KRITIS-Dachgesetz KRITIS-DachG

§ 23 Verarbeitung personenbezogener Daten

(1) Die Verarbeitung personenbezogener Daten durch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, das Bundesamt für Sicherheit in der Informationstechnik, die Bundesnetzagentur, die Bundesanstalt für Finanzdienstleistungsaufsicht, die zuständigen Behörden und die nach Vorschriften dieses Gesetzes zuständigen Bundesministerien und Landesministerien, ist zulässig, soweit:

  • 1. dies zur Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben erforderlich ist und
  • 2. eine Verarbeitung anonymisierter oder künstlich erzeugter Daten hierfür nicht in gleicher Weise geeignet ist.

(2) Die Verarbeitung personenbezogener Daten durch die in Absatz 1 genannten Stellen zu anderen Zwecken als demjenigen, zu dem die Daten ursprünglich erhoben wurden, ist unbeschadet von § 23 des Bundesdatenschutzgesetzes und Artikel 6 Absatz 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2, L 74 vom 04.03.2021, S. 35) in der jeweils geltenden Fassung zulässig, wenn die Verarbeitung erforderlich ist zur:

  • 1. Sammlung, Auswertung oder Untersuchung von Informationen über nach § 18 gemeldete Vorfälle oder
  • 2. Unterstützung oder Beratung von Betreibern kritischer Anlagen bei der Gewährleistung ihrer Resilienz und

wenn kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

(3) Die in Absatz 1 genannten Stellen sehen angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person nach § 22 Absatz 2 Satz 2 des Bundesdatenschutzgesetzes vor.

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!