Informationssicherheit zwischen Fortschritt und Risiko: Juristischer Leitfaden für Entscheidungsträger

INHALTSVERZEICHNIS

Abkürzungsverzeichnis

I. Informationssicherheitsmanagement
I.A. Informationssicherheit
I.B. Bedrohungen und Risiken
I.C. Rechtliches Umfeld der Informationssicherheit
I.C.1. Bilaterale und multilaterale Verpflichtungen
I.C.2. Nationale Bestimmungen
I.C.3. Regelungsbedarf

II. IKT-Bedrohungen
II.A. Grundlagen
II.B. Formen der neuen IKT-Bedrohungen
II.B.1. Bring Your Own Device
II.B.1.a. Rechtliche Aspekte aus der Sicht des Unternehmers
II.B.1.b. Rechtliche Aspekte aus der Sicht des Arbeitnehmers
II.B.1.c. Weitere rechtliche Aspekte
II.B.1.d. Handlungsempfehlungen
II.B.2. Cloud Computing
II.B.2.a. Rechtliche Aspekte aus der Sicht des Unternehmers
II.B.2.b. Rechtliche Aspekte aus der Sicht des Arbeitnehmers
II.B.2.c. Weitere rechtliche Aspekte
II.B.2.d. Handlungsempfehlungen
II.B.3. Social Media
II.B.3.a. Rechtliche Aspekte aus der Sicht des Unternehmers
II.B.3.a.1 Errichten der Social-Media-Präsenz
II.B.3.a.2 Betreiben der Social-Media-Präsenz
II.B.3.a.3 ISM Social-Media-Präsenz
II.B.3.b. Rechtliche Aspekte aus der Sicht des Arbeitnehmers
II.B.3.c. Weitere rechtliche Aspekte
II.B.3.d. Handlungsempfehlungen

III. Konsequenzen für die Wirtschaft
III.A. Öffentliche Aufgaben
III.B. Aufgaben für Unternehmer

IV. Schlussfolgerung und Kritik

Internet-Quellenverzeichnis

Literaturverzeichnis

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

I. Informationssicherheitsmanagement

I.A. Informationssicherheit

Bedingt durch ständig verbesserte Informations- und Kommunikationstechnologie (IKT) sind Unternehmen im globalisierten Umfeld einer rasch steigenden Infor­mationsdichte ausgesetzt. Unter Information wird in diesem Zusammenhang jener Anteil einer Nachricht verstanden, der für den Empfänger neu ist und daher einen Wert besitzt.^[1] Wesentlicher Teil der unternehmerischen Tätigkeit ist es, in diesem Zusammenhang werthafte Leistungen zu erbringen.^[2] Dies geschieht durch das Erkennen und Nutzen von Verwendbarkeiten im Informationsfluss. Ist dieser Schritt erbracht, so stellt sich rasch die Frage nach dem richtigen Umgang mit der Infor­mation. Ein verantwortungsbewusster Unternehmer wird die verfügbaren Informa­tionen in verschiedene Kategorien einteilen. Während ein Großteil öffentlich verfüg­bar bleibt, gilt ein erheblich geringerer Teil als schützenswert. Hier besteht vor allem im Bereich Forschung und Entwicklung ein essenzielles Interesse am Schutz der im Unternehmen generierten Information.

Während körperliche Wertgegenstände durch Verschließen in einem entsprechen­den Behältnis oder durch bauliche Maßnahmen noch relativ einfach zu schützen sind, stellt der Schutz von Informationen den Unternehmer vor völlig neue Heraus­forderungen. Diese immateriellen Werte sind physisch oft nicht fassbar,^[3] was die Bewusstseinsbildung für den Schutz dieser betrieblichen Werte erheblich erschwert. Zudem finden die Informationen vielfach Verwendung im Betrieb des Unternehmens. Die Informationswirtschaft als Koordinatorin der Bereiche Erfassung, Speicherung, Auswahl und Bereitstellung von Informationen hat sich dadurch zur Aufgabe der Unternehmensführung entwickelt.^[4] Informationssicherheit ist Teil des Managements geworden.

Der Schutz von Informationen im Unternehmen bedarf klarer Richtlinien für die Informationssicherheit, welche sich an gesetzlichen Bestimmungen, Standards und Normen, Geschäftszielen sowie an Managemententscheidungen orientieren.^[5] Wäh­rend die gesetzlichen Bestimmungen punktuelle Regelungen für bestimmte Themen­bereiche, wie Datenschutz^[6] oder Urheberrecht^[7], vorgeben, bieten Standards bereits überprüfbare Handlungsanweisungen durch zielgerichtetes und koordiniertes Vor­gehen nach einheitlichen Mustern.^[8] Die Übereinstimmung dieser Vorgaben mit den Geschäftszielen und Managemententscheidungen ergibt die sogenannte Regel­konformität oder compliance. Hier wird deutlich, dass Juristen im Unternehmen neben der Erledigung traditioneller Aufgaben durch zunehmende wirtschaftliche Be­deutung der IKT immer häufiger mit neuen rechtlichen Themen konfrontiert werden.^[9]

I.B. Bedrohungen und Risiken

Eine Bedrohung im Informationssicherheitsmanagement zielt darauf ab, eine oder mehrere Schwachstellen auszunutzen, um den Verlust einer Information herbei­zuführen.^[10] Unter dem Risiko einer Bedrohung versteht man dagegen die Wahr­scheinlichkeit des Eintritts eines Schadensereignisses in Verbindung mit der erwartbaren Schadenshöhe.^[11]

Während Bedrohungen wie der Zerstörung durch höhere Gewalt oft schwer zu begegnen ist, wird das konkrete Risiko sehr stark durch das eigene Handeln be­einflusst. So kann beispielsweise die Bedrohung eines Feuers nicht zur Gänze aus­geschlossen werden. Das sich daraus ergebende Risiko kann jedoch durch bauliche Maßnahmen erheblich minimiert werden. Basis des unternehmerischen Risiko­managements ist daher detaillierte Kenntnis möglicher Bedrohungen.

I.C. Rechtliches Umfeld der Informationssicherheit

I.C.1. Bilaterale und multilaterale Verpflichtungen

Eine rechtliche Beurteilung der Informationssicherheit ist aus rein nationaler Sicht in Hinblick auf unionsrechtliche Vorgaben sowie bi- und multilaterale Sicherheits­abkommen nicht möglich. Während als bilateral^[12] jene Rechtsverhältnisse bezeichnet werden, an denen nur zwei Parteien beteiligt sind, zeichnen sich multilaterale^[13] Abkommen gerade durch die Beteiligung von mehr als nur zwei Parteien aus.

Prägender Faktor ist dabei eine mögliche Klassifizierung der Information, also das Ver­sehen einer Information mit einem Klassifizierungsvermerk iSd §2Abs.1InfoSiV^[14]. Damit wird der besondere Schutz der Information zur staatlichen Aufgabe. Organisatorisch verantwortlich ist hier die Informationssicherheitskommission (ISK), die sich gem. § 8 Abs. 1 InfoSiG^[15] aus den Informationssicherheitsbeauftragten aller Bundesministerien zusammensetzt und unter dem Vorsitz des Bundeskanzleramts^[16] steht. Sie bedient sich des Abwehramts (AbwA) im Bundesministerium für Landesverteidigung und Sport (BMLVS) für den Bereich der militärisch klassifizierten Informationen sowie des Bundesamts für Verfassungsschutz und Terrorismus­bekämpfung (BVT) im Bundesministerium für Inneres (BMI) für den Bereich der zivil klassifizierten Informationen.

Der Austausch multilateral klassifizierter Informationen wird in diesem Zusammen­hang praktisch auf Basis der EU-Sicherheitsvorschrift^[17] bzw. derNATO-Sicherheits­vorschrift^[18] aufgrund des Ab­kommens zwischen der Österreichischen Bundes­regierung und der NATO über den Schutz von Informationen^[19] vollzogen. Im rein zwischenstaatlichen Verkehr finden entsprechende bilaterale Sicherheits­abkommen bei der Definition gemeinsamer Mindeststandards für die Sicherheit auch innerhalb der Europäischen Union Anwendung. So unterhält Österreich Abkommen über den Austausch und gegenseitigen Schutz klassifizierter Informationen mit EU-Mitglied­staaten wie der Republik Bulgarien^[20] ebenso wie mit den Vereinten Nationen^[21].

Im Bereich der nichtklassifizierten schützenswerten Informationen sind die unions­rechtlichen Vorgaben weniger zentral geregelt. Während der Schutz natürlicher Per­sonen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr schwergewichtsmäßig in der europäischen Datenschutzrichtlinie^[22] geregelt wird, fehlen konkrete Vorgaben über die Umsetzung gemeinsamer Mindeststandards für den Informationsschutz gänzlich.

Unter Berücksichtigung des Art. 288 Abs. 3 AEUV ist die Datenschutzrichtlinie für jeden Mitgliedstaat, an den sie gerichtet ist, hinsichtlich des zu erreichenden Ziels verbindlich, überlässt jedoch den innerstaatlichen Stellen die Wahl der Form und Mittel.

I.C.2. Nationale Bestimmungen

Österreich hat die Europäische Datenschutzrichtlinie durch das Datenschutzgesetz (DSG 2000) umgesetzt. Besonders ist dabei zu berücksichtigen, dass sich §4Z4DSG 2000 „auf natürliche oder juristische Personen, Personen­gemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten zu verwenden“ ^[23] bezieht, während die Richtlinie lediglich auf natürliche Personen abstellt. Damit wurde der Daten­schutzrichtlinie jedenfalls effektive Wirkung^[24] verschafft, und die Voraussetzungen der Rechtsverbindlichkeit, Justiziabilität und Publizität^[25] wurden ausreichend erfüllt.

Hier stellt sich bereits die Frage nach der Definition personenbezogener Daten. Einen ersten Ansatzpunkt dafür liefert § 4 DSG 2000 in Z 2, der die rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder das Sexualleben von natürlichen Personen taxativ aufzählt.

Private Bankverbindungen des Arbeitnehmers zum Zwecke der Entgeltverrechnung, Informationen über Lohnpfändungen oder Betriebsdarlehen fallen unter den Bereich der privaten Geschäftsdaten und damit auch unter den Begriff personenbezogener Daten.

Mitarbeiterbezogene Daten zur geschäftlichen Kommunikation, wie die Kombination aus Name, Arbeitsraum und Telefonnummer, können als Einzeldatensatz frei über­mittelt werden. Die Übermittlung mehrerer Datensätze bedingt hier schon eine innerbetriebliche Koordination.

Persönliche Geschäftsdaten, wie Urlaubsansprüche oder Qualifikationen, werden zur Erfüllung gesetzlicher und vertraglicher Verpflichtungen benötigt. Ob und wie diese personenbezogenen Daten kommuniziert werden dürfen, ist detailliert inner­betrieblich festzulegen.

Berücksichtigt man hier, dass auch eine Vielzahl von Daten der Kunden und Lieferanten, wie beispielsweise Bonitätsdaten oder Insolvenzen, personenbezogen sind, so zeigt sich rasch die Vielfalt, in der diese Daten im Unternehmen auftreten.

Das InfoSiG regelt in Verbindung mit der zugehörigen InfoSiV den Schutz klassifi­zierter Informationen im Rahmen völkerrechtlicher Verpflichtungen für den nationalen Bereich, nimmt jedoch dabei auch keine Rücksicht auf nichtklassifizierte schutz­würdige Informationen im Unternehmen. Die Möglichkeit, sensible Daten selbst zu klassifizieren, haben österreichische Unternehmen derzeit noch nicht.

Problematisch wird hier der Empfang ausländisch klassifizierter Informationen, deren Schutzstandards sich weder in nationalen Gesetzen noch in völkerrechtlichen Ver­pflichtungen finden. Exemplarisch kann hier der Bereich der Controlled Unclassified Information (CUI) angeführt werden, welcher beispielsweise in den Vereinigten Staaten von Amerika Anwendung findet.^[26] Hier bleibt den österreichischen Unternehmen nur der Weg über die Informationssicherheitskommission (ISK), der als obersten nationaler Sicherheitsbehörde die innerstaatliche Umsetzung völkerrecht­licher Verpflichtungen obliegt bzw. die Möglichkeit, sich vertraglich den ent­sprechenden Bestimmungen zu unterwerfen.

Dem Bedürfnis der Forschung und Industrie, im Rahmen ihrer internationalen Tätigkeiten auf klassifizierte Informationen zuzugreifen, hat der österreichische Gesetzgeber durch Einfügen eines Abschnitts über Sicherheitsunbedenklichkeits­bescheinigungen (SUB) für Unternehmen und Anlagen bei der InfoSiG-Novelle 2006 Rechnung getragen.^[27] Diese Form der Einzelfallbezogenheit zeigt den derzeit noch vorhandenen Regelungsbedarf.

Wesentlich konkreter werden hier für den nationalen Bereich der § 22 (1) GmbHG^[28], der § 82 AktG^[29] sowie der § 22 (1) GenG^[30], die bereits ein internes Kontrollsystem (IKS) als Teil der unternehmerischen Sorgfaltspflichten verlangen und zum Ziel haben, Risiken zu vermeiden oder zumindest zu verringern. In diesem Zusammen­hang definiert sich ein IKS als Gesamtheit aller Maßnahmen zum Schutz vorhan­dener Informationen vor Verlusten aller Art und schließt damit ein vollständiges Inforamtionssicherheitsmanagentsystem (ISMS) ein.^[31]

Die allgemeine unternehmerische Sorgfalt iSd § 347 UGB^[32] ist auf jenen Ver­tragspartner beschränkt, für den das Geschäft unternehmensbezogen ist.^[33] Sie ist im Falle eingetretener Schäden iSd § 349 UGB^[34] von erheblicher Bedeutung, zumal sie schon bei leichter Fahrlässigkeit auch den entgangenen Gewinn umfasst.^[35] Mangels vertraglicher Regelungen resultiert der objektive Sorgfaltsmaßstab aus der ge­botenen Sorgfalt im Normalfall, wodurch sich sorgfaltswidriges Verhalten von jenem maßstabsgerechter rechtstreuer Menschen unterscheidet.^[36] Hier wird letztlich überprüft, ob der Stand der Technik und die größtmögliche Sorgfalt Anwendung gefunden haben. Die Einhaltung von Standards wirkt also in all jenen Bereichen haftungsmindernd oder gar haftungsbefreiend, in denen die Erbringung vertraglich geschuldeter Leistung vom Informationsschutz abhängt.

Maßgebliches Regelwerk im Bereich des Informationssicherheitsmanagements (ISM) ist die durch die Internationale Organisation für Normung (ISO) veröffentlichte ISO27001/2005. Ziel der Implementierung im Unternehmen ist die Erreichung von Integrität, Vertraulichkeit und Verfügbarkeit von Informationen durch einen kontinuier­lichen Verbesserungsprozess^[37] nach dem Plan-Do-Check-Act-Modell (PDCA-Modell)^[38]. Unter Integrität versteht man in diesem Zusammenhang das Verhindern unerkannter Manipulation, während Vertraulichkeit den ungerechtfertigten Zugriff auf die Informationen verhindert.^[39] Die Verfügbarkeit stellt keine Maßnahme zum Informationsschutz dar, sondern garantiert die Möglichkeit des Zugriffs für Berechtigte.

Die Implementierung des PDCA-Modells gewährleistet ständige Verbesserung durch die Phasen Planung, Durchführung, Kontrolle und Agieren. Im Wesentlichen werden im Informationssicherheitsmanagementsystem (ISMS) nach ISO27001/2005 Be­drohungen definiert und die Managementprozesse derart adaptiert, dass die daraus resultierenden Risiken minimiert werden. Durch die Umsetzung konkreter Handlungs­vorgaben wird die Information durch ihren gesamten Lebenszyklus hinweg, also von der Erstellung bis zur Vernichtung oder Entklassifizierung, geschützt.

I.C.3. Regelungsbedarf

Aus dem beschriebenen Stufenbau wird ersichtlich, dass die rechtliche Beurteilung neuer IKT-Bedrohungen nicht aus einem geschlossenen Regelwerk abgeleitet werden kann, sondern vielmehr jede einzelne Bedrohung einer umfassenden recht­lichen Beurteilung unterworfen werden muss. Während einerseits dem Schutz einer Information Rechnung getragen wird, müssen andererseits auch die subjektiven Rechte von Unternehmern, Mitarbeitern und Dritten entsprechende Berücksichtigung finden. Es gilt dabei, gesetzliche und vertragliche Verpflichtungen zu berücksichtigen.

Die im Folgenden einer entsprechenden Würdigung unterworfenen IKT-Bedrohungen zeigen einerseits das breite Spektrum rechtlicher Einflüsse, sollen andererseits aber auch als Beispiel für den Umgang mit kommenden Bedrohungen dienen. Es liegt in der Natur der Sache, dass die Rechtslage auf neue Bedrohungen reagiert und nicht etwa umgekehrt. Die zum Zeitpunkt der Verfassung dieser Arbeit noch recht geringe Anzahl an entsprechenden Judikaten im Vergleich mit laufend steigendem Daten­volumen ist Indiz für die kontinuierliche Entwicklung neuer juristischer Aufgaben­felder.

II. IKT-Bedrohungen

II.A. Grundlagen

Arbeitnehmer sind in Unternehmen, in die Organisation des Arbeitgebers, ein­gegliedert und nehmen dort eine bestimmte Position ein.^[40] Während der Unter­nehmer bemüht ist, die ihm bekannten IKT-Bedrohungen in sein betriebliches Risikomanagement zu integrieren, hat der laufende Fortschritt der Technik längst dazu geführt, dass nahezu alle seine Arbeitnehmer verstärkt technische Neuerungen nutzen. Telefonieren über das Internet, das Verwenden von Hotspots via WLAN, das Tätigen von Besorgungen im Internet sowie die selbstverständliche Nutzung unzähliger Datenspeicher in Mobiltelefonen, Laptops und dergleichen sind bereits Normalität geworden.

Der Arbeitnehmer bewegt sich also längst nicht mehr ausschließlich in der realen Welt, sondern nutzt auch den virtuellen Raum für seine Aktivitäten.^[41] Diese, seine virtuelle Umgebung begleitet ihn ständig, er ist quasi immer online. Aus der Be­trachtung der Informationssicherheit heraus bringt er demnach eine Vielzahl von potenziellen Bedrohungen mit in das Unternehmen.

Selbstverständlich wird dies im Informationssicherheitsmanagement berücksichtigt. Ein schlichtes Verbot jedes privaten Eigentums im Arbeitsleben wird hier wohl kaum die Lösung aller Probleme sein. Vielmehr müssen Trends in ihrer Gesamtheit erfasst und beurteilt werden. Mit jeder technischen Neuerung werden auch neue rechtliche Fragen aufgeworfen, die es zu diskutieren gilt. Von Relevanz sind dabei vor allem jene Bereiche, die sich langfristig durchsetzen und erheblichen Einfluss auf das Unternehmen bzw. die Mitarbeiter haben. Es sind dies zweifelsohne nicht die neuesten Trends: Es sind die aktuellsten Bedrohungen.

II.B. Formen der neuen IKT-Bedrohungen

II.B.1. Bring Your Own Device

Es ist heute kaum vermeidbar, das Arbeitnehmer ihre privaten IKT-Geräte mit ins Unternehmen bringen und dort auch nutzen. Sie verwenden ein Smartphone oder einen Laptop und greifen damit auf E-Mails und Kalender zu. Die persönliche Koordination von Berufs- und Privatleben erfolgt dabei längst nicht mehr durch gelegentliches Synchronisieren der Daten zu Hause. Vielmehr greift der Arbeit­nehmer in seiner Eigenschaft als Nutzer auf alle Informationen zu, die ihm auch zugänglich sind. Damit werden seine vormals privaten Gegenstände zum Teil der unternehmerischen IKT-Struktur. Der Mitarbeiter bringt sein eigenes Gerät – Bring Your Own Device (BYOD) wird zum Teil der Informationssicherheit.

Schon aus technischer Sicht ist die Verwendung von BYODs eine erhebliche Bedrohung für das betroffene Unternehmen. Neben eigenen Sicherheits­konfigura­tionen und -updates ist auch die alleinige Nutzung des Geräts durch den Arbeitnehmer nicht gesichert. Praktisch hat der Unternehmer keine Möglichkeit zu kontrollieren, wer Zugriff auf das Gerät hat. Immerhin ist davon auszugehen, dass der Mitarbeiter sein mobiles Endgerät auch mit nach Hause nimmt und dort selbst verwendet oder anderen Personen zur Verfügung stellt.

Auch wenn sich bei oberflächlicher Betrachtung etwa durch steigende Mitarbeiter­zufriedenheit durchaus Vorteile erkennen lassen, so ergeben sich aus rechtlicher Sicht erhebliche Probleme, deren Lösung eine unternehmerische BYOD-Strategie auf Basis einer umfassenden rechtlichen Beurteilung sein muss. Dabei sind die Aspekte des Unternehmens ebenso zu berücksichtigen wie jene der Arbeitnehmer und die sich aus gesetzlichen Bestimmungen oder Verträgen ergebenden Rahmen­bedingungen.

[...]

^[1] Vgl. Gabler Verlag, Gabler Wirtschaftslexikon,

http://wirtschaftslexikon.gabler.de/Archiv/7464/information-v9.html (25.06.2013)

^[2] Vgl. Schummer, Allgemeines Unternehmensrecht7 (2008) 11

^[3] Vgl. Nagy/Gvozdanovic, Der Informationssicherheitsberater und das Eisbergprinzip (2006) 7

^[4] Vgl. Schauer, Betriebswirtschaftslehre2 (2009) 21

^[5] Vgl. Nagy/Gvozdanovic, Der Informationssicherheitsberater und das Eisbergprinzip (2006) 25

^[6] DSG 2000 BGBl I 1999/165

^[7] UrhG BGBl I 1936/111

^[8] Vgl. Nagy/Gvozdanovic, Der Informationssicherheitsberater und das Eisbergprinzip (2006) 17

^[9] Vgl. Jaksch-Ratajczak, Aktuelle Rechtsfragen der Internetnutzung (2010) 16

^[10] Vgl Eckert, IT-Sicherheit7 (2012) 16

^[11] Vgl Eckert, IT-Sicherheit7 (2012) 18

^[12] Karollus/Köck/Stadlmeier/Leidenmühler, Völkerrecht Glossar2, (2009) 7

^[13] Karollus/Köck/Stadlmeier/Leidenmühler, Völkerrecht Glossar2, (2009) 36

^[14] InfoSiV BGBl I 2003/548

^[15] InfoSiG BGBl I 2002/23

^[16] Vgl. Bundeskanzleramt, Geschäftseinteilung des Bundeskanzleramts, http://www.bka.gv.at/gfe/gfe_org.aspx?org=I/12&ebene=abteilung&par=I&super=&jahr=&monat= (28.06.2013)

^[17] 2001/264/EG

^[18] C-M(2202)49

^[19] BGBl 1996/18

^[20] Abkommen zwischen der Österreichischen Bundesregierung und der Regierung der Republik Bulgarien über den Austausch und den gegenseitigen Schutz klassifizierter Informationen, BGBlI2008/159

^[21] Abkommen zwischen der Österreichischen Bundesregierung und den Vereinten Nationen über den Austausch und gegenseitigen Schutz klassifizierter Informationen mit dem gemäß Sicherheitsratsresolution 1904 (2009) errichteten Büro der Ombudsperson, BGBl III 2012/117

^[22] RL 95/46/EG

^[23] DSG 2000 BGBl I 1999/165

^[24] Vgl. Schroeder, Grundkurs Europarecht2 (2011) Rz 44

^[25] Vgl. Borchardt, Die Rechtlichen Grundlagen der Europäischen Union4 (2010) Rz 522

^[26] Vgl. President of the United States, Executive Order 13556 of November 4, 2010

^[27] Vgl. Stadlmeier, Informationssicherheit, InfoSiG und InfoSiVO, ZÖR 2007, 61

^[28] GmbHG BGBl I 1997/114

^[29] AktG BGBl I 1997/114

^[30] GenG BGBl I 2008/70

^[31] Vgl. Kersten/Reuter/Schröder, IT-Sicherheitsmanagement nach ISO 27001 und Grundschutz (2008)2

^[32] UGB BGBl I 2005/120

^[33] Vgl. Keiner t , Das neue Unternehmensrecht (2006) Rz 257

^[34] UGB BGBl I 2005/120

^[35] Vgl. Keinert, Das neue Unternehmensrecht (2006) Rz 256

^[36] Vgl. Riedler, Zivilrecht IV3 (2010) Rz 2/35

^[37] Vgl. Hanser, Der Kontinuierliche Verbesserungsprozess4 (2008) 11

^[38] Bundeskanzleramt, Österreichisches Informationssicherheitshandbuch (2013) 38

^[39] Vgl Eckert, IT-Sicherheit7 (2012) 14

^[40] Vgl. Jabornegg/Resch/Strasser, Arbeitsrecht3 (2008) Rz 47

^[41] Vgl. Theißen, Risiken informations- und kommunikationstechnischer Implantate in Hinblick auf Datenschutz und Datensicherheit in Dreier/Sester/Spieker Schriften des Zentrums für angewandte Rechtswissenschaft (2009) 60