3. Abschnitt

Datenverarbeitungen Datenverarbeitung

§ 7.

(1) Der Bundesminister für Inneres ist als Verantwortlicher gemäß Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 74 vom 04.03.2021 S. 35, (im Folgenden: DSGVO) ermächtigt,

1. 1. Identifikations- und Erreichbarkeitsdaten kritischer Einrichtungen einschließlich des Sektors sowie des Teilsektors, in dem diese Einrichtungen ihren wesentlichen Dienst erbringen, sowie die von den kritischen Einrichtungen erbrachten wesentlichen Dienste, Standorte und Versorgungsgebiete kritischer Infrastruktur, Kontaktdaten der gemäß § 11 Abs. 5 namhaft gemachten zentralen Kontaktstellen sowie von Ansprechpersonen,
2. 2. Daten zu kritische Einrichtungen betreffende Cybersicherheitsrisiken, Cyberbedrohungen, Beinahe-Cybersicherheitsvorfälle, Cybersicherheitsvorfälle, nicht cyberbezogene Risiken, Bedrohungen, Beinahe-Sicherheitsvorfälle und Sicherheitsvorfälle, und
3. 3. Daten zu den gemäß den §§ 14, 15, 17 und 20 gesetzten Maßnahmen

1. zu verarbeiten, soweit dies zur Erfüllung seiner Aufgaben nach diesem Bundesgesetz erforderlich ist.

(2) Übermittlungen der gemäß Abs. 1 verarbeiteten Daten sind

1. 1. an Sicherheitsbehörden für Zwecke der Sicherheitspolizei und Strafrechtspflege sowie zur Wahrnehmung der Aufgaben nach diesem Bundesgesetz,
2. 2. an Staatsanwaltschaften und ordentliche Gerichte für Zwecke der Strafrechtspflege sowie
3. 3. an jene Behörden, die in Umsetzung des Art. 8 Abs. 1 NIS2-RL als zuständige Behörden benannt oder eingerichtet wurden, an sonstige inländische Behörden sowie an jene Einrichtungen, die in Umsetzung des Art. 10 Abs. 1 NIS2-RL als Computer-Notfallteams (CSIRTs) benannt oder eingerichtet wurden, soweit dies jeweils eine wesentliche Voraussetzung zur Wahrnehmung der ihnen gesetzlich übertragenen Aufgaben ist,

• zulässig.

(3) Der Bundesminister für Inneres ist ermächtigt, zum Zwecke der Gewährleistung der grenzüberschreitenden Zusammenarbeit die gemäß Abs. 1 verarbeiteten Daten an die Europäische Kommission, die anderen Mitgliedstaaten, die Gruppe für die Resilienz kritischer Einrichtungen gemäß Art. 19 RKE‑RL sowie Drittstaaten zu übermitteln, soweit dies jeweils zur Erfüllung einer in der RKE‑RL vorgesehenen Informationsverpflichtung erforderlich ist, sowie entsprechende Daten, die von der Europäischen Kommission, anderen Mitgliedstaaten sowie Drittstaaten übermittelt wurden, zu verarbeiten.

(4) Der Bundesminister für Inneres ist zudem ermächtigt, zur Erfüllung seiner Aufgaben gemäß § 17 Abs. 5 sowie § 13 Abs. 2 Z 10 sachdienliche Informationen an kritische Einrichtungen zu übermitteln.

(5) Die gemäß den Abs. 1 bis 4 verarbeiteten Daten sind spätestens fünf Jahre nach Rechtskraft eines Bescheids gemäß § 11 Abs. 8 zu löschen.

(6) Jede Verarbeitung von Daten gemäß den Abs. 1 bis 4 ist vom Bundesminister für Inneres zu protokollieren. Protokolldaten über durchgeführte Verarbeitungsvorgänge, insbesondere Änderungen und Abfragen, sind drei Jahre lang aufzubewahren und danach zu löschen.

(7) Hinsichtlich der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz besteht kein Widerspruchsrecht gemäß Art. 21 DSGVO sowie kein Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO. Darüber sind die Betroffenen in geeigneter Weise zu informieren.

Schlagworte

Identifikationsdaten

Zuletzt aktualisiert am

16.10.2025

Gesetzesnummer

20012981

Dokumentnummer

NOR40272125