(1) Jede Behörde kann ihre Befugnisse nach diesem Abschnitt im Einvernehmen mit der das Landesdatennetz betreibenden Behörde auf diese übertragen; das Recht der kommunalen Zusammenarbeit bleibt unberührt.
(2) Soweit der Datenverkehr mit dem Landesrechnungshof, mit der von der oder dem Landesbeauftragten für den Datenschutz geleiteten Behörde oder mit der Landtagsverwaltung betroffen ist, dürfen die Befugnisse nach diesem Abschnitt nur im Einvernehmen mit dieser Behörde wahrgenommen werden.
(3) Im Netzabschnitt des Geschäftsbereichs des Justizministeriums und in den damit verbundenen lokalen Netzen der Stellen aus dem Geschäftsbereich des Justizministeriums werden die Befugnisse nach diesem Abschnitt von einer vom Justizministerium bestimmten Stelle wahrgenommen.
(4) Die Befugnisse nach diesem Abschnitt stehen den Hochschulen und Einrichtungen des Landes, die mit Forschungsaufgaben betraut sind, nicht zu.
(1) Jede Behörde kann den personenbezogenen Datenverkehr eines Verzeichnis- und Berechtigungsdienstes auf einem von ihr betriebenen, mit dem Landesdatennetz verbundenen IT-System automatisiert erheben und auswerten, soweit dies zu dem Zweck, durch Sicherheitslücken, Schadprogramme oder Angriffe verursachte Gefahren für die IT-Sicherheit abzuwehren, erforderlich ist.
(2) Die nach Absatz 1 erhobenen Daten sowie die Auswertungsergebnisse sind unverzüglich zu löschen, soweit sie zu dem in Absatz 1 genannten Zweck nicht mehr erforderlich sind.
(1) Jede Behörde kann auf den von ihr betriebenen, mit dem Landesdatennetz verbundenen IT-Systemen die dort zum Erkennen und Nachverfolgen von Auffälligkeiten gespeicherten personenbezogenen Daten nach Maßgabe der Sätze 2 und 3 automatisiert auswerten, soweit dies zu dem Zweck, durch Sicherheitslücken, Schadprogramme oder Angriffe verursachte Gefahren für die IT-Sicherheit abzuwehren, erforderlich ist. Für die Auswertung nach Satz 1 dürfen ausschließlich die automatisierten Ereignisdokumentationen von
Firewall-Systemen und Systemen zum Netzwerkbetrieb,
Systemen zur Erkennung und Beseitigung von Schadsoftware,
Systemen zur Erkennung von unerwünschten Werbe-, Betrugs- oder schädlichen E-Mails,
Servern von Datenbanken, Verzeichnisdiensten und Anwendungen und
Betriebssoftware und Anwendungen von Computersystemen
herangezogen werden. Zum Zweck der Auswertung dürfen die in Satz 2 genannten Daten zusammengeführt und gemeinsam verarbeitet werden.
(2) Jede Behörde kann an den von ihr betriebenen, mit dem Landesdatennetz verbundenen Übergabe- und Knotenpunkten nach Maßgabe des Satzes 2 nach auffälligem Datenverkehr suchen, soweit dies zu dem Zweck, durch Sicherheitslücken, Schadprogramme oder Angriffe verursachte Gefahren für die IT-Sicherheit abzuwehren, erforderlich ist. Der an den Übergabe- und Knotenpunkten anfallende personenbezogene Datenverkehr darf automatisiert erhoben, entschlüsselt und unverzüglich automatisiert ausgewertet werden.
(3) Werden nach Absatz 1 oder 2 Inhalte einer Telekommunikation (Inhaltsdaten) verarbeitet, so ist die Auswertung ihrer kommunikativen Bedeutung unzulässig.
(4) Ergibt die Auswertung nach Absatz 1 oder 2 keine zureichenden tatsächlichen Anhaltspunkte für eine durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachte Gefahr für die IT-Sicherheit, so sind die nach Absatz 1 oder 2 erhobenen und ausgewerteten Daten sowie die Auswertungsergebnisse unverzüglich zu löschen. 2 Die Speicherung und sonstige Verarbeitung der nach Absatz 1 ausgewerteten Daten nach dem ursprünglichen Verwendungszweck bleiben von Satz 1 unberührt.
(1) Ergibt eine automatisierte Auswertung nach § 18 Abs. 1 oder § 19 Abs. 1 oder 2 zureichende tatsächliche Anhaltspunkte für eine durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachte Gefahr für die IT-Sicherheit, so kann die Behörde die nach § 18 Abs. 1 oder § 19 Abs. 1 oder 2 erhobenen und ausgewerteten Daten sowie die Auswertungsergebnisse zusammenführen, höchstens 30 Tage speichern und in dieser Zeitspanne weiter einzelfallbezogen automatisiert auswerten, soweit dies zur Erkennung oder Abwehr der Gefahr erforderlich ist. Die nach Satz 1 gespeicherten Daten sind unverzüglich automatisiert zu pseudonymisieren, soweit dies technisch möglich ist und die Daten nicht bereits pseudonym sind. Ergibt die Auswertung nach Satz 1 keine hinreichenden tatsächlichen Anhaltspunkte für eine durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachte Gefahr für die IT-Sicherheit, so sind die gespeicherten Daten sowie die Auswertungsergebnisse unverzüglich zu löschen.
(2) Ergibt eine automatisierte Auswertung nach § 18 Abs. 1 oder § 19 Abs. 1 oder 2 oder eine weitere automatisierte Auswertung nach Absatz 1 hinreichende tatsächliche Anhaltspunkte für eine durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachte Gefahr für die IT-Sicherheit, so dürfen die Daten über den Ablauf der in Absatz 1 Satz 1 bestimmten Frist hinaus gespeichert, auch nicht automatisiert ausgewertet und entpseudonymisiert werden, soweit und solange dies zur Erkennung oder Abwehr der Gefahr erforderlich ist. Die weitere Auswertung nach Satz 1 bedarf der Anordnung der Behördenleitung im Einvernehmen mit einer oder einem weiteren Beschäftigten der Behörde mit der Befähigung zum Richteramt. Wenn eine solche Person nicht beschäftigt ist oder aus anderen Gründen nicht zur Verfügung steht, tritt an deren Stelle eine bei der Aufsichtsbehörde beschäftigte und von deren Behördenleitung bestimmte Person mit der Befähigung zum Richteramt. Ergibt die Auswertung nach Satz 1 tatsächliche Anhaltspunkte für eine andere durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachte Gefahr für die IT-Sicherheit, so dürfen die Daten auch gespeichert und nicht automatisiert ausgewertet werden, soweit und solange dies zur Erkennung oder Abwehr der anderen Gefahr erforderlich ist; die Sätze 2 und 3 gelten entsprechend.
(3) Nach den Absätzen 1 und 2 dürfen keine Inhaltsdaten gespeichert oder ausgewertet werden.
(4) Soweit die nach Absatz 2 ausgewerteten Daten sowie die Auswertungsergebnisse nicht mehr für die dort genannten Zwecke oder eine Übermittlung nach § 29 erforderlich sind, sind sie unverzüglich zu löschen.
(1) Ergibt eine automatisierte Auswertung nach § 19 Abs. 1 oder 2 zureichende tatsächliche Anhaltspunkte dafür, dass die ausgewerteten Inhaltsdaten zur Erkennung oder Abwehr einer durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachten Gefahr für die IT-Sicherheit erforderlich sind, so kann die Behörde abweichend von § 20 Abs. 3 auch Inhaltsdaten und Auswertungsergebnisse höchstens 30 Tage speichern und in dieser Zeitspanne weiter einzelfallbezogen automatisiert auswerten, soweit und solange dies zur Erkennung oder Abwehr der Gefahr erforderlich ist; die Auswertung der kommunikativen Bedeutung der Inhaltsdaten ist unzulässig. Die nach Satz 1 gespeicherten Daten sind unverzüglich automatisiert zu pseudonymisieren, soweit dies technisch möglich ist und die Daten nicht bereits pseudonym sind. Die Speicherung nach Satz 1 bedarf der unverzüglichen Genehmigung der Behördenleitung im Einvernehmen mit einer oder einem weiteren Beschäftigten der Behörde mit der Befähigung zum Richteramt. Wenn eine solche Person nicht beschäftigt ist oder aus anderen Gründen nicht zur Verfügung steht, tritt an deren Stelle eine bei der Aufsichtsbehörde beschäftigte und von deren Behördenleitung bestimmte Person mit der Befähigung zum Richteramt. Wird die Genehmigung abgelehnt oder nicht unverzüglich erteilt, so sind die gespeicherten Inhaltsdaten sowie die Auswertungsergebnisse unverzüglich zu löschen. Ergibt die Auswertung nach Satz 1 keine hinreichenden tatsächlichen Anhaltspunkte dafür, dass die ausgewerteten Inhaltsdaten zur Erkennung oder Abwehr einer durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachten Gefahr für die IT-Sicherheit erforderlich sind, so sind die gespeicherten Inhaltsdaten sowie die Auswertungsergebnisse unverzüglich zu löschen.
(2) Ergibt eine automatisierte Auswertung nach § 19 Abs. 1 oder 2 oder eine weitere automatisierte Auswertung nach Absatz 1 hinreichende tatsächliche Anhaltspunkte dafür, dass die ausgewerteten Inhaltsdaten zur Erkennung oder Abwehr einer durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachten Gefahr für die IT-Sicherheit erforderlich sind, so dürfen die Daten über den Ablauf der in Absatz 1 Satz 1 bestimmten Frist hinaus gespeichert, auch nicht automatisiert ausgewertet und entpseudonymisiert werden, soweit und solange dies zur Erkennung oder Abwehr der Gefahr erforderlich ist; die Auswertung der kommunikativen Bedeutung der Inhaltsdaten ist unzulässig. Die weitere Auswertung nach Satz 1 bedarf der Anordnung der Behördenleitung im Einvernehmen mit einer oder einem weiteren Beschäftigten der Behörde mit der Befähigung zum Richteramt. Wenn eine solche Person nicht beschäftigt ist oder aus anderen Gründen nicht zur Verfügung steht, tritt an deren Stelle eine bei der Aufsichtsbehörde beschäftigte und von deren Behördenleitung bestimmte Person mit der Befähigung zum Richteramt. Ergibt die Auswertung nach Satz 1 tatsächliche Anhaltspunkte für eine andere durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachte Gefahr für die IT-Sicherheit, so dürfen die Daten auch gespeichert und nicht automatisiert ausgewertet werden, soweit und solange dies zur Erkennung oder Abwehr der anderen Gefahr erforderlich ist; die Sätze 2 und 3 gelten entsprechend.
(3) Soweit die nach Absatz 2 ausgewerteten Daten sowie die Auswertungsergebnisse nicht mehr für die dort genannten Zwecke oder eine Übermittlung nach § 29 erforderlich sind, sind sie unverzüglich zu löschen.
(4) Sind nach Absatz 2 ausgewertete Daten dem Kernbereich privater Lebensgestaltung oder besonderen Kategorien personenbezogener Daten (Artikel 9 der Datenschutz-Grundverordnung) zuzurechnen oder geeignet, die betroffene Person in ihrer beruflichen oder gesellschaftlichen Stellung zu beeinträchtigen, so dürfen diese nicht gespeichert, verändert, genutzt oder übermittelt werden; sie sind unverzüglich zu löschen. Satz 1 gilt auch in Zweifelsfällen. Die Tatsache, dass in den Sätzen 1 und 2 genannte Daten ausgewertet wurden, und die Löschung dieser Daten sind zu dokumentieren. Die in der Dokumentation enthaltenen Daten dürfen ausschließlich zur Datenschutzkontrolle verwendet werden. Sie sind zu löschen, wenn seit einer Benachrichtigung nach § 26 Abs. 1 Satz 1 ein Jahr vergangen ist, frühestens jedoch zwei Jahre nach der Dokumentation, es sei denn, die oder der Landesbeauftragte für den Datenschutz zeigt an, dass die Daten zur Erfüllung ihrer oder seiner Aufgaben weiterhin benötigt werden.
Jede Behörde, die selbst IT-Systeme zur Erkennung und Abwehr von Gefahren für die IT-Sicherheit betreibt, kann das Bundesamt für Sicherheit in der Informationstechnik (BSI) beauftragen, den von ihr nach § 19 Abs. 2 erhobenen Datenverkehr, dessen automatisierte Auswertung keine zureichenden oder hinreichenden tatsächlichen Anhaltspunkte für eine durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachte Gefahr für die IT-Sicherheit ergeben hat, ergänzend auszuwerten und den Datenverkehr zu diesem Zweck an das BSI übermitteln. Der Auftrag darf nur erteilt werden, wenn
die ergänzende Auswertung durch das BSI nur nach Maßgabe der §§ 20 und 21 erfolgt und über die dabei erforderlichen Anordnungen oder Genehmigungen von der beauftragenden Behörde entschieden wird,
das BSI die Auswertungsergebnisse der beauftragenden Behörde unverzüglich zur Verfügung stellen wird,
eine Verwendung der personenbezogenen Daten durch das BSI zu anderen Zwecken als zur ergänzenden Auswertung unzulässig ist,
die Daten nach Maßgabe des § 25 verarbeitet sowie nach Abschluss der ergänzenden Auswertung unverzüglich gelöscht werden und
das BSI in geeigneter Weise Nachweise dafür erbringen kann, dass die übermittelten Daten ordnungsgemäß verarbeitet und gelöscht werden.
Die ergänzende Auswertung des BSI erfolgt ausschließlich nach Weisung der beauftragenden Behörde.
(1) Jede Behörde kann den nach § 19 Abs. 2 erhobenen Datenverkehr zu dem Zweck, durch Schadprogramme oder Angriffe verursachte, im Hinblick auf das Ausmaß des zu erwartenden Schadens und die Wahrscheinlichkeit des Schadenseintritts erhöhte Gefahren für die IT-Sicherheit im gesamten Landesdatennetz (dringende Gefahren für die IT-Sicherheit) abzuwehren, automatisiert speichern. Die gespeicherten Daten sind unverzüglich automatisiert zu pseudonymisieren, soweit dies technisch möglich ist und die Daten nicht bereits pseudonym sind; nach höchstens 30 Tagen sind die Daten zu löschen.
(2) Soweit und solange es zur Abwehr einer dringenden Gefahr für die IT-Sicherheit unerlässlich ist, dürfen die nach Absatz 1 Satz 1 gespeicherten Daten automatisiert und nicht automatisiert ausgewertet, entpseudonymisiert sowie über den Ablauf der in Absatz 1 Satz 2 bestimmten Frist hinaus gespeichert werden; die Auswertung der kommunikativen Bedeutung von Inhaltsdaten ist unzulässig. § 21 Abs. 4 gilt entsprechend.
(3) Maßnahmen nach Absatz 2 bedürfen der Anordnung des Amtsgerichts, in dessen Bezirk die Behörde ihren Sitz hat. Im Antrag der Behörde sind der Sachverhalt und eine Begründung anzugeben. Die Anordnung ergeht schriftlich. Sie muss den Sachverhalt und die wesentlichen Gründe enthalten. Für das gerichtliche Verfahren gilt § 19 Abs. 4 des Niedersächsischen Polizei- und Ordnungsbehördengesetzes (NPOG) entsprechend. Bei Gefahr im Verzug kann die Behördenleitung die Anordnung treffen; die Sätze 3 und 4 gelten entsprechend mit der Maßgabe, dass die Anordnung auch eine Begründung der Gefahr im Verzug enthalten muss. Die richterliche Bestätigung der Anordnung ist unverzüglich zu beantragen. Wird die Bestätigung abgelehnt, so tritt die Anordnung außer Kraft. Die Daten und die Auswertungsergebnisse dürfen in diesem Fall nicht mehr verwendet werden und sind unverzüglich zu löschen; die Speicherung nach Absatz 1 bleibt unberührt.
(4) Soweit die nach Absatz 2 verarbeiteten Daten sowie die Auswertungsergebnisse nicht mehr für den dort genannten Zweck oder eine Übermittlung nach § 29 erforderlich sind, sind sie unverzüglich zu löschen; die Speicherung nach Absatz 1 bleibt unberührt.
Soweit die Auswertungen nach den §§ 18 bis 23 ein Schadprogramm identifizieren, kann dieses jederzeit beseitigt oder in seiner Funktionsweise gehindert werden. Soweit Daten von dem Schadprogramm nicht oder nur mit unverhältnismäßigem Aufwand getrennt werden können, kann die Behörde diese Daten gemeinsam mit dem Schadprogramm löschen.
(1) Die nach den §§ 18 bis 23 verarbeiteten Daten sowie die Auswertungsergebnisse sind durch technische und organisatorische Maßnahmen nach dem Stand der Technik gegen unbefugte Kenntnisnahme, Veränderung und Verwendung zu schützen. Bei der Umsetzung dieser Maßnahmen ist ein besonders hohes Maß an Datensicherheit zu gewährleisten.
(2) Insbesondere
sind der Zutritt zu den und der Zugriff auf die Datenverarbeitungsanlagen auf Personen zu beschränken, die durch die jeweilige Behördenleitung hierzu besonders ermächtigt sind,
ist organisatorisch sicherzustellen, dass eine Kenntnisnahme der nach den §§ 18 bis 23 verarbeiteten Daten sowie der Auswertungsergebnisse durch andere als die nach Nummer 1 ermächtigten Personen ausgeschlossen ist,
ist sicherzustellen, dass die für Datenverarbeitung nach den §§ 18 bis 23 verwendeten IT-Systeme von den für die üblichen betrieblichen Aufgaben verwendeten IT-Systemen getrennt sind, insbesondere die Speicherung in gesonderten Speichereinrichtungen erfolgt,
sind besondere Sicherungsmaßnahmen gegen den unberechtigten Zugriff aus anderen Netzen, insbesondere aus dem Internet, zu treffen,
sind nach dem Stand der Technik als besonders sicher geltende Verschlüsselungsverfahren zur Gewährleistung der Vertraulichkeit der gespeicherten Daten einzusetzen und
ist technisch und organisatorisch sicherzustellen, dass der Zugriff auf die Daten nur gemeinsam durch mindestens zwei nach Nummer 1 ermächtigte Personen erfolgen kann.
(3) Eine Behörde darf von den Ermächtigungen der §§ 18 bis 23 nur Gebrauch machen, wenn sie ein Sicherheitskonzept für die dazu eingesetzten technischen Systeme erstellt und die Umsetzung aller darin vorgesehenen technischen und organisatorischen Maßnahmen aktenkundig gemacht hat. Das Sicherheitskonzept ist alle zwei Jahre einer Revision zu unterziehen. Für jede Veränderung der eingesetzten technischen Systeme gilt Satz 1 entsprechend.
(4) Jeder Zugriff, insbesondere das Lesen, Kopieren, Ändern, Übermitteln, Löschen und Sperren von nach den §§ 18 bis 23 verarbeiteten Daten sowie von Auswertungsergebnissen ist zu protokollieren. Das Protokoll enthält Zeitpunkt, Art und Zweck des Zugriffs sowie eine eindeutige Kennung der auf die Daten zugreifenden Person. Das Protokoll darf ausschließlich zur Datenschutzkontrolle verwendet werden. Jeder Eintrag in das Protokoll ist zwei Jahre nach seiner Aufnahme zu löschen, es sei denn, die oder der Landesbeauftragte für den Datenschutz zeigt an, dass die Daten zur Erfüllung ihrer oder seiner Aufgaben weiterhin benötigt werden.
(1) Die von Maßnahmen nach den §§ 18 bis 23 und 29 betroffenen Personen sind unverzüglich, spätestens nach der Abwehr der durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachten Gefahr für die IT-Sicherheit, zu benachrichtigen. Satz 1 gilt nicht, soweit zur Durchführung der Benachrichtigung in unverhältnismäßiger Weise weitere Daten der betroffenen Personen erhoben werden müssten.
(2) Die Benachrichtigung kann unterbleiben,
solange ihr ein in § 29 Abs. 2 Satz 1 genannter Zweck entgegensteht,
solange durch das mit der Benachrichtigung verbundene Bekanntwerden einer Sicherheitslücke die IT-Sicherheit gefährdet würde oder
wenn die Person nur unerheblich betroffen ist und anzunehmen ist, dass sie an einer Benachrichtigung kein Interesse hat.
Soll eine Benachrichtigung nach Satz 1 Nr. 1 oder 2 unterbleiben, so bedarf dies der Zustimmung des Amtsgerichts, in dessen Bezirk die Behörde ihren Sitz hat; für das gerichtliche Verfahren gilt § 19 Abs. 4 NPOG entsprechend. 3 Soll eine Benachrichtigung nach Satz 1 Nr. 3 unterbleiben, so bedarf dies der Anordnung der Behördenleitung im Einvernehmen mit einer oder einem weiteren Beschäftigten der Behörde mit der Befähigung zum Richteramt. 4 Wenn eine solche Person nicht beschäftigt ist oder aus anderen Gründen nicht zur Verfügung steht, tritt an deren Stelle eine bei der Aufsichtsbehörde beschäftigte und von deren Behördenleitung bestimmte Person mit der Befähigung zum Richteramt.
Anordnungen, Genehmigungen, Bestätigungen und Zustimmungen nach § 20 Abs. 2 Satz 2, § 21 Abs. 1 Satz 3 und Abs. 2 Satz 2, § 23 Abs. 3 Sätze 1, 6 und 7, § 26 Abs. 2 Sätze 2 und 3 sowie § 29 Abs. 2 Sätze 3 bis 6 sind zu dokumentieren. Die in der Dokumentation enthaltenen personenbezogenen Daten dürfen ausschließlich zur Datenschutzkontrolle verwendet werden. Sie sind zu löschen, wenn seit einer Benachrichtigung nach § 26 Abs. 1 Satz 1 ein Jahr vergangen ist, frühestens jedoch zwei Jahre nach der Dokumentation, es sei denn, die oder der Landesbeauftragte für den Datenschutz zeigt an, dass die Daten zur Erfüllung ihrer oder seiner Aufgaben weiterhin benötigt werden.
Jede Behörde, die ihre Befugnisse nach diesem Abschnitt wahrnimmt, legt der oder dem Landesbeauftragten für den Datenschutz einmal jährlich eine Aufstellung über die Datenverarbeitung nach den §§ 18 bis 23, 26 und 29 Abs. 2 sowie die Dokumentation nach § 27 vor. Satz 1 gilt nicht für den Landtag, seine Mitglieder, die Fraktionen sowie ihre jeweiligen Verwaltungen und Beschäftigten, soweit sie bei der Wahrnehmung parlamentarischer Aufgaben personenbezogene Daten verarbeiten.
(1) Die nach den §§ 18 bis 23 verarbeiteten personenbezogenen Daten sowie die Auswertungsergebnisse dürfen nicht zu anderen als den dort genannten Zwecken verarbeitet werden. Insbesondere ist die Erstellung von personenbezogenen Profilen zur Vorhersage des Nutzungsverhaltens von natürlichen Personen untersagt.
(2) Jede Behörde soll abweichend von Absatz 1 die nach § 20 Abs. 2, § 21 Abs. 2 oder § 23 Abs. 2 ausgewerteten personenbezogenen Daten sowie die Auswertungsergebnisse übermitteln
an die Strafverfolgungsbehörden, wenn dies zur Verfolgung einer Straftat erforderlich ist und die Strafverfolgungsbehörden die Daten mit einer Maßnahme nach § 100 a oder § 100 g der Strafprozessordnung (StPO) hätten erheben dürfen,
an die Polizeibehörden des Bundes und der Länder, wenn dies zur Abwehr einer gegenwärtigen Gefahr für Leib, Leben oder Freiheit einer Person erforderlich ist,
an die Verfassungsschutzbehörde des Landes, wenn dies zur Erfüllung der Aufgabe nach § 3 Abs. 1 des Niedersächsischen Verfassungsschutzgesetzes erforderlich ist und die Verfassungsschutzbehörde die Daten mit einer Maßnahme nach § 20 des Niedersächsischen Verfassungsschutzgesetzes oder § 3 des Artikel 10-Gesetzes hätte erheben dürfen.
Die Übermittlung von Daten einer in § 53 oder § 53 a StPO genannten Person, über die diese das Zeugnis verweigern dürfte, ist unzulässig. Eine Übermittlung nach Satz 1 Nr. 1 oder 2 bedarf der vorherigen Zustimmung des Amtsgerichts, in dessen Bezirk die übermittelnde Behörde ihren Sitz hat; für das gerichtliche Verfahren gilt § 19 Abs. 4 NPOG entsprechend. Eine Übermittlung nach Satz 1 Nr. 3 bedarf der vorherigen Zustimmung der nach § 3 Abs. 1 Sätze 1 bis 4 des Niedersächsischen Gesetzes zur Ausführung des Artikel 10-Gesetzes (Nds. AG G 10) bestellten G 10-Kommission; § 3 Abs. 1 Sätze 5 bis 7 und Abs. 2 bis 4 Nds. AG G 10 gilt entsprechend. Bei Gefahr im Verzug kann die Behördenleitung anordnen, dass die Daten vor der nach Satz 3 oder 4 erforderlichen Zustimmung übermittelt werden. In diesem Fall ist unverzüglich die nachträgliche Zustimmung einzuholen. Wird die nachträgliche Zustimmung abgelehnt, so tritt die Anordnung außer Kraft. Die bereits übermittelten Daten dürfen in diesem Fall nicht verwendet werden und sind unverzüglich zu löschen; die empfangende Stelle ist darüber zu unterrichten.
(3) Wurde durch Maßnahmen nach den §§ 18 bis 23 eine Sicherheitslücke, ein Schadprogramm oder ein Angriff festgestellt, so kann jede Behörde Auswertungsergebnisse, soweit erforderlich auch einschließlich der darin enthaltenen personenbezogenen Daten, an Stellen übermitteln, deren IT-Systeme mit dem Landesdatennetz verbunden sind, wenn dies zur Abwehr von durch die Sicherheitslücke, das Schadprogramm oder den Angriff verursachten Gefahren für die IT-Sicherheit erforderlich ist.