen vom Bundesministerium für Gesundheit festgelegt und im Bundesanzeiger veröffentlicht. Bei Zulassungsverfahren nach Satz 2 haben Anbieter von operativen Betriebsleistungen einen Anspruch auf Zulassung, wenn

1.
die zu verwendenden Komponenten und Dienste nach den Absätzen 1a und 1e zugelassen sind,
2.
der Anbieter den Nachweis erbringt, dass die Verfügbarkeit und Sicherheit der Betriebsleistung gewährleistet sind, und
3.
der Anbieter sich vertraglich verpflichtet, die Rahmenbedingungen für Betriebsleistungen der Gesellschaft für Telematik einzuhalten.
Die Zulassung kann mit Nebenbestimmungen versehen werden. Die Gesellschaft für Telematik beziehungsweise die von ihr beauftragten Organisationen können die Anzahl der Zulassungen beschränken, soweit dies zur Gewährleistung von Interoperabilität, Kompatibilität und des notwendigen Sicherheitsniveaus erforderlich ist. Die Gesellschaft für Telematik beziehungsweise die von ihr beauftragten Organisationen veröffentlichen
1.
die fachlichen und sachlichen Voraussetzungen, die für den Nachweis nach Satz 5 Nr. 2 erfüllt sein müssen, sowie
2.
eine Liste mit den zugelassenen Anbietern.

(1d) Die Gesellschaft für Telematik kann für die Zulassungen und Bestätigungen der Absätze 1a bis 1c und 1e Gebühren und Auslagen erheben. Die Gebührensätze sind so zu bemessen, dass sie den auf die Leistungen entfallenden durchschnittlichen Personal- und Sachaufwand nicht übersteigen. Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung ohne Zustimmung des Bundesrates die gebührenpflichtigen Tatbestände zu bestimmen und dabei feste Sätze oder Rahmensätze vorzusehen sowie Regelungen über die Gebührenentstehung, die Gebührenerhebung, die Erstattung von Auslagen, den Gebührenschuldner, Gebührenbefreiungen, die Fälligkeit, die Stundung, die Niederschlagung, den Erlass, Säumniszuschläge, die Verjährung und die Erstattung zu treffen. Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 291a Absatz 7 Satz 3, die nicht in diesem Buch oder im Elften Buch Sozialgesetzbuch geregelt sind, kann die Gesellschaft für Telematik Entgelte verlangen. Der Entgeltkatalog bedarf der Genehmigung des Bundesministeriums für Gesundheit.

(1e) Die Gesellschaft für Telematik legt bis zum 31. Dezember 2016 sichere Verfahren zur Übermittlung medizinischer Dokumente über die Telematikinfrastruktur in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest und veröffentlicht diese Festlegungen auf ihrer Internetseite. Die Erfüllung dieser Festlegungen muss der Anbieter eines Dienstes für ein Übermittlungsverfahren gegenüber der Gesellschaft für Telematik in einem Zulassungsverfahren nachweisen. Für das Zulassungsverfahren gilt Absatz 1a. Die für das Zulassungsverfahren erforderlichen Festlegungen sind bis zum 31. März 2017 zu treffen und auf der Internetseite der Gesellschaft für Telematik zu veröffentlichen. Die nach diesem Absatz bei dem Bundesamt für Sicherheit in der Informationstechnik und bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(2) Der Gesellschaftsvertrag der Gesellschaft für Telematik, die auf der Grundlage des § 291a Absatz 7 in der bis zum 11. Mai 2019 geltenden Fassung gegründet worden ist, ist nach folgenden Grundsätzen anzupassen:

1.
Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, und die in § 291a Absatz 7 Satz 1 genannten Spitzenorganisationen sind Gesellschafter der Gesellschaft für Telematik. Die Geschäftsanteile entfallen zu 51 Prozent auf die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, zu 24,5 Prozent auf den Spitzenverband Bund der Krankenkassen und zu 24,5 Prozent auf die anderen in § 291a Absatz 7 Satz 1 genannten Spitzenorganisationen. Die Gesellschafter können den Beitritt weiterer Spitzenorganisationen der Leistungserbringer auf Bundesebene und des Verbandes der Privaten Krankenversicherung beschließen; im Fall eines Beitritts sind die Geschäftsanteile innerhalb der Gruppen der Kostenträger und Leistungserbringer entsprechend anzupassen;
2.
unbeschadet zwingender gesetzlicher Mehrheitserfordernisse entscheiden die Gesellschafter mit der einfachen Mehrheit der sich aus den Geschäftsanteilen ergebenden Stimmen.

(2a) Die Gesellschaft für Telematik hat einen Beirat einzurichten, der sie in fachlichen Belangen berät. Er kann Angelegenheiten von grundsätzlicher Bedeutung der Gesellschafterversammlung der Gesellschaft für Telematik zur Befassung vorlegen und ist vor der Beschlussfassung zu Angelegenheiten von grundsätzlicher Bedeutung zu hören. Zu Angelegenheiten von grundsätzlicher Bedeutung gehören insbesondere:

1.
Fachkonzepte zu Anwendungen der elektronischen Gesundheitskarte,
2.
Planungen und Konzepte für Erprobung und Betrieb der Telematikinfrastruktur sowie
3.
Konzepte zur Evaluation von Erprobungsphasen und Anwendungen.
Hierzu sind dem Beirat die entsprechenden Informationen in verständlicher Form so rechtzeitig zur Verfügung zu stellen, dass er sich mit ihnen inhaltlich befassen kann. Die Gesellschaft für Telematik hat sich mit den Stellungnahmen des Beirats zu befassen und dem Beirat mitzuteilen, inwieweit sie die Empfehlungen des Beirats berücksichtigt. Der Vorsitzende des Beirats kann an den Gesellschafterversammlungen der Gesellschaft für Telematik teilnehmen. Der Beirat besteht aus vier Vertretern der Länder, drei Vertretern der für die Wahrnehmung der Interessen der Patienten und der Selbsthilfe chronisch Kranker und behinderter Menschen maßgeblichen Organisationen, drei Vertretern der Wissenschaft, drei Vertretern der für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbände aus dem Bereich der Informationstechnologie im Gesundheitswesen, einem Vertreter der für die Wahrnehmung der Interessen der an der hausarztzentrierten Versorgung teilnehmenden Vertragsärzte maßgeblichen Spitzenorganisation sowie der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und der oder dem Beauftragten der Bundesregierung für die Belange der Patientinnen und Patienten. Vertreter weiterer Gruppen und Bundesbehörden können berufen werden. Die Mitglieder des Beirats werden von der Gesellschafterversammlung der Gesellschaft für Telematik berufen; die Vertreter der Länder werden von den Ländern benannt. Die Gesellschafter und die Geschäftsführung der Gesellschaft für Telematik können an den Sitzungen des Beirats teilnehmen.

(3) (weggefallen)

(4) Die Beschlüsse der Gesellschaft für Telematik zu den Regelungen, dem Aufbau und dem Betrieb der Telematikinfrastruktur sind für die Leistungserbringer und Krankenkassen sowie ihre Verbände nach diesem Buch verbindlich; dies gilt auch für Apothekerkammern der Länder für Beschlüsse über die Zuständigkeit für die Herausgabe von Komponenten zur Authentifizierung von Leistungserbringerinstitutionen, soweit dies nicht durch Bundes- oder Landesrecht geregelt ist. Vor der Beschlussfassung hat die Gesellschaft für Telematik dem oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und dem Bundesamt für Sicherheit in der Informationstechnik Gelegenheit zur Stellungnahme zu geben, sofern Belange des Datenschutzes oder der Datensicherheit berührt sind.

(5) (weggefallen)

(6) Soweit von Komponenten und Diensten eine Gefahr für die Funktionsfähigkeit oder Sicherheit der Telematikinfrastruktur ausgeht, ist die Gesellschaft für Telematik in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik befugt, die erforderlichen technischen und organisatorischen Maßnahmen zur Abwehr dieser Gefahr zu treffen. Betreiber von nach den Absätzen 1a und 1e zugelassenen Diensten und Betreiber von Diensten für nach Absatz 1b bestätigte Anwendungen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit dieser Dienste unverzüglich an die Gesellschaft für Telematik zu melden. Erheblich sind Störungen, die zum Ausfall oder zur Beeinträchtigung der Sicherheit oder Funktionsfähigkeit der in Satz 2 genannten Dienste oder zum Ausfall oder zur Beeinträchtigung der Sicherheit oder Funktionsfähigkeit der Telematikinfrastruktur führen können oder bereits geführt haben. Die Gesellschaft für Telematik hat die ihr nach Satz 2 gemeldeten Störungen sowie darüber hinausgehende bedeutende Störungen, die zu beträchtlichen Auswirkungen auf die Sicherheit oder Funktionsfähigkeit der Telematikinfrastruktur führen können oder bereits geführt haben, unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik zu melden. Die Gesellschaft für Telematik hat das Bundesministerium für Gesundheit unverzüglich über Meldungen nach Satz 4 zu informieren. Die Gesellschaft für Telematik kann zur Gefahrenabwehr im Einzelfall insbesondere Komponenten und Dienste für den Zugang zur Telematikinfrastruktur sperren oder den weiteren Zugang zur Telematikinfrastruktur nur unter der Bedingung gestatten, dass die von der Gesellschaft für Telematik angeordneten Maßnahmen zur Beseitigung der Gefahr umgesetzt werden.

(7) Die Gesellschaft für Telematik kann für Komponenten und Dienste, die die Telematikinfrastruktur nutzen, aber außerhalb der Telematikinfrastruktur betrieben werden, in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik solche Maßnahmen zur Überwachung des Betriebs treffen, die erforderlich sind, um die Sicherheit, Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur zu gewährleisten. Die Gesellschaft für Telematik legt hierzu fest, welche näheren Angaben ihr die Betreiber der Komponenten und Dienste offenzulegen haben, damit die Überwachung durchgeführt werden kann. Für die Erstattung der Kosten des Bundesamtes für Sicherheit in der Informationstechnik gilt Absatz 1a Satz 9 und 10 entsprechend.

(8) Die Gesellschaft für Telematik legt dem Bundesamt für Sicherheit in der Informationstechnik auf Verlangen die folgenden Unterlagen und Informationen vor:

1.
die Zulassungen und Bestätigungen nach den Absätzen 1a bis 1c und 1e einschließlich der zugrunde gelegten Dokumentation,
2.
eine Aufstellung der nach den Absätzen 6 und 7 getroffenen Maßnahmen einschließlich der festgestellten Sicherheitsmängel und Ergebnisse der Maßnahmen und
3.
sonstige für die Bewertung der Sicherheit der Telematikinfrastruktur sowie der zugelassenen Dienste und bestätigten Anwendungen erforderlichen Informationen.
Ergibt die Bewertung der in Satz 1 genannten Informationen Sicherheitsmängel, so kann das Bundesamt für Sicherheit in der Informationstechnik der Gesellschaft für Telematik verbindliche Anweisungen zur Beseitigung der festgestellten Sicherheitsmängel erteilen. Die Gesellschaft für Telematik ist befugt, Betreibern von zugelassenen Diensten und bestätigten Anwendungen nach den Absätzen 1a bis 1c und 1e verbindliche Anweisungen zur Beseitigung festgestellter Sicherheitsmängel zu erteilen. Die Kosten der Überprüfung tragen
1.
die Gesellschaft für Telematik, sofern das Bundesamt für Sicherheit in der Informationstechnik auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Sicherheit der Telematikinfrastruktur begründeten,
2.
der Betreiber von zugelassenen Diensten und bestätigten Anwendungen nach den Absätzen 1a bis 1c und 1e, sofern das Bundesamt für Sicherheit in der Informationstechnik auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Sicherheit der zugelassenen Dienste und bestätigten Anwendungen begründeten.

des Fünften Buches Sozialgesetzbuch zugelassenen Dienste und Betreiber von Diensten, soweit sie die Telematikinfrastruktur für nach § 291b Absatz 1b

(1) Im Rahmen der Aufgaben nach § 291a Absatz 7 Satz 2 hat die Gesellschaft für Telematik

1.
die funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts zu erstellen,
2.
Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung festzulegen,
3.
Vorgaben für den sicheren Betrieb der Telematikinfrastruktur zu erstellen und ihre Umsetzung zu überwachen,
4.
die notwendigen Test- und Zertifizierungsmaßnahmen sicherzustellen und
5.
Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren festzulegen zur Verwaltung
a)
der in § 291a Absatz 4 und 5a geregelten Zugriffsberechtigungen und
b)
der Steuerung der Zugriffe auf Daten nach § 291a Absatz 2 und 3.
Bei der Gestaltung der Verfahren nach Satz 1 Nummer 5 berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Zugriffsberechtigungen künftig auf weitere Leistungserbringergruppen ausgedehnt werden können. Soweit bei den Festlegungen und Maßnahmen nach Satz 1 Fragen der Datensicherheit berührt sind, sind diese im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu treffen. Die Gesellschaft für Telematik hat die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen. Die Gesellschaft für Telematik hat Aufgaben nur insoweit wahrzunehmen, als dies zur Schaffung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur erforderlich ist. Mit Teilaufgaben der Gesellschaft für Telematik können einzelne Gesellschafter oder Dritte beauftragt werden; hierbei sind durch die Gesellschaft für Telematik Interoperabilität, Kompatibilität und das notwendige Sicherheitsniveau der Telematikinfrastruktur zu gewährleisten. Die Kassenärztliche Bundesvereinigung trifft im Benehmen mit den übrigen Spitzenorganisationen nach § 291a Absatz 7 Satz 1, der Gesellschaft für Telematik, den maßgeblichen, fachlich betroffenen medizinischen Fachgesellschaften, der Bundespsychotherapeutenkammer, den maßgeblichen Bundesverbänden der Pflege, den für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen, den für die Wahrnehmung der Interessen der Forschung im Gesundheitswesen maßgeblichen Bundesverbänden und dem Deutschen Institut für Medizinische Dokumentation und Information die notwendigen Festlegungen für die Inhalte der elektronischen Patientenakte nach § 291a Absatz 3 Satz 1 Nummer 4, um deren semantische und syntaktische Interoperabilität zu gewährleisten. Sie hat dabei internationale Standards einzubeziehen und die Festlegungen nach § 31a Absatz 4 und 5 sowie die Festlegungen zur Verfügbarmachung von Daten nach § 291a Absatz 3 Satz 1 Nummer 1 zu berücksichtigen. Um einen strukturierten Prozess zu gewährleisten, erstellt die Kassenärztliche Bundesvereinigung innerhalb von vier Wochen nach dem 11. Mai 2019 eine Verfahrensordnung zur Herstellung des Benehmens nach Satz 7. Innerhalb von vier Wochen nach Erstellung der Verfahrensordnung hat die Kassenärztliche Bundesvereinigung das Benehmen hierzu mit den nach Satz 7 zu Beteiligenden herzustellen. Die Gesellschaft für Telematik kann der Kassenärztlichen Bundesvereinigung zur Erfüllung ihrer Aufgabe nach Satz 7 angemessene Fristen, entsprechend dem Projektstand, setzen; hält die Kassenärztliche Bundesvereinigung die jeweilige Frist nicht ein, kann die Gesellschaft für Telematik die Deutsche Krankenhausgesellschaft mit der Erstellung der jeweiligen Festlegungen nach Satz 7 im Benehmen mit den in Satz 7 genannten Organisationen beauftragen. Satz 8 findet entsprechende Anwendung. Das Verfahren für das Vorgehen nach Fristablauf legt die Gesellschaft für Telematik fest. Die Festlegungen der Kassenärztlichen Bundesvereinigung nach Satz 7 oder die Festlegungen der Deutschen Krankenhausgesellschaft nach Satz 11 zweiter Halbsatz sind für alle Gesellschafter, für die Leistungserbringer und Krankenkassen sowie für ihre Verbände nach diesem Buch verbindlich. Sie können nur durch eine alternative Entscheidung der in der Gesellschaft für Telematik vertretenen Spitzenorganisationen der Leistungserbringer nach § 291a Absatz 7 Satz 1 in gleicher Sache ersetzt werden. Eine Entscheidung der Spitzenorganisationen nach Satz 15 erfolgt mit der einfachen Mehrheit der sich aus deren Geschäftsanteilen ergebenden Stimmen. Die Festlegungen nach den Sätzen 7, 11 zweiter Halbsatz und Satz 15 sind in das Interoperabilitätsverzeichnis nach § 291e aufzunehmen. Der Kassenärztlichen Bundesvereinigung sind die zur Erfüllung ihrer Aufgaben nach Satz 7 entstandenen Kosten durch die Gesellschaft für Telematik zu erstatten. Satz 18 gilt für die Deutsche Krankenhausgesellschaft entsprechend, sofern diese nach Satz 11 zweiter Halbsatz die Aufgabe nach Satz 7 erfüllt. Im Auftrag des Bundesministeriums für Gesundheit nimmt die Gesellschaft für Telematik auf europäischer Ebene Aufgaben wahr, soweit die Telematikinfrastruktur berührt ist oder künftig berührt werden kann. Das Bundesministerium für Gesundheit kann ihr dabei Weisungen erteilen.

(1a) Die Komponenten und Dienste der Telematikinfrastruktur werden von der Gesellschaft für Telematik zugelassen. Die Zulassung wird auf Antrag des Anbieters einer Komponente oder des Anbieters eines Dienstes erteilt, wenn die Komponente oder der Dienst funktionsfähig, interoperabel und sicher ist. Die Zulassung kann mit Nebenbestimmungen versehen werden. Die Gesellschaft für Telematik prüft die Funktionsfähigkeit und Interoperabilität auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik durch eine Sicherheitszertifizierung. Hierzu entwickelt das Bundesamt für Sicherheit in der Informationstechnik geeignete Prüfvorschriften und veröffentlicht diese im Bundesanzeiger. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der Gesellschaft für Telematik in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik beschlossen. Die Gesellschaft für Telematik veröffentlicht eine Liste mit den zugelassenen Komponenten und Diensten. Die für die Aufgaben nach den Sätzen 5, 6 und 12 beim Bundesamt für Sicherheit in der Informationstechnik entstehenden Kosten sind diesem durch die Gesellschaft für Telematik zu erstatten. Die Einzelheiten werden von dem Bundesamt für Sicherheit in der Informationstechnik und der Gesellschaft für Telematik einvernehmlich festgelegt. Die Gesellschaft für Telematik kann eine befristete Genehmigung zur Verwendung von nicht zugelassenen Komponenten und Diensten in der Telematikinfrastruktur erteilen, wenn dies zur Aufrechterhaltung der Funktionsfähigkeit und Sicherheit der Telematikinfrastruktur erforderlich ist. Hinsichtlich der Sicherheit ist die Genehmigung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu erteilen. Für die Verfahren zum Zugriff der Versicherten nach § 291a Absatz 5 Satz 9 legt abweichend von den Sätzen 5 bis 7 die Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik den Umfang der Zulassung für die erforderlichen Komponenten und Dienste einschließlich der Anforderungen an die Sicherheit und das Nähere zum Zulassungsverfahren fest. Die Festlegungen nach Satz 13 sind von der Gesellschaft für Telematik bis zum 26. Mai 2019 zu veröffentlichen.

(1b) Die Gesellschaft für Telematik hat eine diskriminierungsfreie Nutzung der Telematikinfrastruktur für Anwendungen nach § 291a Absatz 7 Satz 3 zu gewährleisten. Dabei sind elektronische Anwendungen, die der Erfüllung von gesetzlichen Aufgaben der Kranken- und Pflegeversicherung dienen, vorrangig zu berücksichtigen. Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 291a Absatz 7 Satz 3 legt die Gesellschaft für Telematik in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit die erforderlichen Voraussetzungen bis zum 30. Juni 2016 fest und veröffentlicht diese auf ihrer Internetseite. Die Erfüllung dieser Voraussetzungen muss der Anbieter einer Anwendung gegenüber der Gesellschaft für Telematik in einem Bestätigungsverfahren nachweisen. Die Einzelheiten des Bestätigungsverfahrens sowie die dazu erforderlichen Prüfkriterien legt die Gesellschaft für Telematik in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik bis zum 30. September 2016 fest und veröffentlicht sie auf ihrer Internetseite. Das Bestätigungsverfahren wird auf Antrag eines Anbieters einer Anwendung durchgeführt. Die Bestätigung kann mit Nebenbestimmungen versehen werden. Die Gesellschaft für Telematik veröffentlicht eine Liste mit den erteilten Bestätigungen auf ihrer Internetseite. Für Leistungserbringer in der gesetzlichen Kranken- und Pflegeversicherung, die die Telematikinfrastruktur für Anwendungen nach § 291a Absatz 7 Satz 3 nutzen wollen und für die noch keine sicheren Authentisierungsverfahren nach Absatz 1 Satz 1 Nummer 5 festgelegt sind, legt die Gesellschaft für Telematik diese Verfahren in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik fest. Die nach diesem Absatz beim Bundesamt für Sicherheit in der Informationstechnik sowie bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich jeweils mit dem Bundesamt für Sicherheit in der Informationstechnik sowie der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(1c) Betriebsleistungen sind auf der Grundlage der von der Gesellschaft für Telematik zu beschließenden Rahmenbedingungen zu erbringen. Zur Durchführung des operativen Betriebs der Telematikinfrastruktur vergibt die Gesellschaft für Telematik Aufträge oder erteilt in einem transparenten und diskriminierungsfreien Verfahren Zulassungen; sind nach Absatz 1 Satz 6 erster Halbsatz einzelne Gesellschafter oder Dritte beauftragt worden, so sind die Beauftragten für die Vergabe und für die Erteilung der Zulassung zuständig. Bei der Vergabe von Aufträgen sind abhängig vom Auftragswert die Vorschriften über die Vergabe öffentlicher Aufträge: der Vierte Teil des Gesetzes gegen Wettbewerbsbeschränkungen sowie die Vergabeverordnung und § 22 der Verordnung über das Haushaltswesen in der Sozialversicherung sowie der Abschnitt 1 des Teils A der Verdingungsordnung für Leistungen (VOL/A) anzuwenden. Für die freihändige Vergabe von Leistungen gemäß § 3 Absatz 5 Buchstabe i der Verdingungsordnung für Leistungen - Teil A (VOL/A) werden die Ausführungsbestimmungen vom Bundesministerium für Gesundheit festgelegt und im Bundesanzeiger veröffentlicht. Bei Zulassungsverfahren nach Satz 2 haben Anbieter von operativen Betriebsleistungen einen Anspruch auf Zulassung, wenn

1.
die zu verwendenden Komponenten und Dienste nach den Absätzen 1a und 1e zugelassen sind,
2.
der Anbieter den Nachweis erbringt, dass die Verfügbarkeit und Sicherheit der Betriebsleistung gewährleistet sind, und
3.
der Anbieter sich vertraglich verpflichtet, die Rahmenbedingungen für Betriebsleistungen der Gesellschaft für Telematik einzuhalten.
Die Zulassung kann mit Nebenbestimmungen versehen werden. Die Gesellschaft für Telematik beziehungsweise die von ihr beauftragten Organisationen können die Anzahl der Zulassungen beschränken, soweit dies zur Gewährleistung von Interoperabilität, Kompatibilität und des notwendigen Sicherheitsniveaus erforderlich ist. Die Gesellschaft für Telematik beziehungsweise die von ihr beauftragten Organisationen veröffentlichen
1.
die fachlichen und sachlichen Voraussetzungen, die für den Nachweis nach Satz 5 Nr. 2 erfüllt sein müssen, sowie
2.
eine Liste mit den zugelassenen Anbietern.

(1d) Die Gesellschaft für Telematik kann für die Zulassungen und Bestätigungen der Absätze 1a bis 1c und 1e Gebühren und Auslagen erheben. Die Gebührensätze sind so zu bemessen, dass sie den auf die Leistungen entfallenden durchschnittlichen Personal- und Sachaufwand nicht übersteigen. Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung ohne Zustimmung des Bundesrates die gebührenpflichtigen Tatbestände zu bestimmen und dabei feste Sätze oder Rahmensätze vorzusehen sowie Regelungen über die Gebührenentstehung, die Gebührenerhebung, die Erstattung von Auslagen, den Gebührenschuldner, Gebührenbefreiungen, die Fälligkeit, die Stundung, die Niederschlagung, den Erlass, Säumniszuschläge, die Verjährung und die Erstattung zu treffen. Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 291a Absatz 7 Satz 3, die nicht in diesem Buch oder im Elften Buch Sozialgesetzbuch geregelt sind, kann die Gesellschaft für Telematik Entgelte verlangen. Der Entgeltkatalog bedarf der Genehmigung des Bundesministeriums für Gesundheit.

(1e) Die Gesellschaft für Telematik legt bis zum 31. Dezember 2016 sichere Verfahren zur Übermittlung medizinischer Dokumente über die Telematikinfrastruktur in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest und veröffentlicht diese Festlegungen auf ihrer Internetseite. Die Erfüllung dieser Festlegungen muss der Anbieter eines Dienstes für ein Übermittlungsverfahren gegenüber der Gesellschaft für Telematik in einem Zulassungsverfahren nachweisen. Für das Zulassungsverfahren gilt Absatz 1a. Die für das Zulassungsverfahren erforderlichen Festlegungen sind bis zum 31. März 2017 zu treffen und auf der Internetseite der Gesellschaft für Telematik zu veröffentlichen. Die nach diesem Absatz bei dem Bundesamt für Sicherheit in der Informationstechnik und bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(2) Der Gesellschaftsvertrag der Gesellschaft für Telematik, die auf der Grundlage des § 291a Absatz 7 in der bis zum 11. Mai 2019 geltenden Fassung gegründet worden ist, ist nach folgenden Grundsätzen anzupassen:

1.
Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, und die in § 291a Absatz 7 Satz 1 genannten Spitzenorganisationen sind Gesellschafter der Gesellschaft für Telematik. Die Geschäftsanteile entfallen zu 51 Prozent auf die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, zu 24,5 Prozent auf den Spitzenverband Bund der Krankenkassen und zu 24,5 Prozent auf die anderen in § 291a Absatz 7 Satz 1 genannten Spitzenorganisationen. Die Gesellschafter können den Beitritt weiterer Spitzenorganisationen der Leistungserbringer auf Bundesebene und des Verbandes der Privaten Krankenversicherung beschließen; im Fall eines Beitritts sind die Geschäftsanteile innerhalb der Gruppen der Kostenträger und Leistungserbringer entsprechend anzupassen;
2.
unbeschadet zwingender gesetzlicher Mehrheitserfordernisse entscheiden die Gesellschafter mit der einfachen Mehrheit der sich aus den Geschäftsanteilen ergebenden Stimmen.

(2a) Die Gesellschaft für Telematik hat einen Beirat einzurichten, der sie in fachlichen Belangen berät. Er kann Angelegenheiten von grundsätzlicher Bedeutung der Gesellschafterversammlung der Gesellschaft für Telematik zur Befassung vorlegen und ist vor der Beschlussfassung zu Angelegenheiten von grundsätzlicher Bedeutung zu hören. Zu Angelegenheiten von grundsätzlicher Bedeutung gehören insbesondere:

1.
Fachkonzepte zu Anwendungen der elektronischen Gesundheitskarte,
2.
Planungen und Konzepte für Erprobung und Betrieb der Telematikinfrastruktur sowie
3.
Konzepte zur Evaluation von Erprobungsphasen und Anwendungen.
Hierzu sind dem Beirat die entsprechenden Informationen in verständlicher Form so rechtzeitig zur Verfügung zu stellen, dass er sich mit ihnen inhaltlich befassen kann. Die Gesellschaft für Telematik hat sich mit den Stellungnahmen des Beirats zu befassen und dem Beirat mitzuteilen, inwieweit sie die Empfehlungen des Beirats berücksichtigt. Der Vorsitzende des Beirats kann an den Gesellschafterversammlungen der Gesellschaft für Telematik teilnehmen. Der Beirat besteht aus vier Vertretern der Länder, drei Vertretern der für die Wahrnehmung der Interessen der Patienten und der Selbsthilfe chronisch Kranker und behinderter Menschen maßgeblichen Organisationen, drei Vertretern der Wissenschaft, drei Vertretern der für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbände aus dem Bereich der Informationstechnologie im Gesundheitswesen, einem Vertreter der für die Wahrnehmung der Interessen der an der hausarztzentrierten Versorgung teilnehmenden Vertragsärzte maßgeblichen Spitzenorganisation sowie der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und der oder dem Beauftragten der Bundesregierung für die Belange der Patientinnen und Patienten. Vertreter weiterer Gruppen und Bundesbehörden können berufen werden. Die Mitglieder des Beirats werden von der Gesellschafterversammlung der Gesellschaft für Telematik berufen; die Vertreter der Länder werden von den Ländern benannt. Die Gesellschafter und die Geschäftsführung der Gesellschaft für Telematik können an den Sitzungen des Beirats teilnehmen.

(3) (weggefallen)

(4) Die Beschlüsse der Gesellschaft für Telematik zu den Regelungen, dem Aufbau und dem Betrieb der Telematikinfrastruktur sind für die Leistungserbringer und Krankenkassen sowie ihre Verbände nach diesem Buch verbindlich; dies gilt auch für Apothekerkammern der Länder für Beschlüsse über die Zuständigkeit für die Herausgabe von Komponenten zur Authentifizierung von Leistungserbringerinstitutionen, soweit dies nicht durch Bundes- oder Landesrecht geregelt ist. Vor der Beschlussfassung hat die Gesellschaft für Telematik dem oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und dem Bundesamt für Sicherheit in der Informationstechnik Gelegenheit zur Stellungnahme zu geben, sofern Belange des Datenschutzes oder der Datensicherheit berührt sind.

(5) (weggefallen)

(6) Soweit von Komponenten und Diensten eine Gefahr für die Funktionsfähigkeit oder Sicherheit der Telematikinfrastruktur ausgeht, ist die Gesellschaft für Telematik in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik befugt, die erforderlichen technischen und organisatorischen Maßnahmen zur Abwehr dieser Gefahr zu treffen. Betreiber von nach den Absätzen 1a und 1e zugelassenen Diensten und Betreiber von Diensten für nach Absatz 1b bestätigte Anwendungen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit dieser Dienste unverzüglich an die Gesellschaft für Telematik zu melden. Erheblich sind Störungen, die zum Ausfall oder zur Beeinträchtigung der Sicherheit oder Funktionsfähigkeit der in Satz 2 genannten Dienste oder zum Ausfall oder zur Beeinträchtigung der Sicherheit oder Funktionsfähigkeit der Telematikinfrastruktur führen können oder bereits geführt haben. Die Gesellschaft für Telematik hat die ihr nach Satz 2 gemeldeten Störungen sowie darüber hinausgehende bedeutende Störungen, die zu beträchtlichen Auswirkungen auf die Sicherheit oder Funktionsfähigkeit der Telematikinfrastruktur führen können oder bereits geführt haben, unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik zu melden. Die Gesellschaft für Telematik hat das Bundesministerium für Gesundheit unverzüglich über Meldungen nach Satz 4 zu informieren. Die Gesellschaft für Telematik kann zur Gefahrenabwehr im Einzelfall insbesondere Komponenten und Dienste für den Zugang zur Telematikinfrastruktur sperren oder den weiteren Zugang zur Telematikinfrastruktur nur unter der Bedingung gestatten, dass die von der Gesellschaft für Telematik angeordneten Maßnahmen zur Beseitigung der Gefahr umgesetzt werden.

(7) Die Gesellschaft für Telematik kann für Komponenten und Dienste, die die Telematikinfrastruktur nutzen, aber außerhalb der Telematikinfrastruktur betrieben werden, in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik solche Maßnahmen zur Überwachung des Betriebs treffen, die erforderlich sind, um die Sicherheit, Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur zu gewährleisten. Die Gesellschaft für Telematik legt hierzu fest, welche näheren Angaben ihr die Betreiber der Komponenten und Dienste offenzulegen haben, damit die Überwachung durchgeführt werden kann. Für die Erstattung der Kosten des Bundesamtes für Sicherheit in der Informationstechnik gilt Absatz 1a Satz 9 und 10 entsprechend.

(8) Die Gesellschaft für Telematik legt dem Bundesamt für Sicherheit in der Informationstechnik auf Verlangen die folgenden Unterlagen und Informationen vor:

1.
die Zulassungen und Bestätigungen nach den Absätzen 1a bis 1c und 1e einschließlich der zugrunde gelegten Dokumentation,
2.
eine Aufstellung der nach den Absätzen 6 und 7 getroffenen Maßnahmen einschließlich der festgestellten Sicherheitsmängel und Ergebnisse der Maßnahmen und
3.
sonstige für die Bewertung der Sicherheit der Telematikinfrastruktur sowie der zugelassenen Dienste und bestätigten Anwendungen erforderlichen Informationen.
Ergibt die Bewertung der in Satz 1 genannten Informationen Sicherheitsmängel, so kann das Bundesamt für Sicherheit in der Informationstechnik der Gesellschaft für Telematik verbindliche Anweisungen zur Beseitigung der festgestellten Sicherheitsmängel erteilen. Die Gesellschaft für Telematik ist befugt, Betreibern von zugelassenen Diensten und bestätigten Anwendungen nach den Absätzen 1a bis 1c und 1e verbindliche Anweisungen zur Beseitigung festgestellter Sicherheitsmängel zu erteilen. Die Kosten der Überprüfung tragen
1.
die Gesellschaft für Telematik, sofern das Bundesamt für Sicherheit in der Informationstechnik auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Sicherheit der Telematikinfrastruktur begründeten,
2.
der Betreiber von zugelassenen Diensten und bestätigten Anwendungen nach den Absätzen 1a bis 1c und 1e, sofern das Bundesamt für Sicherheit in der Informationstechnik auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Sicherheit der zugelassenen Dienste und bestätigten Anwendungen begründeten.

des Fünften Buches Sozialgesetzbuch bestätigte Anwendungen nutzen,
4.
Genehmigungsinhaber nach § 7 Absatz 1

(1) Wer eine ortsfeste Anlage zur Erzeugung oder zur Bearbeitung oder Verarbeitung oder zur Spaltung von Kernbrennstoffen oder zur Aufarbeitung bestrahlter Kernbrennstoffe errichtet, betreibt oder sonst innehat oder die Anlage oder ihren Betrieb wesentlich verändert, bedarf der Genehmigung. Für die Errichtung und den Betrieb von Anlagen zur Spaltung von Kernbrennstoffen zur gewerblichen Erzeugung von Elektrizität und von Anlagen zur Aufarbeitung bestrahlter Kernbrennstoffe werden keine Genehmigungen erteilt. Dies gilt nicht für wesentliche Veränderungen von Anlagen oder ihres Betriebs.

(1a) Die Berechtigung zum Leistungsbetrieb einer Anlage zur Spaltung von Kernbrennstoffen zur gewerblichen Erzeugung von Elektrizität erlischt, wenn die in Anlage 3 Spalte 2 für die Anlage aufgeführte Elektrizitätsmenge oder die sich auf Grund von Übertragungen nach Absatz 1b ergebende Elektrizitätsmenge erzeugt ist, jedoch spätestens

1.
mit Ablauf des 6. August 2011 für die Kernkraftwerke Biblis A, Neckarwestheim 1, Biblis B, Brunsbüttel, Isar 1, Unterweser, Philippsburg 1 und Krümmel,
2.
mit Ablauf des 31. Dezember 2015 für das Kernkraftwerk Grafenrheinfeld,
3.
mit Ablauf des 31. Dezember 2017 für das Kernkraftwerk Gundremmingen B,
4.
mit Ablauf des 31. Dezember 2019 für das Kernkraftwerk Philippsburg 2,
5.
mit Ablauf des 31. Dezember 2021 für die Kernkraftwerke Grohnde, Gundremmingen C und Brokdorf,
6.
mit Ablauf des 31. Dezember 2022 für die Kernkraftwerke Isar 2, Emsland und Neckarwestheim 2.
Die Erzeugung der in Anlage 3 Spalte 2 aufgeführten Elektrizitätsmengen ist durch ein Messgerät zu messen. Das Messgerät nach Satz 2 muss den Vorschriften des Mess- und Eichgesetzes und den auf Grund des Mess- und Eichgesetzes erlassenen Rechtsverordnungen entsprechen. Ein Messgerät nach Satz 2 darf erst in Betrieb genommen werden, nachdem eine Behörde nach § 54 Absatz 1 des Mess- und Eichgesetzes dessen Eignung und ordnungsgemäßes Verwenden festgestellt hat. Wer ein Messgerät nach Satz 2 verwendet, muss das Messgerät unverzüglich so aufstellen und anschließen sowie so handhaben und warten, dass die Richtigkeit der Messung und die zuverlässige Ablesung der Anzeige gewährleistet sind. Die Vorschriften des Mess- und Eichgesetzes und der auf Grund dieses Gesetzes erlassenen Rechtsverordnung finden Anwendung. Der Genehmigungsinhaber hat den bestimmungsgemäßen Zustand des Messgerätes in jedem Kalenderjahr durch eine Sachverständigenorganisation und die in jedem Kalenderjahr erzeugte Elektrizitätsmenge binnen eines Monats durch einen Wirtschaftsprüfer oder eine Wirtschaftsprüfungsgesellschaft überprüfen und bescheinigen zu lassen.

(1b) Elektrizitätsmengen nach Anlage 3 Spalte 2 können ganz oder teilweise von einer Anlage auf eine andere Anlage übertragen werden, wenn die empfangende Anlage den kommerziellen Leistungsbetrieb später als die abgebende Anlage begonnen hat. Elektrizitätsmengen können abweichend von Satz 1 auch von einer Anlage übertragen werden, die den kommerziellen Leistungsbetrieb später begonnen hat, wenn das Bundesministerium für Umwelt, Naturschutz, Bau und Reaktorsicherheit im Einvernehmen mit dem Bundeskanzleramt und dem Bundesministerium für Wirtschaft und Energie der Übertragung zugestimmt hat. Die Zustimmung nach Satz 2 ist nicht erforderlich, wenn die abgebende Anlage den Leistungsbetrieb dauerhaft einstellt und ein Antrag nach Absatz 3 Satz 1 zur Stilllegung der Anlage gestellt worden ist. Elektrizitätsmengen nach Anlage 3 Spalte 2 können von Anlagen nach Absatz 1a Satz 1 Nummer 1 bis 6 auch nach Erlöschen der Berechtigung zum Leistungsbetrieb nach den Sätzen 1 bis 3 übertragen werden.

(1c) Der Genehmigungsinhaber hat der zuständigen Behörde

1.
monatlich die im Sinne des Absatzes 1a in Verbindung mit der Anlage 3 Spalte 2 im Vormonat erzeugten Elektrizitätsmengen mitzuteilen,
2.
die Ergebnisse der Überprüfungen und die Bescheinigungen nach Absatz 1a Satz 3 binnen eines Monats nach deren Vorliegen vorzulegen,
3.
die zwischen Anlagen vorgenommenen Übertragungen nach Absatz 1b binnen einer Woche nach Festlegung der Übertragung mitzuteilen.
Der Genehmigungsinhaber hat in der ersten monatlichen Mitteilung über die erzeugte Elektrizitätsmenge nach Satz 1 Nr. 1 eine Mitteilung über die seit dem 1. Januar 2000 bis zum letzten Tag des April 2002 erzeugte Elektrizitätsmenge zu übermitteln, die von einem Wirtschaftsprüfer oder einer Wirtschaftsprüfungsgesellschaft überprüft und bescheinigt worden ist. Der Zeitraum der ersten monatlichen Mitteilung beginnt ab dem 1. Mai 2002. Die übermittelten Informationen nach Satz 1 Nummer 1 bis 3 sowie die Angabe der jeweils noch verbleibenden Elektrizitätsmenge werden durch die zuständige Behörde im Bundesanzeiger bekannt gemacht; hierbei werden die erzeugten Elektrizitätsmengen im Sinne des Satzes 1 Nummer 1 jährlich zusammengerechnet für ein Kalenderjahr im Bundesanzeiger bekannt gemacht, jedoch bei einer voraussichtlichen Restlaufzeit von weniger als sechs Monaten monatlich.

(1d) Für das Kernkraftwerk Mülheim-Kärlich gelten Absatz 1a Satz 1, Absatz 1b Satz 1 bis 3 und Absatz 1c Satz 1 Nr. 3 mit der Maßgabe, dass die in Anlage 3 Spalte 2 aufgeführte Elektrizitätsmenge nur nach Übertragung auf die dort aufgeführten Kernkraftwerke in diesen produziert werden darf.

(1e) (weggefallen)

(2) Die Genehmigung darf nur erteilt werden, wenn

1.
keine Tatsachen vorliegen, aus denen sich Bedenken gegen die Zuverlässigkeit des Antragstellers und der für die Errichtung, Leitung und Beaufsichtigung des Betriebs der Anlage verantwortlichen Personen ergeben, und die für die Errichtung, Leitung und Beaufsichtigung des Betriebs der Anlage verantwortlichen Personen die hierfür erforderliche Fachkunde besitzen,
2.
gewährleistet ist, daß die bei dem Betrieb der Anlage sonst tätigen Personen die notwendigen Kenntnisse über einen sicheren Betrieb der Anlage, die möglichen Gefahren und die anzuwendenden Schutzmaßnahmen besitzen,
3.
die nach dem Stand von Wissenschaft und Technik erforderliche Vorsorge gegen Schäden durch die Errichtung und den Betrieb der Anlage getroffen ist,
4.
die erforderliche Vorsorge für die Erfüllung gesetzlicher Schadensersatzverpflichtungen getroffen ist,
5.
der erforderliche Schutz gegen Störmaßnahmen oder sonstige Einwirkungen Dritter gewährleistet ist,
6.
überwiegende öffentliche Interessen, insbesondere im Hinblick auf die Umweltauswirkungen, der Wahl des Standorts der Anlage nicht entgegenstehen.

(2a) (weggefallen)

(3) Die Stillegung einer Anlage nach Absatz 1 Satz 1 sowie der sichere Einschluß der endgültig stillgelegten Anlage oder der Abbau der Anlage oder von Anlagenteilen bedürfen der Genehmigung. Absatz 2 gilt sinngemäß. Eine Genehmigung nach Satz 1 ist nicht erforderlich, soweit die geplanten Maßnahmen bereits Gegenstand einer Genehmigung nach Absatz 1 Satz 1 oder Anordnung nach § 19 Abs. 3 gewesen sind. Anlagen nach Absatz 1 Satz 1, deren Berechtigung zum Leistungsbetrieb nach Absatz 1a erloschen ist oder deren Leistungsbetrieb endgültig beendet ist und deren Betreiber Einzahlende nach § 2 Absatz 1 Satz 1 des Entsorgungsfondsgesetzes sind, sind unverzüglich stillzulegen und abzubauen. Die zuständige Behörde kann im Einzelfall für Anlagenteile vorübergehende Ausnahmen von Satz 4 zulassen, soweit und solange dies aus Gründen des Strahlenschutzes erforderlich ist.

(4) Im Genehmigungsverfahren sind alle Behörden des Bundes, der Länder, der Gemeinden und der sonstigen Gebietskörperschaften zu beteiligen, deren Zuständigkeitsbereich berührt wird. Bestehen zwischen der Genehmigungsbehörde und einer beteiligten Bundesbehörde Meinungsverschiedenheiten, so hat die Genehmigungsbehörde die Weisung des für die kerntechnische Sicherheit und den Strahlenschutz zuständigen Bundesministeriums einzuholen. Im übrigen wird das Genehmigungsverfahren nach den Grundsätzen der §§ 8, 10 Abs. 1 bis 4, 6 bis 8, 10 Satz 2 und des § 18 des Bundes-Immissionsschutzgesetzes durch Rechtsverordnung geregelt; dabei kann vorgesehen werden, dass bei der Prüfung der Umweltverträglichkeit der insgesamt zur Stilllegung, zum sicheren Einschluss oder zum Abbau von Anlagen zur Spaltung von Kernbrennstoffen oder von Anlagenteilen geplanten Maßnahmen von einem Erörterungstermin abgesehen werden kann.

(5) Für ortsveränderliche Anlagen gelten die Absätze 1, 2 und 4 entsprechend. Jedoch kann die in Absatz 4 Satz 3 genannte Rechtsverordnung vorsehen, daß von einer Bekanntmachung des Vorhabens und einer Auslegung der Unterlagen abgesehen werden kann und daß insoweit eine Erörterung von Einwendungen unterbleibt.

(6) § 14 des Bundes-Immissionsschutzgesetzes gilt sinngemäß für Einwirkungen, die von einer genehmigten Anlage auf ein anderes Grundstück ausgehen.

des Atomgesetzes für den Geltungsbereich der Genehmigung sowie
5.
sonstige Betreiber Kritischer Infrastrukturen, die auf Grund von Rechtsvorschriften Anforderungen erfüllen müssen, die mit den Anforderungen nach § 8b Absatz 4

(1) Das Bundesamt ist die zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit in der Informationstechnik.

(2) Das Bundesamt hat zur Wahrnehmung dieser Aufgabe

1.
die für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik wesentlichen Informationen zu sammeln und auszuwerten, insbesondere Informationen zu Sicherheitslücken, zu Schadprogrammen, zu erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und zu der dabei beobachteten Vorgehensweise,
2.
deren potentielle Auswirkungen auf die Verfügbarkeit der Kritischen Infrastrukturen in Zusammenarbeit mit den zuständigen Aufsichtsbehörden und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe zu analysieren,
3.
das Lagebild bezüglich der Sicherheit in der Informationstechnik der Kritischen Infrastrukturen kontinuierlich zu aktualisieren und
4.
unverzüglich
a)
die Betreiber Kritischer Infrastrukturen über sie betreffende Informationen nach den Nummern 1 bis 3,
b)
die zuständigen Aufsichtsbehörden und die sonst zuständigen Behörden des Bundes über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3,
c)
die zuständigen Aufsichtsbehörden der Länder oder die zu diesem Zweck dem Bundesamt von den Ländern als zentrale Kontaktstellen benannten Behörden über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3 sowie
d)
die zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union über nach Absatz 4 oder nach vergleichbaren Regelungen gemeldete erhebliche Störungen, die Auswirkungen in diesem Mitgliedstaat haben,
zu unterrichten.

(3) Die Betreiber Kritischer Infrastrukturen haben dem Bundesamt binnen sechs Monaten nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 eine Kontaktstelle für die von ihnen betriebenen Kritischen Infrastrukturen zu benennen. Die Betreiber haben sicherzustellen, dass sie hierüber jederzeit erreichbar sind. Die Übermittlung von Informationen durch das Bundesamt nach Absatz 2 Nummer 4 erfolgt an diese Kontaktstelle.

(4) Betreiber Kritischer Infrastrukturen haben die folgenden Störungen unverzüglich über die Kontaktstelle an das Bundesamt zu melden:

1.
Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt haben,
2.
erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können.
Die Meldung muss Angaben zu der Störung, zu möglichen grenzübergreifenden Auswirkungen sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur erbrachten kritischen Dienstleistung und zu den Auswirkungen der Störung auf diese Dienstleistung enthalten. Die Nennung des Betreibers ist nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat.

(5) Zusätzlich zu ihrer Kontaktstelle nach Absatz 3 können Betreiber Kritischer Infrastrukturen, die dem gleichen Sektor angehören, eine gemeinsame übergeordnete Ansprechstelle benennen. Wurde eine solche benannt, erfolgt der Informationsaustausch zwischen den Kontaktstellen und dem Bundesamt in der Regel über die gemeinsame Ansprechstelle.

(6) Soweit erforderlich kann das Bundesamt vom Hersteller der betroffenen informationstechnischen Produkte und Systeme die Mitwirkung an der Beseitigung oder Vermeidung einer Störung nach Absatz 4 verlangen. Satz 1 gilt für Störungen bei Betreibern und Genehmigungsinhabern im Sinne von § 8c Absatz 3 entsprechend.

(7) Soweit im Rahmen dieser Vorschrift personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ist eine über die vorstehenden Absätze hinausgehende Verarbeitung und Nutzung zu anderen Zwecken unzulässig. § 5 Absatz 7 Satz 3 bis 8 ist entsprechend anzuwenden. Im Übrigen sind die Regelungen des Bundesdatenschutzgesetzes anzuwenden.

vergleichbar oder weitergehend sind.

(4) § 8c Absatz 1 bis 3

(1) Anbieter digitaler Dienste haben geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen, zu bewältigen. Sie haben Maßnahmen zu treffen, um den Auswirkungen von Sicherheitsvorfällen auf innerhalb der Europäischen Union erbrachte digitale Dienste vorzubeugen oder die Auswirkungen so gering wie möglich zu halten.

(2) Maßnahmen zur Bewältigung von Risiken für die Sicherheit der Netz- und Informationssysteme nach Absatz 1 Satz 1 müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Dabei ist folgenden Aspekten Rechnung zu tragen:

1.
der Sicherheit der Systeme und Anlagen,
2.
der Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen,
3.
dem Betriebskontinuitätsmanagement,
4.
der Überwachung, Überprüfung und Erprobung,
5.
der Einhaltung internationaler Normen.
Die notwendigen Maßnahmen werden durch Durchführungsrechtsakte der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 näher bestimmt.

(3) Anbieter digitaler Dienste haben jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines von ihnen innerhalb der Europäischen Union erbrachten digitalen Dienstes hat, unverzüglich dem Bundesamt zu melden. Die Voraussetzungen, nach denen Auswirkungen eines Sicherheitsvorfalls erheblich sind, werden durch Durchführungsakte der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 unter Berücksichtigung insbesondere der folgenden Parameter näher bestimmt:

1.
die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer, insbesondere der Nutzer, die den Dienst für die Bereitstellung ihrer eigenen Dienste benötigen,
2.
die Dauer des Sicherheitsvorfalls,
3.
das von dem Sicherheitsvorfall betroffene geographische Gebiet,
4.
das Ausmaß der Unterbrechung der Bereitstellung des Dienstes,
5.
das Ausmaß der Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten.
Die Pflicht zur Meldung eines Sicherheitsvorfalls entfällt, wenn der Anbieter keinen ausreichenden Zugang zu den Informationen hat, die erforderlich sind, um die Auswirkung eines Sicherheitsvorfalls gemessen an den Parametern nach Satz 2 zu bewerten. Für den Inhalt der Meldungen gilt § 8b Absatz 3 entsprechend, soweit nicht Durchführungsakte der Kommission nach Artikel 16 Absatz 9 der Richtlinie (EU) 2016/1148 etwas anderes bestimmen. Über nach Satz 1 gemeldete Sicherheitsvorfälle, die Auswirkungen in einem anderen Mitgliedstaat der Europäischen Union haben, hat das Bundesamt die zuständige Behörde dieses Mitgliedstaats zu unterrichten.

(4) Liegen Anhaltspunkte dafür vor, dass ein Anbieter digitaler Dienste die Anforderungen des Absatzes 1 in Verbindung mit den Durchführungsrechtsakten der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 und des Absatzes 2 in Verbindung mit den Durchführungsrechtsakten der Kommission nach Artikel 16 Absatz 9 der Richtlinie (EU) 2016/1148 nicht erfüllt, kann das Bundesamt von dem Anbieter digitaler Dienste folgende Maßnahmen verlangen:

1.
die Übermittlung der zur Beurteilung der Sicherheit seiner Netz- und Informationssysteme erforderlichen Informationen, einschließlich Nachweisen über ergriffene Sicherheitsmaßnahmen,
2.
die Beseitigung von Mängeln bei der Erfüllung der in den Absätzen 1 und 2 bestimmten Anforderungen.
Die Anhaltspunkte können sich auch aus Feststellungen ergeben, die dem Bundesamt von den zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union vorgelegt werden.

(5) Hat ein Anbieter digitaler Dienste seine Hauptniederlassung, einen Vertreter oder Netz- und Informationssysteme in einem anderen Mitgliedstaat der Europäischen Union, so arbeitet das Bundesamt bei der Erfüllung der Aufgaben nach Absatz 4 mit der zuständigen Behörde dieses Mitgliedstaats zusammen. Diese Zusammenarbeit kann das Ersuchen umfassen, die Maßnahmen in Absatz 4 Satz 1 Nummer 1 und 2 zu ergreifen.

gilt nicht für Kleinstunternehmen und kleine Unternehmen im Sinne der Empfehlung 2003/361/EG. § 8c Absatz 3

(1) Anbieter digitaler Dienste haben geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen, zu bewältigen. Sie haben Maßnahmen zu treffen, um den Auswirkungen von Sicherheitsvorfällen auf innerhalb der Europäischen Union erbrachte digitale Dienste vorzubeugen oder die Auswirkungen so gering wie möglich zu halten.

(2) Maßnahmen zur Bewältigung von Risiken für die Sicherheit der Netz- und Informationssysteme nach Absatz 1 Satz 1 müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Dabei ist folgenden Aspekten Rechnung zu tragen:

1.
der Sicherheit der Systeme und Anlagen,
2.
der Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen,
3.
dem Betriebskontinuitätsmanagement,
4.
der Überwachung, Überprüfung und Erprobung,
5.
der Einhaltung internationaler Normen.
Die notwendigen Maßnahmen werden durch Durchführungsrechtsakte der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 näher bestimmt.

(3) Anbieter digitaler Dienste haben jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines von ihnen innerhalb der Europäischen Union erbrachten digitalen Dienstes hat, unverzüglich dem Bundesamt zu melden. Die Voraussetzungen, nach denen Auswirkungen eines Sicherheitsvorfalls erheblich sind, werden durch Durchführungsakte der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 unter Berücksichtigung insbesondere der folgenden Parameter näher bestimmt:

1.
die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer, insbesondere der Nutzer, die den Dienst für die Bereitstellung ihrer eigenen Dienste benötigen,
2.
die Dauer des Sicherheitsvorfalls,
3.
das von dem Sicherheitsvorfall betroffene geographische Gebiet,
4.
das Ausmaß der Unterbrechung der Bereitstellung des Dienstes,
5.
das Ausmaß der Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten.
Die Pflicht zur Meldung eines Sicherheitsvorfalls entfällt, wenn der Anbieter keinen ausreichenden Zugang zu den Informationen hat, die erforderlich sind, um die Auswirkung eines Sicherheitsvorfalls gemessen an den Parametern nach Satz 2 zu bewerten. Für den Inhalt der Meldungen gilt § 8b Absatz 3 entsprechend, soweit nicht Durchführungsakte der Kommission nach Artikel 16 Absatz 9 der Richtlinie (EU) 2016/1148 etwas anderes bestimmen. Über nach Satz 1 gemeldete Sicherheitsvorfälle, die Auswirkungen in einem anderen Mitgliedstaat der Europäischen Union haben, hat das Bundesamt die zuständige Behörde dieses Mitgliedstaats zu unterrichten.

(4) Liegen Anhaltspunkte dafür vor, dass ein Anbieter digitaler Dienste die Anforderungen des Absatzes 1 in Verbindung mit den Durchführungsrechtsakten der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 und des Absatzes 2 in Verbindung mit den Durchführungsrechtsakten der Kommission nach Artikel 16 Absatz 9 der Richtlinie (EU) 2016/1148 nicht erfüllt, kann das Bundesamt von dem Anbieter digitaler Dienste folgende Maßnahmen verlangen:

1.
die Übermittlung der zur Beurteilung der Sicherheit seiner Netz- und Informationssysteme erforderlichen Informationen, einschließlich Nachweisen über ergriffene Sicherheitsmaßnahmen,
2.
die Beseitigung von Mängeln bei der Erfüllung der in den Absätzen 1 und 2 bestimmten Anforderungen.
Die Anhaltspunkte können sich auch aus Feststellungen ergeben, die dem Bundesamt von den zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union vorgelegt werden.

(5) Hat ein Anbieter digitaler Dienste seine Hauptniederlassung, einen Vertreter oder Netz- und Informationssysteme in einem anderen Mitgliedstaat der Europäischen Union, so arbeitet das Bundesamt bei der Erfüllung der Aufgaben nach Absatz 4 mit der zuständigen Behörde dieses Mitgliedstaats zusammen. Diese Zusammenarbeit kann das Ersuchen umfassen, die Maßnahmen in Absatz 4 Satz 1 Nummer 1 und 2 zu ergreifen.

gilt nicht für Anbieter,

1.
die ihren Hauptsitz in einem anderen Mitgliedstaat der Europäischen Union haben oder
2.
die, soweit sie nicht in einem Mitgliedstaat der Europäischen Union niedergelassen sind, einen Vertreter in einem anderen Mitgliedstaat der Europäischen Union benannt haben, in dem die digitalen Dienste ebenfalls angeboten werden.
Für Anbieter nach Satz 2 gilt § 8c Absatz 4

(1) Anbieter digitaler Dienste haben geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen, zu bewältigen. Sie haben Maßnahmen zu treffen, um den Auswirkungen von Sicherheitsvorfällen auf innerhalb der Europäischen Union erbrachte digitale Dienste vorzubeugen oder die Auswirkungen so gering wie möglich zu halten.

(2) Maßnahmen zur Bewältigung von Risiken für die Sicherheit der Netz- und Informationssysteme nach Absatz 1 Satz 1 müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Dabei ist folgenden Aspekten Rechnung zu tragen:

1.
der Sicherheit der Systeme und Anlagen,
2.
der Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen,
3.
dem Betriebskontinuitätsmanagement,
4.
der Überwachung, Überprüfung und Erprobung,
5.
der Einhaltung internationaler Normen.
Die notwendigen Maßnahmen werden durch Durchführungsrechtsakte der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 näher bestimmt.

(3) Anbieter digitaler Dienste haben jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines von ihnen innerhalb der Europäischen Union erbrachten digitalen Dienstes hat, unverzüglich dem Bundesamt zu melden. Die Voraussetzungen, nach denen Auswirkungen eines Sicherheitsvorfalls erheblich sind, werden durch Durchführungsakte der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 unter Berücksichtigung insbesondere der folgenden Parameter näher bestimmt:

1.
die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer, insbesondere der Nutzer, die den Dienst für die Bereitstellung ihrer eigenen Dienste benötigen,
2.
die Dauer des Sicherheitsvorfalls,
3.
das von dem Sicherheitsvorfall betroffene geographische Gebiet,
4.
das Ausmaß der Unterbrechung der Bereitstellung des Dienstes,
5.
das Ausmaß der Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten.
Die Pflicht zur Meldung eines Sicherheitsvorfalls entfällt, wenn der Anbieter keinen ausreichenden Zugang zu den Informationen hat, die erforderlich sind, um die Auswirkung eines Sicherheitsvorfalls gemessen an den Parametern nach Satz 2 zu bewerten. Für den Inhalt der Meldungen gilt § 8b Absatz 3 entsprechend, soweit nicht Durchführungsakte der Kommission nach Artikel 16 Absatz 9 der Richtlinie (EU) 2016/1148 etwas anderes bestimmen. Über nach Satz 1 gemeldete Sicherheitsvorfälle, die Auswirkungen in einem anderen Mitgliedstaat der Europäischen Union haben, hat das Bundesamt die zuständige Behörde dieses Mitgliedstaats zu unterrichten.

(4) Liegen Anhaltspunkte dafür vor, dass ein Anbieter digitaler Dienste die Anforderungen des Absatzes 1 in Verbindung mit den Durchführungsrechtsakten der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 und des Absatzes 2 in Verbindung mit den Durchführungsrechtsakten der Kommission nach Artikel 16 Absatz 9 der Richtlinie (EU) 2016/1148 nicht erfüllt, kann das Bundesamt von dem Anbieter digitaler Dienste folgende Maßnahmen verlangen:

1.
die Übermittlung der zur Beurteilung der Sicherheit seiner Netz- und Informationssysteme erforderlichen Informationen, einschließlich Nachweisen über ergriffene Sicherheitsmaßnahmen,
2.
die Beseitigung von Mängeln bei der Erfüllung der in den Absätzen 1 und 2 bestimmten Anforderungen.
Die Anhaltspunkte können sich auch aus Feststellungen ergeben, die dem Bundesamt von den zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union vorgelegt werden.

(5) Hat ein Anbieter digitaler Dienste seine Hauptniederlassung, einen Vertreter oder Netz- und Informationssysteme in einem anderen Mitgliedstaat der Europäischen Union, so arbeitet das Bundesamt bei der Erfüllung der Aufgaben nach Absatz 4 mit der zuständigen Behörde dieses Mitgliedstaats zusammen. Diese Zusammenarbeit kann das Ersuchen umfassen, die Maßnahmen in Absatz 4 Satz 1 Nummer 1 und 2 zu ergreifen.

nur, soweit sie in der Bundesrepublik Deutschland Netz- und Informationssysteme betreiben, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen.

§ 8e Auskunftsverlangen

(1) Das Bundesamt kann Dritten auf Antrag Auskunft zu den im Rahmen von § 8a Absatz 2 und 3

(1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.

(2) Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Das Bundesamt stellt auf Antrag fest, ob diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. Die Feststellung erfolgt

1.
im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe,
2.
im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde.

(3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann die Vorlage der Dokumentation, die der Überprüfung zugrunde gelegt wurde, verlangen. Es kann bei Sicherheitsmängeln im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen.

(4) Das Bundesamt kann beim Betreiber Kritischer Infrastrukturen die Einhaltung der Anforderungen nach Absatz 1 überprüfen; es kann sich bei der Durchführung der Überprüfung eines qualifizierten unabhängigen Dritten bedienen. Der Betreiber Kritischer Infrastrukturen hat dem Bundesamt und den in dessen Auftrag handelnden Personen zum Zweck der Überprüfung das Betreten der Geschäfts- und Betriebsräume während der üblichen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren. Für die Überprüfung erhebt das Bundesamt Gebühren und Auslagen bei dem jeweiligen Betreiber Kritischer Infrastrukturen nur, sofern das Bundesamt auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Einhaltung der Anforderungen nach Absatz 1 begründeten.

(5) Das Bundesamt kann zur Ausgestaltung des Verfahrens der Sicherheitsaudits, Prüfungen und Zertifizierungen nach Absatz 3 Anforderungen an die Art und Weise der Durchführung, an die hierüber auszustellenden Nachweise sowie fachliche und organisatorische Anforderungen an die prüfende Stelle nach Anhörung von Vertretern der betroffenen Betreiber und der betroffenen Wirtschaftsverbände festlegen.

und § 8c Absatz 4

(1) Anbieter digitaler Dienste haben geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen, zu bewältigen. Sie haben Maßnahmen zu treffen, um den Auswirkungen von Sicherheitsvorfällen auf innerhalb der Europäischen Union erbrachte digitale Dienste vorzubeugen oder die Auswirkungen so gering wie möglich zu halten.

(2) Maßnahmen zur Bewältigung von Risiken für die Sicherheit der Netz- und Informationssysteme nach Absatz 1 Satz 1 müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Dabei ist folgenden Aspekten Rechnung zu tragen:

1.
der Sicherheit der Systeme und Anlagen,
2.
der Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen,
3.
dem Betriebskontinuitätsmanagement,
4.
der Überwachung, Überprüfung und Erprobung,
5.
der Einhaltung internationaler Normen.
Die notwendigen Maßnahmen werden durch Durchführungsrechtsakte der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 näher bestimmt.

(3) Anbieter digitaler Dienste haben jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines von ihnen innerhalb der Europäischen Union erbrachten digitalen Dienstes hat, unverzüglich dem Bundesamt zu melden. Die Voraussetzungen, nach denen Auswirkungen eines Sicherheitsvorfalls erheblich sind, werden durch Durchführungsakte der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 unter Berücksichtigung insbesondere der folgenden Parameter näher bestimmt:

1.
die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer, insbesondere der Nutzer, die den Dienst für die Bereitstellung ihrer eigenen Dienste benötigen,
2.
die Dauer des Sicherheitsvorfalls,
3.
das von dem Sicherheitsvorfall betroffene geographische Gebiet,
4.
das Ausmaß der Unterbrechung der Bereitstellung des Dienstes,
5.
das Ausmaß der Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten.
Die Pflicht zur Meldung eines Sicherheitsvorfalls entfällt, wenn der Anbieter keinen ausreichenden Zugang zu den Informationen hat, die erforderlich sind, um die Auswirkung eines Sicherheitsvorfalls gemessen an den Parametern nach Satz 2 zu bewerten. Für den Inhalt der Meldungen gilt § 8b Absatz 3 entsprechend, soweit nicht Durchführungsakte der Kommission nach Artikel 16 Absatz 9 der Richtlinie (EU) 2016/1148 etwas anderes bestimmen. Über nach Satz 1 gemeldete Sicherheitsvorfälle, die Auswirkungen in einem anderen Mitgliedstaat der Europäischen Union haben, hat das Bundesamt die zuständige Behörde dieses Mitgliedstaats zu unterrichten.

(4) Liegen Anhaltspunkte dafür vor, dass ein Anbieter digitaler Dienste die Anforderungen des Absatzes 1 in Verbindung mit den Durchführungsrechtsakten der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 und des Absatzes 2 in Verbindung mit den Durchführungsrechtsakten der Kommission nach Artikel 16 Absatz 9 der Richtlinie (EU) 2016/1148 nicht erfüllt, kann das Bundesamt von dem Anbieter digitaler Dienste folgende Maßnahmen verlangen:

1.
die Übermittlung der zur Beurteilung der Sicherheit seiner Netz- und Informationssysteme erforderlichen Informationen, einschließlich Nachweisen über ergriffene Sicherheitsmaßnahmen,
2.
die Beseitigung von Mängeln bei der Erfüllung der in den Absätzen 1 und 2 bestimmten Anforderungen.
Die Anhaltspunkte können sich auch aus Feststellungen ergeben, die dem Bundesamt von den zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union vorgelegt werden.

(5) Hat ein Anbieter digitaler Dienste seine Hauptniederlassung, einen Vertreter oder Netz- und Informationssysteme in einem anderen Mitgliedstaat der Europäischen Union, so arbeitet das Bundesamt bei der Erfüllung der Aufgaben nach Absatz 4 mit der zuständigen Behörde dieses Mitgliedstaats zusammen. Diese Zusammenarbeit kann das Ersuchen umfassen, die Maßnahmen in Absatz 4 Satz 1 Nummer 1 und 2 zu ergreifen.

erhaltenen Informationen sowie zu den Meldungen nach § 8b Absatz 4

(1) Das Bundesamt ist die zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit in der Informationstechnik.

(2) Das Bundesamt hat zur Wahrnehmung dieser Aufgabe

1.
die für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik wesentlichen Informationen zu sammeln und auszuwerten, insbesondere Informationen zu Sicherheitslücken, zu Schadprogrammen, zu erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und zu der dabei beobachteten Vorgehensweise,
2.
deren potentielle Auswirkungen auf die Verfügbarkeit der Kritischen Infrastrukturen in Zusammenarbeit mit den zuständigen Aufsichtsbehörden und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe zu analysieren,
3.
das Lagebild bezüglich der Sicherheit in der Informationstechnik der Kritischen Infrastrukturen kontinuierlich zu aktualisieren und
4.
unverzüglich
a)
die Betreiber Kritischer Infrastrukturen über sie betreffende Informationen nach den Nummern 1 bis 3,
b)
die zuständigen Aufsichtsbehörden und die sonst zuständigen Behörden des Bundes über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3,
c)
die zuständigen Aufsichtsbehörden der Länder oder die zu diesem Zweck dem Bundesamt von den Ländern als zentrale Kontaktstellen benannten Behörden über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3 sowie
d)
die zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union über nach Absatz 4 oder nach vergleichbaren Regelungen gemeldete erhebliche Störungen, die Auswirkungen in diesem Mitgliedstaat haben,
zu unterrichten.

(3) Die Betreiber Kritischer Infrastrukturen haben dem Bundesamt binnen sechs Monaten nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 eine Kontaktstelle für die von ihnen betriebenen Kritischen Infrastrukturen zu benennen. Die Betreiber haben sicherzustellen, dass sie hierüber jederzeit erreichbar sind. Die Übermittlung von Informationen durch das Bundesamt nach Absatz 2 Nummer 4 erfolgt an diese Kontaktstelle.

(4) Betreiber Kritischer Infrastrukturen haben die folgenden Störungen unverzüglich über die Kontaktstelle an das Bundesamt zu melden:

1.
Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt haben,
2.
erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können.
Die Meldung muss Angaben zu der Störung, zu möglichen grenzübergreifenden Auswirkungen sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur erbrachten kritischen Dienstleistung und zu den Auswirkungen der Störung auf diese Dienstleistung enthalten. Die Nennung des Betreibers ist nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat.

(5) Zusätzlich zu ihrer Kontaktstelle nach Absatz 3 können Betreiber Kritischer Infrastrukturen, die dem gleichen Sektor angehören, eine gemeinsame übergeordnete Ansprechstelle benennen. Wurde eine solche benannt, erfolgt der Informationsaustausch zwischen den Kontaktstellen und dem Bundesamt in der Regel über die gemeinsame Ansprechstelle.

(6) Soweit erforderlich kann das Bundesamt vom Hersteller der betroffenen informationstechnischen Produkte und Systeme die Mitwirkung an der Beseitigung oder Vermeidung einer Störung nach Absatz 4 verlangen. Satz 1 gilt für Störungen bei Betreibern und Genehmigungsinhabern im Sinne von § 8c Absatz 3 entsprechend.

(7) Soweit im Rahmen dieser Vorschrift personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ist eine über die vorstehenden Absätze hinausgehende Verarbeitung und Nutzung zu anderen Zwecken unzulässig. § 5 Absatz 7 Satz 3 bis 8 ist entsprechend anzuwenden. Im Übrigen sind die Regelungen des Bundesdatenschutzgesetzes anzuwenden.

und § 8c Absatz 4

(1) Anbieter digitaler Dienste haben geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen, zu bewältigen. Sie haben Maßnahmen zu treffen, um den Auswirkungen von Sicherheitsvorfällen auf innerhalb der Europäischen Union erbrachte digitale Dienste vorzubeugen oder die Auswirkungen so gering wie möglich zu halten.

(2) Maßnahmen zur Bewältigung von Risiken für die Sicherheit der Netz- und Informationssysteme nach Absatz 1 Satz 1 müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Dabei ist folgenden Aspekten Rechnung zu tragen:

1.
der Sicherheit der Systeme und Anlagen,
2.
der Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen,
3.
dem Betriebskontinuitätsmanagement,
4.
der Überwachung, Überprüfung und Erprobung,
5.
der Einhaltung internationaler Normen.
Die notwendigen Maßnahmen werden durch Durchführungsrechtsakte der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 näher bestimmt.

(3) Anbieter digitaler Dienste haben jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines von ihnen innerhalb der Europäischen Union erbrachten digitalen Dienstes hat, unverzüglich dem Bundesamt zu melden. Die Voraussetzungen, nach denen Auswirkungen eines Sicherheitsvorfalls erheblich sind, werden durch Durchführungsakte der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 unter Berücksichtigung insbesondere der folgenden Parameter näher bestimmt:

1.
die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer, insbesondere der Nutzer, die den Dienst für die Bereitstellung ihrer eigenen Dienste benötigen,
2.
die Dauer des Sicherheitsvorfalls,
3.
das von dem Sicherheitsvorfall betroffene geographische Gebiet,
4.
das Ausmaß der Unterbrechung der Bereitstellung des Dienstes,
5.
das Ausmaß der Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten.
Die Pflicht zur Meldung eines Sicherheitsvorfalls entfällt, wenn der Anbieter keinen ausreichenden Zugang zu den Informationen hat, die erforderlich sind, um die Auswirkung eines Sicherheitsvorfalls gemessen an den Parametern nach Satz 2 zu bewerten. Für den Inhalt der Meldungen gilt § 8b Absatz 3 entsprechend, soweit nicht Durchführungsakte der Kommission nach Artikel 16 Absatz 9 der Richtlinie (EU) 2016/1148 etwas anderes bestimmen. Über nach Satz 1 gemeldete Sicherheitsvorfälle, die Auswirkungen in einem anderen Mitgliedstaat der Europäischen Union haben, hat das Bundesamt die zuständige Behörde dieses Mitgliedstaats zu unterrichten.

(4) Liegen Anhaltspunkte dafür vor, dass ein Anbieter digitaler Dienste die Anforderungen des Absatzes 1 in Verbindung mit den Durchführungsrechtsakten der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 und des Absatzes 2 in Verbindung mit den Durchführungsrechtsakten der Kommission nach Artikel 16 Absatz 9 der Richtlinie (EU) 2016/1148 nicht erfüllt, kann das Bundesamt von dem Anbieter digitaler Dienste folgende Maßnahmen verlangen:

1.
die Übermittlung der zur Beurteilung der Sicherheit seiner Netz- und Informationssysteme erforderlichen Informationen, einschließlich Nachweisen über ergriffene Sicherheitsmaßnahmen,
2.
die Beseitigung von Mängeln bei der Erfüllung der in den Absätzen 1 und 2 bestimmten Anforderungen.
Die Anhaltspunkte können sich auch aus Feststellungen ergeben, die dem Bundesamt von den zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union vorgelegt werden.

(5) Hat ein Anbieter digitaler Dienste seine Hauptniederlassung, einen Vertreter oder Netz- und Informationssysteme in einem anderen Mitgliedstaat der Europäischen Union, so arbeitet das Bundesamt bei der Erfüllung der Aufgaben nach Absatz 4 mit der zuständigen Behörde dieses Mitgliedstaats zusammen. Diese Zusammenarbeit kann das Ersuchen umfassen, die Maßnahmen in Absatz 4 Satz 1 Nummer 1 und 2 zu ergreifen.

nur erteilen, wenn schutzwürdige Interessen des betroffenen Betreibers Kritischer Infrastrukturen oder des Anbieters digitaler Dienste dem nicht entgegenstehen und durch die Auskunft keine Beeinträchtigung von Sicherheitsinteressen eintreten kann. Zugang zu personenbezogenen Daten wird nicht gewährt.

(2) Zugang zu den Akten des Bundesamtes in Angelegenheiten nach den §§ 8a bis 8c

§ 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen

(1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.

(2) Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Das Bundesamt stellt auf Antrag fest, ob diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. Die Feststellung erfolgt

1.
im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe,
2.
im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde.

(3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann die Vorlage der Dokumentation, die der Überprüfung zugrunde gelegt wurde, verlangen. Es kann bei Sicherheitsmängeln im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen.

(4) Das Bundesamt kann beim Betreiber Kritischer Infrastrukturen die Einhaltung der Anforderungen nach Absatz 1 überprüfen; es kann sich bei der Durchführung der Überprüfung eines qualifizierten unabhängigen Dritten bedienen. Der Betreiber Kritischer Infrastrukturen hat dem Bundesamt und den in dessen Auftrag handelnden Personen zum Zweck der Überprüfung das Betreten der Geschäfts- und Betriebsräume während der üblichen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren. Für die Überprüfung erhebt das Bundesamt Gebühren und Auslagen bei dem jeweiligen Betreiber Kritischer Infrastrukturen nur, sofern das Bundesamt auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Einhaltung der Anforderungen nach Absatz 1 begründeten.

(5) Das Bundesamt kann zur Ausgestaltung des Verfahrens der Sicherheitsaudits, Prüfungen und Zertifizierungen nach Absatz 3 Anforderungen an die Art und Weise der Durchführung, an die hierüber auszustellenden Nachweise sowie fachliche und organisatorische Anforderungen an die prüfende Stelle nach Anhörung von Vertretern der betroffenen Betreiber und der betroffenen Wirtschaftsverbände festlegen.

§ 8b Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen

(1) Das Bundesamt ist die zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit in der Informationstechnik.

(2) Das Bundesamt hat zur Wahrnehmung dieser Aufgabe

1.
die für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik wesentlichen Informationen zu sammeln und auszuwerten, insbesondere Informationen zu Sicherheitslücken, zu Schadprogrammen, zu erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und zu der dabei beobachteten Vorgehensweise,
2.
deren potentielle Auswirkungen auf die Verfügbarkeit der Kritischen Infrastrukturen in Zusammenarbeit mit den zuständigen Aufsichtsbehörden und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe zu analysieren,
3.
das Lagebild bezüglich der Sicherheit in der Informationstechnik der Kritischen Infrastrukturen kontinuierlich zu aktualisieren und
4.
unverzüglich
a)
die Betreiber Kritischer Infrastrukturen über sie betreffende Informationen nach den Nummern 1 bis 3,
b)
die zuständigen Aufsichtsbehörden und die sonst zuständigen Behörden des Bundes über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3,
c)
die zuständigen Aufsichtsbehörden der Länder oder die zu diesem Zweck dem Bundesamt von den Ländern als zentrale Kontaktstellen benannten Behörden über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3 sowie
d)
die zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union über nach Absatz 4 oder nach vergleichbaren Regelungen gemeldete erhebliche Störungen, die Auswirkungen in diesem Mitgliedstaat haben,
zu unterrichten.

(3) Die Betreiber Kritischer Infrastrukturen haben dem Bundesamt binnen sechs Monaten nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 eine Kontaktstelle für die von ihnen betriebenen Kritischen Infrastrukturen zu benennen. Die Betreiber haben sicherzustellen, dass sie hierüber jederzeit erreichbar sind. Die Übermittlung von Informationen durch das Bundesamt nach Absatz 2 Nummer 4 erfolgt an diese Kontaktstelle.

(4) Betreiber Kritischer Infrastrukturen haben die folgenden Störungen unverzüglich über die Kontaktstelle an das Bundesamt zu melden:

1.
Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt haben,
2.
erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können.
Die Meldung muss Angaben zu der Störung, zu möglichen grenzübergreifenden Auswirkungen sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur erbrachten kritischen Dienstleistung und zu den Auswirkungen der Störung auf diese Dienstleistung enthalten. Die Nennung des Betreibers ist nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat.

(5) Zusätzlich zu ihrer Kontaktstelle nach Absatz 3 können Betreiber Kritischer Infrastrukturen, die dem gleichen Sektor angehören, eine gemeinsame übergeordnete Ansprechstelle benennen. Wurde eine solche benannt, erfolgt der Informationsaustausch zwischen den Kontaktstellen und dem Bundesamt in der Regel über die gemeinsame Ansprechstelle.

(6) Soweit erforderlich kann das Bundesamt vom Hersteller der betroffenen informationstechnischen Produkte und Systeme die Mitwirkung an der Beseitigung oder Vermeidung einer Störung nach Absatz 4 verlangen. Satz 1 gilt für Störungen bei Betreibern und Genehmigungsinhabern im Sinne von § 8c Absatz 3 entsprechend.

(7) Soweit im Rahmen dieser Vorschrift personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ist eine über die vorstehenden Absätze hinausgehende Verarbeitung und Nutzung zu anderen Zwecken unzulässig. § 5 Absatz 7 Satz 3 bis 8 ist entsprechend anzuwenden. Im Übrigen sind die Regelungen des Bundesdatenschutzgesetzes anzuwenden.

§ 8c Besondere Anforderungen an Anbieter digitaler Dienste

(1) Anbieter digitaler Dienste haben geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen, zu bewältigen. Sie haben Maßnahmen zu treffen, um den Auswirkungen von Sicherheitsvorfällen auf innerhalb der Europäischen Union erbrachte digitale Dienste vorzubeugen oder die Auswirkungen so gering wie möglich zu halten.

(2) Maßnahmen zur Bewältigung von Risiken für die Sicherheit der Netz- und Informationssysteme nach Absatz 1 Satz 1 müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Dabei ist folgenden Aspekten Rechnung zu tragen:

1.
der Sicherheit der Systeme und Anlagen,
2.
der Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen,
3.
dem Betriebskontinuitätsmanagement,
4.
der Überwachung, Überprüfung und Erprobung,
5.
der Einhaltung internationaler Normen.
Die notwendigen Maßnahmen werden durch Durchführungsrechtsakte der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 näher bestimmt.

(3) Anbieter digitaler Dienste haben jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines von ihnen innerhalb der Europäischen Union erbrachten digitalen Dienstes hat, unverzüglich dem Bundesamt zu melden. Die Voraussetzungen, nach denen Auswirkungen eines Sicherheitsvorfalls erheblich sind, werden durch Durchführungsakte der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 unter Berücksichtigung insbesondere der folgenden Parameter näher bestimmt:

1.
die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer, insbesondere der Nutzer, die den Dienst für die Bereitstellung ihrer eigenen Dienste benötigen,
2.
die Dauer des Sicherheitsvorfalls,
3.
das von dem Sicherheitsvorfall betroffene geographische Gebiet,
4.
das Ausmaß der Unterbrechung der Bereitstellung des Dienstes,
5.
das Ausmaß der Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten.
Die Pflicht zur Meldung eines Sicherheitsvorfalls entfällt, wenn der Anbieter keinen ausreichenden Zugang zu den Informationen hat, die erforderlich sind, um die Auswirkung eines Sicherheitsvorfalls gemessen an den Parametern nach Satz 2 zu bewerten. Für den Inhalt der Meldungen gilt § 8b Absatz 3 entsprechend, soweit nicht Durchführungsakte der Kommission nach Artikel 16 Absatz 9 der Richtlinie (EU) 2016/1148 etwas anderes bestimmen. Über nach Satz 1 gemeldete Sicherheitsvorfälle, die Auswirkungen in einem anderen Mitgliedstaat der Europäischen Union haben, hat das Bundesamt die zuständige Behörde dieses Mitgliedstaats zu unterrichten.

(4) Liegen Anhaltspunkte dafür vor, dass ein Anbieter digitaler Dienste die Anforderungen des Absatzes 1 in Verbindung mit den Durchführungsrechtsakten der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 und des Absatzes 2 in Verbindung mit den Durchführungsrechtsakten der Kommission nach Artikel 16 Absatz 9 der Richtlinie (EU) 2016/1148 nicht erfüllt, kann das Bundesamt von dem Anbieter digitaler Dienste folgende Maßnahmen verlangen:

1.
die Übermittlung der zur Beurteilung der Sicherheit seiner Netz- und Informationssysteme erforderlichen Informationen, einschließlich Nachweisen über ergriffene Sicherheitsmaßnahmen,
2.
die Beseitigung von Mängeln bei der Erfüllung der in den Absätzen 1 und 2 bestimmten Anforderungen.
Die Anhaltspunkte können sich auch aus Feststellungen ergeben, die dem Bundesamt von den zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union vorgelegt werden.

(5) Hat ein Anbieter digitaler Dienste seine Hauptniederlassung, einen Vertreter oder Netz- und Informationssysteme in einem anderen Mitgliedstaat der Europäischen Union, so arbeitet das Bundesamt bei der Erfüllung der Aufgaben nach Absatz 4 mit der zuständigen Behörde dieses Mitgliedstaats zusammen. Diese Zusammenarbeit kann das Ersuchen umfassen, die Maßnahmen in Absatz 4 Satz 1 Nummer 1 und 2 zu ergreifen.

wird bei Vorliegen der Voraussetzungen des § 29

(1) Die Behörde hat den Beteiligten Einsicht in die das Verfahren betreffenden Akten zu gestatten, soweit deren Kenntnis zur Geltendmachung oder Verteidigung ihrer rechtlichen Interessen erforderlich ist. Satz 1 gilt bis zum Abschluss des Verwaltungsverfahrens nicht für Entwürfe zu Entscheidungen sowie die Arbeiten zu ihrer unmittelbaren Vorbereitung. Soweit nach den §§ 17 und 18 eine Vertretung stattfindet, haben nur die Vertreter Anspruch auf Akteneinsicht.

(2) Die Behörde ist zur Gestattung der Akteneinsicht nicht verpflichtet, soweit durch sie die ordnungsgemäße Erfüllung der Aufgaben der Behörde beeinträchtigt, das Bekanntwerden des Inhalts der Akten dem Wohl des Bundes oder eines Landes Nachteile bereiten würde oder soweit die Vorgänge nach einem Gesetz oder ihrem Wesen nach, namentlich wegen der berechtigten Interessen der Beteiligten oder dritter Personen, geheim gehalten werden müssen.

(3) Die Akteneinsicht erfolgt bei der Behörde, die die Akten führt. Im Einzelfall kann die Einsicht auch bei einer anderen Behörde oder bei einer diplomatischen oder berufskonsularischen Vertretung der Bundesrepublik Deutschland im Ausland erfolgen; weitere Ausnahmen kann die Behörde, die die Akten führt, gestatten.

des Verwaltungsverfahrensgesetzes nur gewährt, wenn schutzwürdige Interessen des betroffenen Betreibers Kritischer Infrastrukturen oder des Anbieters digitaler Dienste dem nicht entgegenstehen und durch den Zugang zu den Akten keine Beeinträchtigung von Sicherheitsinteressen eintreten kann.

(3) Für Betreiber nach § 8d Absatz 2 und 3

(1) Die §§ 8a und 8b sind nicht anzuwenden auf Kleinstunternehmen im Sinne der Empfehlung 2003/361/EC der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom 20.5.2003, S. 36). Artikel 3 Absatz 4 des Anhangs der Empfehlung ist nicht anzuwenden.

(2) § 8a ist nicht anzuwenden auf

1.
Betreiber Kritischer Infrastrukturen, soweit sie ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen,
2.
Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energiewirtschaftsgesetzes vom 7. Juli 2005 (BGBl. I S. 1970, 3621), das zuletzt durch Artikel 3 des Gesetzes vom 17. Juli 2015 (BGBl. I S. 1324) geändert worden ist, in der jeweils geltenden Fassung, soweit sie den Regelungen des § 11 des Energiewirtschaftsgesetzes unterliegen,
3.
die Gesellschaft für Telematik nach § 291a Absatz 7 Satz 2 des Fünften Buches Sozialgesetzbuch und § 291b des Fünften Buches Sozialgesetzbuch, Betreiber von Diensten der Telematikinfrastruktur im Hinblick auf die nach § 291b Absatz 1a und 1e des Fünften Buches Sozialgesetzbuch zugelassenen Dienste und Betreiber von Diensten, soweit sie die Telematikinfrastruktur für nach § 291b Absatz 1b des Fünften Buches Sozialgesetzbuch bestätigte Anwendungen nutzen,
4.
Genehmigungsinhaber nach § 7 Absatz 1 des Atomgesetzes in der Fassung der Bekanntmachung vom 15. Juli 1985 (BGBl. I S. 1565), das zuletzt durch Artikel 2 des Gesetzes vom 17. Juli 2015 (BGBl. I S. 1324) geändert worden ist, in der jeweils geltenden Fassung für den Geltungsbereich der Genehmigung sowie
5.
sonstige Betreiber Kritischer Infrastrukturen, soweit sie auf Grund von Rechtsvorschriften Anforderungen erfüllen müssen, die mit den Anforderungen nach § 8a vergleichbar oder weitergehend sind.

(3) § 8b Absatz 4 ist nicht anzuwenden auf

1.
Betreiber Kritischer Infrastrukturen, soweit sie ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen,
2.
Betreiber von Energieversorgungsnetzen oder Energieanlagen, soweit sie den Regelungen des § 11 des Energiewirtschaftsgesetzes unterliegen,
3.
die Gesellschaft für Telematik nach § 291a Absatz 7 Satz 2 des Fünften Buches Sozialgesetzbuch und § 291b des Fünften Buches Sozialgesetzbuch, Betreiber von Diensten der Telematikinfrastruktur im Hinblick auf die nach § 291b Absatz 1a und 1e des Fünften Buches Sozialgesetzbuch zugelassenen Dienste und Betreiber von Diensten, soweit sie die Telematikinfrastruktur für nach § 291b Absatz 1b des Fünften Buches Sozialgesetzbuch bestätigte Anwendungen nutzen,
4.
Genehmigungsinhaber nach § 7 Absatz 1 des Atomgesetzes für den Geltungsbereich der Genehmigung sowie
5.
sonstige Betreiber Kritischer Infrastrukturen, die auf Grund von Rechtsvorschriften Anforderungen erfüllen müssen, die mit den Anforderungen nach § 8b Absatz 4 vergleichbar oder weitergehend sind.

(4) § 8c Absatz 1 bis 3 gilt nicht für Kleinstunternehmen und kleine Unternehmen im Sinne der Empfehlung 2003/361/EG. § 8c Absatz 3 gilt nicht für Anbieter,

1.
die ihren Hauptsitz in einem anderen Mitgliedstaat der Europäischen Union haben oder
2.
die, soweit sie nicht in einem Mitgliedstaat der Europäischen Union niedergelassen sind, einen Vertreter in einem anderen Mitgliedstaat der Europäischen Union benannt haben, in dem die digitalen Dienste ebenfalls angeboten werden.
Für Anbieter nach Satz 2 gilt § 8c Absatz 4 nur, soweit sie in der Bundesrepublik Deutschland Netz- und Informationssysteme betreiben, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen.

gelten die Absätze 1 und 2 entsprechend.

§ 9 Zertifizierung

(1) Das Bundesamt ist nationale Zertifizierungsstelle der Bundesverwaltung für IT-Sicherheit.

(2) Für bestimmte Produkte oder Leistungen kann beim Bundesamt eine Sicherheits- oder Personenzertifizierung oder eine Zertifizierung als IT-Sicherheitsdienstleister beantragt werden. Die Anträge werden in der zeitlichen Reihenfolge ihres Eingangs bearbeitet; hiervon kann abgewichen werden, wenn das Bundesamt wegen der Zahl und des Umfangs anhängiger Prüfungsverfahren eine Prüfung in angemessener Zeit nicht durchführen kann und an der Erteilung eines Zertifikats ein öffentliches Interesse besteht. Der Antragsteller hat dem Bundesamt die Unterlagen vorzulegen und die Auskünfte zu erteilen, deren Kenntnis für die Prüfung und Bewertung des Systems oder der Komponente oder der Eignung der Person sowie für die Erteilung des Zertifikats erforderlich ist.

(3) Die Prüfung und Bewertung kann durch vom Bundesamt anerkannte sachverständige Stellen erfolgen.

(4) Das Sicherheitszertifikat wird erteilt, wenn

1.
informationstechnische Systeme, Komponenten, Produkte oder Schutzprofile den vom Bundesamt festgelegten Kriterien entsprechen und
2.
das Bundesministerium des Innern festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.

(5) Für die Zertifizierung von Personen und IT-Sicherheitsdienstleistern gilt Absatz 4 entsprechend.

(6) Eine Anerkennung nach Absatz 3 wird erteilt, wenn

1.
die sachliche und personelle Ausstattung sowie die fachliche Qualifikation und Zuverlässigkeit der Konformitätsbewertungsstelle den vom Bundesamt festgelegten Kriterien entspricht und
2.
das Bundesministerium des Innern festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.
Das Bundesamt stellt durch die notwendigen Maßnahmen sicher, dass das Fortbestehen der Voraussetzungen nach Satz 1 regelmäßig überprüft wird.

(7) Sicherheitszertifikate anderer anerkannter Zertifizierungsstellen aus dem Bereich der Europäischen Union werden vom Bundesamt anerkannt, soweit sie eine den Sicherheitszertifikaten des Bundesamtes gleichwertige Sicherheit ausweisen und die Gleichwertigkeit vom Bundesamt festgestellt worden ist.

§ 10 Ermächtigung zum Erlass von Rechtsverordnungen

(1) Das Bundesministerium des Innern bestimmt durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, nach Anhörung von Vertretern der Wissenschaft, der betroffenen Betreiber und der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie, dem Bundesministerium der Justiz und für Verbraucherschutz, dem Bundesministerium der Finanzen, dem Bundesministerium für Arbeit und Soziales, dem Bundesministerium für Ernährung und Landwirtschaft, dem Bundesministerium für Gesundheit, dem Bundesministerium für Verkehr und digitale Infrastruktur, dem Bundesministerium der Verteidigung und dem Bundesministerium für Umwelt, Naturschutz, Bau und Reaktorsicherheit unter Festlegung der in den jeweiligen Sektoren im Hinblick auf § 2 Absatz 10 Satz 1 Nummer 2

(1) Die Informationstechnik im Sinne dieses Gesetzes umfasst alle technischen Mittel zur Verarbeitung oder Übertragung von Informationen.

(2) Sicherheit in der Informationstechnik im Sinne dieses Gesetzes bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen

1.
in informationstechnischen Systemen, Komponenten oder Prozessen oder
2.
bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen.

(3) Kommunikationstechnik des Bundes im Sinne dieses Gesetzes ist die Informationstechnik, die von einer oder mehreren Bundesbehörden oder im Auftrag einer oder mehrerer Bundesbehörden betrieben wird und der Kommunikation oder dem Datenaustausch der Bundesbehörden untereinander oder mit Dritten dient. Kommunikationstechnik der Bundesgerichte, soweit sie nicht öffentlich-rechtliche Verwaltungsaufgaben wahrnehmen, des Bundestages, des Bundesrates, des Bundespräsidenten und des Bundesrechnungshofes ist nicht Kommunikationstechnik des Bundes, soweit sie ausschließlich in deren eigener Zuständigkeit betrieben wird.

(4) Schnittstellen der Kommunikationstechnik des Bundes im Sinne dieses Gesetzes sind sicherheitsrelevante Netzwerkübergänge innerhalb der Kommunikationstechnik des Bundes sowie zwischen dieser und der Informationstechnik der einzelnen Bundesbehörden, Gruppen von Bundesbehörden oder Dritter. Dies gilt nicht für die Komponenten an den Netzwerkübergängen, die in eigener Zuständigkeit der in Absatz 3 Satz 2 genannten Gerichte und Verfassungsorgane betrieben werden.

(5) Schadprogramme im Sinne dieses Gesetzes sind Programme und sonstige informationstechnische Routinen und Verfahren, die dem Zweck dienen, unbefugt Daten zu nutzen oder zu löschen oder die dem Zweck dienen, unbefugt auf sonstige informationstechnische Abläufe einzuwirken.

(6) Sicherheitslücken im Sinne dieses Gesetzes sind Eigenschaften von Programmen oder sonstigen informationstechnischen Systemen, durch deren Ausnutzung es möglich ist, dass sich Dritte gegen den Willen des Berechtigten Zugang zu fremden informationstechnischen Systemen verschaffen oder die Funktion der informationstechnischen Systeme beeinflussen können.

(7) Zertifizierung im Sinne dieses Gesetzes ist die Feststellung durch eine Zertifizierungsstelle, dass ein Produkt, ein Prozess, ein System, ein Schutzprofil (Sicherheitszertifizierung), eine Person (Personenzertifizierung) oder ein IT-Sicherheitsdienstleister bestimmte Anforderungen erfüllt.

(8) Protokolldaten im Sinne dieses Gesetzes sind Steuerdaten eines informationstechnischen Protokolls zur Datenübertragung, die unabhängig vom Inhalt eines Kommunikationsvorgangs übertragen oder auf den am Kommunikationsvorgang beteiligten Servern gespeichert werden und zur Gewährleistung der Kommunikation zwischen Empfänger und Sender notwendig sind. Protokolldaten können Verkehrsdaten gemäß § 3 Nummer 30 des Telekommunikationsgesetzes und Nutzungsdaten nach § 15 Absatz 1 des Telemediengesetzes enthalten.

(9) Datenverkehr im Sinne dieses Gesetzes sind die mittels technischer Protokolle übertragenen Daten. Der Datenverkehr kann Telekommunikationsinhalte nach § 88 Absatz 1 des Telekommunikationsgesetzes und Nutzungsdaten nach § 15 Absatz 1 des Telemediengesetzes enthalten.

(10) Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die

1.
den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
2.
von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.
Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach § 10 Absatz 1 näher bestimmt.

(11) Digitale Dienste im Sinne dieses Gesetzes sind Dienste im Sinne von Artikel 1 Absatz 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 241 vom 17.9.2015, S. 1), und die

1.
es Verbrauchern oder Unternehmern im Sinne des Artikels 4 Absatz 1 Buchstabe a beziehungsweise Buchstabe b der Richtlinie 2013/11/EU des Europäischen Parlaments und des Rates vom 21. Mai 2013 über die alternative Beilegung verbraucherrechtlicher Streitigkeiten und zur Änderung der Verordnung (EG) Nr. 2006/2004 und der Richtlinie 2009/22/EG (Richtlinie über alternative Streitbeilegung in Verbraucherangelegenheiten) (ABl. L 165 vom 18.6.2013, S. 63) ermöglichen, Kaufverträge oder Dienstleistungsverträge mit Unternehmern entweder auf der Webseite dieser Dienste oder auf der Webseite eines Unternehmers, die von diesen Diensten bereitgestellte Rechendienste verwendet, abzuschließen (Online-Marktplätze);
2.
es Nutzern ermöglichen, Suchen grundsätzlich auf allen Webseiten oder auf Webseiten in einer bestimmten Sprache anhand einer Abfrage zu einem beliebigen Thema in Form eines Stichworts, einer Wortgruppe oder einer anderen Eingabe vorzunehmen, die daraufhin Links anzeigen, über die der Abfrage entsprechende Inhalte abgerufen werden können (Online-Suchmaschinen);
3.
den Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglichen (Cloud-Computing-Dienste),
und nicht zum Schutz grundlegender staatlicher Funktionen eingerichtet worden sind oder für diese genutzt werden.

(12) „Anbieter digitaler Dienste“ im Sinne dieses Gesetzes ist eine juristische Person, die einen digitalen Dienst anbietet.

wegen ihrer Bedeutung als kritisch anzusehenden Dienstleistungen und deren als bedeutend anzusehenden Versorgungsgrads, welche Einrichtungen, Anlagen oder Teile davon als Kritische Infrastrukturen im Sinne dieses Gesetzes gelten. Der nach Satz 1 als bedeutend anzusehende Versorgungsgrad ist anhand von branchenspezifischen Schwellenwerten für jede wegen ihrer Bedeutung als kritisch anzusehende Dienstleistung im jeweiligen Sektor zu bestimmen. Zugang zu Akten, die die Erstellung oder Änderung dieser Verordnung betreffen, wird nicht gewährt.

(2) Das Bundesministerium des Innern bestimmt nach Anhörung der betroffenen Wirtschaftsverbände und im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, das Nähere über das Verfahren der Erteilung von Sicherheitszertifikaten und Anerkennungen nach § 9

(1) Das Bundesamt ist nationale Zertifizierungsstelle der Bundesverwaltung für IT-Sicherheit.

(2) Für bestimmte Produkte oder Leistungen kann beim Bundesamt eine Sicherheits- oder Personenzertifizierung oder eine Zertifizierung als IT-Sicherheitsdienstleister beantragt werden. Die Anträge werden in der zeitlichen Reihenfolge ihres Eingangs bearbeitet; hiervon kann abgewichen werden, wenn das Bundesamt wegen der Zahl und des Umfangs anhängiger Prüfungsverfahren eine Prüfung in angemessener Zeit nicht durchführen kann und an der Erteilung eines Zertifikats ein öffentliches Interesse besteht. Der Antragsteller hat dem Bundesamt die Unterlagen vorzulegen und die Auskünfte zu erteilen, deren Kenntnis für die Prüfung und Bewertung des Systems oder der Komponente oder der Eignung der Person sowie für die Erteilung des Zertifikats erforderlich ist.

(3) Die Prüfung und Bewertung kann durch vom Bundesamt anerkannte sachverständige Stellen erfolgen.

(4) Das Sicherheitszertifikat wird erteilt, wenn

1.
informationstechnische Systeme, Komponenten, Produkte oder Schutzprofile den vom Bundesamt festgelegten Kriterien entsprechen und
2.
das Bundesministerium des Innern festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.

(5) Für die Zertifizierung von Personen und IT-Sicherheitsdienstleistern gilt Absatz 4 entsprechend.

(6) Eine Anerkennung nach Absatz 3 wird erteilt, wenn

1.
die sachliche und personelle Ausstattung sowie die fachliche Qualifikation und Zuverlässigkeit der Konformitätsbewertungsstelle den vom Bundesamt festgelegten Kriterien entspricht und
2.
das Bundesministerium des Innern festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.
Das Bundesamt stellt durch die notwendigen Maßnahmen sicher, dass das Fortbestehen der Voraussetzungen nach Satz 1 regelmäßig überprüft wird.

(7) Sicherheitszertifikate anderer anerkannter Zertifizierungsstellen aus dem Bereich der Europäischen Union werden vom Bundesamt anerkannt, soweit sie eine den Sicherheitszertifikaten des Bundesamtes gleichwertige Sicherheit ausweisen und die Gleichwertigkeit vom Bundesamt festgestellt worden ist.

und deren Inhalt.

(3) Für individuell zurechenbare öffentliche Leistungen nach diesem Gesetz und nach den zur Durchführung dieses Gesetzes erlassenen Rechtsverordnungen werden Gebühren und Auslagen erhoben. Die Höhe der Gebühren richtet sich nach dem mit den Leistungen verbundenen Verwaltungsaufwand. Das Bundesministerium des Innern bestimmt im Einvernehmen mit dem Bundesministerium der Finanzen durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, die gebührenpflichtigen Tatbestände, die Gebührensätze und die Auslagen.

(4) Soweit die Durchführungsrechtsakte der Kommission nach Artikel 16 Absatz 8 und 9 der Richtlinie (EU) 2016/1148 keine abschließenden Bestimmungen über die von Anbietern digitaler Dienste nach § 8c Absatz 2

(1) Anbieter digitaler Dienste haben geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen, zu bewältigen. Sie haben Maßnahmen zu treffen, um den Auswirkungen von Sicherheitsvorfällen auf innerhalb der Europäischen Union erbrachte digitale Dienste vorzubeugen oder die Auswirkungen so gering wie möglich zu halten.

(2) Maßnahmen zur Bewältigung von Risiken für die Sicherheit der Netz- und Informationssysteme nach Absatz 1 Satz 1 müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Dabei ist folgenden Aspekten Rechnung zu tragen:

1.
der Sicherheit der Systeme und Anlagen,
2.
der Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen,
3.
dem Betriebskontinuitätsmanagement,
4.
der Überwachung, Überprüfung und Erprobung,
5.
der Einhaltung internationaler Normen.
Die notwendigen Maßnahmen werden durch Durchführungsrechtsakte der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 näher bestimmt.

(3) Anbieter digitaler Dienste haben jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines von ihnen innerhalb der Europäischen Union erbrachten digitalen Dienstes hat, unverzüglich dem Bundesamt zu melden. Die Voraussetzungen, nach denen Auswirkungen eines Sicherheitsvorfalls erheblich sind, werden durch Durchführungsakte der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 unter Berücksichtigung insbesondere der folgenden Parameter näher bestimmt:

1.
die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer, insbesondere der Nutzer, die den Dienst für die Bereitstellung ihrer eigenen Dienste benötigen,
2.
die Dauer des Sicherheitsvorfalls,
3.
das von dem Sicherheitsvorfall betroffene geographische Gebiet,
4.
das Ausmaß der Unterbrechung der Bereitstellung des Dienstes,
5.
das Ausmaß der Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten.
Die Pflicht zur Meldung eines Sicherheitsvorfalls entfällt, wenn der Anbieter keinen ausreichenden Zugang zu den Informationen hat, die erforderlich sind, um die Auswirkung eines Sicherheitsvorfalls gemessen an den Parametern nach Satz 2 zu bewerten. Für den Inhalt der Meldungen gilt § 8b Absatz 3 entsprechend, soweit nicht Durchführungsakte der Kommission nach Artikel 16 Absatz 9 der Richtlinie (EU) 2016/1148 etwas anderes bestimmen. Über nach Satz 1 gemeldete Sicherheitsvorfälle, die Auswirkungen in einem anderen Mitgliedstaat der Europäischen Union haben, hat das Bundesamt die zuständige Behörde dieses Mitgliedstaats zu unterrichten.

(4) Liegen Anhaltspunkte dafür vor, dass ein Anbieter digitaler Dienste die Anforderungen des Absatzes 1 in Verbindung mit den Durchführungsrechtsakten der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 und des Absatzes 2 in Verbindung mit den Durchführungsrechtsakten der Kommission nach Artikel 16 Absatz 9 der Richtlinie (EU) 2016/1148 nicht erfüllt, kann das Bundesamt von dem Anbieter digitaler Dienste folgende Maßnahmen verlangen:

1.
die Übermittlung der zur Beurteilung der Sicherheit seiner Netz- und Informationssysteme erforderlichen Informationen, einschließlich Nachweisen über ergriffene Sicherheitsmaßnahmen,
2.
die Beseitigung von Mängeln bei der Erfüllung der in den Absätzen 1 und 2 bestimmten Anforderungen.
Die Anhaltspunkte können sich auch aus Feststellungen ergeben, die dem Bundesamt von den zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union vorgelegt werden.

(5) Hat ein Anbieter digitaler Dienste seine Hauptniederlassung, einen Vertreter oder Netz- und Informationssysteme in einem anderen Mitgliedstaat der Europäischen Union, so arbeitet das Bundesamt bei der Erfüllung der Aufgaben nach Absatz 4 mit der zuständigen Behörde dieses Mitgliedstaats zusammen. Diese Zusammenarbeit kann das Ersuchen umfassen, die Maßnahmen in Absatz 4 Satz 1 Nummer 1 und 2 zu ergreifen.

zu treffenden Maßnahmen oder über die Parameter zur Beurteilung der Erheblichkeit der Auswirkungen von Sicherheitsvorfällen nach § 8c Absatz 3 Satz 2 oder

(1) Anbieter digitaler Dienste haben geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen, zu bewältigen. Sie haben Maßnahmen zu treffen, um den Auswirkungen von Sicherheitsvorfällen auf innerhalb der Europäischen Union erbrachte digitale Dienste vorzubeugen oder die Auswirkungen so gering wie möglich zu halten.

(2) Maßnahmen zur Bewältigung von Risiken für die Sicherheit der Netz- und Informationssysteme nach Absatz 1 Satz 1 müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Dabei ist folgenden Aspekten Rechnung zu tragen:

1.
der Sicherheit der Systeme und Anlagen,
2.
der Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen,
3.
dem Betriebskontinuitätsmanagement,
4.
der Überwachung, Überprüfung und Erprobung,
5.
der Einhaltung internationaler Normen.
Die notwendigen Maßnahmen werden durch Durchführungsrechtsakte der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 näher bestimmt.

(3) Anbieter digitaler Dienste haben jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines von ihnen innerhalb der Europäischen Union erbrachten digitalen Dienstes hat, unverzüglich dem Bundesamt zu melden. Die Voraussetzungen, nach denen Auswirkungen eines Sicherheitsvorfalls erheblich sind, werden durch Durchführungsakte der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 unter Berücksichtigung insbesondere der folgenden Parameter näher bestimmt:

1.
die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer, insbesondere der Nutzer, die den Dienst für die Bereitstellung ihrer eigenen Dienste benötigen,
2.
die Dauer des Sicherheitsvorfalls,
3.
das von dem Sicherheitsvorfall betroffene geographische Gebiet,
4.
das Ausmaß der Unterbrechung der Bereitstellung des Dienstes,
5.
das Ausmaß der Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten.
Die Pflicht zur Meldung eines Sicherheitsvorfalls entfällt, wenn der Anbieter keinen ausreichenden Zugang zu den Informationen hat, die erforderlich sind, um die Auswirkung eines Sicherheitsvorfalls gemessen an den Parametern nach Satz 2 zu bewerten. Für den Inhalt der Meldungen gilt § 8b Absatz 3 entsprechend, soweit nicht Durchführungsakte der Kommission nach Artikel 16 Absatz 9 der Richtlinie (EU) 2016/1148 etwas anderes bestimmen. Über nach Satz 1 gemeldete Sicherheitsvorfälle, die Auswirkungen in einem anderen Mitgliedstaat der Europäischen Union haben, hat das Bundesamt die zuständige Behörde dieses Mitgliedstaats zu unterrichten.

(4) Liegen Anhaltspunkte dafür vor, dass ein Anbieter digitaler Dienste die Anforderungen des Absatzes 1 in Verbindung mit den Durchführungsrechtsakten der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 und des Absatzes 2 in Verbindung mit den Durchführungsrechtsakten der Kommission nach Artikel 16 Absatz 9 der Richtlinie (EU) 2016/1148 nicht erfüllt, kann das Bundesamt von dem Anbieter digitaler Dienste folgende Maßnahmen verlangen:

1.
die Übermittlung der zur Beurteilung der Sicherheit seiner Netz- und Informationssysteme erforderlichen Informationen, einschließlich Nachweisen über ergriffene Sicherheitsmaßnahmen,
2.
die Beseitigung von Mängeln bei der Erfüllung der in den Absätzen 1 und 2 bestimmten Anforderungen.
Die Anhaltspunkte können sich auch aus Feststellungen ergeben, die dem Bundesamt von den zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union vorgelegt werden.

(5) Hat ein Anbieter digitaler Dienste seine Hauptniederlassung, einen Vertreter oder Netz- und Informationssysteme in einem anderen Mitgliedstaat der Europäischen Union, so arbeitet das Bundesamt bei der Erfüllung der Aufgaben nach Absatz 4 mit der zuständigen Behörde dieses Mitgliedstaats zusammen. Diese Zusammenarbeit kann das Ersuchen umfassen, die Maßnahmen in Absatz 4 Satz 1 Nummer 1 und 2 zu ergreifen.

über Form und Verfahren der Meldungen nach § 8c Absatz 3 Satz 4

(1) Anbieter digitaler Dienste haben geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen, zu bewältigen. Sie haben Maßnahmen zu treffen, um den Auswirkungen von Sicherheitsvorfällen auf innerhalb der Europäischen Union erbrachte digitale Dienste vorzubeugen oder die Auswirkungen so gering wie möglich zu halten.

(2) Maßnahmen zur Bewältigung von Risiken für die Sicherheit der Netz- und Informationssysteme nach Absatz 1 Satz 1 müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Dabei ist folgenden Aspekten Rechnung zu tragen:

1.
der Sicherheit der Systeme und Anlagen,
2.
der Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen,
3.
dem Betriebskontinuitätsmanagement,
4.
der Überwachung, Überprüfung und Erprobung,
5.
der Einhaltung internationaler Normen.
Die notwendigen Maßnahmen werden durch Durchführungsrechtsakte der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 näher bestimmt.

(3) Anbieter digitaler Dienste haben jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines von ihnen innerhalb der Europäischen Union erbrachten digitalen Dienstes hat, unverzüglich dem Bundesamt zu melden. Die Voraussetzungen, nach denen Auswirkungen eines Sicherheitsvorfalls erheblich sind, werden durch Durchführungsakte der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 unter Berücksichtigung insbesondere der folgenden Parameter näher bestimmt:

1.
die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer, insbesondere der Nutzer, die den Dienst für die Bereitstellung ihrer eigenen Dienste benötigen,
2.
die Dauer des Sicherheitsvorfalls,
3.
das von dem Sicherheitsvorfall betroffene geographische Gebiet,
4.
das Ausmaß der Unterbrechung der Bereitstellung des Dienstes,
5.
das Ausmaß der Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten.
Die Pflicht zur Meldung eines Sicherheitsvorfalls entfällt, wenn der Anbieter keinen ausreichenden Zugang zu den Informationen hat, die erforderlich sind, um die Auswirkung eines Sicherheitsvorfalls gemessen an den Parametern nach Satz 2 zu bewerten. Für den Inhalt der Meldungen gilt § 8b Absatz 3 entsprechend, soweit nicht Durchführungsakte der Kommission nach Artikel 16 Absatz 9 der Richtlinie (EU) 2016/1148 etwas anderes bestimmen. Über nach Satz 1 gemeldete Sicherheitsvorfälle, die Auswirkungen in einem anderen Mitgliedstaat der Europäischen Union haben, hat das Bundesamt die zuständige Behörde dieses Mitgliedstaats zu unterrichten.

(4) Liegen Anhaltspunkte dafür vor, dass ein Anbieter digitaler Dienste die Anforderungen des Absatzes 1 in Verbindung mit den Durchführungsrechtsakten der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 und des Absatzes 2 in Verbindung mit den Durchführungsrechtsakten der Kommission nach Artikel 16 Absatz 9 der Richtlinie (EU) 2016/1148 nicht erfüllt, kann das Bundesamt von dem Anbieter digitaler Dienste folgende Maßnahmen verlangen:

1.
die Übermittlung der zur Beurteilung der Sicherheit seiner Netz- und Informationssysteme erforderlichen Informationen, einschließlich Nachweisen über ergriffene Sicherheitsmaßnahmen,
2.
die Beseitigung von Mängeln bei der Erfüllung der in den Absätzen 1 und 2 bestimmten Anforderungen.
Die Anhaltspunkte können sich auch aus Feststellungen ergeben, die dem Bundesamt von den zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union vorgelegt werden.

(5) Hat ein Anbieter digitaler Dienste seine Hauptniederlassung, einen Vertreter oder Netz- und Informationssysteme in einem anderen Mitgliedstaat der Europäischen Union, so arbeitet das Bundesamt bei der Erfüllung der Aufgaben nach Absatz 4 mit der zuständigen Behörde dieses Mitgliedstaats zusammen. Diese Zusammenarbeit kann das Ersuchen umfassen, die Maßnahmen in Absatz 4 Satz 1 Nummer 1 und 2 zu ergreifen.

enthalten, werden diese Bestimmungen vom Bundesministerium des Innern im Einvernehmen mit den jeweils betroffenen Ressorts durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, getroffen.

§ 11 Einschränkung von Grundrechten

Das Fernmeldegeheimnis (Artikel 10 des Grundgesetzes) wird durch die §§ 5

(1) Das Bundesamt darf zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes

1.
Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen, erheben und automatisiert auswerten, soweit dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern bei der Kommunikationstechnik des Bundes oder von Angriffen auf die Informationstechnik des Bundes erforderlich ist,
2.
die an den Schnittstellen der Kommunikationstechnik des Bundes anfallenden Daten automatisiert auswerten, soweit dies für die Erkennung und Abwehr von Schadprogrammen erforderlich ist.
Sofern nicht die nachfolgenden Absätze eine weitere Verwendung gestatten, muss die automatisierte Auswertung dieser Daten unverzüglich erfolgen und müssen diese nach erfolgtem Abgleich sofort und spurenlos gelöscht werden. Die Verwendungsbeschränkungen gelten nicht für Protokolldaten, sofern diese weder personenbezogene noch dem Fernmeldegeheimnis unterliegende Daten beinhalten. Die Bundesbehörden sind verpflichtet, das Bundesamt bei Maßnahmen nach Satz 1 zu unterstützen und hierbei den Zugang des Bundesamtes zu behördeninternen Protokolldaten nach Satz 1 Nummer 1 sowie Schnittstellendaten nach Satz 1 Nummer 2 sicherzustellen. Protokolldaten der Bundesgerichte dürfen nur in deren Einvernehmen erhoben werden.

(2) Protokolldaten nach Absatz 1 Satz 1 Nummer 1 dürfen über den für die automatisierte Auswertung nach Absatz 1 Satz 1 Nummer 1 erforderlichen Zeitraum hinaus, längstens jedoch für drei Monate, gespeichert werden, soweit tatsächliche Anhaltspunkte bestehen, dass diese für den Fall der Bestätigung eines Verdachts nach Absatz 3 Satz 2 zur Abwehr von Gefahren, die von dem gefundenen Schadprogramm ausgehen oder zur Erkennung und Abwehr anderer Schadprogramme erforderlich sein können. Durch organisatorische und technische Maßnahmen ist sicherzustellen, dass eine Auswertung der nach diesem Absatz gespeicherten Daten nur automatisiert erfolgt. Die Daten sind zu pseudonymisieren, soweit dies automatisiert möglich ist. Eine nicht automatisierte Auswertung oder eine personenbezogene Verwendung ist nur nach Maßgabe der nachfolgenden Absätze zulässig. Soweit hierzu die Wiederherstellung des Personenbezugs pseudonymisierter Daten erforderlich ist, muss diese durch den Präsidenten des Bundesamtes angeordnet werden. Die Entscheidung ist zu protokollieren.

(3) Eine über die Absätze 1 und 2 hinausgehende Verwendung personenbezogener Daten ist nur zulässig, wenn bestimmte Tatsachen den Verdacht begründen, dass

1.
diese ein Schadprogramm enthalten,
2.
diese durch ein Schadprogramm übermittelt wurden oder
3.
sich aus ihnen Hinweise auf ein Schadprogramm ergeben können,
und soweit die Datenverarbeitung erforderlich ist, um den Verdacht zu bestätigen oder zu widerlegen. Im Falle der Bestätigung ist die weitere Verarbeitung personenbezogener Daten zulässig, soweit dies
1.
zur Abwehr des Schadprogramms,
2.
zur Abwehr von Gefahren, die von dem aufgefundenen Schadprogramm ausgehen, oder
3.
zur Erkennung und Abwehr anderer Schadprogramme erforderlich ist.
Ein Schadprogramm kann beseitigt oder in seiner Funktionsweise gehindert werden. Die nicht automatisierte Verwendung der Daten nach den Sätzen 1 und 2 darf nur durch einen Bediensteten des Bundesamtes mit der Befähigung zum Richteramt angeordnet werden.

(4) Die Beteiligten des Kommunikationsvorgangs sind spätestens nach dem Erkennen und der Abwehr eines Schadprogramms oder von Gefahren, die von einem Schadprogramm ausgehen, zu benachrichtigen, wenn sie bekannt sind oder ihre Identifikation ohne unverhältnismäßige weitere Ermittlungen möglich ist und nicht überwiegende schutzwürdige Belange Dritter entgegenstehen. Die Unterrichtung kann unterbleiben, wenn die Person nur unerheblich betroffen wurde, und anzunehmen ist, dass sie an einer Benachrichtigung kein Interesse hat. Das Bundesamt legt Fälle, in denen es von einer Benachrichtigung absieht, dem behördlichen Datenschutzbeauftragten des Bundesamtes sowie einem weiteren Bediensteten des Bundesamtes, der die Befähigung zum Richteramt hat, zur Kontrolle vor. Der behördliche Datenschutzbeauftragte ist bei Ausübung dieser Aufgabe weisungsfrei und darf deswegen nicht benachteiligt werden (§ 4f Absatz 3 des Bundesdatenschutzgesetzes). Wenn der behördliche Datenschutzbeauftragte der Entscheidung des Bundesamtes widerspricht, ist die Benachrichtigung nachzuholen. Die Entscheidung über die Nichtbenachrichtigung ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist nach zwölf Monaten zu löschen. In den Fällen der Absätze 5 und 6 erfolgt die Benachrichtigung durch die dort genannten Behörden in entsprechender Anwendung der für diese Behörden geltenden Vorschriften. Enthalten diese keine Bestimmungen zu Benachrichtigungspflichten, sind die Vorschriften der Strafprozessordnung entsprechend anzuwenden.

(5) Das Bundesamt kann die nach Absatz 3 verwendeten personenbezogenen Daten an die Strafverfolgungsbehörden zur Verfolgung einer mittels eines Schadprogramms begangenen Straftat nach den §§ 202a, 202b, 303a oder 303b des Strafgesetzbuches übermitteln. Es kann diese Daten ferner übermitteln

1.
zur Abwehr einer Gefahr für die öffentliche Sicherheit, die unmittelbar von einem Schadprogramm ausgeht, an die Polizeien des Bundes und der Länder,
2.
zur Unterrichtung über Tatsachen, die sicherheitsgefährdende oder geheimdienstliche Tätigkeiten für eine fremde Macht erkennen lassen, an das Bundesamt für Verfassungsschutz sowie an den Militärischen Abschirmdienst, wenn sich diese Tätigkeiten gegen Personen, Dienststellen oder Einrichtungen im Geschäftsbereich des Bundesministeriums der Verteidigung richten,
3.
zur Unterrichtung über Tatsachen, die einen internationalen kriminellen, terroristischen oder staatlichen Angriff mittels Schadprogrammen oder vergleichbaren schädlich wirkenden informationstechnischen Mitteln auf die Vertraulichkeit, Integrität oder Verfügbarkeit von IT-Systemen in Fällen von erheblicher Bedeutung mit Bezug zur Bundesrepublik Deutschland erkennen lassen, an den Bundesnachrichtendienst.

(6) Für sonstige Zwecke kann das Bundesamt die Daten übermitteln

1.
an die Strafverfolgungsbehörden zur Verfolgung einer Straftat von auch im Einzelfall erheblicher Bedeutung, insbesondere einer in § 100a Absatz 2 der Strafprozessordnung bezeichneten Straftat,
2.
an die Polizeien des Bundes und der Länder zur Abwehr einer Gefahr für den Bestand oder die Sicherheit des Staates oder Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhalt im öffentlichen Interesse geboten ist,
3.
an die Verfassungsschutzbehörden des Bundes und der Länder sowie an den Militärischen Abschirmdienst, wenn tatsächliche Anhaltspunkte für Bestrebungen in der Bundesrepublik Deutschland vorliegen, die durch Anwendung von Gewalt oder darauf gerichtete Vorbereitungshandlungen gegen die in § 3 Absatz 1 des Bundesverfassungsschutzgesetzes beziehungsweise § 1 Absatz 1 des Gesetzes über den Militärischen Abschirmdienst genannten Schutzgüter gerichtetsind,
4.
an den Bundesnachrichtendienst, wenn tatsächliche Anhaltspunkte für den Verdacht bestehen, dass jemand Straftaten nach § 3 Absatz 1 Nummer 8 des Artikel 10-Gesetzes plant, begeht oder begangen hat und dies von außen- und sicherheitspolitischer Bedeutung für die Bundesrepublik Deutschland ist.
Die Übermittlung nach Satz 1 Nummer 1 und 2 bedarf der vorherigen gerichtlichen Zustimmung. Für das Verfahren nach Satz 1 Nummer 1 und 2 gelten die Vorschriften des Gesetzes über das Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen Gerichtsbarkeit entsprechend. Zuständig ist das Amtsgericht, in dessen Bezirk das Bundesamt seinen Sitz hat. Die Übermittlung nach Satz 1 Nummer 3 und Nummer 4 erfolgt nach Zustimmung des Bundesministeriums des Innern; die §§ 9 bis 16 des Artikel 10-Gesetzes gelten entsprechend.

(7) Eine über die vorstehenden Absätze hinausgehende inhaltliche Auswertung zu anderen Zwecken und die Weitergabe von personenbezogenen Daten an Dritte sind unzulässig. Soweit möglich, ist technisch sicherzustellen, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden. Werden aufgrund der Maßnahmen der Absätze 1 bis 3 Erkenntnisse aus dem Kernbereich privater Lebensgestaltung oder Daten im Sinne des § 3 Absatz 9 des Bundesdatenschutzgesetzes erlangt, dürfen diese nicht verwendet werden. Erkenntnisse aus dem Kernbereich privater Lebensgestaltung sind unverzüglich zu löschen. Dies gilt auch in Zweifelsfällen. Die Tatsache ihrer Erlangung und Löschung ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist zu löschen, wenn sie für diese Zwecke nicht mehr erforderlich ist, spätestens jedoch am Ende des Kalenderjahres, das dem Jahr der Dokumentation folgt. Werden im Rahmen der Absätze 4 oder 5 Inhalte oder Umstände der Kommunikation von in § 53 Absatz 1 Satz 1 der Strafprozessordnung genannten Personen übermittelt, auf die sich das Zeugnisverweigerungsrecht der genannten Personen erstreckt, ist die Verwertung dieser Daten zu Beweiszwecken in einem Strafverfahren nur insoweit zulässig, als Gegenstand dieses Strafverfahrens eine Straftat ist, die im Höchstmaß mit mindestens fünf Jahren Freiheitsstrafe bedroht ist.

(8) Vor Aufnahme der Datenerhebung und -verwendung hat das Bundesamt ein Datenerhebungs- und -verwendungskonzept zu erstellen und für Kontrollen durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit bereitzuhalten. Das Konzept hat dem besonderen Schutzbedürfnis der Regierungskommunikation Rechnung zu tragen. Die für die automatisierte Auswertung verwendeten Kriterien sind zu dokumentieren. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit teilt das Ergebnis seiner Kontrollen nach § 24 des Bundesdatenschutzgesetzes auch dem Rat der IT-Beauftragten der Bundesregierung mit.

(9) Das Bundesamt unterrichtet den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres über

1.
die Anzahl der Vorgänge, in denen Daten nach Absatz 5 Satz 1, Absatz 5 Satz 2 Nummer 1 oder Absatz 6 Nummer 1 übermittelt wurden, aufgegliedert nach den einzelnen Übermittlungsbefugnissen,
2.
die Anzahl der personenbezogenen Auswertungen nach Absatz 3 Satz 1, in denen der Verdacht widerlegt wurde,
3.
die Anzahl der Fälle, in denen das Bundesamt nach Absatz 4 Satz 2 oder 3 von einer Benachrichtigung der Betroffenen abgesehen hat.

(10) Das Bundesamt unterrichtet kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres den Innenausschuss des Deutschen Bundestages über die Anwendung dieser Vorschrift.

und 5a

(1) Handelt es sich bei einer Beeinträchtigung der Sicherheit oder Funktionsfähigkeit eines informationstechnischen Systems einer Stelle des Bundes oder eines Betreibers einer Kritischen Infrastruktur um einen herausgehobenen Fall, so kann das Bundesamt auf Ersuchen der betroffenen Stelle oder des betroffenen Betreibers die Maßnahmen treffen, die zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems erforderlich sind. Soweit das Bundesamt erste Maßnahmen zur Schadensbegrenzung und Sicherstellung des Notbetriebes vor Ort ergreift, werden hierfür keine Gebühren oder Auslagen für die Tätigkeit des Bundesamtes erhoben. Hiervon unberührt bleiben etwaige Kosten für die Hinzuziehung qualifizierter Dritter.

(2) Ein herausgehobener Fall nach Absatz 1 liegt insbesondere dann vor, wenn es sich um einen Angriff von besonderer technischer Qualität handelt oder die zügige Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems von besonderem öffentlichem Interesse ist.

(3) Das Bundesamt darf bei Maßnahmen nach Absatz 1 personenbezogene oder dem Fernmeldegeheimnis unterliegende Daten erheben und verarbeiten, soweit dies zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems erforderlich und angemessen ist. Die Daten sind unverzüglich zu löschen, sobald sie für die Wiederherstellung der Sicherheit oder Funktionsfähigkeit des informationstechnischen Systems nicht mehr benötigt werden. Wenn die Daten in Fällen des Absatzes 4 an eine andere Behörde zur Erfüllung von deren gesetzlichen Aufgaben weitergegeben worden sind, darf das Bundesamt die Daten abweichend von Satz 2 bis zur Beendigung der Unterstützung dieser Behörden weiterverarbeiten. Eine Nutzung zu anderen Zwecken ist unzulässig. § 5 Absatz 7 ist entsprechend anzuwenden. Im Übrigen sind die Regelungen des Bundesdatenschutzgesetzes anzuwenden.

(4) Das Bundesamt darf Informationen, von denen es im Rahmen dieser Vorschrift Kenntnis erlangt, nur mit Einwilligung des Ersuchenden weitergeben, es sei denn, die Informationen lassen keine Rückschlüsse auf die Identität des Ersuchenden zu oder die Informationen können entsprechend § 5 Absatz 5 und 6 übermittelt werden. Zugang zu den in Verfahren nach Absatz 1 geführten Akten wird Dritten nicht gewährt.

(5) Das Bundesamt kann sich bei Maßnahmen nach Absatz 1 mit der Einwilligung des Ersuchenden der Hilfe qualifizierter Dritter bedienen, wenn dies zur rechtzeitigen oder vollständigen Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems erforderlich ist. Die hierdurch entstehenden Kosten hat der Ersuchende zu tragen. Das Bundesamt kann den Ersuchenden auch auf qualifizierte Dritte verweisen. Das Bundesamt und vom Ersuchenden oder vom Bundesamt nach Satz 1 beauftragte Dritte können einander bei Maßnahmen nach Absatz 1 mit der Einwilligung des Ersuchenden Daten übermitteln. Hierfür gilt Absatz 3 entsprechend.

(6) Soweit es zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des informationstechnischen Systems erforderlich ist, kann das Bundesamt vom Hersteller des informationstechnischen Systems verlangen, an der Wiederherstellung der Sicherheit oder Funktionsfähigkeit mitzuwirken.

(7) In begründeten Einzelfällen kann das Bundesamt auch bei anderen als den in Absatz 1 genannten Einrichtungen tätig werden, wenn es darum ersucht wurde und es sich um einen herausgehobenen Fall im Sinne des Absatzes 2 handelt.

(8) Im Falle von Anlagen oder Tätigkeiten, die einer Genehmigung nach dem Atomgesetz bedürfen, ist in Fällen der Absätze 1, 4, 5 und 7 vor Tätigwerden des Bundesamtes das Benehmen mit den zuständigen atomrechtlichen Aufsichtsbehörden des Bundes und der Länder herzustellen. Im Falle von Anlagen oder Tätigkeiten, die einer Genehmigung nach dem Atomgesetz bedürfen, haben bei Maßnahmen des Bundesamtes nach § 5a die Vorgaben aufgrund des Atomgesetzes Vorrang.

eingeschränkt.

§ 12 Rat der IT-Beauftragten der Bundesregierung

Wird der Rat der IT-Beauftragten der Bundesregierung aufgelöst, tritt an dessen Stelle die von der Bundesregierung bestimmte Nachfolgeorganisation. Die Zustimmung des Rats der IT-Beauftragten kann durch Einvernehmen aller Bundesministerien ersetzt werden. Wird der Rat der IT-Beauftragten ersatzlos aufgelöst, tritt an Stelle seiner Zustimmung das Einvernehmen aller Bundesministerien.

§ 13 Berichtspflichten

(1) Das Bundesamt unterrichtet das Bundesministerium des Innern über seine Tätigkeit.

(2) Die Unterrichtung nach Absatz 1 dient auch der Aufklärung der Öffentlichkeit durch das Bundesministerium des Innern über Gefahren für die Sicherheit in der Informationstechnik, die mindestens einmal jährlich in einem zusammenfassenden Bericht erfolgt. § 7 Absatz 1 Satz 3 und 4

(1) Zur Erfüllung seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 14 kann das Bundesamt

1.
die folgenden Warnungen an die Öffentlichkeit oder an die betroffenen Kreise richten:
a)
Warnungen vor Sicherheitslücken in informationstechnischen Produkten und Diensten,
b)
Warnungen vor Schadprogrammen und
c)
Warnungen im Falle eines Verlustes von oder eines unerlaubten Zugriffs auf Daten;
2.
Sicherheitsmaßnahmen sowie den Einsatz bestimmter Sicherheitsprodukte empfehlen.
Das Bundesamt kann zur Wahrnehmung der Aufgaben nach Satz 1 Dritte einbeziehen, wenn dies für eine wirksame und rechtzeitige Warnung erforderlich ist. Die Hersteller betroffener Produkte sind rechtzeitig vor Veröffentlichung von diese Produkte betreffenden Warnungen zu informieren, sofern hierdurch die Erreichung des mit der Maßnahme verfolgten Zwecks nicht gefährdet wird. Soweit entdeckte Sicherheitslücken oder Schadprogramme nicht allgemein bekannt werden sollen, um eine Weiterverbreitung oder rechtswidrige Ausnutzung zu verhindern oder weil das Bundesamt gegenüber Dritten zur Vertraulichkeit verpflichtet ist, kann es den Kreis der zu warnenden Personen anhand sachlicher Kriterien einschränken; sachliche Kriterien können insbesondere die besondere Gefährdung bestimmter Einrichtungen oder die besondere Zuverlässigkeit des Empfängers sein.

(2) Zur Erfüllung seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 14 kann das Bundesamt die Öffentlichkeit unter Nennung der Bezeichnung und des Herstellers des betroffenen Produkts vor Sicherheitslücken in informationstechnischen Produkten und Diensten und vor Schadprogrammen warnen oder Sicherheitsmaßnahmen sowie den Einsatz bestimmter Sicherheitsprodukte empfehlen, wenn hinreichende Anhaltspunkte dafür vorliegen, dass Gefahren für die Sicherheit in der Informationstechnik hiervon ausgehen. Stellen sich die an die Öffentlichkeit gegebenen Informationen im Nachhinein als falsch oder die zugrunde liegenden Umstände als unzutreffend wiedergegeben heraus, ist dies unverzüglich öffentlich bekannt zu machen.

ist entsprechend anzuwenden.

(3) Das Bundesamt übermittelt bis zum 9. November 2018 und danach alle zwei Jahre die folgenden Informationen an die Kommission:

1.
die nationalen Maßnahmen zur Ermittlung der Betreiber Kritischer Infrastrukturen;
2.
eine Aufstellung der im in Anhang II der Richtlinie (EU) 2016/1148 genannten Sektoren, die nach § 2 Absatz 10 Satz 1 Nummer 2

(1) Die Informationstechnik im Sinne dieses Gesetzes umfasst alle technischen Mittel zur Verarbeitung oder Übertragung von Informationen.

(2) Sicherheit in der Informationstechnik im Sinne dieses Gesetzes bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen

1.
in informationstechnischen Systemen, Komponenten oder Prozessen oder
2.
bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen.

(3) Kommunikationstechnik des Bundes im Sinne dieses Gesetzes ist die Informationstechnik, die von einer oder mehreren Bundesbehörden oder im Auftrag einer oder mehrerer Bundesbehörden betrieben wird und der Kommunikation oder dem Datenaustausch der Bundesbehörden untereinander oder mit Dritten dient. Kommunikationstechnik der Bundesgerichte, soweit sie nicht öffentlich-rechtliche Verwaltungsaufgaben wahrnehmen, des Bundestages, des Bundesrates, des Bundespräsidenten und des Bundesrechnungshofes ist nicht Kommunikationstechnik des Bundes, soweit sie ausschließlich in deren eigener Zuständigkeit betrieben wird.

(4) Schnittstellen der Kommunikationstechnik des Bundes im Sinne dieses Gesetzes sind sicherheitsrelevante Netzwerkübergänge innerhalb der Kommunikationstechnik des Bundes sowie zwischen dieser und der Informationstechnik der einzelnen Bundesbehörden, Gruppen von Bundesbehörden oder Dritter. Dies gilt nicht für die Komponenten an den Netzwerkübergängen, die in eigener Zuständigkeit der in Absatz 3 Satz 2 genannten Gerichte und Verfassungsorgane betrieben werden.

(5) Schadprogramme im Sinne dieses Gesetzes sind Programme und sonstige informationstechnische Routinen und Verfahren, die dem Zweck dienen, unbefugt Daten zu nutzen oder zu löschen oder die dem Zweck dienen, unbefugt auf sonstige informationstechnische Abläufe einzuwirken.

(6) Sicherheitslücken im Sinne dieses Gesetzes sind Eigenschaften von Programmen oder sonstigen informationstechnischen Systemen, durch deren Ausnutzung es möglich ist, dass sich Dritte gegen den Willen des Berechtigten Zugang zu fremden informationstechnischen Systemen verschaffen oder die Funktion der informationstechnischen Systeme beeinflussen können.

(7) Zertifizierung im Sinne dieses Gesetzes ist die Feststellung durch eine Zertifizierungsstelle, dass ein Produkt, ein Prozess, ein System, ein Schutzprofil (Sicherheitszertifizierung), eine Person (Personenzertifizierung) oder ein IT-Sicherheitsdienstleister bestimmte Anforderungen erfüllt.

(8) Protokolldaten im Sinne dieses Gesetzes sind Steuerdaten eines informationstechnischen Protokolls zur Datenübertragung, die unabhängig vom Inhalt eines Kommunikationsvorgangs übertragen oder auf den am Kommunikationsvorgang beteiligten Servern gespeichert werden und zur Gewährleistung der Kommunikation zwischen Empfänger und Sender notwendig sind. Protokolldaten können Verkehrsdaten gemäß § 3 Nummer 30 des Telekommunikationsgesetzes und Nutzungsdaten nach § 15 Absatz 1 des Telemediengesetzes enthalten.

(9) Datenverkehr im Sinne dieses Gesetzes sind die mittels technischer Protokolle übertragenen Daten. Der Datenverkehr kann Telekommunikationsinhalte nach § 88 Absatz 1 des Telekommunikationsgesetzes und Nutzungsdaten nach § 15 Absatz 1 des Telemediengesetzes enthalten.

(10) Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die

1.
den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
2.
von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.
Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach § 10 Absatz 1 näher bestimmt.

(11) Digitale Dienste im Sinne dieses Gesetzes sind Dienste im Sinne von Artikel 1 Absatz 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 241 vom 17.9.2015, S. 1), und die

1.
es Verbrauchern oder Unternehmern im Sinne des Artikels 4 Absatz 1 Buchstabe a beziehungsweise Buchstabe b der Richtlinie 2013/11/EU des Europäischen Parlaments und des Rates vom 21. Mai 2013 über die alternative Beilegung verbraucherrechtlicher Streitigkeiten und zur Änderung der Verordnung (EG) Nr. 2006/2004 und der Richtlinie 2009/22/EG (Richtlinie über alternative Streitbeilegung in Verbraucherangelegenheiten) (ABl. L 165 vom 18.6.2013, S. 63) ermöglichen, Kaufverträge oder Dienstleistungsverträge mit Unternehmern entweder auf der Webseite dieser Dienste oder auf der Webseite eines Unternehmers, die von diesen Diensten bereitgestellte Rechendienste verwendet, abzuschließen (Online-Marktplätze);
2.
es Nutzern ermöglichen, Suchen grundsätzlich auf allen Webseiten oder auf Webseiten in einer bestimmten Sprache anhand einer Abfrage zu einem beliebigen Thema in Form eines Stichworts, einer Wortgruppe oder einer anderen Eingabe vorzunehmen, die daraufhin Links anzeigen, über die der Abfrage entsprechende Inhalte abgerufen werden können (Online-Suchmaschinen);
3.
den Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglichen (Cloud-Computing-Dienste),
und nicht zum Schutz grundlegender staatlicher Funktionen eingerichtet worden sind oder für diese genutzt werden.

(12) „Anbieter digitaler Dienste“ im Sinne dieses Gesetzes ist eine juristische Person, die einen digitalen Dienst anbietet.

wegen ihrer Bedeutung als kritisch anzusehenden Dienstleistungen und deren als bedeutend anzusehenden Versorgungsgrad;
3.
eine zahlenmäßige Aufstellung der Betreiber der in Nummer 2 genannten Sektoren, die in den in Anhang II der Richtlinie (EU) 2016/1148 genannten Sektoren ermittelt werden, einschließlich eines Hinweises auf ihre Bedeutung für den jeweiligen Sektor.
Die Übermittlung darf keine Informationen enthalten, die zu einer Identifizierung einzelner Betreiber führen können. Das Bundesamt übermittelt die nach Satz 1 übermittelten Informationen unverzüglich dem Bundesministerium des Innern, dem Bundeskanzleramt, dem Bundesministerium für Wirtschaft und Energie, dem Bundesministerium der Justiz und für Verbraucherschutz, dem Bundesministerium der Finanzen, dem Bundesministerium für Arbeit und Soziales, dem Bundesministerium für Ernährung und Landwirtschaft, dem Bundesministerium für Gesundheit, dem Bundesministerium für Verkehr und digitale Infrastruktur, dem Bundesministerium der Verteidigung und dem Bundesministerium für Umwelt, Naturschutz, Bau und Reaktorsicherheit.

(4) Sobald bekannt wird, dass eine Einrichtung oder Anlage nach § 2 Absatz 10 oder

(1) Die Informationstechnik im Sinne dieses Gesetzes umfasst alle technischen Mittel zur Verarbeitung oder Übertragung von Informationen.

(2) Sicherheit in der Informationstechnik im Sinne dieses Gesetzes bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen

1.
in informationstechnischen Systemen, Komponenten oder Prozessen oder
2.
bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen.

(3) Kommunikationstechnik des Bundes im Sinne dieses Gesetzes ist die Informationstechnik, die von einer oder mehreren Bundesbehörden oder im Auftrag einer oder mehrerer Bundesbehörden betrieben wird und der Kommunikation oder dem Datenaustausch der Bundesbehörden untereinander oder mit Dritten dient. Kommunikationstechnik der Bundesgerichte, soweit sie nicht öffentlich-rechtliche Verwaltungsaufgaben wahrnehmen, des Bundestages, des Bundesrates, des Bundespräsidenten und des Bundesrechnungshofes ist nicht Kommunikationstechnik des Bundes, soweit sie ausschließlich in deren eigener Zuständigkeit betrieben wird.

(4) Schnittstellen der Kommunikationstechnik des Bundes im Sinne dieses Gesetzes sind sicherheitsrelevante Netzwerkübergänge innerhalb der Kommunikationstechnik des Bundes sowie zwischen dieser und der Informationstechnik der einzelnen Bundesbehörden, Gruppen von Bundesbehörden oder Dritter. Dies gilt nicht für die Komponenten an den Netzwerkübergängen, die in eigener Zuständigkeit der in Absatz 3 Satz 2 genannten Gerichte und Verfassungsorgane betrieben werden.

(5) Schadprogramme im Sinne dieses Gesetzes sind Programme und sonstige informationstechnische Routinen und Verfahren, die dem Zweck dienen, unbefugt Daten zu nutzen oder zu löschen oder die dem Zweck dienen, unbefugt auf sonstige informationstechnische Abläufe einzuwirken.

(6) Sicherheitslücken im Sinne dieses Gesetzes sind Eigenschaften von Programmen oder sonstigen informationstechnischen Systemen, durch deren Ausnutzung es möglich ist, dass sich Dritte gegen den Willen des Berechtigten Zugang zu fremden informationstechnischen Systemen verschaffen oder die Funktion der informationstechnischen Systeme beeinflussen können.

(7) Zertifizierung im Sinne dieses Gesetzes ist die Feststellung durch eine Zertifizierungsstelle, dass ein Produkt, ein Prozess, ein System, ein Schutzprofil (Sicherheitszertifizierung), eine Person (Personenzertifizierung) oder ein IT-Sicherheitsdienstleister bestimmte Anforderungen erfüllt.

(8) Protokolldaten im Sinne dieses Gesetzes sind Steuerdaten eines informationstechnischen Protokolls zur Datenübertragung, die unabhängig vom Inhalt eines Kommunikationsvorgangs übertragen oder auf den am Kommunikationsvorgang beteiligten Servern gespeichert werden und zur Gewährleistung der Kommunikation zwischen Empfänger und Sender notwendig sind. Protokolldaten können Verkehrsdaten gemäß § 3 Nummer 30 des Telekommunikationsgesetzes und Nutzungsdaten nach § 15 Absatz 1 des Telemediengesetzes enthalten.

(9) Datenverkehr im Sinne dieses Gesetzes sind die mittels technischer Protokolle übertragenen Daten. Der Datenverkehr kann Telekommunikationsinhalte nach § 88 Absatz 1 des Telekommunikationsgesetzes und Nutzungsdaten nach § 15 Absatz 1 des Telemediengesetzes enthalten.

(10) Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die

1.
den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
2.
von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.
Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach § 10 Absatz 1 näher bestimmt.

(11) Digitale Dienste im Sinne dieses Gesetzes sind Dienste im Sinne von Artikel 1 Absatz 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 241 vom 17.9.2015, S. 1), und die

1.
es Verbrauchern oder Unternehmern im Sinne des Artikels 4 Absatz 1 Buchstabe a beziehungsweise Buchstabe b der Richtlinie 2013/11/EU des Europäischen Parlaments und des Rates vom 21. Mai 2013 über die alternative Beilegung verbraucherrechtlicher Streitigkeiten und zur Änderung der Verordnung (EG) Nr. 2006/2004 und der Richtlinie 2009/22/EG (Richtlinie über alternative Streitbeilegung in Verbraucherangelegenheiten) (ABl. L 165 vom 18.6.2013, S. 63) ermöglichen, Kaufverträge oder Dienstleistungsverträge mit Unternehmern entweder auf der Webseite dieser Dienste oder auf der Webseite eines Unternehmers, die von diesen Diensten bereitgestellte Rechendienste verwendet, abzuschließen (Online-Marktplätze);
2.
es Nutzern ermöglichen, Suchen grundsätzlich auf allen Webseiten oder auf Webseiten in einer bestimmten Sprache anhand einer Abfrage zu einem beliebigen Thema in Form eines Stichworts, einer Wortgruppe oder einer anderen Eingabe vorzunehmen, die daraufhin Links anzeigen, über die der Abfrage entsprechende Inhalte abgerufen werden können (Online-Suchmaschinen);
3.
den Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglichen (Cloud-Computing-Dienste),
und nicht zum Schutz grundlegender staatlicher Funktionen eingerichtet worden sind oder für diese genutzt werden.

(12) „Anbieter digitaler Dienste“ im Sinne dieses Gesetzes ist eine juristische Person, die einen digitalen Dienst anbietet.

Teile einer Einrichtung oder Anlage eine wegen ihrer Bedeutung als kritisch anzusehenden Dienstleistung in einem der in Anhang II der Richtlinie (EU) 2016/1148 genannten Sektoren in einem anderen Mitgliedstaat der Europäischen Union bereitstellt, nimmt das Bundesamt zum Zweck der gemeinsamen Ermittlung der Betreiber, die kritische Dienstleistungen in den in Anhang II der Richtlinie (EU) 2016/1148 genannten Teilsektoren erbringen, mit der zuständigen Behörde dieses Mitgliedstaats Konsultationen auf.

(5) Das Bundesamt übermittelt bis zum 9. August 2018 und danach jährlich an die Kooperationsgruppe nach Artikel 11 der Richtlinie (EU) 2016/1148 einen zusammenfassenden Bericht zu den Meldungen, die die in Anhang II der Richtlinie (EU) 2016/1148 genannten Sektoren oder digitale Dienste betreffen. Der Bericht enthält auch die Zahl der Meldungen und die Art der gemeldeten Sicherheitsvorfälle sowie die ergriffenen Maßnahmen. Der Bericht darf keine Informationen enthalten, die zu einer Identifizierung einzelner Meldungen oder einzelner Betreiber oder Anbieter führen können.

§ 14 Bußgeldvorschriften

(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

1.
entgegen § 8a Absatz 1 Satz 1

(1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.

(2) Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Das Bundesamt stellt auf Antrag fest, ob diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. Die Feststellung erfolgt

1.
im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe,
2.
im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde.

(3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann die Vorlage der Dokumentation, die der Überprüfung zugrunde gelegt wurde, verlangen. Es kann bei Sicherheitsmängeln im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen.

(4) Das Bundesamt kann beim Betreiber Kritischer Infrastrukturen die Einhaltung der Anforderungen nach Absatz 1 überprüfen; es kann sich bei der Durchführung der Überprüfung eines qualifizierten unabhängigen Dritten bedienen. Der Betreiber Kritischer Infrastrukturen hat dem Bundesamt und den in dessen Auftrag handelnden Personen zum Zweck der Überprüfung das Betreten der Geschäfts- und Betriebsräume während der üblichen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren. Für die Überprüfung erhebt das Bundesamt Gebühren und Auslagen bei dem jeweiligen Betreiber Kritischer Infrastrukturen nur, sofern das Bundesamt auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Einhaltung der Anforderungen nach Absatz 1 begründeten.

(5) Das Bundesamt kann zur Ausgestaltung des Verfahrens der Sicherheitsaudits, Prüfungen und Zertifizierungen nach Absatz 3 Anforderungen an die Art und Weise der Durchführung, an die hierüber auszustellenden Nachweise sowie fachliche und organisatorische Anforderungen an die prüfende Stelle nach Anhörung von Vertretern der betroffenen Betreiber und der betroffenen Wirtschaftsverbände festlegen.

in Verbindung mit einer Rechtsverordnung nach § 10 Absatz 1 Satz 1

(1) Das Bundesministerium des Innern bestimmt durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, nach Anhörung von Vertretern der Wissenschaft, der betroffenen Betreiber und der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie, dem Bundesministerium der Justiz und für Verbraucherschutz, dem Bundesministerium der Finanzen, dem Bundesministerium für Arbeit und Soziales, dem Bundesministerium für Ernährung und Landwirtschaft, dem Bundesministerium für Gesundheit, dem Bundesministerium für Verkehr und digitale Infrastruktur, dem Bundesministerium der Verteidigung und dem Bundesministerium für Umwelt, Naturschutz, Bau und Reaktorsicherheit unter Festlegung der in den jeweiligen Sektoren im Hinblick auf § 2 Absatz 10 Satz 1 Nummer 2 wegen ihrer Bedeutung als kritisch anzusehenden Dienstleistungen und deren als bedeutend anzusehenden Versorgungsgrads, welche Einrichtungen, Anlagen oder Teile davon als Kritische Infrastrukturen im Sinne dieses Gesetzes gelten. Der nach Satz 1 als bedeutend anzusehende Versorgungsgrad ist anhand von branchenspezifischen Schwellenwerten für jede wegen ihrer Bedeutung als kritisch anzusehende Dienstleistung im jeweiligen Sektor zu bestimmen. Zugang zu Akten, die die Erstellung oder Änderung dieser Verordnung betreffen, wird nicht gewährt.

(2) Das Bundesministerium des Innern bestimmt nach Anhörung der betroffenen Wirtschaftsverbände und im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, das Nähere über das Verfahren der Erteilung von Sicherheitszertifikaten und Anerkennungen nach § 9 und deren Inhalt.

(3) Für individuell zurechenbare öffentliche Leistungen nach diesem Gesetz und nach den zur Durchführung dieses Gesetzes erlassenen Rechtsverordnungen werden Gebühren und Auslagen erhoben. Die Höhe der Gebühren richtet sich nach dem mit den Leistungen verbundenen Verwaltungsaufwand. Das Bundesministerium des Innern bestimmt im Einvernehmen mit dem Bundesministerium der Finanzen durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, die gebührenpflichtigen Tatbestände, die Gebührensätze und die Auslagen.

(4) Soweit die Durchführungsrechtsakte der Kommission nach Artikel 16 Absatz 8 und 9 der Richtlinie (EU) 2016/1148 keine abschließenden Bestimmungen über die von Anbietern digitaler Dienste nach § 8c Absatz 2 zu treffenden Maßnahmen oder über die Parameter zur Beurteilung der Erheblichkeit der Auswirkungen von Sicherheitsvorfällen nach § 8c Absatz 3 Satz 2 oder über Form und Verfahren der Meldungen nach § 8c Absatz 3 Satz 4 enthalten, werden diese Bestimmungen vom Bundesministerium des Innern im Einvernehmen mit den jeweils betroffenen Ressorts durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, getroffen.

eine dort genannte Vorkehrung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig trifft,
2.
einer vollziehbaren Anordnung nach § 8a Absatz 3 Satz 5

(1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.

(2) Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Das Bundesamt stellt auf Antrag fest, ob diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. Die Feststellung erfolgt

1.
im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe,
2.
im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde.

(3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann die Vorlage der Dokumentation, die der Überprüfung zugrunde gelegt wurde, verlangen. Es kann bei Sicherheitsmängeln im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen.

(4) Das Bundesamt kann beim Betreiber Kritischer Infrastrukturen die Einhaltung der Anforderungen nach Absatz 1 überprüfen; es kann sich bei der Durchführung der Überprüfung eines qualifizierten unabhängigen Dritten bedienen. Der Betreiber Kritischer Infrastrukturen hat dem Bundesamt und den in dessen Auftrag handelnden Personen zum Zweck der Überprüfung das Betreten der Geschäfts- und Betriebsräume während der üblichen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren. Für die Überprüfung erhebt das Bundesamt Gebühren und Auslagen bei dem jeweiligen Betreiber Kritischer Infrastrukturen nur, sofern das Bundesamt auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Einhaltung der Anforderungen nach Absatz 1 begründeten.

(5) Das Bundesamt kann zur Ausgestaltung des Verfahrens der Sicherheitsaudits, Prüfungen und Zertifizierungen nach Absatz 3 Anforderungen an die Art und Weise der Durchführung, an die hierüber auszustellenden Nachweise sowie fachliche und organisatorische Anforderungen an die prüfende Stelle nach Anhörung von Vertretern der betroffenen Betreiber und der betroffenen Wirtschaftsverbände festlegen.

zuwiderhandelt,
3.
entgegen § 8b Absatz 3 Satz 1

(1) Das Bundesamt ist die zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit in der Informationstechnik.

(2) Das Bundesamt hat zur Wahrnehmung dieser Aufgabe

1.
die für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik wesentlichen Informationen zu sammeln und auszuwerten, insbesondere Informationen zu Sicherheitslücken, zu Schadprogrammen, zu erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und zu der dabei beobachteten Vorgehensweise,
2.
deren potentielle Auswirkungen auf die Verfügbarkeit der Kritischen Infrastrukturen in Zusammenarbeit mit den zuständigen Aufsichtsbehörden und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe zu analysieren,
3.
das Lagebild bezüglich der Sicherheit in der Informationstechnik der Kritischen Infrastrukturen kontinuierlich zu aktualisieren und
4.
unverzüglich
a)
die Betreiber Kritischer Infrastrukturen über sie betreffende Informationen nach den Nummern 1 bis 3,
b)
die zuständigen Aufsichtsbehörden und die sonst zuständigen Behörden des Bundes über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3,
c)
die zuständigen Aufsichtsbehörden der Länder oder die zu diesem Zweck dem Bundesamt von den Ländern als zentrale Kontaktstellen benannten Behörden über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3 sowie
d)
die zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union über nach Absatz 4 oder nach vergleichbaren Regelungen gemeldete erhebliche Störungen, die Auswirkungen in diesem Mitgliedstaat haben,
zu unterrichten.

(3) Die Betreiber Kritischer Infrastrukturen haben dem Bundesamt binnen sechs Monaten nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 eine Kontaktstelle für die von ihnen betriebenen Kritischen Infrastrukturen zu benennen. Die Betreiber haben sicherzustellen, dass sie hierüber jederzeit erreichbar sind. Die Übermittlung von Informationen durch das Bundesamt nach Absatz 2 Nummer 4 erfolgt an diese Kontaktstelle.

(4) Betreiber Kritischer Infrastrukturen haben die folgenden Störungen unverzüglich über die Kontaktstelle an das Bundesamt zu melden:

1.
Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt haben,
2.
erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können.
Die Meldung muss Angaben zu der Störung, zu möglichen grenzübergreifenden Auswirkungen sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur erbrachten kritischen Dienstleistung und zu den Auswirkungen der Störung auf diese Dienstleistung enthalten. Die Nennung des Betreibers ist nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat.

(5) Zusätzlich zu ihrer Kontaktstelle nach Absatz 3 können Betreiber Kritischer Infrastrukturen, die dem gleichen Sektor angehören, eine gemeinsame übergeordnete Ansprechstelle benennen. Wurde eine solche benannt, erfolgt der Informationsaustausch zwischen den Kontaktstellen und dem Bundesamt in der Regel über die gemeinsame Ansprechstelle.

(6) Soweit erforderlich kann das Bundesamt vom Hersteller der betroffenen informationstechnischen Produkte und Systeme die Mitwirkung an der Beseitigung oder Vermeidung einer Störung nach Absatz 4 verlangen. Satz 1 gilt für Störungen bei Betreibern und Genehmigungsinhabern im Sinne von § 8c Absatz 3 entsprechend.

(7) Soweit im Rahmen dieser Vorschrift personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ist eine über die vorstehenden Absätze hinausgehende Verarbeitung und Nutzung zu anderen Zwecken unzulässig. § 5 Absatz 7 Satz 3 bis 8 ist entsprechend anzuwenden. Im Übrigen sind die Regelungen des Bundesdatenschutzgesetzes anzuwenden.

in Verbindung mit einer Rechtsverordnung nach § 10 Absatz 1 Satz 1

(1) Das Bundesministerium des Innern bestimmt durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, nach Anhörung von Vertretern der Wissenschaft, der betroffenen Betreiber und der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie, dem Bundesministerium der Justiz und für Verbraucherschutz, dem Bundesministerium der Finanzen, dem Bundesministerium für Arbeit und Soziales, dem Bundesministerium für Ernährung und Landwirtschaft, dem Bundesministerium für Gesundheit, dem Bundesministerium für Verkehr und digitale Infrastruktur, dem Bundesministerium der Verteidigung und dem Bundesministerium für Umwelt, Naturschutz, Bau und Reaktorsicherheit unter Festlegung der in den jeweiligen Sektoren im Hinblick auf § 2 Absatz 10 Satz 1 Nummer 2 wegen ihrer Bedeutung als kritisch anzusehenden Dienstleistungen und deren als bedeutend anzusehenden Versorgungsgrads, welche Einrichtungen, Anlagen oder Teile davon als Kritische Infrastrukturen im Sinne dieses Gesetzes gelten. Der nach Satz 1 als bedeutend anzusehende Versorgungsgrad ist anhand von branchenspezifischen Schwellenwerten für jede wegen ihrer Bedeutung als kritisch anzusehende Dienstleistung im jeweiligen Sektor zu bestimmen. Zugang zu Akten, die die Erstellung oder Änderung dieser Verordnung betreffen, wird nicht gewährt.

(2) Das Bundesministerium des Innern bestimmt nach Anhörung der betroffenen Wirtschaftsverbände und im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, das Nähere über das Verfahren der Erteilung von Sicherheitszertifikaten und Anerkennungen nach § 9 und deren Inhalt.

(3) Für individuell zurechenbare öffentliche Leistungen nach diesem Gesetz und nach den zur Durchführung dieses Gesetzes erlassenen Rechtsverordnungen werden Gebühren und Auslagen erhoben. Die Höhe der Gebühren richtet sich nach dem mit den Leistungen verbundenen Verwaltungsaufwand. Das Bundesministerium des Innern bestimmt im Einvernehmen mit dem Bundesministerium der Finanzen durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, die gebührenpflichtigen Tatbestände, die Gebührensätze und die Auslagen.

(4) Soweit die Durchführungsrechtsakte der Kommission nach Artikel 16 Absatz 8 und 9 der Richtlinie (EU) 2016/1148 keine abschließenden Bestimmungen über die von Anbietern digitaler Dienste nach § 8c Absatz 2 zu treffenden Maßnahmen oder über die Parameter zur Beurteilung der Erheblichkeit der Auswirkungen von Sicherheitsvorfällen nach § 8c Absatz 3 Satz 2 oder über Form und Verfahren der Meldungen nach § 8c Absatz 3 Satz 4 enthalten, werden diese Bestimmungen vom Bundesministerium des Innern im Einvernehmen mit den jeweils betroffenen Ressorts durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, getroffen.

eine Kontaktstelle nicht oder nicht rechtzeitig benennt,
4.
entgegen § 8b Absatz 4 Satz 1 Nummer 2

(1) Das Bundesamt ist die zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit in der Informationstechnik.

(2) Das Bundesamt hat zur Wahrnehmung dieser Aufgabe

1.
die für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik wesentlichen Informationen zu sammeln und auszuwerten, insbesondere Informationen zu Sicherheitslücken, zu Schadprogrammen, zu erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und zu der dabei beobachteten Vorgehensweise,
2.
deren potentielle Auswirkungen auf die Verfügbarkeit der Kritischen Infrastrukturen in Zusammenarbeit mit den zuständigen Aufsichtsbehörden und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe zu analysieren,
3.
das Lagebild bezüglich der Sicherheit in der Informationstechnik der Kritischen Infrastrukturen kontinuierlich zu aktualisieren und
4.
unverzüglich
a)
die Betreiber Kritischer Infrastrukturen über sie betreffende Informationen nach den Nummern 1 bis 3,
b)
die zuständigen Aufsichtsbehörden und die sonst zuständigen Behörden des Bundes über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3,
c)
die zuständigen Aufsichtsbehörden der Länder oder die zu diesem Zweck dem Bundesamt von den Ländern als zentrale Kontaktstellen benannten Behörden über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3 sowie
d)
die zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union über nach Absatz 4 oder nach vergleichbaren Regelungen gemeldete erhebliche Störungen, die Auswirkungen in diesem Mitgliedstaat haben,
zu unterrichten.

(3) Die Betreiber Kritischer Infrastrukturen haben dem Bundesamt binnen sechs Monaten nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 eine Kontaktstelle für die von ihnen betriebenen Kritischen Infrastrukturen zu benennen. Die Betreiber haben sicherzustellen, dass sie hierüber jederzeit erreichbar sind. Die Übermittlung von Informationen durch das Bundesamt nach Absatz 2 Nummer 4 erfolgt an diese Kontaktstelle.

(4) Betreiber Kritischer Infrastrukturen haben die folgenden Störungen unverzüglich über die Kontaktstelle an das Bundesamt zu melden:

1.
Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt haben,
2.
erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können.
Die Meldung muss Angaben zu der Störung, zu möglichen grenzübergreifenden Auswirkungen sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur erbrachten kritischen Dienstleistung und zu den Auswirkungen der Störung auf diese Dienstleistung enthalten. Die Nennung des Betreibers ist nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat.

(5) Zusätzlich zu ihrer Kontaktstelle nach Absatz 3 können Betreiber Kritischer Infrastrukturen, die dem gleichen Sektor angehören, eine gemeinsame übergeordnete Ansprechstelle benennen. Wurde eine solche benannt, erfolgt der Informationsaustausch zwischen den Kontaktstellen und dem Bundesamt in der Regel über die gemeinsame Ansprechstelle.

(6) Soweit erforderlich kann das Bundesamt vom Hersteller der betroffenen informationstechnischen Produkte und Systeme die Mitwirkung an der Beseitigung oder Vermeidung einer Störung nach Absatz 4 verlangen. Satz 1 gilt für Störungen bei Betreibern und Genehmigungsinhabern im Sinne von § 8c Absatz 3 entsprechend.

(7) Soweit im Rahmen dieser Vorschrift personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ist eine über die vorstehenden Absätze hinausgehende Verarbeitung und Nutzung zu anderen Zwecken unzulässig. § 5 Absatz 7 Satz 3 bis 8 ist entsprechend anzuwenden. Im Übrigen sind die Regelungen des Bundesdatenschutzgesetzes anzuwenden.

eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht,
5.
entgegen § 8c Absatz 1 Satz 1

(1) Anbieter digitaler Dienste haben geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen, zu bewältigen. Sie haben Maßnahmen zu treffen, um den Auswirkungen von Sicherheitsvorfällen auf innerhalb der Europäischen Union erbrachte digitale Dienste vorzubeugen oder die Auswirkungen so gering wie möglich zu halten.

(2) Maßnahmen zur Bewältigung von Risiken für die Sicherheit der Netz- und Informationssysteme nach Absatz 1 Satz 1 müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Dabei ist folgenden Aspekten Rechnung zu tragen:

1.
der Sicherheit der Systeme und Anlagen,
2.
der Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen,
3.
dem Betriebskontinuitätsmanagement,
4.
der Überwachung, Überprüfung und Erprobung,
5.
der Einhaltung internationaler Normen.
Die notwendigen Maßnahmen werden durch Durchführungsrechtsakte der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 näher bestimmt.

(3) Anbieter digitaler Dienste haben jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines von ihnen innerhalb der Europäischen Union erbrachten digitalen Dienstes hat, unverzüglich dem Bundesamt zu melden. Die Voraussetzungen, nach denen Auswirkungen eines Sicherheitsvorfalls erheblich sind, werden durch Durchführungsakte der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 unter Berücksichtigung insbesondere der folgenden Parameter näher bestimmt:

1.
die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer, insbesondere der Nutzer, die den Dienst für die Bereitstellung ihrer eigenen Dienste benötigen,
2.
die Dauer des Sicherheitsvorfalls,
3.
das von dem Sicherheitsvorfall betroffene geographische Gebiet,
4.
das Ausmaß der Unterbrechung der Bereitstellung des Dienstes,
5.
das Ausmaß der Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten.
Die Pflicht zur Meldung eines Sicherheitsvorfalls entfällt, wenn der Anbieter keinen ausreichenden Zugang zu den Informationen hat, die erforderlich sind, um die Auswirkung eines Sicherheitsvorfalls gemessen an den Parametern nach Satz 2 zu bewerten. Für den Inhalt der Meldungen gilt § 8b Absatz 3 entsprechend, soweit nicht Durchführungsakte der Kommission nach Artikel 16 Absatz 9 der Richtlinie (EU) 2016/1148 etwas anderes bestimmen. Über nach Satz 1 gemeldete Sicherheitsvorfälle, die Auswirkungen in einem anderen Mitgliedstaat der Europäischen Union haben, hat das Bundesamt die zuständige Behörde dieses Mitgliedstaats zu unterrichten.

(4) Liegen Anhaltspunkte dafür vor, dass ein Anbieter digitaler Dienste die Anforderungen des Absatzes 1 in Verbindung mit den Durchführungsrechtsakten der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 und des Absatzes 2 in Verbindung mit den Durchführungsrechtsakten der Kommission nach Artikel 16 Absatz 9 der Richtlinie (EU) 2016/1148 nicht erfüllt, kann das Bundesamt von dem Anbieter digitaler Dienste folgende Maßnahmen verlangen:

1.
die Übermittlung der zur Beurteilung der Sicherheit seiner Netz- und Informationssysteme erforderlichen Informationen, einschließlich Nachweisen über ergriffene Sicherheitsmaßnahmen,
2.
die Beseitigung von Mängeln bei der Erfüllung der in den Absätzen 1 und 2 bestimmten Anforderungen.
Die Anhaltspunkte können sich auch aus Feststellungen ergeben, die dem Bundesamt von den zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union vorgelegt werden.

(5) Hat ein Anbieter digitaler Dienste seine Hauptniederlassung, einen Vertreter oder Netz- und Informationssysteme in einem anderen Mitgliedstaat der Europäischen Union, so arbeitet das Bundesamt bei der Erfüllung der Aufgaben nach Absatz 4 mit der zuständigen Behörde dieses Mitgliedstaats zusammen. Diese Zusammenarbeit kann das Ersuchen umfassen, die Maßnahmen in Absatz 4 Satz 1 Nummer 1 und 2 zu ergreifen.

eine dort genannte Maßnahme nicht trifft,
6.
entgegen § 8c Absatz 3 Satz 1

(1) Anbieter digitaler Dienste haben geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen, zu bewältigen. Sie haben Maßnahmen zu treffen, um den Auswirkungen von Sicherheitsvorfällen auf innerhalb der Europäischen Union erbrachte digitale Dienste vorzubeugen oder die Auswirkungen so gering wie möglich zu halten.

(2) Maßnahmen zur Bewältigung von Risiken für die Sicherheit der Netz- und Informationssysteme nach Absatz 1 Satz 1 müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Dabei ist folgenden Aspekten Rechnung zu tragen:

1.
der Sicherheit der Systeme und Anlagen,
2.
der Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen,
3.
dem Betriebskontinuitätsmanagement,
4.
der Überwachung, Überprüfung und Erprobung,
5.