Antrag nach dem SIFG/SUIG/VIG Sehr Antragsteller/in bitte senden Sie mir Folgendes zu:

Sehr Antragsteller/in wir sind in der Entwicklung eines neuen Sicherheitskonzeptes gemäß ISIS 12. Meines Wissens ist die Stufe 8 bereits erreicht. Der Landkreis hat wegen Bedeutung und Brisanz des Themas eine eigene Stabstelle geschaffen. Mit freundlichen Grüßen

Sehr Antragsteller/in wir rechnen mit der Fertigstellung des neuen Sicherheitskonzeptes im nächsten Quartal. Die üblichen Audits nach Priorität werden folgen. Das aktuelle Sicherheitskonzept kann ich Ihnen leider nicht senden: 1. Es liegt auf der Hand, dass ein Bekanntwerden des Sicherheitskonzeptes dieses zwangsläufig entwerten würde, da womöglich Schwachstellen offenkundig würden und rechtswidrig genutzt werden könnten. In diesem Zusammenhang verweise ich auf § 1 Saarländisches IFG ("SIFG") in Verbindung mit §3 Nr. 1 Buchst. c IFG. § 1 SIFG verweist nahezu vollständig auf die Regelungen des IFG. Nach der Kommentarliteratur zu § 3 Nr. 1 Buchst. c IFG schützt die Vorschrift in Abgrenzung zu § 3 Abs. 2 IFG („Gefährdung der öffentlichen Sicherheit“) erhebliche Belange der Bundesrepublik Deutschland (Schoch, IFG, 2. Aufl. 2016, § 3 Rn. 56). Da das IFG die Informationsansprüche regelt gegenüber Behörden des Bundes ist ein Herunterbrechen des Tatbestandes auf die Ebene des Landkreises notwendig: Wir sehen uns außerstande, die begehrte Information bekanntzumachen, da wir erhebliche Belange des Landkreises gefährdet sehen. Das Konzept ist wesentlicher Bestandteil zum Schutz der immer bedeutsamer werdenden IT-Infrastruktur der Landkreisverwaltung. Durch das Bekanntwerden dieser Informationen könnten im ungünstigen Fall durch Manipulation eine erhebliche Schwächung der IT-Infrastruktur der Landkreisverwaltung verursacht werden. 2. Ich verweise außerdem auf § 15 Abs. 3 Satz 2 SDSG, wonach keine Einsichtnahme in Angaben zu technisch organisatorischen Maßnahmen nach Art. 32 Abs. 1 DS-GVO erfolgt, wenn hierdurch die Sicherheit des Verfahrens beeinträchtigt würde. Diese Vorschrift stellt sich als spezielle Ausgestaltung des Rechtes auf Zugang zu Informationen dar und geht damit als solche den Regelungen nach dem IFG gemäß § 1 Abs. 3 IFG vor. Eine solche Beeinträchtigung der Sicherheit des Verfahrens erscheint im Hinblick auf das IT Sicherheitskonzept naheliegend (siehe hierzu auch Tätigkeitsbericht der saarländischen Datenschutzbeauftragten, hier: Informationsfreiheit: https://www.datenschutz.saarland.de/ueber-uns/oeffentlichkeitsarbeit#c2070) Mit freundlichen Grüßen

Sehr Antragsteller/in § 15 Abs. 3 Satz 2 SDSG bezieht sich auf die TOM's, deren Bestandteil das Sicherheitskonzept ist. In der Anlage empfehle ich die Lektüre der S. 27-29. Mit freundlichen Grüßen

Sehr Antragsteller/in wie Sie vielleicht sehen, habe ich nicht auf § 3 Abs. 2 IFG, sondern auf § 3 Abs. 1 Buchst. c IFG abgestellt, der keine konkrete Gefährdungslage verlangt. Im Übrigen ist das Sicherheitskonzept kein Teil des Verfahrensverzeichnisses, sondern eine technisch-organisatorische Maßnahme ("TOM") iSd Art. 32 DS-GVO. Wir sollten es hierbei belassen. Wir werden an unserer Auffassung festhalten und unser altes, aber noch aktives Sicherheitskonzept nicht übersenden. Es ist Ihnen natürlich unbenommen, sich an unsere Aufsichtsbehörde zu wenden. Mit freundlichen Grüßen

Sehr Antragsteller/in vielen Dank für Ihre Nachricht vom 19. Mai 2021, mit der Sie um Vermittlung im Rahmen einer von Ihnen an den Landkreis St. Wendel gerichteten Anfrage nach dem Saarländischen Informationsfreiheitsgesetz (SIFG) bitten. Das Verfahren wird hier unter dem Aktenzeichen I 1000 / 440 geführt. Sie begehren Zugang zu dem IT-Sicherheitskonzept, welcher seitens des Landkreis unter Hinweis auf den Ausnahmetatbestand nach § 3 Nr. 1 Buchst. c IFG sowie die Vorschrift des § 15 Abs. 3 Satz 2 Saarländisches Datenschutzgesetz (SDSG) abgelehnt wurde. Die Versagung des Informationszugangs ist nach hiesiger Auffassung nicht zu beanstanden. Dabei kann vorliegend dahinstehen, ob der von dem Landkreis zitierte Ausnahmetatbestand nach § 3 Nr. 1 Buchst. c IFG einschlägig ist, da jedenfalls der Ausnahmetatbestand nach § 3 Nr. 2 IFG zu bejahen ist und dies auch mit Blick darauf, dass die Betroffenheit von Sicherheitsbelangen im Falle eines Zugangs zu einem IT-Sicherheitskonzepts auf der Hand liegen auch ausreichend plausibel seitens des Landkreises dargelegt ist. Mithin wird richtigerweise auf die Vorschrift des § 15 Abs. 3 Satz 2 SDSG verwiesen, wonach keine Einsichtnahme in Angaben zu technisch-organisatorischen Maßnahmen nach Art. 32 Abs. 1 Datenschutzgrundverordnung (DSGVO) erfolgt, wenn hierdurch die Sicherheit des Verfahrens beeinträchtigt würde. Eine solche Beeinträchtigung der Sicherheit des Verfahrens erscheint im Hinblick auf ein IT-Sicherheitskonzept durchaus vorzuliegen. Diese Vorschrift stellt sich als spezielle Ausgestaltung des Rechts auf Zugang zu Informationen dar und geht damit als solche den Regelungen nach dem Informationsfreiheitsgesetz gemäß § 1 Abs. 3 IFG vor. Zusammenfassend bestehen daher nach hiesiger Einschätzung gegen die ablehnende Entscheidung des Landkreises St. Wendel keine informationsfreiheitsrechtlichen Bedenken, so dass eine weitere Vermittlung in der Sache nicht angezeigt ist. Mit freundlichen Grüßen

Sehr Antragsteller/in die Stabsstelle "Controlling und Informationssicherheit" besteht aus dem Kollegen André Hoen, der das neue Informationssicherheitskonzept ISIS 12 mit Unterstützung eines Spezialisten der Roedl & Partner GmbH, Köln, entwickelt. https://www.landkreis-st-wendel.de/der-landkreis/landratsamt/verwaltungsaufbau Nach Entwicklung des Konzeptes erfolgen Audits und Zertifizierung. Ein vergleichbares altes Konzept existiert nicht. Maßgeblich für die IT-Sicherheit war der BSI-Richtlinienkatalog, der verbindliche Vorgaben nicht enthielt, aber zur Entwicklung von It-Sicherheitsleitlinien führte: Sicherheitsmaßnahmen: - Benennung von verantwortlichen Personen für Fachverfahren und IT-Systemen einschließlich Vertretungen - Dokumentation der Fachverfahren und IT-Systeme - Zugangs- und Zutrittkontrollen - Virenschutzprogramme und Firewall - Datensicherung - Notfallvorsorgekonzept - Formulierung von Sicherheitsanforderungen in Verträgen - Verantwortlichkeit der Führungskräfte in ihrer Zuständigkeit - Regelmäßige Schulung der IT-Nutzer Vor DSGVO-Zeiten lagen diese Leitlinien dem UDZ im Rahmen der "Vorabkontrollen" vor und wurden nicht beanstandet. Mit freundlichen Grüßen