Abstract
Chief Information Security Officer (CISO) sind in den letzten Jahren mit neuen rechtlichen Vorgaben, einer hohen Bedrohungslage und internationalen Haftungsfällen konfrontiert worden. Da keine österreichische Gerichtsentscheidung zur Haftung eines*r CISO vorliegt, herrscht Unklarheit bezüglich der Haftungsrisiken eines*r CISO. Das Zielder Arbeit ist eine Analyse der Haftung eines*r CISO und möglicher haftungsmindernder Maßnahmen. Dazu wird ein Fokus auf österreichische Unternehmen der kritischen
Infrastruktur gelegt.
Um die Haftung eines*r CISO analysieren zu können, bedarf es einer Rollenbeschreibung der Funktion CISO. Diese Rollenbeschreibung beinhaltet normative und rechtliche
Anforderungen und die Organisationsformen eines*r CISO. Die Anforderungen, aufgeteilt in Aufgabenfelder und Anforderungsprofil, werden neben einer Literaturrecherche
auch durch eine qualitative Inhaltsanalyse von Stellenanzeigen für CISOs und Mitarbeiter*innen im CISO-Team beleuchtet. Die Ergebnisse aus der Literatur werden mit
der empirischen Forschung verglichen. Die Untersuchung der Rechtsprechungen und der
Haftungsvoraussetzungen unterscheidet zwischen den unterschiedlichen Organisationsformen eines*r CISO. Dabei werden EU-Vorgaben und österreichische Gesetze auf die
Rolle eines*r CISO angewendet. Abschließend werden haftungsmindernde Maßnahmen
aufgelistet.
Die Ergebnisse zeigen, dass für die Beschreibung des Aufgabengebiets eines*r CISO
sowohl normative als auch rechtliche Anforderungen bestehen. Beim Anforderungprofil überwiegen die normativen Anforderungen. Die Resultate der empirischen Analyse der Stellenanzeigen decken sich zu großen Teilen mit den bereits aus der Literatur
vorhandenen Informationen. In der Organisation eines*r CISO kann primär zwischen
zwei Arten interne*r CISO und externe*r CISO sowie drei Beschäftigungsverhältnissen
Mitarbeiter*in, Leitungsorgan und externe Dienstleistung unterschieden werden. Für
die Haftung eines*r CISO werden das Strafgesetzbuch, das Verwaltungsstrafgesetz, das
GmbH-Gesetz und Aktien-Gesetz, das ABGB, das Dienstnehmerhaftpflichtgesetz und
das NISG als relevant betrachtet und eingehender analysiert. Das NISG 2024 wird im
Überblick vorgestellt. Als Haftungsvoraussetzung reicht in den meisten Fällen bereits
fahrlässiges Verhalten aus. Das StGB bildet hiervon eine Ausnahme. Für den praktischen Bezug zu Haftungsfällen im Kontext der Rolle eines*r CISO werden zwei internationale Anklagen gegen die Informationssicherheits-Verantwortlichen von Uber und
SolarWinds betrachtet. Neben vorbeugenden Maßnahmen zur Haftungsminderung wie
einer vollständigen Dokumentation, dem Abschluss einer D&O-Versicherung oder einer
Berufshaftpflichtversicherung besteht die Möglichkeit das im Anlassfall auch haftungsmindernde Maßnahmen aus der österreichischen Rechtsprechung Anwendung finden.
| Datum der Bewilligung | 2024 |
|---|---|
| Originalsprache | Deutsch (Österreich) |
| Betreuer/-in | Peter Burgstaller (Betreuer*in) |