Sehr
<< Antragsteller:in >>
mit E-Mail vom 03.01.2024 beantragten Sie Informationen zur Informationssicherheit nach dem IFG.NRW, UIG.NRW und VIG.
Gemäß § 6 S.1 Buchst. A) IFG NRW (Schutz Öffentlicher Belange in Form der Beeinträchtigung der öffentlichen Sicherheit) und des § 8 IFG NRW (Schutz von Betriebs- und Geschäftsgeheimnissen) lehne ich Ihren Antrag auf Informationszugang ab.
Soweit die Anfrage zusätzlich auf das UIG NRW und das VIG gestützt wird, ist festzustellen, dass der Anwendungsbereich nicht eröffnet ist. Es handelt sich weder um Umweltinformationen, noch um Verbraucherinformationen.
Begründung:
§ 6 IFG NRW (Schutz öffentlicher Belange)
Bei der hier gestellten Anfrage ist der Ablehnungsgrund des § 6 S. 1 Buchst. a) einschlägig (Schutz öffentlicher Belange), da durch das Bekanntwerden der Informationen die öffentliche Sicherheit beeinträchtigt würde.
Zu den Schutzgütern der öffentlichen Sicherheit gehört – wie generell bei diesem Begriff – auch im Rahmen des § 6 IFG NRW die Funktionsfähigkeit der Verwaltung, wobei unter den
- 2 - Begriff der Verwaltung generell alle Behörden fallen (OVG NRW, Urteil vom 18.08.2015, 15 A 2856/12, juris Rdnrn. 36 und 38). Geschützt wird bezüglich der „Funktionsfähigkeit der Verwaltung“ insbesondere, dass bestimmte als sensibel eingestufte interne Abläufe und Strukturen der Verwaltung nicht bekannt werden (Berger/Partsch/Roth/Scheel, Informationsfreiheitsgesetz, 2. Auflage, 2013, zu § 3 IFG des Bundes Rdnr. 91) und durch das Bekanntwerden zumindest eine Störung (VG Arnsberg, Urteil vom 04.10.2018, 7 K 6296/16, juris Rdnr. 52) der Funktionsfähigkeit eintreten kann.
Die IT-Sicherheit fällt unter das Schutzgut der öffentlichen Sicherheit im obigen Sinne, da die IT in der heutigen Zeit für den funktionsgerechten Ablauf verschiedener interner und externer Geschäftsabläufe/Prozesse der Verwaltung essentiell ist. Beispielsweise über einen Hackerangriff könnten diese Prozesse und Geschäftsabläufe zumindest gestört bzw. sogar komplett „lahm gelegt werden“. Zudem besteht die Gefahr, dass sensible bzw. vertrauliche Daten bekannt werden könnten.
Für eine „Beeinträchtigung“ des Schutzgutes im Sinne von § 6 S. 1 Buchst. a) IFG NRW ist die „ernsthafte Möglichkeit der Schutzgutverletzung im konkreten Fall aufgrund einer Prognose“ notwendig aber auch ausreichend (Schoch, Informationsfreiheitsgesetz, 2009, zu § 3 IFG des Bundes Rdnrn. 109 und 126). An eine Beeinträchtigung der öffentlichen Sicherheit stellt § 6 S. 1 Buchst.a) IFG NRW damit keine hohen Anforderungen. Im Unterschied zu § 6 S. 1 Buchst.b) IFG NRW setzt er keine erhebliche Beeinträchtigung voraus, sondern lässt eine einfache Beeinträchtigung genügen (so ausdrücklich: OVG NRW, Urteil vom 18.08.2015, 15 A 2856/12, juris Rdnr. 44). Die Prognose kann insbesondere bei Vorgängen und Abläufen, die eine typisierende Betrachtungsweise ermöglichen, auch auf allgemeine Erfahrungssätze gestützt werden (VG Arnsberg, Urteil vom 04.10.2018, 7 K 6296/16, juris Rdnr. 45).
Es ist gut begründbar, dass durch die Preisgabe der angefragten Informationen zur IT-Sicherheit eine ernsthafte Möglichkeit der Schutzgutverletzung im Sinne der Störung der Funktions-fähigkeit der Verwaltung eintreten kann. Nach den allgemeinen Grundsätzen des Gefahren-abwehrrechts sind die Anforderungen an die Prognose1 der Behörde zudem umso geringer, je größer der zu erwartende Schaden bzw. die Bedeutung des Schutzgutes sind. Im Sinne einer typisierenden Betrachtungsweise kann hier argumentiert werden, dass hoch sensible Informationen an Dritte weitergegeben werden, ohne sicherstellen zu können, dass diese Information nicht (ggf. auch nach Weitergabe an Dritte) beispielsweise für Hackerangriffe miss-braucht werden. Angesichts der zu erwartenden Schadenshöhe im Sinne einer massiven Störung der Funktionsabläufe bis hin zu einem möglichen „Lahmlegen“ der Verwaltung sind an die Anforderungen der Prognose keine zu hohen Anforderungen zu stellen.
1 Nach umstrittener, aber zutreffender Auffassung dürfte zudem die gerichtliche Kontrolldichte bei Prognoseentscheidungen im Rahmen der Informationsgewährung generell in dem Sinne eingeschränkt sein, dass die Prognose (nach einer zutreffenden Sachverhaltsermittlung der Behörde) nachvollziehbar und vertretbar ist (allgemein zu dieser Thematik: Reidt/Schiller in Landmann/Rohmer, 90. Ergänzungslieferung, Stand Juni 2019, § 3 UIG Rdnr. 78).
- 3 -
§ 8 IFG NRW (Schutz von Betriebs- und Geschäftsgeheimnissen)
Ergänzend kann die Ablehnung nach der hier vertretenen Auffassung auch auf § 8 IFG NRW gestützt werden. Unter Betriebs- und Geschäftsgeheimnissen sind Tatsachen zu verstehen, die nach dem erkennbaren Willen des Betriebsinhabers geheim gehalten werden sollen, nur einem begrenzten Personenkreis bekannt sind und bezüglich derer ein berechtigtes Geheim-haltungsinteresse besteht, weil eine Aufdeckung der Tatsache geeignet wäre, dem Geheimnisträger wirtschaftlichen Schaden zuzufügen (Schoch, Informationsfreiheitsgesetz, a. a. O., zu § 6 IFG des Bundes Rdnr. 43). Nach zutreffender Ansicht (Schoch, Informationsfreiheits-gesetz, a. a. O., zu § 6 IFG des Bundes Rdnr. 47) können sich auch juristische Personen des öffentlichen Rechts auf diesen Schutz beziehen. Dem IFG NRW lässt sich nach hiesiger Auf-fassung eine Restriktion auf private Unternehmen nicht entnehmen; und auch nach dem Sinn und Zweck des IFG NRW besteht für eine einengende Auslegung (teleologische Reduktion) kein Anlass.
Die angefragten Themen zur IT-Sicherheit sind als Betriebs- bzw. Geschäftsgeheimnisse zu qualifizieren, da sie nur einem begrenzten Personenkreis bekannt sind, ein berechtigtes Geheimhaltungsinteresse besteht und eine Aufdeckung der Tatsachen/Vorgänge geeignet wäre, dem Geheimnisträger wirtschaftlichen Schaden zuzufügen (beispielsweise durch Vereinfachung/Ermöglichung eines Hackerangriffs).
2. UIG NRW und VIG
Der Anwendungsbereich der Gesetze ist erkennbar nicht eröffnet. Es handelt sich insbesondere nicht um Umweltinformationen im Sinne des § 1 Abs. 1 UIG NRW bzw. nicht um Verbraucherinformationen im Sinne des § 1 VIG.
Gebührenentscheidung:
Dieser Bescheid ergeht gemäß § 11 IFG NRW gebührenfrei.
Hinweis auf Ihre Rechte:
Sie können gegen diese Verfügung innerhalb eines Monats nach Bekanntgabe (bzw. Zustellung)* Klage erheben. Die Klage ist bei dem Verwaltungsgericht Köln, Appellhofplatz, 50667 Köln, schriftlich einzulegen oder zur Niederschrift des Urkundsbeamten der Geschäftsstelle zu erklären. Die Klage kann auch in elektronischer Form nach Maßgabe der Verordnung über den elektronischen Rechtsverkehr bei den Verwaltungsgerichten und den Finanzgerichten im Lande Nordrhein-Westfalen (ERVVO VG/FG) vom 07.11.2012 (GV.NRW S. 548) in der jeweils geltenden Fassung eingereicht werden. Das elektronische Dokument muss mit einer qualifizierten elektronischen Signatur nach dem Gesetz zur Durchführung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (eIDAS-Durchführungsgesetz) vom 18.07.2017 (BGBl. I S. 2745) in der jeweils geltenden Fassung versehen sein und an die elektronische Poststelle des Gerichts übermittelt werden.
Falls die Frist zur Klageerhebung durch das Verschulden eines von Ihnen Bevollmächtigten versäumt werden sollte, würde dessen Verschulden Ihnen zugerechnet werden.
Wird die Klage schriftlich erhoben, so sollen der Klage und allen Schriftsätzen vorbehaltlich des § 55 a Abs. 2 S. 2 Verwaltungsgerichtsordnung (VwGO) Abschriften für die übrigen Beteiligten beigefügt werden (§ 81 VwGO).
Bei der Verwendung der elektronischen Form sind besondere technische Rahmenbedingungen zu beachten. Die besonderen technischen Voraussetzungen sind unter
www.egvp.de aufgeführt.
Gemäß § 13 IFG NRW haben Sie darüber hinaus das Recht, den Landesbeauftragten für den Datenschutz und Informationsfreiheit, Kavalleriestraße 2 - 4, 40213 Düsseldorf, Telefon 0211-38424-0 als Beauftragten für das Recht auf Information anzurufen.
Mit freundlichem Gruß