Erläuterungen
Allgemeiner Teil
Hauptgesichtspunkte des Entwurfs:
Internationale Entwicklungen sowie Lücken im nationalen Geheimschutzsystem erfordern die Anpassung der gesetzlichen Regelung zum Schutz klassifizierter Informationen und Umsetzung völkerrechtlicher Vereinbarungen zur sicheren Verwendung von Informationen. Diese können wie folgt zusammengefasst werden:
1. Internationale Entwicklungen
In einer Phase des digitalen Wettrüstens, erhöhter Terroralarmbereitschaft in Europa, neuer militärischer Konflikte und veränderter geopolitischer Bedingungen spielt der Schutz klassifizierter Informationen eine entscheidende Rolle. Besonders betroffen sind Inhalte mit sicherheitspolitischer Relevanz, jene der Krisenprävention und Krisenbewältigung, aber auch Informationen, die die strategische Unabhängigkeit der heimischen Wirtschaft garantieren sollen. Die merkbare Zunahme von Cyber- und Hackerangriffen auf staatliche Einrichtungen und Unternehmen verdeutlichen das wachsende Interesse feindlich gesinnter Akteure und damit auch die Notwendigkeit, diese Informationen angemessen zu schützen. All diese Entwicklungen führen zu einem signifikanten Anstieg klassifizierter Informationen sowohl auf nationaler als auch auf internationaler Ebene. Ebenso kommt es zu vermehrten Abschlüssen von Abkommen zum gegenseitigen Austausch und Schutz klassifizierter Informationen zwischen Österreich und anderen Staaten oder auch Internationalen Organisationen, welche das Vorhandensein einer einheitlichen Rechtsgrundlage bedingen, um das gegenseitige Vertrauen in das Geheimschutzsystem zu sichern.
2. Lücken im nationalen Geheimschutzsystem
In Österreich wurden national und international klassifizierte Informationen in unterschiedlichen Rechtsregimen mit unterschiedlicher Rechtsqualität (InfoSiG, Informationssicherheitsverordnung, Geheimschutzordnung, etc.) geschützt. Zudem waren Vorgaben des Geheimschutzes nicht direkt auf Dritte, wie Unternehmen und Forschungseinrichtungen, anwendbar.
Die vorliegende Novelle des Informationssicherheitsgesetzes konsolidiert den internationalen und nationalen Geheimschutz und erweitert den Anwendungsbereich auf Dritte, an die klassifizierte Informationen weitergegeben werden. Dadurch wird ein einheitlicher und lückenloser Schutzstandard im Geheimschutz geschaffen, das bestehende System vereinfacht und der Standard der Informationssicherheit erhöht. Dies schafft Rechtssicherheit, stärkt den Wirtschaftsstandort Österreich und fördert das Vertrauen der Öffentlichkeit in die Bundesverwaltung.
Die Stärkung des nationalen Geheimschutzes unterstützt darüber hinaus die im Bundes-Krisensicherheitsgesetz normierte Stärkung der staatlichen Resilienz in Österreich.
Kompetenzgrundlage:
Die Zuständigkeit des Bundes zu dieser Gesetzesnovelle ergibt sich aus Art. 10 Abs. 1 Z 2 B-VG („äußere Angelegenheiten“), Art. 10 Abs. 1 Z 6 („Strafrechtswesen“), Art. 10 Abs. 1 Z 7 („Aufrechterhaltung der öffentlichen Ruhe, Ordnung und Sicherheit einschließlich der ersten allgemeinen Hilfeleistung, jedoch mit Ausnahme der örtlichen Sicherheitspolizei“), Art. 10 Abs. 1 Z 8 („Angelegenheiten des Gewerbes und Industrie“) und Art. 10 Abs. 1 Z 16 („Einrichtung der Bundesbehörden und Dienstrecht“).
Kosten:
Es sind keine Kosten für Bund, Länder und Gemeinden zu erwarten.
Besonderer Teil
Zu Z 1 (Langtitel):
Die Änderung des Langtitels dieses Bundesgesetzes erfolgt in Hinblick auf das nunmehr geänderte Ziel des § 1, wonach neben international auch national klassifizierte Informationen umfasst sind.
Zu Z 3 (§ 1):
Ziel dieses Bundesgesetzes gemäß Abs. 1 ist der einheitliche Schutz sowohl national als auch international klassifizierter Informationen sowie die Umsetzung völkerrechtlicher Vereinbarungen zum Schutz dieser Informationen. Dadurch wird ein lückenloser Schutzstandard im österreichischen Geheimschutzsystem geschaffen. Zudem wird der Anwendungsbereich des Gesetzes konkretisiert und umfasst nunmehr auch Dritte, an die klassifizierte Informationen auf Grund dieses Gesetzes weitergegeben werden. Dies schafft Rechtssicherheit für die Betroffenen und legt den Grundstein für die Vorbereitung österreichischer Unternehmen zur Teilnahme an national und international klassifizierten Aufträgen. Diese werden durch die gesetzlichen Vorgaben direkt gebunden, sodass keine Notwendigkeit zum Abschluss anderweitiger vertraglicher Vereinbarungen zur Einhaltung der gesetzlichen Bestimmungen besteht.
Der Terminus des „Zugangs“ wird in Hinblick auf die Richtung des Informationsflusses durch „Weitergabe“ ersetzt. Dadurch wird klargestellt, dass der Übergeber der Information die Verantwortung für die Erfüllung der Voraussetzungen des § 3 durch den Empfänger trägt. Es besteht somit auch nach Erfüllung der Vorraussetzungen des § 3 durch den Empfänger kein Recht auf die klassifizierte Information. Insbesondere wird die dienstliche Notwendigkeit iSd Abs. 1 Z 1 und Abs. 2 Z 1 immer vom Übermittler der Information und nicht vom Empfänger bestimmt. Darüber hinaus wird mit der Änderung der Begrifflichkeit eine deutliche Abgrenzung zum IFG geschaffen, das den „Zugang zu Informationen“ regelt. Die Terminologie wurde im gesamten Gesetz dahingehend angepasst.
Der Ausnahmetatbestand des Abs. 2 betreffend die Voraussetzungen der Weitergabe klassifizierter Informationen an bestimmte Organe und Einrichtungen wird gemäß internationaler Praxis konkretisiert. Nunmehr sollen nicht mehr die Institutionen als solche erfasst sein, sondern lediglich jene Personen, die das entsprechende Amt bekleiden und klassifizierte Informationen für die Erfüllung der ihnen übertragenen verfassungsgemäßen Aufgaben benötigen. Personen, die vertraglich für diese Institutionen tätig werden, sind somit von der Ausnahmeregelung nicht erfasst. Der Verweis auf den Bereich des Nationalrates und des Bundesrates wurde gestrichen und in Abs. 3 klargestellt, dass sich die Weitergabe klassifizierter Informationen gemäß § 3 sowie der entsprechende Umgang in diesem Bereich nach dem Informationsordnungsgesetz richten. Derartige Voraussetzungen zur Weitergabe klassifizierter Informationen an Amtsträger können sich jedoch aus völkerrechtlichen Vereinbarungen ergeben. Die Begriffe Richter und Staatanwälte umfassen alle Richter und Staatsanwälte im Sinne der Artikel II beziehungsweise IIa des RStDG.
Die Möglichkeit der Weitergabe klassifizierter Informationen an die genannten Personen ohne die Erfüllung der entsprechenden gesetzlichen Voraussetzungen gemäß § 3 erhebt diese jedoch nicht von der Einhaltung der national sowie international vorgesehenen Schutzstandards. Klassifizierte Informationen müssen dabei über ihren gesamten Lebenszyklus, insbesondere bei deren Entstehung, Bearbeitung, Aufbewahrung, Besprechung, Vervielfältigung bis hin zu deren Vernichtung, entsprechend den Vorgaben, abhängig von der jeweiligen Klassifizierungsstufe, geschützt werden.
Die Streichung des Abs. 3 dient der Rechtsbereinigung.
Zu Z 3 (§ 2):
Die Zuordnung schutzwürdiger Informationen zu Klassifizierungsstufen bedarf klarer Kriterien, da an jede Klassifizierung sowohl Beschränkungen der Weitergabe als auch Handlungsanweisungen zur Sicherstellung des Schutzes der Informationen geknüpft sind. Dafür ist das Ausmaß des Schadens bei Preisgabe der Information zu berücksichtigen. Das Kriterium der Dauer eines Schades kann ebenfalls von Relevanz sein, kann jedoch im Ausmaß des Schadens mitbedacht werden. Hilfestellung und Orientierung soll dabei eine Klassifizierungsrichtlinie bieten, die von der Informationssicherheitskommission (§ 8) erarbeitet wird.
Die Zuordnung einer Information zu einer Klassifizierungsstufe manifestiert sich durch die Vornahme verpflichtender Schutzmaßnahmen, welche in der InfoSiV beschrieben werden.
Die Zuordnung einer Information zu einer bestimmten Klassifizierungsstufe hat immer durch den Urheber der Information oder auf dessen Veranlassung zu erfolgen und ist dabei auf das notwendige Ausmaß zu beschränken. Darüber hinaus ist auch regelmäßig zu prüfen, ob die Voraussetzungen der Klassifizierung weiterhin bestehen.
Urheber klassifizierter Informationen kann ausschließlich ein gesetzlich eingerichtetes Organ des Bundes sein. Dadurch ist gewährleistet, dass nach Ausscheiden einzelner Personen die Urheberschaft weiter bestehen bleibt. Dieses Konzept sowie die Terminologie entsprechen internationaler Praxis. Der Begriff darf daher nicht mit dem Urheber iSd Urheberrechts verwechselt werden. Demnach ist Urheber stets jene Person, die die Letztverantwortung im Bereich der jeweiligen Dienststelle trägt. Der Begriff des Urhebers entspricht auch jenem des § 3 Abs. 5 InfOG. Im Bereich der Bundesministerien ist somit das oberste Organ Urheber einer im jeweiligen Wirkungsbereich erzeugten klassifizierten Information. Die tatsächliche Einstufung der Information kann in diesem Fall immer nur von jenen Bediensteten vorgenommen werden, die eine Ermächtigung zur selbständigen Behandlung gem. § 10 BMG besitzen. Unabhängig der Dienststelle müssen diese Personen zusätzlich, je nach Klassifizierungsstufe, die Weitergabevoraussetzungen des § 3 Abs. 1 Z 2 und 3 erfüllen und die Auswirkungen einer Preisgabe der betroffenen Information abschätzen können, um eine entsprechende Zuordnung vornehmen zu können. Im Zuge von klassifizierten Aufträgen zwischen der Republik Österreich und der Industrie ist es möglich, dass auch Dritte derartig schutzwürdige Informationen erzeugen. In einem solchen Fall erfolgt jedoch die Klassifizierung auf Veranlassung des jeweiligen Organs (als Urheber), sodass Dritte in keinem Fall Urheber klassifizierter Informationen im Sinne dieses Bundesgesetzes sein können.
Bei der Behandlung klassifizierter Informationen, die eine Person in Österreich auf Grund völkerrechtlicher Vereinbarungen, wie beispielsweise Abkommen zum gegenseitigen Austausch und Schutz klassifizierter Informationen gemäß § 14, erhalten hat, erfolgt keine neuerliche Bewertung des potentiell eintretenden Schadens bei der Preisgabe der Information. Diese sind den Klassifizierungsstufen in Abs. 2 in Übereinstimmung mit der in der völkerrechtlichen Vereinbarungen enthaltenen Äquivalenztabelle zuzuordnen und unter Berücksichtigung der jeweiligen Schutzstandards und Handlungsanweisungen so wie national klassifizierte Informationen zu schützen.
Zu Z 3 (§ 3):
Abs. 3 bezieht sich auf jene Fälle, in welchen bei der Weitergabe klassifizierter Informationen von der Erfüllung der Voraussetzung der Sicherheitsüberprüfung nach §§ 55 bis 55b SPG bzw. der Verlässlichkeitsprüfung nach §§ 23 und 24 MBG abgegangen werden kann. Dies ist nur in besonders dringlichen Ausnahmefällen möglich, in denen die Verarbeitung der klassifizierten Informationen nicht ohne die Möglichkeit eines größeren Schaden aufgeschoben werden kann und keine Alternativen zur Verfügung stehen. Die Inanspruchnahme einer solchen Ausnahme ist zudem nicht möglich, wenn der betroffenen Person in der Vergangenheit bereits die Sicherheitsüberprüfung beziehungsweise die Verlässlichkeitsüberprüfung entzogen wurde oder diesbezügliche Gründe vorliegen, welche die nationale Sicherheit gefährden könnten. Die ressortinternen Zutrittsregelungen bleiben durch diese Bestimmung unberührt. Die Genehmigung der außerordenlichen Weitergabe muss von der zuständigen Führungskraft vorgenommen werden. Dadurch ist auch die Weitergabe im Ausnahmefall durch Dritte nicht möglich. Die schriftliche Nachvollziehbarkeit ist in der zuständigen Registratur gemäß § 12 InfoSiV zu hinterlegen. Diese Vorgehensweise ist der nationalen Sicherheitsbehörde auch bei international klassifizierten Informationen zu melden, um bestehenden Berichtspflichten nachkommen zu können.
Wie im gesamten § 3, ist auch hier eine gemäß § 2a Staatsschutz- und Nachrichtendienst-Gesetz (SNG) durchgeführte Vertrauenswürdigkeitsprüfung einer Sicherheitsüberprüfung nach SPG gleichzusetzen.
Zu Z 4 (§ 6):
In Z 2 wird der Begriff „Umgang“ durch den Begriff „Handhabung“ ersetzt, um den gesamten Lebenszyklus einer klassifizierten Information zu erfassen. Durch die angefügte Z 9 wird der Bundesregierung im Rahmen der InfoSiV zusätzlich auferlegt, Vorgaben zu erlassen, die bei der Erstellung von Klassifizierungsrichtlinien durch die jeweiligen Dienststellen des Bundes zu beachten sind.
Zu Z 5 (§ 9):
Die Terminologie bzw. die Strafdrohung des § 9 Abs. 1 werden an den § 310 StGB angepasst. Dieser sieht für die Verletzung der dienstrechtlichen Geheimhaltungsverpflichtung eine Freiheitsstrafe von bis zu drei Jahren vor. Um das Verhältnis zwischen den Strafbestimmungen in Bezug auf die Verletzung von Verschwiegenheitspflichten zu klären, wurde eine klare Subsidiarität der Strafbestimmung des InfoSiG geschaffen. Der bisherige Abs. 2 wird dadurch obsolet.
Der neue Abs. 2 erfasst jenen Personenkreis, dem auch der Schutz des Redaktionsgeheimnisses gemäß § 31 Mediengesetz zukommt. Die verwendeten Begriffe entsprechen den Legaldefinitionen des § 1 Mediengesetz, die nach der Judikatur des OGH auch für andere Rechtsmaterien gelten (vgl. ausdrücklich OGH MR 1989, 128). Der Begriff Medieninhaber umfasst z.B. auch Blogger.
Die Streichung des Abs. 3 dient der Rechtsbereinigung, da schon die Klassifizierung voraussetzt, dass ein oder mehrere der in § 6 IFG genannten Interessen geschädigt werden könnten, was bei verfassungsgefährdenden Tatsachen nicht in Betracht kommt.
Zu Z 6 (§ 11):
Die Abschnittsüberschrift wird im Hinblick auf den Gegenstand der §§ 11 bis 13, nämlich den Themenkomplex der Industriellen Sicherheit, geändert. Die bisherige Abschnittsüberschrift wird zur Überschrift des § 11, wobei neben Unternehmen und Anlagen nun auch Einrichtungen in der Überschrift selbst erfasst werden.
Durch die Umformulierung des Wortlauts wird klargestellt, dass eine Sicherheitsunbedenklichkeitsbescheinigung für Unternehmen, Einrichtungen und Anlagen erforderlich ist, bevor national oder international klassifizierte Informationen an diese weitergegeben werden.
Zu Z 7 (§ 12 Abs. 3 bis 4b):
Aufgrund der Konsolidierung des nationalen und internationalen Geheimschutzes sind von diesen Bestimmungen nunmehr nicht nur die völkerrechtlichen, sondern auch die nationalen Verpflichtungen umfasst.
Zu Z 10 (§ 15):
In § 15 erfolgt die Anpassung der Geschlechterformulierung an die jüngere Judikatur.
Zu Z 11 (§ 17):
Die Betrauung des Bundeskanzlers mit der Vollziehung dieses Bundesgesetzes konkretisiert den schon in der Ursprungsfassung des InfoSiG (2002) bestehenden Willen des Gesetzgebers und bringt diesen klar zum Ausdruck. Daneben gibt es weiterhin Bereiche, wie beispielsweise jenen der industriellen Sicherheit in §§ 11 bis 13, die nur den Wirkungsbereich eines Mitglieds der Bundesregierung betreffen und weiterhin von diesem vollzogen werden.