Die (neue) Geheimschutzverordnung
Die internationale Vernetzung, die Veränderung der rechtlichen Rahmenbedingungen und die Entwicklungen im elektronischen Arbeitsbereich erforderten eine grundlegende Überarbeitung der Geheimschutzbestimmungen. Die Geheimschutzvorschrift (GehSV) ersetzt nun die alte Verschlusssachenvorschrift (VSaV).
Die wesentlichen Regelungsinhalte der GehSV dienen der Prävention und beinhalten Schutzstandards, die die Geheimhaltung im Bereich des Verteidigungsressorts gewährleisten sollten.
Klassifizierte Informationen bzw. Geheimnisse
In der Informationssicherheitsverordnung werden als klassifizierte Informationen jene Informationen, Tatsachen und Gegenstände genannt, die unabhängig von Darstellungsform und Datenträger eines besonderen Schutzes gegen Kenntnisnahme und Zugriff durch Unbefugte bedürfen.
Geheimnisse können sein: Schriftstücke, Zeichnungen, Pläne, Karten, Lichtbildmaterial, elektronische Daten und Datenträger (E-Mail), Tonträger, technische Geräte, technische Systeme und deren Komponenten.
Klassifizierungsstufen
In den Klassifizierungsstufen wird der Grund für dieses Schutzbedürfnis festgelegt. Während in diversen Rechtsmaterien zwar konkrete Sanktionen für den Bruch von Geheimhaltungsverpflichtungen festgelegt sind, muss für den präventiven Bereich des Geheimschutzes festgestellt werden, dass gesetzlich verbindlich nur ausländische Geheimnisse geschützt werden. Durch das Informationssicherheitsgesetz und die darauf fußende Informationssicherheitsverordnung hat die Republik Österreich die Verpflichtungen hinsichtlich der Festlegung von präventiven Schutzstandards im Geheimschutz, die aufgrund der Beitritte zur EU und zur Partnerschaft für den Frieden der nordatlantischen Vertragsorganisation (Nato/PfP) notwendig wurden, umgesetzt. Eine Verbindlichkeit dieser Schutzstandards auch für nur im nationalen österreichischen Interesse zu schützende klassifizierte Informationen wurde gesetzlich nicht verwirklicht.
In so genannten Sicherheitsvereinbarungen verpflichtet sich Österreich bilateral mit anderen Ländern auf völkerrechtlicher Basis zum gegenseitigen Geheimschutz. Diese Normen sind die Grundlage für den gegenseitigen Austausch klassifizierter Informationen. Im Wesentlichen werden in diesen Abkommen die Stufen der Klassifizierung, die Behandlung und der Zugang zu solchen Informationen geregelt.
Im nationalen Bereich gibt es einen Ministerratsbeschluss über eine so genannte Geheimschutzordnung, diese ist aber gesetzlich unverbindlich und gilt lediglich als Rahmen für die in den Ministerien zu verfügenden Geheimschutzerlässe. Damit ergibt sich das unschöne Bild, dass nationale und ausländische klassifizierte Informationen hinsichtlich der Einhaltung präventiver Schutzstandards unterschiedlich geschützt werden.
Dies und die schon angesprochene Überalterung haben im Ressort zur Erkenntnis geführt, dass eine neue GehSV erstellt werden musste. Als Kernpunkt der Bearbeitungen wurde die Gleichbehandlung des nationalen und internationalen Geheimschutzes für klassifizierte Informationen festgelegt.
So sollten die nationalen Vorgaben insbesondere aus dem Bereich des Informationssicherheitsgesetzes und der Geheimschutzordnung des Bundes sowie die internationalen, völkerrechtlich verpflichtenden Vorgaben aus den Sicherheitsrichtlinien der Europäischen Union (EU) und der Partnerschaft für den Frieden der Nordatlantischen Vertragsorganisation (NATO/PfP) in einer Vorschrift zusammengefasst werden.
Neben dieser grundsätzlichen Ausrichtung wurde vor allem auf allgemeine Handhabbarkeit für den Einzelnen und eine möglichst flexible, sinnvolle Auslegung der Vorgaben geachtet.
Kernelemente der Geheimschutzverordnung
Das wesentliche Merkmal des präventiven Geheimschutzes stellt der von vornherein eingeschränkte Zugang zu klassifizierter Information dar. Mit dem "need to know" Prinzip wird dies verwirklicht. Es ist bei der Verteilung und Weitergabe kritisch zu prüfen, ob eine Person tatsächlich ein dienstlich begründetes Bedürfnis hat, eine klassifizierte Information zu erhalten. Neben diesem Wissensbedarf hat der Verfasser zu prüfen, ob eine Person auch formal berechtigt ist, diese überhaupt zu empfangen und insbesondere die notwendigen Belehrungen zum Umgang mit diesen Informationen bereits erhalten hat. Weiters muss sichergestellt werden, dass der Empfänger ab der Klassifizierungsstufe "Vertraulich" über die notwendige Verlässlichkeit bzw. die Verlässlichkeitsprüfung verfügt.Die markanteste Neuerung besteht im Bereich der Klassifizierungsstufen. Hier wird vom bisherigen Drei-Ebenenmodell auf ein Vier-Ebenenmodell übergegangen.
Das Vier-Ebenenmodell
Bis dato gab es aufgrund der fehlenden vierten Stufe das Problem der zu hohen Klassifizierung von Dokumenten. So mussten vor allem internationale Geheimnisse aufgrund des Fehlens der Stufe "Eingeschränkt" als "Verschluss" klassifiziert und verwaltet werden. Dementsprechend wird künftig von einem massiven Rückgang im Bereich der Klassifizierungsstufe "Vertraulich" auszugehen sein.
Als wesentliche Neuerung und ebenfalls als Maßnahme gegen Überklassifizierung zu verstehen, wurde festgelegt, dass ab "Vertraulich" die Festlegung der Klassifizierungsstufe durch den Kommandanten/Dienststellenleiter zu erfolgen hat.
Mit einer am Zweck ausgerichteten Interpretation der (internationalen) Vorgaben sollte übertriebener Aufwand vermieden werden und die Vorschrift umsetzbar bleiben. Dies kommt in der Festlegung angepasster Sicherungsmaßnahmen (auch im elektronischen Bereich), einer praxisnahen Lagerung (gemeinsames Aufbewahren verschiedener Klassifizierungsstufen oder verschiedener Absender in einem Behältnis) und sinnvoller und vertretbarer Übergangsbestimmungen zum Ausdruck, vor allem weil mit den Neuerungen nicht unerhebliche Investitionen verbunden sind. Es wurden aber auch alte "Traditionen" kritisch beleuchtet. So gibt es beispielsweise keinen Zwang mehr zur farblichen Kennzeichnung von Ordnern oder Datenträgern.
Wie schon aus der VSaV bekannt, werden in der GehSV die Vorgaben und Verfahren mit klassifizierten Informationen genau behandelt, von Zugang über Behandlung, Übermittlung und Verwahrung bis hin zur Vernichtung. Besonderes Augenmerk wurde darauf gelegt, nur zu regeln, was der Betroffene braucht und keine sonstigen (fachdienstliche) Regelungen in die Vorschrift einfließen zu lassen.
Auch wenn mit der Vereinheitlichung von nationalen mit internationalen Standards die Bearbeitung klassifizierter Informationen für den Einzelnen einfacher geworden ist, muss klar sein, dass eine Klassifizierung wesentliche Auswirkungen im Bereich konkreter personeller, materieller und organisatorischer Schutzmaßnahmen hat und daher im Hinblick auf den notwendigen Schutz der Information sehr genau beurteilt werden muss.
In diesem Zusammenhang wird auch auf die einschlägigen Verwaltungsstrafbestimmungen des Informationssicherheitsgesetzes (§ 10) hingewiesen. Hier sind, wenn Unbefugte durch Nichteinhaltung dieser Standards (z. B. "need to know", Belehrung etc.) Kenntnis von klassifizierten Informationen erlangen, Verwaltungsstrafen bis zu 3 000 Euro von der Bezirksverwaltungsbehörde zu verhängen.
Jedem Verantwortlichen muss klar sein, dass eine Vorschrift oder eine Klassifizierung alleine noch keinen Schutz gewährleistet. Nur durch die Einhaltung der vorgeschriebenen Schutzstandards durch jeden Einzelnen, eine möglichst eingeschränkte Verteilung und Dienstaufsicht, kann der Schutz faktisch auch sichergestellt werden.
Abwehramt