Auf Mastodon teilen

Antrag nach dem IFG/UIG/VIG Guten Tag, bitte senden Sie mir Folgendes zu:

Guten Tag, vielen Dank für Ihre E-Mail. Wir kümmern uns persönlich um Ihr Anliegen und melden uns in Kürze bei Ihnen. E-Mail-Anfragen mit gesundheitsbezogenen Inhalten oder sensiblen Daten dürfen wir aus Datenschutzgründen nicht per E-Mail beantworten. Sie erhalten eine Antwort auf dem sicheren Postweg oder im persönlichen Gespräch. Bitte haben Sie dafür Verständnis. Weitere Informationen zum Pflegeschutzschirm finden Sie unter kkh.de/pflegeschutzschirm. Bei dieser Antwort handelt es sich um eine vom System automatisch versendete Information. Bitte antworten Sie daher nicht auf diese E-Mail. Vielen Dank. Mit herzlichen Grüßen

Sehr geehrte Frau Biselli, unten aufgeführt befindet sich unser Bescheid bezüglich Ihres Auskunftsbegehrens vom 06.04.2023. Ihr Auskunftsbegehren nach dem Informationsfreiheitsgesetz - Datenschutz-Folgeabschätzung zur elektronischen Patientenakte Sehr geehrte Frau Biselli, mit Ihrer E-Mail vom 06.04.2023 begehren Sie über das Portal für Informationsfreiheit „FragDenStaat“ auf der Grundlage des Informationsfreiheitsgesetzes (IFG), des Umweltinformationsgesetzes (UIG) und des Verbraucherinformationsgesetzes (VIG) die Übersendung der Datenschutz-Folgeabschätzung zur elektronischen Patientenakte. Wir stellen voran, dass Ihr Auskunftsbegehren sich nicht aus dem UIG und dem VIG, sondern allenfalls aus dem IFG ableiten kann. Nach der Regelung des § 1 Absatz 1 Satz 1 IFG hat jeder nach Maßgabe dieses Gesetzes gegenüber den Behörden des Bundes einen Anspruch auf Zugang zu amtlichen Informationen. Eine amtliche Information im Sinne des IFG ist dabei jede amtlichen Zwecken dienende Aufzeichnung, unabhängig von der Art ihrer Speicherung (§ 2 Nr. 2 IFG). Die KKH gehört als bundesunmittelbare Körperschaft des öffentlichen Rechts zur sogenannten mittelbaren Bundesverwaltung und ist damit grundsätzlich anspruchsverpflichtete Stelle im Sinne des § 1 Absatz 1 Satz 1 IFG. Ein Anspruch auf Informationszugang besteht nach § 3 Nr. 2 IFG jedoch nicht, wenn das Bekanntwerden der Information die öffentliche Sicherheit gefährden kann. Die öffentliche Sicherheit im Sinne dieser Regelung erfasst ausweislich der Gesetzesbegründung u. a. die Unversehrtheit der Rechtsordnung und der grundlegenden Einrichtungen und Veranstaltungen des Staates. Zu diesen Schutzgütern gehört auch die Funktionsfähigkeit der staatlichen Einrichtungen. Durch den erfassten Schutz von grundlegenden Einrichtungen des Staates werden auch verwaltungsinterne Abläufe und Strukturen geschützt. Schutzgut ist dabei nicht nur die Funktionsfähigkeit der Einrichtungen, also der Schutz davor, dass eine informationspflichtige Stelle gleichsam lahm gelegt wird. Weitergehend wird auch die Sicherstellung der organisatorischen Vorkehrungen geschützt, denn die Erfüllung der einer staatlichen Einrichtung jeweils zugewiesenen Aufgaben hängt von geordneten verwaltungsinternen Abläufen ab. Die Erhaltung der aufgabenmäßigen Funktionsfähigkeit umfasst demnach auch die Verhinderung und Abwehr äußerer Störungen des Arbeitsablaufs (Schirmer in: BeckOK, Informations- und Medienrecht, § 3 Rn. 121). Sie bitten um Übersendung der Datenschutz-Folgeabschätzung zur elektronischen Patientenakte. Ziel der Datenschutz-Folgenabschätzung ist die Bewertung des mit der Verarbeitung verbundenen Risikos für die Rechte und Freiheiten natürlicher Personen als Grundlage für eine Vereinbarkeit der Verarbeitung mit der DS-GVO und insbesondere eine Eindämmung des festgestellten Risikos mit Hilfe geeigneter Abhilfemaßnahmen. Im Rahmen der Datenschutz-Folgeabschätzung ist es also zunächst erforderlich, die Risikoquellen zu identifizieren, aus denen sich ein Schaden für die Rechte und Freiheiten natürlicher Personen ergeben könnte. Dazu gehören sowohl Quellen, die im Bereich der Verarbeitung, beispielsweise beim Verantwortlichen oder einem Auftragsverarbeiter, angesiedelt sind, als auch Drittwirkungen wie Angreifer von außen, Naturkatastrophen oder Hardwaredefekte. Sodann ist das Risiko zu bewerten. Schließlich sind geeigneten Abhilfemaßnahmen auszuwählen, mit denen das Risiko behandelt und eingedämmt werden kann (Hansen in: BeckOK, Datenschutzrecht, DS-GVO Art. 35 Rn. 46 - 48). Die Datenschutz-Folgeabschätzung enthält mithin sicherheitsrelevante Informationen, die im Falle der Herausgabe für potentielle Angreifer nutzbar wären und damit das Risiko für die Verarbeitung erhöhen würden. Es bestünde damit auch das Risiko, dass die KKH als Körperschaft des öffentlichen Rechts bei der Erfüllung der ihr zugewiesenen Aufgaben und damit in ihrer Funktionsfähigkeit beeinträchtigt würde. Insoweit ist auch nicht bloß von irgendeiner abstrakten Gefahr, sondern vielmehr von einer konkreten Gefahrenlage auszugehen. So führt auch das Bundesministerium des Inneren und für Heimat (BMI) auf seiner Homepage aus, dass seit 2005 zielgerichtete Cyberangriffe u. a. gegen Bundesbehörden festgestellt werden, die auf hohem technischem Niveau stattfinden und massiv die Informationssicherheit gefährden. Ergänzend ist zu berücksichtigen, dass bezüglich der zu treffenden Prognose die Anforderungen an die Wahrscheinlichkeit um so geringer sind, je größer der zu erwartende Schaden bzw. die Bedeutung des Schutzguts ist (Schoch in: IFG, § 3 Rn. 157). Der Ausschlusstatbestand des § 3 Nr. 2 IFG ist damit erfüllt. Darüber hinaus darf nach § 6 Satz 2 IFG Zugang zu Betriebs- oder Geschäftsgeheimnissen nur gewährt werden, soweit der Betroffene eingewilligt hat. Nach herrschender Auffassung dient § 6 Satz 2 IFG auch dem Schutz der Betriebs- und Geschäftsgeheimnisse von Behörden (Schoch, IFG, § 6 Rn. 80 m. w. N.). Betriebs- und Geschäftsgeheimnisse sind alle auf ein Unternehmen bezogene Tatsachen, Umstände und Vorgänge, "die nicht offenkundig, sondern nur einem begrenzten Personenkreis zugänglich sind und an deren Nichtverbreitung der Rechtsträger ein berechtigtes Interesse hat“ (BVerwG, Beschluss vom 25.07.2013, 7 B 45.12). Für die Einstufung einer Information als Betriebs- bzw. Geschäftsgeheimnis muss also die Information einen Unternehmensbezug aufweisen, darf nicht offenkundig, also nur einem begrenzten Personenkreis bekannt sein, muss nach dem Willen ihres Inhabers geheim bleiben und es muss ein berechtigtes Interesse an der Geheimhaltung bestehen. Diese Voraussetzungen sind in Bezug auf die Datenschutz-Folgeabschätzung erfüllt; insbesondere hat die KKH im Hinblick auf die bereits angesprochene möglich Gefahr von Cyberangriffen ein berechtigtes Interesse an der Geheimhaltung der hier begehrten Informationen. Diese sicherheitsrelevante Informationen wären im Falle der Herausgabe für potentielle Angreifer nutzbar; ein Angriff würde die Funktionsfähigkeit und damit auch die Wettbewerbsposition der KKH nachteilig beeinflussen bzw. ihr wirtschaftlichen Schaden zuzufügen. Dem von Ihnen geltend gemachten Anspruch auf Auskunft stehen mithin Ausschlusstatbestände entgegen. Folglich können wir Ihnen die Datenschutz-Folgeabschätzung zur elektronischen Patientenakte nicht übersenden. Wenn Sie mit dieser Entscheidung nicht einverstanden sind, können Sie gemäß § 9 Absatz 4 Satz 1 IFG Widerspruch einlegen und zwar • innerhalb eines Monats nach Bekanntgabe des Bescheides, • direkt bei der Hauptverwaltung der Kaufmännischen Krankenkasse – KKH (Postfach-Adresse: 30125 Hannover; Adresse: Karl-Wiechert-Allee 61, 30625 Hannover) oder bei jeder anderen Niederlassung der Kasse, • schriftlich, zur Niederschrift oder in elektronischer Form nach § 36a Absatz 2 SGB I. Wir weisen darauf hin, dass für die vollständige oder teilweise Zurückweisung eines Widerspruchs Kosten in Höhe von mindestens 30,00 Euro anfallen. Dieser Bescheid ergeht gebühren- und auslagenfrei. Mit freundlichen Grüßen