Für die Wahrnehmung der Aufgaben nach den §§ 8a,8b und 8c BSIG als zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen und weiterer Bereiche betreibt das BSI verschiedene Meldestellen.

Einen Kurzüberblick zur Verarbeitung Ihrer personenbezogenen Daten zu dem vorgenannten Zweck erhalten Sie hier:

Name der Verarbeitung	Kategorie pb Daten	Betroffene	Verarbeitungszweck	Speicherdauer
Melde- und Informationsportal für Betreibern Kritischer Infrastrukturen	Kommunikations-daten, persönliche Daten	Meldender, Ansprechpartner	BSI als zentrale Meldestelle für Betreiber Kritischer Infrastrukturen	Fünf Nachweiszyklen, höchstens 10 Jahre, Kommunikationsdaten höchstens 3 Monate
Meldeportal für die Anbieter Digitaler Dienste	Kommunikations-daten, persönliche Daten	Meldender, Ansprechpartner	BSI als zentrale Meldestelle für Anbieter Digitaler Dienste	Höchstens 10 Jahre, Kommunikationsdaten höchstens 3 Monate
Freiwillige Meldungen über Cyber-Angriffe	Kommunikationsdaten, Kontaktdaten, Legitimationsdaten, Daten im Rahmen der Beziehung	Meldender, Ansprechpartner	BSI als zentrale Meldestelle für Sicherheit der Informationstechnik	Bis zur Erfüllung der gesetzlichen Aufgaben, Kommunikationsdaten höchstens 3 Monate
Freiwillige Meldungen über Schwachstellen	Kommunikationsdaten, Kontaktdaten, Öffentlicher PGP-Schlüssel	Meldender, Ansprechpartner	BSI als zentrale Meldestelle für Sicherheit der Informationstechnik	Höchstens 10 Jahre, Kommunikationsdaten höchstens 3 Monate

9.1 Melde- und Informationsportal für Betreiber Kritischer Infrastrukturen

Das Melde- und Informationsportal des BSI bietet Betreibern Kritischer Infrastrukturen und gemeinsamen übergeordneten Stellen die Möglichkeit, sich online zu registrieren, um die Anforderungen nach §§ 8a, 8b BSIG zu erfüllen. Über das Melde- und Informationsportal können Nachweise und Meldungen nach §§ 8a, 8b BSIG an das BSI übermittelt werden. Andererseits kann das BSI nach § 8b BSIG über das Melde- und Informationsportal Informationen weitergeben.

Das BSI erhebt die personenbezogenen Daten, welche Sie im Rahmen Ihrer Registrierung oder Meldung übermitteln, dies können beispielsweise folgende sein:

• Kontaktdaten (Name, E-Mail-Adresse, Anschrift),
• Daten im Rahmen der Beziehung (z. B. Position, Stellung und Abteilung im Unternehmen/einer Behörde, Vorgesetzter)
• Kommunikationsdaten (IP-Adressen, URL)

und andere mit diesen Kategorien vergleichbare Daten.

Rechtsgrundlage und Zweck

Zweck der Verarbeitung von personenbezogenen Daten ist die Wahrnehmung von Aufgaben als zentrale Meldestelle für Betreiber Kritischer Infrastrukturen im Sinne von § 8b BSIG. Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit § 8b BSIG. Eine Verarbeitung der erfassten personenbezogenen Daten ist zum Zweck der Wahrnehmung von Aufgaben als zentrale Meldestelle für Betreiber Kritischer Infrastrukturen im Sinne von § 8b BSIG erforderlich.

Kommunikationsdaten werden zwecks Fehleridentifikation und Systemoptimierung automatisch protokolliert.

Empfänger der personenbezogenen Daten

Innerhalb der Behörde erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der oben genannten Zwecke benötigen. Das BSI kann Ihre Daten an seine Auftragnehmer weitergeben, soweit dies aufgrund von entsprechenden Vereinbarungen zur Auftragsverarbeitung i. S. v. Art.28 DSGVO zulässig ist. Darüber hinaus gibt das BSI Ihre Daten nur weiter, sofern es dazu gesetzlich oder durch Gerichtsentscheidung verpflichtet oder ermächtigt ist, dies beispielsweise im Falle von Angriffen auf die Internetinfrastruktur zur Rechts- oder Strafverfolgung. Eine darüberhinausgehende Weitergabe an Dritte findet nicht ohne Ihre Zustimmung statt.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Das BSI verarbeitet Ihre Daten solange es zur Erfüllung seiner gesetzlichen Aufgaben und den sonstigen genannten oben genannten Zwecken erforderlich ist. Die personenbezogenen Daten, die der Auftragnehmer im Melde- und Informationsportal zwecks Bearbeitung der Nachweise erhebt, werden dann automatisch durch ein BSI internes System abgerufen. Ihnen ist es möglich, die Speicherdauer im Melde- und Informationsportal beim Auftragnehmer von wenigen Minuten auf mehrere Wochen frei einzustellen. Entsprechend löscht der Auftragnehmer die Daten im Melde- und Informationsportal. Im BSI internen System speichert das BSI die personenbezogenen Daten für eine rechtssichere Dokumentation, höchstens für 10 Jahre. 

Technische Erkenntnisse und sonstige Informationen, die das BSI auf Grundlage der von Ihnen übermittelten Informationen gewonnen hat, leisten einen wichtigen Beitrag für die Auswertung und Bewertung zukünftiger Sicherheitsvorfälle. Diese technischen Erkenntnisse werden – wenn sie keine personenbezogenen Daten enthalten – vom BSI zeitlich unbefristet gespeichert.

Protokollierte Kommunikationsdaten werden automatisch spätestens nach 3 Monaten gelöscht.

9.2 Besondere Anforderungen an Anbieter digitaler Dienste

Das Melde- und Informationsportal des BSI ermöglicht den Anbietern digitaler Dienste und gemeinsamen übergeordneten Stellen Meldungen nach § 8c BSIG an das BSI zu übermitteln.

Rechtsgrundlage und Zweck

Zweck der Verarbeitung von personenbezogenen Daten ist die Wahrnehmung von Aufgaben als zentrale Meldestelle für Anbieter digitaler Dienste im Sinne von § 8c BSIG. Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit § 8c BSIG. Eine Verarbeitung der erfassten personenbezogenen Daten ist zum Zweck der Wahrnehmung von Aufgaben als zentrale Meldestelle für Anbieter digitaler Dienste im Sinne von § 8c BSIG erforderlich.

Kommunikationsdaten werden zwecks Fehleridentifikation und Systemoptimierung automatisch protokolliert.

Empfänger der personenbezogenen Daten

Innerhalb der Behörde erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der oben genannten Zwecke benötigen. Das BSI kann Ihre Daten an seine Auftragnehmer weitergeben, soweit dies aufgrund von entsprechenden Vereinbarungen zur Auftragsverarbeitung i. S. v. Art.28 DSGVO zulässig ist. Darüber hinaus gibt das BSI Ihre Daten nur weiter, sofern es dazu gesetzlich oder durch Gerichtsentscheidung verpflichtet oder ermächtigt ist, dies beispielsweise im Falle von Angriffen auf die Internetinfrastruktur zur Rechts- oder Strafverfolgung. Eine darüberhinausgehende Weitergabe an Dritte findet nicht ohne Ihre Zustimmung statt.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Das BSI verarbeitet Ihre Daten, solange es zur Erfüllung seiner gesetzlichen Aufgaben und den sonstigen oben genannten Zwecken erforderlich ist. Die personenbezogenen Daten, die der Auftragnehmer im Melde- und Informationsportal zwecks Bearbeitung der Nachweise gemäß § 8c Abs. 4 BSIG erhebt, werden dann automatisch durch ein BSI internes System abgerufen. Ihnen ist es möglich, die Speicherdauer im Melde- und Informationsportal beim Auftragnehmer von wenigen Minuten auf mehrere Wochen frei einzustellen. Entsprechend löscht der Auftragnehmer die Daten im Melde- und Informationsportal. Im BSI internen System speichert das BSI die personenbezogenen Daten für eine rechtssichere Dokumentation, höchstens für 10 Jahre.

Technische Erkenntnisse und sonstige Informationen, die das BSI auf Grundlage der von Ihnen übermittelten Informationen gewonnen hat, leisten einen wichtigen Beitrag für die Auswertung und Bewertung zukünftiger Sicherheitsvorfälle. Diese technischen Erkenntnisse werden – wenn sie keine personenbezogenen Daten enthalten – vom BSI zeitlich unbefristet gespeichert.

Protokollierte Kommunikationsdaten werden automatisch spätestens nach 3 Monaten gelöscht.

9.3 Freiwillige Meldungen über Cyber-Angriffe

Darüber hinaus können freiwillige Meldungen über Cyber-Angriffe auch über die Meldestelle der Allianz für Cyber-Sicherheit abgegeben werden. Die Informationen hieraus verwendet das BSI in anonymisierter Form für die Lageübersichten der Cyber-Sicherheitslage in Deutschland.

Das BSI erhebt nur die personenbezogenen Daten, welche Sie im Rahmen Ihrer Nachricht übermitteln, dies können beispielsweise folgende sein:

• Kontaktdaten (Name, E-Mail-Adresse, Anschrift),
• Legitimationsdaten (z. B. Aktenzeichen, Handelsregisterauszüge und Ausweisdaten),
• Daten im Rahmen der Beziehung (z. B. Position, Stellung und Abteilung im Unternehmen/einer Behörde, Vorgesetzter)
• Kommunikationsdaten (IP-Adressen, URL)

und andere mit diesen Kategorien vergleichbare Daten.

Rechtsgrundlage und Zweck

Zweck der Verarbeitung von personenbezogenen Daten ist die Wahrnehmung von Aufgaben als zentrale Meldestelle für Sicherheit der Informationstechnik. Die Rechtsgrundlage für die Verarbeitung der im Rahmen von diesen Meldungen freiwillig übermittelten personenbezogenen Daten ist Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit § 3a Abs. 1 in Verbindung mit § 8b Abs. 1 bis 6 BSIG. Eine Verarbeitung der erfassten personenbezogenen Daten ist zum Zweck der Wahrnehmung von Aufgaben als zentrale Meldestelle für Betreiber Kritischer Infrastrukturen erforderlich.

Kommunikationsdaten werden zwecks Fehleridentifikation und Systemoptimierung automatisch protokolliert.

Empfänger der personenbezogenen Daten

Innerhalb der Behörde erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der oben genannten Zwecke benötigen. Das BSI kann Ihre Daten an seine Auftragnehmer weitergeben, soweit dies aufgrund von entsprechenden Vereinbarungen zur Auftragsverarbeitung i. S. v. Art.28 DSGVO zulässig ist. Darüber hinaus gibt das BSI Ihre Daten nur weiter, sofern es dazu gesetzlich oder durch Gerichtsentscheidung verpflichtet oder ermächtigt ist, dies beispielsweise im Falle von Angriffen auf die Internetinfrastruktur zur Rechts- oder Strafverfolgung. Eine darüberhinausgehende Weitergabe an Dritte findet nicht ohne Ihre Zustimmung statt.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Sofern die von Ihnen übermittelten Informationen auch personenbezogene Daten enthalten (z. B. Ihren Namen), verarbeitet das BSI Ihre Daten solange es zur Erfüllung seiner gesetzlichen Aufgaben und den sonstigen oben genannten Zwecken erforderlich ist. Der Auftragnehmer erhebt die personenbezogenen Daten im Melde- und Informationsportal, die das BSI automatisiert durch ein BSI internes System abruft und nach wenigen Minuten im Melde- und InformationsportalP löscht. Werden die von Ihnen übermittelten personenbezogen Daten zur Erfüllung der gesetzlichen Aufgaben nicht mehr benötigt, so werden diese Daten auch aus den BSI-internen System gelöscht.

Organisationsbezogene Informationen – wie z. B. der Name der betroffenen Organisation – werden vom BSI – wie bereits ausgeführt – vertraulich behandelt. Eine Nennung oder eine Veröffentlichung Ihrer Organisation gegenüber Dritten erfolgt nicht bzw. nicht ohne Ihre Einwilligung.

Technische Erkenntnisse und sonstige Informationen, die das BSI auf Grundlage der von Ihnen übermittelten Informationen gewonnen hat, leisten einen wichtigen Beitrag für die Auswertung und Bewertung zukünftiger Sicherheitsvorfälle. Diese technischen Erkenntnisse werden – wenn sie keine personenbezogenen Daten enthalten – vom BSI zeitlich unbefristet gespeichert.

Protokollierte Kommunikationsdaten werden automatisch spätestens nach 3 Monaten gelöscht.

9.4 Freiwillige Meldungen über Schwachstellen

Freiwillige Meldungen über Schwachstellen können über das Webformular auf der BSI-Website vorgenommen werden. Valide Schwachstellenmeldungen, welche über das Webformular in IT-Produkten oder IT-Diensten gemeldet werden, werden in Anlehnung an die ISO-Norm 29147 im „Coordinated Vulnerability Disclosure (CVD)” -Verfahren an den Hersteller des Produktes bzw. Produktverantwortliche weitergeleitet. Fallbezogen kann das BSI zudem als Koordinator unterstützend tätig werden und zwischen den beteiligten Parteien vermitteln. Ob eine Weitergabe Ihrer Kontaktdaten an Hersteller erfolgen soll oder nicht, können Sie beim Befüllen des Webformulars selbst entscheiden. Darüber hinaus können Sie bei Abgabe der Meldung angeben ob Sie in möglichen Veröffentlichungen oder Warnungen zur jeweiligen Meldung namentlich (bzw. Ihr Alias) genannt werden.

Die Meldung kann auf Wunsch auch anonymisiert erfolgen. Meldende bestimmen darüber, inwieweit Ihre Beteiligung dem Hersteller gegenüber offengelegt wird. Die Informationen aus der Meldung verwendet das BSI in anonymisierter Form für die Lageübersichten der Cyber-Sicherheitslage in Deutschland. Aufgrund der automatisierten Protokollierung von Kommunikationsdaten ist eine Meldung nur vollständig anonym möglich, wenn die IP-Adresse verschleiert wird zum Beispiel durch ein VPN, oder wenn die Meldung per Post erfolgt. 

Das BSI erhebt nur die personenbezogenen Daten, welche Sie im Rahmen Ihrer Nachricht übermitteln, dies können beispielsweise folgende sein:

• Kontaktdaten (Name, E-Mail-Adresse, Organisation, Telefon),
• Öffentlicher PGP-Schlüssel
• Kommunikationsdaten (IP-Adresse, URL)

und andere mit diesen Kategorien vergleichbare Daten.

Rechtsgrundlage und Zweck

Zweck der Verarbeitung von personenbezogenen Daten ist die Wahrnehmung von Aufgaben als zentrale Meldestelle für Sicherheit der Informationstechnik. Die Rechtsgrundlage für die Verarbeitung der im Rahmen von diesen Meldungen freiwillig übermittelten personenbezogenen Daten ist Art. 6 Abs. 1 lit. e, Abs. 2, 3 DSGVO in Verbindung mit §§ 3a Abs. 1, 3 Abs. 1 S. 2 Nr. 2 BSIG. Eine Verarbeitung dieser personenbezogenen Daten ist zum Zweck der Wahrnehmung von Aufgaben als zentrale Meldestelle für Sicherheit der Informationstechnik erforderlich.

Kommunikationsdaten werden zwecks Fehleridentifikation und Systemoptimierung automatisch protokolliert.

Empfänger der personenbezogenen Daten

Innerhalb der Behörde erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der oben genannten Zwecke benötigen. Das BSI kann Ihre Daten an seine Auftragnehmer weitergeben, soweit dies aufgrund von entsprechenden Vereinbarungen zur Auftragsverarbeitung i. S. v. Art.28 DSGVO zulässig ist. Darüber hinaus gibt das BSI Ihre Daten nur weiter, sofern es dazu gesetzlich oder durch Gerichtsentscheidung verpflichtet oder ermächtigt ist, dies beispielsweise im Falle von Angriffen auf die Internetinfrastruktur zur Rechts- oder Strafverfolgung. Eine darüberhinausgehende Weitergabe an Dritte findet nicht ohne Ihre Zustimmung statt.

Übermittlung an Drittland

Das BSI überträgt Ihre personenbezogenen ohne Ihre Einwilligung Daten nicht in Länder außerhalb der EU bzw. des EWR oder an internationale Organisationen.

Speicherdauer

Sofern die von Ihnen übermittelten Informationen auch personenbezogene Daten (z. B. Ihren Namen) enthalten, verarbeitet das BSI Ihre Daten solange es zur Erfüllung seiner gesetzlichen Aufgaben und den sonstigen oben genannten Zwecken erforderlich ist.

Der Auftragnehmer erhebt die personenbezogenen Daten im Melde- und InformationsportalIP, die das BSI automatisiert durch ein BSI internes System abruft und nach wenigen Minuten im Melde- und InformationsportalIP löscht. 

Werden die von Ihnen übermittelten personenbezogenen Daten nicht mehr benötigt, so werden diese Daten, nach höchstens 10 Jahre, auch in BSI internen System gelöscht. Organisationsbezogene Informationen werden vom BSI vertraulich behandelt. Eine Nennung oder eine Veröffentlichung Ihrer Organisation gegenüber Dritten erfolgt nicht bzw. nicht ohne Ihre Einwilligung.

Technische Erkenntnisse und sonstige Informationen, die das BSI auf Grundlage der von Ihnen übermittelten Informationen gewonnen hat, leisten einen wichtigen Beitrag für die Auswertung und Bewertung zukünftiger Schwachstellen. Diese technischen Erkenntnisse werden – wenn sie keine personenbezogenen Daten enthalten – vom BSI zeitlich unbefristet gespeichert.

Protokollierte Kommunikationsdaten werden automatisch spätestens nach 3 Monaten gelöscht.