Fundstelle GVBl. 2017 S. 518

Der Landtag des Freistaates Bayern hat das folgende Gesetz beschlossen, das hiermit bekannt gemacht wird:

Das Bayerische E-Government-Gesetz (BayEGovG) vom 22. Dezember 2015 (GVBl. S. 458, BayRS 206-1-F) wird wie folgt geändert:

„¹Auftraggeber im Sinn von § 98 des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) stellen den Empfang und die Verarbeitung elektronischer Rechnungen sicher, soweit für sie gemäß § 159 GWB eine Vergabekammer des Freistaates Bayern zuständig ist.“

¹Es besteht ein Landesamt für Sicherheit in der Informationstechnik (Landesamt). ²Es ist dem Staatsministerium der Finanzen, für Landesentwicklung und Heimat unmittelbar nachgeordnet.

(1) Das Landesamt hat

(2) Auf Ersuchen kann das Landesamt staatliche und kommunale Stellen, öffentliche Unternehmen, Betreiber kritischer Infrastrukturen und weitere Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen in Fragen der Sicherheit in der Informationstechnik unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen beraten und unterstützen.

(3) Auf Ersuchen kann das Landesamt die Polizei, die Strafverfolgungsbehörden und das Landesamt für Verfassungsschutz bei der Wahrnehmung ihrer gesetzlichen Aufgaben technisch unterstützen, insbesondere bei der Durchführung von technischen Untersuchungen oder der Datenverarbeitung.

(4) Für die Kommunikationstechnik des Landtags, der Gerichte, des Obersten Rechnungshofs und des Landesbeauftragten für den Datenschutz ist das Landesamt nur zuständig, soweit sie an das Behördennetz angeschlossen sind oder Dienste im Sinn des Art. 8 Abs. 2 und 3 nutzen.

(1) ¹Die Sicherheit der informationstechnischen Systeme der Behörden, die in den Anwendungsbereich des Teils 1 fallen, ist im Rahmen der Verhältnismäßigkeit sicherzustellen. ²Die Behörden treffen zu diesem Zweck angemessene technische und organisatorische Maßnahmen im Sinn des Art. 7 des Bayerischen Datenschutzgesetzes (BayDSG) und erstellen die hierzu erforderlichen Informationssicherheitskonzepte.

(2) Werden staatlichen oder sonstigen an das Behördennetz angeschlossenen Stellen Informationen bekannt, die zur Abwehr von Gefahren für die Sicherheit in der Informationstechnik von Bedeutung sind, unterrichten diese das Landesamt und ihre jeweilige oberste Dienstbehörde unverzüglich hierüber, soweit andere Vorschriften oder Vereinbarungen mit Dritten nicht entgegenstehen.

(3) Die staatlichen und die sonstigen an das Behördennetz angeschlossenen Stellen unterstützen das Landesamt bei Maßnahmen nach Art. 10 Abs. 1 Nr. 1, 2, 4 und 5, soweit keine Vorschriften entgegenstehen.

(1) ¹Das Landesamt kann zur Erfüllung seiner Aufgaben gegenüber staatlichen und an das Behördennetz angeschlossenen Stellen die nötigen Anordnungen treffen oder Maßnahmen ergreifen, um Gefahren für die Informationstechnik etwa durch Schadprogramme oder programmtechnische Sicherheitslücken, unbefugte Datennutzung oder unbefugte Datenverarbeitung durch Dritte zu erkennen und abzuwehren. ²Das umfasst insbesondere auch die dazu nötige Datennutzung und -verarbeitung. ³Die Sätze 1 und 2 gelten nicht für die vom Behördennetz getrennte Informationstechnik des Landesamts für Verfassungsschutz.

(2) Das Landesamt kann hierzu, soweit dies erforderlich ist,

(1) ¹Das Landesamt kann zur Erfüllung seiner Aufgaben nach Art. 10 Abs. 1 Nr. 1 und 4 die Sicherheit der Informationstechnik staatlicher und an das Behördennetz angeschlossener Stellen untersuchen und bewerten. ²Über das Ergebnis erstellt das Landesamt einen Bericht, der der untersuchten Stelle zur Verfügung gestellt wird.

(2) Das Landesamt kann auf dem Markt bereitgestellte oder zur Bereitstellung auf dem Markt vorgesehene informationstechnische Produkte und Systeme untersuchen.

¹Das Landesamt erarbeitet Mindeststandards für die Sicherheit der Informationstechnik. ²Das zuständige Staatsministerium kann im Einvernehmen mit den weiteren Staatsministerien und der Staatskanzlei diese Mindeststandards ganz oder teilweise als allgemeine Verwaltungsvorschriften erlassen. ³Für Landratsämter und die an das Behördennetz angeschlossenen nicht staatlichen Stellen gelten die Mindeststandards für die Teilnahme am Behördennetz.

(1) Das Landesamt kann Warnungen zu Gefahren für die Sicherheit in der Informationstechnik, insbesondere zu Sicherheitslücken, Schadprogrammen oder unbefugten Datenzugriffen aussprechen und Sicherheitsmaßnahmen empfehlen.

(2) ¹Stellen sich die von der Behörde an die Öffentlichkeit gegebenen Informationen im Nachhinein als falsch oder die zu Grunde liegenden Umstände als unrichtig wiedergegeben heraus, so ist dies unverzüglich öffentlich bekannt zu machen, sofern der betroffene Wirtschaftsbeteiligte dies beantragt oder dies zur Wahrung erheblicher Belange des Gemeinwohls erforderlich ist. ²Diese Bekanntmachung soll in derselben Weise erfolgen, in der die Information der Öffentlichkeit ergangen ist.

(1) ¹Sofern nicht die nachfolgenden Absätze eine weitere Verwendung gestatten, muss eine automatisierte Auswertung der Daten durch das Landesamt unverzüglich erfolgen und müssen die Daten nach erfolgtem Abgleich sofort und spurlos gelöscht werden. ²Daten, die weder dem Fernmeldegeheimnis unterliegen noch Personenbezug aufweisen, sind von den Verwendungsbeschränkungen dieser Vorschrift ausgenommen.

(2) ¹Protokolldaten nach Art. 12 Abs. 2 dürfen über den für die automatisierte Auswertung erforderlichen Zeitraum hinaus, längstens jedoch für drei Monate, gespeichert werden, soweit tatsächliche Anhaltspunkte bestehen, dass die Daten erforderlich sein können

²Die Daten sind im Gebiet der Europäischen Union zu speichern. ³Durch organisatorische und technische Maßnahmen nach dem Stand der Technik ist sicherzustellen, dass eine Auswertung der nach diesem Absatz gespeicherten Daten nur automatisiert erfolgt. ⁴Die Daten sind zu pseudonymisieren, soweit dies automatisiert möglich ist. ⁵Eine nicht automatisierte Auswertung oder eine personenbezogene Verwendung ist nur nach Maßgabe der nachfolgenden Absätze zulässig. ⁶Soweit hierzu die Wiederherstellung des Personenbezugs pseudonymisierter Daten erforderlich ist, muss diese durch die Behördenleitung angeordnet werden. ⁷Die Entscheidung ist zu dokumentieren.

(3) ¹Für die Datenverarbeitung von Inhaltsdaten gilt Abs. 2 mit der Maßgabe, dass eine Speicherung für höchstens zwei Monate zulässig ist, die Speicherung und Auswertung von der Behördenleitung und einem weiteren Bediensteten des Landesamts mit der Befähigung zum Richteramt angeordnet sind und dies zum Schutz der technischen Systeme unerlässlich ist. ²Die Anordnung gilt längstens für zwei Monate; sie kann verlängert werden.

(4) ¹Eine über die Abs. 2 und 3 hinausgehende Verarbeitung und Nutzung der Protokoll- und Inhaltsdaten ist nur zulässig,

²Werden Daten, welche die richterliche Unabhängigkeit berühren, nach diesem Absatz verarbeitet, ist der jeweils zuständigen obersten Dienstbehörde unverzüglich zu berichten. ³Berührt die Datenverarbeitung die Aufgabenwahrnehmung anderer unabhängiger Stellen oder ein Berufs- oder besonderes Amtsgeheimnis, ist die betroffene Stelle unverzüglich zu unterrichten. ⁴Die jeweiligen Stellen nach den Sätzen 2 und 3 können vom Landesamt Auskunft über die Verarbeitung von Daten nach diesem Absatz verlangen.

(5) ¹Soweit möglich, ist bei der Datenverarbeitung technisch sicherzustellen, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden. ²Werden Erkenntnisse aus dem Kernbereich privater Lebensgestaltung erlangt, dürfen diese nicht verwendet werden und sind unverzüglich zu löschen; die Tatsache ihrer Erlangung und Löschung ist zu dokumentieren. ³Dies gilt auch in Zweifelsfällen.

(1) Das Landesamt übermittelt Daten nach Art. 16 Abs. 2 bis 4 an die für den Betrieb der Informations- und Kommunikationstechnik verantwortlichen Stellen, wenn und soweit dies zur Abwehr oder Beseitigung von Gefahren für die Vertraulichkeit, Verfügbarkeit und Integrität der Daten in der Informations- und Kommunikationsinfrastruktur des Landes erforderlich ist.

(2) ¹Das Landesamt soll Daten nach Art. 16 Abs. 2 bis 4 unverzüglich übermitteln

²Näheres regeln Verwaltungsvorschriften, die das Staatsministerium der Finanzen, für Landesentwicklung und Heimat im Einvernehmen mit dem Staatsministerium des Innern, für Bau und Verkehr und dem Staatsministerium der Justiz festlegt.“

Die Art. 12, 16 und 17 schränken das Fernmeldegeheimnis (Art. 10 des Grundgesetzes, Art. 112 der Verfassung) ein.“

In Art. 122 Abs. 5 des Bayerischen Gesetzes über das Erziehungs- und Unterrichtswesen (BayEUG) in der Fassung der Bekanntmachung vom 31. Mai 2000 (GVBl. S. 414, 632, BayRS 2230-1-1-K), das zuletzt durch § 3 des Gesetzes vom 12. Juli 2017 (GVBl. S. 362) geändert worden ist, werden die Wörter „Art. 9 Abs. 2 und 3 sowie Art. 10 Abs. 1“ durch die Wörter „Art. 8 Abs. 2 und 3 sowie Art. 19 Abs. 1“ ersetzt.

In § 3 Abs. 1 Satzteil vor Nr. 1 der Bayerischen Barrierefreie Informationstechnik-Verordnung (BayBITV) vom 8. November 2016 (GVBl. S. 314, BayRS 206-1-1-F) wird die Angabe „Art. 9 Abs. 3“ durch die Angabe „Art. 8 Abs. 3“ ersetzt.

Art. 55 Abs. 1 der Bayerischen Haushaltsordnung (BayHO) in der in der Bayerischen Rechtssammlung (BayRS 630-1-F) veröffentlichten bereinigten Fassung, die zuletzt durch § 1 Nr. 348 der Verordnung vom 22. Juli 2014 (GVBI. S. 286) geändert worden ist, wird wie folgt geändert:

„² Teilnahmewettbewerb ist ein Verfahren, bei dem der öffentliche Auftraggeber nach vorheriger öffentlicher Aufforderung zur Teilnahme eine beschränkte Anzahl von geeigneten Unternehmen nach objektiven, transparenten und nichtdiskriminierenden Kriterien auswählt und zur Abgabe von Angeboten auffordert.“

¹Dieses Gesetz tritt am 1. Dezember 2017 in Kraft. ²Abweichend von Satz 1 tritt § 4 am 1. Januar 2018 in Kraft.

München, den 27. November 2017