Rechtsnormen
Bundesgesetze

§ 42 NISG 2026

Zukünftige FassungIn Kraft seit 01.10.2026

VersionenVersionen vergleichen

4. Hauptstück

Datenschutz Datenverarbeitung

§ 42.

(1) Der Bundeskanzler, der Bundesminister für Inneres, die Cybersicherheitsbehörde, der Bundesminister für Landesverteidigung, der Bundesminister für europäische und internationale Angelegenheiten und die CSIRTs sind jeweils als Verantwortliche gemäß Art. 4 Z 7 DSGVO und § 36 Abs. 2 Z 8 DSG berechtigt, zur Gewährleistung eines hohen Cybersicherheitsniveaus von Netz- und Informationssystemen bei der Wahrnehmung ihrer Aufgaben nach diesem Bundesgesetz sowie zum Schutz vor und der Abwehr von Gefahren für die öffentliche Sicherheit die erforderlichen personenbezogenen Daten gemäß Art. 4 Z 1 DSGVO und § 36 Abs. 2 Z 1 DSG zu verarbeiten.

(2) Dies sind folgende personenbezogene Daten:

  1. 1. Kontakt- und Identitätsdaten von Teilnehmern und ihren Organisationseinheiten, die zur Ermöglichung und im Zuge der Teilnahme an den Koordinierungsstrukturen zu organisatorischen Zwecken erforderlich sind;
  2. 2. Kontakt- und Identitätsdaten sowie technische Daten von Personen oder juristischen Personen, die in Zusammenhang mit Risiken, Cyberbedrohungen, erheblichen Cyberbedrohungen, Beinahe-Cybersicherheitsvorfällen, Cybersicherheitsvorfällen und Cybersicherheitsvorfällen großen Ausmaßes stehen, zum Zweck der Erörterung und Aktualisierung des von der Cybersicherheitsbehörde erstellten Lagebildes und zur Erörterung der Erkenntnisse, die gemäß § 17 gewonnen wurden, erforderlich sind;
  3. 3. Kontakt- und Identitätsdaten sowie technische Daten von Dritten, die an einem Geschäftsfall mitwirken oder davon betroffen sind.

(3) Der Bundeskanzler, der Bundesminister für Inneres, die Cybersicherheitsbehörde und der Bundesminister für Landesverteidigung sind zum Zweck der Analyse und Bewältigung von Risiken, Cyberbedrohungen, erheblichen Cyberbedrohungen, Beinahe-Cybersicherheitsvorfällen, Cybersicherheitsvorfällen und Cybersicherheitsvorfällen großen Ausmaßes berechtigt, über die in Abs. 2 genannten Daten hinaus folgende personenbezogene Daten zu verarbeiten:

  1. 1. Kontakt- und Identitätsdaten sowie technische Daten des Einmelders und der Kontaktperson;
  2. 2. Kontakt- und Identitätsdaten sowie technische Daten von Personen oder juristischen Personen, die mit einer Meldung zu einem Risiko, einer Cyberbedrohung, einer erheblichen Cyberbedrohung, einem Beinahe-Cybersicherheitsvorfall, einem Cybersicherheitsvorfall oder einem Cybersicherheitsvorfall großen Ausmaßes in Zusammenhang stehen, wie insbesondere Opfer und Angreifer.

(4) Die Cybersicherheitsbehörde ist zur Erfüllung ihrer Aufgaben gemäß § 4 berechtigt, über die in Abs. 2 und 3 genannten Daten hinaus folgende personenbezogenen Daten zu verarbeiten:

  1. 1. Kontakt- und Identitätsdaten sowie technische Daten von Einrichtungen, ferner deren unternehmensbezogene Daten zum Zweck der Einstufung als wesentliche oder wichtige Einrichtung und zur Führung des Registers gemäß § 29;
  2. 2. Kontakt- und Identitätsdaten sowie technische Daten von Domänennamen-Registrierungsdiensten, CSIRTs und von zuständigen Behörden und Stellen anderer Mitgliedstaaten der Europäischen Union;
  3. 3. Kontakt- und Identitätsdaten sowie technische Daten von Personen oder juristischen Personen, die mit einer Meldung zu einem Risiko, einer Cyberbedrohung, einer erheblichen Cyberbedrohung, einem Beinahe-Cybersicherheitsvorfall, einem Cybersicherheitsvorfall oder einem Cybersicherheitsvorfall großen Ausmaßes in Zusammenhang stehen, wie insbesondere Opfer und Angreifer;
  4. 4. Kontakt- und Identitätsdaten von Teilnehmern und ihren Organisationseinheiten, die zur Ermöglichung und im Zuge der Teilnahme an EUweiten, internationalen und nationalen Gremien betreffend die Gewährleistung eines hohen Cybersicherheitsniveaus von Netz- und Informationssystemen erforderlich sind.

(5) Die Cybersicherheitsbehörde ist zur Erfüllung ihrer Aufgaben gemäß § 4 Z 5, 6, 12 und 15 berechtigt, über die in Abs. 2 bis 4 genannten Daten hinaus folgende personenbezogenen Daten zu verarbeiten:

  1. 1. Kontakt- und Identitätsdaten sowie technische Daten von öffentlichen und privaten Interessenträgern für die Erstellung des nationalen Plans gemäß § 16 Abs. 3,
  2. 2. Kontakt- und Identitätsdaten von Personen und juristischen Personen sowie technische Daten, die für die Wahrnehmung der Aufgaben des nationalen Koordinierungszentrums für Cybersicherheit erforderlich sind;
  3. 3. Kontakt- und Identitätsdaten sowie technische Daten unabhängiger Stellen und unabhängiger Prüfer sowie entsprechender Zulassungswerber;
  4. 4. technische Daten von natürlichen oder juristischen Personen, die im Rahmen des § 17 ermittelt wurden.

(6) CSIRTs sind zur Wahrnehmung ihrer Aufgaben gemäß § 8 berechtigt, personenbezogene Daten gemäß den Abs. 2 bis 4 zu verarbeiten, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist. Das nationale CSIRT ist überdies zum Zweck der Führung der koordinierten Offenlegung von Schwachstellen berechtigt, Kontakt‑ und Identitätsdaten sowie technische Daten der meldenden natürlichen oder juristischen Person, des Herstellers oder Anbieters der potenziell gefährdeten IKT‑Produkte oder IKT‑Dienste sowie die hiervon betroffenen Einrichtungen zu verarbeiten.

(7) Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO und § 39 DSG sowie personenbezogene Daten über gerichtlich oder verwaltungsbehördlich strafbare Handlungen oder Unterlassungen, insbesondere auch über den Verdacht der Begehung von Straftaten, sowie über strafrechtliche Verurteilungen dürfen nur insoweit verarbeitet werden, als dies zum Zweck der Gewährleistung eines hohen Cybersicherheitsniveaus von Netz- und Informationssystemen und der Abwehr von Gefahren für die öffentliche Sicherheit unbedingt erforderlich ist.

(8) Für die Verarbeitungsvorgänge von personenbezogenen Daten sind Protokollaufzeichnungen jedenfalls betreffend die Erhebung, Abfrage, Übermittlung, Änderung und Löschung zu führen, drei Jahre aufzubewahren und danach zu löschen.

(9) Personenbezogene Daten sind unverzüglich zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Nach Ablauf von fünf Jahren sind die Daten jedenfalls zu löschen.

(10) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß dem 3. Abschnitt des 2. Hauptstücks, dem 1., 2. und 4. Abschnitt des 3. Hauptstücks besteht kein Widerspruchsrecht gemäß Art. 21 DSGVO sowie kein Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO oder § 45 DSG.

(11) Der zuständige Datenschutzbeauftragte hat halbjährlich einen zusammenfassenden Bericht über die Datenverarbeitungen bis spätestens sechs Monate nach Ende des Berichtszeitraums auf der Homepage des Bundesministeriums für Inneres zu veröffentlichen.

Schlagworte

Kontaktdaten, Netzsystem

Zuletzt aktualisiert am

30.12.2025

Gesetzesnummer

20013065

Dokumentnummer

NOR40273903

Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)