Nicht erst seit dem Inkrafttreten des IT-Sicherheitsgesetzes sind Unternehmen dazu verpflichtet, ihre Netze, IT-Systeme und die von ihnen verarbeiteten personenbezogenen Daten vor Cyberangriffen zu schützen. Die Maßnahmen zur Gefahrenabwehr können aber mit dem Datenschutz in einem Spannungsverhältnis stehen, wenn zu Sicherheitszwecken personenbezogene Daten von (möglichen) Angreifern verarbeitet werden. Für IT-Sicherheitsverantwortliche besteht Rechtsunsicherheit, ob personenbezogene Daten wie IP-Adressen rechtskonform erhoben und gespeichert werden dürfen. Der Beitrag zeigt daher die neuen Pflichten zu Netz- und Informationssicherheit für die Betreiber Kritischer Infrastrukturen, Telekommunikations- sowie Telemediendienste-Anbieter auf (I.) und untersucht unter der Annahme, dass zur Gefahrenabwehr personenbezogene Daten wie IP-Adressen verarbeitet werden (II.), ob und für welche Angriffszenarien Rechtsgrundlagen bestehen, personenbeziehbare Daten zu erheben und auch zu speichern (III.), um daraus Schlussfolgerungen für die Praxis zu ziehen (IV.).
