Sehr geehrteAntragsteller/in
Sie haben mit E-Mail vom 10. Dezember 2019 (unser Az.: A-IR/11100100-IF30315) eine Anfrage nach § 1 Informationsfreiheitsgesetz (IFG) an das Statistische Bundesamt gerichtet.
In dieser bitten Sie um die Zusendung von datenschutzrechtlichen Unterlagen, die die Verarbeitungsschritte des Zensus beschreiben, insbesondere
1. Die Schwellenwertanalyse
2. Die Datenschutzfolgenabschätzung
3. Das Verzeichnis aller relevanten Verarbeitungstätigkeiten 4. Die technische Verfahrungsbeschreibung, aus der hervorgeht, welche IT-Systeme in welchem Verarbeitungsschritt zur Anwendung kommen.
Nach Rücksprache mit den zuständigen Fachabteilungen teilen wir Ihnen mit, dass wir Ihnen die gewünschten Informationen leider nicht übermitteln können.
Die von Ihnen genannten Rechtsgrundlagen UIG und VIG sind nicht einschlägig. Zur Anwendung kommen allein die Regelungen des Informationsfreiheitsgesetzes (IFG).
Die aus dem IFG resultierenden Begründungen für die Ablehnung Ihres Informationsersuchens stellen wir Ihnen nachfolgend mit jeweiliger Bezugnahme dar:
Zu 1 und 2.:
Ob eine Datenschutzfolgenabschätzung durchzuführen ist, ergibt sich aus einer Abschätzung der Risiken der Verarbeitungsvorgänge; diese ist die sogenannte "Schwellenwertanalyse". Ergibt diese ein voraussichtlich hohes Risiko, dann ist eine Datenschutzfolgenabschätzung durchzuführen. Die Datenschutzfolgenabschätzung ist Teil der generellen und umfassenden Rechenschaftspflicht des Verantwortlichen, Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO (Datenschutz-Grundverordnung). Sie ist ein spezielles Instrument, mit dessen Hilfe die Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten beschrieben, bewertet und eingedämmt werden sollen. Der Inhalt der Datenschutzfolgenabschätzung bestimmt sich nach Art. 35 Abs. 7 DSGVO und enthält insbesondere zur Bewältigung der identifizierten Risiken geplante Abhilfemaßnahmen. Dabei handelt es sich um technische und organisatorische Maßnahmen der Informationssicherheit.
Schon allein aus der Beschreibung der Schwellenwertanalyse wie auch der Datenschutzfolgenabschätzung ergibt sich, dass die Weitergabe von Informationen zu diesen beiden Maßnahmen sensible Bereiche der Datenverarbeitung im Rahmen des Zensus offenlegen würde und daher unterbleiben muss.
Ihr Informationsbegehren richtet sich nach § 1 Abs. 1 S. 1 IFG. Nach Maßgabe dieses Gesetzes hat jeder gegenüber Behörden Anspruch auf Informationszugang, soweit dem nicht Versagensgründe entgegenstehen. Gemäß § 3 Nr. 2 IFG ist der Zugriff auf die Datenschutzfolgenabschätzung und die damit in Verbindung stehenden Dokumente zu beschränken, wenn das Bekanntwerden der Dokumente nachteilige Auswirkungen auf Belange der öffentlichen Sicherheit haben kann. Der Begriff der öffentlichen Sicherheit ist wie im allgemeinen Gefahrenabwehrrecht zu bestimmen. Schutzgut der öffentlichen Sicherheit sind neben den Rechtsgütern des Einzelnen und der Unversehrtheit der Rechtsordnung auch die grundlegenden Einrichtungen und Veranstaltungen des Staates, mithin die Funktionsfähigkeit der staatlichen Einrichtungen (BT-Drucks. 15/4493, S. 20). Insbesondere sind auch sensible verwaltungsinterne Abläufe und Strukturen vor einem Bekanntwerden zu schützen (BT-Drucks. 15/4493, S. 10).
Entscheidend ist, ob die Funktionsfähigkeit der amtlichen Statistik durch die Herausgabe der Datenschutzfolgenabschätzung und der damit in Verbindung stehenden Dokumente berührt sein könnte.
Der Inhalt der Datenschutzfolgenabschätzung vermittelt, wo die Risiken bei der Verarbeitung personenbezogener Daten im Rahmen des Zensus 2021 liegen, und welche technischen und organisatorischen Maßnahmen ergriffen werden, um diese Risiken einzudämmen. Ein Offenlegen der Risiken wie auch der technischen und organisatorischen Abhilfemaßnahmen würde bedeuten, möglichen Missbrauchsszenarien einen Weg zu zeigen. Verlassen personenbezogene Daten im Missbrauchsfall die zentrale Datenhaltung oder werden sie durch unbefugte Personen unzulässig verarbeitet, ergeben sich mögliche Schäden. Auch die Durchführung des Zensus 2021 könnte beispielsweise durch Hackerangriffe gefährdet werden.
Eine Herausgabe der Datenschutzfolgenabschätzung und der damit in Verbindung stehenden Dokumente würde somit ein Sicherheitsrisiko für die Durchführung des Zensus 2021 und folglich eine konkrete Gefahr für die Funktionsfähigkeit des Statistischen Bundesamtes hinsichtlich einer der Hauptaufgaben des Amtes bedeuten.
Somit besteht nach § 3 Nr. 2 IFG kein Anspruch auf Informationszugang hinsichtlich der Datenschutzfolgenabschätzung und aller damit zusammenhängender Dokumente. Ein Teilzugang gemäß § 7 Abs. 2 IFG durch Schwärzung kommt nicht in Betracht.
Zu 3.:
Das Verzeichnis der relevanten Verarbeitungstätigkeiten (das sogenannte Verfahrensverzeichnis) ist gemäß Art. 30 Abs. 4 DSGVO intern zu führen und auf Anforderung den Aufsichtsbehörden vorzulegen.
Im Verfahrensverzeichnis sind explizite Maßnahmen dargestellt, welche die IT-Sicherheit des Zensus gewährleisten sollen. Eine Offenlegung dieser sicherheitsrelevanten Informationen könnte die IT-Sicherheit der Durchführung des Zensus gefährden. Dies würde ebenfalls eine konkrete Gefahr für die Funktionsfähigkeit des Statistischen Bundesamtes hinsichtlich einer der Hauptaufgaben des Amtes bedeuten.
Somit besteht ebenfalls nach § 3 Nr. 2 IFG kein Anspruch auf Informationszugang hinsichtlich des Verfahrensverzeichnisses und aller damit zusammenhängender Dokumente. Ein Teilzugang gemäß § 7 Abs. 2 IFG durch Schwärzung kommt nicht in Betracht.
Zu 4.
Die von Ihnen gewünschte "technische Verfahrungsbeschreibung, aus der hervorgeht, welche IT-Systeme in welchem Verarbeitungsschritt zur Anwendung kommen", ist im Dokument "Systemarchitektur" enthalten. Dieses Dokument beschreibt die Verknüpfung zwischen den IT-Systemen und den einzelnen Hauptaktivitäten. Dieses Dokument unterliegt den Regelungen des Geheimschutzes und ist nach der sogenannten Verschlusssachenanweisung (Allgemeine Verwaltungsvorschrift zum materiellen Geheimschutz - VSA) als "VS-NUR FÜR DEN DIENSTGEBRAUCH" (VS-NfD) eingestuft. Nach Maßgabe § 3 Nr. 4 IFG besteht kein Anspruch auf Informationszugang, wenn die Information einer durch Rechtsvorschrift oder durch die Allgemeine Verwaltungsvorschrift zum materiellen und organisatorischen Schutz von Verschlusssachen geregelten Geheimhaltungs- oder Vertraulichkeitspflicht unterliegt. Wie eben dargestellt, ist dies hier der Fall.
Die Gründe für die Einstufung als VS-NfD sind auch weiterhin gerechtfertigt und bestehen fort. Ein Teilzugang gemäß § 7 Abs. 2 IFG durch Schwärzung kommt ebenfalls nicht in Betracht; die schützenswerten Informationen beziehen sich nicht auf einzelne Passagen, sondern betreffen die Dokumente als Ganzes.
Rechtsbehelfsbelehrung:
Gegen diesen Bescheid können Sie innerhalb eines Monats nach Bekanntgabe Widerspruch erheben. Der Widerspruch ist beim Statistischen Bundesamt Wiesbaden einzulegen. Dafür stehen Ihnen folgende Möglichkeiten zur Verfügung:
1. Schriftlich oder zur Niederschrift:
Der Widerspruch kann schriftlich oder zur Niederschrift eingelegt werden. Die Anschrift lautet: Gustav-Stresemann-Ring 11, 65189 Wiesbaden
2. Auf elektronischem Weg:
Der Widerspruch kann auch durch De-Mail in der Sendevariante mit bestätigter sicherer Anmeldung nach dem De-Mail-Gesetz erhoben werden. Die De-Mail-Adresse lautet: <<E-Mail-Adresse>>
Wir bedauern, Ihnen nicht alle gewünschten Informationen übermitteln zu können, hoffen aber dennoch, Ihnen mit unserer Antwort weitergeholfen zu haben. Die verspätete Beantwortung Ihres Antrags bitten wir zu entschuldigen.
Mit freundlichen Grüßen