Bundesrecht - tagaktuell konsolidiert - alle Fassungen seit 2006
Vorschriftensuche
 

§ 5 - BSI-Gesetz (BSIG)

Artikel 1 G. v. 14.08.2009 BGBl. I S. 2821 (Nr. 54); zuletzt geändert durch Artikel 12 G. v. 23.06.2021 BGBl. I S. 1982
Geltung ab 20.08.2009; FNA: 206-2 Öffentliche Informationstechnik
| |

§ 5 Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes



(1) 1Das Bundesamt darf zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes

1.
Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen, erheben und automatisiert auswerten, soweit dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern bei der Kommunikationstechnik des Bundes oder von Angriffen auf die Informationstechnik des Bundes erforderlich ist,

2.
die an den Schnittstellen der Kommunikationstechnik des Bundes anfallenden Daten automatisiert auswerten, soweit dies für die Erkennung und Abwehr von Schadprogrammen erforderlich ist.

2Sofern nicht die nachfolgenden Absätze eine weitere Verwendung gestatten, muss die automatisierte Auswertung dieser Daten unverzüglich erfolgen und müssen diese nach erfolgtem Abgleich sofort und spurenlos gelöscht werden. 3Die Verwendungsbeschränkungen gelten nicht für Protokolldaten, sofern diese weder personenbezogene noch dem Fernmeldegeheimnis unterliegende Daten beinhalten. 4Die Bundesbehörden sind verpflichtet, das Bundesamt bei Maßnahmen nach Satz 1 zu unterstützen und hierbei den Zugang des Bundesamtes zu behördeninternen Protokolldaten nach Satz 1 Nummer 1 sowie Schnittstellendaten nach Satz 1 Nummer 2 sicherzustellen. 5Protokolldaten der Bundesgerichte dürfen nur in deren Einvernehmen erhoben werden.

(2) 1Protokolldaten nach Absatz 1 Satz 1 Nummer 1 dürfen über den für die automatisierte Auswertung nach Absatz 1 Satz 1 Nummer 1 erforderlichen Zeitraum hinaus, längstens jedoch für 18 Monate, gespeichert werden, soweit tatsächliche Anhaltspunkte dafür bestehen, dass diese im Falle der Bestätigung eines Verdachts nach Absatz 3 Satz 2 zur Abwehr von Gefahren, die von dem gefundenen Schadprogramm ausgehen oder zur Erkennung und Abwehr anderer Schadprogramme erforderlich sein können. 2Durch organisatorische und technische Maßnahmen ist sicherzustellen, dass eine Auswertung der nach diesem Absatz gespeicherten Daten nur automatisiert erfolgt und dass ein Zugriff auf Daten, die länger als drei Monate gespeichert sind, nur bei Vorliegen tatsächlicher Erkenntnisse über die Betroffenheit des Bundes mit einem Schadprogramm erfolgt. 3Die Daten sind zu pseudonymisieren, soweit dies automatisiert möglich ist. 4Eine nicht automatisierte Verarbeitung ist nur nach Maßgabe der nachfolgenden Absätze zulässig. 5Soweit hierzu die Wiederherstellung pseudonymisierter Protokolldaten erforderlich ist, muss diese durch die Präsidentin oder den Präsidenten des Bundesamtes oder die Vertretung im Amt angeordnet werden. 6Die Entscheidung ist zu dokumentieren.

(2a) 1Protokolldaten dürfen vor ihrer Pseudonymisierung und Speicherung nach Absatz 2 zur Sicherstellung einer fehlerfreien automatisierten Auswertung manuell verarbeitet werden. 2Liegen Hinweise vor, dass die fehlerfreie automatisierte Auswertung wegen eines erheblichen Fehlers erschwert wird, darf der Personenbezug von Protokolldaten zur Sicherstellung der fehlerfreien automatisierten Auswertung wiederhergestellt werden, sofern dies im Einzelfall erforderlich ist. 3Absatz 2 Satz 3 bis 6 gilt entsprechend.

(3) 1Eine über die Absätze 1 und 2 hinausgehende Verwendung personenbezogener Daten ist nur zulässig, wenn bestimmte Tatsachen den Verdacht begründen, dass

1.
diese ein Schadprogramm enthalten,

2.
diese durch ein Schadprogramm übermittelt wurden oder

3.
sich aus ihnen Hinweise auf ein Schadprogramm ergeben können,

und soweit die Datenverarbeitung erforderlich ist, um den Verdacht zu bestätigen oder zu widerlegen. 2Im Falle der Bestätigung ist die weitere Verarbeitung personenbezogener Daten zulässig, soweit dies

1.
zur Abwehr des Schadprogramms,

2.
zur Abwehr von Gefahren, die von dem aufgefundenen Schadprogramm ausgehen, oder

3.
zur Erkennung und Abwehr anderer Schadprogramme erforderlich ist.

3Ein Schadprogramm kann beseitigt oder in seiner Funktionsweise gehindert werden. 4Die nicht automatisierte Verwendung der Daten nach den Sätzen 1 und 2 darf nur durch einen Bediensteten des Bundesamtes mit der Befähigung zum Richteramt angeordnet werden.

(4) 1Die Beteiligten des Kommunikationsvorgangs sind spätestens nach dem Erkennen und der Abwehr eines Schadprogramms oder von Gefahren, die von einem Schadprogramm ausgehen, zu benachrichtigen, wenn sie bekannt sind oder ihre Identifikation ohne unverhältnismäßige weitere Ermittlungen möglich ist und nicht überwiegende schutzwürdige Belange Dritter entgegenstehen. 2Die Unterrichtung kann unterbleiben, wenn die Person nur unerheblich betroffen wurde, und anzunehmen ist, dass sie an einer Benachrichtigung kein Interesse hat. 3Das Bundesamt legt Fälle, in denen es von einer Benachrichtigung absieht, dem behördlichen Datenschutzbeauftragten des Bundesamtes sowie einem weiteren Bediensteten des Bundesamtes, der die Befähigung zum Richteramt hat, zur Kontrolle vor. 4Wenn der behördliche Datenschutzbeauftragte der Entscheidung des Bundesamtes widerspricht, ist die Benachrichtigung nachzuholen. 5Die Entscheidung über die Nichtbenachrichtigung ist zu dokumentieren. 6Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. 7Sie ist nach zwölf Monaten zu löschen. 8In den Fällen der Absätze 5 und 6 erfolgt die Benachrichtigung durch die dort genannten Behörden in entsprechender Anwendung der für diese Behörden geltenden Vorschriften. 9Enthalten diese keine Bestimmungen zu Benachrichtigungspflichten, sind die Vorschriften der Strafprozessordnung entsprechend anzuwenden.

(5) 1Das Bundesamt kann die nach Absatz 3 verwendeten personenbezogenen Daten an die Strafverfolgungsbehörden zur Verfolgung einer mittels eines Schadprogramms begangenen Straftat nach den §§ 202a, 202b, 303a oder 303b des Strafgesetzbuches übermitteln. 2Es kann diese Daten ferner übermitteln

1.
zur Abwehr einer Gefahr für die öffentliche Sicherheit, die unmittelbar von einem Schadprogramm ausgeht, an die Polizeien des Bundes und der Länder,

2.
zur Unterrichtung über Tatsachen, die sicherheitsgefährdende oder geheimdienstliche Tätigkeiten für eine fremde Macht erkennen lassen, an das Bundesamt für Verfassungsschutz sowie an den Militärischen Abschirmdienst, wenn sich diese Tätigkeiten gegen Personen, Dienststellen oder Einrichtungen im Geschäftsbereich des Bundesministeriums der Verteidigung richten,

3.
zur Unterrichtung über Tatsachen, die einen internationalen kriminellen, terroristischen oder staatlichen Angriff mittels Schadprogrammen oder vergleichbaren schädlich wirkenden informationstechnischen Mitteln auf die Vertraulichkeit, Integrität oder Verfügbarkeit von IT-Systemen in Fällen von erheblicher Bedeutung mit Bezug zur Bundesrepublik Deutschland erkennen lassen, an den Bundesnachrichtendienst.

(6) 1Für sonstige Zwecke kann das Bundesamt die Daten übermitteln

1.
an die Strafverfolgungsbehörden zur Verfolgung einer Straftat von auch im Einzelfall erheblicher Bedeutung, insbesondere einer in § 100a Absatz 2 der Strafprozessordnung bezeichneten Straftat,

2.
an die Polizeien des Bundes und der Länder zur Abwehr einer Gefahr für den Bestand oder die Sicherheit des Staates oder Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhalt im öffentlichen Interesse geboten ist,

3.
an die Verfassungsschutzbehörden des Bundes und der Länder sowie an den Militärischen Abschirmdienst, wenn tatsächliche Anhaltspunkte für Bestrebungen in der Bundesrepublik Deutschland vorliegen, die durch Anwendung von Gewalt oder darauf gerichtete Vorbereitungshandlungen gegen die in § 3 Absatz 1 des Bundesverfassungsschutzgesetzes beziehungsweise § 1 Absatz 1 des MAD-Gesetzes genannten Schutzgüter gerichtet sind,

4.
an den Bundesnachrichtendienst, wenn tatsächliche Anhaltspunkte für den Verdacht bestehen, dass jemand Straftaten nach § 3 Absatz 1 Nummer 8 des Artikel 10-Gesetzes plant, begeht oder begangen hat und dies von außen- und sicherheitspolitischer Bedeutung für die Bundesrepublik Deutschland ist.

2Die Übermittlung nach Satz 1 Nummer 1 und 2 bedarf der vorherigen gerichtlichen Zustimmung. 3Für das Verfahren nach Satz 1 Nummer 1 und 2 gelten die Vorschriften des Gesetzes über das Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen Gerichtsbarkeit entsprechend. 4Zuständig ist das Amtsgericht, in dessen Bezirk das Bundesamt seinen Sitz hat. 5Die Übermittlung nach Satz 1 Nummer 3 und Nummer 4 erfolgt nach Zustimmung des Bundesministeriums des Innern, für Bau und Heimat; die §§ 9 bis 16 des Artikel 10-Gesetzes gelten entsprechend.

(7) 1Eine über die vorstehenden Absätze hinausgehende inhaltliche Auswertung zu anderen Zwecken und die Weitergabe von personenbezogenen Daten an Dritte sind unzulässig. 2Soweit möglich, ist technisch sicherzustellen, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden. 3Werden aufgrund der Maßnahmen der Absätze 1 bis 3 Erkenntnisse aus dem Kernbereich privater Lebensgestaltung oder Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 erlangt, dürfen diese nicht verwendet werden. 4Erkenntnisse aus dem Kernbereich privater Lebensgestaltung sind unverzüglich zu löschen. 5Dies gilt auch in Zweifelsfällen. 6Die Tatsache ihrer Erlangung und Löschung ist zu dokumentieren. 7Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. 8Sie ist zu löschen, wenn sie für diese Zwecke nicht mehr erforderlich ist, spätestens jedoch am Ende des Kalenderjahres, das dem Jahr der Dokumentation folgt. 9Werden im Rahmen der Absätze 4 oder 5 Inhalte oder Umstände der Kommunikation von in § 53 Absatz 1 Satz 1 der Strafprozessordnung genannten Personen übermittelt, auf die sich das Zeugnisverweigerungsrecht der genannten Personen erstreckt, ist die Verwertung dieser Daten zu Beweiszwecken in einem Strafverfahren nur insoweit zulässig, als Gegenstand dieses Strafverfahrens eine Straftat ist, die im Höchstmaß mit mindestens fünf Jahren Freiheitsstrafe bedroht ist.

(8) 1Vor Aufnahme der Datenerhebung und -verwendung hat das Bundesamt ein Datenerhebungs- und -verwendungskonzept zu erstellen und für Kontrollen durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit bereitzuhalten. 2Das Konzept hat dem besonderen Schutzbedürfnis der Regierungskommunikation Rechnung zu tragen. 3Die für die automatisierte Auswertung verwendeten Kriterien sind zu dokumentieren. 4Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit teilt das Ergebnis seiner Kontrollen nach § 16 des Bundesdatenschutzgesetzes auch dem Rat der IT-Beauftragten der Bundesregierung mit.

(9) Das Bundesamt unterrichtet den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres über

1.
die Anzahl der Vorgänge, in denen Daten nach Absatz 5 Satz 1, Absatz 5 Satz 2 Nummer 1 oder Absatz 6 Nummer 1 übermittelt wurden, aufgegliedert nach den einzelnen Übermittlungsbefugnissen,

2.
die Anzahl der personenbezogenen Auswertungen nach Absatz 3 Satz 1, in denen der Verdacht widerlegt wurde,

3.
die Anzahl der Fälle, in denen das Bundesamt nach Absatz 4 Satz 2 oder 3 von einer Benachrichtigung der Betroffenen abgesehen hat.

(10) Das Bundesamt unterrichtet kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres den Innenausschuss des Deutschen Bundestages über die Anwendung dieser Vorschrift.





 

Frühere Fassungen von § 5 BSIG

Die nachfolgende Aufstellung zeigt alle Änderungen dieser Vorschrift. Über die Links aktuell und vorher können Sie jeweils alte Fassung (a.F.) und neue Fassung (n.F.) vergleichen. Beim Änderungsgesetz finden Sie dessen Volltext sowie die Begründung des Gesetzgebers.

vergleichen mitmWv (verkündet)neue Fassung durch
aktuell vorher 28.05.2021Artikel 1 Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme
vom 18.05.2021 BGBl. I S. 1122
aktuell vorher 27.06.2020Artikel 73 Elfte Zuständigkeitsanpassungsverordnung
vom 19.06.2020 BGBl. I S. 1328
aktuell vorher 26.11.2019Artikel 13 Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU)
vom 20.11.2019 BGBl. I S. 1626
aktuell vorher 30.06.2017Artikel 1 Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union
vom 23.06.2017 BGBl. I S. 1885
aktuell vorher 25.07.2015Artikel 1 IT-Sicherheitsgesetz
vom 17.07.2015 BGBl. I S. 1324
aktuellvor 25.07.2015Urfassung

Bitte beachten Sie, dass rückwirkende Änderungen - soweit vorhanden - nach dem Verkündungsdatum des Änderungstitels (Datum in Klammern) und nicht nach dem Datum des Inkrafttretens in diese Liste einsortiert sind.



 

Zitierungen von § 5 BSIG

Sie sehen die Vorschriften, die auf § 5 BSIG verweisen. Die Liste ist unterteilt nach Zitaten in BSIG selbst, Ermächtigungsgrundlagen, anderen geltenden Titeln, Änderungsvorschriften und in aufgehobenen Titeln.
 
interne Verweise

§ 4b BSIG Allgemeine Meldestelle für die Sicherheit in der Informationstechnik (vom 01.12.2021)
... anonymisiert weitergegeben werden dürfen. Dies gilt nicht in den Fällen des § 5 Absatz 5 und 6 Satz 1 . Eine Übermittlung der personenbezogenen Daten in den Fällen von § 5 ... und 6 Satz 1. Eine Übermittlung der personenbezogenen Daten in den Fällen von § 5 Absatz 5 und 6 Satz 1 hat zu unterbleiben, wenn für das Bundesamt erkennbar ist, dass die schutzwürdigen ...
§ 5a BSIG Verarbeitung behördeninterner Protokollierungsdaten (vom 01.12.2021)
... dürfen sie dem Bundesamt die entsprechenden Protokollierungsdaten übermitteln. § 5 Absatz 1 Satz 5, Absatz 2 bis 4, 8 und 9 gilt entsprechend. § 4a Absatz 6 gilt für die Verpflichtung nach Satz 2 ...
§ 5b BSIG Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen (vom 28.05.2021)
... weiterverarbeiten. Eine Nutzung zu anderen Zwecken ist unzulässig. § 5 Absatz 7 ist entsprechend anzuwenden. (4) Das Bundesamt darf Informationen, von denen ... auf die Identität des Ersuchenden zu oder die Informationen können entsprechend § 5 Absatz 5 und 6 übermittelt werden. Zugang zu den in Verfahren nach Absatz 1 geführten Akten ...
§ 5c BSIG Bestandsdatenauskunft (vom 01.12.2021)
... kann personenbezogene Daten, die es im Rahmen dieser Vorschrift verarbeitet, entsprechend § 5 Absatz 5 und 6 übermitteln. (6) In den Fällen des Absatzes 2 ist die betroffene ... über die Auskunft zu benachrichtigen. Im Falle der Weitergabe der Information nach § 5 Absatz 5 oder wenn Tatsachen die Annahme rechtfertigen, dass die Voraussetzungen einer Weitergabe nach ... 5 oder wenn Tatsachen die Annahme rechtfertigen, dass die Voraussetzungen einer Weitergabe nach § 5 Absatz 5 vorliegen, ergeht darüber keine Benachrichtigung an die betroffene Person, sofern und solange ...
§ 6d BSIG Recht auf Löschung (vom 26.11.2019)
... lediglich für eine etwaige gerichtliche Überprüfung von Maßnahmen nach § 5 Absatz 3 zurückgestellt, dürfen die Daten ohne Einwilligung der betroffenen Person nur zu diesem ... werden; sie sind für andere Zwecke in der Verarbeitung einzuschränken. § 5 Absatz 7 bleibt ...
§ 7b BSIG Detektion von Sicherheitsrisiken für die Netz- und IT-Sicherheit und von Angriffsmethoden (vom 28.05.2021)
... 10 des Grundgesetzes geschützt sind, darf es diese nur zum Zwecke der Übermittlung nach § 5 Absatz 5 und 6 verarbeiten. Sofern die Voraussetzungen des § 5 Absatz 5 und 6 nicht vorliegen, ... nach § 5 Absatz 5 und 6 verarbeiten. Sofern die Voraussetzungen des § 5 Absatz 5 und 6 nicht vorliegen, sind Informationen, die nach Artikel 10 des Grundgesetzes geschützt sind, ...
§ 7c BSIG Anordnungen des Bundesamtes gegenüber Diensteanbietern (vom 01.12.2021)
... nach Satz 1 Nummer 2 zugegriffen werden soll, sind in der Anordnung zu benennen. § 5 Absatz 7 Satz 2 bis 8 gilt entsprechend. Widerspruch und Anfechtungsklage gegen die Anordnungen nach Satz 1 ... in Satz 1 genannten Zwecks erforderlich ist, längstens jedoch für drei Monate. § 5 Absatz 7 Satz 2 bis 8 gilt entsprechend. Das Bundesamt unterrichtet die Bundesbeauftragte oder den ...
§ 8b BSIG Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen (vom 28.05.2021)
... vorstehenden Absätze hinausgehende Verarbeitung zu anderen Zwecken unzulässig. § 5 Absatz 7 Satz 3 bis 8 ist entsprechend ...
§ 11 BSIG Einschränkung von Grundrechten (vom 28.05.2021)
... Fernmeldegeheimnis (Artikel 10 des Grundgesetzes) wird durch die §§ 4a, 5 bis 5c, 7b und 7c ...
 
Zitat in folgenden Normen

BND-Gesetz (BNDG)
Artikel 4 G. v. 20.12.1990 BGBl. I S. 2954, 2979; zuletzt geändert durch Artikel 1 G. v. 22.12.2023 BGBl. 2023 I Nr. 410
§ 24 BNDG Eignungsprüfung (vom 01.01.2022)
... Daten dürfen nur zum Zweck der Eignungsprüfung verwendet werden. § 5 Absatz 7 Satz 2 bis 8 des BSI-Gesetzes gilt entsprechend. Der Bundesnachrichtendienst darf die erhobenen personenbezogenen ...
 
Zitate in Änderungsvorschriften

Gesetz zur Änderung des BND-Gesetzes zur Umsetzung der Vorgaben des Bundesverfassungsgerichts sowie des Bundesverwaltungsgerichts
G. v. 19.04.2021 BGBl. I S. 771, 2022 BGBl. I S. 214; zuletzt geändert durch Artikel 58 G. v. 23.06.2021 BGBl. I S. 1858
Artikel 1 BNDGuaÄndG Änderung des BND-Gesetzes (vom 01.01.2022)
... personenbezogenen Daten dürfen nur zum Zweck der Eignungsprüfung verwendet werden. § 5 Absatz 7 Satz 2 bis 8 des BSI-Gesetzes gilt entsprechend. Der Bundesnachrichtendienst darf die erhobenen personenbezogenen Daten ...

Gesetz zur Ausland-Ausland-Fernmeldeaufklärung des Bundesnachrichtendienstes
G. v. 23.12.2016 BGBl. I S. 3346
Artikel 1 AFABNDG Änderung des BND-Gesetzes
... Daten dürfen nur zum Zweck der Eignungsprüfung verwendet werden. § 5 Absatz 7 Satz 2 bis 8 des BSI-Gesetzes gilt entsprechend. Der Bundesnachrichtendienst darf die ...

Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union
G. v. 23.06.2017 BGBl. I S. 1885
Artikel 1 BSIGuaÄndG Änderung des BSI-Gesetzes
... informationstechnischer Systeme in herausgehobenen Fällen nach § 5a." 3. § 5 wird wie folgt geändert: a) Absatz 5 wird wie folgt geändert:  ... „Nummer 3" die Angabe „und Nummer 4" eingefügt. 4. Nach § 5 wird folgender § 5a eingefügt: „§ 5a Wiederherstellung der ... dieser Behörden weiterverarbeiten. Eine Nutzung zu anderen Zwecken ist unzulässig. § 5 Absatz 7 ist entsprechend anzuwenden. Im Übrigen sind die Regelungen des Bundesdatenschutzgesetzes ... auf die Identität des Ersuchenden zu oder die Informationen können entsprechend § 5 Absatz 5 und 6 übermittelt werden. Zugang zu den in Verfahren nach Absatz 1 geführten Akten wird ... des Bundesrates bedarf, getroffen." 12. In § 11 wird die Angabe „ § 5 " durch die Wörter „die §§ 5 und 5a" ersetzt. 13. Dem ... 12. In § 11 wird die Angabe „§ 5" durch die Wörter „die §§ 5 und 5a" ersetzt. 13. Dem § 13 werden die folgenden Absätze 3 bis 5 ...

IT-Sicherheitsgesetz
G. v. 17.07.2015 BGBl. I S. 1324; zuletzt geändert durch Artikel 6 Abs. 2 G. v. 18.05.2021 BGBl. I S. 1122
Artikel 1 ITSiG Änderung des BSI-Gesetzes
... für die Sicherheit in der Informationstechnik des Bundes". 4a. § 5 Absatz 1 wird wie folgt geändert: a) Satz 4 wird wie folgt gefasst:  ... Absätze hinausgehende Verarbeitung und Nutzung zu anderen Zwecken unzulässig. § 5 Absatz 7 Satz 3 bis 8 ist entsprechend anzuwenden. Im Übrigen sind die Regelungen des ...

Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU)
G. v. 20.11.2019 BGBl. I S. 1626
Artikel 13 2. DSAnpUG-EU Änderung des BSI-Gesetzes
... gemäß § 22 Absatz 2 Satz 2 des Bundesdatenschutzgesetzes vor." 4. § 5 wird wie folgt geändert: a) Absatz 4 Satz 4 wird aufgehoben. b) In ... lediglich für eine etwaige gerichtliche Überprüfung von Maßnahmen nach § 5 Absatz 3 zurückgestellt, dürfen die Daten ohne Einwilligung der betroffenen Person nur zu diesem ... Zweck verwendet werden; sie sind für andere Zwecke in der Verarbeitung einzuschränken. § 5 Absatz 7 bleibt unberührt. § 6e Recht auf Einschränkung der Verarbeitung ...

Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme
G. v. 18.05.2021 BGBl. I S. 1122, 4304
Artikel 1 2. ITSiG Änderung des BSI-Gesetzes
... Daten nur anonymisiert weitergegeben werden dürfen. Dies gilt nicht in den Fällen des § 5 Absatz 5 und 6 Satz 1 . Eine Übermittlung der personenbezogenen Daten in den Fällen von § 5 Absatz 5 und 6 ... 5 Absatz 5 und 6 Satz 1. Eine Übermittlung der personenbezogenen Daten in den Fällen von § 5 Absatz 5 und 6 Satz 1 hat zu unterbleiben, wenn für das Bundesamt erkennbar ist, dass die schutzwürdigen ... bleiben unberührt." 5. § 5 wird wie folgt geändert: a) Absatz 2 wird wie folgt gefasst:  ... ist. Absatz 2 Satz 3 bis 6 gilt entsprechend." 6. Nach § 5 wird folgender § 5a eingefügt: „§ 5a Verarbeitung ... Hierzu dürfen sie dem Bundesamt die entsprechenden Protokollierungsdaten übermitteln. § 5 Absatz 1 Satz 5, Absatz 2 bis 4, 8 und 9 gilt entsprechend. § 4a Absatz 6 gilt für die Verpflichtung nach Satz 2 ... kann personenbezogene Daten, die es im Rahmen dieser Vorschrift verarbeitet, entsprechend § 5 Absatz 5 und 6 übermitteln. (6) In den Fällen des Absatzes 2 ist die betroffene Person ... Person über die Auskunft zu benachrichtigen. Im Falle der Weitergabe der Information nach § 5 Absatz 5 oder wenn Tatsachen die Annahme rechtfertigen, dass die Voraussetzungen einer Weitergabe nach ... 5 oder wenn Tatsachen die Annahme rechtfertigen, dass die Voraussetzungen einer Weitergabe nach § 5 Absatz 5 vorliegen, ergeht darüber keine Benachrichtigung an die betroffene Person, sofern und solange ... 10 des Grundgesetzes geschützt sind, darf es diese nur zum Zwecke der Übermittlung nach § 5 Absatz 5 und 6 verarbeiten. Sofern die Voraussetzungen des § 5 Absatz 5 und 6 nicht vorliegen, sind ... der Übermittlung nach § 5 Absatz 5 und 6 verarbeiten. Sofern die Voraussetzungen des § 5 Absatz 5 und 6 nicht vorliegen, sind Informationen, die nach Artikel 10 des Grundgesetzes geschützt sind, ... Maßnahme nach Satz 1 Nummer 2 zugegriffen werden soll, sind in der Anordnung zu benennen. § 5 Absatz 7 Satz 2 bis 8 gilt entsprechend. Widerspruch und Anfechtungsklage gegen die Anordnungen nach Satz 1 haben keine ... des in Satz 1 genannten Zwecks erforderlich ist, längstens jedoch für drei Monate. § 5 Absatz 7 Satz 2 bis 8 gilt entsprechend. Das Bundesamt unterrichtet die Bundesbeauftragte oder den Bundesbeauftragten ... Das Fernmeldegeheimnis (Artikel 10 des Grundgesetzes) wird durch die §§ 4a, 5 bis 5c, 7b und 7c eingeschränkt." 23. § 13 wird wie folgt ...