Klage zu Anwaltspostfach beA gewonnen: Anwaltskammer muss Dokumente herausgeben

Die Bundesrechtsanwaltskammer hat mit dem elektronischen Anwaltspostfach beA ein Sicherheitsdesaster herbeigeführt. Dazugehörige Dokumente muss sie nach unser Klage offenlegen.

Die Bundesrechtsanwaltskammer (BRAK) hat mit dem elektronischen Anwaltspostfach beA ein Sicherheitsdesaster herbeigeführt. Dazugehörige Dokumente musste sie nach unser gemeinsamen Klage mit der Gesellschaft für Freiheitsrechte jetzt offenlegen.

Damit scheitert die BRAK mit ihrer Taktik, ihre Fehlentscheidungen im Zusammenhang mit beA zu verheimlichen. Es hatte Anwält:innen verpflichtet, das Postfach auch für sensible Kommunikation zu nutzen, obwohl es zahlreiche Sicherheitsprobleme aufwies. Nach unserer Klage entschied das Verwaltungsgericht, dass die Kammer Sicherheitsgutachten und Verträge zu beA größtenteils herausgeben muss. Dagegen legte die BRAK Berufung ein, zog diese allerdings später vor dem Oberverwaltungsgericht zurück.

BRAK schiebt Betriebs- und Geschäftsgeheimnisse vor

Die BRAK berief sich in der Klage auf das angebliche Vorliegen von Betriebs- und Geschäftsgeheimnissen sowohl in den Verträgen als auch in den Sicherheitstests. In den Jahren 2014 und 2015 hatte die BRAK Gutachten zum beA in Auftrag gegeben, die der Software fälschlicherweise bescheinigten, sicher zu sein.

Wie später der CCC aufdeckte, war dies nicht der Fall. Und sofern die Gutachten Sicherheitslücken enthalten, so müssten diese längst geschlossen sein – sonst dürfte das beA überhaupt nicht wieder in Betrieb genommen werden. Nicht nur das angefragte alte, sondern auch ein neues Gutachten von Secunet steht in der Kritik, unter anderem die Verschlüsselung von beA nicht ausreichend untersucht zu haben.

Bundesgerichtshof verhandelt GFF-Klage

Am 22. März verhandelt der Bundesgerichtshof über die Klage der Gesellschaft für Freiheitsrechte e.V. für ein sicheres beA.  Sie hat das Ziel, die BRAK zur Einführung einer Ende-zu-Ende-Verschlüsselung zu verpflichten. Der Anwaltsgerichtshof Berlin wies die Klage 2019 in erster Instanz ab, da für das beA eine „relative Gefahrenfreiheit“ genüge. Die GFF brachte den Fall daraufhin vor den Bundesgerichtshof. 

→ zur Anfrage & Klage

→ zu den befreiten Dokumenten

Beglaubigte bschrift VG 2 K 117.18                                          Schriftliche Entscheidung Mitgeteilt durch Zustellung an a) Kl.-Bev. am b) Bekl.-Bev. am als Urkundsbeamtin der Geschäftsstelle VERWALTUNGSGE            CHTBERLIN URTEIL Im Namen des   olkes In der Verwaltungsstreitsache des Herrn Arne Semsrott, c/o Open Knowledge Foundation Deutsc lande.V., Singerstraße 109, 10179 Berlin, Klägers, Verfahrensbevollmächtigte: Rechtsanwälte Geulen & Klinger, Schaperstraße 15, 10719 Berlin, gegen die Bundesrechtsanwaltskammer, Littenstraße 9, 10179 Berlin, Beklagte, Verfahrensbevollmächtigte: Rechtsanwälte Dombert Rechtsanwälte artG mbB, Campus Jungfernsee, Konrad-Zuse-Ring 12 A, 14469 Potsdam hat das Verwaltungsgericht Berlin, 2. Kamme , durch den Richter am Verwaltungsgericht Dr. Rind, den Richter am Verwaltungsgericht Dr. Bews, die Richterin am Verwaltungsgericht D . Rackow, den ehrenamtlichen Richter Nick und den ehrenamtlichen Richter Orlamünd r im Wege schriftlicher Entscheidung am 14. J li 2020 für Recht erkannt: -2-
-2- Die Beklagte wird verpflichtet , dem Kläger Zugang durch Akteneinsicht ohne die Nennung von Namen, Unt rschriften und Funktionsbezeichnungen in den Testbericht des Sicherheitsau its der SEC-Consult für das besondere elektronische Anwaltspostfac aus dem Jahr 2015, in die drei Präsentationen und den Report zu den von dl r Atos IT Solutions and Services GmbH im Jahr 2016 durchgeführten Penetra~1onstests mit Ausnahme der Seiten 7, 13 und 14 sowie der Programmiercodes uf den Seiten 7 bis 12 und in den zwischen der Bundesrechtsanwaltskammer und der Atos IT Solutions and Services GmbH abgeschlossenen Vertrag übe die Entwicklung des besonderen elektronischen Anwaltspostfa hs mit Ausnahme der Seiten 1 bis 18 und der Grafik auf Seite 75 der Anlag 2 zu gewähren . Der Bescheid der Beklagten 1 vom 28. Februar 2018 in der -.estait des \/Viderspruchsbescheids vom 31 . Mai 2018 wird aufgehoben, sowei er dem entgegensteht. Im Übrigen wird die Klage abgewiesen. Die Kosten des Verfahrens tr gen die Beklagte zu 3/4 und der Kläger zu 1/4. Das Urteil ist wegen der Kost n vorläufig vollstreckbar. Der jeweilige Vollstreckungsschuldner darf ie Vollstreckung durch Sicherheitsleistung in Höhe von 110 % des aufgrun des Urteils vollstreckbaren Betrages abwenden, wenn nicht der je eilige Vollstreckungsgläubiger vor der Vollstreckung Sicherheit in H · he von 110 % des jeweils zu vollstreckenden Betrages leistet. atbestand Der Kläger begehrt Zugang zu Testb richten und Verträgen im Zusammenhang mit dem besonderen elektronischen An altspostfach (im Folgenden: beA). Die Beklagte schloss im September 014 mit der Atos IT Solutions & Services GmbH (im Folgenden : Atos) einen EVB-IT- rstellungsvertrag über die Erstellung bzw. An- passung von Software (im Folgende      I: Entwicklungsvertrag). Im Februar/April 2015 schloss die Beklagte mit Atos einen y ertrag über den Betrieb des beA (im Folgen- den: Betriebsvertrag). Atos beauftragte die Firma SEC Consult im Jahr 2015 mit der Durchführung eines Sicherheitstests Im April 2016 führte Atos einen Penetrations- test der Kanzleisoftware-Schnittstell des beA durch. Mit Schreiben vom 13. Februar 2018 stellte der Kläger bei der Beklagten folgenden Antrag : „Bitte senden Sie mir Folgen es zu: Resultate des Sicherheitsaud ts des beA-Systems, das im Jahr 2015 von der Firma SEC Consult durchgef hrt wurde, -3-
·. -3- Resultate des Penetrationstests des b A-Systems , der im Jahr 2016 von der Firma Atos durchgeführt wurde, sämtliche Verträge der BRAK mit Atos ur Entwicklung von beA." Mit Bescheid vom 28. Februar 2018 lehnte di      Beklagte den Antrag ab. Sie teilte mit, der Test von SEC Consult habe ergeben, das das beA-System ein hohes Sicher- heitsniveau aufweise. Der Bericht enthalte Be riebs- und Geschäftsgeheimnisse von Atos und von SEC Consult. Diese hätten eine Offenlegung ausdrücklich widerspro- chen. Die Resultate des Tests von April 2016 seien ebenfalls Betriebs- und Ge- schäftsgeheimnisse von Atos , die der Offenle ung nicht zugestimmt habe. Die Bun- desrechtsanwaltskammer wies den Kläger da auf hin, dass sie mit Atos neben dem Entwicklungsvertrag einen Betriebsvertrag ge chlossen habe. Gegenstand des Ent- wicklungsvertrages sei die Entwicklung der S ftware für das beA. Gegenstand des Betriebsvertrages sei der Betrieb des von de selben Unternehmen entwickelten beA-Zentralsystems. Zur Begründung der Abi hnung des Informationsbegehrens führte die Beklagte aus, es bestehe eine verg berechtliche Verschwiegenheitsver- pflichtung. Die Verträge enthielten außerdem Betriebs- und Geschäftsgeheimnisse. Gegen den Ablehnungsbescheid legte der KI · ger mit Schreiben vom 2. März 2018 Widerspruch ein. Zur Begründung führte er a s, die Beklagte habe Betriebs- und Geschäftsgeheimnisse weder in Bezug auf d s Sicherheitsaudit noch den Penetrati- onstest oder die Verträge konkret dargelegt. Mit Widerspruchsbescheid vom 31. Mai 2018        ies die Beklagte den Widerspruch zurück. Sie halte an ihrer Auffassung fest, da . s der Einsichtnahme Betriebs- und Geschäftsgeheimnisse sowie vergaberechtlicle Geheimhaltungspflichten entgegen- stünden. Eine Teilschwärzung komme weder ür die Ergebnisse des Sicherheitsau- dits bzw. des Penetrationstests noch für den     ntwicklungsvertrag in Betracht. Am 23. Juni 2018 hat der Kläger Klage erhob n. Er trägt vor: Er begehre nunmehr Einsicht in die Testberichte des Sicherheitsa dits sowie des Penetrationstests und stelle damit den vorprozessualen Antrag klar, da ihm vor Antragstellung nicht be- kannt gewesen sei, in welcher Form die jewei igen Resultate vorlägen . Der vorpro- zessuale Antrag auf Einsicht in „sämtliche Ve räge zur Entwicklung des beA" erfas- se auch den Betriebsvertrag. Die Formulieru g „Entwicklung" beziehe sich nicht nur auf die Erstellung, sondern auch den Betrieb es beA. Die Trennung von Entwick- lung und Betrieb in zwei Verträgen sei ihm bei Antragstellung nicht bekannt gewe- sen. Er sei mit der Herausnahme personenbe ogener Daten einverstanden. Erbe- -4-
-4- gehre auch keinen Zugang zu Betrie s- und Geschäftsgeheimnissen. Solche habe die Beklagte jedoch nicht dargelegt. Der Kläger beantragt schriftsätzlich s nngemäß, die Beklagte unter Aufhebung es Bescheids vom 28. Februar 2018 in der Gestalt des Widerspruchsbes heids vom 31 . Mai 2018 zu verpflichten , ihm Einsicht zu gewähren in 1. den Testbericht des Sicher eitsaudits für das besondere elektronische An- waltspostfach-System, das im Jahr 2015 von der Firma SEC Consu lt durchge- führt wurde, 2. die drei Präsentationen und den Report zu dem Penetrationstest für das besondere elektronische Anw ltspostfach-System, der im Jahr 2016 von der Atos IT Solutions and Service GmbH durchgeführt wurde, 3. die Verträge der Beklagten it der Atos IT Solutions and Services GmbH zur Entwicklung und zum Betr eb des besonderen elektronischen Anwalts- postfach-Systems mit Ausnahme von Namen, U terschriften und Funktionsbezeichnungen. Die Beklagte beantragt schriftsätzlic , die Klage abzuweisen. Sie trägt vor: Ihr liege der Testberich der SEC Consult mit einem Umfang von 25 Seiten vor. Der Penetrationstest von     tos liege ihr nicht vor. Vorhanden seien drei Präsentationen des Ergebnisses in      orm von Folien mit insgesamt 46 Seiten sowie ein 21 Seiten umfassender Report ü er eine im Rahmen eines Penetrationstests getestete Software-Schnittstelle . Bei der Beklagten befände sich ferner der Entwick- lungsvertrag nebst Anlagen (insgesa t 618 Seiten) und Change Requests (94 Sei- ten). Außerdem sei der Betriebsvertr g nebst Anlagen (1050 Seiten) und Change Requests (38 Seiten) vorhanden . Die Beklagte ist der Auffassung, die    lage sei im Hinblick auf die Testberichte be- reits mangels eines vorprozessualen Antrags unzulässig . Der Kläger habe lediglich die Resultate der Tests beantragt. D s Ergebnis des Testberichts von SEC Consult habe sie dem Kläger mitgeteilt. Essehe ihr frei, anstelle der begehrten Einsicht eine Auskunft zu erteilen. Von dem vorpr zessualen Antrag erfasst sei im Hinblick auf den Klageantrag zu 3. lediglich der    ntwicklungsvertrag , nicht aber der Betriebsver- trag. Die Einsicht in den Testbericht von    EC Consult sei zum Schutz von Betriebs- und Geschäftsgeheimnissen der SEC C nsult ausgeschlossen. Die Darstellung von -5-
-5- Werst Case Szenarien und der Struktur des eA lasse Rücksch lüsse auf ihr Leis- tungsportfolio und ihre Marketingstrategie zu. Dies gefährqe auch die Sicherheitsin- teressen anderer Kunden . Das Dokument sei als „streng vertraulich " gekennzeichnet worden . Soweit drei Präsentationen und ein Report v n Atos zum Penetrationstest vorhanden seien, sei die Einsicht ebenfalls zum Schutz on Betriebs- und Geschäftsgeheimnis- sen ausgeschlossen. Bei dem 27-seitigen En wicklungsvertrag (ohne Anlagen) han- dele es sich um einen im Internet abrufbaren      tandardvertrag . Dort seien ebenfalls die 25 Seiten umfassenden AGB verfügbar.        ie Change Requests se ien als Muster ebenfalls al lgemein zugänglich. Die Entwickl ngsbeschreibung in Anlage 1 bestehe aus zwei Dokumenten (141 und 84 Seiten).        as in An lage 2 zum Entwicklungsver- trag niedergelegte Umsetzungskonzept umfa se 172 Seiten und se i urheberrechtlich geschützt. Der Einsicht in das Umsetzungsko zept in Anlage 2 stehe neben Be- triebs- und Geschäftsgeheimnissen der Schu z geistigen Eigentums entgegen . Die Anlagen 3a und 3b enthielten Verhandlungsp otokolle. Anlage 4 sei ein Preisblatt. Anlage 5 enthalte ein Musterformular, Anlage 6 eine Sonderregelung zum Quellcode, Anlage 8 eine Sonderregelung zu Verzug un Vertragsstrafe, Anlage 11 eine Rege- lung zu Abnahme und Teilabnahme, Anlage 12 einen Zahlungsplan, Anlage 13 die Leistungen in tabellarischer Form und Anlag      14 die im Internet abrufbare unausge- füllte Vorlage für den Leistungsnachweis zum Musterformular. Der Vertrag und alle Anlagen enthielten, soweit sie nicht allgemei    zugänglich seien, Betriebs- und Ge- schäftsgeheimnisse. Außerdem befänden siclh in den von dem Kläger begehrten In- formationen personenbezogene Daten in Ge alt von Namen, Unterschriften und Funktionsbezeichnungen, über die die Drittb roffenen ohne weiteres identifizierbar seien . Alle Informationen , die Betriebs- und  eschäftsgeheimnisse bzw. personen- bezogene Daten enthalten, zu schwärzen, be eute einen unverhältnismäßigen Ver- waltungsaufwand. Die Beklagte beschäftige         ei Rechtsanwälte , die mit der Schwärzung mehrere Wochen beschäftigt wä en. Die Kammer kann ohne mündliche Verhandlu g über die Klage entscheiden, weil sich die Beteiligten mit dieser Vorgehensweis einverstanden erklärt haben (§ 101 Abs . 2 VwGO) . -6-
-6- Vom Gegenstand des Klageantrags           rfasst sind bei Auslegung des Klagebegehrens der Testbericht des Sicherheitsau its für das besondere elektronische Anwalts- postfach-System, das im Jahr 2015 on der Firma SEC Consult durchgeführt wurde, die drei Präsentationen und der Re ort zu dem Penetrationstest für das besondere elektronische Anwaltspostfach-Syste , der im Jahr 2016 von der Atos durchgeführt wurde und die Verträge der Beklagt n mit der Atos zur Entwicklung und zum Betrieb des besonderen elektronischen An altspostfach-Systems mit Ausnahme von Na- men, Unterschriften und Funktions ezeichnungen. Soweit der Kläger ursprünglich ausdrücklich Einsicht in diese lnfor ationen „mit Ausnahme von Betriebs- und Ge- schäftsgeheimnissen" beantragt hat, ergibt sich aus seinem weiteren Vortrag im Kla- geverfahren, dass er Zugang zu all n vorgenannten Informationen begehrt. Die Be- klagte hat für alle Informationen B triebs- und Geschäftsgeheimnisse geltend ge- macht und den Informationszugang          bgelehnt. Der Kläger hat darauf erwidert, dass der Vortrag der Beklagten nicht de        Darlegungsanforderungen genüge. Im Hinblick auf personenbezogene Daten hat           ie Beklagte konkretisiert, dass Namen, Unter- schriften und Funktionsbezeichnun en die Identifizierung Drittbetroffener ermögli- che. Daraufhin hat der Kläger mitge eilt, dass er keine Einsicht in derartige Informa- 1 tionen begehre. Die Klage ist mit diesem Gegensta d teilweise unzulässig (1.). Soweit sie zulässig ist, ist sie überwiegend begründet (II ). 1. Die Verpflichtungsklage ist unzulä sig, soweit der Kläger Einsicht in die Verträge der Beklagten mit Atos zum Betrieb , es beA begehrt. Insoweit fehlt es an einem vor- prozessualen Antrag , der eine nicht achholbare Sachurteilsvoraussetzung darstellt (Urteil der Kammer vom 21 . Juni 2018 - VG 2 K 291 .16 - juris Rn. 21 m.w.N.). Der Kläger hat mit seinem Antrag vom 1 . Februar 2018 die Einsicht in „sämtliche Ver- träge der BRAK mit Atos zur Entwic lung von beA" beantragt. Sein Vortrag , die For- mulierung im Plural zeige, dass es i m um alle Verträge im Zusammenhang mit dem beA gegangen sei, zumal der Antrag teller regelmäßig nicht wisse , welche Informa- tionen der auskunftspflichtigen Stell vorliegen , führt nicht zu einer anderen Ausle- gung seines Antrags. Bei Auslegung nach §§ 133, 157 BGB analog war der vorpro- zessuale Antrag auf die Verträge zu Entwicklung des beA begrenzt. Entwicklung und Betrieb sind inhaltlich unterschi dliche Konzepte. Zudem hat die Beklagte in dem Ablehnungsbescheid darauf hin ewiesen, dass neben dem Entwicklungsvertrag ein Betriebsvertrag geschlossen wur e. Dennoch hat der Kläger in seinem Wider- spruch nicht deutlich gemacht, dass sein Antrag auch die Einsicht in den Betriebs- vertrag umfasse. Folglich hat die Be lagte diesen in den Widerspruchsbescheid nicht -7-
-7- einbezogen, so dass der Betriebsvertrag auclh nicht Gegenstand der Entscheidung über den Widerspruch war. Im Übrigen ist die Verpflichtungsklage zuläss g. Entgegen der Ansicht der Beklagten ist sie auch zulässig , soweit der Kläger Einsi ht in die Testberichte des Sicherheits- audits sowie des Penetrationstests begehrt.     achdem der Kläger in seinem vorpro- zessualen Antrag den Begriff „Resultate" ve    endet hat, kann bei Auslegung nach §§ 133, 157 BGB analog nicht angenommen          erden, dass hierm it lediglich die Mit- teilung des Ergebnisses gemeint gewesen se . Denn der Begriff „Resultate" umfasst nicht nur das Schlussergebnis, sondern auch die zugrunde liegenden Testungen und deren Einzelergebnisse. Hiervon ist offensich lieh auch die Beklagte in ihrem Ab leh- nungsbescheid und Widerspruchsbescheid a sgegangen. Denn dort beruft sie sich hinsichtlich der Testberichte auf Betriebs- und! Geschäftsgeheimnisse und te ilt mit, dass aufgrund der Vertraulichkeit der Ergebn sse Teilschwärzungen nicht in Betracht kämen. Dasselbe gilt, soweit die Testresultat der Atos in Form von drei Präsentati- onen und einem Report vorhanden sind. Die . eklagte hat auf diesen Umstand im Klageverfahren erstmals hingewiesen, so da s der Kläger diese Unterlagen bis dahin nur als „Testbericht" bezeichnen konnte . Auf ie Klageerwiderung hat er klargestellt, dass er Einsicht in alle zu dem Testbericht v rliegenden Informationen begehrt. Dem ist die Beklagte nicht entgegengetreten . II. Soweit zulässig , ist die Klage überwiegend begründet. Der Bescheid der Beklag- ten vom 28. Februar 2018 in Gestalt des Wid rspruchsbescheids vom 31 . Mai 2018 ist rechtswidrig, soweit sie den lnformationsz gang mit Ausnahme von Namen, Un- terschriften und Funktionsbezeichnungen , de Seiten 7, 13 und 14 und der Pro- grammiercodes in dem Report der Atos sowi        der Seiten 1 bis 18 und der Grafik auf Seite 75 der Anlage 2 des Vertrages über die Entwicklung des beA ablehnt, und ver- letzt den Kläger in seinen Rechten ; er hat ein n Ansp ruch auf Zugang zu den vorge- nannten Unterlagen (§ 113 Abs . 5 Satz 1 Vw 0) . Rechtsgrundlage für das Begehren des Kläg rs ist§ 1 Abs. 1 Satz 1 IFG. Danach hat jeder nach Maßgabe des Gesetzes gege über den Behörden des Bundes einen Anspruch auf Zugang zu amtlichen lnformatiT en, der nicht durch das Vergaberecht verdrängt wird (OVG Berlin-Brandenburg,     U~f il vom 12. Juli 2018 - OVG 12 B 8.17 - juris Rn . 25 f.; Urteil der Kammer vom 9. M ·rz 2017 - VG 2 K 11 1. 15 - juris Rn. 29 ff.). -8-
-8- 1. Die Voraussetzungen dieser Vorsc rift liegen vor. Der Kläger ist als natürliche Person „jeder" und damit anspruchsb rechtigt. Die Bundesrechtsanwaltskammer ist eine Behörde des Bundes i.S.d. § 1 bs. 1 Satz 1 IFG und damit auskunftspflichtig (OVG Berlin-Brandenburg, Beschlus vom 24. Mai 2017 - OVG 12 N 72.16 - juris Rn. 3). Bei den streitbefangenen Unterlagen handelt es sich um amtliche Informationen. Der Begriff „amtliche Information" ist in §     Nr. 1 Satz 1 IFG legal definiert. Danach fällt hierunter jede amtlichen Zwecken di nende Aufzeichnung , unabhängig von der Art ihrer Speicherung. Die amtlichen Informationen sind sch ießlich bei der Beklagten vorhanden. Informati- onen sind vorhanden, wenn sie bei d r Behörde tatsächlich vorliegen (BVerwG, Be- schluss vom 27. Mai 2013 - BVerwG 7 B 43.12 - juris Rn. 11 ). Zwischen den Betei- ligten ist unstreitig, dass alle streitbe angenen Unterlagen bei der Beklagten vorhan- den sind. Im Hinblick auf die Penetra ionstests der Atos hat sie erst im Klageverfah- ren mitgeteilt, dass nicht der Testber cht, sondern drei Präsentationen sowie ein Re- port vorliegen . Der Kläger hat insow it klargestellt , dass er Einsicht in diese Informa- tionen begehrt. Dem ist die Beklagte nicht entgegengetreten. 2. Ausschlussgründe liegen nur in d m aus dem Tenor ersichtlichen Umfang vor. a) Im Hinblick auf den Testbericht dI Sicherheitsaudits der SEC Consult liegen kei- ne Ausschlussgründe vor, insbesond re steht nicht der Ausschlussgrund des § 6 Satz 2 IFG entgegen. Nach dieser Vorschrift darf Zugang u Betriebs- und Geschäftsgeheimnissen nur gewährt werden , soweit der Betreffe e eingewilligt hat. Unter Betriebs- und Ge- schäftsgeheimnissen werden alle au ein Unternehmen bezogenen Tatsachen, Um- stände und Vorgänge verstanden , di        nicht offenkundig , sondern nur einem begrenz- ten Personenkreis zugänglich sind u d an deren Nichtverbreitung der Rechtsträger ein berechtigtes Interesse hat. Betri bsgeheimnisse betreffen im Wesentlichen tech- nisches Wissen , Geschäftsgeheimni se vornehmlich kaufmännisches Wissen (OVG Berlin-Brandenburg , Urteil vom 1. A gust 2019 - OVG 12 B 34.18 - juris Rn . 57). Zu derartigen Geheimnissen zählen et          Umsätze, Ertragslagen, Geschäftsbücher, Kundenlisten, Konditionen , Marktstr tegien und Kalkulationsunterlagen , durch wel- che die wirtschaftlichen Verhältnisse eines Betriebs maßgeblich bestimmt werden können (BVerfG, Beschluss vom 14. März 2006 - 1 BvR 2087/03 - juris Rn. 87; BVerwG, Urteil vom 28. Mai 2009 - IBVerwG 7 C 18.08 - juris Rn. 12). Ein berechtig- -9-
-9- tes wirtschaftliches Interesse liegt vor, wenn  as Bekanntwerden einer Tatsache ge- eignet ist, die Wettbewerbsposition eines Ko kurrenten zu fördern oder die Stellung des eigenen Betriebs im Wettbewerb zu sch älern oder dem Geheimnisträgerwirt- schaftlichen Schaden zuzufügen (Urteil der K mmer vom 18. Januar 2018 - VG 2 K 50.17-juris Rn. 26; Schoch, IFG, 2. Auflage 2016, § 6 Rn. 91). Dies ist der Fall, wenn die Offenlegung der Informationen geei net ist, exklusives technisches oder kaufmännisches Wissen den Marktkonkurren en zugänglich zu machen und so die Wettbewerbsposition des Unternehmens nac teilig zu beeinflussen (BVerwG, Urteil vom 28. Mai 2009 - BVerwG 7 C 18.08 - juri Rn . 13). Die prognostische Einschät- zung nachteiliger Auswirkungen im Falle des      ekanntwerdens der Informationen muss nachvollziehbar und plausibel von der i formationspflichtigen Behörde darge- legt werden (Urteil der Kammer vom 26. Juni 019 - VG 2 K 179.18 - juris Rn. 30) . Hiernach hat die Beklagte Betriebs- und Ges häftsgeheimnisse der SEC Consult in Bezug auf den Bericht nicht dargelegt. Sowei sie vorträgt , der Bericht enthalte unter Punkt 1.1 eine nähere Beschreibung zur Dur hführung des Tests, insbesondere wel- ches Hintergrundwissen den Testern zur Übe prüfung zur Verfügung gestellt wurde, kann sie schon deshalb Betriebs- und Gesch ftsgeheimnisse der SEC Consult nicht geltend machen, da nicht ersichtlich ist, wer iese Informationen bereitgestellt hat. Danach ist jedenfalls nicht anzunehmen, das es sich um Informationen der SEC Consult handelt. Auch hat die Beklagte nicht argetan, warum die Struktur des Tests, die Worst Case Szenarien oder die te hnische Risikobewertung geheimhal- tungsbedürftiges technisches Wissen darstell n. Dass der Testbericht exklusives technisches oder kaufmännisches Wissen de SEC Consult enthält, liegt hier entge- gen der Auffassung der Beklagten nicht auf d r Hand, sondern erfordert eine beson- dere Begründung, da die im Streit stehenden Informationen bereits aus dem Jahr 2015 stammen. Ob eine geschäftliche lnform tion mit zunehmendem Zeitablauf ihre Bedeutung für die Wettbewerbsposition des       nternehmens verliert, lässt sich nicht in verallgemeinerungsfähiger Weise beantworte , sondern bedarf einer Würdigung der Umstände des Einzelfalles (BVerwG, Urteil v m 23. Februar 2017 - BVerwG 7 C 31 .15 - juris Rn. 97 m.w.N.). Der erforderlich Wettbewerbsbezug kann fehlen , wenn die Informationen abgeschlossene Vorgänge ohne Bezug zum heutigen Geschäfts- betrieb betreffen (BVerwG, Urteil vom 17. Mä z 2016 - BVerwG 7 C 2.15 - juris Rn . 35). Hiernach fehlt es an einer Darlegung de Beklagten, ob und inwieweit die Test- struktur, Worst Case Szenarien oder die Risi obewertung noch einen Bezug zum heutigen Geschäftsbetrieb der SEC Consult ufweisen, nachdem diese lnformatio- - 10 -
- 10 - nen eine Sicherheitsprüfung von 201       betreffen und das beA-System im Januar 2020 an zwei andere Unternehmen ü ergeben worden ist. Betriebs- und Geschäftsgeheimnisse der Atos hat die Beklagte im Hinblick auf den Testbericht schon nicht vorgetragen . Weitere Ausschlussgründe sind wed r geltend gemacht noch ersichtlich. Insbeson- dere steht der Schutz von vertraulich erhobener oder ermittelter Information nach § 3 Nr. 7 IFG nicht entgegen, da der Sch tzzweck der Norm - Schutz von Informanten gegenübei dei Preisgabe ihrer ldanti ät und Schutz der Behörden hinsichtlich ihrer Aufgabenwahrnehmung (vgl. Urteil d r Kammer vom 4. Juli 2019 - VG 2 K 178.18 - juris Rn . 27; Schech, IFG, 2. Aufl . 20 6, § 3 Rn . 109) - schon nicht betroffen ist. b) Für die Seiten 7, 13 und 14 des R ports zu dem Penetrationstest der Atos und, soweit die Seiten 7 bis 12 Programm ercodes enthalten, ist ein Ausschlussgrund nach § 6 Satz 2 IFG gegeben. Im Üb igen liegen Ausschlussgründe nicht vor. Soweit die Beklagte vorträgt, der Re ort enthalte auf den Seiten 7 bis 12 Teile des Programmiercodes und auf Seite 7 s wie Seiten 13 und 14 einen Leitfaden bzw. Testing Guide, sind Betriebs- und G schäftsgeheimnisse betroffen. Denn insoweit ist dargelegt, dass diese Informationen · ber das beA-System hinaus das Vergehen von Atos in anderen vergleichbaren Vorh ben betreffen. Damit ist exklusives technisches Wissen hinreichend dargelegt. Dem at der Kläger auch nichts entgegengehalten. 1m  Übrigen steht dem Anspruch des       lägers auf Zugang zu den drei Präsentationen sowie dem Report zu den Penetratio stests der Atos nicht der Ausschlussgrund des § 6 Satz 2 IFG entgegen. Im Hinblick auf die Präsentationen h t die Beklagte bereits nicht dargelegt, an wel- chen Stellen sich Betriebs- und Ges häftsgeheimnisse befinden sollen . Der Vortrag , bereits deren Struktur ermögliche R .. ckschlüsse auf die Marktstrategie von Atos und die Offenlegung bedinge eine Schle hterstellung am Markt, bleibt pauschal. Für die Seiten 1 bis 6 des Reports h t die Beklagte schon keine Betriebs- und Ge- schäftsgeheimnisse behauptet. Zu d n Seiten 7 bis 14 trägt sie vor, zu jedem Test- ergebnis sei der „Base Vektor" als „ tring " angegeben. Soweit es sich dabei lediglich um die Darstellung einer Schwachst lle handelt, ist nicht dargetan, warum damit auf den Programmcode geschlossen we den könnte, zumal unklar bleibt, was damit ge- nau offenbart würde . Die Beklagte h t auch nicht behauptet, dass die 2016 gefunde- - 11 -
Bild des Autors

Arne Semsrott

Arne ist Journalist und Projektleiter von FragDenStaat.

E-Mail: arne.semsrott@okfn.de (PGP)

Twitter: @arnesemsrott

Unterstützen Sie unsere Arbeit

Wir kämpfen für mehr Transparenz in Politik und Verwaltung!
Machen Sie mit, indem Sie uns spenden! Damit unterstützen Sie unsere Kampagnen, Klagen und Recherchen.

Jetzt spenden

Neue Klage: Die Geheimdienstifizierung der Polizei

Die Polizei will sich nicht in die Karten schauen lassen. Egal ob zur Planung oder zur Evaluierung von Einsätzen – Dokumente zur Polizeipraxis bleiben geheim. Dagegen gehen wir jetzt in Berlin mit einer Klage vor.