Geheimhaltungsvorgaben für IT-Dienstleister

Das Sicherheitsüberprüfungsgesetz enthält Anforderungen des Geheimschutzes an Auftragnehmer für die Auftraggeber der öffentlichen Hand. Die technischen und organisatorischen Maßnahmen für den IT-Einsatz wurden jüngst aktualisiert.

Von Tobias Haar

Wenn IT-Dienstleister von der öffentlichen Hand Aufträge in sicherheitsempfindlichen Bereichen erhalten, müssen sie sich mit den Vorschriften der Geheimschutzbetreuung für Verschlusssachen vertraut machen. Details regelt das „Gesetz über die Voraussetzungen und das Verfahren von Sicherheitsüberprüfungen des Bundes und den Schutz von Verschlusssachen“, kurz Sicherheitsüberprüfungsgesetz (SÜG). Es enthält unter anderem die maßgebliche Definition für die zentralen Begriffe Verschlusssache, sicherheitsempfindliche Tätigkeit sowie die vier Geheimhaltungsgrade streng geheim, geheim, VS-Vertraulich und VS-Nur für den Dienstgebrauch (siehe Kasten „Zentrale Definitionen nach dem Sicherheitsüberprüfungsgesetz“).

Zentrale Definitionen nach dem Sicherheitsüberprüfungsgesetz

Verschlusssachen sind im öffentlichen Interesse, insbesondere zum Schutz des Wohles des Bundes oder eines Landes, geheimhaltungsbedürftige Tatsachen, Gegenstände oder Erkenntnisse, unabhängig von ihrer Darstellungsform. Verschlusssachen können auch Produkte und die dazugehörenden Dokumente sowie zugehörige Schlüsselmittel zur Entschlüsselung, Verschlüsselung und Übertragung von Informationen sein (Kryptomittel). Geheimhaltungsbedürftig im öffentlichen Interesse können auch Geschäfts-, Betriebs-, Erfindungs-, Steuer- oder sonstige private Geheimnisse oder Umstände des persönlichen Lebensbereichs sein. (§ 4 Abs. 1 SÜG)

Verschlusssachen werden entsprechend ihrer Schutzbedürftigkeit von einer amtlichen Stelle des Bundes oder auf deren Veranlassung in folgende Geheimhaltungsgrade eingestuft: