Auf Mastodon teilen

Antrag nach dem Informationsfreiheitsgesetz NRW, UIG NRW, VIG Guten Tag, bitte senden Sie mir Folgendes zu:

Stadt Dortmund Der Oberbürgermeister Guten Tag << Antragsteller:in >> hiermit bestätige ich den Eingang Ihrer Mail vom 15.01.2024. Diese habe ich an den zuständigen Fachbereich weitergeleitet. Eine Antwort werden Sie von dort erhalten. Mit freundlichen Grüßen

Stadt Dortmund Der Oberbürgermeister Dortmunder Systemhaus Guten Tag << Antragsteller:in >> Ihren Antrag auf Informationszugang lehne ich teilweise ab. Die Entscheidung ergeht verwaltungsgebührenfrei. Begründung: I. Sie beantragten unter dem Datum vom 16.01.2024 nach Maßgabe des Informationsfreiheitsgesetzes Nordrhein-Westfalen (IFG NRW) Auskunft zu Fragen bezüglich der IT-Sicherheit der Stadtverwaltung Dortmund. Im Einzelnen begehrten Sie Auskunft und Übermittlung von Unterlagen zu den folgenden Fragen: 1.a.) Unterlagen, aus welchen Angaben zu den getroffenen Maßnahmen zum Schutz der in Ihrer Zuständigkeit verarbeiteten Informationen hervorgehen. Dies kann insbesondere die Informationssicherheitsrichtlinie, das IT-Sicherheitskonzept oder die IT-Sicherheitsrichtlinie sein. 1.b.) Sollte ein solches oder vergleichbares Dokument nicht vorliegen, bitte ich um Übersendung einer kurzen Übersicht über die Maßnahmen, die getroffen werden, um die Ihnen anvertrauten Informationen zu schützen. Ferner bitte ich um die Beantwortung folgender Fragen bzw. Bereitstellung ergänzender Unterlagen: 2.a.) Wird die IT-Umgebung komplett eigenständig betrieben? b.) Falls nein: Welche Teile werden durch einen Dienstleister betreut und welche werden selbst betreut? c.) Bei der Beauftragung von Dienstleistern: Welche Dienstleister werden eingesetzt und über welche Zertifizierung hinsichtlich der Informationssicherheit verfügen diese? 3.a.) Wie viele Mitarbeitenden werden in der IT eingesetzt? b.) Gibt es einen oder mehrere Beauftragte(n) für Informationssicherheit oder Chief Information Security Officer (CISO)? c.) Falls ja, wird diese Funktion in eigener Zuständigkeit wahrgenommen oder ist sie an externe Dienstleister ausgelagert? d.) Sollte diese Funktion ausgelagert sein, bitte ich um Angabe des Dienstleisters und Übersendung der vertraglichen Vereinbarung zum Umfang der übertragenen Aufgaben. 4.a.) Wird ein Informationsmanagement-System (ISMS) eingesetzt? b.) Falls ja, nach welchem Standard? (IT-Grundschutzprofil Basisabsicherung Kommunen, BSI IT-Grundschutz, ISO 27001, ISIS12/CISI12, oder andere?) c.) Unterliegt dieses ISMS einer Zertifizierung und durch welche Stelle wird diese vorgenommen? d.) In welchem Abstand werden Audits durchgeführt und wann fand das letzte Audit statt? Ich bitte um Übersendung des letzten Auditberichts. 5.) Gibt es Unterlagen oder eine Auswertung über IT-Sicherheitsvorfälle und erfolgreich abgewehrte Angriffe auf Ihre IT-Infrastruktur in den letzten 36 Monaten? 6.) Halten Sie ein eigenes Computer Emergency Response Team (CERT) vor, oder gibt es Beteiligungen an einem solchen? 7.) Welche Kosten sind in den Jahren 2021 und 2022 jeweils für die IT -Sicherheit aufgewendet worden? Sofern kein zentrales, einheitliches IT-System eingesetzt wird und die nachfolgend aufgeführten Aufgaben in Ihrem Zuständigkeitsgebiet bearbeitet werden, bitte ich um differenzierte Angaben nach den Bereichen: - I. Verwaltung - II. Gefahrenabwehr - III. Energie- und Wasserversorgung, sowie Abwasserentsorgung - IV. Schule - V. Gesundheitssystem II. Ihrem Antrag wird teilweise stattgegeben. Hinsichtlich der Frage 1a und der Frage 4 übersende ich Ihnen in der Anlage die Informationssicherheitsleitlinie und das Zertifikat nach ISO 27001. Die Antworten zu den Fragen 4b, 4c und 4d in Bezug auf die Durchführung eines Audits ergeben sich teilweise aus dem Zertifikat. Im Übrigen werden die begehrten Auskünfte und Übermittlung der begehrten Unterlagen abgelehnt. Gemäß § 3 Abs. 3 Datenschutzgesetz Nordrhein-Westfalen (DSG NRW) ist der Anwendungsbereich des Informationsfreiheitsgesetzes Nordrein-Westfalen (IFG NRW) nicht eröffnet, da die angefragten Informationen in ihrer Gesamtheit behördliche Unterlagen über die technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO darstellen, welche die Stadtverwaltung Dortmund zum Schutz der personenbezogenen Daten einsetzt. Derartige behördliche Unterlagen unterliegen nicht dem allgemeinen Informationszugang nach dem IFG NRW. Art. 32 DSGVO verpflichtet die für die Datenverarbeitung Verantwortlichen, die Sicherheit der Datenverarbeitung zu gewährleisten. Insbesondere ist nach Art. 32 Abs. 1 lit. b DSGVO die Vertraulichkeit der Systeme und der Datenverarbeitungen auf Dauer sicherzustellen. Die Vertraulichkeit dient dem Ziel, dass auf die Daten nicht unbefugt zugegriffen wird oder diese unbefugt offenbart werden. Sie sollen also nur denjenigen zugänglich sein, für die sie bestimmt sind. Würden nun Dritte Zugang zu Informationen über die konkret eingesetzten Schutzmechanismen der öffentlichen Stelle erhalten, wäre der Schutz der personenbezogenen Daten nicht hinreichend gewährleistet. Die Regelung des § 3 Abs. 3 DSG NRW trägt damit dem Datenschutz Rechnung und ist konsequent. (HK-LDSG NRW/Rolf Schwartmann/Maximilian Hermann/Robin L. Mühlenbeck, 1. Aufl. 2020, DSG NRW § 3 Rn. 54) Gemäß § 4 Abs. 1 IFG NRW hat jede natürliche Person Anspruch auf Zugang zu den bei der Stelle vorhandenen amtlichen Informationen. Sie sind als natürliche Person anspruchsberechtigt, die Stadt Dortmund ist als Gemeinde eine Stelle im Sinne der Vorschriften und damit zur Erfüllung von Informationsansprüchen verpflichtet. Geht man entgegen § 3 Abs. 3 DSG NRW davon aus, dass die Unterlagen nicht vom Informationszugang ausgenommen wären, greifen dennoch die Ablehnungsgründe gemäß § 6 S. 2 IFG NRW sowie § 8 IFG NRW. Gemäß § 6, S. 1 lit. a, S. 2 IFG NRW ist der Antrag auf Informationszugang abzulehnen, soweit und solange konkrete Anhaltspunkte dafür bestehen, dass die Information zu einer Beeinträchtigung der öffentlichen Sicherheit oder Ordnung führen könnten bzw. für eine Gefährdung der öffentlichen Sicherheit und Ordnung missbräuchlich verwendet werden sollen. Die Beantwortung der Fragen 1a, und b und die Übermittlung der begehrten Unterlagen betreffend eines IT-Sicherheitskonzeptes oder einer Übersicht von getroffenen Maßnahmen, um die anvertrauten Informationen zu schützen, sowie die Beantwortung der Frage 2 nach dem konkreten Betrieb der IT-Umgebung, der möglicherweise an einen Dienstleister übergebenen Daten und der Zertifizierung eines möglicherweise eingesetzten Dienstleisters, sowie die Frage 3 a, wie viele Mitarbeiter in der IT eingesetzt werden und die Frage 4 d, die sich auch auf die Übersendung des letzten Audit-Berichts bezieht, sowie die Frage 5 bzgl. Übermittlung von Unterlagen und Auswertung von IT-Sicherheitsvorfällen oder Angriffen auf die IT-Infrastruktur der letzten 36 Monate, sowie die Frage 6 nach einem Computer Emergency Response Team (CERT) und die Frage 7 bzgl. der aufgewendeten Kosten für die Jahre 2021 und 2022 lehne ich gemäß § 6 S. 2 IFG NRW ab. Die öffentliche Sicherheit umfasst nach allgemein anerkannter Definition die Unversehrtheit der objektiven Rechtsordnung. Diese umfasst auch die darin verbrieften subjektiven Rechte, die individuellen Rechtsgüter (wie Leben, Gesundheit, Freiheit oder Eigentum) und den Staat selbst in Bestand, und Funktionsfähigkeit seiner Institutionen. Öffentliche Ordnung umfasst die Gesamtheit der ungeschriebenen Normen, deren Befolgung nach den jeweils herrschenden sozialen und ethischen Anschauungen als unentbehrliche Voraussetzung eines geordneten menschlichen Zusammenlebens angesehen wird. Eine missbräuchliche Verwendungsabsicht ist anzunehmen, wenn die Fragen geeignet sind, Schäden anzurichten. Eine funktionierende Infrastruktur ist elementar für die gesetzmäßige Aufgabenerledigung der Verwaltung. Jede Störung der Funktionsfähigkeit, z.B. durch einen erfolgreichen Cyberangriff, stellt damit eine Gefährdung der öffentlichen Sicherheit und Ordnung dar und führt zwangsläufig zu einem erheblichen wirtschaftlichen Schaden für die Verwaltung und in der Folge zu einem erheblichen volkswirtschaftlichen Schaden, da Verwaltungsleistungen nicht zur Verfügung stehen. Die Kombination der gestellten Fragen der Abfrage von Schutzmaßnahmen und deren Wirkung, dem Aufwand für den Schutz der Systeme und nach vorhandenem eigenem Wissen bzw. zugekauftem Wissen und der konkreten Verteilung der Kategorien von Daten und dem Schutz bei möglicherweise eingesetzten Auftragsverarbeitern bietet konkrete Anhaltspunkte dafür, dass die erlangten Informationen zu einer Gefährdung der öffentlichen Sicherheit oder Ordnung missbräuchlich verwendet werden könnten. Durch die Mitteilung bezüglich der angefragten Informationen könnte die Wahrscheinlichkeit eines erfolgreichen Angriffs im Verhältnis zu dem hierfür einzusetzenden Aufwand und der Auswirkung eines erfolgreichen Angriffs eingeschätzt werden. Die Anzahl der Mitarbeiter und der Kosten lassen ebenfalls Rückschlüsse auf den Grad des Schutzes der IT-Infrastruktur zu. Aufgrund der diversen Hackerangriffe, die zum Teil erfolgreich durchgeführt wurden und der konkret formulierten Fragestellungen drängt sich eine missbräuchliche Verwendungsabsicht nahezu auf. Insbesondere weil das IFG NRW einen niedrigschwelligen Zugang zu amtlichen Informationen ohne Angabe einer Begründung ermöglicht und Sie keine Begründung dargelegt haben, kann die missbräuchliche Verwendungsabsicht aufgrund der jüngsten Ereignisse im Zusammenhang mit Angriffen auf die Süd-Westfalen-IT herangezogen werden und die missbräuchliche Verwendungsabsicht angenommen werden. Die Beantwortung der Fragen 2 (konkreter Betrieb der IT-Umgebung), der Frage 3 a bzgl. der Anzahl der Mitarbeiter, sowie der Fragen 3 c und 3 d in Bezug auf den Audit-Bericht, der Frage 5 bzgl. der Auswertung von Sicherheitsvorfällen, sowie der Frage 6 bzgl. CERT und der Frage 7 bzgl. der entstandenen Kosten für die IT-Sicherheit der Jahre 2021 und 2022 lehne ich gemäß § 8 IFG NRW ab. Als Betriebs- und Geschäftsgeheimnisse werden alle auf ein Unternehmen bezogenen Tatsachen, Umstände und Vorgänge verstanden, die nicht offenkundig sind und an deren Nichtverbreitung der Unternehmer ein berechtigtes Interesse hat. Ein solches Interesse besteht, wenn die Offenlegung der Information geeignet ist, exklusives technisches oder kaufmännisches Wissen den Marktkonkurrenten zugänglich zu machen und so die Wettbewerbsposition des Unternehmens nachteilig zu beeinflussen. Betriebsgeheimnisse betreffen die technische Seite eines Betriebes, so bspw. Produktionsverfahren und Fertigungsmethoden, Forschungsprojekte und eingesetzte Software. Geschäftsgeheimnisse zielen auf den Schutz kaufmännischen Wissens. Sie betreffen alle Konditionen, durch welche die wirtschaftlichen Verhältnisse eines Unternehmens maßgeblich bestimmt werden können. Dazu gehören u.a. Umsätze, Ertragslagen, Geschäftsbücher, Kundenlisten oder Bezugsquellen. Erfasst sein können auch Preiskalkulationen (VG Minden BeckRS 2018, 46345 Rn. 101). Merkmal von Betriebs- und Geschäftsgeheimnissen ist üblicher Weise, dass sie nur einem begrenzten Personenkreis bekannt sind, weshalb der Schutz bei leicht zugänglichen, offenkundigen oder allgemein bekannten Daten entfällt (BeckOK InfoMedienR/Pabst, 42. Ed. 1.5.2022, IFG NRW § 8 Rn. 4, 5) Die Offenlegung der begehrten Informationen führt zum einen zu einer Aufdeckung von eigenen Betriebs- und Geschäftsgeheimnissen und möglicherweise, bei einem unterstellten Einsatz eines Auftragsverarbeiters zu einer Offenlegung von dessen Betriebs- und Geschäftsgeheimnissen. Wenn die Informationen für einen erfolgreichen Angriff auf die IT-Infrastruktur genutzt werden würde, möglicherweise auch zu einem wirtschaftlichen Schaden, der derzeit nicht zu beziffern ist. Insoweit sind jegliche Informationen, die sich auf die Organisation, die Struktur und die Absicherung der IT-Infrastruktur beziehen, als Betriebs- und Geschäftsgeheimnisse im Sinne des § 8 IFG NRW anzusehen. Eine Ausnahme stellen lediglich Informationen dar, die ausdrücklich als öffentlich klassifiziert sind und die in der Anlage beigefügt sind. Gem. § 11 Abs. 1 IFG NRW in Verbindung mit der Verwaltungsgebührenordnung zum Informationsfreiheitsgesetz Nordrhein-Westfalen (VerwGebO IFG NRW) fallen keine Kosten an. Rechtsbehelfsbelehrung: Gegen diesen Bescheid kann innerhalb eines Monats nach Bekanntgabe Klage erhoben werden. Die Klage ist beim Verwaltungsgericht Gelsenkirchen, Bahnhofsvorplatz 3, 45879 Gelsenkirchen, schriftlich oder zur Niederschrift der Urkundsbeamtin*des Urkundsbeamten der Geschäftsstelle zu erheben. Wird die Klage schriftlich erhoben, so sollen ihr zwei Abschriften beigefügt werden. Die Klage kann auch durch Übertragung eines elektronischen Dokuments an die elektronische Poststelle des Gerichts erhoben werden. Das elektronische Dokument muss für die Bearbeitung durch das Gericht geeignet sein. Es muss mit einer qualifizierten elektronischen Signatur der verantwortenden Person versehen sein oder von der verantwortenden Person signiert und auf einem sicheren Übermittlungsweg eingereicht werden. Die für die Übermittlung und Bearbeitung geeigneten technischen Rahmenbedingungen bestimmen sich nach näherer Maßgabe der Verordnung über die technischen Rahmenbedingungen des elektronischen Rechtsverkehrs und über das besondere elektronische Behördenpostfach (Elektronischer-Rechtsverkehr-Verordnung – ERVV) vom 24. November 2017 (BGBl. I S. 3803). Falls die Frist durch das Verschulden einer*eines von Ihnen Bevollmächtigten versäumt werden sollte, so würde deren*dessen Verschulden Ihnen zugerechnet werden. Hinweis: Weitere Informationen erhalten Sie auf der Internetseite www.justiz.de. Auf Ihr Recht, die Landesbeauftragte für Datenschutz und Informationsfreiheit als Beauftragte für das Recht auf Information anzurufen (§§ 5 Abs. 2 S. 4, 13 Abs. 2 IFG NRW), weise ich hin. Der Antrag nach dem UIG NRW und dem VIG ist mangels Eröffnung des Anwendungsbereichs abgelehnt. . Einer Veröffentlichung personenbezogener Daten, hierzu gehören auch die Kontaktdaten aus dieser E-Mail, stimme ich nicht zu. Mit freundlichen Grüßen

Stadt Dortmund Der Oberbürgermeister Dortmunder Systemhaus Guten Tag << Antragsteller:in >> Ihren Antrag auf Informationszugang lehne ich teilweise ab. Die Entscheidung ergeht verwaltungsgebührenfrei. Begründung: I. Sie beantragten unter dem Datum vom 16.01.2024 nach Maßgabe des Informationsfreiheitsgesetzes Nordrhein-Westfalen (IFG NRW) Auskunft zu Fragen bezüglich der IT-Sicherheit der Stadtverwaltung Dortmund. Im Einzelnen begehrten Sie Auskunft und Übermittlung von Unterlagen zu den folgenden Fragen: 1.a.) Unterlagen, aus welchen Angaben zu den getroffenen Maßnahmen zum Schutz der in Ihrer Zuständigkeit verarbeiteten Informationen hervorgehen. Dies kann insbesondere die Informationssicherheitsrichtlinie, das IT-Sicherheitskonzept oder die IT-Sicherheitsrichtlinie sein. 1.b.) Sollte ein solches oder vergleichbares Dokument nicht vorliegen, bitte ich um Übersendung einer kurzen Übersicht über die Maßnahmen, die getroffen werden, um die Ihnen anvertrauten Informationen zu schützen. Ferner bitte ich um die Beantwortung folgender Fragen bzw. Bereitstellung ergänzender Unterlagen: 2.a.) Wird die IT-Umgebung komplett eigenständig betrieben? b.) Falls nein: Welche Teile werden durch einen Dienstleister betreut und welche werden selbst betreut? c.) Bei der Beauftragung von Dienstleistern: Welche Dienstleister werden eingesetzt und über welche Zertifizierung hinsichtlich der Informationssicherheit verfügen diese? 3.a.) Wie viele Mitarbeitenden werden in der IT eingesetzt? b.) Gibt es einen oder mehrere Beauftragte(n) für Informationssicherheit oder Chief Information Security Officer (CISO)? c.) Falls ja, wird diese Funktion in eigener Zuständigkeit wahrgenommen oder ist sie an externe Dienstleister ausgelagert? d.) Sollte diese Funktion ausgelagert sein, bitte ich um Angabe des Dienstleisters und Übersendung der vertraglichen Vereinbarung zum Umfang der übertragenen Aufgaben. 4.a.) Wird ein Informationsmanagement-System (ISMS) eingesetzt? b.) Falls ja, nach welchem Standard? (IT-Grundschutzprofil Basisabsicherung Kommunen, BSI IT-Grundschutz, ISO 27001, ISIS12/CISI12, oder andere?) c.) Unterliegt dieses ISMS einer Zertifizierung und durch welche Stelle wird diese vorgenommen? d.) In welchem Abstand werden Audits durchgeführt und wann fand das letzte Audit statt? Ich bitte um Übersendung des letzten Auditberichts. 5.) Gibt es Unterlagen oder eine Auswertung über IT-Sicherheitsvorfälle und erfolgreich abgewehrte Angriffe auf Ihre IT-Infrastruktur in den letzten 36 Monaten? 6.) Halten Sie ein eigenes Computer Emergency Response Team (CERT) vor, oder gibt es Beteiligungen an einem solchen? 7.) Welche Kosten sind in den Jahren 2021 und 2022 jeweils für die IT -Sicherheit aufgewendet worden? Sofern kein zentrales, einheitliches IT-System eingesetzt wird und die nachfolgend aufgeführten Aufgaben in Ihrem Zuständigkeitsgebiet bearbeitet werden, bitte ich um differenzierte Angaben nach den Bereichen: - I. Verwaltung - II. Gefahrenabwehr - III. Energie- und Wasserversorgung, sowie Abwasserentsorgung - IV. Schule - V. Gesundheitssystem II. Ihrem Antrag wird teilweise stattgegeben. Hinsichtlich der Frage 1a und der Frage 4 übersende ich Ihnen in der Anlage die Informationssicherheitsleitlinie und das Zertifikat nach ISO 27001. Die Antworten zu den Fragen 4b, 4c und 4d in Bezug auf die Durchführung eines Audits ergeben sich teilweise aus dem Zertifikat. Im Übrigen werden die begehrten Auskünfte und Übermittlung der begehrten Unterlagen abgelehnt. Gemäß § 3 Abs. 3 Datenschutzgesetz Nordrhein-Westfalen (DSG NRW) ist der Anwendungsbereich des Informationsfreiheitsgesetzes Nordrein-Westfalen (IFG NRW) nicht eröffnet, da die angefragten Informationen in ihrer Gesamtheit behördliche Unterlagen über die technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO darstellen, welche die Stadtverwaltung Dortmund zum Schutz der personenbezogenen Daten einsetzt. Derartige behördliche Unterlagen unterliegen nicht dem allgemeinen Informationszugang nach dem IFG NRW. Art. 32 DSGVO verpflichtet die für die Datenverarbeitung Verantwortlichen, die Sicherheit der Datenverarbeitung zu gewährleisten. Insbesondere ist nach Art. 32 Abs. 1 lit. b DSGVO die Vertraulichkeit der Systeme und der Datenverarbeitungen auf Dauer sicherzustellen. Die Vertraulichkeit dient dem Ziel, dass auf die Daten nicht unbefugt zugegriffen wird oder diese unbefugt offenbart werden. Sie sollen also nur denjenigen zugänglich sein, für die sie bestimmt sind. Würden nun Dritte Zugang zu Informationen über die konkret eingesetzten Schutzmechanismen der öffentlichen Stelle erhalten, wäre der Schutz der personenbezogenen Daten nicht hinreichend gewährleistet. Die Regelung des § 3 Abs. 3 DSG NRW trägt damit dem Datenschutz Rechnung und ist konsequent. (HK-LDSG NRW/Rolf Schwartmann/Maximilian Hermann/Robin L. Mühlenbeck, 1. Aufl. 2020, DSG NRW § 3 Rn. 54) Gemäß § 4 Abs. 1 IFG NRW hat jede natürliche Person Anspruch auf Zugang zu den bei der Stelle vorhandenen amtlichen Informationen. Sie sind als natürliche Person anspruchsberechtigt, die Stadt Dortmund ist als Gemeinde eine Stelle im Sinne der Vorschriften und damit zur Erfüllung von Informationsansprüchen verpflichtet. Geht man entgegen § 3 Abs. 3 DSG NRW davon aus, dass die Unterlagen nicht vom Informationszugang ausgenommen wären, greifen dennoch die Ablehnungsgründe gemäß § 6 S. 2 IFG NRW sowie § 8 IFG NRW. Gemäß § 6, S. 1 lit. a, S. 2 IFG NRW ist der Antrag auf Informationszugang abzulehnen, soweit und solange konkrete Anhaltspunkte dafür bestehen, dass die Information zu einer Beeinträchtigung der öffentlichen Sicherheit oder Ordnung führen könnten bzw. für eine Gefährdung der öffentlichen Sicherheit und Ordnung missbräuchlich verwendet werden sollen. Die Beantwortung der Fragen 1a, und b und die Übermittlung der begehrten Unterlagen betreffend eines IT-Sicherheitskonzeptes oder einer Übersicht von getroffenen Maßnahmen, um die anvertrauten Informationen zu schützen, sowie die Beantwortung der Frage 2 nach dem konkreten Betrieb der IT-Umgebung, der möglicherweise an einen Dienstleister übergebenen Daten und der Zertifizierung eines möglicherweise eingesetzten Dienstleisters, sowie die Frage 3 a, wie viele Mitarbeiter in der IT eingesetzt werden und die Frage 4 d, die sich auch auf die Übersendung des letzten Audit-Berichts bezieht, sowie die Frage 5 bzgl. Übermittlung von Unterlagen und Auswertung von IT-Sicherheitsvorfällen oder Angriffen auf die IT-Infrastruktur der letzten 36 Monate, sowie die Frage 6 nach einem Computer Emergency Response Team (CERT) und die Frage 7 bzgl. der aufgewendeten Kosten für die Jahre 2021 und 2022 lehne ich gemäß § 6 S. 2 IFG NRW ab. Die öffentliche Sicherheit umfasst nach allgemein anerkannter Definition die Unversehrtheit der objektiven Rechtsordnung. Diese umfasst auch die darin verbrieften subjektiven Rechte, die individuellen Rechtsgüter (wie Leben, Gesundheit, Freiheit oder Eigentum) und den Staat selbst in Bestand, und Funktionsfähigkeit seiner Institutionen. Öffentliche Ordnung umfasst die Gesamtheit der ungeschriebenen Normen, deren Befolgung nach den jeweils herrschenden sozialen und ethischen Anschauungen als unentbehrliche Voraussetzung eines geordneten menschlichen Zusammenlebens angesehen wird. Eine missbräuchliche Verwendungsabsicht ist anzunehmen, wenn die Fragen geeignet sind, Schäden anzurichten. Eine funktionierende Infrastruktur ist elementar für die gesetzmäßige Aufgabenerledigung der Verwaltung. Jede Störung der Funktionsfähigkeit, z.B. durch einen erfolgreichen Cyberangriff, stellt damit eine Gefährdung der öffentlichen Sicherheit und Ordnung dar und führt zwangsläufig zu einem erheblichen wirtschaftlichen Schaden für die Verwaltung und in der Folge zu einem erheblichen volkswirtschaftlichen Schaden, da Verwaltungsleistungen nicht zur Verfügung stehen. Die Kombination der gestellten Fragen der Abfrage von Schutzmaßnahmen und deren Wirkung, dem Aufwand für den Schutz der Systeme und nach vorhandenem eigenem Wissen bzw. zugekauftem Wissen und der konkreten Verteilung der Kategorien von Daten und dem Schutz bei möglicherweise eingesetzten Auftragsverarbeitern bietet konkrete Anhaltspunkte dafür, dass die erlangten Informationen zu einer Gefährdung der öffentlichen Sicherheit oder Ordnung missbräuchlich verwendet werden könnten. Durch die Mitteilung bezüglich der angefragten Informationen könnte die Wahrscheinlichkeit eines erfolgreichen Angriffs im Verhältnis zu dem hierfür einzusetzenden Aufwand und der Auswirkung eines erfolgreichen Angriffs eingeschätzt werden. Die Anzahl der Mitarbeiter und der Kosten lassen ebenfalls Rückschlüsse auf den Grad des Schutzes der IT-Infrastruktur zu. Aufgrund der diversen Hackerangriffe, die zum Teil erfolgreich durchgeführt wurden und der konkret formulierten Fragestellungen drängt sich eine missbräuchliche Verwendungsabsicht nahezu auf. Insbesondere weil das IFG NRW einen niedrigschwelligen Zugang zu amtlichen Informationen ohne Angabe einer Begründung ermöglicht und Sie keine Begründung dargelegt haben, kann die missbräuchliche Verwendungsabsicht aufgrund der jüngsten Ereignisse im Zusammenhang mit Angriffen auf die Süd-Westfalen-IT herangezogen werden und die missbräuchliche Verwendungsabsicht angenommen werden. Die Beantwortung der Fragen 2 (konkreter Betrieb der IT-Umgebung), der Frage 3 a bzgl. der Anzahl der Mitarbeiter, sowie der Fragen 3 c und 3 d in Bezug auf den Audit-Bericht, der Frage 5 bzgl. der Auswertung von Sicherheitsvorfällen, sowie der Frage 6 bzgl. CERT und der Frage 7 bzgl. der entstandenen Kosten für die IT-Sicherheit der Jahre 2021 und 2022 lehne ich gemäß § 8 IFG NRW ab. Als Betriebs- und Geschäftsgeheimnisse werden alle auf ein Unternehmen bezogenen Tatsachen, Umstände und Vorgänge verstanden, die nicht offenkundig sind und an deren Nichtverbreitung der Unternehmer ein berechtigtes Interesse hat. Ein solches Interesse besteht, wenn die Offenlegung der Information geeignet ist, exklusives technisches oder kaufmännisches Wissen den Marktkonkurrenten zugänglich zu machen und so die Wettbewerbsposition des Unternehmens nachteilig zu beeinflussen. Betriebsgeheimnisse betreffen die technische Seite eines Betriebes, so bspw. Produktionsverfahren und Fertigungsmethoden, Forschungsprojekte und eingesetzte Software. Geschäftsgeheimnisse zielen auf den Schutz kaufmännischen Wissens. Sie betreffen alle Konditionen, durch welche die wirtschaftlichen Verhältnisse eines Unternehmens maßgeblich bestimmt werden können. Dazu gehören u.a. Umsätze, Ertragslagen, Geschäftsbücher, Kundenlisten oder Bezugsquellen. Erfasst sein können auch Preiskalkulationen (VG Minden BeckRS 2018, 46345 Rn. 101). Merkmal von Betriebs- und Geschäftsgeheimnissen ist üblicher Weise, dass sie nur einem begrenzten Personenkreis bekannt sind, weshalb der Schutz bei leicht zugänglichen, offenkundigen oder allgemein bekannten Daten entfällt (BeckOK InfoMedienR/Pabst, 42. Ed. 1.5.2022, IFG NRW § 8 Rn. 4, 5) Die Offenlegung der begehrten Informationen führt zum einen zu einer Aufdeckung von eigenen Betriebs- und Geschäftsgeheimnissen und möglicherweise, bei einem unterstellten Einsatz eines Auftragsverarbeiters zu einer Offenlegung von dessen Betriebs- und Geschäftsgeheimnissen. Wenn die Informationen für einen erfolgreichen Angriff auf die IT-Infrastruktur genutzt werden würde, möglicherweise auch zu einem wirtschaftlichen Schaden, der derzeit nicht zu beziffern ist. Insoweit sind jegliche Informationen, die sich auf die Organisation, die Struktur und die Absicherung der IT-Infrastruktur beziehen, als Betriebs- und Geschäftsgeheimnisse im Sinne des § 8 IFG NRW anzusehen. Eine Ausnahme stellen lediglich Informationen dar, die ausdrücklich als öffentlich klassifiziert sind und die in der Anlage beigefügt sind. Gem. § 11 Abs. 1 IFG NRW in Verbindung mit der Verwaltungsgebührenordnung zum Informationsfreiheitsgesetz Nordrhein-Westfalen (VerwGebO IFG NRW) fallen keine Kosten an. Rechtsbehelfsbelehrung: Gegen diesen Bescheid kann innerhalb eines Monats nach Bekanntgabe Klage erhoben werden. Die Klage ist beim Verwaltungsgericht Gelsenkirchen, Bahnhofsvorplatz 3, 45879 Gelsenkirchen, schriftlich oder zur Niederschrift der Urkundsbeamtin*des Urkundsbeamten der Geschäftsstelle zu erheben. Wird die Klage schriftlich erhoben, so sollen ihr zwei Abschriften beigefügt werden. Die Klage kann auch durch Übertragung eines elektronischen Dokuments an die elektronische Poststelle des Gerichts erhoben werden. Das elektronische Dokument muss für die Bearbeitung durch das Gericht geeignet sein. Es muss mit einer qualifizierten elektronischen Signatur der verantwortenden Person versehen sein oder von der verantwortenden Person signiert und auf einem sicheren Übermittlungsweg eingereicht werden. Die für die Übermittlung und Bearbeitung geeigneten technischen Rahmenbedingungen bestimmen sich nach näherer Maßgabe der Verordnung über die technischen Rahmenbedingungen des elektronischen Rechtsverkehrs und über das besondere elektronische Behördenpostfach (Elektronischer-Rechtsverkehr-Verordnung – ERVV) vom 24. November 2017 (BGBl. I S. 3803). Falls die Frist durch das Verschulden einer*eines von Ihnen Bevollmächtigten versäumt werden sollte, so würde deren*dessen Verschulden Ihnen zugerechnet werden. Hinweis: Weitere Informationen erhalten Sie auf der Internetseite www.justiz.de. Auf Ihr Recht, die Landesbeauftragte für Datenschutz und Informationsfreiheit als Beauftragte für das Recht auf Information anzurufen (§§ 5 Abs. 2 S. 4, 13 Abs. 2 IFG NRW), weise ich hin. Der Antrag nach dem UIG NRW und dem VIG ist mangels Eröffnung des Anwendungsbereichs abgelehnt. . Einer Veröffentlichung personenbezogener Daten, hierzu gehören auch die Kontaktdaten aus dieser E-Mail, stimme ich nicht zu. Mit freundlichen Grüßen