Gesamte Rechtsvorschrift InfoSiG

Informationssicherheitsgesetz

InfoSiG
beobachten
merken
Stand der Gesetzesgebung: 27.05.2018

1. Abschnitt

§ 1 InfoSiG Ziel und Anwendungsbereich des Gesetzes im Bereich der Dienststellen des Bundes


(1) Ziel der Bestimmungen der §§ 1 bis 10 ist die Umsetzung völkerrechtlicher Verpflichtungen Österreichs zur sicheren Verwendung von klassifizierten Informationen, unabhängig von Darstellungsform und Datenträger, im Bereich der Dienststellen des Bundes.

(2) Die Voraussetzungen für den Zugang zu klassifizierten Informationen nach § 3 Abs. 1 gelten nicht für den Bundespräsidenten, den Bereich des Nationalrates und des Bundesrates, die Mitglieder der Bundesregierung, die Staatssekretäre, die Gerichtsbarkeit, den Verfassungsgerichtshof und den Verwaltungsgerichtshof, den Rechnungshof und die Volksanwaltschaft. Die Weitergabe von klassifizierten Informationen an diese Organe und Einrichtungen unterliegt keinen Berschränkungen nach diesem Bundesgesetz, jedoch völkerrechtlich vorgesehenen Einschränkungen.

(3) Dieses Bundesgesetz berührt nicht die den in Abs. 2 genannten Organen und Einrichtungen übertragenen Verpflichtungen und Aufgaben.

§ 2 InfoSiG Beschränkung des Zugangs zu klassifizierten Informationen


(1) Der Zugang zu klassifizierten Informationen, die Österreich im Einklang mit völkerrechtlichen Regelungen erhalten hat, ist in dem von den übermittelnden Stellen vorgesehenen Maß und für die von diesen vorgesehene Dauer zu beschränken, wenn dies gemäß Art. 20 Abs. 3 B-VG geboten ist.

(2) Gemäß Abs. 1 erhaltene klassifizierte Informationen sind zur Wahrung des von den übermittelnden Stellen vorgesehenen Schutzes einer der folgenden Klassifizierungsstufen zuzuordnen:

1.

„EINGESCHRÄNKT“, wenn die unbefugte Weitergabe der Informationen den in Art. 20 Abs. 3 B-VG genannten Interessen zuwiderlaufen würde;

2.

„VERTRAULICH“, wenn die Informationen nach anderen Bundesgesetzen unter strafrechtlichem Geheimhaltungsschutz stehen und ihre Geheimhaltung im öffentlichen Interesse gelegen ist;

3.

„GEHEIM“, wenn die Informationen vertraulich sind und ihre Preisgabe zudem die Gefahr einer erheblichen Schädigung der in Art. 20 Abs. 3 B-VG genannten Interessen schaffen würde;

4.

„STRENG GEHEIM“, wenn die Informationen geheim und überdies ihr Bekanntwerden eine schwere Schädigung der in Art. 20 Abs. 3 B-VG genannten Interessen wahrscheinlich machen würde.

(3) Solange Informationen klassifiziert sind, findet auf sie § 5 des Bundesarchivgesetzes, BGBl. I Nr. 162/1999, keine Anwendung.

§ 3 InfoSiG Voraussetzungen für den Zugang zu klassifizierten Informationen


(1) Unbeschadet des § 1 darf der Zugang zu klassifizierten Informationen nur unter folgenden Voraussetzungen gewährt werden:

1.

einem Bediensteten einer Dienststelle des Bundes, wenn

a)

der Zugang zu diesen Informationen für die Erfüllung seiner dienstlichen Aufgaben erforderlich ist,

b)

er nachweislich ausreichend über den Umgang mit klassifizierten Informationen unterwiesen wurde und,

c)

soweit Informationen betroffen sind, die als „VERTRAULICH“, „GEHEIM“ oder „STRENG GEHEIM“ klassifiziert wurden, eine Sicherheitsüberprüfung gemäß §§ 55 bis 55b SPG, BGBl. Nr. 566/1991, oder, sofern gesetzlich vorgesehen, eine Verlässlichkeitsprüfung gemäß §§ 23 und 24 MBG, BGBl. I Nr. 86/2000, durchgeführt wurde.

2.

sonstigen Personen, wenn

a)

dies für die Ausübung einer im öffentlichen Interesse gelegenen Tätigkeit erforderlich ist,

b)

die Voraussetzungen der Z 1 lit. b und c vorliegen und

c)

kein geringerer als der von der zuständigen Dienststelle vorgesehene Schutzstandard gewährleistet wird.

(2) Ein Bediensteter einer Dienststelle des Bundes darf den Zugang zu klassifizierten Informationen nur unter den Voraussetzungen des Abs. 1 Z 1 suchen.

(Anm.: Abs. 3 aufgehoben durch Art. 3 Z 2, BGBl. I Nr. 32/2018)

§ 4 InfoSiG Verschwiegenheitspflicht


Jede Person, der auf Grund dieses Bundesgesetzes Zugang zu klassifizierten Informationen gewährt wird,

1.

ist zur Verschwiegenheit über die ihr dadurch zur Kenntnis gelangten Informationen verpflichtet und

2.

hat durch Einhaltung der vorgesehenen Schutzstandards dafür Sorge zu tragen, dass kein Unbefugter Kenntnis von den klassifizierten Informationen erlangt.

§ 5 InfoSiG Amtshilfe


Im Rahmen der Leistung von Amtshilfe dürfen klassifizierte Informationen nur weitergegeben werden, wenn das ersuchende Organ dies ausdrücklich begehrt und den erforderlichen Schutzstandard zu gewährleisten vermag. Im Begehren ist anzugeben, bis zu welcher Klassifizierungsstufe für einen ausreichenden Schutzstandard vorgesorgt ist.

§ 6 InfoSiG Informationssicherheitsverordnung


Die Bundesregierung hat für die Dienststellen des Bundes durch Verordnung Vorschriften über die Informationssicherheit zu erlassen. Diese haben jedenfalls zu regeln:

1.

die Kennzeichnung von klassifizierten Informationen,

2.

Maßnahmen und Verhaltensregeln für den Umgang mit klassifizierten Informationen, insbesondere hinsichtlich der Übermittlung, der Vervielfältigung, der Aufbewahrung und der Vernichtung der Informationen,

3.

Verhaltensregeln im Fall der Wahrnehmung eines Mangels im Bereich der Informationssicherheit,

4.

Zugangsbeschränkungen, die nach Klassifizierungsstufen zu unterscheiden sind,

5.

Maßnahmen zur Gewährleistung der Feststellbarkeit des Zugangs zu klassifizierten Informationen,

6.

Maßnahmen zur Überprüfung der weiteren Notwendigkeit der Klassifizierung,

7.

zu Zwecken der Informationssicherheit erforderliche technische Datensicherheitsmaßnahmen sowie

8.

die Vorgangsweise bei der Deklassifizierung von Informationen.

§ 7 InfoSiG Informationssicherheitsbeauftragte


(1) Jeder Bundesminister bestellt für seinen Wirkungsbereich einen Informationssicherheitsbeauftragten und dessen Stellvertreter.

(2) Dem Informationssicherheitsbeauftragten obliegt die Überwachung der Einhaltung der Bestimmungen dieses Bundesgesetzes, der Informationssicherheitsverordnung, der Übereinkommen gemäß § 14 und der sonstigen Informationssicherheitsvorschriften sowie die periodische Überprüfung der Sicherheitsvorkehrungen für den Schutz von klassifizierten Informationen und die Berichterstattung darüber an die Informationssicherheitskommission nach § 8. Im Falle der Wahrnehmung eines Mangels hat der Informationssicherheitsbeauftragte auf die unverzügliche Behebung des Mangels hinzuwirken.

(3) Der Informationssicherheitsbeauftragte trägt dafür Sorge, dass in seinem Ressortbereich alle Personen, auf die die Voraussetzungen des § 3 Abs. 1 Z 1 bis 2 zutreffen, sicherheitsüberprüft werden.

(4) Der Informationssicherheitsbeauftragte hat den zuständigen Bundesminister in Angelegenheiten der Informationssicherheit zu beraten und erforderlichenfalls Vorschläge zu deren Verbesserung zu erstatten.

§ 8 InfoSiG Informationssicherheitskommission


(1) Es wird eine Informationssicherheitskommission eingerichtet, der die Informationssicherheitsbeauftragten aller Bundesministerien angehören. Den Vorsitz führt der Informationssicherheitsbeauftragte des Bundeskanzleramtes. Die Informationssicherheitskommission hat

1.

auf eine bundesweite Einheitlichkeit von Schutzmaßnahmen und deren Koordination im Bereich der Bundesverwaltung, insbesondere bei der Leistung von Amtshilfe nach § 5, hinzuwirken,

2.

einen Erfahrungsaustausch hinsichtlich der Einhaltung von Schutzmaßnahmen nach § 7 Abs. 2 im jeweiligen Ressortbereich durchzuführen und gegebenenfalls Vorschläge zur Verbesserung der Informationssicherheit zu erstatten,

3.

der Bundesregierung bei Bedarf, jedoch mindestens alle drei Jahre, einen Bericht über den Stand der Informationssicherheit auf Grundlage von Beiträgen der einzelnen Informationssicherheitsbeauftragten zu erstatten,

4.

Maßnahmen zum Schutz des Austausches klassifizierter Informationen zwischen Österreich und internationalen Organisationen, sonstigen zwischenstaatlichen Einrichtungen oder fremden Staaten zu setzen beziehungsweise vorzuschlagen, sofern sie zur Durchführung der mit diesen über den Schutz und die Sicherheit klassifizierter Informationen getroffenen Vereinbarungen erforderlich sind,

5.

Sicherheitsunbedenklichkeitsbescheinigungen für Personen, Unternehmen, Einrichtungen und Anlagen auszustellen.

(2) Die Informationssicherheitskommission gibt sich durch einstimmigen Beschluss eine Geschäftsordnung, die jedenfalls Regelungen hinsichtlich der Einberufung und des Geschäftsgangs von Sitzungen, der Organisation der Arbeiten sowie hinsichtlich der Willensbildung enthält.

(3) Soweit es für die ordnungsgemäße Wahrnehmung ihrer Aufgaben erforderlich ist, kann die Informationssicherheitskommission ihren Sitzungen auch sonstige Experten beiziehen. Näheres bestimmt die Geschäftsordnung.

§ 9 InfoSiG Gerichtlich strafbare Handlungen


(1) Wer entgegen den Bestimmungen dieses Bundesgesetzes eine ihm ausschließlich auf Grund von § 3 Abs. 1 dieses Bundesgesetzes anvertraute oder zugänglich gewordene, als „VERTRAULICH“, „GEHEIM“ oder „STRENG GEHEIM“ klassifizierte Information offenbart oder verwertet, deren Offenbarung oder Verwertung geeignet ist, die öffentliche Sicherheit, die umfassende Landesverteidigung oder die auswärtigen Beziehungen zu beeinträchtigen, ist, sofern die Tat nicht nach anderen Bundesgesetzen mit strengerer Strafe bedroht ist, vom Gericht mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.

(2) Wer die Tat begeht, um sich oder einem anderen einen Vermögensvorteil zuzuwenden oder einem anderen einen Nachteil zuzufügen, ist mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.

(3) Offenbart der Täter Informationen, die verfassungsgefährdende Tatsachen (§ 252 Abs. 3 StGB) betreffen, so ist er nur zu bestrafen, wenn er in der Absicht handelt, private Interessen zu verletzen oder der Republik Österreich einen Nachteil zuzufügen. Die irrtümliche Annahme verfassungsgefährdender Tatsachen befreit den Täter nicht von Strafe.

§ 10 InfoSiG Verwaltungsübertretung


(1) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung erfüllt, begeht eine Verwaltungsübertretung,

1.

wer die Verschwiegenheitspflicht nach § 4 Z 1 verletzt oder

2.

wer entgegen § 4 Z 2 Schutzstandards nicht einhält, wenn dadurch ein Unbefugter Kenntnis von klassifizierten Informationen erlangt.

(2) Verwaltungsübertretungen nach Abs. 1 sind von der Bezirksverwaltungsbehörde mit Geldstrafe bis 3 000 Euro zu bestrafen.

2. Abschnitt - Sicherheitsunbedenklichkeitsbescheinigungen für Unternehmen und Anlagen

§ 11 InfoSiG Anwendungsbereich des 2. Abschnitts


Die Bestimmungen der §§ 11 bis 13 regeln die Ausstellung von Sicherheitsunbedenklichkeitsbescheinigungen für Unternehmen, Einrichtungen und Anlagen, die auf Grund völkerrechtlicher Verpflichtungen in unmittelbar anwendbaren Staatsverträgen gemäß Art. 50 Abs. 1 B-VG und Übereinkommen gemäß § 14 zur sicheren Verwendung klassifizierter Informationen für die Teilnahme an industriellen Tätigkeiten und Forschungstätigkeiten sowie zur Erlangung von Aufträgen erforderlich sind.

§ 12 InfoSiG Ausstellung und Widerruf von Sicherheitsunbedenklichkeitsbescheinigungen


(1) Der Antrag auf Ausstellung von Sicherheitsunbedenklichkeitsbescheinigungen ist bei dem für die betreffende industrielle Tätigkeit oder Forschungstätigkeit oder für die Art des vorgesehenen Auftrages nach dem Bundesministeriengesetz 1986, BGBl. Nr. 76, sachlich zuständigen Bundesminister zu stellen.

(2) Vor Entscheidung über die Ausstellung einer Sicherheitsunbedenklichkeitsbescheinigung ist der Bundesminister für Inneres zu hören. Diesem obliegt die Mitwirkung an der Feststellung, ob eine Einrichtung den in der Informationssicherheitsverordnung (§ 6) vorgesehenen Schutz für klassifizierte Informationen der im Antrag bezeichneten Klassifizierungsstufe gewährleisten kann.

(3) Bei der Mitwirkung an der Entscheidung nach Abs. 2 sind auch alle Personen, die zur Erfüllung ihrer beruflichen Pflichten Zugang zu Informationen haben müssen, die als „VERTRAULICH“, „GEHEIM“ oder „STRENG GEHEIM“ klassifiziert wurden, einer Sicherheitsüberprüfung gemäß §§ 55 bis 55b des Sicherheitspolizeigesetzes, BGBl. Nr. 566/1991, zu unterziehen. Das Ergebnis ist dem zuständigen Bundesminister (Abs. 1) mitzuteilen.

(4) Die Voraussetzungen für die Ausstellung einer Sicherheitsunbedenklichkeitsbescheinigung sind gegeben, wenn die in der jeweiligen völkerrechtlichen Verpflichtung vorgesehenen Auflagen und Bedingungen vom Antragsteller erfüllt werden. Der zuständige Bundesminister hat durch Sicherheitsinspektionen die Einhaltung dieser Auflagen und Bedingungen regelmäßig zu überprüfen. Dabei ist der Bundesminister für Inneres zu hören. Die Sicherheitsunbedenklichkeitsbescheinigung ist zu widerrufen, wenn

1.

die Voraussetzungen ihrer Ausstellung weggefallen sind oder

2.

das Unternehmen oder Einrichtung den Sicherheitsinspektionsorganen den Zutritt in dem für die Überprüfung notwendigen Ausmaß innerhalb der üblichen Geschäfts- oder Arbeitszeit zu ihren Grundstücken, Geschäfts- und Betriebsräumen zu Unrecht verweigert oder die erforderliche Mitwirkung bei der Überprüfung unterlässt.

(4a) Die Ausstellung und der Widerruf der Sicherheitsunbedenklichkeitsbescheinigung erfolgen auf Vorschlag des zuständigen Bundesministers (Abs. 1) durch die im jeweiligen völkerrechtlichen Übereinkommen vorgesehene nationale Zertifizierungsstelle. Diese ist, sofern nicht ausdrücklich eine andere vorgesehen ist, die Informationssicherheitskommission beim Bundeskanzleramt (§ 8). Für die Ausstellung von Sicherheitsunbedenklichkeitsbescheinigungen im Zusammenhang mit Vorhaben, die der Erfüllung von Aufgaben des Bundesheeres gemäß Art. 79 Abs. 1 B-VG dienen, ist die nationale Zertifizierungsstelle eine vom Bundesminister für Landesverteidigung für zuständig erklärte Dienststelle seines Wirkungsbereiches. Die Sicherheitsunbedenklichkeitsbescheinigung ist von der Zertifizierungsstelle der Einrichtung zu übermitteln, zu deren klassifizierten Informationen der Antragsteller Zugang haben möchte; dies gilt auch für den Widerruf. Der Antragsteller ist über die Ausstellung oder den Widerruf zu verständigen.

(4b) Wenn Personen im Ausland Zugang zu klassifizierten Informationen oder Zutritt zu Örtlichkeiten einer erhöhten Sicherheitsstufe erhalten sollen, dürfen im Rahmen des internationalen Besuchskontrollverfahrens die sie betreffenden personenbezogenen Daten mit ihrer Einwilligung der Einrichtung, die für die Sicherheit des Zugangs zu den betreffenden Informationen oder Örtlichkeiten zuständig ist, übermittelt werden. § 25 MBG bleibt unberührt.

(5) Kann eine Sicherheitsunbedenklichkeitsbescheinigung nicht ausgestellt werden, hat der zuständige Bundesminister (Abs. 1) den Antragsteller hiervon unverzüglich nach Kenntnis dieses Umstandes schriftlich zu informieren.

(6) Ist der Antrag im Sinne des Abs. 1 beim Bundesminister für Landesverteidigung zu stellen, so obliegt diesem die Feststellung, ob eine Einrichtung den in der Informationssicherheitsverordnung (§ 6) vorgesehenen Schutz für klassifizierte Informationen der im Antrag bezeichneten Klassifizierungsstufe gewährleisten kann. Abs. 3 ist mit der Maßgabe anzuwenden, dass an Stelle der Sicherheitsüberprüfung eine Verlässlichkeitsprüfung gemäß §§ 23 und 24 Militärbefugnisgesetz, BGBl. I Nr. 86/2000, durchzuführen ist. Der Bundesminister für Landesverteidigung ist ermächtigt, durch Verordnung eine dem Bundesministerium für Landesverteidigung nachgeordnete Dienststelle an seiner Stelle mit der Wahrnehmung dieser Aufgaben zu betrauen.

§ 13 InfoSiG Kostenersatzpflicht


Für die Ausstellung einer Sicherheitsunbedenklichkeitsbescheinigung gebührt dem Bund als Ersatz ein Pauschalbetrag, der durch Verordnung des sachlich zuständigen Bundesministers im Einvernehmen mit dem Bundesminister für Inneres entsprechend den tatsächlichen durchschnittlichen Kosten festgelegt wird. In den Fällen des § 12 Abs. 6 ist dieses Einvernehmen nicht erforderlich. Weiters hat der Antragsteller dem Bund die Barauslagen für Sachverständige zu ersetzen, auch wenn dem Antrag auf Ausstellung einer Sicherheitsunbedenklichkeitsbescheinigung nicht gefolgt wird.

3. Abschnitt - Gemeinsame Bestimmungen

§ 14 InfoSiG Internationale Übereinkommen


(1) Sofern die Bundesregierung oder die zuständigen Mitglieder der Bundesregierung zum Abschluss von Übereinkommen gemäß Art. 66 Abs. 2 B-VG ermächtigt sind, können sie völkerrechtliche Vereinbarungen schließen, um den gegenseitigen Austausch und den Schutz klassifizierter Informationen zu regeln. Hierbei ist vorzusehen, dass klassifizierte Informationen nur dann übermittelt werden dürfen, wenn beim Empfänger ein Schutzstandard gewährleistet ist, der dem der übermittelnden Stelle gleichwertig ist.

(2) Übereinkommen gemäß Abs. 1 können insbesondere Folgendes regeln:

1.

den Zugang von Personen der jeweils anderen Vertragspartei zu klassifizierten Informationen,

2.

die Ausstellung von Sicherheitsunbedenklichkeitsbescheinigungen,

3.

die Auflagen und Bedingungen für die Ausstellung von Sicherheitsunbedenklichkeitsbescheinigungen,

4.

die Voraussetzungen für den Widerruf von Sicherheitsunbedenklichkeitsbescheinigungen,

5.

die Zustellung von klassifizierten Informationen für Unternehmen an die zuständige Behörde der jeweils anderen Vertragspartei und die Verpflichtung der zuständigen Behörde, diese Informationen nach deren Klassifizierung entsprechend den Geheimhaltungsstufen des Übereinkommens den Unternehmen weiterzuleiten,

6.

den Einsatz von bestimmten Zustelldiensten und Verschlüsselungsgeräten,

7.

die Zustellung der Sicherheitsunbedenklichkeitsbescheinigungen und deren Widerruf an die zuständige Behörde der jeweils anderen Vertragspartei.

§ 15 InfoSiG Sprachliche Gleichbehandlung


Die in diesem Bundesgesetz verwendeten personenbezogenen Ausdrücke betreffen, soweit es inhaltlich in Betracht kommt, Frauen und Männer gleichermaßen.

§ 16 InfoSiG Verweisungen


Verweisungen in diesem Bundesgesetz auf andere Bundesgesetze verweisen auf deren jeweils geltende Fassung.

§ 17 InfoSiG Vollziehung


Mit der Vollziehung dieses Bundesgesetzes ist die Bundesregierung, jedoch in Angelegenheiten, die nur den Wirkungsbereich eines Mitglieds der Bundesregierung betreffen, dieses betraut.

§ 18 InfoSiG Inkrafttreten


§ 3 Abs. 1 und § 12 Abs. 4b in der Fassung des Materien-Datenschutz-Anpassungsgesetzes 2018, BGBl. I Nr. 32/2018, treten mit 25. Mai 2018 in Kraft; gleichzeitig tritt § 3 Abs. 3 außer Kraft.

Informationssicherheitsgesetz (InfoSiG) Fundstelle


Bundesgesetz über die Umsetzung völkerrechtlicher Verpflichtungen zur sicheren Verwendung von Informationen (Informationssicherheitsgesetz, InfoSiG)
StF: BGBl. I Nr. 23/2002 (NR: GP XXI RV 753 AB 941 S. 89. BR: AB 6549 S. 683.)

Änderung

BGBl. I Nr. 129/2003 (NR: GP XXII RV 312 AB 322 S. 40. BR: 6924 AB 6945 S. 704.)

BGBl. I Nr. 10/2006 (NR: GP XXII RV 1084 AB 1244 S. 129. BR: AB 7449 S. 729.)

Sofortabfrage ohne Anmeldung!

Jetzt Abfrage starten