(1) Der Landtag hat das Recht und auf Antrag von einem Fünftel der gesetzlichen Zahl seiner Mitglieder die Pflicht, Untersuchungsausschüsse einzusetzen. Diese Ausschüsse erheben in öffentlicher Verhandlung die Beweise, die sie oder die Antragsteller für erforderlich erachten. Sie können mit Zweidrittelmehrheit die Öffentlichkeit ausschließen. Die Zahl der Mitglieder bestimmt der Landtag. Die Mitglieder wählt der Landtag im Wege der Verhältniswahl. Das Nähere über die Einsetzung, die Befugnisse und das Verfahren wird durch Gesetz geregelt.

(2) Die Gerichte und Verwaltungsbehörden sind zur Rechts- und Amtshilfe verpflichtet. Sie sind insbesondere verpflichtet, dem Ersuchen dieser Ausschüsse um Beweiserhebungen nachzukommen. Die Akten der Behörden und öffentlichen Körperschaften sind ihnen auf Verlangen vorzulegen.

(3) Das Brief-, Post- und Fernmeldegeheimnis bleiben unberührt.

(4) Die Beschlüsse der Untersuchungsausschüsse sind der richterlichen Erörterung entzogen. In der Feststellung und in der rechtlichen Beurteilung des der Untersuchung zu Grunde liegenden Sachverhalts sind die Gerichte frei.

(1) Die Krankenkassen mit Ausnahme der landwirtschaftlichen Krankenkasse erstatten den Arbeitgebern, die in der Regel ausschließlich der zu ihrer Berufsausbildung Beschäftigten nicht mehr als 30 Arbeitnehmer und Arbeitnehmerinnen beschäftigen, 80 Prozent

1. 1.

   des für den in § 3 Abs. 1 und 2 und den in § 9 Abs. 1 des Entgeltfortzahlungsgesetzes bezeichneten Zeitraum an Arbeitnehmer und Arbeitnehmerinnen fortgezahlten Arbeitsentgelts,

2. 2.

   der auf die Arbeitsentgelte nach der Nummer 1 entfallenden von den Arbeitgebern zu tragenden Beiträge zur Bundesagentur für Arbeit und der Arbeitgeberanteile an Beiträgen zur gesetzlichen Kranken- und Rentenversicherung, zur sozialen Pflegeversicherung und die Arbeitgeberzuschüsse nach § 172a des Sechsten Buches Sozialgesetzbuch sowie der Beitragszuschüsse nach § 257 des Fünften und nach § 61 des Elften Buches Sozialgesetzbuch .

(2) Die Krankenkassen mit Ausnahme der landwirtschaftlichen Krankenkasse erstatten den Arbeitgebern in vollem Umfang

1. 1.

   den vom Arbeitgeber nach § 20 Absatz 1 des Mutterschutzgesetzes gezahlten Zuschuss zum Mutterschaftsgeld,

2. 2.

   das vom Arbeitgeber nach § 18 des Mutterschutzgesetzes bei Beschäftigungsverboten gezahlte Arbeitsentgelt,

3. 3.

   die auf die Arbeitsentgelte nach der Nummer 2 entfallenden von den Arbeitgebern zu tragenden Beiträge zur Bundesagentur für Arbeit und die Arbeitgeberanteile an Beiträgen zur gesetzlichen Kranken- und Rentenversicherung, zur sozialen Pflegeversicherung und die Arbeitgeberzuschüsse nach § 172a des Sechsten Buches Sozialgesetzbuch sowie der Beitragszuschüsse nach § 257 des Fünften und nach § 61 des Elften Buches Sozialgesetzbuch .

(3) Am Ausgleich der Arbeitgeberaufwendungen nach den Absätzen 1 (U1-Verfahren) und 2 (U2-Verfahren) nehmen auch die Arbeitgeber teil, die nur Auszubildende beschäftigen.

(1) ¹Die zu gewährenden Beträge werden dem Arbeitgeber von der Krankenkasse ausgezahlt, bei der die Arbeitnehmer und Arbeitnehmerinnen, die Auszubildenden oder die nach § 18 oder § 20 Absatz 1 des Mutterschutzgesetzes anspruchsberechtigten Frauen versichert sind. ²Für geringfügig Beschäftigte nach dem Vierten Buch Sozialgesetzbuch ist zuständige Krankenkasse die Deutsche Rentenversicherung Knappschaft-Bahn-See als Träger der knappschaftlichen Krankenversicherung. ³Für Arbeitnehmer und Arbeitnehmerinnen, die nicht Mitglied einer Krankenkasse sind, gilt § 175 Abs. 3 Satz 2 des Fünften Buches Sozialgesetzbuch entsprechend.

(2) ¹Die Erstattung wird auf Antrag erbracht. ²Sie ist zu gewähren, sobald der Arbeitgeber Arbeitsentgelt nach § 3 Abs. 1  und  2 und § 9 Abs. 1 des Entgeltfortzahlungsgesetzes , Arbeitsentgelt nach § 18 des Mutterschutzgesetzes oder Zuschuss zum Mutterschaftsgeld nach § 20 Absatz 1 des Mutterschutzgesetzes gezahlt hat. ³Stellt die Krankenkasse eine inhaltliche Abweichung zwischen ihrer Berechnung der Erstattung und dem Antrag des Arbeitgebers fest, hat sie diese Abweichung und die Gründe hierfür dem Arbeitgeber durch Datenübertragung nach § 95 Absatz 1 Satz 1 des Vierten Buches Sozialgesetzbuch unverzüglich zu melden; dies gilt auch, wenn dem Antrag vollständig entsprochen wird. ⁴ § 28a Absatz 1 Satz 2 des Vierten Buches Sozialgesetzbuch gilt entsprechend.

(3) ¹Der Arbeitgeber hat einen Antrag nach Absatz 2 Satz 1 durch Datenübertragung nach § 95 Absatz 1 Satz 1 des Vierten Buches Sozialgesetzbuch und § 95b Absatz 1 Satz 1 des Vierten Buches Sozialgesetzbuch an die zuständige Krankenkasse zu übermitteln. ² § 28a Absatz 1 Satz 2 des Vierten Buches Sozialgesetzbuch gilt für die Meldung nach Satz 1 entsprechend.

(4) Den Übertragungsweg und die Einzelheiten des Verfahrens wie den Aufbau der Datensätze für die maschinellen Meldungen der Krankenkassen nach Absatz 2 und die maschinellen Anträge der Arbeitgeber nach Absatz 3 legt der Spitzenverband Bund der Krankenkassen in Grundsätzen fest, die vom Bundesministerium für Arbeit und Soziales im Einvernehmen mit dem Bundesministerium für Gesundheit zu genehmigen sind; die Bundesvereinigung der Deutschen Arbeitgeberverbände ist anzuhören.

(1) ¹Die zuständige Krankenkasse hat jeweils zum Beginn eines Kalenderjahrs festzustellen, welche Arbeitgeber für die Dauer dieses Kalenderjahrs an dem Ausgleich der Arbeitgeberaufwendungen nach § 1 Abs. 1 teilnehmen. ²Ein Arbeitgeber beschäftigt in der Regel nicht mehr als 30 Arbeitnehmer und Arbeitnehmerinnen, wenn er in dem letzten Kalenderjahr, das demjenigen, für das die Feststellung nach Satz 1 zu treffen ist, vorausgegangen ist, für einen Zeitraum von mindestens acht Kalendermonaten nicht mehr als 30 Arbeitnehmer und Arbeitnehmerinnen beschäftigt hat. ³Hat ein Betrieb nicht während des ganzen nach Satz 2 maßgebenden Kalenderjahrs bestanden, so nimmt der Arbeitgeber am Ausgleich der Arbeitgeberaufwendungen teil, wenn er während des Zeitraums des Bestehens des Betriebs in der überwiegenden Zahl der Kalendermonate nicht mehr als 30 Arbeitnehmer und Arbeitnehmerinnen beschäftigt hat. ⁴Wird ein Betrieb im Laufe des Kalenderjahrs errichtet, für das die Feststellung nach Satz 1 getroffen ist, so nimmt der Arbeitgeber am Ausgleich der Arbeitgeberaufwendungen teil, wenn nach der Art des Betriebs anzunehmen ist, dass die Zahl der beschäftigten Arbeitnehmer und Arbeitnehmerinnen während der überwiegenden Kalendermonate dieses Kalenderjahrs 30 nicht überschreiten wird. ⁵Bei der Errechnung der Gesamtzahl der beschäftigten Arbeitnehmer und Arbeitnehmerinnen bleiben schwerbehinderte Menschen im Sinne des Neunten Buches Sozialgesetzbuch außer Ansatz. ⁶Arbeitnehmer und Arbeitnehmerinnen, die wöchentlich regelmäßig nicht mehr als 10 Stunden zu leisten haben, werden mit 0,25, diejenigen, die nicht mehr als 20 Stunden zu leisten haben, mit 0,5 und diejenigen, die nicht mehr als 30 Stunden zu leisten haben, mit 0,75 angesetzt.

(2) Der Arbeitgeber hat der nach § 2 Abs. 1 zuständigen Krankenkasse die für die Durchführung des Ausgleichs erforderlichen Angaben zu machen.

(3) Der Spitzenverband Bund der Krankenkassen regelt das Nähere über die Durchführung des Feststellungsverfahrens nach Absatz 1.

(1) Die Erstattung kann im Einzelfall versagt werden, solange der Arbeitgeber die nach § 3 Abs. 2 erforderlichen Angaben nicht oder nicht vollständig macht.

(2) ¹Die Krankenkasse hat Erstattungsbeträge vom Arbeitgeber insbesondere zurückzufordern, soweit der Arbeitgeber

1. 1.

   schuldhaft falsche oder unvollständige Angaben gemacht hat oder

2. 2.

   Erstattungsbeträge gefordert hat, obwohl er wusste oder wissen musste, dass ein Anspruch nach § 3 Abs. 1  und  2 oder § 9 Abs. 1 des Entgeltfortzahlungsgesetzes oder nach § 18 oder § 20 Absatz 1 des Mutterschutzgesetzes nicht besteht.

²Der Arbeitgeber kann sich nicht darauf berufen, dass er durch die zu Unrecht gezahlten Beträge nicht mehr bereichert sei. ³Von der Rückforderung kann abgesehen werden, wenn der zu Unrecht gezahlte Betrag gering ist und der entstehende Verwaltungsaufwand unverhältnismäßig groß sein würde.

Ist auf den Arbeitgeber ein Anspruch auf Schadenersatz nach § 6 des Entgeltfortzahlungsgesetzes übergegangen, so ist die Krankenkasse zur Erstattung nur verpflichtet, wenn der Arbeitgeber den auf ihn übergegangenen Anspruch bis zur anteiligen Höhe des Erstattungsbetrags an die Krankenkasse abtritt.

(1) Der Erstattungsanspruch verjährt in vier Jahren nach Ablauf des Kalenderjahrs, in dem er entstanden ist.

(2) Gegen Erstattungsansprüche dürfen nur Ansprüche aufgerechnet werden auf

1. 1.

   Zahlung von Umlagebeträgen, Beiträge zur gesetzlichen Krankenversicherung und solche Beiträge, die die Einzugsstelle für andere Träger der Sozialversicherung und die Bundesagentur für Arbeit einzuziehen hat,

2. 2.

   Rückzahlung von Vorschüssen,

3. 3.

   Rückzahlung von zu Unrecht gezahlten Erstattungsbeträgen,

4. 4.

   Erstattung von Verfahrenskosten,

5. 5.

   Zahlung von Geldbußen,

6. 6.

   Herausgabe einer von einem Dritten an den Berechtigten bewirkten Leistung, die der Krankenkasse gegenüber wirksam ist.

(1) Die Mittel zur Durchführung der U1- und U2-Verfahren werden von den am Ausgleich beteiligten Arbeitgebern jeweils durch gesonderte Umlagen aufgebracht, die die erforderlichen Verwaltungskosten angemessen berücksichtigen.

(2) ¹Die Umlagen sind jeweils in einem Prozentsatz des Entgelts (Umlagesatz) festzusetzen, nach dem die Beiträge zur gesetzlichen Rentenversicherung für die im Betrieb beschäftigten Arbeitnehmer, Arbeitnehmerinnen und Auszubildenden bemessen werden oder bei Versicherungspflicht in der gesetzlichen Rentenversicherung zu bemessen wären. ²Bei der Berechnung der Umlage für Aufwendungen nach § 1 Abs. 1 sind Entgelte von Arbeitnehmern und Arbeitnehmerinnen, deren Beschäftigungsverhältnis bei einem Arbeitgeber nicht länger als vier Wochen besteht und bei denen wegen der Art des Beschäftigungsverhältnisses auf Grund des § 3 Abs. 3 des Entgeltfortzahlungsgesetzes kein Anspruch auf Entgeltfortzahlung im Krankheitsfall entstehen kann, sowie einmalig gezahlte Arbeitsentgelte nach § 23a des Vierten Buches Sozialgesetzbuch nicht zu berücksichtigen. ³Für die Zeit des Bezugs von Kurzarbeitergeld bemessen sich die Umlagen nach dem tatsächlich erzielten Arbeitsentgelt bis zur Beitragsbemessungsgrenze in der gesetzlichen Rentenversicherung.

(1) ¹Die Krankenkassen verwalten die Mittel für den Ausgleich der Arbeitgeberaufwendungen als Sondervermögen. ²Die Mittel dürfen nur für die gesetzlich vorgeschriebenen oder zugelassenen Zwecke verwendet werden.

(2) ¹Die Krankenkasse kann durch Satzungsregelung die Durchführung der U1- und U2-Verfahren auf eine andere Krankenkasse oder einen Landes- oder Bundesverband übertragen. ²Der Einzug der Umlagen obliegt weiterhin der übertragenden Krankenkasse, die die von den Arbeitgebern gezahlten Umlagen an die durchführende Krankenkasse oder den Verband weiterzuleiten hat. ³ § 90 des Vierten Buches Sozialgesetzbuch gilt entsprechend.

(1) Die Satzung der Krankenkasse muss insbesondere Bestimmungen enthalten über die

1. 1.

   Höhe der Umlagesätze,

2. 2.

   Bildung von Betriebsmitteln,

3. 3.

   Aufstellung des Haushalts,

4. 4.

   Prüfung und Abnahme des Rechnungsabschlusses.

(2) Die Satzung kann

1. 1.

   die Höhe der Erstattung nach § 1 Abs. 1 beschränken und verschiedene Erstattungssätze, die 40 vom Hundert nicht unterschreiten, vorsehen,

2. 2.

   eine pauschale Erstattung des von den Arbeitgebern zu tragenden Teils des Gesamtsozialversicherungsbeitrags für das nach § 18 des Mutterschutzgesetzes gezahlte Arbeitsentgelt vorsehen,

3. 3.

   die Zahlung von Vorschüssen vorsehen,

4. 4.

   (weggefallen)

5. 5.

   die Übertragung nach § 8 Abs. 2 enthalten.

(3) Die Betriebsmittel dürfen den Betrag der voraussichtlichen Ausgaben für drei Monate nicht übersteigen.

(4) In Angelegenheiten dieses Gesetzes wirken in den Selbstverwaltungsorganen nur die Vertreter der Arbeitgeber mit; die Selbstverwaltungsorgane der Ersatzkassen haben Einvernehmen mit den für die Vertretung der Interessen der Arbeitgeber maßgeblichen Spitzenorganisationen herzustellen.

(5) Die Absätze 1 bis 4 gelten auch für die durchführende Krankenkasse oder den Verband nach § 8 Abs. 2 Satz 1 .

Die für die gesetzliche Krankenversicherung geltenden Vorschriften finden entsprechende Anwendung, soweit dieses Gesetz nichts anderes bestimmt.

(1) § 1 Abs. 1 ist nicht anzuwenden auf

1. 1.

   den Bund, die Länder, die Gemeinden und Gemeindeverbände sowie sonstige Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie die Vereinigungen, Einrichtungen und Unternehmungen, die hinsichtlich der für die Beschäftigten des Bundes, der Länder oder der Gemeinden geltenden Tarifverträge tarifgebunden sind, sowie die Verbände von Gemeinden, Gemeindeverbänden und kommunalen Unternehmen einschließlich deren Spitzenverbände,

2. 2.

   zivile Arbeitskräfte, die bei Dienststellen und diesen gleichgestellten Einrichtungen der in der Bundesrepublik Deutschland stationierten ausländischen Truppen und der dort auf Grund des Nordatlantikpaktes errichteten internationalen militärischen Hauptquartiere beschäftigt sind,

3. 3.

   Hausgewerbetreibende ( § 1 Abs. 1 Buchstabe b des Heimarbeitsgesetzes ) sowie die in § 1 Abs. 2 Satz 1 Buchstabe b und c des Heimarbeitsgesetzes bezeichneten Personen, wenn sie hinsichtlich der Entgeltregelung gleichgestellt sind,

4. 4.

   die Spitzenverbände der freien Wohlfahrtspflege (Arbeiterwohlfahrt, Diakonisches Werk der Evangelischen Kirche in Deutschland, Deutscher Caritasverband, Deutscher Paritätischer Wohlfahrtsverband, Deutsches Rotes Kreuz und Zentralwohlfahrtsstelle der Juden in Deutschland) einschließlich ihrer selbstständigen und nichtselbstständigen Untergliederungen, Einrichtungen und Anstalten, es sei denn, sie erklären schriftlich und unwiderruflich gegenüber einer Krankenkasse mit Wirkung für alle durchführenden Krankenkassen und Verbände ihre Teilnahme am Umlageverfahren nach § 1 Abs. 1 .

(2) § 1 ist nicht anzuwenden auf

1. 1.

   die nach § 2 Abs. 1 Nr. 3 des Zweiten Gesetzes über die Krankenversicherung der Landwirte versicherten mitarbeitenden Familienangehörigen eines landwirtschaftlichen Unternehmers,

2. 2.

   Dienststellen und diesen gleichgestellte Einrichtungen der in der Bundesrepublik Deutschland stationierten ausländischen Truppen und der dort auf Grund des Nordatlantikpaktes errichteten internationalen militärischen Hauptquartiere mit Ausnahme der in Absatz 1 Nr. 2 genannten zivilen Arbeitskräfte,

3. 3.

   im Rahmen des § 54a des Dritten Buches Sozialgesetzbuch bezuschusste betriebliche Einstiegsqualifizierungen und im Rahmen des § 76 Absatz 7 des Dritten Buches Sozialgesetzbuch geförderte Berufsausbildungen in außerbetrieblichen Einrichtungen,

4. 4.

   Menschen mit Behinderungen im Arbeitsbereich anerkannter Werkstätten, die zu den Werkstätten in einem arbeitnehmerähnlichen Rechtsverhältnis stehen.

(1) ¹Für Betriebe eines Wirtschaftszweigs können Arbeitgeber Einrichtungen zum Ausgleich der Arbeitgeberaufwendungen errichten, an denen auch Arbeitgeber teilnehmen, die die Voraussetzungen des § 1 nicht erfüllen. ²Die Errichtung und die Regelung des Ausgleichsverfahrens bedürfen der Genehmigung des Bundesministeriums für Gesundheit.

(2) Auf Arbeitgeber, deren Aufwendungen durch eine Einrichtung nach Absatz 1 ausgeglichen werden, finden die Vorschriften dieses Gesetzes keine Anwendung.

(3) Körperschaften, Personenvereinigungen und Vermögensmassen im Sinne des § 1 Abs. 1 des Körperschaftsteuergesetzes , die als Einrichtung der in Absatz 1 bezeichneten Art durch das Bundesministerium für Gesundheit genehmigt sind, sind von der Körperschaftsteuer, Gewerbesteuer und Vermögensteuer befreit.

Das Bundesamt für Sicherheit in der Informationstechnik (Bundesamt) ist eine Bundesoberbehörde im Geschäftsbereich des Bundesministeriums des Innern, für Bau und Heimat. Es ist die zentrale Stelle für Informationssicherheit auf nationaler Ebene. Aufgaben gegenüber den Bundesministerien führt das Bundesamt auf Grundlage wissenschaftlich-technischer Erkenntnisse durch.

(1) Die Informationstechnik im Sinne dieses Gesetzes umfasst alle technischen Mittel zur Verarbeitung von Informationen.

(2) Informationen sowie informationsverarbeitende Systeme, Komponenten und Prozesse sind besonders schützenswert. Der Zugriff auf diese darf ausschließlich durch autorisierte Personen oder Programme erfolgen. Die Sicherheit in der Informationstechnik und der damit verbundene Schutz von Informationen und informationsverarbeitenden Systemen vor Angriffen und unautorisierten Zugriffen im Sinne dieses Gesetzes erfordert die Einhaltung bestimmter Sicherheitsstandards zur Gewährleistung der informationstechnischen Grundwerte und Schutzziele. Sicherheit in der Informationstechnik im Sinne dieses Gesetzes bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen

1. 1.

   in informationstechnischen Systemen, Komponenten oder Prozessen oder

2. 2.

   bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen.

(3) Kommunikationstechnik des Bundes im Sinne dieses Gesetzes ist die Informationstechnik, die von einer oder mehreren Bundesbehörden oder im Auftrag einer oder mehrerer Bundesbehörden betrieben wird und der Kommunikation oder dem Datenaustausch innerhalb einer Bundesbehörde, der Bundesbehörden untereinander oder der Bundesbehörden mit Dritten dient. Kommunikationstechnik des Bundesverfassungsgerichts, der Bundesgerichte, soweit sie nicht öffentlich-rechtliche Verwaltungsaufgaben wahrnehmen, des Bundestages, des Bundesrates, des Bundespräsidenten und des Bundesrechnungshofes ist nicht Kommunikationstechnik des Bundes, soweit sie ausschließlich in deren eigener Zuständigkeit betrieben wird.

(4) Schnittstellen der Kommunikationstechnik des Bundes im Sinne dieses Gesetzes sind sicherheitsrelevante Netzwerkübergänge innerhalb der Kommunikationstechnik des Bundes sowie zwischen dieser und der Informationstechnik der einzelnen Bundesbehörden, Gruppen von Bundesbehörden oder Dritter. Dies gilt nicht für die Komponenten an den Netzwerkübergängen, die in eigener Zuständigkeit der in Absatz 3 Satz 2 genannten Gerichte und Verfassungsorgane betrieben werden.

(5) Schadprogramme im Sinne dieses Gesetzes sind Programme und sonstige informationstechnische Routinen und Verfahren, die dem Zweck dienen, unbefugt Daten zu nutzen oder zu löschen oder die dem Zweck dienen, unbefugt auf sonstige informationstechnische Abläufe einzuwirken.

(6) Sicherheitslücken im Sinne dieses Gesetzes sind Eigenschaften von Programmen oder sonstigen informationstechnischen Systemen, durch deren Ausnutzung es möglich ist, dass sich Dritte gegen den Willen des Berechtigten Zugang zu fremden informationstechnischen Systemen verschaffen oder die Funktion der informationstechnischen Systeme beeinflussen können.

(7) Zertifizierung im Sinne dieses Gesetzes ist die Feststellung durch eine Zertifizierungsstelle, dass ein Produkt, ein Prozess, ein System, ein Schutzprofil (Sicherheitszertifizierung), eine Person (Personenzertifizierung) oder ein IT-Sicherheitsdienstleister bestimmte Anforderungen erfüllt.

(8) Protokolldaten im Sinne dieses Gesetzes sind Steuerdaten eines informationstechnischen Protokolls zur Datenübertragung, die unabhängig vom Inhalt eines Kommunikationsvorgangs übertragen oder auf den am Kommunikationsvorgang beteiligten Servern gespeichert werden und zur Gewährleistung der Kommunikation zwischen Empfänger und Sender notwendig sind. Protokolldaten können Verkehrsdaten gemäß § 3 Nummer 70 des Telekommunikationsgesetzes und Nutzungsdaten nach § 2 Absatz 2 Nummer 3 des Telekommunikation-Telemedien-Datenschutz-Gesetzes enthalten.

(8a) Protokollierungsdaten im Sinne dieses Gesetzes sind Aufzeichnungen über technische Ereignisse oder Zustände innerhalb informationstechnischer Systeme.

(9) Datenverkehr im Sinne dieses Gesetzes sind die mittels technischer Protokolle übertragenen Daten. Der Datenverkehr kann Telekommunikationsinhalte nach § 3 Absatz 1 des Telekommunikation-Telemedien-Datenschutz-Gesetzes und Nutzungsdaten nach § 2 Absatz 2 Nummer 3 des Telekommunikation-Telemedien-Datenschutz-Gesetzes enthalten.

(9a) IT-Produkte im Sinne dieses Gesetzes sind Software, Hardware sowie alle einzelnen oder miteinander verbundenen Komponenten, die Informationen informationstechnisch verarbeiten.

(9b) Systeme zur Angriffserkennung im Sinne dieses Gesetzes sind durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme. Die Angriffserkennung erfolgt dabei durch Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten.

(10) Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die

1. 1.

   den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sowie Siedlungsabfallentsorgung angehören und

2. 2.

   von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.

Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach § 10 Absatz 1 näher bestimmt.

(11) Digitale Dienste im Sinne dieses Gesetzes sind Dienste im Sinne von Artikel 1 Absatz 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 241 vom 17.9.2015, S. 1), und die

1. 1.

   es Verbrauchern oder Unternehmern im Sinne des Artikels 4 Absatz 1 Buchstabe a beziehungsweise Buchstabe b der Richtlinie 2013/11/EU des Europäischen Parlaments und des Rates vom 21. Mai 2013 über die alternative Beilegung verbraucherrechtlicher Streitigkeiten und zur Änderung der Verordnung (EG) Nr. 2006/2004 und der Richtlinie 2009/22/EG (Richtlinie über alternative Streitbeilegung in Verbraucherangelegenheiten) (ABl. L 165 vom 18.6.2013, S. 63) ermöglichen, Kaufverträge oder Dienstleistungsverträge mit Unternehmern entweder auf der Webseite dieser Dienste oder auf der Webseite eines Unternehmers, die von diesen Diensten bereitgestellte Rechendienste verwendet, abzuschließen (Online-Marktplätze);

2. 2.

   es Nutzern ermöglichen, Suchen grundsätzlich auf allen Webseiten oder auf Webseiten in einer bestimmten Sprache anhand einer Abfrage zu einem beliebigen Thema in Form eines Stichworts, einer Wortgruppe oder einer anderen Eingabe vorzunehmen, die daraufhin Links anzeigen, über die der Abfrage entsprechende Inhalte abgerufen werden können (Online-Suchmaschinen);

3. 3.

   den Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglichen (Cloud-Computing- Dienste),

und nicht zum Schutz grundlegender staatlicher Funktionen eingerichtet worden sind oder für diese genutzt werden.

(12) "Anbieter digitaler Dienste" im Sinne dieses Gesetzes ist eine juristische Person, die einen digitalen Dienst anbietet.

(13) Kritische Komponenten im Sinne dieses Gesetzes sind IT-Produkte,

1. 1.

   die in Kritischen Infrastrukturen eingesetzt werden,

2. 2.

   bei denen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit Kritischer Infrastrukturen oder zu Gefährdungen für die öffentliche Sicherheit führen können und

3. 3.

   die auf Grund eines Gesetzes unter Verweis auf diese Vorschrift

   1. a)

      als kritische Komponente bestimmt werden oder

   2. b)

      eine auf Grund eines Gesetzes als kritisch bestimmte Funktion realisieren.

Werden für einen der in Absatz 10 Satz 1 Nummer 1 genannten Sektoren keine kritischen Komponenten und keine kritischen Funktionen, aus denen kritische Komponenten abgeleitet werden können, auf Grund eines Gesetzes unter Verweis auf diese Vorschrift bestimmt, gibt es in diesem Sektor keine kritischen Komponenten im Sinne dieses Gesetzes.

(14) Unternehmen im besonderen öffentlichen Interesse sind Unternehmen, die nicht Betreiber Kritischer Infrastrukturen nach Absatz 10 sind und

1. 1.

   die Güter nach § 60 Absatz 1 Nummer 1 und 3 der Außenwirtschaftsverordnung in der jeweils geltenden Fassung herstellen oder entwickeln,

2. 2.

   die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland sind oder die für solche Unternehmen als Zulieferer wegen ihrer Alleinstellungsmerkmale von wesentlicher Bedeutung sind oder

3. 3.

   die Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung in der jeweils geltenden Fassung sind oder nach § 1 Absatz 2 der Störfall-Verordnung diesen gleichgestellt sind.

Die Unternehmen im besonderen öffentlichen Interesse nach Satz 1 Nummer 2 werden durch die Rechtsverordnung nach § 10 Absatz 5 bestimmt, in der festgelegt wird, welche wirtschaftlichen Kennzahlen maßgeblich dafür sind, dass ein Unternehmen zu den größten Unternehmen in Deutschland im Sinne der Nummer 2 gehört und welche Alleinstellungsmerkmale maßgeblich dafür sind, dass Zulieferer für solche Unternehmen von wesentlicher Bedeutung sind.

(1) Das Bundesamt fördert die Sicherheit in der Informationstechnik mit dem Ziel, die Verfügbarkeit, Integrität und Vertraulichkeit von Informationen und deren Verarbeitung zu gewährleisten. Hierzu nimmt es folgende wichtige im öffentlichen Interesse liegende Aufgaben wahr:

1. 1.

   Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes;

2. 2.

   Sammlung und Auswertung von Informationen über Sicherheitsrisiken und Sicherheitsvorkehrungen und Zurverfügungstellung der gewonnenen Erkenntnisse für andere Stellen, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist, sowie für Dritte, soweit dies zur Wahrung ihrer Sicherheitsinteressen erforderlich ist;

3. 3.

   Untersuchung von Sicherheitsrisiken bei Anwendung der Informationstechnik sowie Entwicklung von Sicherheitsvorkehrungen, insbesondere von informationstechnischen Verfahren und Geräten für die Sicherheit in der Informationstechnik (IT-Sicherheitsprodukte), soweit dies zur Erfüllung von Aufgaben des Bundes erforderlich ist, einschließlich der Forschung im Rahmen seiner gesetzlichen Aufgaben;

4. 4.

   Entwicklung von Kriterien, Verfahren und Werkzeugen für die Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und für die Prüfung und Bewertung der Konformität im Bereich der IT-Sicherheit;

5. 5.

   Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und Erteilung von Sicherheitszertifikaten;

6. 5a.

   Wahrnehmung der Aufgaben und Befugnisse nach Artikel 58 Absatz 7 und 8 der Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit, ABl. L 151 vom 7.6.2019, S. 15) als nationale Behörde für die Cybersicherheitszertifizierung;

7. 6.

   Prüfung und Bestätigung der Konformität im Bereich der IT-Sicherheit von informationstechnischen Systemen und Komponenten mit technischen Richtlinien des Bundesamtes;

8. 7.

   Prüfung, Bewertung und Zulassung von informationstechnischen Systemen oder Komponenten, die für die Verarbeitung amtlich geheim gehaltener Informationen nach § 4 des Sicherheitsüberprüfungsgesetzes im Bereich des Bundes oder bei Unternehmen im Rahmen von Aufträgen des Bundes eingesetzt werden sollen;

9. 8.

   Herstellung von Schlüsseldaten und Betrieb von Krypto- und Sicherheitsmanagementsystemen für informationssichernde Systeme des Bundes, die im Bereich des staatlichen Geheimschutzes oder auf Anforderung der betroffenen Behörde auch in anderen Bereichen eingesetzt werden;

10. 9.

    Unterstützung und Beratung bei organisatorischen und technischen Sicherheitsmaßnahmen sowie Durchführung von technischen Prüfungen zum Schutz amtlich geheim gehaltener Informationen nach § 4 des Sicherheitsüberprüfungsgesetzes gegen die Kenntnisnahme durch Unbefugte;

11. 10.

    Entwicklung von sicherheitstechnischen Anforderungen an die einzusetzende Informationstechnik des Bundes und an die Eignung von Auftragnehmern im Bereich von Informationstechnik mit besonderem Schutzbedarf;

12. 11.

    Bereitstellung von IT-Sicherheitsprodukten für Stellen des Bundes;

13. 12.

    Unterstützung der für Sicherheit in der Informationstechnik zuständigen Stellen des Bundes, insbesondere soweit sie Beratungs- oder Kontrollaufgaben wahrnehmen; dies gilt vorrangig für den Bundesbeauftragten für den Datenschutz, dessen Unterstützung im Rahmen der Unabhängigkeit erfolgt, die ihm bei der Erfüllung seiner Aufgaben nach dem Bundesdatenschutzgesetz zusteht;

14. 12a.

    Beratung und Unterstützung der Stellen des Bundes in Fragen der Sicherheit in der Informationstechnik;

15. 13.

    Unterstützung

    1. a)

       der Polizeien und Strafverfolgungsbehörden bei der Wahrnehmung ihrer gesetzlichen Aufgaben,

    2. b)

       der Verfassungsschutzbehörden und des Militärischen Abschirmdienstes bei der Auswertung und Bewertung von Informationen, die bei der Beobachtung terroristischer Bestrebungen oder nachrichtendienstlicher Tätigkeiten im Rahmen der gesetzlichen Befugnisse nach den Verfassungsschutzgesetzen des Bundes und der Länder beziehungsweise dem MAD-Gesetz anfallen,

    3. c)

       des Bundesnachrichtendienstes bei der Wahrnehmung seiner gesetzlichen Aufgaben.

    Die Unterstützung darf nur gewährt werden, soweit sie erforderlich ist, um Tätigkeiten zu verhindern oder zu erforschen, die gegen die Sicherheit in der Informationstechnik gerichtet sind oder unter Nutzung der Informationstechnik erfolgen. Die Unterstützungsersuchen sind durch das Bundesamt aktenkundig zu machen;

16. 13a.

    auf Ersuchen der zuständigen Stellen der Länder Unterstützung dieser Stellen in Fragen der Abwehr von Gefahren für die Sicherheit in der Informationstechnik;

17. 14.

    Beratung, Information und Warnung der Stellen des Bundes, der Länder sowie der Hersteller, Vertreiber und Anwender in Fragen der Sicherheit in der Informationstechnik, insbesondere unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen;

18. 14a.

    Verbraucherschutz und Verbraucherinformation im Bereich der Sicherheit in der Informationstechnik, insbesondere durch Beratung und Warnung von Verbrauchern in Fragen der Sicherheit in der Informationstechnik und unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen;

19. 15.

    Aufbau geeigneter Kommunikationsstrukturen zur Krisenfrüherkennung, Krisenreaktion und Krisenbewältigung sowie Koordinierung der Zusammenarbeit zum Schutz der Sicherheit in der Informationstechnik Kritischer Infrastrukturen im Verbund mit der Privatwirtschaft;

20. 16.

    Aufgaben als zentrale Stelle im Bereich der Sicherheit in der Informationstechnik im Hinblick auf die Zusammenarbeit mit den zuständigen Stellen im Ausland, unbeschadet besonderer Zuständigkeiten anderer Stellen;

21. 17.

    Aufgaben nach den §§ 8a bis 8c und 8f als zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen, digitaler Dienste und der Unternehmen im besonderen öffentlichen Interesse;

22. 18.

    Unterstützung bei der Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen nach § 5a ;

23. 19.

    Empfehlungen für Identifizierungs- und Authentisierungsverfahren und Bewertung dieser Verfahren im Hinblick auf die Informationssicherheit;

24. 20.

    Beschreibung und Veröffentlichung eines Stands der Technik bei sicherheitstechnischen Anforderungen an IT-Produkte unter Berücksichtigung bestehender Normen und Standards sowie Einbeziehung der betroffenen Wirtschaftsverbände.

(2) Das Bundesamt kann die Länder auf Ersuchen bei der Sicherung ihrer Informationstechnik unterstützen.

(3) Das Bundesamt kann Betreiber Kritischer Infrastrukturen auf deren Ersuchen bei der Sicherung ihrer Informationstechnik beraten und unterstützen oder auf qualifizierte Sicherheitsdienstleister verweisen.

(1) Die Verarbeitung personenbezogener Daten durch das Bundesamt ist zulässig, wenn die Verarbeitung zur Erfüllung seiner im öffentlichen Interesse liegenden Aufgaben erforderlich ist.

(2) Die Verarbeitung personenbezogener Daten durch das Bundesamt zu anderen Zwecken als demjenigen, zu dem die Daten ursprünglich erhoben wurden, ist unbeschadet von Artikel 6 Absatz 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz- Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung und von § 23 des Bundesdatenschutzgesetzes zulässig, wenn

1. 1.

   die Verarbeitung erforderlich ist

   1. a)

      zur Sammlung, Auswertung oder Untersuchung von Informationen über Sicherheitsrisiken oder Sicherheitsvorkehrungen für die Informationstechnik oder

   2. b)

      zur Unterstützung, Beratung oder Warnung in Fragen der Sicherheit in der Informationstechnik und

2. 2.

   kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

(3) Eine Verarbeitung von besonderen Kategorien personenbezogener Daten durch das Bundesamt ist abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 und unbeschadet des § 22 Absatz 1 des Bundesdatenschutzgesetzes zulässig, wenn

1. 1.

   die Verarbeitung erforderlich ist zur Abwehr einer erheblichen Gefahr für die Netz-, Daten- oder Informationssicherheit,

2. 2.

   ein Ausschluss dieser Daten von der Verarbeitung die Erfüllung der Aufgaben des Bundesamtes unmöglich machen oder diese erheblich gefährden würde und

3. 3.

   kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss dieser Daten von der Verarbeitung überwiegt.

(4) Das Bundesamt sieht angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person gemäß § 22 Absatz 2 Satz 2 des Bundesdatenschutzgesetzes vor.

(1) Das Bundesamt ist die zentrale Meldestelle für die Zusammenarbeit der Bundesbehörden in Angelegenheiten der Sicherheit in der Informationstechnik.

(2) Das Bundesamt hat zur Wahrnehmung dieser Aufgabe

1. 1.

   alle für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik erforderlichen Informationen, insbesondere zu Sicherheitslücken, Schadprogrammen, erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und der dabei beobachteten Vorgehensweise, zu sammeln und auszuwerten,

2. 2.

   die Bundesbehörden unverzüglich über die sie betreffenden Informationen nach Nummer 1 und die in Erfahrung gebrachten Zusammenhänge zu unterrichten.

(3) Werden anderen Bundesbehörden Informationen nach Absatz 2 Nummer 1 bekannt, die für die Erfüllung von Aufgaben oder die Sicherheit der Informationstechnik anderer Behörden von Bedeutung sind, unterrichten diese ab dem 1. Januar 2010 das Bundesamt hierüber unverzüglich, soweit andere Vorschriften dem nicht entgegenstehen.

(4) Ausgenommen von den Unterrichtungspflichten nach Absatz 2 Nummer 2 und Absatz 3 sind Informationen, die aufgrund von Regelungen zum Geheimschutz oder Vereinbarungen mit Dritten nicht weitergegeben werden dürfen oder deren Weitergabe im Widerspruch zu der verfassungsrechtlichen Stellung eines Abgeordneten des Bundestages oder eines Verfassungsorgans oder der gesetzlich geregelten Unabhängigkeit einzelner Stellen stünde.

(5) Die Vorschriften zum Schutz personenbezogener Daten bleiben unberührt.

(6) Das Bundesministerium des Innern, für Bau und Heimat erlässt nach Zustimmung durch den Rat der IT-Beauftragten der Bundesregierung allgemeine Verwaltungsvorschriften zur Durchführung des Absatzes 3.

(1) Das Bundesamt ist befugt, die Sicherheit der Kommunikationstechnik des Bundes und ihrer Komponenten, einschließlich technischer Infrastrukturen, die zum Betrieb der Kommunikationstechnik des Bundes erforderlich sind, zu kontrollieren. Es kann hierzu die Bereitstellung der zur Erfüllung der Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1 und 14 erforderlichen Informationen, insbesondere zu technischen Details, zu Strategien, Planungen und Regelungen mit Bezug zur Kommunikationstechnik des Bundes einschließlich Aufbau- und Ablauforganisation verlangen sowie Unterlagen und Datenträger des Betreibers der jeweiligen Kommunikationstechnik des Bundes oder eines mit Betriebsleistungen beauftragten Dritten einsehen und die unentgeltliche Herausgabe von Kopien dieser Unterlagen und Dokumente, auch in elektronischer Form, verlangen, soweit nicht Geheimschutzinteressen oder überwiegende Sicherheitsinteressen des Betreibers im Sinne des Satzes 2 entgegenstehen.

(2) Dem Bundesamt ist in den Zeiten, zu denen die Räume normalerweise für die jeweilige geschäftliche oder betriebliche Nutzung zur Verfügung stehen, zu den Grundstücken und Betriebsräumen, einschließlich Datenverarbeitungsanlagen und -geräten, die für die Kommunikationstechnik des Bundes verwendet werden, Zugang zu gewähren, soweit dies zur Erfüllung der Zwecke nach Absatz 1 erforderlich ist.

(3) Bei Einrichtungen eines Dritten, bei dem eine Schnittstelle zur Kommunikationstechnik des Bundes besteht, kann das Bundesamt auf der Schnittstellenseite der Einrichtung nur mit Zustimmung des Dritten die Sicherheit der Schnittstelle kontrollieren. Es kann hierzu mit Zustimmung des Dritten die zur Aufgabenerfüllung erforderlichen Informationen, insbesondere zu technischen Details, zu Strategien, Planungen und Regelungen sowie Unterlagen und Datenträger des Betreibers einsehen und unentgeltlich Kopien, auch in elektronischer Form, anfertigen.

(4) Das Bundesamt teilt das Ergebnis seiner Kontrolle nach den Absätzen 1 bis 3 dem jeweiligen überprüften Betreiber sowie im Falle einer öffentlichen Stelle des Bundes der zuständigen Rechts- und Fachaufsicht mit. Mit der Mitteilung soll es Vorschläge zur Verbesserung der Informationssicherheit, insbesondere zur Beseitigung der festgestellten Mängel, verbinden.

(5) Ausgenommen von den Befugnissen nach den Absätzen 1 bis 3 sind Kontrollen der Auslandsinformations- und -kommunikationstechnik im Sinne des § 9 Absatz 2 des Gesetzes über den Auswärtigen Dienst , soweit sie ausschließlich im Ausland belegen ist oder für das Ausland oder für Anwender im Ausland betrieben wird. Die Bestimmungen für die Schnittstellen der Kommunikationstechnik des Bundes im Inland bleiben davon unberührt. Näheres zu Satz 1 regelt eine Verwaltungsvereinbarung zwischen dem Bundesministerium des Innern, für Bau und Heimat und dem Auswärtigen Amt.

(6) Die Befugnisse nach den Absätzen 1 bis 3 gelten im Geschäftsbereich des Bundesministeriums der Verteidigung nicht für die Kontrolle der Informations- und Kommunikationstechnik, die von den Streitkräften für ihre Zwecke oder dem Militärischen Abschirmdienst genutzt wird. Nicht ausgenommen ist die Informations- und Kommunikationstechnik von Dritten, insbesondere von IT-Dienstleistern, soweit sie nicht ausschließlich für die Zwecke der Streitkräfte betrieben wird. Die Bestimmungen für die Schnittstellen der Kommunikationstechnik des Bundes bleiben von den Sätzen 1 und 2 unberührt. Näheres regelt eine Verwaltungsvereinbarung zwischen dem Bundesministerium des Innern, für Bau und Heimat und dem Bundesministerium der Verteidigung.

(1) Zur Wahrnehmung der Aufgaben nach § 3 nimmt das Bundesamt als zentrale Stelle für Meldungen von Dritten Informationen über Sicherheitsrisiken in der Informationstechnik entgegen und wertet diese Informationen aus.

(2) Das Bundesamt nimmt zur Wahrnehmung der Aufgaben nach Absatz 1 Informationen zu Sicherheitslücken, Schadprogrammen, erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und der dabei beobachteten Vorgehensweisen entgegen. Das Bundesamt richtet hierzu geeignete Meldemöglichkeiten ein. Die Meldungen können anonym erfolgen. Soweit die Meldung nicht anonym erfolgt, kann der Meldende mit der Meldung oder später verlangen, dass seine personenbezogenen Daten nur anonymisiert weitergegeben werden dürfen. Dies gilt nicht in den Fällen des § 5 Absatz 5 und 6 Satz 1 . Eine Übermittlung der personenbezogenen Daten in den Fällen von § 5 Absatz 5 und 6 Satz 1 hat zu unterbleiben, wenn für das Bundesamt erkennbar ist, dass die schutzwürdigen Interessen des Meldenden das Allgemeininteresse an der Übermittlung überwiegen. Zu berücksichtigen ist dabei auch die Art und Weise, mittels derer der Meldende die Erkenntnisse gewonnen hat. Die Entscheidung nach Satz 6 muss dem oder der behördlichen Datenschutzbeauftragten des Bundesamtes sowie einem oder einer weiteren Bediensteten des Bundesamtes, der oder die die Befähigung zum Richteramt hat, zur vorherigen Prüfung vorgelegt werden.

(3) Das Bundesamt soll die gemäß Absatz 2 gemeldeten Informationen nutzen, um

1. 1.

   Dritte über bekannt gewordene Sicherheitslücken, Schadprogramme, erfolgte oder versuchte Angriffe auf die Sicherheit in der Informationstechnik zu informieren, soweit dies zur Wahrung ihrer Sicherheitsinteressen erforderlich ist,

2. 2.

   die Öffentlichkeit oder betroffene Kreise gemäß § 7 zu warnen und zu informieren,

3. 3.

   Bundesbehörden gemäß § 4 Absatz 2 Nummer 2 über die sie betreffenden Informationen zu unterrichten,

4. 4.

   Betreiber Kritischer Infrastrukturen und Unternehmen im öffentlichen Interesse gemäß § 8b Absatz 2 Nummer 4 Buchstabe a über die sie betreffenden Informationen zu unterrichten.

(4) Eine Weitergabe nach Absatz 3 Nummer 1, 2 oder 4 erfolgt nicht, soweit die gemäß Absatz 2 gemeldeten Informationen

1. 1.

   Betriebs- und Geschäftsgeheimnisse von Dritten beinhalten und die Maßnahmen nach Absatz 3 nicht ohne Bekanntgabe dieser Betriebs- und Geschäftsgeheimnisse durchgeführt werden können oder

2. 2.

   auf Grund von Vereinbarungen des Bundesamtes mit Dritten nicht übermittelt werden dürfen.

(1) Das Bundesamt darf zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes

1. 1.

   Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen, erheben und automatisiert auswerten, soweit dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern bei der Kommunikationstechnik des Bundes oder von Angriffen auf die Informationstechnik des Bundes erforderlich ist,

2. 2.

   die an den Schnittstellen der Kommunikationstechnik des Bundes anfallenden Daten automatisiert auswerten, soweit dies für die Erkennung und Abwehr von Schadprogrammen erforderlich ist.

Sofern nicht die nachfolgenden Absätze eine weitere Verwendung gestatten, muss die automatisierte Auswertung dieser Daten unverzüglich erfolgen und müssen diese nach erfolgtem Abgleich sofort und spurenlos gelöscht werden. Die Verwendungsbeschränkungen gelten nicht für Protokolldaten, sofern diese weder personenbezogene noch dem Fernmeldegeheimnis unterliegende Daten beinhalten. Die Bundesbehörden sind verpflichtet, das Bundesamt bei Maßnahmen nach Satz 1 zu unterstützen und hierbei den Zugang des Bundesamtes zu behördeninternen Protokolldaten nach Satz 1 Nummer 1 sowie Schnittstellendaten nach Satz 1 Nummer 2 sicherzustellen. Protokolldaten der Bundesgerichte dürfen nur in deren Einvernehmen erhoben werden.

(2) Protokolldaten nach Absatz 1 Satz 1 Nummer 1 dürfen über den für die automatisierte Auswertung nach Absatz 1 Satz 1 Nummer 1 erforderlichen Zeitraum hinaus, längstens jedoch für 18 Monate, gespeichert werden, soweit tatsächliche Anhaltspunkte dafür bestehen, dass diese im Falle der Bestätigung eines Verdachts nach Absatz 3 Satz 2 zur Abwehr von Gefahren, die von dem gefundenen Schadprogramm ausgehen oder zur Erkennung und Abwehr anderer Schadprogramme erforderlich sein können. Durch organisatorische und technische Maßnahmen ist sicherzustellen, dass eine Auswertung der nach diesem Absatz gespeicherten Daten nur automatisiert erfolgt und dass ein Zugriff auf Daten, die länger als drei Monate gespeichert sind, nur bei Vorliegen tatsächlicher Erkenntnisse über die Betroffenheit des Bundes mit einem Schadprogramm erfolgt. Die Daten sind zu pseudonymisieren, soweit dies automatisiert möglich ist. Eine nicht automatisierte Verarbeitung ist nur nach Maßgabe der nachfolgenden Absätze zulässig. Soweit hierzu die Wiederherstellung pseudonymisierter Protokolldaten erforderlich ist, muss diese durch die Präsidentin oder den Präsidenten des Bundesamtes oder die Vertretung im Amt angeordnet werden. Die Entscheidung ist zu dokumentieren.

(2a) Protokolldaten dürfen vor ihrer Pseudonymisierung und Speicherung nach Absatz 2 zur Sicherstellung einer fehlerfreien automatisierten Auswertung manuell verarbeitet werden. Liegen Hinweise vor, dass die fehlerfreie automatisierte Auswertung wegen eines erheblichen Fehlers erschwert wird, darf der Personenbezug von Protokolldaten zur Sicherstellung der fehlerfreien automatisierten Auswertung wiederhergestellt werden, sofern dies im Einzelfall erforderlich ist. Absatz 2 Satz 3 bis 6 gilt entsprechend.

(3) Eine über die Absätze 1 und 2 hinausgehende Verwendung personenbezogener Daten ist nur zulässig, wenn bestimmte Tatsachen den Verdacht begründen, dass

1. 1.

   diese ein Schadprogramm enthalten,

2. 2.

   diese durch ein Schadprogramm übermittelt wurden oder

3. 3.

   sich aus ihnen Hinweise auf ein Schadprogramm ergeben können,

und soweit die Datenverarbeitung erforderlich ist, um den Verdacht zu bestätigen oder zu widerlegen. Im Falle der Bestätigung ist die weitere Verarbeitung personenbezogener Daten zulässig, soweit dies

1. 1.

   zur Abwehr des Schadprogramms,

2. 2.

   zur Abwehr von Gefahren, die von dem aufgefundenen Schadprogramm ausgehen, oder

3. 3.

   zur Erkennung und Abwehr anderer Schadprogramme erforderlich ist.

Ein Schadprogramm kann beseitigt oder in seiner Funktionsweise gehindert werden. Die nicht automatisierte Verwendung der Daten nach den Sätzen 1 und 2 darf nur durch einen Bediensteten des Bundesamtes mit der Befähigung zum Richteramt angeordnet werden.

(4) Die Beteiligten des Kommunikationsvorgangs sind spätestens nach dem Erkennen und der Abwehr eines Schadprogramms oder von Gefahren, die von einem Schadprogramm ausgehen, zu benachrichtigen, wenn sie bekannt sind oder ihre Identifikation ohne unverhältnismäßige weitere Ermittlungen möglich ist und nicht überwiegende schutzwürdige Belange Dritter entgegenstehen. Die Unterrichtung kann unterbleiben, wenn die Person nur unerheblich betroffen wurde, und anzunehmen ist, dass sie an einer Benachrichtigung kein Interesse hat. Das Bundesamt legt Fälle, in denen es von einer Benachrichtigung absieht, dem behördlichen Datenschutzbeauftragten des Bundesamtes sowie einem weiteren Bediensteten des Bundesamtes, der die Befähigung zum Richteramt hat, zur Kontrolle vor. Wenn der behördliche Datenschutzbeauftragte der Entscheidung des Bundesamtes widerspricht, ist die Benachrichtigung nachzuholen. Die Entscheidung über die Nichtbenachrichtigung ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist nach zwölf Monaten zu löschen. In den Fällen der Absätze 5 und 6 erfolgt die Benachrichtigung durch die dort genannten Behörden in entsprechender Anwendung der für diese Behörden geltenden Vorschriften. Enthalten diese keine Bestimmungen zu Benachrichtigungspflichten, sind die Vorschriften der Strafprozessordnung entsprechend anzuwenden.

(5) Das Bundesamt kann die nach Absatz 3 verwendeten personenbezogenen Daten an die Strafverfolgungsbehörden zur Verfolgung einer mittels eines Schadprogramms begangenen Straftat nach den §§ 202a , 202b , 303a oder 303b des Strafgesetzbuches übermitteln. Es kann diese Daten ferner übermitteln

1. 1.

   zur Abwehr einer Gefahr für die öffentliche Sicherheit, die unmittelbar von einem Schadprogramm ausgeht, an die Polizeien des Bundes und der Länder,

2. 2.

   zur Unterrichtung über Tatsachen, die sicherheitsgefährdende oder geheimdienstliche Tätigkeiten für eine fremde Macht erkennen lassen, an das Bundesamt für Verfassungsschutz sowie an den Militärischen Abschirmdienst, wenn sich diese Tätigkeiten gegen Personen, Dienststellen oder Einrichtungen im Geschäftsbereich des Bundesministeriums der Verteidigung richten,

3. 3.

   zur Unterrichtung über Tatsachen, die einen internationalen kriminellen, terroristischen oder staatlichen Angriff mittels Schadprogrammen oder vergleichbaren schädlich wirkenden informationstechnischen Mitteln auf die Vertraulichkeit, Integrität oder Verfügbarkeit von IT-Systemen in Fällen von erheblicher Bedeutung mit Bezug zur Bundesrepublik Deutschland erkennen lassen, an den Bundesnachrichtendienst.

(6) Für sonstige Zwecke kann das Bundesamt die Daten übermitteln

1. 1.

   an die Strafverfolgungsbehörden zur Verfolgung einer Straftat von auch im Einzelfall erheblicher Bedeutung, insbesondere einer in § 100a Absatz 2 der Strafprozessordnung bezeichneten Straftat,

2. 2.

   an die Polizeien des Bundes und der Länder zur Abwehr einer Gefahr für den Bestand oder die Sicherheit des Staates oder Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhalt im öffentlichen Interesse geboten ist,

3. 3.

   an die Verfassungsschutzbehörden des Bundes und der Länder sowie an den Militärischen Abschirmdienst, wenn tatsächliche Anhaltspunkte für Bestrebungen in der Bundesrepublik Deutschland vorliegen, die durch Anwendung von Gewalt oder darauf gerichtete Vorbereitungshandlungen gegen die in § 3 Absatz 1 des Bundesverfassungsschutzgesetzes beziehungsweise § 1 Absatz 1 des MAD-Gesetzes genannten Schutzgüter gerichtet sind,

4. 4.

   an den Bundesnachrichtendienst, wenn tatsächliche Anhaltspunkte für den Verdacht bestehen, dass jemand Straftaten nach § 3 Absatz 1 Nummer 8 des Artikel 10-Gesetzes plant, begeht oder begangen hat und dies von außen- und sicherheitspolitischer Bedeutung für die Bundesrepublik Deutschland ist.

Die Übermittlung nach Satz 1 Nummer 1 und 2 bedarf der vorherigen gerichtlichen Zustimmung. Für das Verfahren nach Satz 1 Nummer 1 und 2 gelten die Vorschriften des Gesetzes über das Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen Gerichtsbarkeit entsprechend. Zuständig ist das Amtsgericht, in dessen Bezirk das Bundesamt seinen Sitz hat. Die Übermittlung nach Satz 1 Nummer 3 und Nummer 4 erfolgt nach Zustimmung des Bundesministeriums des Innern, für Bau und Heimat; die §§ 9 bis 16 des Artikel 10-Gesetzes gelten entsprechend.

(7) Eine über die vorstehenden Absätze hinausgehende inhaltliche Auswertung zu anderen Zwecken und die Weitergabe von personenbezogenen Daten an Dritte sind unzulässig. Soweit möglich, ist technisch sicherzustellen, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden. Werden aufgrund der Maßnahmen der Absätze 1 bis 3 Erkenntnisse aus dem Kernbereich privater Lebensgestaltung oder Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 erlangt, dürfen diese nicht verwendet werden. Erkenntnisse aus dem Kernbereich privater Lebensgestaltung sind unverzüglich zu löschen. Dies gilt auch in Zweifelsfällen. Die Tatsache ihrer Erlangung und Löschung ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist zu löschen, wenn sie für diese Zwecke nicht mehr erforderlich ist, spätestens jedoch am Ende des Kalenderjahres, das dem Jahr der Dokumentation folgt. Werden im Rahmen der Absätze 4 oder 5 Inhalte oder Umstände der Kommunikation von in § 53 Absatz 1 Satz 1 der Strafprozessordnung genannten Personen übermittelt, auf die sich das Zeugnisverweigerungsrecht der genannten Personen erstreckt, ist die Verwertung dieser Daten zu Beweiszwecken in einem Strafverfahren nur insoweit zulässig, als Gegenstand dieses Strafverfahrens eine Straftat ist, die im Höchstmaß mit mindestens fünf Jahren Freiheitsstrafe bedroht ist.

(8) Vor Aufnahme der Datenerhebung und -verwendung hat das Bundesamt ein Datenerhebungs- und -verwendungskonzept zu erstellen und für Kontrollen durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit bereitzuhalten. Das Konzept hat dem besonderen Schutzbedürfnis der Regierungskommunikation Rechnung zu tragen. Die für die automatisierte Auswertung verwendeten Kriterien sind zu dokumentieren. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit teilt das Ergebnis seiner Kontrollen nach § 16 des Bundesdatenschutzgesetzes auch dem Rat der IT-Beauftragten der Bundesregierung mit.

(9) Das Bundesamt unterrichtet den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres über

1. 1.

   die Anzahl der Vorgänge, in denen Daten nach Absatz 5 Satz 1, Absatz 5 Satz 2 Nummer 1 oder Absatz 6 Nummer 1 übermittelt wurden, aufgegliedert nach den einzelnen Übermittlungsbefugnissen,

2. 2.

   die Anzahl der personenbezogenen Auswertungen nach Absatz 3 Satz 1, in denen der Verdacht widerlegt wurde,

3. 3.

   die Anzahl der Fälle, in denen das Bundesamt nach Absatz 4 Satz 2 oder 3 von einer Benachrichtigung der Betroffenen abgesehen hat.

(10) Das Bundesamt unterrichtet kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres den Innenausschuss des Deutschen Bundestages über die Anwendung dieser Vorschrift.

Das Bundesamt darf zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes und ihrer Komponenten, einschließlich technischer Infrastrukturen, die zum Betrieb der Kommunikationstechnik des Bundes erforderlich sind, Protokollierungsdaten, die durch den Betrieb von Kommunikationstechnik des Bundes anfallen, verarbeiten, soweit dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen, Fehlern oder Sicherheitsvorfällen in der Kommunikationstechnik des Bundes oder von Angriffen auf die Informationstechnik des Bundes erforderlich ist und Geheimschutzinteressen oder überwiegende Sicherheitsinteressen der betroffenen Stellen nicht entgegenstehen. Die Bundesbehörden sind verpflichtet, das Bundesamt bei Maßnahmen nach Satz 1 zu unterstützen und hierbei den Zugang des Bundesamtes zu behördeninternen Protokollierungsdaten nach Satz 1 sicherzustellen. Hierzu dürfen sie dem Bundesamt die entsprechenden Protokollierungsdaten übermitteln. § 5 Absatz 1 Satz 5 , Absatz 2 bis 4 , 8 und 9 gilt entsprechend. § 4a Absatz 6 gilt für die Verpflichtung nach Satz 2 entsprechend.

(1) Handelt es sich bei einer Beeinträchtigung der Sicherheit oder Funktionsfähigkeit eines informationstechnischen Systems einer Stelle des Bundes oder eines Betreibers einer Kritischen Infrastruktur oder eines Unternehmens im besonderen öffentlichen Interesse um einen herausgehobenen Fall, so kann das Bundesamt auf Ersuchen der betroffenen Stelle oder des betroffenen Betreibers die Maßnahmen treffen, die zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems erforderlich sind. Soweit das Bundesamt erste Maßnahmen zur Schadensbegrenzung und Sicherstellung des Notbetriebes vor Ort ergreift, werden hierfür keine Gebühren oder Auslagen für die Tätigkeit des Bundesamtes erhoben. Hiervon unberührt bleiben etwaige Kosten für die Hinzuziehung qualifizierter Dritter.

(2) Ein herausgehobener Fall nach Absatz 1 liegt insbesondere dann vor, wenn es sich um einen Angriff von besonderer technischer Qualität handelt oder die zügige Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems von besonderem öffentlichem Interesse ist.

(3) Das Bundesamt darf bei Maßnahmen nach Absatz 1 personenbezogene oder dem Fernmeldegeheimnis unterliegende Daten erheben und verarbeiten, soweit dies zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems erforderlich und angemessen ist. Die Daten sind unverzüglich zu löschen, sobald sie für die Wiederherstellung der Sicherheit oder Funktionsfähigkeit des informationstechnischen Systems nicht mehr benötigt werden. Wenn die Daten in Fällen des Absatzes 4 an eine andere Behörde zur Erfüllung von deren gesetzlichen Aufgaben weitergegeben worden sind, darf das Bundesamt die Daten abweichend von Satz 2 bis zur Beendigung der Unterstützung dieser Behörden weiterverarbeiten. Eine Nutzung zu anderen Zwecken ist unzulässig. § 5 Absatz 7 ist entsprechend anzuwenden.

(4) Das Bundesamt darf Informationen, von denen es im Rahmen dieser Vorschrift Kenntnis erlangt, nur mit Einwilligung des Ersuchenden weitergeben, es sei denn, die Informationen lassen keine Rückschlüsse auf die Identität des Ersuchenden zu oder die Informationen können entsprechend § 5 Absatz 5 und 6 übermittelt werden. Zugang zu den in Verfahren nach Absatz 1 geführten Akten wird Dritten nicht gewährt.

(5) Das Bundesamt kann sich bei Maßnahmen nach Absatz 1 mit der Einwilligung des Ersuchenden der Hilfe qualifizierter Dritter bedienen, wenn dies zur rechtzeitigen oder vollständigen Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems erforderlich ist. Die hierdurch entstehenden Kosten hat der Ersuchende zu tragen. Das Bundesamt kann den Ersuchenden auch auf qualifizierte Dritte verweisen. Das Bundesamt und vom Ersuchenden oder vom Bundesamt nach Satz 1 beauftragte Dritte können einander bei Maßnahmen nach Absatz 1 mit der Einwilligung des Ersuchenden Daten übermitteln. Hierfür gilt Absatz 3 entsprechend.

(6) Soweit es zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des informationstechnischen Systems erforderlich ist, kann das Bundesamt vom Hersteller des informationstechnischen Systems verlangen, an der Wiederherstellung der Sicherheit oder Funktionsfähigkeit mitzuwirken.

(7) In begründeten Einzelfällen kann das Bundesamt auch bei anderen als den in Absatz 1 genannten Einrichtungen tätig werden, wenn es darum ersucht wurde und es sich um einen herausgehobenen Fall im Sinne des Absatzes 2 handelt. Ein begründeter Einzelfall liegt in der Regel vor, wenn eine Stelle eines Landes betroffen ist.

(8) Im Falle von Anlagen oder Tätigkeiten, die einer Genehmigung nach dem Atomgesetz bedürfen, ist in Fällen der Absätze 1, 4, 5 und 7 vor Tätigwerden des Bundesamtes das Benehmen mit den zuständigen atomrechtlichen Aufsichtsbehörden des Bundes und der Länder herzustellen. Im Falle von Anlagen oder Tätigkeiten, die einer Genehmigung nach dem Atomgesetz bedürfen, haben bei Maßnahmen des Bundesamtes nach § 5b die Vorgaben aufgrund des Atomgesetzes Vorrang.

(1) Das Bundesamt darf zur Erfüllung seiner gesetzlichen Aufgabe nach § 3 Absatz 1 Satz 1 Nummer 1, 2, 14, 17 oder 18 von demjenigen, der geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt, über Bestandsdaten gemäß § 3 Nummer 6 des Telekommunikationsgesetzes und über die nach § 172 des Telekommunikationsgesetzes erhobenen Daten ( § 174 Absatz 1 Satz 1 des Telekommunikationsgesetzes ) Auskunft verlangen. Die Auskunft nach Satz 1 darf nur verlangt werden zum Schutz der Versorgung der Bevölkerung in den Bereichen des § 2 Absatz 10 Satz 1 Nummer 1 oder der öffentlichen Sicherheit, um damit eine Beeinträchtigung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme

1. 1.

   einer Kritischen Infrastruktur oder

2. 2.

   eines Unternehmens von besonderem öffentlichem Interesse

abzuwenden, wenn Tatsachen den Schluss auf ein wenigstens seiner Art nach konkretisiertes und zeitlich absehbares Geschehen zulassen, das auf die informationstechnischen Systeme bestimmbarer Infrastrukturen oder Unternehmen abzielen wird, und die in die Auskunft aufzunehmenden Daten im Einzelfall erforderlich sind, um die Betroffenen nach Absatz 4 vor dieser Beeinträchtigung zu warnen, über diese zu informieren oder sie bei deren Beseitigung zu beraten oder zu unterstützen.

(2) Die Auskunft nach Absatz 1 darf auch anhand einer zu einem bestimmten Zeitpunkt zugewiesenen Internetprotokoll-Adresse verlangt werden ( § 174 Absatz 1 Satz 3 , § 177 Absatz 1 Nummer 3 des Telekommunikationsgesetzes ). Die rechtlichen und tatsächlichen Grundlagen des Auskunftsverlangens sind aktenkundig zu machen.

(3) Der auf Grund eines Auskunftsverlangens Verpflichtete hat die zur Auskunftserteilung erforderlichen Daten unverzüglich und vollständig zu übermitteln.

(4) Nach erfolgter Auskunft weist das Bundesamt den Betreiber der betroffenen Kritischen Infrastruktur oder das betroffene Unternehmen im besonderen öffentlichen Interesse auf die bei ihm drohenden Beeinträchtigungen hin. Nach Möglichkeit weist das Bundesamt den Betreiber der betroffenen Kritischen Infrastruktur oder das betroffene Unternehmen im besonderen öffentlichen Interesse auf technische Mittel hin, mittels derer die festgestellten Beeinträchtigungen durch den Betreiber der betroffenen Kritischen Infrastruktur oder das betroffene Unternehmen im besonderen öffentlichen Interesse selbst beseitigt werden können.

(5) Das Bundesamt kann personenbezogene Daten, die es im Rahmen dieser Vorschrift verarbeitet, entsprechend § 5 Absatz 5 und 6 übermitteln.

(6) In den Fällen des Absatzes 2 ist die betroffene Person über die Auskunft zu benachrichtigen. Im Falle der Weitergabe der Information nach § 5 Absatz 5 oder wenn Tatsachen die Annahme rechtfertigen, dass die Voraussetzungen einer Weitergabe nach § 5 Absatz 5 vorliegen, ergeht darüber keine Benachrichtigung an die betroffene Person, sofern und solange überwiegende schutzwürdige Belange Dritter entgegenstehen. Wird nach Satz 2 die Benachrichtigung zurückgestellt oder wird von ihr abgesehen, sind die Gründe aktenkundig zu machen.

(7) Das Bundesamt unterrichtet die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres über

1. 1.

   die Gesamtzahl der Vorgänge, in denen Daten nach Absatz 1 oder Absatz 2 an das Bundesamt übermittelt wurden und

2. 2.

   die Übermittlungen nach Absatz 5.

(8) Das Bundesamt hat den Verpflichteten für ihm erteilte Auskünfte eine Entschädigung zu gewähren. Der Umfang der Entschädigung bemisst sich nach § 23 und Anlage 3 des Justizvergütungs- und -entschädigungsgesetzes ; die Vorschriften über die Verjährung in § 2 Absatz 1 und 4 des Justizvergütungs- und -entschädigungsgesetzes finden entsprechende Anwendung.

Für die Rechte der betroffenen Person gegen das Bundesamt gelten ergänzend zu den in der Verordnung (EU) 2016/679 enthaltenen Ausnahmen die nachfolgenden Beschränkungen. Soweit dieses Gesetz keine oder geringere Beschränkungen der Rechte der betroffenen Person enthält, gelten für die Beschränkungen im Übrigen die Regelungen des Bundesdatenschutzgesetzes ergänzend.

(1) Die Pflicht zur Information gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679 besteht ergänzend zu den in Artikel 13 Absatz 4 und Artikel 14 Absatz 5 der Verordnung (EU) 2016/679 genannten Ausnahmen nicht, wenn

1. 1.

   die Informationserteilung die ordnungsgemäße Erfüllung der in der Zuständigkeit des Bundesamtes liegenden Aufgaben gefährden würde oder

2. 2.

   die Informationserteilung die öffentliche Sicherheit oder Ordnung oder die Gewährleistung der Netz- und Informationssicherheit auf sonstige Weise gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde

und deswegen das Interesse der betroffenen Person an der Informationserteilung zurücktreten muss.

(2) Unterbleibt eine Information der betroffenen Person nach Maßgabe des Absatzes 1, ergreift das Bundesamt geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung der in Artikel 13 Absatz 1 und 2 und Artikel 14 Absatz 1 und 2 der Verordnung (EU) 2016/679 genannten Informationen für die Öffentlichkeit in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache. Das Bundesamt hält schriftlich fest, aus welchen Gründen es von einer Information der betroffenen Person abgesehen hat.

(1) Das Recht auf Auskunft gemäß Artikel 15 Absatz 1 und 2 der Verordnung (EU) 2016/679 besteht nicht, wenn und soweit

1. 1.

   die Auskunftserteilung die ordnungsgemäße Erfüllung der Aufgaben gefährden würde, die in der Zuständigkeit des Bundesamtes liegen,

2. 2.

   die Auskunftserteilung

   1. a)

      die öffentliche Sicherheit oder Ordnung oder die Gewährleistung der Netz- und Informationssicherheit gefährden würde oder

   2. b)

      sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde oder

3. 3.

   die Auskunftserteilung strafrechtliche Ermittlungen oder die Verfolgung von Straftaten gefährden würde

und deswegen das Interesse der betroffenen Person an der Auskunftserteilung zurücktreten muss.

(2) § 34 Absatz 2 bis 4 des Bundesdatenschutzgesetzes gilt entsprechend.

(1) Das Recht der betroffenen Person auf Berichtigung und Vervollständigung gemäß Artikel 16 der Verordnung (EU) 2016/679 besteht nicht, wenn und soweit die Erfüllung der Rechte der betroffenen Person die ordnungsgemäße Erfüllung der in der Zuständigkeit des Bundesamtes liegenden Aufgaben gefährden würde und deswegen das Interesse der betroffenen Person an der Ausübung dieser Rechte zurücktreten muss.

(2) In den Fällen des Absatzes 1 hat die betroffene Person einen Anspruch darauf, den Daten für die Dauer der Verarbeitung eine Gegendarstellung beizufügen, sofern dies für eine faire und transparente Verarbeitung erforderlich ist.

(1) Im Fall der nicht automatisierten Verarbeitung besteht die Pflicht des Bundesamtes zur Löschung personenbezogener Daten gemäß Artikel 17 Absatz 1 und 2 der Verordnung (EU) 2016/679 ergänzend zu den in Artikel 17 Absatz 3 genannten Ausnahmen nicht, wenn

1. 1.

   eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist und

2. 2.

   das Interesse der betroffenen Person an der Löschung als gering anzusehen ist.

In diesem Fall tritt an die Stelle der Löschung eine Einschränkung der Verarbeitung gemäß Artikel 18 der Verordnung (EU) 2016/679 . Die Sätze 1 und 2 sind nicht anzuwenden, wenn die personenbezogenen Daten unrechtmäßig verarbeitet wurden.

(2) Ist die Löschung lediglich für eine etwaige gerichtliche Überprüfung von Maßnahmen nach § 5 Absatz 3 zurückgestellt, dürfen die Daten ohne Einwilligung der betroffenen Person nur zu diesem Zweck verwendet werden; sie sind für andere Zwecke in der Verarbeitung einzuschränken. § 5 Absatz 7 bleibt unberührt.

Die Pflicht des Bundesamtes zur Einschränkung der Verarbeitung gemäß Artikel 18 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679 besteht für die Dauer der Überprüfung der Richtigkeit der personenbezogenen Daten nicht, wenn

1. 1.

   die Verarbeitung oder Weiterverarbeitung durch dieses Gesetz ausdrücklich geregelt ist oder

2. 2.

   die Einschränkung der Verarbeitung die Abwehr von Gefahren für die Sicherheit in der Informationstechnik gefährden würde

und deswegen das Interesse der betroffenen Person an der Einschränkung zurücktreten muss.

Das Recht der betroffenen Person auf Widerspruch gemäß Artikel 21 Absatz 1 der Verordnung (EU) 2016/679 besteht nicht, wenn

1. 1.

   an der Verarbeitung ein zwingendes öffentliches Interesse besteht, das die Interessen der betroffenen Person überwiegt, oder

2. 2.

   eine Rechtsvorschrift das Bundesamt zur Verarbeitung verpflichtet.

Darüber hinaus darf das Bundesamt die personenbezogenen Daten ergänzend zu Artikel 21 Absatz 1 Satz 2 der Verordnung (EU) 2016/679  so lange verarbeiten, bis das Bundesamt geprüft hat, ob zwingende schutzwürdige Gründe für die Verarbeitung bestehen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen.

(1) Zur Erfüllung seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 14 und 14a kann das Bundesamt

1. 1.

   die folgenden Warnungen und Informationen an die Öffentlichkeit oder an die betroffenen Kreise richten:

   1. a)

      Warnungen vor Sicherheitslücken in informationstechnischen Produkten und Diensten,

   2. b)

      Warnungen vor Schadprogrammen,

   3. c)

      Warnungen bei einem Verlust oder einem unerlaubten Zugriff auf Daten und

   4. d)

      Informationen über sicherheitsrelevante IT-Eigenschaften von Produkten.

2. 2.

   Sicherheitsmaßnahmen sowie den Einsatz bestimmter Sicherheitsprodukte empfehlen.

Das Bundesamt kann zur Wahrnehmung der Aufgaben nach Satz 1 Dritte einbeziehen, wenn dies für eine wirksame und rechtzeitige Warnung erforderlich ist.

(1a) Die Hersteller betroffener Produkte sind rechtzeitig vor Veröffentlichung der Warnungen zu informieren. Diese Informationspflicht besteht nicht,

1. 1.

   wenn hierdurch die Erreichung des mit der Maßnahme verfolgten Zwecks gefährdet wird oder

2. 2.

   wenn berechtigterweise davon ausgegangen werden kann, dass der Hersteller an einer vorherigen Benachrichtigung kein Interesse hat.

Soweit entdeckte Sicherheitslücken oder Schadprogramme nicht allgemein bekannt werden sollen, um eine Weiterverbreitung oder rechtswidrige Ausnutzung zu verhindern oder weil das Bundesamt gegenüber Dritten zur Vertraulichkeit verpflichtet ist, kann es den Kreis der zu warnenden Personen einschränken. Kriterien für die Auswahl des zu warnenden Personenkreises nach Satz 3 sind insbesondere die besondere Gefährdung bestimmter Einrichtungen oder die besondere Zuverlässigkeit des Empfängers.

(2) Zur Erfüllung seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 14 und 14a kann das Bundesamt die Öffentlichkeit unter Nennung der Bezeichnung und des Herstellers des betroffenen Produkts und Dienstes vor Sicherheitslücken in informationstechnischen Produkten und Diensten und vor Schadprogrammen warnen, wenn hinreichende Anhaltspunkte dafür vorliegen, dass Gefahren für die Sicherheit in der Informationstechnik hiervon ausgehen, oder Sicherheitsmaßnahmen sowie den Einsatz bestimmter informationstechnischer Produkte und Dienste empfehlen. Stellen sich die an die Öffentlichkeit gegebenen Informationen im Nachhinein als falsch oder die zugrunde liegenden Umstände als unzutreffend wiedergegeben heraus, ist dies unverzüglich öffentlich bekannt zu machen.

(1) Das Bundesamt kann zur Erfüllung seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1, 14, 14a, 17 oder 18 auf dem Markt bereitgestellte oder zur Bereitstellung auf dem Markt vorgesehene informationstechnische Produkte und Systeme untersuchen. Es kann sich hierbei der Unterstützung Dritter bedienen, soweit berechtigte Interessen des Herstellers der betroffenen Produkte und Systeme dem nicht entgegenstehen.

(2) Soweit erforderlich, kann das Bundesamt für Untersuchungen nach Absatz 1 von Herstellern informationstechnischer Produkte und Systeme alle notwendigen Auskünfte, insbesondere auch zu technischen Details, verlangen. In dem Auskunftsverlangen gibt das Bundesamt die Rechtsgrundlage, den Zweck des Auskunftsverlangens und die benötigten Auskünfte an und legt eine angemessene Frist für die Übermittlung der Auskünfte fest. Das Auskunftsverlangen enthält ferner einen Hinweis auf die in § 14 vorgesehenen Sanktionen.

(3) Das Bundesamt gibt Auskünfte sowie die aus den Untersuchungen gewonnen Erkenntnisse unverzüglich an die zuständigen Aufsichtsbehörden des Bundes oder, sofern keine Aufsichtsbehörde vorhanden ist, an das jeweilige Ressort weiter, wenn Anhaltspunkte bestehen, dass diese sie zur Erfüllung ihrer Aufgaben benötigen.

(4) Die Auskünfte und die aus den Untersuchungen gewonnenen Erkenntnisse dürfen nur zur Erfüllung der Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1, 14, 14a, 17 und 18 genutzt werden. Das Bundesamt darf seine Erkenntnisse weitergeben und veröffentlichen, soweit dies zur Erfüllung der Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1, 14, 14a, 17 und 18 erforderlich ist. Zuvor ist dem Hersteller der betroffenen Produkte und Systeme mit angemessener Frist Gelegenheit zur Stellungnahme zu geben.

(5) Kommt ein Hersteller der Aufforderung des Bundesamtes nach Absatz 2 Satz 1 nicht oder nur unzureichend nach, kann das Bundesamt hierüber die Öffentlichkeit informieren. Es kann hierbei den Namen des Herstellers sowie die Bezeichnung des betroffenen Produkts oder Systems angeben und darlegen, inwieweit der Hersteller seiner Auskunftspflicht nicht nachgekommen ist. Zuvor ist dem Hersteller mit angemessener Frist Gelegenheit zur Stellungnahme zu gewähren. § 7 Absatz 2 Satz 2 gilt entsprechend.

(1) Das Bundesamt kann im Rahmen seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1, 2, 14 oder 17 zur Detektion von Sicherheitslücken und anderen Sicherheitsrisiken bei Einrichtungen des Bundes oder der in § 2 Absatz 10 , 11 und 14 genannten Unternehmen Maßnahmen an den Schnittstellen öffentlich erreichbarer informationstechnischer Systeme zu öffentlichen Telekommunikationsnetzen (Portscans) durchführen, wenn Tatsachen die Annahme rechtfertigen, dass diese ungeschützt im Sinne des Absatzes 2 sein können und dadurch in ihrer Sicherheit oder Funktionsfähigkeit gefährdet sein können. Die Maßnahmen müssen sich auf einen vorher bestimmten Bereich von Internet-Protokolladressen, die regelmäßig den informationstechnischen Systemen

1. 1.

   des Bundes oder

2. 2.

   Kritischer Infrastrukturen, digitaler Dienste und der Unternehmen im besonderen öffentlichen Interesse

zugeordnet sind (Weiße Liste), beschränken. Die Weiße Liste ist stetig durch geeignete Überprüfungen anzupassen, um Änderungen bei der Zuordnung von Internetprotokoll-Adressen zu den in den Nummern 1 und 2 bezeichneten Stellen zu berücksichtigen. Erlangt das Bundesamt dabei Informationen, die durch Artikel 10 des Grundgesetzes geschützt sind, darf es diese nur zum Zwecke der Übermittlung nach § 5 Absatz 5 und 6 verarbeiten. Sofern die Voraussetzungen des § 5 Absatz 5 und 6 nicht vorliegen, sind Informationen, die nach Artikel 10 des Grundgesetzes geschützt sind, unverzüglich zu löschen. Maßnahmen nach Satz 1 dürfen nur durch eine Bedienstete oder einen Bediensteten des Bundesamtes mit der Befähigung zum Richteramt angeordnet werden.

(2) Ein informationstechnisches System ist ungeschützt im Sinne des Absatzes 1, wenn in diesem öffentlich bekannte Sicherheitslücken bestehen oder wenn auf Grund sonstiger offensichtlich unzureichender Sicherheitsvorkehrungen unbefugt von Dritten auf das System zugegriffen werden kann.

(3) Wird durch Maßnahmen gemäß Absatz 1 eine Sicherheitslücke oder ein anderes Sicherheitsrisiko eines informationstechnischen Systems erkannt, sind die für das informationstechnische System Verantwortlichen unverzüglich darüber zu informieren. Das Bundesamt soll dabei auf bestehende Abhilfemöglichkeiten hinweisen. Sind dem Bundesamt die Verantwortlichen nicht bekannt oder ist ihre Identifikation nur mit unverhältnismäßigem Aufwand oder über eine Bestandsdatenabfrage nach § 5c möglich, ist hilfsweise der betreibende Dienstleister des jeweiligen Netzes oder Systems unverzüglich zu benachrichtigen, wenn überwiegende Sicherheitsinteressen nicht entgegenstehen. Das Bundesamt unterrichtet die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit jeweils bis zum 30. Juni des Folgejahres über die Anzahl der gemäß Absatz 1 ergriffenen Maßnahmen. Das Bundesamt legt die Weiße Liste nach Absatz 1 Satz 3 der Bundesbeauftragten oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vierteljährlich zur Kontrolle vor.

(4) Das Bundesamt darf zur Erfüllung seiner Aufgaben Systeme und Verfahren einsetzen, welche einem Angreifer einen erfolgreichen Angriff vortäuschen, um den Einsatz von Schadprogrammen oder andere Angriffsmethoden zu erheben und auszuwerten. Das Bundesamt darf dabei die zur Auswertung der Funktionsweise der Schadprogramme und Angriffsmethoden erforderlichen Daten verarbeiten.

(1) Zur Abwehr konkreter erheblicher Gefahren für die in Absatz 2 genannten Schutzziele kann das Bundesamt gegenüber einem Anbieter von Telekommunikationsdiensten im Sinne des Telekommunikationsgesetzes (Diensteanbieter) mit mehr als 100 000 Kunden anordnen, dass er

1. 1.

   die in § 169 Absatz 6 und 7 des Telekommunikationsgesetzes bezeichneten Maßnahmen trifft oder

2. 2.

   technische Befehle zur Bereinigung von einem konkret benannten Schadprogramm an betroffene informationstechnische Systeme verteilt,

sofern und soweit der Diensteanbieter dazu technisch in der Lage ist und es ihm wirtschaftlich zumutbar ist. Vor der Anordnung der Maßnahmen nach Satz 1 Nummer 1 oder 2 durch das Bundesamt ist Einvernehmen mit der Bundesnetzagentur herzustellen. Vor der Anordnung der Maßnahme nach Satz 1 Nummer 2 durch das Bundesamt ist zusätzlich Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit herzustellen. Die Daten, auf die mit der Maßnahme nach Satz 1 Nummer 2 zugegriffen werden soll, sind in der Anordnung zu benennen. § 5 Absatz 7 Satz 2 bis 8 gilt entsprechend. Widerspruch und Anfechtungsklage gegen die Anordnungen nach Satz 1 haben keine aufschiebende Wirkung.

(2) Schutzziele gemäß Absatz 1 Satz 1 sind die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit

1. 1.

   der Kommunikationstechnik des Bundes, eines Betreibers Kritischer Infrastrukturen, eines Unternehmens im besonderen öffentlichen Interesse oder eines Anbieters digitaler Dienste,

2. 2.

   von Informations- oder Kommunikationsdiensten oder

3. 3.

   von Informationen, sofern deren Verfügbarkeit, Unversehrtheit oder Vertraulichkeit durch unerlaubte Zugriffe auf eine erhebliche Anzahl von telekommunikations- oder informationstechnischen Systemen von Nutzern eingeschränkt wird.

(3) Ordnet das Bundesamt eine Maßnahme nach Absatz 1 Satz 1 Nummer 1 an, so kann es gegenüber dem Diensteanbieter auch anordnen, den Datenverkehr an eine vom Bundesamt benannte Anschlusskennung umzuleiten.

(4) Das Bundesamt darf Daten, die von einem Diensteanbieter nach Absatz 1 Satz 1 Nummer 1 und Absatz 3 umgeleitet wurden, verarbeiten, um Informationen über Schadprogramme oder andere Sicherheitsrisiken in informationstechnischen Systemen zu erlangen. Die übermittelten Daten dürfen durch das Bundesamt so lange gespeichert werden, wie dies für die Erfüllung des in Satz 1 genannten Zwecks erforderlich ist, längstens jedoch für drei Monate. § 5 Absatz 7 Satz 2 bis 8 gilt entsprechend. entsprechend. Das Bundesamt unterrichtet die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit jeweils bis zum 30. Juni des Folgejahres über die Gesamtzahl der angeordneten Datenumleitungen.

Das Bundesamt kann in begründeten Einzelfällen zur Abwehr konkreter, erheblicher Gefahren für informationstechnische Systeme einer Vielzahl von Nutzern, die von Telemedienangeboten von Anbietern von Telemedien im Sinne des § 2 Absatz 2 Nummer 1 des Telekommunikation-Telemedien-Datenschutz-Gesetzes ausgehen, die durch ungenügende technische und organisatorische Vorkehrungen im Sinne des § 19 Absatz 4 des Telekommunikation-Telemedien-Datenschutz-Gesetzes unzureichend gesichert sind und dadurch keinen hinreichenden Schutz bieten vor

1. 1.

   unerlaubten Zugriffen auf die für diese Telemedienangebote genutzten technischen Einrichtungen oder

2. 2.

   Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gegenüber dem jeweiligen Anbieter von Telemedien im Sinne des § 2 Absatz 2 Nummer 1 des Telekommunikation-Telemedien-Datenschutz-Gesetzes anordnen, dass dieser die jeweils zur Herstellung des ordnungsgemäßen Zustands seiner Telemedienangebote erforderlichen technischen und organisatorischen Maßnahmen ergreift, um den ordnungsgemäßen Zustand seiner Telemedienangebote herzustellen. Die Zuständigkeit der Aufsichtsbehörden der Länder bleibt im Übrigen unberührt.

(1) Das Bundesamt legt im Benehmen mit den Ressorts Mindeststandards für die Sicherheit der Informationstechnik des Bundes fest, die von

1. 1.

   Stellen des Bundes,

2. 2.

   Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie ihren Vereinigungen ungeachtet ihrer Rechtsform auf Bundesebene, soweit von der jeweils zuständigen obersten Bundesbehörde angeordnet, sowie

3. 3.

   öffentlichen Unternehmen, die mehrheitlich im Eigentum des Bundes stehen und die IT-Dienstleistungen für die Bundesverwaltung erbringen,

umzusetzen sind. Abweichungen von den Mindeststandards sind nur in sachlich gerechtfertigten Fällen zulässig und sind zu dokumentieren und zu begründen. Das Bundesamt berät die in Satz 1 genannten Stellen auf Ersuchen bei der Umsetzung und Einhaltung der Mindeststandards. Für die in § 2 Absatz 3 Satz 2 genannten Gerichte und Verfassungsorgane haben die Vorschriften nach Satz 1 empfehlenden Charakter. Für die Verpflichtung nach Satz 1 gilt die Ausnahme nach § 4a Absatz 6 entsprechend.

(1a) Das Bundesministerium des Innern, für Bau und Heimat kann im Benehmen mit der Konferenz der IT-Beauftragten der Ressorts bei bedeutenden Mindeststandards die Überwachung und Kontrolle ihrer Einhaltung durch das Bundesamt anordnen. Das Bundesamt teilt das Ergebnis seiner Kontrolle der jeweiligen überprüften Stelle, deren zuständiger Aufsichtsbehörde sowie der Konferenz der IT-Beauftragten der Ressorts mit. Für andere öffentlich-rechtlich oder privatrechtlich organisierte Stellen dürfen nur dann Schnittstellen zur Kommunikationstechnik des Bundes eingerichtet werden, soweit die für die Einrichtung verantwortliche Stelle vertraglich sicherstellt, dass die öffentlich- oder privatrechtlich organisierte Stelle sich zur Einhaltung der Mindeststandards verpflichtet. Das Bundesamt kann im Einvernehmen mit dem Dritten die Einhaltung der Mindeststandards überprüfen und kontrollieren.

(2) Das Bundesamt stellt im Rahmen seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 10 technische Richtlinien bereit, die von den Stellen des Bundes als Rahmen für die Entwicklung sachgerechter Anforderungen an Auftragnehmer (Eignung) und IT-Produkte (Spezifikation) für die Durchführung von Vergabeverfahren berücksichtigt werden. Die Vorschriften des Vergaberechts und des Geheimschutzes bleiben unberührt.

(3) Die Bereitstellung von IT-Sicherheitsprodukten durch das Bundesamt nach § 3 Absatz 1 Satz 2 Nummer 11 erfolgt durch Eigenentwicklung oder nach Durchführung von Vergabeverfahren aufgrund einer entsprechenden Bedarfsfeststellung. IT-Sicherheitsprodukte können nur in begründeten Ausnahmefällen durch eine Eigenentwicklung des Bundesamtes zur Verfügung gestellt werden. Die Vorschriften des Vergaberechts bleiben unberührt. Wenn das Bundesamt IT-Sicherheitsprodukte bereitstellt, können die Stellen des Bundes oder von ihnen beauftragte Dritte diese Produkte beim Bundesamt abrufen. Durch Beschluss des Rats der IT-Beauftragten der Bundesregierung kann festgelegt werden, dass die Bundesbehörden verpflichtet sind, diese Produkte beim Bundesamt abzurufen. Eigenbeschaffungen anderer Bundesbehörden sind in diesem Fall nur zulässig, wenn das spezifische Anforderungsprofil den Einsatz abweichender Produkte erfordert. Die Sätze 5 und 6 gelten nicht für die in § 2 Absatz 3 Satz 2 genannten Gerichte und Verfassungsorgane.

(4) Zur Gewährleistung der Sicherheit in der Informationstechnik bei der Planung und Umsetzung von wesentlichen Digitalisierungsvorhaben des Bundes soll die jeweils verantwortliche Stelle das Bundesamt frühzeitig beteiligen und dem Bundesamt Gelegenheit zur Stellungnahme geben.

(1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens bis zum ersten Werktag, der darauf folgt, dass diese erstmalig oder erneut als Betreiber einer Kritischen Infrastruktur nach der Rechtsverordnung nach § 10 Absatz 1 gelten, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.

(1a) Die Verpflichtung nach Absatz 1 Satz 1, angemessene organisatorische und technische Vorkehrungen zu treffen, umfasst ab dem 1. Mai 2023 auch den Einsatz von Systemen zur Angriffserkennung. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen. Absatz 1 Satz 2 und 3 gilt entsprechend.

(2) Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach den Absätzen 1 und 1a vorschlagen. Das Bundesamt stellt auf Antrag fest, ob diese geeignet sind, die Anforderungen nach den Absätzen 1 und 1a zu gewährleisten. Die Feststellung erfolgt

1. 1.

   im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe,

2. 2.

   im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes.

(3) Betreiber Kritischer Infrastrukturen haben die Erfüllung der Anforderungen nach den Absätzen 1 und 1a spätestens zwei Jahre nach dem in Absatz 1 genannten Zeitpunkt und anschließend alle zwei Jahre dem Bundesamt nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann die Vorlage der Dokumentation, die der Überprüfung zugrunde gelegt wurde, verlangen. Es kann bei Sicherheitsmängeln im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen.

(4) Das Bundesamt kann beim Betreiber Kritischer Infrastrukturen die Einhaltung der Anforderungen nach den Absätzen 1 und 1a überprüfen; es kann sich bei der Durchführung der Überprüfung eines qualifizierten unabhängigen Dritten bedienen. Der Betreiber Kritischer Infrastrukturen hat dem Bundesamt und den in dessen Auftrag handelnden Personen zum Zweck der Überprüfung das Betreten der Geschäfts- und Betriebsräume während der üblichen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren. Für die Überprüfung erhebt das Bundesamt Gebühren und Auslagen bei dem jeweiligen Betreiber Kritischer Infrastrukturen nur, sofern das Bundesamt auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Einhaltung der Anforderungen nach den Absätzen 1 und 1a begründeten.

(5) Das Bundesamt kann zur Ausgestaltung des Verfahrens der Sicherheitsaudits, Prüfungen und Zertifizierungen nach Absatz 3 Anforderungen an die Art und Weise der Durchführung, an die hierüber auszustellenden Nachweise sowie fachliche und organisatorische Anforderungen an die prüfende Stelle nach Anhörung von Vertretern der betroffenen Betreiber und der betroffenen Wirtschaftsverbände festlegen.

(1) Das Bundesamt ist die zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit in der Informationstechnik.

(2) Das Bundesamt hat zur Wahrnehmung dieser Aufgabe

1. 1.

   die für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik wesentlichen Informationen zu sammeln und auszuwerten, insbesondere Informationen zu Sicherheitslücken, zu Schadprogrammen, zu erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und zu der dabei beobachteten Vorgehensweise,

2. 2.

   deren potentielle Auswirkungen auf die Verfügbarkeit der Kritischen Infrastrukturen in Zusammenarbeit mit den zuständigen Aufsichtsbehörden und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe zu analysieren,

3. 3.

   das Lagebild bezüglich der Sicherheit in der Informationstechnik der Kritischen Infrastrukturen oder der Unternehmen im besonderen öffentlichen Interesse kontinuierlich zu aktualisieren und

4. 4.

   unverzüglich

   1. a)

      die Betreiber Kritischer Infrastrukturen und die Unternehmen im besonderen öffentlichen Interesse über sie betreffende Informationen nach den Nummern 1 bis 3,

   2. b)

      die zuständigen Aufsichtsbehörden und die sonst zuständigen Behörden des Bundes über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3,

   3. c)

      die zuständigen Aufsichtsbehörden der Länder oder die zu diesem Zweck dem Bundesamt von den Ländern als zentrale Kontaktstellen benannten Behörden über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3 sowie

   4. d)

      die zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union über nach Absatz 4 oder nach vergleichbaren Regelungen gemeldete erhebliche Störungen, die Auswirkungen in diesem Mitgliedstaat haben,

   zu unterrichten.

(3) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens bis zum ersten Werktag, der darauf folgt, dass diese erstmalig oder erneut als Betreiber einer Kritischen Infrastruktur nach der Rechtsverordnung nach § 10 Absatz 1 gelten, die von ihnen betriebenen Kritischen Infrastrukturen beim Bundesamt zu registrieren und eine Kontaktstelle zu benennen. Die Registrierung eines Betreibers einer Kritischen Infrastruktur kann das Bundesamt auch selbst vornehmen, wenn der Betreiber seine Pflicht zur Registrierung nicht erfüllt. Nimmt das Bundesamt eine solche Registrierung selbst vor, informiert es die zuständige Aufsichtsbehörde des Bundes darüber. Die Betreiber haben sicherzustellen, dass sie über die benannte oder durch das Bundesamt festgelegte Kontaktstelle jederzeit erreichbar sind. Die Übermittlung von Informationen durch das Bundesamt nach Absatz 2 Nummer 4 erfolgt an diese Kontaktstelle.

(3a) Rechtfertigen Tatsachen die Annahme, dass ein Betreiber seine Pflicht zur Registrierung nach Absatz 3 nicht erfüllt, so hat der Betreiber dem Bundesamt auf Verlangen die für die Bewertung aus Sicht des Bundesamtes erforderlichen Aufzeichnungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen und Auskunft zu erteilen, soweit nicht Geheimschutzinteressen oder überwiegende Sicherheitsinteressen entgegenstehen.

(4) Betreiber Kritischer Infrastrukturen haben die folgenden Störungen unverzüglich über die Kontaktstelle an das Bundesamt zu melden:

1. 1.

   Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt haben,

2. 2.

   erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können.

Die Meldung muss Angaben zu der Störung, zu möglichen grenzübergreifenden Auswirkungen sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur erbrachten kritischen Dienstleistung und zu den Auswirkungen der Störung auf diese Dienstleistung enthalten. Die Nennung des Betreibers ist nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat.

(4a) Während einer erheblichen Störung gemäß Absatz 4 Satz 1 Nummer 2, § 8f Absatz 7 Satz 1 Nummer 2 oder Absatz 8 Satz 1 Nummer 2 kann das Bundesamt im Einvernehmen mit der jeweils zuständigen Aufsichtsbehörde des Bundes von den betroffenen Betreibern Kritischer Infrastrukturen oder den Unternehmen im besonderen öffentlichen Interesse die Herausgabe der zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten verlangen. Betreiber Kritischer Infrastrukturen und Unternehmen im besonderen öffentlichen Interesse sind befugt, dem Bundesamt auf Verlangen die zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten zu übermitteln, soweit dies zur Bewältigung einer erheblichen Störung gemäß Absatz 4 Satz 1 Nummer 2, § 8f Absatz 7 Satz 1 Nummer 2 oder Absatz 8 Satz 1 Nummer 2 erforderlich ist.

(5) Zusätzlich zu ihrer Kontaktstelle nach Absatz 3 können Betreiber Kritischer Infrastrukturen, die dem gleichen Sektor angehören, eine gemeinsame übergeordnete Ansprechstelle benennen. Wurde eine solche benannt, erfolgt der Informationsaustausch zwischen den Kontaktstellen und dem Bundesamt in der Regel über die gemeinsame Ansprechstelle.

(6) Soweit erforderlich kann das Bundesamt vom Hersteller der betroffenen informationstechnischen Produkte und Systeme die Mitwirkung an der Beseitigung oder Vermeidung einer Störung nach Absatz 4, oder § 8f Absatz 7 oder 8 verlangen. Satz 1 gilt für Störungen bei Betreibern und Genehmigungsinhabern im Sinne von § 8d Absatz 3 entsprechend.

(7) Soweit im Rahmen dieser Vorschrift personenbezogene Daten verarbeitet werden, ist eine über die vorstehenden Absätze hinausgehende Verarbeitung zu anderen Zwecken unzulässig. § 5 Absatz 7 Satz 3 bis 8 ist entsprechend anzuwenden.

(1) Anbieter digitaler Dienste haben geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen, zu bewältigen. Sie haben Maßnahmen zu treffen, um den Auswirkungen von Sicherheitsvorfällen auf innerhalb der Europäischen Union erbrachte digitale Dienste vorzubeugen oder die Auswirkungen so gering wie möglich zu halten.

(2) Maßnahmen zur Bewältigung von Risiken für die Sicherheit der Netz- und Informationssysteme nach Absatz 1 Satz 1 müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Dabei ist folgenden Aspekten Rechnung zu tragen:

1. 1.

   der Sicherheit der Systeme und Anlagen,

2. 2.

   der Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen, soweit sie den Regelungen des § 11 des Energiewirtschaftsgesetzes unterliegen,

3. 3.

   dem Betriebskontinuitätsmanagement,

4. 4.

   der Überwachung, Überprüfung und Erprobung,

5. 5.

   der Einhaltung internationaler Normen.

Die notwendigen Maßnahmen werden durch Durchführungsrechtsakte der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148  näher bestimmt.

(3) Anbieter digitaler Dienste haben jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines von ihnen innerhalb der Europäischen Union erbrachten digitalen Dienstes hat, unverzüglich dem Bundesamt zu melden. Die Voraussetzungen, nach denen Auswirkungen eines Sicherheitsvorfalls erheblich sind, werden durch Durchführungsakte der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 unter Berücksichtigung insbesondere der folgenden Parameter näher bestimmt:

1. 1.

   die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer, insbesondere der Nutzer, die den Dienst für die Bereitstellung ihrer eigenen Dienste benötigen,

2. 2.

   die Dauer des Sicherheitsvorfalls,

3. 3.

   das von dem Sicherheitsvorfall betroffene geographische Gebiet,

4. 4.

   das Ausmaß der Unterbrechung der Bereitstellung des Dienstes,

5. 5.

   das Ausmaß der Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten.

Die Pflicht zur Meldung eines Sicherheitsvorfalls entfällt, wenn der Anbieter keinen ausreichenden Zugang zu den Informationen hat, die erforderlich sind, um die Auswirkung eines Sicherheitsvorfalls gemessen an den Parametern nach Satz 2 zu bewerten. Für den Inhalt der Meldungen gilt § 8b Absatz 4 entsprechend, soweit nicht Durchführungsakte der Kommission nach Artikel 16 Absatz 9 der Richtlinie (EU) 2016/1148 etwas anderes bestimmen. Über nach Satz 1 gemeldete Sicherheitsvorfälle, die Auswirkungen in einem anderen Mitgliedstaat der Europäischen Union haben, hat das Bundesamt die zuständige Behörde dieses Mitgliedstaats zu unterrichten.

(4) Liegen Anhaltspunkte dafür vor, dass ein Anbieter digitaler Dienste die Anforderungen des Absatzes 1 in Verbindung mit den Durchführungsrechtsakten der Kommission nach Artikel 16 Absatz 8 der Richtlinie (EU) 2016/1148 und des Absatzes 2 in Verbindung mit den Durchführungsrechtsakten der Kommission nach Artikel 16 Absatz 9 der Richtlinie (EU) 2016/1148 nicht erfüllt, kann das Bundesamt von dem Anbieter digitaler Dienste folgende Maßnahmen verlangen:

1. 1.

   die Übermittlung der zur Beurteilung der Sicherheit seiner Netz- und Informationssysteme erforderlichen Informationen, einschließlich Nachweisen über ergriffene Sicherheitsmaßnahmen,

2. 2.

   die Beseitigung von Mängeln bei der Erfüllung der in den Absätzen 1 und 2 bestimmten Anforderungen.

Die Anhaltspunkte können sich auch aus Feststellungen ergeben, die dem Bundesamt von den zuständigen Behörden eines anderen Mitgliedstaats der Europäischen Union vorgelegt werden.

(5) Hat ein Anbieter digitaler Dienste seine Hauptniederlassung, einen Vertreter oder Netz- und Informationssysteme in einem anderen Mitgliedstaat der Europäischen Union, so arbeitet das Bundesamt bei der Erfüllung der Aufgaben nach Absatz 4 mit der zuständigen Behörde dieses Mitgliedstaats zusammen. Diese Zusammenarbeit kann das Ersuchen umfassen, die Maßnahmen in Absatz 4 Satz 1 Nummer 1 und 2 zu ergreifen.

(1) Die §§ 8a und 8b sind nicht anzuwenden auf Kleinstunternehmen im Sinne der Empfehlung 003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom 20.5.2003, S. 36). Artikel 3 Absatz 4 des Anhangs der Empfehlung ist nicht anzuwenden.

(1a) § 8f ist nicht anzuwenden auf Kleinstunternehmen und kleine Unternehmen im Sinne der Empfehlung 2003/361/EG. Artikel 3 Absatz 4 des Anhangs zu der Empfehlung ist nicht anzuwenden.

(2) § 8a ist nicht anzuwenden auf

1. 1.

   Betreiber Kritischer Infrastrukturen, soweit sie ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen,

2. 2.

   Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energiewirtschaftsgesetzes vom 7. Juli 2005 ( BGBl. I S. 1970 , 3621 ), das zuletzt durch Artikel 3 des Gesetzes vom 17. Juli 2015 ( BGBl. I S. 1324 ) geändert worden ist, in der jeweils geltenden Fassung, soweit sie den Regelungen des § 11 des Energiewirtschaftsgesetzes unterliegen,

3. 3.

   die Gesellschaft für Telematik nach § 306 Absatz 1 Satz 3 des Fünften Buches Sozialgesetzbuch , Betreiber von Diensten der Telematikinfrastruktur im Hinblick auf die nach § 311 Absatz 6 und § 325 des Fünften Buches Sozialgesetzbuch zugelassenen Dienste und Betreiber von Diensten, soweit sie die Telematikinfrastruktur für nach § 327 Absatz 2 bis 5 des Fünften Buches Sozialgesetzbuch bestätigte Anwendungen nutzen,

4. 4.

   Genehmigungsinhaber nach § 7 Absatz 1 des Atomgesetzes in der Fassung der Bekanntmachung vom 15. Juli 1985 ( BGBl. I S. 1565 ), das zuletzt durch Artikel 2 des Gesetzes vom 17. Juli 2015 ( BGBl. I S. 1324 ) geändert worden ist, in der jeweils geltenden Fassung für den Geltungsbereich der Genehmigung sowie

5. 5.

   sonstige Betreiber Kritischer Infrastrukturen, soweit sie auf Grund von Rechtsvorschriften Anforderungen erfüllen müssen, die mit den Anforderungen nach § 8a vergleichbar oder weitergehend sind.

(3) § 8b Absatz 4 und 4a ist nicht anzuwenden auf

1. 1.

   Betreiber Kritischer Infrastrukturen, soweit sie ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen,

2. 2.

   Betreiber von Energieversorgungsnetzen oder Energieanlagen, soweit sie den Regelungen des § 11 des Energiewirtschaftsgesetzes unterliegen,

3. 3.

   die Gesellschaft für Telematik nach § 306 Absatz 1 Satz 3 des Fünften Buches Sozialgesetzbuch , Betreiber von Diensten der Telematikinfrastruktur im Hinblick auf die nach § 311 Absatz 6 und § 325 des Fünften Buches Sozialgesetzbuch zugelassenen Dienste und Betreiber von Diensten, soweit sie die Telematikinfrastruktur für nach § 327 Absatz 2 bis 5 des Fünften Buches Sozialgesetzbuch bestätigte Anwendungen nutzen,

4. 4.

   Genehmigungsinhaber nach § 7 Absatz 1 des Atomgesetzes für den Geltungsbereich der Genehmigung sowie

5. 5.

   sonstige Betreiber Kritischer Infrastrukturen, die auf Grund von Rechtsvorschriften Anforderungen erfüllen müssen, die mit den Anforderungen nach § 8b Absatz 4 vergleichbar oder weitergehend sind.

(4) § 8c Absatz 1 bis 3 gilt nicht für Kleinstunternehmen und kleine Unternehmen im Sinne der Empfehlung 2003/361/EG. § 8c Absatz 3 gilt nicht für Anbieter,

1. 1.

   die ihren Hauptsitz in einem anderen Mitgliedstaat der Europäischen Union haben oder

2. 2.

   die, soweit sie nicht in einem Mitgliedstaat der Europäischen Union niedergelassen sind, einen Vertreter in einem anderen Mitgliedstaat der Europäischen Union benannt haben, in dem die digitalen Dienste ebenfalls angeboten werden.

Für Anbieter nach Satz 2 gilt § 8c Absatz 4 nur, soweit sie in der Bundesrepublik Deutschland Netz- und Informationssysteme betreiben, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen.

(1) Das Bundesamt kann Dritten auf Antrag Auskunft zu den im Rahmen von § 8a Absatz 2 und 3 , § 8c Absatz 4 und § 8f erhaltenen Informationen sowie zu den Meldungen nach § 8b Absatz 4 , 4a und 4b sowie § 8c Absatz 4 nur erteilen, wenn

1. 1.

   schutzwürdige Interessen des betroffenen Betreibers einer Kritischen Infrastruktur, des Unternehmens im besonderen öffentlichen Interesse oder des Anbieters digitaler Dienste dem nicht entgegenstehen und

2. 2.

   durch die Auskunft keine Beeinträchtigung von Sicherheitsinteressen eintreten kann.

Zugang zu personenbezogenen Daten wird nicht gewährt.

(2) Zugang zu den Akten des Bundesamtes in Angelegenheiten nach den §§ 8a bis 8c und 8f wird bei Vorliegen der Voraussetzungen des § 29 des Verwaltungsverfahrensgesetzes nur gewährt, wenn

1. 1.

   schutzwürdige Interessen des betroffenen Betreibers einer Kritischen Infrastruktur, des Unternehmens im besonderen öffentlichen Interesse oder des Anbieters digitaler Dienste dem nicht entgegenstehen und

2. 2.

   durch den Zugang zu den Akten keine Beeinträchtigung von Sicherheitsinteressen eintreten kann.

(3) Für Betreiber nach § 8d Absatz 2 und 3 gelten die Absätze 1 und 2 entsprechend.

(4) Informationsansprüche nach dem Umweltinformationsgesetz bleiben von dieser Vorschrift unberührt.

(1) Unternehmen im besonderen öffentlichen Interesse nach § 2 Absatz 14 Satz 1 Nummer 1 und 2 sind verpflichtet, spätestens bis zum ersten Werktag, der darauf folgt, dass diese erstmalig oder erneut als Unternehmen im besonderen öffentlichen Interesse nach § 2 Absatz 14 Satz 1 Nummer 1 oder 2 gelten, und danach mindestens alle zwei Jahre eine Selbsterklärung zur IT-Sicherheit beim Bundesamt vorzulegen, aus der hervorgeht,

1. 1.

   welche Zertifizierungen im Bereich der IT-Sicherheit in den letzten zwei Jahren durchgeführt, welche Prüfgrundlage und welcher Geltungsbereich hierfür festgelegt wurden,

2. 2.

   welche sonstigen Sicherheitsaudits oder Prüfungen im Bereich der IT-Sicherheit in den letzten zwei Jahren durchgeführt, welche Prüfgrundlage und welcher Geltungsbereich hierfür festgelegt wurden oder

3. 3.

   wie sichergestellt wird, dass die für das Unternehmen besonders schützenswerten informationstechnischen Systeme, Komponenten und Prozesse angemessen geschützt werden, und ob dabei der Stand der Technik eingehalten wird.

(2) Das Bundesamt kann für die Selbsterklärung nach Absatz 1 zu verwendende Formulare einführen.

(3) Das Bundesamt kann auf Grundlage der Selbsterklärung nach Absatz 1 Hinweise zu angemessenen organisatorischen und technischen Vorkehrungen nach Absatz 1 Nummer 3 zur Einhaltung des Stands der Technik geben.

(4) Für Unternehmen im besonderen öffentlichen Interesse nach § 2 Absatz 14 Satz 1 Nummer 1 gilt die Pflicht nach Absatz 1 nicht vor dem 1. Mai 2023. Für Unternehmen im besonderen öffentlichen Interesse nach § 2 Absatz 14 Nummer 2 gilt diese Pflicht frühestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 5 .

(5) Unternehmen im besonderen öffentlichen Interesse nach § 2 Absatz 14 Satz 1 Nummer 1 und 2 sind verpflichtet, sich gleichzeitig mit der Vorlage der ersten Selbsterklärung zur IT-Sicherheit nach Absatz 1 beim Bundesamt zu registrieren und eine zu den üblichen Geschäftszeiten erreichbare Stelle zu benennen. Die Übermittlung von Informationen durch das Bundesamt nach § 8b Absatz 2 Nummer 4 erfolgt an diese Stelle.

(6) Unternehmen im besonderen öffentlichen Interesse nach § 2 Absatz 14 Satz 1 Nummer 3 können eine freiwillige Registrierung beim Bundesamt und die Benennung einer zu den üblichen Geschäftszeiten erreichbaren Stelle vornehmen. Die Übermittlung von Informationen durch das Bundesamt nach § 8b Absatz 2 Nummer 4 erfolgt an diese Stelle.

(7) Unternehmen im besonderen öffentlichen Interesse nach § 2 Absatz 14 Satz 1 Nummer 1 und 2 haben ab dem Zeitpunkt, zu dem eine Pflicht zur Vorlage der Selbsterklärung zur IT-Sicherheit nach Absatz 1 besteht, die folgenden Störungen unverzüglich über die nach Absatz 5 benannte Stelle an das Bundesamt zu melden:

1. 1.

   Störungen der Verfügbarkeit, der Integrität, der Authentizität und der Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Erbringung der Wertschöpfung geführt haben,

2. 2.

   erhebliche Störungen der Verfügbarkeit, der Integrität, der Authentizität und der Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Erbringung der Wertschöpfung führen können.

Die Meldung muss Angaben zu der Störung, zu den technischen Rahmenbedingungen, insbesondere zu der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik und der Art der betroffenen Einrichtung oder Anlage enthalten.

(8) Unternehmen im besonderen öffentlichen Interesse nach § 2 Absatz 14 Satz 1 Nummer 3 haben spätestens ab dem 1. November 2021 die folgenden Störungen unverzüglich an das Bundesamt zu melden:

1. 1.

   Störungen der Verfügbarkeit, der Integrität, der Authentizität und der Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Störfall nach der Störfall-Verordnung in der jeweils geltenden Fassung geführt haben,

2. 2.

   erhebliche Störungen der Verfügbarkeit, der Integrität, der Authentizität und der Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Störfall nach der Störfall-Verordnung in der jeweils geltenden Fassung führen können.

Die Meldung muss Angaben zu der Störung, zu den technischen Rahmenbedingungen, insbesondere zu der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik und der Art der betroffenen Einrichtung oder Anlage enthalten.

(9) Rechtfertigen Tatsachen die Annahme, dass ein Unternehmen ein Unternehmen im besonderen öffentlichen Interesse nach § 2 Absatz 14 Satz 1 Nummer 2 ist, aber seine Pflichten nach Absatz 5 nicht erfüllt, so kann das Bundesamt verlangen:

1. 1.

   eine rechnerische Darlegung, wie hoch die vom Unternehmen erbrachte inländische Wertschöpfung nach der in der Rechtsverordnung nach § 10 Absatz 5 festgelegten Berechnungsmethode ist, oder

2. 2.

   eine Bestätigung einer anerkannten Wirtschaftsprüfungsgesellschaft, dass das Unternehmen nach der in der Rechtsverordnung nach § 10 Absatz 5 festgelegten Berechnungsmethode kein Unternehmen im besonderen öffentlichen Interesse nach § 2 Absatz 14 Satz 1 Nummer 2 ist.

(1) Das Bundesamt ist nationale Zertifizierungsstelle der Bundesverwaltung für IT-Sicherheit.

(2) Für bestimmte Produkte oder Leistungen kann beim Bundesamt eine Sicherheits- oder Personenzertifizierung oder eine Zertifizierung als IT-Sicherheitsdienstleister beantragt werden. Die Anträge werden in der zeitlichen Reihenfolge ihres Eingangs bearbeitet; hiervon kann abgewichen werden, wenn das Bundesamt wegen der Zahl und des Umfangs anhängiger Prüfungsverfahren eine Prüfung in angemessener Zeit nicht durchführen kann und an der Erteilung eines Zertifikats ein öffentliches Interesse besteht. Der Antragsteller hat dem Bundesamt die Unterlagen vorzulegen und die Auskünfte zu erteilen, deren Kenntnis für die Prüfung und Bewertung des Systems oder der Komponente oder der Eignung der Person sowie für die Erteilung des Zertifikats erforderlich ist.

(3) Die Prüfung und Bewertung kann durch vom Bundesamt anerkannte sachverständige Stellen erfolgen.

(4) Das Sicherheitszertifikat wird erteilt, wenn

1. 1.

   informationstechnische Systeme, Komponenten, Produkte oder Schutzprofile den vom Bundesamt festgelegten Kriterien entsprechen und

2. 2.

   das Bundesministerium des Innern, für Bau und Heimat die Erteilung des Zertifikats nicht nach Absatz 4a untersagt hat.

Vor Erteilung des Sicherheitszertifikats legt das Bundesamt den Vorgang dem Bundesministerium des Innern, für Bau und Heimat zur Prüfung nach Absatz 4a vor.

(4a) Das Bundesministerium des Innern, für Bau und Heimat kann eine Zertifikatserteilung nach Absatz 4 im Einzelfall untersagen, wenn überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung entgegenstehen.

(5) Für die Zertifizierung von Personen und IT-Sicherheitsdienstleistern gilt Absatz 4 entsprechend.

(6) Eine Anerkennung nach Absatz 3 wird erteilt, wenn

1. 1.

   die sachliche und personelle Ausstattung sowie die fachliche Qualifikation und Zuverlässigkeit der Konformitätsbewertungsstelle den vom Bundesamt festgelegten Kriterien entspricht und

2. 2.

   das Bundesministerium des Innern, für Bau und Heimat festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.

Das Bundesamt stellt durch die notwendigen Maßnahmen sicher, dass das Fortbestehen der Voraussetzungen nach Satz 1 regelmäßig überprüft wird.

(7) Sicherheitszertifikate anderer anerkannter Zertifizierungsstellen aus dem Bereich der Europäischen Union werden vom Bundesamt anerkannt, soweit sie eine den Sicherheitszertifikaten des Bundesamtes gleichwertige Sicherheit ausweisen und die Gleichwertigkeit vom Bundesamt festgestellt worden ist.

(1) Das Bundesamt ist die nationale Behörde für die Cybersicherheitszertifizierung im Sinne des Artikels 58 Absatz 1 der Verordnung (EU) 2019/881 .

(2) Das Bundesamt kann auf Antrag Konformitätsbewertungsstellen, die im Anwendungsbereich der Verordnung (EU) 2019/881 sowie des § 9 dieses Gesetzes tätig werden, eine Befugnis erteilen, als solche tätig zu werden, wenn die Voraussetzungen des maßgeblichen europäischen Schemas für die Cybersicherheitszertifizierung nach Artikel 54 der Verordnung (EU) 2019/881 oder des § 9 dieses Gesetzes erfüllt sind. Ohne eine Befugniserteilung durch das Bundesamt dürfen Konformitätsbewertungsstellen im Anwendungsbereich der Verordnung (EU) 2019/881 nicht tätig werden.

(3) Soweit dies zur Erfüllung seiner Aufgaben nach Artikel 58 Absatz 7 der Verordnung (EU) 2019/881 und nach § 9 dieses Gesetzes erforderlich ist, kann das Bundesamt von Konformitätsbewertungsstellen, denen eine Befugnis nach Absatz 2 erteilt wurde, von Inhabern europäischer Cybersicherheitszertifikate und von Ausstellern von EU-Konformitätserklärungen im Sinne von Artikel 56 Absatz 8 der Verordnung (EU) 2019/881 die erforderlichen Auskünfte und sonstige Unterstützung, insbesondere die Vorlage von Unterlagen oder Mustern, verlangen. § 3 Absatz 1 Satz 1 und 3 des Akkreditierungsstellengesetzes gilt entsprechend.

(4) Das Bundesamt kann Untersuchungen in Form von Auditierungen nach Artikel 58 Absatz 8 Buchstabe b der Verordnung (EU) 2019/881 bei Konformitätsbewertungsstellen, denen eine Befugnis nach Absatz 2 erteilt wurde, bei Inhabern europäischer Cybersicherheitszertifikate und bei Ausstellern von EU-Konformitätserklärungen im Sinne von Artikel 56 Absatz 8 der Verordnung (EU) 2019/881 durchführen, um die Einhaltung der Bestimmungen des Titels III der Verordnung (EU) 2019/881 zu überprüfen. § 3 Absatz 1 Satz 1 bis 3 des Akkreditierungsstellengesetzes gilt entsprechend.

(5) Das Bundesamt ist befugt, Betriebsstätten, Geschäfts- und Betriebsräume von Konformitätsbewertungsstellen, denen eine Befugnis nach Absatz 2 erteilt wurde, und von Inhabern europäischer Cybersicherheitszertifikate im Sinne von Artikel 56 Absatz 8 der Verordnung (EU) 2019/881 in den Zeiten, zu denen die Räume normalerweise für die jeweilige geschäftliche oder betriebliche Nutzung zur Verfügung stehen, zu betreten, zu besichtigen und zu prüfen, soweit dies zur Erfüllung seiner Aufgaben nach Artikel 58 Absatz 7 der Verordnung (EU) 2019/881 sowie nach § 9 dieses Gesetzes erforderlich ist. § 3 Absatz 1 Satz 1 bis 3 des Akkreditierungsstellengesetzes gilt entsprechend.

(6) Das Bundesamt kann von ihm ausgestellte Cybersicherheitszertifikate oder durch eine Konformitätsbewertungsstelle, der eine Befugnis nach Absatz 2 erteilt wurde, nach Artikel 56 Absatz 6 der Verordnung (EU) 2019/881 ausgestellte Cybersicherheitszertifikate widerrufen oder EU-Konformitätserklärungen im Sinne der Verordnung (EU) 2019/881  für ungültig erklären,

1. 1.

   sofern diese Zertifikate oder EU-Konformitätserklärungen die Anforderungen nach der Verordnung (EU) 2019/881 oder eines europäischen Schemas für die Cybersicherheitszertifizierung nach Artikel 54 der Verordnung (EU) 2019/881 nicht erfüllen oder

2. 2.

   wenn das Bundesamt die Erfüllung nach Nummer 1 nicht feststellen kann, weil der Inhaber des europäischen Cybersicherheitszertifikats oder der Aussteller der EU-Konformitätserklärung seinen Mitwirkungspflichten nach Absatz 3 nicht nachgekommen ist oder weil dieser das Bundesamt bei der Wahrnehmung seiner Befugnisse nach Absatz 4 oder im Falle eines Inhabers eines europäischen Cybersicherheitszertifikats auch nach Absatz 5 behindert hat.

(7) Das Bundesamt kann von ihm erteilte Befugnisse nach Absatz 2 widerrufen,

1. 1.

   sofern die Voraussetzungen des maßgeblichen europäischen Schemas für die Cybersicherheitszertifizierung nach Artikel 54 Verordnung (EU) 2019/881 oder des § 9 dieses Gesetzes nicht erfüllt sind oder

2. 2.

   wenn das Bundesamt die Erfüllung dieser Voraussetzungen nicht feststellen kann, weil die Konformitätsbewertungsstelle ihren Mitwirkungspflichten nach Absatz 3 nicht nachgekommen ist oder weil diese das Bundesamt bei der Wahrnehmung seiner Befugnisse nach den Absätzen 4 und 5 behindert hat.

(1) Der Betreiber einer Kritischen Infrastruktur hat den geplanten erstmaligen Einsatz einer kritischen Komponente gemäß § 2 Absatz 13 dem Bundesministerium des Innern, für Bau und Heimat vor ihrem Einsatz anzuzeigen. In der Anzeige sind die kritische Komponente und die geplante Art ihres Einsatzes anzugeben. Satz 1 gilt für einen Betreiber einer Kritischen Infrastruktur nicht, wenn dieser den Einsatz einer anderen kritischen Komponente desselben Typs für dieselbe Art des Einsatzes bereits nach Satz 1 angezeigt hat und ihm dieser nicht untersagt wurde.

(2) Das Bundesministerium des Innern, für Bau und Heimat kann den geplanten erstmaligen Einsatz einer kritischen Komponente gegenüber dem Betreiber der Kritischen Infrastruktur im Benehmen mit den in § 10 Absatz 1 aufgeführten jeweils betroffenen Ressorts sowie dem Auswärtigen Amt bis zum Ablauf von zwei Monaten nach Eingang der Anzeige nach Absatz 1 untersagen oder Anordnungen erlassen, wenn der Einsatz die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt. Bei der Prüfung einer voraussichtlichen Beeinträchtigung der öffentlichen Ordnung oder Sicherheit kann insbesondere berücksichtigt werden, ob

1. 1.

   der Hersteller unmittelbar oder mittelbar von der Regierung, einschließlich sonstiger staatlicher Stellen oder Streitkräfte, eines Drittstaates kontrolliert wird,

2. 2.

   der Hersteller bereits an Aktivitäten beteiligt war oder ist, die nachteilige Auswirkungen auf die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland oder eines anderen Mitgliedstaates der Europäischen Union, der Europäischen Freihandelsassoziation oder des Nordatlantikvertrages oder auf deren Einrichtungen hatten, oder

3. 3.

   der Einsatz der kritischen Komponente im Einklang mit den sicherheitspolitischen Zielen der Bundesrepublik Deutschland, der Europäischen Union oder des Nordatlantikvertrages steht.

Vor Ablauf der Frist von zwei Monaten nach Anzeige nach Absatz 1 ist der Einsatz nicht gestattet. Das Bundesministerium des Innern, für Bau und Heimat kann die Frist gegenüber dem Betreiber um weitere zwei Monate verlängern, wenn die Prüfung besondere Schwierigkeiten tatsächlicher oder rechtlicher Art aufweist.

(3) Kritische Komponenten gemäß § 2 Absatz 13 dürfen nur eingesetzt werden, wenn der Hersteller eine Erklärung über seine Vertrauenswürdigkeit (Garantieerklärung) gegenüber dem Betreiber der Kritischen Infrastruktur abgeben hat. Die Garantieerklärung ist der Anzeige nach Absatz 1 beizufügen. Aus der Garantieerklärung muss hervorgehen, wie der Hersteller sicherstellt, dass die kritische Komponente nicht über technische Eigenschaften verfügt, die spezifisch geeignet sind, missbräuchlich, insbesondere zum Zwecke von Sabotage, Spionage oder Terrorismus auf die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der Kritischen Infrastruktur einwirken zu können. Das Bundesministerium des Innern, für Bau und Heimat legt die Einzelheiten der Mindestanforderungen an die Garantieerklärung im Einvernehmen mit den in § 10 Absatz 1 aufgeführten jeweils betroffenen Ressorts sowie dem Auswärtigen Amt durch Allgemeinverfügung fest, die im Bundesanzeiger bekannt zu machen ist. Die Einzelheiten der Mindestanforderungen an die Garantieerklärung müssen aus den Schutzzielen der Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der Kritischen Infrastruktur folgen und die Vermeidung von Gefahren für die öffentliche Sicherheit und Ordnung, insbesondere im Sinne von Absatz 2 Satz 2, adressieren, die aus der Sphäre des Herstellers der kritischen Komponente, insbesondere dessen Organisationsstruktur, stammen. Die Sätze 1 und 2 gelten erst ab der Bekanntmachung der Allgemeinverfügung nach Satz 5 und nicht für bereits vor diesem Zeitpunkt eingesetzte kritische Komponenten. Soweit Änderungen der Allgemeinverfügung erfolgen, sind diese für bereits nach diesem Absatz abgegebene Garantieerklärungen unbeachtlich.

(4) Das Bundesministerium des Innern, für Bau und Heimat kann den weiteren Einsatz einer kritischen Komponente gegenüber dem Betreiber der Kritischen Infrastruktur im Einvernehmen mit den in § 10 Absatz 1 aufgeführten jeweils betroffenen Ressorts sowie dem Auswärtigen Amt untersagen oder Anordnungen erlassen, wenn der weitere Einsatz die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt, insbesondere, wenn der Hersteller der kritischen Komponente nicht vertrauenswürdig ist. Absatz 2 Satz 2 gilt entsprechend.

(5) Ein Hersteller einer kritischen Komponente kann insbesondere dann nicht vertrauenswürdig sein, wenn hinreichende Anhaltspunkte dafür bestehen, dass

1. 1.

   er gegen die in der Garantieerklärung eingegangen Verpflichtungen verstoßen hat,

2. 2.

   in der Garantieerklärung angegebene Tatsachenbehauptungen unwahr sind,

3. 3.

   er Sicherheitsüberprüfungen und Penetrationsanalysen an seinem Produkt und in der Produktionsumgebung nicht im erforderlichen Umfang in angemessener Weise unterstützt,

4. 4.

   Schwachstellen oder Manipulationen nicht unverzüglich, nachdem er davon Kenntnis erlangt, beseitigt und dem Betreiber der Kritischen Infrastruktur meldet,

5. 5.

   die kritische Komponente auf Grund von Mängeln ein erhöhtes Gefährdungspotenzial aufweist oder aufgewiesen hat, missbräuchlich auf die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der Kritischen Infrastruktur einwirken zu können oder

6. 6.

   die kritische Komponente über technische Eigenschaften verfügt oder verfügt hat, die spezifisch geeignet sind oder waren, missbräuchlich auf die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der Kritischen Infrastruktur einwirken zu können.

(6) Wurde nach Absatz 4 der weitere Einsatz einer kritischen Komponente untersagt, kann das Bundesministerium des Innern, für Bau und Heimat im Einvernehmen mit den in § 10 Absatz 1 aufgeführten jeweils betroffenen Ressorts sowie dem Auswärtigen Amt

1. 1.

   den geplanten Einsatz weiterer kritischer Komponenten desselben Typs und desselben Herstellers untersagen und

2. 2.

   den weiteren Einsatz kritischer Komponenten desselben Typs und desselben Herstellers unter Einräumung einer angemessenen Frist untersagen.

(7) Bei schwerwiegenden Fällen nicht vorliegender Vertrauenswürdigkeit nach Absatz 5 kann das Bundesministerium des Innern, für Bau und Heimat den Einsatz aller kritischen Komponenten des Herstellers im Einvernehmen mit den in § 10 Absatz 1 aufgeführten jeweils betroffenen Ressorts sowie dem Auswärtigen Amt untersagen.

(1) Das Bundesamt führt zur Information von Verbrauchern über die IT-Sicherheit von Produkten bestimmter vom Bundesamt festgelegter Produktkategorien ein einheitliches IT-Sicherheitskennzeichen ein. Das IT-Sicherheitskennzeichen trifft keine Aussage über die den Datenschutz betreffenden Eigenschaften eines Produktes.

(2) Das IT-Sicherheitskennzeichen besteht aus

1. 1.

   einer Zusicherung des Herstellers oder Diensteanbieters, dass das Produkt für eine festgelegte Dauer bestimmte IT-Sicherheitsanforderungen erfüllt (Herstellererklärung), und

2. 2.

   einer Information des Bundesamtes über sicherheitsrelevante IT-Eigenschaften des Produktes (Sicherheitsinformation).

(3) Die IT-Sicherheitsanforderungen, auf die sich die Herstellererklärung bezieht, ergeben sich aus einer Norm oder einem Standard oder aus einer branchenabgestimmten IT-Sicherheitsvorgabe, die die jeweilige Produktkategorie umfasst, sofern das Bundesamt in einem Verfahren, das durch Rechtsverordnung nach § 10 Absatz 3 geregelt wird, festgestellt hat, dass die Norm oder der Standard oder die branchenabgestimmte IT-Sicherheitsvorgabe geeignet ist, ausreichende IT-Sicherheitsanforderungen für die Produktkategorie abzubilden. Ein Anspruch auf diese Feststellung besteht nicht. Liegt keine Feststellung nach Satz 1 vor, ergeben sich die IT-Sicherheitsvorgaben aus einer vom Bundesamt veröffentlichten Technischen Richtlinie, die die jeweilige Produktkategorie umfasst, sofern das Bundesamt eine solche Richtlinie bereits veröffentlicht hat. Wird ein Produkt von mehr als einer oder einem bestehenden, als geeignet festgestellten Norm, Standard, branchenabgestimmten IT-Sicherheitsvorgabe oder Technischen Richtlinie umfasst, richten sich die Anforderungen nach der oder dem jeweils spezielleren bestehenden, als geeignet festgestellten Norm, Standard, branchenabgestimmten IT-Sicherheitsvorgabe oder Technischen Richtlinie.

(4) Das IT-Sicherheitskennzeichen darf nur dann für ein Produkt verwendet werden, wenn das Bundesamt das IT-Sicherheitskennzeichen für dieses Produkt freigegeben hat. Das Bundesamt prüft die Freigabe des IT-Sicherheitskennzeichens für ein Produkt auf Antrag des Herstellers oder Diensteanbieters. Dem Antrag sind die Herstellererklärung zu dem Produkt sowie alle Unterlagen beizufügen, die die Angaben in der Herstellererklärung belegen. Das Bundesamt bestätigt den Eingang des Antrags und prüft die Plausibilität der Herstellererklärung anhand der beigefügten Unterlagen. Die Plausibilitätsprüfung kann auch durch einen vom Bundesamt beauftragten qualifizierten Dritten erfolgen. Für die Antragsbearbeitung kann das Bundesamt eine Verwaltungsgebühr erheben.

(5) Das Bundesamt erteilt die Freigabe des ITSicherheitskennzeichens für das jeweilige Produkt, wenn

1. 1.

   das Produkt zu einer der Produktkategorien gehört, die das Bundesamt durch im Bundesanzeiger veröffentlichte Allgemeinverfügung bekannt gegeben hat,

2. 2.

   die Herstellererklärung plausibel und durch die beigefügten Unterlagen ausreichend belegt ist und

3. 3.

   die gegebenenfalls erhobene Verwaltungsgebühr beglichen wurde.

Die Erteilung der Freigabe erfolgt schriftlich und innerhalb einer angemessenen Frist, die in der Rechtsverordnung nach § 10 Absatz 3 bestimmt wird. Den genauen Ablauf des Antragsverfahrens und die beizufügenden Unterlagen regelt die Rechtsverordnung nach § 10 Absatz 3 .

(6) Hat das Bundesamt die Freigabe erteilt, ist das Etikett des IT-Sicherheitskennzeichens auf dem jeweiligen Produkt oder auf dessen Umverpackung anzubringen, sofern dies nach der Beschaffenheit des Produktes möglich ist. Das ITSicherheitskennzeichen kann auch elektronisch veröffentlicht werden. Wenn nach der Beschaffenheit des Produktes das Anbringen nicht möglich ist, muss die Veröffentlichung des IT-Sicherheitskennzeichens elektronisch erfolgen. Das Etikett des IT-Sicherheitskennzeichens verweist auf eine Internetseite des Bundesamtes, auf der die Herstellererklärung und die Sicherheitsinformationen abrufbar sind. Das genaue Verfahren und die Gestaltung des Verweises sind in der Rechtsverordnung nach § 10 Absatz 3 festzulegen.

(7) Nach Ablauf der festgelegten Dauer nach Absatz 3 Satz 5 oder 6 oder nach Rücknahmeerklärung des Herstellers oder Diensteanbieters gegenüber dem Bundesamt erlischt die Freigabe. Das Bundesamt nimmt einen Hinweis auf das Erlöschen der Freigabe in die Sicherheitsinformation auf.

(8) Das Bundesamt kann prüfen, ob die Anforderungen an die Freigabe des IT-Sicherheitskennzeichens für ein Produkt eingehalten werden. Werden bei der Prüfung Abweichungen von der abgegebenen Herstellererklärung oder Sicherheitslücken festgestellt, kann das Bundesamt die geeigneten Maßnahmen zum Schutz des Vertrauens der Verbraucher in das IT-Sicherheitskennzeichen treffen, insbesondere

1. 1.

   Informationen über die Abweichungen oder Sicherheitslücken in geeigneter Weise in der Sicherheitsinformation veröffentlichen oder

2. 2.

   die Freigabe des IT-Sicherheitskennzeichens widerrufen.

Absatz 7 Satz 2 gilt entsprechend.

(9) Bevor das Bundesamt eine Maßnahme nach Absatz 8 trifft, räumt es dem Hersteller oder Diensteanbieter Gelegenheit ein, die festgestellten Abweichungen oder Sicherheitslücken innerhalb eines angemessenen Zeitraumes zu beseitigen, es sei denn, gewichtige Gründe der Sicherheit der Produkte erfordern eine sofortige Maßnahme. Die Befugnis des Bundesamtes zur Warnung nach § 7 bleibt davon unberührt.

(1) Das Bundesministerium des Innern, für Bau und Heimat bestimmt durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, nach Anhörung von Vertretern der Wissenschaft, der betroffenen Betreiber und der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie, dem Bundesministerium der Justiz und für Verbraucherschutz, dem Bundesministerium der Finanzen, dem Bundesministerium für Arbeit und Soziales, dem Bundesministerium für Ernährung und Landwirtschaft, dem Bundesministerium für Gesundheit, dem Bundesministerium für Verkehr und digitale Infrastruktur, dem Bundesministerium der Verteidigung und dem Bundesministerium für Umwelt, Naturschutz und nukleare Sicherheit unter Festlegung der in den jeweiligen Sektoren im Hinblick auf § 2 Absatz 10 Satz 1 Nummer 2 wegen ihrer Bedeutung als kritisch anzusehenden Dienstleistungen und deren als bedeutend anzusehenden Versorgungsgrads, welche Einrichtungen, Anlagen oder Teile davon als Kritische Infrastrukturen im Sinne dieses Gesetzes gelten. Der nach Satz 1 als bedeutend anzusehende Versorgungsgrad ist anhand von branchenspezifischen Schwellenwerten für jede wegen ihrer Bedeutung als kritisch anzusehende Dienstleistung im jeweiligen Sektor zu bestimmen. Zugang zu Akten, die die Erstellung oder Änderung dieser Verordnung betreffen, wird nicht gewährt.

(2) Das Bundesministerium des Innern, für Bau und Heimat bestimmt nach Anhörung der betroffenen Wirtschaftsverbände und im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, das Nähere über das Verfahren der Erteilung von Sicherheitszertifikaten und Anerkennungen nach § 9 und deren Inhalt.

(3) Das Bundesministerium des Innern, für Bau und Heimat bestimmt durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, nach Anhörung der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie und dem Bundesministerium der Justiz und für Verbraucherschutz die Einzelheiten der Gestaltung, des Inhalts und der Verwendung des ITSicherheitskennzeichens nach § 9c , um eine einheitliche Gestaltung des Kennzeichens und eine eindeutige Erkennbarkeit der gekennzeichneten informationstechnischen Produkte zu gewährleisten, sowie die Einzelheiten des Verfahrens zur Feststellung der Eignung branchenabgestimmter IT-Sicherheitsvorgaben und des Antragsverfahrens auf Freigabe einschließlich der diesbezüglichen Fristen und der beizufügenden Unterlagen sowie das Verfahren und die Gestaltung des Verweises auf Sicherheitsinformationen.

(4) Soweit die Durchführungsrechtsakte der Kommission nach Artikel 16 Absatz 8 und 9 der Richtlinie (EU) 2016/1148 keine abschließenden Bestimmungen über die von Anbietern digitaler Dienste nach § 8c Absatz 2 zu treffenden Maßnahmen oder über die Parameter zur Beurteilung der Erheblichkeit der Auswirkungen von Sicherheitsvorfällen nach § 8c Absatz 3 Satz 2 oder über Form und Verfahren der Meldungen nach § 8c Absatz 3 Satz 4 enthalten, werden diese Bestimmungen vom Bundesministerium des Innern, für Bau und Heimat im Einvernehmen mit den jeweils betroffenen Ressorts durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, getroffen.

(5) Das Bundesministerium des Innern, für Bau und Heimat bestimmt durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, nach Anhörung von Vertretern der Wissenschaft, der betroffenen Unternehmen und der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie, dem Bundesministerium der Justiz und für Verbraucherschutz, dem Bundesministerium für Gesundheit, dem Bundesministerium für Verkehr und digitale Infrastruktur, dem Bundesministerium der Verteidigung und dem Bundesministerium für Umwelt, Naturschutz und nukleare Sicherheit, welche wirtschaftlichen Kennzahlen bei der Berechnung der inländischen Wertschöpfung heranzuziehen sind, wie die Berechnung mit Hilfe der Methodik der direkten Wertschöpfungsstaffel zu erfolgen hat und welche Schwellenwerte maßgeblich dafür sind, dass ein Unternehmen zu den größten Unternehmen in Deutschland im Sinne des § 2 Absatz 14 Satz 1 Nummer 2 gehört. Unter den Voraussetzungen nach Satz 1 kann das Bundesministerium des Innern, für Bau und Heimat durch Rechtsverordnung bestimmen, welche Alleinstellungsmerkmale maßgeblich dafür sind, dass Zulieferer für Unternehmen, die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören, von wesentlicher Bedeutung im Sinne des § 2 Absatz 14 Satz 1 Nummer 2 sind.

Das Fernmeldegeheimnis ( Artikel 10 des Grundgesetzes ) wird durch die §§ 4a , 5 bis 5c , 7b und 7c eingeschränkt.

Wird der Rat der IT-Beauftragten der Bundesregierung aufgelöst, tritt an dessen Stelle die von der Bundesregierung bestimmte Nachfolgeorganisation. Die Zustimmung des Rats der IT-Beauftragten kann durch Einvernehmen aller Bundesministerien ersetzt werden. Wird der Rat der IT-Beauftragten ersatzlos aufgelöst, tritt an Stelle seiner Zustimmung das Einvernehmen aller Bundesministerien.

(1) Das Bundesamt unterrichtet das Bundesministerium des Innern, für Bau und Heimat über seine Tätigkeit.

(2) Die Unterrichtung nach Absatz 1 dient auch der Aufklärung der Öffentlichkeit durch das Bundesministerium des Innern, für Bau und Heimat über Gefahren für die Sicherheit in der Informationstechnik, die mindestens einmal jährlich in einem zusammenfassenden Bericht erfolgt. § 7 Absatz 1a ist entsprechend anzuwenden.

(3) Das Bundesministerium des Innern, für Bau und Heimat unterrichtet kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres den Ausschuss für Inneres und Heimat des Deutschen Bundestages über die Anwendung dieses Gesetzes. Es geht dabei auch auf die Fortentwicklung des maßgeblichen Unionsrechts ein.

(4) Das Bundesamt übermittelt bis zum 9. November 2018 und danach alle zwei Jahre die folgenden Informationen an die Kommission:

1. 1.

   die nationalen Maßnahmen zur Ermittlung der Betreiber Kritischer Infrastrukturen;

2. 2.

   eine Aufstellung der im in Anhang II der Richtlinie (EU) 2016/1148 genannten Sektoren, die nach § 2 Absatz 10 Satz 1 Nummer 2 wegen ihrer Bedeutung als kritisch anzusehenden Dienstleistungen und deren als bedeutend anzusehenden Versorgungsgrad;

3. 3.

   eine zahlenmäßige Aufstellung der Betreiber der in Nummer 2 genannten Sektoren, die in den in Anhang II der Richtlinie (EU) 2016/1148 genannten Sektoren ermittelt werden, einschließlich eines Hinweises auf ihre Bedeutung für den jeweiligen Sektor.

Die Übermittlung darf keine Informationen enthalten, die zu einer Identifizierung einzelner Betreiber führen können. Das Bundesamt übermittelt die nach Satz 1 übermittelten Informationen unverzüglich dem Bundesministerium des Innern, für Bau und Heimat, dem Bundeskanzleramt, dem Bundesministerium für Wirtschaft und Energie, dem Bundesministerium der Justiz und für Verbraucherschutz, dem Bundesministerium der Finanzen, dem Bundesministerium für Arbeit und Soziales, dem Bundesministerium für Ernährung und Landwirtschaft, dem Bundesministerium für Gesundheit, dem Bundesministerium für Verkehr und digitale Infrastruktur, dem Bundesministerium der Verteidigung und dem Bundesministerium für Umwelt, Naturschutz und nukleare Sicherheit.

(5) Sobald bekannt wird, dass eine Einrichtung oder Anlage nach § 2 Absatz 10 oder Teile einer Einrichtung oder Anlage eine wegen ihrer Bedeutung als kritisch anzusehenden Dienstleistung in einem der in Anhang II der Richtlinie (EU) 2016/1148 genannten Sektoren in einem anderen Mitgliedstaat der Europäischen Union bereitstellt, nimmt das Bundesamt zum Zweck der gemeinsamen Ermittlung der Betreiber, die kritische Dienstleistungen in den in Anhang II der Richtlinie (EU) 2016/1148 genannten Teilsektoren erbringen, mit der zuständigen Behörde dieses Mitgliedstaats Konsultationen auf.

(6) Das Bundesamt übermittelt bis zum 9. August 2018 und danach jährlich an die Kooperationsgruppe nach Artikel 11 der Richtlinie (EU) 2016/1148 einen zusammenfassenden Bericht zu den Meldungen, die die in Anhang II der Richtlinie (EU) 2016/1148 genannten Sektoren oder digitale Dienste betreffen. Der Bericht enthält auch die Zahl der Meldungen und die Art der gemeldeten Sicherheitsvorfälle sowie die ergriffenen Maßnahmen. Der Bericht darf keine Informationen enthalten, die zu einer Identifizierung einzelner Meldungen oder einzelner Betreiber oder Anbieter führen können.

(1) Ordnungswidrig handelt, wer entgegen § 8a Absatz 3 Satz 1 in Verbindung mit einer Rechtsverordnung nach § 10 Absatz 1 Satz 1 einen Nachweis nicht richtig oder nicht vollständig erbringt.

(2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

1. 1.

   einer vollziehbaren Anordnung nach

   1. a)

      § 5b Absatz 6 , § 7c Absatz 1 Satz 1 , auch in Verbindung mit § 7c Absatz 3 , § 7d , oder § 8a Absatz 3 Satz 5 ,

   2. b)

      § 7a Absatz 2 Satz 1 oder

   3. c)

      § 8b Absatz 6 Satz 1 , auch in Verbindung mit Satz 2, oder § 8c Absatz 4 Satz 1

   zuwiderhandelt,

2. 2.

   entgegen § 8a Absatz 1 Satz 1 in Verbindung mit einer Rechtsverordnung nach § 10 Absatz 1 Satz 1 eine dort genannte Vorkehrung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig trifft,

3. 3.

   entgegen § 8a Absatz 3 Satz 1 in Verbindung mit einer Rechtsverordnung nach § 10 Absatz 1 Satz 1 einen Nachweis nicht oder nicht rechtzeitig erbringt,

4. 4.

   entgegen § 8a Absatz 4 Satz 2 oder § 8b Absatz 3a das Betreten eines dort genannten Raums nicht gestattet, eine dort genannte Unterlage nicht oder nicht rechtzeitig vorlegt, eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder Unterstützung nicht oder nicht rechtzeitig gewährt,

5. 5.

   entgegen § 8b Absatz 3 Satz 1 in Verbindung mit einer Rechtsverordnung nach § 10 Absatz 1 Satz 1 oder entgegen § 8f Absatz 5 Satz 1 eine Registrierung nicht oder nicht rechtzeitig vornimmt oder eine dort genannte Stelle nicht oder nicht rechtzeitig benennt,

6. 6.

   entgegen § 8b Absatz 3 Satz 4 nicht sicherstellt, dass er erreichbar ist,

7. 7.

   entgegen § 8b Absatz 4 Satz 1 , § 8c Absatz 3 Satz 1 oder § 8f Absatz 7 Satz 1 oder Absatz 8 Satz 1 eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht,

8. 8.

   entgegen § 8c Absatz 1 Satz 1 eine dort genannte Maßnahme nicht trifft,

9. 9.

   entgegen § 8f Absatz 1 eine Selbsterklärung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig vorlegt,

10. 10.

    entgegen § 9a Absatz 2 Satz 2 als Konformitätsbewertungsstelle tätig wird oder

11. 11.

    entgegen § 9c Absatz 4 Satz 1 das IT-Sicherheitskennzeichen verwendet.

zuwiderhandelt,

(3) Ordnungswidrig handelt, wer eine in Absatz 1 bezeichnete Handlung fahrlässig begeht.

(4) Ordnungswidrig handelt, wer gegen die Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit) (ABl. L 151 vom 7.6.2019, S. 15) verstößt, indem er vorsätzlich oder fahrlässig

1. 1.

   entgegen Artikel 55 Absatz 1 eine dort genannte Angabe nicht, nicht richtig, nicht vollständig oder nicht binnen eines Monats nach Ausstellung zugänglich macht oder

2. 2.

   entgegen Artikel 56 Absatz 8 Satz 1 eine Information nicht, nicht richtig, nicht vollständig oder nicht unverzüglich nach Feststellung einer Sicherheitslücke oder Unregelmäßigkeit gibt.

(5) Die Ordnungswidrigkeit kann in den Fällen des Absatzes 2 Nummer 1 Buchstabe a mit einer Geldbuße bis zu zwei Millionen Euro sowie in den Fällen der Absätze 1, 2 Nummer 2 und 3 mit einer Geldbuße bis zu einer Million Euro geahndet werden. Die Ordnungswidrigkeit kann in den Fällen des Absatzes 2 Nummer 1 Buchstabe c, Nummer 5 und 7 bis 11 und des Absatzes 4 mit einer Geldbuße bis zu fünfhunderttausend Euro sowie in den Fällen des Absatzes 2 Nummer 1 Buchstabe b, Nummer 4 und 6 und des Absatzes 3 mit einer Geldbuße bis zu einhunderttausend Euro geahndet werden. In den Fällen des Satzes 1 ist § 30 Absatz 2 Satz 3 des Gesetzes über Ordnungswidrigkeiten anzuwenden.

(6) Verwaltungsbehörde im Sinne des § 36 Absatz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten ist das Bundesamt.

Bei Zuwiderhandlungen gegen eine in § 14 Absatz 1 bis 4 genannte Vorschrift, die von Körperschaften gemäß § 29 des Vierten Buches Sozialgesetzbuch , Arbeitsgemeinschaften gemäß § 94 des Zehnten Buches Sozialgesetzbuch sowie der Deutschen Post AG, soweit sie mit der Berechnung oder Auszahlung von Sozialleistungen betraut ist (Institutionen der Sozialen Sicherung), begangen werden, finden die Sätze 2 bis 4 Anwendung. Bei einer in Satz 1 genannten Zuwiderhandlung von Institutionen der Sozialen Sicherung in Trägerschaft des Bundes stellt das Bundesamt das Einvernehmen über die zu ergreifenden Maßnahmen mit der für die Institution der Sozialen Sicherung zuständigen Aufsichtsbehörde her. Bei einer in Satz 1 genannten Zuwiderhandlung von Institutionen der Sozialen Sicherung in Trägerschaft der Länder informiert das Bundesamt die zuständige Aufsichtsbehörde und schlägt geeignete Maßnahmen vor. Die jeweils zuständige Aufsichtsbehörde informiert das Bundesamt über die Einleitung und Umsetzung von Aufsichtsmitteln und sorgt für deren Durchsetzung.

Die Vorschriften, die Anbieter digitaler Dienste betreffen, sind ab dem 10. Mai 2018 anwendbar.

(1) Nordrhein-Westfalen ist ein Gliedstaat der Bundesrepublik Deutschland und damit Teil der Europäischen Union. Das Land gliedert sich in Gemeinden und Gemeindeverbände.

(2) Die Landesfarben und das Landeswappen werden durch Gesetz bestimmt.

(3) Nordrhein-Westfalen trägt zur Verwirklichung und Entwicklung eines geeinten Europas bei, das demokratischen, rechtsstaatlichen, sozialen und föderativen Grundsätzen sowie dem Grundsatz der Subsidiarität verpflichtet ist, die Eigenständigkeit der Regionen wahrt und deren Mitwirkung an europäischen Entscheidungen sichert. Das Land arbeitet mit anderen europäischen Regionen zusammen und unterstützt die grenzüberschreitende Kooperation.

Das Volk bekundet seinen Willen durch Wahl, Volksbegehren und Volksentscheid.

(1) Die Gesetzgebung steht dem Volk und der Volksvertretung zu.

(2) Die Verwaltung liegt in den Händen der Landesregierung, der Gemeinden und der Gemeindeverbände.

(3) Die Rechtsprechung wird durch unabhängige Richter ausgeübt.

(1) Die im Grundgesetz für die Bundesrepublik Deutschland in der Fassung vom 23. Mai 1949 festgelegten Grundrechte und staatsbürgerlichen Rechte sind Bestandteil dieser Verfassung und unmittelbar geltendes Landesrecht.

(2) Jeder hat Anspruch auf Schutz seiner personenbezogenen Daten. Eingriffe sind nur in überwiegendem Interesse der Allgemeinheit auf Grund eines Gesetzes zulässig.

(1) Ehe und Familie werden als die Grundlagen der menschlichen Gesellschaft anerkannt. Sie stehen unter dem besonderen Schutz des Landes. Die Mutterschaft und die kinderreiche Familie haben Anspruch auf besondere Fürsorge.

(2) Familien- und Erwerbsarbeit sind gleichwertig. Frauen und Männer sind entsprechend ihrer Entscheidung an Familien- und Erwerbsarbeit gleichberechtigt beteiligt.

(1) Jedes Kind hat ein Recht auf Achtung seiner Würde als eigenständige Persönlichkeit und auf besonderen Schutz von Staat und Gesellschaft.

(2) Kinder und Jugendliche haben ein Recht auf Entwicklung und Entfaltung ihrer Persönlichkeit, auf gewaltfreie Erziehung und den Schutz vor Gewalt, Vernachlässigung und Ausbeutung. Staat und Gesellschaft schützen sie vor Gefahren für ihr körperliches, geistiges und seelisches Wohl. Sie achten und sichern ihre Rechte, tragen für altersgerechte Lebensbedingungen Sorge und fördern sie nach ihren Anlagen und Fähigkeiten.

(3) Allen Jugendlichen ist die umfassende Möglichkeit zur Berufsausbildung und Berufsausübung zu sichern.

(4) Das Mitwirkungsrecht der Kirchen und Religionsgemeinschaften sowie der Verbände der freien Wohlfahrtspflege in den Angelegenheiten der Familienförderung, der Kinder- und Jugendhilfe bleibt gewährleistet und ist zu fördern.

(1) Ehrfurcht vor Gott, Achtung vor der Würde des Menschen und Bereitschaft zum sozialen Handeln zu wecken, ist vornehmstes Ziel der Erziehung.

(2) Die Jugend soll erzogen werden im Geiste der Menschlichkeit, der Demokratie und der Freiheit, zur Duldsamkeit und zur Achtung vor der Überzeugung des anderen, zur Verantwortung für Tiere und die Erhaltung der natürlichen Lebensgrundlagen, in Liebe zu Volk und Heimat, zur Völkergemeinschaft und Friedensgesinnung.

(1) Jedes Kind hat Anspruch auf Erziehung und Bildung. Das natürliche Recht der Eltern, die Erziehung und Bildung ihrer Kinder zu bestimmen, bildet die Grundlage des Erziehungs- und Schulwesens. Die staatliche Gemeinschaft hat Sorge zu tragen, dass das Schulwesen den kulturellen und sozialen Bedürfnissen des Landes entspricht.

(2) Es besteht allgemeine Schulpflicht. Das Nähere regelt ein Gesetz.

(3) Land und Gemeinden haben die Pflicht, Schulen zu errichten und zu fördern. Das gesamte Schulwesen steht unter der Aufsicht des Landes. Die Schulaufsicht wird durch hauptamtlich tätige, fachlich vorgebildete Beamte ausgeübt.

(4) Für die Privatschulen gelten die Bestimmungen des Artikels 7 Abs. 4 und 5 des Grundgesetzes der Bundesrepublik Deutschland vom 23. Mai 1949 zugleich als Bestandteil dieser Verfassung. Die hiernach genehmigten Privatschulen haben die gleichen Berechtigungen wie die entsprechenden öffentlichen Schulen. Sie haben Anspruch auf die zur Durchführung ihrer Aufgaben und zur Erfüllung ihrer Pflichten erforderlichen öffentlichen Zuschüsse.

(1) Schulgeld wird nicht erhoben.

(2) Einführung und Durchführung der Lehr- und Lernmittelfreiheit für alle Schulen sind gesetzlich zu regeln. Zum Zwecke des Studiums sind im Bedarfsfälle besondere Unterhaltsbeihilfen zu gewähren. Soweit der Staat für die öffentlichen Schulen Schulgeldfreiheit gewährt, sind auch die in Artikel 8 Abs. 4 genannten Privatschulen berechtigt, zu Lasten des Staates auf die Erhebung von Schulgeld zu verzichten; soweit er Lehr- und Lernmittelfreiheit gewährt, sind Lehr- und Lernmittel in gleicher Weise für diese Privatschulen zur Verfügung zu stellen wie für die öffentlichen Schulen.

(1) Das Schulwesen des Landes baut sich auf einer für alle Kinder verbindlichen Grundschule auf. Das Schulwesen wird durch die Mannigfaltigkeit der Lebens- und Berufsaufgaben bestimmt. Das Land gewährleistet ein ausreichendes und vielfältiges öffentliches Schulwesen, das ein gegliedertes Schulsystem, integrierte Schulformen sowie weitere andere Schulformen ermöglicht. Für die Aufnahme in eine Schule sind Anlage und Neigung des Kindes maßgebend, nicht die wirtschaftliche Lage und die gesellschaftliche Stellung der Eltern.

(2) Die Erziehungsberechtigten wirken durch Elternvertretungen an der Gestaltung des Schulwesens mit.

In allen Schulen ist Staatsbürgerkunde Lehrgegenstand und staatsbürgerliche Erziehung verpflichtende Aufgabe.

(1) Schulen müssen entsprechend ihren Bildungszielen nach Organisation und Ausstattung die Voraussetzungen eines geordneten Schulbetriebs erfüllen.

(2) Grundschulen sind Gemeinschaftsschulen, Bekenntnisschulen oder Weltanschauungsschulen. Auf Antrag der Erziehungsberechtigten sind, soweit ein geordneter Schulbetrieb gewährleistet ist, Grundschulen einzurichten.

(3) In Gemeinschaftsschulen werden Kinder auf der Grundlage christlicher Bildungs- und Kulturwerte in Offenheit für die christlichen Bekenntnisse und für andere religiöse und weltanschauliche Überzeugungen gemeinsam unterrichtet und erzogen. In Bekenntnisschulen werden Kinder des katholischen oder des evangelischen Glaubens oder einer anderen Religionsgemeinschaft nach den Grundsätzen des betreffenden Bekenntnisses unterrichtet und erzogen. In Weltanschauungsschulen, zu denen auch die bekenntnisfreien Schulen gehören, werden die Kinder nach den Grundsätzen der betreffenden Weltanschauung unterrichtet und erzogen.

(4) Das Nähere bestimmt ein Gesetz.

Wegen des religiösen Bekenntnisses darf im Einzelfalle keinem Kinde die Aufnahme in einer öffentliche Schule verweigert werden, falls keine entsprechende Schule vorhanden ist.

(1) Der Religionsunterricht ist ordentliches Lehrfach an allen Schulen, mit Ausnahme der Weltanschauungsschulen (bekenntnisfreien Schulen). Für die religiöse Unterweisung bedarf der Lehrer der Bevollmächtigung durch die Kirche oder durch die Religionsgemeinschaft. Kein Lehrer darf gezwungen werden, Religionsunterricht zu erteilen.

(2) Lehrpläne und Lehrbücher für den Religionsunterricht sind im Einvernehmen mit der Kirche oder Religionsgemeinschaft zu bestimmen.

(3) Unbeschadet des staatlichen Aufsichtsrechtes haben die Kirchen oder die Religionsgemeinschaften das Recht, nach einem mit der Unterrichtsverwaltung vereinbarten Verfahren sich durch Einsichtnahme zu vergewissern, dass der Religionsunterricht in Übereinstimmung mit ihren Lehren und Anforderungen erteilt wird.

(4) Die Befreiung vom Religionsunterricht ist abhängig von einer schriftlichen Willenserklärung der Erziehungsberechtigten oder des religionsmündigen Schülers.

Die Ausbildung der Lehrer erfolgt in der Regel an wissenschaftlichen Hochschulen. Sie berücksichtigt die Bedürfnisse der Schulen; es ist ein Lehrangebot zu gewährleisten, das diesem Erfordernis gerecht wird. Es ist sicherzustellen, dass die Befähigung zur Erteilung des Religionsunterrichts erworben werden kann.

(1) Die Universitäten und diejenigen Hochschulen, die ihnen als Stätten der Forschung und der Lehre gleichstehen, haben, unbeschadet der staatlichen Aufsicht, das Recht auf eine ihrem besonderen Charakter entsprechende Selbstverwaltung im Rahmen der Gesetze und ihrer staatlich anerkannten Satzungen.

(2) Zur Ausbildung ihrer Geistlichen haben die Kirchen und zur Ausbildung ihrer Religionsdiener die Religionsgemeinschaften das Recht, eigene Anstalten mit Hochschulcharakter zu errichten und zu unterhalten.

Die Erwachsenenbildung ist zu fördern. Als Träger von Einrichtungen der Erwachsenenbildung werden neben Staat, Gemeinden und Gemeindeverbänden auch andere Träger, wie die Kirchen und freien Vereinigungen, anerkannt.

(1) Kultur, Kunst und Wissenschaft sind durch Land und Gemeinden zu pflegen und zu fördern.

(2) Die Denkmäler der Kunst, der Geschichte und der Kultur, die Landschaft und Naturdenkmale stehen unter dem Schutz des Landes, der Gemeinden und Gemeindeverbände.

(3) Sport ist durch Land und Gemeinden zu pflegen und zu fördern.

(1) Die Freiheit der Vereinigung zu Kirchen oder Religionsgemeinschaften wird gewährleistet. Der Zusammenschluss von Kirchen oder Religionsgemeinschaften innerhalb des Landes unterliegt keinen Beschränkungen.

(2) Die Kirchen und die Religionsgemeinschaften ordnen und verwalten ihre Angelegenheiten selbstständig innerhalb der Schranken des für alle geltenden Gesetzes. Sie haben das Recht, ihre Ämter ohne Mitwirkung des Staates und der politischen Gemeinden zu verleihen oder zu entziehen.

Die Kirchen und die Religionsgemeinschaften haben das Recht in Erziehungs-, Kranken-, Straf- und ähnlichen öffentlichen Anstalten gottesdienstliche Handlungen vorzunehmen und eine geordnete Seelsorge auszuüben, wobei jeder Zwang fern zu halten ist.

Die den Kirchen oder den Religionsgemeinschaften gemäß Gesetz, Vertrag oder anderen Rechtstiteln zustehenden Leistungen des Staates, der politischen Gemeinden oder Gemeindeverbände können nur durch Vereinbarungen abgelöst werden; soweit solche Vereinbarungen das Land betreffen, bedürfen sie der Bestätigung durch Landesgesetz.

Im Übrigen gilt für die Ordnung zwischen Land und Kirchen oder Religionsgemeinschaften Artikel 140 des Bonner Grundgesetzes für die Bundesrepublik Deutschland vom 23. Mai 1949 als Bestandteil dieser Verfassung und unmittelbar geltendes Landesrecht.

(1) Die Bestimmungen der Verträge mit der Katholischen Kirche und der Evangelischen Kirche der Altpreußischen Union, die im früheren Freistaat Preußen Geltung hatten, werden für die Gebiete des Landes Nordrhein-Westfalen, die zum ehemaligen Preußen gehörten, als geltendes Recht anerkannt.

(2) Zur Änderung dieser Kirchenverträge und zum Abschluss neuer Verträge ist außer der Zustimmung der Vertragspartner ein Landesgesetz erforderlich.

(1) Im Mittelpunkt des Wirtschaftslebens steht das Wohl des Menschen. Der Schutz seiner Arbeitskraft hat den Vorrang vor dem Schutz materiellen Besitzes. Jedermann hat ein Recht auf Arbeit.

(2) Der Lohn muss der Leistung entsprechen und den angemessenen Lebensbedarf des Arbeitenden und seiner Familie decken. Für gleiche Tätigkeit und gleiche Leistung besteht Anspruch auf gleichen Lohn. Das gilt auch für Frauen und Jugendliche.

(3) Das Recht auf einen ausreichenden, bezahlten Urlaub ist gesetzlich festzulegen.

(1) Der Sonntag und die staatlich anerkannten Feiertage werden als Tage der Gottesverehrung, der seelischen Erhebung, der körperlichen Erholung und der Arbeitsruhe anerkannt und gesetzlich geschützt.

(2) Der 1. Mai als Tag des Bekenntnisses zu Freiheit und Frieden, sozialer Gerechtigkeit, Völkerversöhnung und Menschenwürde ist gesetzlicher Feiertag.

Entsprechend der gemeinsamen Verantwortung und Leistung der Unternehmer und Arbeitnehmer für die Wirtschaft wird das Recht der Arbeitnehmer auf gleichberechtigte Mitbestimmung bei der Gestaltung der wirtschaftlichen und sozialen Ordnung anerkannt und gewährleistet.

(1) Großbetriebe der Grundstoffindustrie und Unternehmen, die wegen ihrer monopolartigen Stellung besondere Bedeutung haben, sollen in Gemeineigentum überführt werden.

(2) Zusammenschlüsse, die ihre wirtschaftliche Macht missbrauchen, sind zu verbieten.

Die Klein- und Mittelbetriebe in Landwirtschaft, Handwerk, Handel und Gewerbe und die freien Berufe sind zu fördern. Die genossenschaftliche Selbsthilfe ist zu unterstützen.

(1) Die Verbindung weiter Volksschichten mit dem Grund und Boden ist anzustreben.

(2) Das Land hat die Aufgabe, nach Maßgabe der Gesetze neue Wohn- und Wirtschaftsheimstätten zu schaffen und den klein- und mittelbäuerlichen Besitz zu stärken.

(3) Die Kleinsiedlung und das Kleingartenwesen sind zu fördern.

(1) Die natürlichen Lebensgrundlagen und die Tiere stehen unter dem Schutz des Landes, der Gemeinden und Gemeindeverbände.

(2) Die notwendigen Bindungen und Pflichten bestimmen sich unter Ausgleich der betroffenen öffentlichen und privaten Belange. Das Nähere regelt das Gesetz.

(1) Der Landtag besteht aus den vom Volke gewählten Abgeordneten. Zu seinen Aufgaben gehören die Wahl des/der Ministerpräsidenten/in, die Verabschiedung der Gesetze und die Kontrolle des Handelns der Landesregierung; er bildet ein öffentliches Forum für die politische Willensbildung.

(2) Die Abgeordneten stimmen nach ihrer freien, nur durch die Rücksicht auf das Wohl des Landes Nordrhein-Westfalen bestimmten Überzeugung; sie sind an Aufträge nicht gebunden.

(3) Die Abgeordneten haben im Landtag insbesondere das Recht, das Wort zu ergreifen, Fragen und Anträge zu stellen sowie an Wahlen und Abstimmungen teilzunehmen. Das Nähere regelt die Geschäftsordnung.

(4) Der Landtag bildet Ausschüsse, insbesondere zur Vorbereitung seiner Beschlüsse. Die Zusammensetzung der Ausschüsse sowie die Regelung des Vorsitzes in den Ausschüssen ist im Verhältnis der Stärke der einzelnen Fraktionen vorzunehmen. Jeder Abgeordnete hat das Recht auf Mitwirkung in einem Ausschuss.

(5) Abgeordnete können sich zu Fraktionen zusammenschließen. Die Fraktionen wirken mit eigenen Rechten und Pflichten an der Erfüllung der Aufgaben des Landtags mit. Zu ihren Aufgaben gehören die Koordination der parlamentarischen Tätigkeit und die Information der Öffentlichkeit. Ihre innere Ordnung muss demokratischen Grundsätzen entsprechen. Zur Wahrnehmung ihrer Aufgaben ist den Fraktionen eine angemessene Ausstattung zu gewährleisten. Das Nähere regelt die Geschäftsordnung des Landtags oder ein Gesetz.

(1) Die Abgeordneten werden in allgemeiner, gleicher, unmittelbarer, geheimer und freier Wahl gewählt.

(2) Wahlberechtigt ist, wer das 18. Lebensjahr vollendet hat. Wählbar ist, wer das Alter erreicht hat, mit dem die Volljährigkeit eintritt.

(3) Die Wahl findet an einem Sonntag oder einem gesetzlichen Feiertag statt.

(4) Das Nähere wird durch Gesetz geregelt.

(1) Vereinigungen und Personen, die es unternehmen, die staatsbürgerlichen Freiheiten zu unterdrücken oder gegen Volk, Land oder Verfassung Gewalt anzuwenden, dürfen sich an Wahlen und Abstimmungen nicht beteiligen.

(2) Die Entscheidung darüber, ob diese Voraussetzungen vorliegen, trifft auf Antrag der Landesregierung oder von mindestens fünfzig Abgeordneten des Landtags der Verfassungsgerichtshof.

(1) Die Wahlprüfung ist Sache des Landtags.

(2) Ihm obliegt auch die Feststellung, ob ein Abgeordneter des Landtags die Mitgliedschaft verloren hat.

(3) Die Entscheidung kann durch Beschwerde beim Verfassungsgerichtshof angefochten werden.

(4) Das Nähere wird durch Gesetz geregelt.

Der Landtag wird auf fünf Jahre gewählt. Die Neuwahl findet im letzten Vierteljahr der Wahlperiode statt. Die Wahlperiode endet, auch im Fall einer Auflösung des Landtags, mit dem Zusammentritt des neuen Landtags.

(1) Der Landtag kann sich durch Beschluss auflösen. Hierzu bedarf es der Zustimmung der Mehrheit der gesetzlichen Mitgliederzahl.

(2) Nach der Auflösung des Landtages muss die Neuwahl binnen neunzig Tagen stattfinden.

Die Wahlperiode des neuen Landtags beginnt mit seinem ersten Zusammentritt.

(1) Der Landtag tritt spätestens am zwanzigsten Tag nach der Wahl zusammen. Der neugewählte Landtag wird zu seiner ersten Sitzung vom bisherigen Präsidenten einberufen.

(2) Nach dem Zusammentritt eines neuen Landtags führt das an Jahren älteste oder, wenn es ablehnt oder verhindert ist, das jeweils nächstälteste Mitglied des Landtags den Vorsitz, bis der neugewählte Präsident oder einer seiner Stellvertreter das Amt übernimmt.

(1) Der Landtag wählt den Präsidenten, dessen Stellvertreter und die übrigen Mitglieder des Präsidiums. Er gibt sich seine Geschäftsordnung.

(2) Bis zur Wahl des neuen Präsidiums führt das bisherige Präsidium die Geschäfte weiter.

(3) Der Landtag wird jeweils durch den Präsidenten einberufen.

(4) Auf Antrag der Landesregierung oder eines Viertels seiner Mitglieder muss der Landtag unverzüglich einberufen werden.

(1) In Rechtsgeschäften und Rechtsstreitigkeiten der Landtagsverwaltung vertritt der Präsident das Land. Er verfügt über die Einnahmen und Ausgaben der Landtagsverwaltung nach Maßgabe des Haushalts.

(2) Dem Präsidenten steht die Annahme und Entlassung der Angestellten und Arbeiter sowie im Benehmen mit dem Präsidium die Ernennung der Beamten des Landtags zu. Er hat die Dienstaufsicht und Dienststrafgewalt über die Beamten, Angestellten und Arbeiter des Landtags. Er übt das Hausrecht und die Polizeigewalt im Landtagsgebäude aus.

(3) Im übrigen werden die Rechte und Pflichten des Präsidenten durch die Geschäftsordnung bestimmt.

(1) Die Landesregierung unterrichtet den Landtag frühzeitig und umfassend über die Vorbereitung von Landesgesetzen, Staatsverträgen, Verwaltungsabkommen und Angelegenheiten der Landesplanung sowie über Angelegenheiten des Bundes und der Europäischen Union, soweit sie an ihnen mitwirkt. Das Nähere regelt eine Vereinbarung zwischen Landtag und Landesregierung.

(2) In Angelegenheiten der Europäischen Union, die im Schwerpunkt Gesetzgebungsrechte des Landtags betreffen, berücksichtigt die Landesregierung die Stellungnahme des Landtags bei der Wahrnehmung ihrer Aufgaben. Weicht die Landesregierung in ihrem Stimmverhalten im Bundesrat von einer Stellungnahme des Landtags ab, so hat sie ihre Entscheidung gegenüber dem Landtag zu begründen.

(1) Der Landtag hat das Recht und auf Antrag von einem Fünftel der gesetzlichen Zahl seiner Mitglieder die Pflicht, Untersuchungsausschüsse einzusetzen. Diese Ausschüsse erheben in öffentlicher Verhandlung die Beweise, die sie oder die Antragsteller für erforderlich erachten. Sie können mit Zweidrittelmehrheit die Öffentlichkeit ausschließen. Die Zahl der Mitglieder bestimmt der Landtag. Die Mitglieder wählt der Landtag im Wege der Verhältniswahl. Das Nähere über die Einsetzung, die Befugnisse und das Verfahren wird durch Gesetz geregelt.

(2) Die Gerichte und Verwaltungsbehörden sind zur Rechts- und Amtshilfe verpflichtet. Sie sind insbesondere verpflichtet, dem Ersuchen dieser Ausschüsse um Beweiserhebungen nachzukommen. Die Akten der Behörden und öffentlichen Körperschaften sind ihnen auf Verlangen vorzulegen.

(3) Das Brief-, Post- und Fernmeldegeheimnis bleiben unberührt.

(4) Die Beschlüsse der Untersuchungsausschüsse sind der richterlichen Erörterung entzogen. In der Feststellung und in der rechtlichen Beurteilung des der Untersuchung zu Grunde liegenden Sachverhalts sind die Gerichte frei.

(1) Zur Vorbereitung der Beschlüsse über Petitionen gemäß Artikel 17 des Grundgesetzes sind die Landesregierungen und die Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie Behörden und sonstige Verwaltungseinrichtungen, soweit sie unter der Aufsicht des Landes stehen, verpflichtet, dem Petitionsausschuss des Landtags auf sein Verlangen jederzeit Eintritt zu ihren Einrichtungen zu gestatten.

(2) Die in Absatz 1 genannten Stellen sind verpflichtet, dem Petitionsausschuss auf sein Verlangen alle erforderlichen Auskünfte zu erteilen und Akten zugängig zu machen. Der Petitionsausschuss ist berechtigt, den Petenten und beteiligte Personen anzuhören. Nach näherer Bestimmung der Geschäftsordnung kann der Petitionsausschuss Beweise durch Vernehmung von Zeugen und Sachverständigen erheben. Die Vorschriften der Strafprozessordnung finden sinngemäß Anwendung. Das Brief-, Post- und Fernmeldegeheimnis bleibt unberührt.

(3) Nach Maßgabe der Geschäftsordnung kann der Petitionsausschuss die ihm gemäß Absatz 1 und 2 zustehenden Befugnisse mit Ausnahme der eidlichen Vernehmung auf einzelne Mitglieder des Ausschusses übertragen; auf Antrag des Petitionsausschusses beauftragt der Präsident des Landtags Beamte der Landtagsverwaltung mit der Wahrnehmung dieser Befugnisse. Artikel 45 Abs. 1 und 2 findet sinngemäß Anwendung.

Die Sitzungen des Landtags sind öffentlich. Auf Antrag der Landesregierung oder von zehn Abgeordneten kann der Landtag mit Zweidrittelmehrheit der Anwesenden die Öffentlichkeit für einzelne Gegenstände der Tagesordnung ausschließen. Über den Antrag wird in geheimer Sitzung verhandelt.

Wegen wahrheitsgetreuer Berichte über öffentliche Sitzungen des Landtags und seiner Ausschüsse kann niemand zur Verantwortung gezogen werden.

(1) Der Landtag ist beschlussfähig, wenn mehr als die Hälfte der gesetzlichen Mitgliederzahl anwesend ist.

(2) Der Landtag fasst seine Beschlüsse mit Stimmenmehrheit.

(1) Die Mitglieder der Landesregierung und die von ihnen Beauftragten können den Sitzungen des Landtags und seiner Ausschüsse beiwohnen. Die Aufrechterhaltung der Ordnung in der Sitzung obliegt dem Vorsitzenden. Den Mitgliedern der Landesregierung ist jederzeit, auch außerhalb der Tagesordnung, das Wort zu erteilen.

(2) Der Landtag und seine Ausschüsse können die Anwesenheit jedes Mitgliedes der Landesregierung verlangen.

(3) Die Vorschrift des Absatzes 1, Satz 1 und 3 gilt nicht für die Sitzungen der Untersuchungsausschüsse.

(1) Abgeordnete dürfen an der Übernahme und Ausübung ihres Mandats nicht gehindert oder hierdurch in ihrem Amt oder Arbeitsverhältnis benachteiligt werden. Insbesondere ist unzulässig, sie aus diesem Grunde zu entlassen oder ihnen zu kündigen.

(2) Beamte, Angestellte und Arbeiter bedürfen zu der mit den Obliegenheiten ihres Mandats als Mitglieder des Landtags verbundenen Tätigkeit keines Urlaubs. Bewerben sie sich um einen Sitz im Landtag, so ist ihnen der zur Vorbereitung ihrer Wahl erforderliche Urlaub zu gewähren.

(3) Die Wählbarkeit von Beamten, Angestellten des öffentlichen Dienstes und Richtern im Lande Nordrhein-Westfalen kann gesetzlich beschränkt werden.

(4) gestrichen

Kein Abgeordneter darf zu irgendeiner Zeit wegen seiner Abstimmung oder wegen Äußerungen in Ausübung seines Mandats gerichtlich oder dienstlich verfolgt oder sonst außerhalb der Versammlung zur Verantwortung gezogen werden. Dies gilt nicht für verleumderische Beleidigungen.

(1) Kein Abgeordneter kann ohne Genehmigung des Landtags während der Wahlperiode wegen einer mit Strafe bedrohten Handlung zur Untersuchung gezogen, festgenommen oder verhaftet werden, es sei denn, dass er bei der Ausübung der Tat oder spätestens im Laufe des nächstfolgenden Tages ergriffen wird oder ein Fall der Ehrverletzung nach Artikel 47 vorliegt.

(2) Die gleiche Genehmigung ist bei jeder anderen Beschränkung der persönlichen Freiheit erforderlich, die die Ausübung des Abgeordnetenmandats beeinträchtigt.

(3) Jedes Strafverfahren gegen einen Abgeordneten und jede Haft oder sonstige Beschränkung seiner persönlichen Freiheit wird auf Verlangen des Landtags entweder für die gesamte Dauer oder bestimmte Zeitabschnitte der Wahlperiode ausgesetzt.

(1) Die Abgeordneten sind berechtigt, über Personen, die ihnen in ihrer Eigenschaft als Abgeordnete oder denen sie in dieser Eigenschaft Tatsachen anvertraut haben sowie über diese Tatsachen selbst das Zeugnis zu verweigern. Soweit dieses Zeugnisverweigerungsrecht reicht, ist die Beschlagnahme von Schriftstücken unzulässig.

(2) Eine Durchsuchung oder Beschlagnahme darf in den Räumen des Landtags nur mit Genehmigung des Präsidenten vorgenommen werden.

Die Mitglieder des Landtags haben Anspruch auf angemessene Bezüge nach Maßgabe eines Gesetzes. Sie erhalten das Recht zur freien Fahrt auf allen Eisenbahnen und sonstigen Beförderungsmitteln der Deutschen Bahn im Lande Nordrhein-Westfalen. Ein Verzicht auf diese Rechte ist unzulässig.

Die Landesregierung besteht aus dem Ministerpräsidenten und den Landesministern.

(1) Der Landtag wählt aus seiner Mitte in geheimer Wahl ohne Aussprache den Ministerpräsidenten mit mehr als der Hälfte der gesetzlichen Zahl seiner Mitglieder.

(2) Kommt eine Wahl gemäß Absatz 1 nicht zu Stande, so findet innerhalb von 14 Tagen ein zweiter, gegebenenfalls ein dritter Wahlgang statt, in dem der gewählt ist, der mehr als die Hälfte der abgegebenen Stimmen erhält. Ergibt sich keine solche Mehrheit, so findet eine Stichwahl zwischen den beiden Vorgeschlagenen statt, die die höchste Stimmenzahl erhalten haben.

(3) Der Ministerpräsident ernennt und entlässt die Minister. Er beauftragt ein Mitglied der Landesregierung mit seiner Vertretung und zeigt seine Entscheidungen unverzüglich dem Landtag an.

Die Mitglieder der Landesregierung leisten beim Amtsantritt vor dem Landtag folgenden Amtseid: "Ich schwöre, dass ich meine ganze Kraft dem Wohle des Landes Nordrhein-Westfalen widmen, seinen Nutzen mehren, Schaden von ihm wenden, das mir übertragene Amt nach bestem Wissen und Können unparteiisch verwalten, Verfassung und Gesetz wahren und verteidigen, meine Pflichten gewissenhaft erfüllen und Gerechtigkeit gegen jedermann üben werde. So wahr mir Gott helfe." Der Eid kann auch ohne religiöse Beteuerung geleistet werden.

(1) Der Ministerpräsident führt den Vorsitz in der Landesregierung. Bei Stimmengleichheit entscheidet seine Stimme.

(2) Er leitet die Geschäfte nach einer von der Landesregierung beschlossenen Geschäftsordnung.

(1) Der Ministerpräsident bestimmt die Richtlinien der Politik und trägt dafür die Verantwortung.

(2) Innerhalb dieser Richtlinien leitet jeder Minister seinen Geschäftsbereich selbstständig und unter eigener Verantwortung.

(3) Bei Meinungsverschiedenheiten über Fragen, die den Geschäftsbereich mehrerer Mitglieder der Landesregierung berühren, entscheidet die Landesregierung.

(1) Die Landesregierung beschließt über Gesetzesvorlagen, die beim Landtag einzubringen sind.

(2) Die Landesregierung erlässt die zur Ausführung eines Gesetzes erforderlichen Verwaltungsverordnungen, soweit das Gesetz diese Aufgabe nicht einzelnen Ministern zuweist.

Die Landesregierung vertritt das Land Nordrhein-Westfalen nach außen. Sie kann diese Befugnis auf den Ministerpräsidenten, auf ein anderes Mitglied der Landesregierung oder auf nachgeordnete Stellen übertragen.

Die Landesregierung ernennt die Landesbeamten. Sie kann die Befugnis auf andere Stellen übertragen.

(1) Der Ministerpräsident übt das Recht der Begnadigung aus. Er kann die Befugnis auf andere Stellen übertragen. Zu Gunsten eines Mitgliedes der Landesregierung wird das Recht der Begnadigung durch den Landtag ausgeübt.

(2) Allgemeine Straferlasse und die Niederschlagung einer bestimmten Art anhängiger Strafsachen dürfen nur auf Grund eines Gesetzes ausgesprochen werden.

(1) Ist der Landtag durch höhere Gewalt daran gehindert, sich frei zu versammeln, und wird dies durch einen mit Mehrheit gefassten Beschluss des Landtagspräsidenten und seiner Stellvertreter festgestellt, so kann die Landesregierung zur Aufrechterhaltung der öffentlichen Ruhe und Ordnung oder zur Beseitigung eines Notstandes Verordnungen mit Gesetzeskraft, die der Verfassung nicht widersprechen, erlassen.

(2) Diese Verordnungen bedürfen der Zustimmung eines in der Geschäftsordnung zu bestimmenden Ausschusses, es sei denn, dass auch dieser nach einer entsprechend Absatz 1 zu treffenden Feststellung am Zusammentritt verhindert ist.

(3) Verordnungen ohne Beteiligung des in der Geschäftsordnung zu bestimmenden Ausschusses sind nur mit Gegenzeichnung des Landtagspräsidenten rechtswirksam. Die Gegenzeichnung erfolgt oder gilt als erfolgt, sofern der Landtagspräsident und seine Stellvertreter dies mit Mehrheit beschließen.

(4) Die Feststellung des Landtagspräsidenten und seiner Stellvertreter ist jeweils nur für einen Monat wirksam und, wenn die Voraussetzungen des Notstandes fortdauern, zu wiederholen.

(5) Die Verordnungen sind dem Landtage bei seinem nächsten Zusammentritt zur Genehmigung vorzulegen. Wird die Genehmigung versagt, so sind die Verordnungen durch Bekanntmachung im Gesetz- und Verordnungsblatt unverzüglich außer Kraft zu setzen.

(1) Der Landtag kann dem Ministerpräsidenten das Misstrauen nur dadurch aussprechen, dass er mit der Mehrheit der abgegebenen Stimmen einen Nachfolger wählt.

(2) Zwischen dem Antrag auf Abberufung und der Wahl müssen mindestens achtundvierzig Stunden liegen.

(1) Der Ministerpräsident und die Minister können jederzeit zurücktreten.

(2) Das Amt des Ministerpräsidenten und der Minister endet in jedem Falle mit dem Zusammentritt eines neuen Landtags, das Amt eines Ministers auch mit jeder anderen Erledigung des Amtes des Ministerpräsidenten.

(3) Im Falle des Rücktritts oder einer sonstigen Beendigung des Amtes haben die Mitglieder der Landesregierung bis zur Amtsübernahme des Nachfolgers ihr Amt weiterzuführen.

(weggefallen)

(1) Besoldung, Ruhegehalt und Hinterbliebenenversorgung der Mitglieder der Landesregierung werden durch Gesetz geregelt.

(2) Mit dem Amte eines Mitgliedes der Landesregierung ist die Ausübung eines anderen öffentlichen Amtes oder einer anderen Berufstätigkeit in der Regel unvereinbar. Die Landesregierung kann Mitgliedern der Landesregierung die Beibehaltung ihrer Berufstätigkeit gestatten.

(3) Die Wahl in den Vorstand, Verwaltungsrat oder Aufsichtsrat industrieller oder ähnlicher den Gelderwerb bezweckender Unternehmungen dürfen Mitglieder der Landesregierung nur mit besonderer Genehmigung des Hauptausschusses annehmen. Der Genehmigung durch die Landesregierung bedarf es, wenn sie nach ihrem Eintritt in die Landesregierung in dem Vorstand, Verwaltungsrat oder Aufsichtsrat einer der erwähnten Unternehmungen tätig bleiben wollen. Die erteilte Genehmigung ist dem Landtagspräsidenten anzuzeigen.

(4) Ein Mitglied der Landesregierung kann nicht gleichzeitig Mitglied des Bundestags oder der Bundesregierung sein.

Gesetzentwürfe werden von der Landesregierung oder aus der Mitte des Landtags eingebracht.

Die Gesetze werden vom Landtag beschlossen. Staatsverträge bedürfen der Zustimmung des Landtags.

(1) Volksinitiativen können darauf gerichtet sein, den Landtag im Rahmen seiner Entscheidungszuständigkeit mit bestimmten Gegenständen der politischen Willensbildung zu befassen. Einer Initiative kann auch ein mit Gründen versehener Gesetzentwurf zu Grunde liegen.

(2) Volksinitiativen müssen von mindestens 0,5 vom Hundert der Stimmberechtigten unterzeichnet sein. Artikel 31 Absatz 1 und Absatz 2 Satz 1 über das Wahlrecht findet auf das Stimmrecht entsprechende Anwendung.

(3) Das Nähere wird durch Gesetz geregelt.

(weggefallen)

(1) Volksbegehren können darauf gerichtet werden, Gesetze zu erlassen, zu ändern oder aufzuheben. Dem Volksbegehren muss ein ausgearbeiteter und mit Gründen versehener Gesetzentwurf zu Grunde liegen. Ein Volksbegehren ist nur auf Gebieten zulässig, die der Gesetzgebungsgewalt des Landes unterliegen. Über Finanzfragen, Abgabengesetze und Besoldungsordnungen ist ein Volksbegehren nicht zulässig. Über die Zulässigkeit entscheidet die Landesregierung. Gegen die Entscheidung ist die Anrufung des Verfassungsgerichtshofes zulässig. Das Volksbegehren ist nur rechtswirksam, wenn es von mindestens 8 vom Hundert der Stimmberechtigten gestellt ist.

(2) Das Volksbegehren ist von der Landesregierung unter Darlegung ihres Standpunktes unverzüglich dem Landtag zu unterbreiten. Entspricht der Landtag dem Volksbegehren nicht, so ist binnen zehn Wochen ein Volksentscheid herbeizuführen. Entspricht der Landtag dem Volksbegehren, so unterbleibt der Volksentscheid.

(3) Die Abstimmung kann nur bejahend oder verneinend sein. Es entscheidet die Mehrheit der abgegebenen Stimmen, sofern diese Mehrheit mindestens 15 vom Hundert der Stimmberechtigten beträgt.

(4) Die Vorschriften des Artikels 31 Abs. 1 bis 3 über das Wahlrecht und Wahlverfahren finden auf das Stimmrecht und das Abstimmungsverfahren entsprechende Anwendung. Das Nähere wird durch Gesetz geregelt.

(1) Die Verfassung kann nur durch ein Gesetz geändert werden, das den Wortlaut der Verfassung ausdrücklich ändert oder ergänzt. Änderungen der Verfassung, die den Grundsätzen des republikanischen, demokratischen und sozialen Rechtsstaates im Sinne des Grundgesetzes für die Bundesrepublik Deutschland widersprechen, sind unzulässig.

(2) Für eine Verfassungsänderung bedarf es der Zustimmung einer Mehrheit von zwei Dritteln der gesetzlichen Mitgliederzahl des Landtags.

(3) Kommt die Mehrheit gemäß Absatz 2 nicht zustande, so kann sowohl der Landtag als auch die Regierung die Zustimmung zu der begehrten Änderung der Verfassung durch Volksentscheid einholen.

Die Verfassung kann auch durch Volksentscheid auf Grund eines Volksbegehrens nach Artikel 68 geändert werden. Das Gesetz ist angenommen, wenn mindestens die Hälfte der Stimmberechtigten sich an dem Volksentscheid beteiligt und mindestens zwei Drittel der Abstimmenden dem Gesetzentwurf zustimmen.

Die Ermächtigung zum Erlass einer Rechtsverordnung kann nur durch Gesetz erteilt werden. Das Gesetz muss Inhalt, Zweck und Ausmaß der erteilten Ermächtigung bestimmen. In der Verordnung ist die Rechtsgrundlage anzugeben. Ist durch Gesetz vorgesehen, dass eine Ermächtigung weiterübertragen werden kann, so bedarf es zu ihrer Übertragung einer Rechtsverordnung.

(1) Die Gesetze werden von der Landesregierung unverzüglich ausgefertigt und im Gesetz- und Verordnungsblatt verkündet. Sie werden vom Ministerpräsidenten und den beteiligten Ministern unterzeichnet.

(2) Rechtsverordnungen werden von der Stelle, die sie erlässt, ausgefertigt und im Gesetz- und Verordnungsblatt verkündet.

(3) Gesetze und Rechtsverordnungen treten, wenn nichts anderes bestimmt ist, mit dem vierzehnten Tage nach Ausgabe der die Verkündung enthaltenden Nummer des Gesetz- und Verordnungsblattes in Kraft.

(1) Die Gerichte urteilen im Namen des Deutschen Volkes.

(2) An der Rechtsprechung sind Männer und Frauen aus dem Volke nach Maßgabe der Gesetze zu beteiligen.

Wenn ein Richter im Amte oder außerhalb des Amtes gegen die Grundsätze des Grundgesetzes oder gegen die verfassungsmäßige Ordnung des Landes verstößt, so kann das Bundesverfassungsgericht mit Zweidrittelmehrheit auf Antrag der Mehrheit der gesetzlichen Mitgliederzahl des Landtags anordnen, dass der Richter in ein anderes Amt oder in den Ruhestand zu versetzen ist. Im Falle eines vorsätzlichen Verstoßes kann auf Entlassung erkannt werden.

(1) Gegen die Anordnungen, Verfügungen und Unterlassungen der Verwaltungsbehörden kann der Betroffene die Entscheidung der Verwaltungsgerichte anrufen. Die Verwaltungsgerichte haben zu prüfen, ob die beanstandete Maßnahme dem Gesetz entspricht und die Grenze des pflichtgemäßen Ermessens nicht überschreitet.

(2) Die Verwaltungsgerichtsbarkeit wird durch selbstständige Gerichte in mindestens zwei Stufen ausgeübt.

Der Verfassungsgerichtshof entscheidet:

1. 1.

   in den Fallen der Artikel 32 und 33 ,

2. 2.

   über die Auslegung der Verfassung aus Anlass von Streitigkeiten über den Umfang der Rechte und Pflichten eines obersten Landesorgans oder anderer Beteiligter, die durch diese Verfassung oder in der Geschäftsordnung eines obersten Landesorgans mit eigenen Rechten ausgestattet sind,

3. 3.

   bei Meinungsverschiedenheiten oder Zweifeln über die Vereinbarkeit von Landesrecht mit dieser Verfassung auf Antrag der Landesregierung oder eines Drittels der Mitglieder des Landtags,

4. 4.

   über Beschwerden von Vereinigungen gegen ihre Nichtanerkennung als Partei für die Wahl zum Landtag,

5. 5a.

   über Verfassungsbeschwerden, die von jedermann mit der Behauptung erhoben werden können, durch die öfientliche Gewalt des Landes in einem seiner in dieser Verfassung für das Land Nordrhein-Westfalen enthaltenen Rechte verletzt zu sein,

6. 5b.

   über Verfassungsbeschwerden von Gemeinden und Gemeindeverbänden, die mit der Behauptung erhoben werden können, dass Landesrecht die Vorschriften dieser Verfassung des Landes Nordrhein-Westfalen über das Recht auf Selbstverwaltung verletze,

7. 6.

   in sonstigen durch Gesetz zugewiesenen Fällen.

(1) Der Verfassungsgerichtshof setzt sich zusammen aus dem Präsidenten, dem Vizepräsidenten und aus fünf weiteren Mitgliedern. Die Mitglieder werden durch sieben stellvertretende Mitglieder persönlich vertreten.

(2) Die Mitglieder und ihre Stellvertreter werden vom Landtag ohne Aussprache mit Zweidrittelmehrheit auf die Dauer von zehn Jahren gewählt. Wiederwahl ist ausgeschlossen. Sie müssen die Befähigung zum Richteramt haben. Drei Mitglieder und ihre Stellvertreter müssen Berufsrichter sein.

(3) Das Nähere bestimmt das Gesetz.

Die Organisation der allgemeinen Landesverwaltung und die Regelung der Zuständigkeiten erfolgt durch Gesetz. Die Einrichtung der Behörden im Einzelnen obliegt der Landesregierung und auf Grund der von ihr erteilten Ermächtigung den einzelnen Landesministern.

(1) Der Landtag wählt auf Vorschlag der Landesregierung einen Landesbeauftragten für den Datenschutz mit mehr als der Hälfte der gesetzlichen Zahl seiner Mitglieder; Artikel 58 bleibt im Übrigen unberührt.

(2) Der Landesbeauftragte für den Datenschutz ist in Ausübung seines Amtes unabhängig und nur dem Gesetz unterworfen. Er kann sich jederzeit an den Landtag wenden.

(3) Das Nähere wird durch Gesetz geregelt.

(1) Die Gemeinden und Gemeindeverbände sind Gebietskörperschaften mit dem Recht der Selbstverwaltung durch ihre gewählten Organe. Die Räte in den Gemeinden, die Bezirksvertretungen, die Kreistage und die Verbandsversammlung des Regionalverbandes Ruhr werden in allgemeiner, gleicher, unmittelbarer, geheimer und freier Wahl gewählt. Wahlvorschläge, nach deren Ergebnis sich die Sitzanteile in den Räten der Gemeinden, den Bezirksvertretungen, den Kreistagen und der Verbandsversammlung des Regionalverbandes Ruhr bestimmen, werden nur berücksichtigt, wenn sie mindestens 2,5 vom Hundert der insgesamt abgegebenen gültigen Stimmen erhalten haben. Das Gesetz bestimmt das Nähere.

(2) Die Gemeinden und Gemeindeverbände sind in ihrem Gebiet die alleinigen Träger der öffentlichen Verwaltung, soweit die Gesetze nichts anderes vorschreiben.

(3) Das Land kann die Gemeinden oder Gemeindeverbände durch Gesetz oder Rechtsverordnung zur Übernahme und Durchführung bestimmter öffentlicher Aufgaben verpflichten, wenn dabei gleichzeitig Bestimmungen über die Deckung der Kosten getroffen werden. Führt die Übertragung neuer oder die Veränderung bestehender und übertragbarer Aufgaben zu einer wesentlichen Belastung der davon betroffenen Gemeinden oder Gemeindeverbände, ist dafür durch Gesetz oder Rechtsverordnung aufgrund einer Kostenfolgeabschätzung ein entsprechender finanzieller Ausgleich für die entstehenden notwendigen, durchschnittlichen Aufwendungen zu schaffen. Der Aufwendungsersatz soll pauschaliert geleistet werden. Wird nachträglich eine wesentliche Abweichung von der Kostenfolgeabschätzung festgestellt, wird der finanzielle Ausgleich für die Zukunft angepasst. Das Nähere zu den Sätzen 2 bis 4 regelt ein Gesetz; darin sind die Grundsätze der Kostenfolgeabschätzung festzulegen und Bestimmungen über eine Beteiligung der kommunalen Spitzenverbände zu treffen.

(4) Das Land überwacht die Gesetzmäßigkeit der Verwaltung der Gemeinden und Gemeindeverbände. Das Land kann sich bei Pflichtaufgaben ein Weisungs- und Aufsichtsrecht nach näherer gesetzlicher Vorschrift vorbehalten.

Die Gemeinden haben zur Erfüllung ihrer Aufgaben das Recht auf Erschließung eigener Steuerquellen. Das Land ist verpflichtet, diesem Anspruch bei der Gesetzgebung Rechnung zu tragen und im Rahmen seiner finanziellen Leistungsfähigkeit einen übergemeindlichen Finanzausgleich zu gewährleisten.

Die Beamten und sonstigen Verwaltungsangehörigen sind Diener des ganzen Volkes, nicht einer Partei oder sonstigen Gruppe. Sie haben ihr Amt und ihre Aufgaben unparteiisch und ohne Rücksicht auf die Person nur nach sachlichen Gesichtspunkten wahrzunehmen. Jeder Beamte leistet folgenden Amtseid: "Ich schwöre, dass ich das mir übertragene Amt nach bestem Wissen und Können verwalten, Verfassung und Gesetze befolgen und verteidigen, meine Pflichten gewissenhaft erfüllen und Gerechtigkeit gegen jedermann üben werde. So wahr mir Gott helfe." Der Eid kann auch ohne religiöse Beteuerung geleistet werden.

(1) Der Landtag sorgt durch Bewilligung der erforderlichen laufenden Mittel für die Deckung des Landesbedarfs.

(2) Alle Einnahmen und Ausgaben des Landes sind in den Haushaltsplan einzustellen; bei Landesbetrieben und bei Sondervermögen brauchen nur die Zuführungen oder Ablieferungen eingestellt zu werden. Ein Nachtragshaushaltsplan kann sich auf einzelne Einnahmen und Ausgaben beschränken. Der Haushaltsplan und der Nachtragshaushaltsplan sollen in Einnahmen und Ausgaben ausgeglichen sein.

(3) Der Haushaltsplan wird für ein oder mehrere Haushaltsjahre, nach Jahren getrennt, vor Beginn des ersten Haushaltsjahres durch das Haushaltsgesetz festgestellt. Für Teile des Haushaltsplans kann vorgesehen werden, dass sie für unterschiedliche Zeiträume, nach Haushaltsjahren getrennt, gelten.

Ist bis zum Schluss eines Haushaltjahres der Haushaltsplan für das folgende Jahr nicht festgestellt, so ist bis zu seinem In-Kraft-Treten die Landesregierung ermächtigt,

1. 1.

   alle Ausgaben zu leisten, die nötig sind,

   1. a)

      um gesetzlich bestehende Einrichtungen zu erhalten und gesetzlich beschlossene Maßnahmen durchzuführen,

   2. b)

      um die rechtlich begründeten Verpflichtungen des Landes zu erfüllen,

   3. c)

      um Bauten, Beschaffungen und sonstige Leistungen fortzusetzen, für die durch den Haushaltsplan des Vorjahres bereits Beträge bewilligt worden sind;

2. 2.

   Schatzanweisungen bis zur Höhe eines Viertels der Endsumme des abgelaufenen Haushaltsplanes für je drei Monate auszugeben, soweit nicht Einnahmen aus Steuern und Abgaben und Einnahmen aus sonstigen Quellen die Ausgaben unter Ziffer 1 decken.

Die Aufnahme von Krediten sowie die Übernahme von Bürgschaften, Garantien oder sonstigen Gewährleistungen, die zu Ausgaben in künftigen Haushaltsjahren führen können, bedürfen einer der Höhe nach bestimmten oder bestimmbaren Ermächtigung durch Gesetz. Die Einnahmen aus Krediten dürfen entsprechend den Erfordernissen des gesamtwirtschaftlichen Gleichgewichts in der Regel nur bis zur Höhe der Summe der im Haushaltsplan veranschlagten Ausgaben für Investitionen in den Haushaltsplan eingestellt werden; das Nähere wird durch Gesetz geregelt.

Beschlüsse des Landtags, welche Ausgaben mit sich bringen, müssen bestimmen, wie diese Ausgaben gedeckt werden.

(1) Überplanmäßige und außerplanmäßige Ausgaben bedürfen der Zustimmung des Finanzministers. Sie darf nur im Falle eines unvorhergesehenen und unabweisbaren Bedürfnisses erteilt werden.

(2) Zu überplanmäßigen und außerplanmäßigen Ausgaben hat der Finanzminister die Genehmigung des Landtags einzuholen.

(1) Der Finanzminister hat dem Landtag über alle Einnahmen und Ausgaben im Laufe des nächsten Haushaltsjahres zur Entlastung der Landesregierung Rechnung zu legen. Der Haushaltsrechnung sind Übersichten über das Vermögen und die Schulden des Landes beizufügen.

(2) Der Landesrechnungshof prüft die Rechnung sowie die Ordnungsmäßigkeit und Wirtschaftlichkeit der Haushalts- und Wirtschaftsführung. Er fasst das Ergebnis seiner Prüfung jährlich in einem Bericht für den Landtag zusammen, den er auch der Landesregierung zuleitet.

(1) Der Landesrechnungshof ist eine selbstständige, nur dem Gesetz unterworfene oberste Landesbehörde. Seine Mitglieder genießen den Schutz richterlicher Unabhängigkeit.

(2) Der Präsident, der Vizepräsident und die anderen Mitglieder des Landesrechnungshofes werden vom Landtag ohne Aussprache gewählt und sind von der Landesregierung zu ernennen.

(3) Das Nähere wird durch Gesetz geregelt.

Das Finanzwesen der ertragswirtschaftlichen Unternehmungen des Landes kann durch Gesetz abweichend von den Vorschriften der Artikel 81 bis 86 geregelt werden.

Auf dem Gebiete des Schulwesens gelten in dem ehemaligen Lande Lippe die Rechtsvorschriften vom 1. Januar 1933 bis zur endgültigen Entscheidung über die staatsrechtliche Eingliederung Lippes in das Land Nordrhein-Westfalen.

(1) Die Verfassung ist dem Volke zur Billigung zu unterbreiten. Die Abstimmung erfolgt nach Maßgabe eines Landtagsbeschlusses. Die Verfassung gilt als angenommen, wenn die Mehrheit der Abstimmenden es bejaht hat.

(2) Die Verfassung ist nach ihrer Annahme durch das Volk im Gesetz- und Verordnungsblatt zu verkünden. Sie tritt mit dem auf seine Verkündigung folgenden Tage in Kraft.

(1) Der am 18. Juni 1950 gewählte Landtag gilt als erster Landtag im Sinne dieser Verfassung.

(2) Die bestehenden Organe des Landes nehmen bis zur Bildung der durch diese Verfassung vorgesehenen Organe deren Aufgaben wahr. Eine nach den Bestimmungen dieser Verfassung bereits vor seinem In-Kraft-Treten gebildete Landesregierung gilt als Landesregierung im Sinne der Artikel 51 ff.

Die Wahlperiode des im Jahre 1970 zu wählenden Landtags beträgt vier Jahre zehn Monate.

Die Amtszeit der Richter des Verfassungsgerichtshofes, die am 30. Juni 2017 im Amt sind, wird durch die Neuregelung des Artikels 76 nicht berührt. Soweit die Richter auf der Grundlage des Artikels 76 in der bis zum 30. Juni 2017 geltenden Fassung in ihr Amt gelangt sind, steht dieses einer Wahl gemäß Artikel 76 Absatz 2 in der neuen Fassung nicht entgegen.