Stadt Dortmund
Der Oberbürgermeister
Dortmunder Systemhaus
Guten Tag
<< Antragsteller:in >>
Ihren Antrag auf Informationszugang lehne ich teilweise ab.
Die Entscheidung ergeht verwaltungsgebührenfrei.
Begründung:
I.
Sie beantragten unter dem Datum vom 16.01.2024 nach Maßgabe des
Informationsfreiheitsgesetzes Nordrhein-Westfalen (IFG NRW) Auskunft zu
Fragen bezüglich der IT-Sicherheit der Stadtverwaltung Dortmund. Im
Einzelnen begehrten Sie Auskunft und Übermittlung von Unterlagen zu den
folgenden Fragen:
1.a.) Unterlagen, aus welchen Angaben zu den getroffenen Maßnahmen zum
Schutz der in Ihrer Zuständigkeit verarbeiteten Informationen hervorgehen.
Dies kann insbesondere die Informationssicherheitsrichtlinie, das
IT-Sicherheitskonzept oder die IT-Sicherheitsrichtlinie sein.
1.b.) Sollte ein solches oder vergleichbares Dokument nicht vorliegen,
bitte ich um Übersendung einer kurzen Übersicht über die Maßnahmen, die
getroffen werden, um die Ihnen anvertrauten Informationen zu schützen.
Ferner bitte ich um die Beantwortung folgender Fragen bzw. Bereitstellung
ergänzender Unterlagen:
2.a.) Wird die IT-Umgebung komplett eigenständig betrieben?
b.) Falls nein: Welche Teile werden durch einen Dienstleister betreut und
welche werden selbst
betreut?
c.) Bei der Beauftragung von Dienstleistern: Welche Dienstleister werden
eingesetzt und über
welche Zertifizierung hinsichtlich der Informationssicherheit verfügen
diese?
3.a.) Wie viele Mitarbeitenden werden in der IT eingesetzt?
b.) Gibt es einen oder mehrere Beauftragte(n) für Informationssicherheit
oder Chief Information
Security Officer (CISO)?
c.) Falls ja, wird diese Funktion in eigener Zuständigkeit wahrgenommen
oder ist sie an externe
Dienstleister ausgelagert?
d.) Sollte diese Funktion ausgelagert sein, bitte ich um Angabe des
Dienstleisters und Übersendung
der vertraglichen Vereinbarung zum Umfang der übertragenen Aufgaben.
4.a.) Wird ein Informationsmanagement-System (ISMS) eingesetzt?
b.) Falls ja, nach welchem Standard? (IT-Grundschutzprofil
Basisabsicherung Kommunen, BSI
IT-Grundschutz, ISO 27001, ISIS12/CISI12, oder andere?)
c.) Unterliegt dieses ISMS einer Zertifizierung und durch welche Stelle
wird diese vorgenommen?
d.) In welchem Abstand werden Audits durchgeführt und wann fand das letzte
Audit statt? Ich bitte
um Übersendung des letzten Auditberichts.
5.) Gibt es Unterlagen oder eine Auswertung über IT-Sicherheitsvorfälle
und erfolgreich abgewehrte
Angriffe auf Ihre IT-Infrastruktur in den letzten 36 Monaten?
6.) Halten Sie ein eigenes Computer Emergency Response Team (CERT) vor,
oder gibt es
Beteiligungen an einem solchen?
7.) Welche Kosten sind in den Jahren 2021 und 2022 jeweils für die IT
-Sicherheit aufgewendet
worden?
Sofern kein zentrales, einheitliches IT-System eingesetzt wird und die
nachfolgend aufgeführten
Aufgaben in Ihrem Zuständigkeitsgebiet bearbeitet werden, bitte ich um
differenzierte Angaben nach
den Bereichen:
- I. Verwaltung
- II. Gefahrenabwehr
- III. Energie- und Wasserversorgung, sowie Abwasserentsorgung
- IV. Schule
- V. Gesundheitssystem
II.
Ihrem Antrag wird teilweise stattgegeben.
Hinsichtlich der Frage 1a und der Frage 4 übersende ich Ihnen in der
Anlage die Informationssicherheitsleitlinie und das Zertifikat nach ISO
27001. Die Antworten zu den Fragen 4b, 4c und 4d in Bezug auf die
Durchführung eines Audits ergeben sich teilweise aus dem Zertifikat.
Im Übrigen werden die begehrten Auskünfte und Übermittlung der begehrten
Unterlagen abgelehnt.
Gemäß § 3 Abs. 3 Datenschutzgesetz Nordrhein-Westfalen (DSG NRW) ist der
Anwendungsbereich des Informationsfreiheitsgesetzes Nordrein-Westfalen
(IFG NRW) nicht eröffnet, da die angefragten Informationen in ihrer
Gesamtheit behördliche Unterlagen über die technischen und
organisatorischen Maßnahmen gemäß Art. 32 DSGVO darstellen, welche die
Stadtverwaltung Dortmund zum Schutz der personenbezogenen Daten einsetzt.
Derartige behördliche Unterlagen unterliegen nicht dem allgemeinen
Informationszugang nach dem IFG NRW.
Art. 32 DSGVO verpflichtet die für die Datenverarbeitung
Verantwortlichen, die Sicherheit der Datenverarbeitung zu gewährleisten.
Insbesondere ist nach Art. 32 Abs. 1 lit. b DSGVO die Vertraulichkeit
der Systeme und der Datenverarbeitungen auf Dauer sicherzustellen.
Die Vertraulichkeit dient dem Ziel, dass auf die Daten nicht unbefugt
zugegriffen wird oder diese unbefugt offenbart werden. Sie sollen also nur
denjenigen zugänglich sein, für die sie bestimmt sind. Würden nun Dritte
Zugang zu Informationen über die konkret eingesetzten Schutzmechanismen
der öffentlichen Stelle erhalten, wäre der Schutz der personenbezogenen
Daten nicht hinreichend gewährleistet. Die Regelung des § 3 Abs. 3 DSG
NRW trägt damit dem Datenschutz Rechnung und ist konsequent. (HK-LDSG
NRW/Rolf Schwartmann/Maximilian Hermann/Robin L. Mühlenbeck, 1. Aufl.
2020, DSG NRW § 3 Rn. 54)
Gemäß § 4 Abs. 1 IFG NRW hat jede natürliche Person Anspruch auf Zugang zu
den bei der Stelle vorhandenen amtlichen Informationen. Sie sind als
natürliche Person anspruchsberechtigt, die Stadt Dortmund ist als Gemeinde
eine Stelle im Sinne der Vorschriften und damit zur Erfüllung von
Informationsansprüchen verpflichtet. Geht man entgegen § 3 Abs. 3 DSG NRW
davon aus, dass die Unterlagen nicht vom Informationszugang ausgenommen
wären, greifen dennoch die Ablehnungsgründe gemäß § 6 S. 2 IFG NRW sowie §
8 IFG NRW.
Gemäß § 6, S. 1 lit. a, S. 2 IFG NRW ist der Antrag auf Informationszugang
abzulehnen, soweit und solange konkrete Anhaltspunkte dafür bestehen, dass
die Information zu einer Beeinträchtigung der öffentlichen Sicherheit oder
Ordnung führen könnten bzw. für eine Gefährdung der öffentlichen
Sicherheit und Ordnung missbräuchlich verwendet werden sollen.
Die Beantwortung der Fragen 1a, und b und die Übermittlung der begehrten
Unterlagen betreffend eines IT-Sicherheitskonzeptes oder einer Übersicht
von getroffenen Maßnahmen, um die anvertrauten Informationen zu schützen,
sowie die Beantwortung der Frage 2 nach dem konkreten Betrieb der
IT-Umgebung, der möglicherweise an einen Dienstleister übergebenen Daten
und der Zertifizierung eines möglicherweise eingesetzten Dienstleisters,
sowie die Frage 3 a, wie viele Mitarbeiter in der IT eingesetzt werden
und die Frage 4 d, die sich auch auf die Übersendung des letzten
Audit-Berichts bezieht, sowie die Frage 5 bzgl. Übermittlung von
Unterlagen und Auswertung von IT-Sicherheitsvorfällen oder Angriffen auf
die IT-Infrastruktur der letzten 36 Monate, sowie die Frage 6 nach einem
Computer Emergency Response Team (CERT) und die Frage 7 bzgl. der
aufgewendeten Kosten für die Jahre 2021 und 2022 lehne ich gemäß § 6 S. 2
IFG NRW ab.
Die öffentliche Sicherheit umfasst nach allgemein anerkannter Definition
die Unversehrtheit der objektiven Rechtsordnung. Diese umfasst auch die
darin verbrieften subjektiven Rechte, die individuellen Rechtsgüter (wie
Leben, Gesundheit, Freiheit oder Eigentum) und den Staat selbst in
Bestand, und Funktionsfähigkeit seiner Institutionen. Öffentliche Ordnung
umfasst die Gesamtheit der ungeschriebenen Normen, deren Befolgung nach
den jeweils herrschenden sozialen und ethischen Anschauungen als
unentbehrliche Voraussetzung eines geordneten menschlichen Zusammenlebens
angesehen wird. Eine missbräuchliche Verwendungsabsicht ist anzunehmen,
wenn die Fragen geeignet sind, Schäden anzurichten.
Eine funktionierende Infrastruktur ist elementar für die gesetzmäßige
Aufgabenerledigung der Verwaltung. Jede Störung der Funktionsfähigkeit,
z.B. durch einen erfolgreichen Cyberangriff, stellt damit eine Gefährdung
der öffentlichen Sicherheit und Ordnung dar und führt zwangsläufig zu
einem erheblichen wirtschaftlichen Schaden für die Verwaltung und in der
Folge zu einem erheblichen volkswirtschaftlichen Schaden, da
Verwaltungsleistungen nicht zur Verfügung stehen.
Die Kombination der gestellten Fragen der Abfrage von Schutzmaßnahmen und
deren Wirkung, dem Aufwand für den Schutz der Systeme und nach vorhandenem
eigenem Wissen bzw. zugekauftem Wissen und der konkreten Verteilung der
Kategorien von Daten und dem Schutz bei möglicherweise eingesetzten
Auftragsverarbeitern bietet konkrete Anhaltspunkte dafür, dass die
erlangten Informationen zu einer Gefährdung der öffentlichen Sicherheit
oder Ordnung missbräuchlich verwendet werden könnten. Durch die Mitteilung
bezüglich der angefragten Informationen könnte die Wahrscheinlichkeit
eines erfolgreichen Angriffs im Verhältnis zu dem hierfür einzusetzenden
Aufwand und der Auswirkung eines erfolgreichen Angriffs eingeschätzt
werden. Die Anzahl der Mitarbeiter und der Kosten lassen ebenfalls
Rückschlüsse auf den Grad des Schutzes der IT-Infrastruktur zu. Aufgrund
der diversen Hackerangriffe, die zum Teil erfolgreich durchgeführt wurden
und der konkret formulierten Fragestellungen drängt sich eine
missbräuchliche Verwendungsabsicht nahezu auf. Insbesondere weil das IFG
NRW einen niedrigschwelligen Zugang zu amtlichen Informationen ohne Angabe
einer Begründung ermöglicht und Sie keine Begründung dargelegt haben, kann
die missbräuchliche Verwendungsabsicht aufgrund der jüngsten Ereignisse im
Zusammenhang mit Angriffen auf die Süd-Westfalen-IT herangezogen werden
und die missbräuchliche Verwendungsabsicht angenommen werden.
Die Beantwortung der Fragen 2 (konkreter Betrieb der IT-Umgebung), der
Frage 3 a bzgl. der Anzahl der Mitarbeiter, sowie der Fragen 3 c und 3 d
in Bezug auf den Audit-Bericht, der Frage 5 bzgl. der Auswertung von
Sicherheitsvorfällen, sowie der Frage 6 bzgl. CERT und der Frage 7 bzgl.
der entstandenen Kosten für die IT-Sicherheit der Jahre 2021 und 2022
lehne ich gemäß § 8 IFG NRW ab.
Als Betriebs- und Geschäftsgeheimnisse werden alle auf ein Unternehmen
bezogenen Tatsachen, Umstände und Vorgänge verstanden, die nicht
offenkundig sind und an deren Nichtverbreitung der Unternehmer ein
berechtigtes Interesse hat.
Ein solches Interesse besteht, wenn die Offenlegung der Information
geeignet ist, exklusives technisches oder kaufmännisches Wissen den
Marktkonkurrenten zugänglich zu machen und so die Wettbewerbsposition des
Unternehmens nachteilig zu beeinflussen. Betriebsgeheimnisse betreffen die
technische Seite eines Betriebes, so bspw. Produktionsverfahren und
Fertigungsmethoden, Forschungsprojekte und eingesetzte Software.
Geschäftsgeheimnisse zielen auf den Schutz kaufmännischen Wissens. Sie
betreffen alle Konditionen, durch welche die wirtschaftlichen Verhältnisse
eines Unternehmens maßgeblich bestimmt werden können. Dazu gehören u.a.
Umsätze, Ertragslagen, Geschäftsbücher, Kundenlisten oder Bezugsquellen.
Erfasst sein können auch Preiskalkulationen (VG Minden BeckRS 2018, 46345
Rn. 101). Merkmal von Betriebs- und Geschäftsgeheimnissen ist üblicher
Weise, dass sie nur einem begrenzten Personenkreis bekannt sind, weshalb
der Schutz bei leicht zugänglichen, offenkundigen oder allgemein bekannten
Daten entfällt
(BeckOK InfoMedienR/Pabst, 42. Ed. 1.5.2022, IFG NRW § 8 Rn. 4, 5)
Die Offenlegung der begehrten Informationen führt zum einen zu einer
Aufdeckung von eigenen Betriebs- und Geschäftsgeheimnissen und
möglicherweise, bei einem unterstellten Einsatz eines Auftragsverarbeiters
zu einer Offenlegung von dessen Betriebs- und Geschäftsgeheimnissen. Wenn
die Informationen für einen erfolgreichen Angriff auf die IT-Infrastruktur
genutzt werden würde, möglicherweise auch zu einem wirtschaftlichen
Schaden, der derzeit nicht zu beziffern ist. Insoweit sind jegliche
Informationen, die sich auf die Organisation, die Struktur und die
Absicherung der IT-Infrastruktur beziehen, als Betriebs- und
Geschäftsgeheimnisse im Sinne des § 8 IFG NRW anzusehen. Eine Ausnahme
stellen lediglich Informationen dar, die ausdrücklich als öffentlich
klassifiziert sind und die in der Anlage beigefügt sind.
Gem. § 11 Abs. 1 IFG NRW in Verbindung mit der Verwaltungsgebührenordnung
zum Informationsfreiheitsgesetz Nordrhein-Westfalen (VerwGebO IFG NRW)
fallen keine Kosten an.
Rechtsbehelfsbelehrung:
Gegen diesen Bescheid kann innerhalb eines Monats nach Bekanntgabe Klage
erhoben werden. Die Klage ist beim Verwaltungsgericht Gelsenkirchen,
Bahnhofsvorplatz 3, 45879 Gelsenkirchen, schriftlich oder zur
Niederschrift der Urkundsbeamtin*des Urkundsbeamten der Geschäftsstelle zu
erheben. Wird die Klage schriftlich erhoben, so sollen ihr zwei
Abschriften beigefügt werden.
Die Klage kann auch durch Übertragung eines elektronischen Dokuments an
die elektronische Poststelle des Gerichts erhoben werden. Das
elektronische Dokument muss für die Bearbeitung durch das Gericht geeignet
sein. Es muss mit einer qualifizierten elektronischen Signatur der
verantwortenden Person versehen sein oder von der verantwortenden Person
signiert und auf einem sicheren Übermittlungsweg eingereicht werden. Die
für die Übermittlung und Bearbeitung geeigneten technischen
Rahmenbedingungen bestimmen sich nach näherer Maßgabe der Verordnung über
die technischen Rahmenbedingungen des elektronischen Rechtsverkehrs und
über das besondere elektronische Behördenpostfach
(Elektronischer-Rechtsverkehr-Verordnung – ERVV) vom 24. November 2017
(BGBl. I S. 3803).
Falls die Frist durch das Verschulden einer*eines von Ihnen
Bevollmächtigten versäumt werden sollte, so würde deren*dessen Verschulden
Ihnen zugerechnet werden.
Hinweis: Weitere Informationen erhalten Sie auf der Internetseite
www.justiz.de.
Auf Ihr Recht, die Landesbeauftragte für Datenschutz und
Informationsfreiheit als Beauftragte für das Recht auf Information
anzurufen (§§ 5 Abs. 2 S. 4, 13 Abs. 2 IFG NRW), weise ich hin.
Der Antrag nach dem UIG NRW und dem VIG ist mangels Eröffnung des
Anwendungsbereichs abgelehnt.
.
Einer Veröffentlichung personenbezogener Daten, hierzu gehören auch die
Kontaktdaten aus dieser E-Mail, stimme ich nicht zu.
Mit freundlichen Grüßen