Verordnung über den Einsatz der Informations- und Kommunikationstechnik bei Gerichten und Staatsanwaltschaften (IT-Justizverordnung) Vom 10. Januar 2020
Verordnung über den Einsatz der Informations- und Kommunikationstechnik bei Gerichten und Staatsanwaltschaften (IT-Justizverordnung) Vom 10. Januar 2020
Zum 14.06.2023 aktuellste verfügbare Fassung der Gesamtausgabe
Stand: | letzte berücksichtigte Änderung: geändert durch Verordnung vom 17. Januar 2023 (HmbGVBl. S. 46) |
Nichtamtliches Inhaltsverzeichnis
Titel | Gültig ab |
---|---|
Verordnung über den Einsatz der Informations- und Kommunikationstechnik bei Gerichten und Staatsanwaltschaften (IT-Justizverordnung) vom 10. Januar 2020 | 29.01.2020 |
Eingangsformel | 29.01.2020 |
§ 1 - Sicherheits- und Berechtigungskonzepte | 29.01.2020 |
§ 2 - Protokollierung und interne Kontrollmechanismen | 29.01.2020 |
§ 3 - Meldepflichten | 29.01.2020 |
§ 4 - Wahl und Benennung der Mitglieder der IT-Kontrollkommission | 25.01.2023 |
§ 5 - Wahlleitung, Wahlvorstände | 25.01.2023 |
§ 6 - Wahlanfechtung | 29.01.2020 |
§ 7 - Amtszeit und Auflösung der IT-Kontrollkommission; Erlöschen der Mitgliedschaft | 29.01.2020 |
§ 8 - Freistellung; Aufwandsentschädigung | 29.01.2020 |
§ 9 - Beschlussfassung | 29.01.2020 |
Anlage - Klassifizierung von Sicherheitsvorfällen | 29.01.2020 |
Auf Grund von § 4 Absatz 7 Satz 1, § 5 Absatz 6 Satz 1 und § 6 Absatz 7 Satz 1 des IT-Justizgesetzes (ITJG) vom 23. Oktober 2019 (HmbGVBl. S. 343) in Verbindung mit dem Einzigen Paragraphen der Weiterübertragungsverordnung-IT-Justizgesetz vom 26. November 2019 (HmbGVBl. S. 407) wird verordnet:
§ 1 Sicherheits- und Berechtigungskonzepte
(1) Neue Sicherheitskonzepte nach § 4 Absatz 4 ITJG sind nach BSI-Standard 200-2 (IT-Grundschutz-Methodik) des Bundesamtes für Sicherheit in der Informationstechnik oder einem vergleichbaren Standard zu erstellen. Vorhandene Sicherheitskonzepte sind spätestens bis zum 1. Januar 2022 umzustellen, so dass die vorgenannte Anforderung erfüllt ist.
(2) Konzepte nach § 5 Absatz 4 ITJG müssen Beschreibungen
1.
der vorhandenen Rollen, deren Berechtigungen und deren Abbildung im jeweiligen IT-System,
2.
des Prozesses für die Einrichtung und Veränderung von Berechtigungen, einschließlich der Festlegung der Auftragsberechtigung für die Durchführung der Einrichtung und Veränderungen von Berechtigungen, und
3.
des Prozesses zur Kontrolle der Einhaltung des Berechtigungskonzepts
enthalten. Sie sind so auszugestalten, dass dem Prinzip der minimalen Berechtigung angemessen Rechnung getragen wird; insbesondere ist vorzusehen, dass technische Berechtigungen auf Grundlage von § 5 Absatz 2 Satz 1 Nummer 2 ITJG grundsätzlich nur anlassbezogen und für eine bestimmte, nach den Erfordernissen des Anlasses angemessene Dauer einzurichten sind. Davon abweichend können die Konzepte vorsehen, dass für bestimmte, in den Konzepten zu beschreibende Zwecke, bei denen eine anlassbezogene Einrichtung von technischen Berechtigungen nach § 5 Absatz 2 Satz 1 Nummer 2 ITJG insbesondere aufgrund der Häufigkeit desselben wiederkehrenden Anlasses unverhältnismäßig erscheint, Berechtigungen für einen über den einzelnen Anlass hinausgehenden, in den Konzepten festzulegenden Zeitraum eingerichtet werden. Vorhandene Konzepte sind spätestens bis zum 1. Januar 2022 umzustellen, so dass die vorgenannten Anforderungen erfüllt sind.
(3) Veränderungen der Konzepte nach § 5 Absatz 4 Nummer 2 ITJG, insbesondere der Rollenrechte sowie der Vergabe und Veränderung von Rollenzuweisungen, sind ohne die Möglichkeit einer nachträglichen Veränderung zu dokumentieren. Die Einräumung von technischen Berechtigungen aufgrund § 5 Absatz 2 Satz 1 Nummer 2 ITJG ist für jeden Einzelfall unter Angabe von Grund und Dauer der Einräumung revisionssicher zu dokumentieren.
(4) Soweit in Fällen der länderübergreifenden Kooperation die zuständige Behörde die Umsetzung der Vorgaben der Absätze 1 bis 3 nicht selbst durchsetzen kann, hat sie auf deren Umsetzung nachhaltig hinzuwirken und die Einhaltung der Vorgaben des IT-Justizgesetzes auf andere Weise sicherzustellen.
§ 2 Protokollierung und interne Kontrollmechanismen
(1) Die datenverarbeitenden Stellen ergreifen effektive technische oder organisatorische Maßnahmen zur Protokollierung der Zugriffe der Administratorinnen und Administratoren nach § 4 Absatz 4 Satz 3 ITJG und benennen eine Ansprechstelle für die IT-Kontrollkommission.
(2) Für die Protokollierung der Zugriffe sind Konzepte zu erstellen, in denen dargelegt wird, wie
1.
die Veranlassung für den Zugriff,
2.
das IT-System, auf das zugegriffen wird,
3.
die Zeit des Zugriffs,
4.
die durchführende Person und
5.
die Einwilligung der oder des unmittelbar Berechtigten nach § 4 Absatz 4 Satz 3 ITJG, soweit erforderlich,
erfasst und revisionssicher hinterlegt werden.
(3) Die Protokolle sind für einen Zeitraum von 90 Tagen revisionssicher zu hinterlegen. Bei Hinweisen auf einen unberechtigten Zugriff oder im Rahmen von Prüfungen durch die IT-Kontrollkommission sind die betreffenden Protokolle auch über die Frist nach Satz 1 hinaus aufzubewahren, solange dies in diesem Zusammenhang aufgrund ihrer Beweismittelfunktion erforderlich ist.
(4) Die datenverarbeitenden Stellen haben die Umsetzung der Konzepte gemäß § 1 Absätze 1 und 2 regelmäßig, mindestens einmal jährlich zu überprüfen.
(5) Datenverarbeitende Stellen haben den Zugriff auf Daten durch die Administratorinnen und Administratoren regelmäßig, jedoch mindestens einmal vor Ende der jeweiligen Hinterlegungsdauer nach Absatz 3 zu überprüfen. Bei der Überprüfung sind die Protokolle nach Absatz 1 mindestens stichprobenartig auszuwerten.
(6) § 1 Absatz 4 gilt entsprechend.
§ 3 Meldepflichten
(1) Meldepflichten entstehen nach Maßgabe der nachfolgenden Regelungen durch sicherheitsrelevante Ereignisse. Dies sind entweder Sicherheitsvorfälle, bei denen ein Verlust an Vertraulichkeit, Verfügbarkeit oder Integrität von Daten eingetreten ist, oder Sicherheitsprobleme, bei denen irreguläre Betriebszustände festgestellt werden, die Sicherheitsvorfälle nach sich ziehen können.
(2) Die Priorisierung der Sicherheitsvorfälle erfolgt nach der Anlage.
(3) Sicherheitsvorfälle mit hoher oder kritischer Priorität oder Vorfälle, die im Rahmen der Überprüfungen nach § 2 Absatz 5 erkannt werden, sind der IT-Kontrollkommission, der zuständigen Behörde und den Leitungen der betroffenen Gerichte und Staatsanwaltschaften unverzüglich zu melden.
(4) Sicherheitsvorfälle und Sicherheitsprobleme sind unter Angabe von Datum und Uhrzeit der Meldung, der Art des Ereignisses und der Priorität des Ereignisses von der datenverarbeitenden Stelle zu protokollieren und der IT-Kontrollkommission über die Koordinierungsstelle nach § 6 Absatz 1 Satz 3 ITJG in tabellarischer Form mindestens einmal im Monat zur Kenntnis zu geben; diese Tabellen werden auch den Leitungen aller Gerichte und Staatsanwaltschaften zur Verfügung gestellt. Die datenverarbeitende Stelle hat der IT-Kontrollkommission auf Anfrage zu einem Sicherheitsvorfall, sofern verfügbar, weitere Details bereitzustellen.
(5) Die Koordinierungsstelle nach § 6 Absatz 1 Satz 2 ITJG hat eine zentrale Empfangseinrichtung zur Entgegennahme von Meldungen nach den Absätzen 3 und 4 bereitzuhalten und organisiert deren Verteilung oder Bereitstellung an die in den Absätzen 2 und 3 genannten Empfängerinnen und Empfänger.
(6) § 1 Absatz 4 gilt entsprechend.
§ 4 Wahl und Benennung der Mitglieder der IT-Kontrollkommission
(1) Die stimmberechtigten Mitglieder der IT-Kontrollkommission werden mit einfacher Stimmenmehrheit in unmittelbarer Wahl nach den Grundsätzen der Persönlichkeitswahl gewählt. Jedes Mitglied eines nach § 6 Absatz 2 Satz 3 ITJG wahlberechtigten Rates hat zwei Stimmen für jedes von ihr oder ihm zu wählende Mitglied der IT-Kontrollkommission; eine Stimmenhäufung ist nicht zulässig. Die Stimmen können in Textform abgegeben werden. Bei Stimmengleichheit entscheidet das vom jeweiligen Wahlvorstand zu ziehende Los. Eine Vertretung der Wahlberechtigten im Falle ihrer Verhinderung findet nur nach Maßgabe des § 43 des Hamburgischen Richtergesetzes (HmbRiG) vom 2. Mai 1991 (HmbGVBl. S. 169), zuletzt geändert am 19. Dezember 2019 (HmbGVBl. S. 538), in der jeweils geltenden Fassung statt; ein Verhinderungsfall liegt nur dann vor, wenn die oder der Wahlberechtigte während der gesamten Dauer der Wahl (§ 5 Absatz 3 Satz 5) verhindert ist.
(2) Wählbar sind
1.
als Vertreterinnen und Vertreter nach § 6 Absatz 2 Satz 1 Nummer 1 ITJG sämtliche an den hamburgischen Gerichten tätigen Richterinnen und Richter auf Lebenszeit mit Ausnahme der in § 33 Absatz 2 Satz 3 HmbRiG genannten Personen,
2.
als Vertreterinnen und Vertreter nach § 6 Absatz 2 Satz 1 Nummer 2 ITJG sämtliche bei den Staatsanwaltschaften tätige Staatsanwältinnen und Staatsanwälte auf Lebenszeit sowie sämtliche Amtsanwältinnen und Amtsanwälte,
3.
als Vertreterinnen und Vertreter nach § 6 Absatz 2 Satz 1 Nummer 3 ITJG sämtliche Rechtspflegerinnen und Rechtspfleger im Sinne von § 1 und § 2 Absatz 1 des Rechtspflegergesetzes in der Fassung vom 14. April 2013 (BGBl. 2013 I S. 781, 2014 I S. 46), zuletzt geändert am 17. Dezember 2018 (BGBl. I S. 2573, 2581), in der jeweils geltenden Fassung, die in sachlicher Unabhängigkeit (§ 9 des Rechtspflegergesetzes) tätig sind,
die nach Absatz 3 vorgeschlagen wurden und keinem gesetzlichen Beschäftigungsverbot unterliegen. Maßgeblicher Zeitpunkt für die Bestimmung der Vorschlagbarkeit ist der Tag der Bildung des jeweiligen Wahlvorstandes.
(3) Alle nach Absatz 2 Satz 1 Nummern 1 bis 3 vorschlagbaren Personen können Wahlvorschläge machen. Die Wahlvorschläge müssen in Textform gegenüber dem jeweiligen Wahlvorstand erfolgen; sie sollen, sofern mehrere Personen in einem Wahlvorschlag vorgeschlagen werden, Männer und Frauen in angemessenem Verhältnis berücksichtigen. Wirksam werden Wahlvorschläge erst mit Zustimmung der oder des jeweils Vorgeschlagenen in Textform.
(4) Die Wahlen finden im Regelfall alle drei Jahre, erstmals unverzüglich nach Inkrafttreten dieser Verordnung, statt. Abweichend vom regelmäßigen Wahltermin ist die IT-Kontrollkommission zu wählen, wenn sie durch gerichtliche Entscheidung nach § 7 Absatz 4 aufgelöst ist. Für Nachwahlen nach § 6 Absatz 2 Satz 6 ITJG gelten die Bestimmungen der Absätze 1 bis 3 und des § 5 entsprechend; wahlberechtigt sind jeweils die Gremien, die das ausgeschiedene Mitglied gewählt haben.
(5) Bei der Benennung der behördlichen Mitglieder der IT-Kontrollkommission nach § 6 Absatz 2 Satz 7 ITJG ist zusätzlich zu den Belangen nach § 3 des Hamburgischen Gremienbesetzungsgesetzes vom 17. Dezember 2013 (HmbGVBl. S. 538) nach Möglichkeit auch eine ausgewogene Repräsentation von juristischer und technischer Expertise anzustreben. Bei vorzeitigem Ausscheiden beratender Mitglieder benennt die zuständige Stelle Ersatzmitglieder für die Dauer der restlichen Amtszeit.
(6) Eines der von den Gerichtsleitungen zu bestimmenden Mitglieder nach § 6 Absatz 2 Satz 7 ITJG wird von den Präsidentinnen oder Präsidenten der ordentlichen Gerichte - § 1 des Hamburgischen Gesetzes zur Ausführung des Gerichtsverfassungsgesetzes vom 31. Mai 1965 (HmbGVBl. S. 99, 107), zuletzt geändert am 10. September 2002 (HmbGVBl. S. 252), in der jeweils geltenden Fassung - das andere von den Präsidentinnen oder Präsidenten der Fachgerichtsbarkeiten (Finanzgericht Hamburg, Verwaltungsgericht Hamburg, Hamburgisches Oberverwaltungsgericht, Arbeitsgericht Hamburg, Landesarbeitsgericht Hamburg, Sozialgericht Hamburg, Landessozialgericht Hamburg) jeweils einvernehmlich benannt. Auf eine gleichmäßige Besetzung mit Frauen und Männern soll geachtet werden. Kommt kein Einvernehmen zustande, so wird das Vorschlagsrecht unter den jeweiligen Präsidentinnen oder Präsidenten einerseits der ordentlichen, andererseits der Fachgerichte durch das Los bestimmt.
§ 5 Wahlleitung, Wahlvorstände
(1) Die Gesamtkoordination für die Wahl der Mitglieder der IT-Kontrollkommission obliegt der Präsidentin oder dem Präsidenten des Hanseatischen Oberlandesgerichts als Wahlleitung. Die Wahlleitung beauftragt die nach § 6 Absatz 2 Satz 7 ITJG an den Wahlen beteiligten Gremien spätestens zwölf Wochen vor Ablauf der Amtszeit der IT-Kontrollkommission mit der Bildung der Wahlvorstände und fordert den Präses der zuständigen Behörde und die Gerichtsleitungen auf, nach § 6 Absatz 2 Satz 6 ITJG die beratenden Mitglieder zu benennen; für die Wahl der ersten IT-Kontrollkommission wird die Wahlleitung unverzüglich nach Inkrafttreten dieser Verordnung tätig.
(2) Die Wahlvorstände sind spätestens acht Wochen vor Ablauf der Amtszeit der IT-Kontrollkommission zu bilden; die Wahlleitung ist über die Bildung der Wahlvorstände und die beteiligten Personen in Kenntnis zu setzen. Sie bestehen
1.
bei Wahlen durch die Richterräte gemäß § 29 Absatz 1 Nummern 1 bis 3 HmbRiG aus der oder dem Vorsitzenden des Richterrats des Hanseatischen Oberlandesgerichts,
2.
bei Wahlen durch die Richterräte gemäß § 29 Absatz 1 Nummern 4 bis 8 HmbRiG aus der oder dem Vorsitzenden des Richterrates des Hamburgischen Oberverwaltungsgerichts,
3.
bei Wahlen durch den Personalrat der Staatsanwaltschaften aus dessen Vorsitzender oder Vorsitzenden,
4.
bei Wahlen durch die Personalräte der Gerichte und Staatsanwaltschaften aus der oder dem Vorsitzenden des Personalrats des Hanseatischen Oberlandesgerichts
sowie jeweils einem weiteren Mitglied, das aus den jeweils an der Wahl beteiligten Gremien mit seiner Zustimmung von dem Wahlvorstandsmitglied nach Satz 2 Nummern 1 bis 4 zu bestimmen ist und in den Fällen nach Satz 2 Nummern 1 und 2 nicht dem Richterrat der in Satz 2 Nummern 1 und 2 genannten Gerichte entstammen soll.
(3) Die Wahlvorstände benachrichtigen unverzüglich die nach § 4 Absatz 2 vorschlagbaren Personen in geeigneter Form über die anstehende Wahl und die Möglichkeit, binnen einer zu setzenden, angemessenen Frist Wahlvorschläge zu machen; im Regelfall soll das mittels einer Benachrichtigung per E-Mail über die Verteilerlisten der Gerichte und Staatsanwaltschaften erfolgen. Die Wahlvorstände können sich auf eine einheitliche Benachrichtigung verständigen. Die Wahl soll spätestens innerhalb von vier Wochen nach Bildung der Wahlvorstände beginnen. Die Stimmabgabe hat binnen zweier Wochen ab Beginn der Wahl stattzufinden; die Wahlvorstände können diese Frist um eine Woche verkürzen.
(4) Sogleich nach Ablauf der für die Stimmabgabe vorgesehenen Frist zählen die Wahlvorstände die Stimmen aus, stellen das Ergebnis in einer Niederschrift fest und übermitteln es der Wahlleitung. In der Niederschrift ist auch anzugeben, welche Personen von den jeweiligen wahlberechtigten Gremien als Ersatzmitglieder nach § 5 Absatz 2 Satz 5 ITJG gewählt sind. Die Angabe soll jeweils für bis zu drei Ersatzmitglieder erfolgen. § 4 Absatz 1 Satz 4 gilt für die Wahl der Ersatzmitglieder entsprechend. Nach Eingang sämtlicher Wahlergebnisse gibt die Wahlleitung sie den an den Wahlen beteiligten Gremien, dem Präses der zuständigen Behörde, den Gerichtsleitungen und den Wahlkandidatinnen und Wahlkandidaten bekannt. In der Niederschrift ist zu vermerken, ob die Wahlkandidatinnen und Wahlkandidaten einschließlich der Ersatzmitglieder die Wahl annehmen. Die Niederschrift und etwaige, auch elektronische, Unterlagen über die Stimmabgabe sind bis zum Amtsantritt der nachfolgenden IT-Kontrollkommission aufzubewahren. Die Aufbewahrungsfrist verlängert sich im Falle einer gerichtlichen Überprüfung nach § 6 bis zum rechtskräftigen Abschluss des Gerichtsverfahrens.
(5) Kommt der Wahlvorstand seinen Pflichten nicht nach, so übernimmt die noch amtierende IT-Kontrollkommission dessen jeweilige Aufgaben. Ist eine IT-Kontrollkommission nicht vorhanden, so bestimmt die Präsidentin oder der Präsident des Hanseatischen Oberlandesgerichts einen Wahlvorstand aus dem Kreis der Richter- und Personalräte gemäß Absatz 2 Satz 2.
(6) Im Falle des Erlöschens der Mitgliedschaft eines Mitglieds der IT-Kontrollkommission gibt die Wahlleitung den an den Wahlen beteiligten Gremien, dem Präses der zuständigen Behörde, den Gerichtsleitungen und dem Ersatzmitglied bekannt, dass das Ersatzmitglied nach § 6 Absatz 2 Satz 5 ITJG an die Stelle des ausgeschiedenen Mitglieds tritt.
§ 6 Wahlanfechtung
(1) Die jeweilige Wahl nach § 6 Absatz 2 Satz 3 ITJG kann innerhalb von zwei Wochen nach Bekanntgabe der Wahlergebnisse vor dem Verwaltungsgericht angefochten werden, wenn gegen wesentliche Vorschriften über das Wahlrecht oder das Wahlverfahren verstoßen worden und eine Berichtigung nicht erfolgt ist, es sei denn, dass das jeweilige Wahlergebnis durch den Verstoß nicht beeinflusst worden sein kann. Zur Anfechtung berechtigt sind mindestens drei Wahlberechtigte gemeinschaftlich. Die nicht angefochtenen Wahlen nach § 6 Absatz 2 Satz 3 ITJG bleiben hiervon unberührt.
(2) Bis zur rechtskräftigen Entscheidung über die Anfechtung führen die aus der angefochtenen Wahl hervorgegangenen Mitglieder der IT-Kontrollkommission ihre Geschäfte fort, wenn das Verwaltungsgericht nicht auf Antrag eine abweichende einstweilige Regelung trifft. Hat die Anfechtung Erfolg, führen die Mitglieder der IT-Kontrollkommission, die vor der angefochtenen Wahl zuletzt im Amt waren, die Geschäfte bis zur ersten Sitzung der neu gewählten Mitglieder fort.
(3) Entscheidungen und Maßnahmen der Wahlvorstände und der Wahlleitung können nur zusammen mit der Wahl angefochten werden.
§ 7 Amtszeit und Auflösung der IT-Kontrollkommission; Erlöschen der Mitgliedschaft
(1) Die dreijährige Amtszeit der IT-Kontrollkommission beginnt mit der Bekanntgabe der Wahlergebnisse durch die Wahlleitung oder, wenn zu diesem Zeitpunkt noch eine IT-Kontrollkommission besteht, mit dem Ablauf ihrer Amtszeit.
(2) Die Amtszeit der IT-Kontrollkommission endet
1.
mit Ablauf der dreijährigen Amtszeit,
2.
im Falle des § 4 Absatz 4 Satz 2 mit Rechtskraft der gerichtlichen Entscheidung.
(3) In den Fällen des Absatzes 2 Nummer 1 führen die Mitglieder der bisherigen IT-Kontrollkommission die Geschäfte bis zur ersten Sitzung der neu gewählten IT-Kontrollkommission fort. In den Fällen des Absatzes 2 Nummer 2 führt die vormalige IT-Kontrollkommission die Geschäfte bis zur ersten Sitzung der dann neu zu wählenden IT-Kontrollkommission weiter.
(4) Ein Viertel der Wahlberechtigten kann beim Verwaltungsgericht die Auflösung der IT-Kontrollkommission oder den Ausschluss eines Mitglieds wegen grober Vernachlässigung der Aufgaben oder Befugnisse oder grober Pflichtverletzung beantragen. Der Ausschluss eines Mitglieds kann auch von der IT-Kontrollkommission beantragt werden.
(5) Die Mitgliedschaft in der IT-Kontrollkommission erlischt durch
1.
das Ende der Amtszeit,
2.
die Niederlegung des Amtes,
3.
die Beendigung des Dienstverhältnisses,
4.
den Wechsel in eine andere der in § 6 Absatz 2 Satz 1 Nummern 1 bis 3 ITJG genannten Berufsgruppen,
5.
die Abordnung einer Richterin oder eines Richters an eine Stelle außerhalb der Gerichtsbarkeit, sowie einer Staatsanwältin oder eines Staatsanwalts oder einer Amtsanwältin oder eines Amtsanwalts an eine Stelle außerhalb der Staatsanwaltschaften zu mehr als der Hälfte des regelmäßigen Dienstes oder für länger als drei Monate,
6.
die Beurlaubung ohne Bezüge für länger als drei Monate,
7.
die Freistellung im Sinne von § 5a Absatz 1 Satz 2 HmbRiG oder § 2 und § 7 Absatz 2 der Arbeitszeitverordnung vom 12. August 1997 (HmbGVBl. S. 408), zuletzt geändert am 11. Dezember 2018 (HmbGVBl. S. 460, 461), in der jeweils geltenden Fassung,
8.
Eintritt eines Beschäftigungsverbots,
9.
Inanspruchnahme von Elternzeit, ohne Teilzeitbeschäftigung, für länger als drei Monate,
10.
die erfolgreiche Wahlanfechtung, Auflösung der IT-Kontrollkommission oder Ausschluss aus der IT-Kontrollkommission durch gerichtliche Entscheidung,
11.
den Verlust der Vorschlagbarkeit im Sinne des § 4 Absatz 2,
12.
die gerichtliche Feststellung, dass die oder der Gewählte nicht wählbar war, wenn der Mangel noch vorliegt; die Feststellung kann auch nach dem Ablauf der Wahlanfechtungsfrist beantragt werden.
§ 8 Freistellung; Aufwandsentschädigung
(1) Die nicht nach § 6 Absatz 6 ITJG anteilig von ihrer dienstlichen Tätigkeit freigestellten Mitglieder erhalten eine Aufwandsentschädigung in Höhe von 150 Euro je Monat. Im Falle einer Auflösung oder eines Ausschlusses nach § 7 Absatz 4 Satz 1 kann die zuständige Behörde von den betroffenen Mitgliedern Aufwandsentschädigungen zurückfordern.
(2) Die Mitglieder der IT-Kontrollkommission sind insgesamt im Umfang einer Vollzeitstelle von ihrer dienstlichen Tätigkeit freizustellen. Über die Verteilung der Freistellungsanteile auf die einzelnen Mitglieder entscheidet die IT-Kontrollkommission selbst einvernehmlich. Sofern danach Mitglieder eine Freistellung erhalten, darf diese Freistellung höchstens zu fünfzig vom Hundert und muss sie mindestens zu zehn vom Hundert erfolgen. Kommt eine Einigung nicht zustande, so hat jedes freistellbare Mitglied der IT-Kontrollkommission einen Anspruch auf Freistellung zu einem Achtel; sollten in diesem Falle Mitglieder die Inanspruchnahme der Aufwandsentschädigung bevorzugen, so erfolgt insoweit keine Freistellung.
§ 9 Beschlussfassung
(1) Bei ihren Beratungen ist die IT-Kontrollkommission beschlussfähig, wenn mindestens die Hälfte ihrer Mitglieder anwesend ist. Außerhalb von Beratungen können Beschlüsse mit der Mehrheit der Stimmen der stimmberechtigten Mitglieder binnen einer angemessenen Frist in Textform getroffen werden (Umlaufverfahren).
(2) Über jede Beratung der IT-Kontrollkommission ist eine Niederschrift aufzunehmen, die mindestens den Wortlaut der Beschlüsse und die Abstimmungsergebnisse enthält. Im Umlaufverfahren getroffene Beschlüsse sind ebenfalls entsprechend zu dokumentieren. Die Niederschriften sind für fünfzehn Jahre aufzubewahren.
Hamburg, den 10. Januar 2020.
Die Justizbehörde
Anlage
Klassifizierung von Sicherheitsvorfällen
Dringlichkeit | Kritisch | Hoch | Hoch | Kritisch | Kritisch | |||
Hoch | Mittel | Hoch | Hoch | Kritisch | ||||
Mittel | Niedrig | Mittel | Hoch | Hoch | ||||
Niedrig | Niedrig | Niedrig | Mittel | Hoch | ||||
Niedrig | Mittel | Hoch | Kritisch | |||||
Auswirkung |
Die Grade der Auswirkung und der Dringlichkeit sind anhand folgender Merkmale zu bestimmen, die jeweils kumulativ vorliegen müssen:
Auswirkung
Niedrig
1.
Das Ereignis betrifft einzelne oder mehrere Anwenderinnen bzw. Anwender.
2.
Die Geschäftstätigkeit der Organisation oder der Anwenderinnen bzw. Anwender ist nicht eingeschränkt.
Mittel
1.
Das Ereignis betrifft einzelne oder mehrere Anwenderinnen bzw. Anwender.
2.
Die Geschäftstätigkeit der Organisation oder der Anwenderinnen bzw. Anwender kann mit leichten Einschränkungen aufrechterhalten werden.
Hoch
1.
Das Ereignis betrifft die Mehrzahl der Anwenderinnen bzw. Anwender oder mehrere Behörden oder einzelne Anwenderinnen bzw. Anwender oder wenige Behörden, hat aber erhebliche Folgen für die Freie und Hansestadt Hamburg.
2.
Kunden sind teilweise betroffen oder Dienste eingeschränkt.
3.
Geschäftskritische Systeme sind betroffen.
4.
Die Geschäftstätigkeit der Organisation oder der Anwenderinnen bzw. Anwender kann eingeschränkt aufrechterhalten werden.
Kritisch
1.
Das Ereignis betrifft alle Anwenderinnen bzw. Anwender oder mehrere Behörden oder einzelne Anwender oder wenige Behörden, hat aber gravierende Folgen für die Freie und Hansestadt Hamburg.
2.
Kunden sind massiv betroffen oder Dienste stark eingeschränkt.
3.
Geschäftskritische Systeme sind betroffen.
4.
Die Geschäftstätigkeit der Organisation oder der Anwenderinnen bzw. Anwender kann nicht aufrechterhalten werden.
Dringlichkeit
Niedrig
1.
Ersatzlösungen stehen zur Verfügung.
2.
Die eingeschränkten Tätigkeiten können später durchgeführt werden.
Mittel
1.
Ersatzlösungen stehen nicht für alle betroffenen Anwenderinnen bzw. Anwender zur Verfügung.
2.
Die eingeschränkten Tätigkeiten können später oder auf anderem Wege, womöglich mit höherem Aufwand, durchgeführt werden.
Hoch
1.
Ersatzlösungen stehen kurzfristig nicht zur Verfügung.
2.
Die eingeschränkten Tätigkeiten müssen durchgeführt werden.
Kritisch
1.
Ersatzlösungen stehen nicht zur Verfügung.
2.
Die eingeschränkten Tätigkeiten müssen kurzfristig durchgeführt werden.
Feedback