Gesetz
zur Errichtung des Landesamts
für Sicherheit in der Informationstechnik
zur Errichtung des Landesamts
für Sicherheit in der Informationstechnik
vom 27. November 2017
Der Landtag des Freistaates Bayern hat das folgende Gesetz beschlossen, das hiermit bekannt gemacht wird:
§ 1
Änderung des
Bayerischen E-Government-Gesetzes
Bayerischen E-Government-Gesetzes
Das Bayerische E-Government-Gesetz (BayEGovG) vom 22. Dezember 2015 (GVBl. S. 458, BayRS 206-1-F) wird wie folgt geändert:
- 1.
- Dem Art. 1 wird folgende Überschrift vorangestellt:
„Teil 1
Elektronische Verwaltung“.
- 2.
- In Art. 1 Abs. 1 und 2 Satz 1 und 2 werden jeweils die Wörter „Dieses Gesetz“ durch die Wörter „Dieser Teil“ ersetzt.
- 3.
- In Art. 3 Abs. 2 wird die Angabe „Art. 9 Abs. 2“ durch die Angabe „Art. 8 Abs. 2“ ersetzt.
- 4.
- Art. 5 Abs. 2 Satz 1 wird wie folgt gefasst:
„1Auftraggeber im Sinn von § 98 des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) stellen den Empfang und die Verarbeitung elektronischer Rechnungen sicher, soweit für sie gemäß § 159 GWB eine Vergabekammer des Freistaates Bayern zuständig ist.“
- 5.
- Art. 8 wird aufgehoben.
- 6.
- Der bisherige Art. 9 wird Art. 8.
- 7.
- Der bisherige Art. 9a wird aufgehoben.
- 8.
- Nach Art. 8 wird folgender Teil 2 eingefügt:
„Teil 2
Sicherheit in der Informationstechnik
Kapitel 1
Allgemeine Vorschriften
Art. 9
Landesamt für
Sicherheit in der Informationstechnik
Sicherheit in der Informationstechnik
1Es besteht ein Landesamt für Sicherheit in der Informationstechnik (Landesamt). 2Es ist dem Staatsministerium der Finanzen, für Landesentwicklung und Heimat unmittelbar nachgeordnet.
Art. 10
Aufgaben
(1) Das Landesamt hat
- 1.
- Gefahren für die Sicherheit der Informationstechnik an den Schnittstellen zwischen Behördennetz und anderen Netzen abzuwehren,
- 2.
- die staatlichen und die sonstigen an das Behördennetz angeschlossenen Stellen bei der Abwehr von Gefahren für die Sicherheit in der Informationstechnik zu unterstützen,
- 3.
- sicherheitstechnische Mindeststandards an die Informationstechnik für die staatlichen und die sonstigen an das Behördennetz angeschlossenen Stellen zu entwickeln,
- 4.
- die Einhaltung der Mindeststandards nach Nr. 3 zu prüfen,
- 5.
- alle für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik erforderlichen Informationen zu sammeln und auszuwerten und die staatlichen und die sonstigen an das Behördennetz angeschlossenen Stellen unverzüglich über die sie betreffenden Informationen zu unterrichten,
- 6.
- die zuständigen Aufsichtsbehörden über Informationen, die es als Kontaktstelle im Rahmen des Verfahrens zu § 8b des BSI-Gesetzes erhalten hat, zu unterrichten.
(2) Auf Ersuchen kann das Landesamt staatliche und kommunale Stellen, öffentliche Unternehmen, Betreiber kritischer Infrastrukturen und weitere Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen in Fragen der Sicherheit in der Informationstechnik unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen beraten und unterstützen.
(3) Auf Ersuchen kann das Landesamt die Polizei, die Strafverfolgungsbehörden und das Landesamt für Verfassungsschutz bei der Wahrnehmung ihrer gesetzlichen Aufgaben technisch unterstützen, insbesondere bei der Durchführung von technischen Untersuchungen oder der Datenverarbeitung.
(4) Für die Kommunikationstechnik des Landtags, der Gerichte, des Obersten Rechnungshofs und des Landesbeauftragten für den Datenschutz ist das Landesamt nur zuständig, soweit sie an das Behördennetz angeschlossen sind oder Dienste im Sinn des Art. 8 Abs. 2 und 3 nutzen.
Art. 11
Behördenübergreifende Pflichten
(1) 1Die Sicherheit der informationstechnischen Systeme der Behörden, die in den Anwendungsbereich des Teils 1 fallen, ist im Rahmen der Verhältnismäßigkeit sicherzustellen. 2Die Behörden treffen zu diesem Zweck angemessene technische und organisatorische Maßnahmen im Sinn des Art. 7 des Bayerischen Datenschutzgesetzes (BayDSG) und erstellen die hierzu erforderlichen Informationssicherheitskonzepte.
(2) Werden staatlichen oder sonstigen an das Behördennetz angeschlossenen Stellen Informationen bekannt, die zur Abwehr von Gefahren für die Sicherheit in der Informationstechnik von Bedeutung sind, unterrichten diese das Landesamt und ihre jeweilige oberste Dienstbehörde unverzüglich hierüber, soweit andere Vorschriften oder Vereinbarungen mit Dritten nicht entgegenstehen.
(3) Die staatlichen und die sonstigen an das Behördennetz angeschlossenen Stellen unterstützen das Landesamt bei Maßnahmen nach Art. 10 Abs. 1 Nr. 1, 2, 4 und 5, soweit keine Vorschriften entgegenstehen.
Kapitel 2
Befugnisse
Art. 12
Abwehr von Gefahren für die Informationstechnik
(1) 1Das Landesamt kann zur Erfüllung seiner Aufgaben gegenüber staatlichen und an das Behördennetz angeschlossenen Stellen die nötigen Anordnungen treffen oder Maßnahmen ergreifen, um Gefahren für die Informationstechnik etwa durch Schadprogramme oder programmtechnische Sicherheitslücken, unbefugte Datennutzung oder unbefugte Datenverarbeitung durch Dritte zu erkennen und abzuwehren. 2Das umfasst insbesondere auch die dazu nötige Datennutzung und -verarbeitung. 3Die Sätze 1 und 2 gelten nicht für die vom Behördennetz getrennte Informationstechnik des Landesamts für Verfassungsschutz.
(2) Das Landesamt kann hierzu, soweit dies erforderlich ist,
- 1.
- Protokolldaten, die beim Betrieb von Informationstechnik des Landes oder der an das Behördennetz angeschlossene Stellen anfallen, erheben und automatisiert auswerten,
- 2.
- die an den Schnittstellen zwischen dem Behördennetz und anderen Netzen anfallenden Daten erheben und automatisiert auswerten.
Art. 13
Untersuchung der Sicherheit
in der Informationstechnik
in der Informationstechnik
(1) 1Das Landesamt kann zur Erfüllung seiner Aufgaben nach Art. 10 Abs. 1 Nr. 1 und 4 die Sicherheit der Informationstechnik staatlicher und an das Behördennetz angeschlossener Stellen untersuchen und bewerten. 2Über das Ergebnis erstellt das Landesamt einen Bericht, der der untersuchten Stelle zur Verfügung gestellt wird.
(2) Das Landesamt kann auf dem Markt bereitgestellte oder zur Bereitstellung auf dem Markt vorgesehene informationstechnische Produkte und Systeme untersuchen.
Art. 14
Mindeststandards
1Das Landesamt erarbeitet Mindeststandards für die Sicherheit der Informationstechnik. 2Das zuständige Staatsministerium kann im Einvernehmen mit den weiteren Staatsministerien und der Staatskanzlei diese Mindeststandards ganz oder teilweise als allgemeine Verwaltungsvorschriften erlassen. 3Für Landratsämter und die an das Behördennetz angeschlossenen nicht staatlichen Stellen gelten die Mindeststandards für die Teilnahme am Behördennetz.
Art. 15
Warnungen
(1) Das Landesamt kann Warnungen zu Gefahren für die Sicherheit in der Informationstechnik, insbesondere zu Sicherheitslücken, Schadprogrammen oder unbefugten Datenzugriffen aussprechen und Sicherheitsmaßnahmen empfehlen.
(2) 1Stellen sich die von der Behörde an die Öffentlichkeit gegebenen Informationen im Nachhinein als falsch oder die zu Grunde liegenden Umstände als unrichtig wiedergegeben heraus, so ist dies unverzüglich öffentlich bekannt zu machen, sofern der betroffene Wirtschaftsbeteiligte dies beantragt oder dies zur Wahrung erheblicher Belange des Gemeinwohls erforderlich ist. 2Diese Bekanntmachung soll in derselben Weise erfolgen, in der die Information der Öffentlichkeit ergangen ist.
Kapitel 3
Datenschutz
Art. 16
Datenspeicherung und -auswertung
(1) 1Sofern nicht die nachfolgenden Absätze eine weitere Verwendung gestatten, muss eine automatisierte Auswertung der Daten durch das Landesamt unverzüglich erfolgen und müssen die Daten nach erfolgtem Abgleich sofort und spurlos gelöscht werden. 2Daten, die weder dem Fernmeldegeheimnis unterliegen noch Personenbezug aufweisen, sind von den Verwendungsbeschränkungen dieser Vorschrift ausgenommen.
(2) 1Protokolldaten nach Art. 12 Abs. 2 dürfen über den für die automatisierte Auswertung erforderlichen Zeitraum hinaus, längstens jedoch für drei Monate, gespeichert werden, soweit tatsächliche Anhaltspunkte bestehen, dass die Daten erforderlich sein können
- 1.
- für den Fall der Bestätigung eines Verdachts nach Abs. 4 Satz 1 Nr. 2 zur Abwehr von Gefahren für die Informationstechnik oder
- 2.
- zur Verhütung, Unterbindung oder Verfolgung damit zusammenhängender Straftaten.
2Die Daten sind im Gebiet der Europäischen Union zu speichern. 3Durch organisatorische und technische Maßnahmen nach dem Stand der Technik ist sicherzustellen, dass eine Auswertung der nach diesem Absatz gespeicherten Daten nur automatisiert erfolgt. 4Die Daten sind zu pseudonymisieren, soweit dies automatisiert möglich ist. 5Eine nicht automatisierte Auswertung oder eine personenbezogene Verwendung ist nur nach Maßgabe der nachfolgenden Absätze zulässig. 6Soweit hierzu die Wiederherstellung des Personenbezugs pseudonymisierter Daten erforderlich ist, muss diese durch die Behördenleitung angeordnet werden. 7Die Entscheidung ist zu dokumentieren.
(3) 1Für die Datenverarbeitung von Inhaltsdaten gilt Abs. 2 mit der Maßgabe, dass eine Speicherung für höchstens zwei Monate zulässig ist, die Speicherung und Auswertung von der Behördenleitung und einem weiteren Bediensteten des Landesamts mit der Befähigung zum Richteramt angeordnet sind und dies zum Schutz der technischen Systeme unerlässlich ist. 2Die Anordnung gilt längstens für zwei Monate; sie kann verlängert werden.
(4) 1Eine über die Abs. 2 und 3 hinausgehende Verarbeitung und Nutzung der Protokoll- und Inhaltsdaten ist nur zulässig,
- 1.
- wenn bestimmte Tatsachen den Verdacht begründen, dass die Daten Gefahren für die Informationstechnik, etwa durch Schadprogramme oder programmtechnische Sicherheitslücken, unbefugte Datennutzung oder unbefugte Datenverarbeitung, enthalten oder Hinweise auf solche Gefahren geben können und soweit die Datenverarbeitung erforderlich ist, um den Verdacht zu bestätigen oder zu widerlegen,
- 2.
- wenn sich der Verdacht nach Nr. 1 bestätigt und soweit dies zur Abwehr von Gefahren für die Informationstechnik erforderlich ist oder
- 3.
- wenn bei einer Verarbeitung oder Nutzung der Daten ein nach Art. 17 Abs. 2 zu übermittelndes Datum festgestellt wird.
2Werden Daten, welche die richterliche Unabhängigkeit berühren, nach diesem Absatz verarbeitet, ist der jeweils zuständigen obersten Dienstbehörde unverzüglich zu berichten. 3Berührt die Datenverarbeitung die Aufgabenwahrnehmung anderer unabhängiger Stellen oder ein Berufs- oder besonderes Amtsgeheimnis, ist die betroffene Stelle unverzüglich zu unterrichten. 4Die jeweiligen Stellen nach den Sätzen 2 und 3 können vom Landesamt Auskunft über die Verarbeitung von Daten nach diesem Absatz verlangen.
(5) 1Soweit möglich, ist bei der Datenverarbeitung technisch sicherzustellen, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden. 2Werden Erkenntnisse aus dem Kernbereich privater Lebensgestaltung erlangt, dürfen diese nicht verwendet werden und sind unverzüglich zu löschen; die Tatsache ihrer Erlangung und Löschung ist zu dokumentieren. 3Dies gilt auch in Zweifelsfällen.
Art. 17
Datenübermittlung
(1) Das Landesamt übermittelt Daten nach Art. 16 Abs. 2 bis 4 an die für den Betrieb der Informations- und Kommunikationstechnik verantwortlichen Stellen, wenn und soweit dies zur Abwehr oder Beseitigung von Gefahren für die Vertraulichkeit, Verfügbarkeit und Integrität der Daten in der Informations- und Kommunikationsinfrastruktur des Landes erforderlich ist.
(2) 1Das Landesamt soll Daten nach Art. 16 Abs. 2 bis 4 unverzüglich übermitteln
- 1.
- an die Sicherheitsbehörden und Polizei zur Abwehr von Gefahren für Leib, Leben oder Freiheit einer Person sowie zur Verhütung und Unterbindung von in Nr. 2 genannten Straftaten und
- 2.
- an die Strafverfolgungsbehörden zur Verfolgung einer Straftat,
- a)
- soweit die Tatsachen, aus denen sich eine Gefahr für die Informationstechnik oder der diesbezügliche Verdacht ergibt, den Verdacht einer Straftat begründen oder
- b)
- soweit bestimmte Tatsachen den Verdacht begründen, dass jemand als Täter oder Teilnehmer eine Straftat von auch im Einzelfall erheblicher Bedeutung, insbesondere eine in § 100a Abs. 2 der Strafprozessordnung bezeichnete Straftat begangen hat, in Fällen, in denen der Versuch strafbar ist, zu begehen versucht oder durch eine Straftat vorbereitet hat.
2Näheres regeln Verwaltungsvorschriften, die das Staatsministerium der Finanzen, für Landesentwicklung und Heimat im Einvernehmen mit dem Staatsministerium des Innern, für Bau und Verkehr und dem Staatsministerium der Justiz festlegt.“
- 9.
- Nach Art. 17 wird folgende Überschrift eingefügt:
„Teil 3
Schlussbestimmungen“.
- 10.
- Nach der Überschrift des Teils 3 wird folgender Art. 18 eingefügt:
„Art. 18
Einschränkung von Grundrechten
Die Art. 12, 16 und 17 schränken das Fernmeldegeheimnis (Art. 10 des Grundgesetzes, Art. 112 der Verfassung) ein.“
- 11.
- Der bisherige Art. 10 wird Art. 19 und wird wie folgt geändert:
- a)
- In der Überschrift wird das Wort „Schlussvorschriften“ durch die Wörter „Experimentierklausel, Inkrafttreten“ ersetzt.
- b)
- In Abs. 2 Satz 2 Nr. 3 werden die Wörter „Art. 8 Abs. 1 Satz 2 am 1. Januar 2018“ durch die Wörter „Art. 11 Abs. 1 Satz 2 am 1. Januar 2019“ ersetzt.
- c)
- Abs. 3 wird aufgehoben.
§ 2
Änderung des Bayerischen Gesetzes
über das Erziehungs- und Unterrichtswesen
über das Erziehungs- und Unterrichtswesen
In Art. 122 Abs. 5 des Bayerischen Gesetzes über das Erziehungs- und Unterrichtswesen (BayEUG) in der Fassung der Bekanntmachung vom 31. Mai 2000 (GVBl. S. 414, 632, BayRS 2230-1-1-K), das zuletzt durch § 3 des Gesetzes vom 12. Juli 2017 (GVBl. S. 362) geändert worden ist, werden die Wörter „Art. 9 Abs. 2 und 3 sowie Art. 10 Abs. 1“ durch die Wörter „Art. 8 Abs. 2 und 3 sowie Art. 19 Abs. 1“ ersetzt.
§ 3
Änderung der Bayerischen
Barrierefreie Informationstechnik-Verordnung
Barrierefreie Informationstechnik-Verordnung
In § 3 Abs. 1 Satzteil vor Nr. 1 der Bayerischen Barrierefreie Informationstechnik-Verordnung (BayBITV) vom 8. November 2016 (GVBl. S. 314, BayRS 206-1-1-F) wird die Angabe „Art. 9 Abs. 3“ durch die Angabe „Art. 8 Abs. 3“ ersetzt.
§ 4
Änderung
der Bayerischen Haushaltsordnung
der Bayerischen Haushaltsordnung
Art. 55 Abs. 1 der Bayerischen Haushaltsordnung (BayHO) in der in der Bayerischen Rechtssammlung (BayRS 630-1-F) veröffentlichten bereinigten Fassung, die zuletzt durch § 1 Nr. 348 der Verordnung vom 22. Juli 2014 (GVBI. S. 286) geändert worden ist, wird wie folgt geändert:
- 1.
- Der bisherige Wortlaut wird Satz 1 und nach dem Wort „Ausschreibung“ werden die Wörter „oder eine beschränkte Ausschreibung mit Teilnahmewettbewerb“ eingefügt.
- 2.
- Es wird folgender Satz 2 angefügt:
„2 Teilnahmewettbewerb ist ein Verfahren, bei dem der öffentliche Auftraggeber nach vorheriger öffentlicher Aufforderung zur Teilnahme eine beschränkte Anzahl von geeigneten Unternehmen nach objektiven, transparenten und nichtdiskriminierenden Kriterien auswählt und zur Abgabe von Angeboten auffordert.“
§ 5
Inkrafttreten
1Dieses Gesetz tritt am 1. Dezember 2017 in Kraft. 2Abweichend von Satz 1 tritt § 4 am 1. Januar 2018 in Kraft.
München, den 27. November 2017
Der Bayerische Ministerpräsident
Horst S e e h o f e r