Bayerisches Digitalgesetz

Gesetz über die Digitalisierung im Freistaat Bayern

(1) 
 1Die Sicherheit der informationstechnischen Systeme der Behörden ist im Rahmen der Verhältnismäßigkeit sicherzustellen.&nbsp;2Die Behörden treffen zu diesem Zweck angemessene technische und organisatorische Maßnahmen im Sinn von Art. 32 DSGVO und <a href="/bayern/baydsg/32" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Anforderungen an die Sicherheit der Verarbeitung" data-lli="0" target="_blank">Art. 32</a> des <a href="/bayern/baydsg" data-href="/[lawProviderSlug]/[lawAbbreviation]" data-ll="true" target="_blank">Bayerischen Datenschutzgesetzes</a> und erstellen die hierzu erforderlichen Informationssicherheitskonzepte.(2) Werden staatlichen oder sonstigen an das Behördennetz angeschlossenen Stellen Informationen bekannt, die zur Abwehr von Gefahren für die Sicherheit in der Informationstechnik von Bedeutung sind, unterrichten diese das Landesamt und ihre jeweilige oberste Dienstbehörde unverzüglich hierüber, soweit andere Vorschriften oder Vereinbarungen mit Dritten nicht entgegenstehen.(3) Die staatlichen und die sonstigen an das Behördennetz angeschlossenen Stellen unterstützen das Landesamt bei Maßnahmen nach <a href="/bayern/baydig/42" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Aufgaben" data-lli="1" target="_blank">Art. 42</a> Abs. 1 Nr. 1, 2, 4 und 5, soweit keine Vorschriften entgegenstehen.(4) Bei der Planung und Umsetzung von maßgeblichen neuen Digitalisierungsvorhaben des Landes ist das Landesamt zur Gewährleistung der Sicherheit in der Informationstechnik durch die jeweils zuständige Stelle frühzeitig zu beteiligen und es ist ihm die Gelegenheit zur Stellungnahme zu geben.

Behördenübergreifende Pflichten

Bayerisches Datenschutzgesetz

(1) 
 Art. 32 Abs. 3 und 4 DSGVO findet keine Anwendung.(2) Im Fall einer automatisierten Verarbeitung haben der Verantwortliche oder der Auftragsverarbeiter auf Grundlage einer Risikobewertung Maßnahmen zu ergreifen, die geeignet sind, um
 <dl>
 <dt style="float: left;">1.</dt><dd>
 
 Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zugangskontrolle),
 </dd>
 <dt style="float: left;">2.</dt><dd>
 
 die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle),
 </dd>
 <dt style="float: left;">3.</dt><dd>
 
 zu verhindern, dass
 <dl>
 <dt style="float: left;">a)</dt><dd>
 
 Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle),
 </dd>
 <dt style="float: left;">b)</dt><dd>
 
 personenbezogene Daten unbefugt eingegeben werden sowie gespeicherte personenbezogene Daten unbefugt gelesen, verändert oder gelöscht werden (Speicherkontrolle),
 </dd>
 <dt style="float: left;">c)</dt><dd>
 
 automatisierte Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten genutzt werden können (Benutzerkontrolle),
 </dd>
 <dt style="float: left;">d)</dt><dd>
 
 bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle),
 </dd>
 </dl>
 </dd>
 <dt style="float: left;">4.</dt><dd>
 
 zu gewährleisten, dass
 <dl>
 <dt style="float: left;">a)</dt><dd>
 
 die zur Benutzung eines automatisierten Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle),
 </dd>
 <dt style="float: left;">b)</dt><dd>
 
 überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),
 </dd>
 <dt style="float: left;">c)</dt><dd>
 
 nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in automatisierte Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle),
 </dd>
 <dt style="float: left;">d)</dt><dd>
 
 eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellung),
 </dd>
 <dt style="float: left;">e)</dt><dd>
 
 alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),
 </dd>
 <dt style="float: left;">f)</dt><dd>
 
 gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität),
 </dd>
 <dt style="float: left;">g)</dt><dd>
 
 personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Verantwortlichen verarbeitet werden können (Auftragskontrolle).
 </dd>
 </dl>
 </dd>
 </dl>

Anforderungen an die Sicherheit der Verarbeitung

(1) Das Landesamt hat
 <dl>
 <dt style="float: left;">1.</dt><dd>
 
 Gefahren für die Sicherheit der Informationstechnik an den Schnittstellen zwischen Behördennetz und anderen Netzen abzuwehren,
 </dd>
 <dt style="float: left;">2.</dt><dd>
 
 die staatlichen und die sonstigen an das Behördennetz angeschlossenen Stellen bei der Abwehr von Gefahren für die Sicherheit in der Informationstechnik zu unterstützen,
 </dd>
 <dt style="float: left;">3.</dt><dd>
 
 sicherheitstechnische Mindeststandards an die Informationstechnik für die staatlichen und die sonstigen an das Behördennetz angeschlossenen Stellen zu entwickeln,
 </dd>
 <dt style="float: left;">4.</dt><dd>
 
 die Einhaltung der Mindeststandards nach Nr. 3 zu prüfen,
 </dd>
 <dt style="float: left;">5.</dt><dd>
 
 alle für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik erforderlichen Informationen zu sammeln und auszuwerten sowie die staatlichen und sonstigen an das Behördennetz angeschlossenen Stellen unverzüglich über die sie betreffenden Informationen zu unterrichten und
 </dd>
 <dt style="float: left;">6.</dt><dd>
 
 die zuständigen Aufsichtsbehörden über Informationen, die es als Kontaktstelle im Rahmen des Verfahrens zu <a href="/bund/bsig/8b" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen" data-lli="0" target="_blank">§ 8b</a> des <a href="/bund/bsig" data-href="/[lawProviderSlug]/[lawAbbreviation]" data-ll="true" target="_blank">BSI-Gesetzes</a> erhalten hat, zu unterrichten.
 </dd>
 </dl>(2) Auf Ersuchen kann das Landesamt staatliche und kommunale Stellen, öffentliche Unternehmen, Betreiber kritischer Infrastrukturen und weitere Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen in Fragen der Sicherheit in der Informationstechnik unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen beraten und unterstützen.(3) Auf Ersuchen kann das Landesamt die Polizei, die Strafverfolgungsbehörden und das Landesamt für Verfassungsschutz bei der Wahrnehmung ihrer gesetzlichen Aufgaben technisch unterstützen, insbesondere bei der Durchführung von technischen Untersuchungen oder der Datenverarbeitung.(4) Für die Kommunikationstechnik des Landtags, der Gerichte, des Obersten Rechnungshofs und des Landesbeauftragten für den Datenschutz ist das Landesamt nur zuständig, soweit sie an das Behördennetz angeschlossen sind oder Dienste im Sinne des <a href="/bayern/baydig/37" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Basisdienste und zentrale Dienste" data-lli="1" target="_blank">Art. 37</a> nutzen.

Aufgaben

Allgemeiner Teil

Teil 1

Allgemeines, Digitalstandort, Digitale Technologien

Kapitel 1

Anwendungsbereich

Förderung der Digitalisierung

Digitale Entscheidungsfähigkeit des Freistaates Bayern

Digitale Daseinsvorsorge

Digitalisierung von Staat und Verwaltung

Nachhaltigkeit

Personal und Qualifizierung

Digitale Rechte und Gewährleistungen

Kapitel 2

Freier Zugang zum Internet

Digitale Handlungsfähigkeit

Digitale Selbstbestimmung

Digitale Identität

Rechte in der digitalen Verwaltung

Mobile Dienste

Offene Daten

Digitalplan, Digitalbericht

Digitale Verwaltung

Teil 2

Digitale Kommunikation und Dienste

Digitale Kommunikation

Digitale Dienste

Zahlungsabwicklung und Rechnungen

Digitales Verwaltungsverfahren

Digitale Verfahren

Digitale Verfahren als Regelfall

Assistenzdienste, Datenübermittlung durch Dritte

Einwilligung im digitalen Verfahren

Nachweise, Direktabruf von Informationen

Bekanntgabe über Portale

Zustellung über Portale

Portalverbund Bayern

Kapitel 3

Bayernportal

Organisationsportal Bayern

Nutzerkonto, Postfach

Funktionsumfang des Nutzerkontos, Datenschutz

Identifizierung am Nutzerkonto, Schriftformersatz

Rechtsgrundlage der Datenverarbeitung

Digitale Akten und Register

Kapitel 4

Digitale Akten

Einsicht in die digitale Akte

Digitale Register

Behördenzusammenarbeit, Rechenzentren

Kapitel 5

Behördliche Zusammenarbeit

Basisdienste und zentrale Dienste

Auftragsverarbeitung durch staatliche Stellen

Bayernserver

Staatlich verfügbare Netze

IT-Sicherheit

Teil 3

Allgemeine Vorschriften

Landesamt für Sicherheit in der Informationstechnik

Befugnisse

Abwehr von Gefahren für die Informationstechnik

Untersuchung der Sicherheit in der Informationstechnik

Mindeststandards

Warnungen

Datenschutz

Datenspeicherung und -auswertung

Datenübermittlung

Organisation

Teil 4

Kommunaler Digitalpakt

Standardisierungsbeschlüsse

Errichtung der eKom.Unit Bayern

Aufgaben und Finanzierung der eKom Bayern

Organisation der eKom Bayern

Geschäftsführung und Aufsicht der eKom Bayern

Übergangs- und Schlussbestimmungen

Teil 5

Experimentierklausel

Verordnungsermächtigungen

Änderung des Bayerischen Digitalgesetzes

Einschränkung von Grundrechten

Inkrafttreten, Außerkrafttreten

Schlussformel

Landesrecht Bayern

Art. 43 BayDiG

Behördenübergreifende Pflichten