Die BRAK muss Einsicht in ein zwischenzeitlich zurückgezogenes beA-Gutachten gewähren. Der Prüfbericht sei nicht vertraulich, nicht urheberrechtlich geschützt und enthalte auch keine Geschäftsgeheimnisse der Firma Secunet, so das VG Berlin.
Die Bundesrechtsanwaltskammer (BRAK), die Umsetzung und Betrieb des besonderen elektronischen Anwaltspostfachs (beA) verantwortet, muss Einsicht in den Abschlussbericht der Security Networks AG (Secunet) gewähren. Das entschied Anfang Juli das Verwaltungsgericht (VG) Berlin auf Antrag eines Berliner Anwalts.
Der Bericht über die technische Analyse und Konzeptprüfung des elektronischen Anwaltspostfachs muss nun auch in seiner ursprünglichen, der BRAK übermittelten, aber nie veröffentlichten Version vorgelegt werden (Urt. v. 26.06.2019, Az. VG 2 K 179/18). Der klagende Anwalt habe einen Anspruch auf Offenlegung des Gutachtens aus § 1 Abs. 1 S. 1 Informationsfreiheitsgesetz (IFG), heißt es in dem Urteil, das LTO vorliegt.
Von der BRAK angeführte Geheimhaltungsaspekte, Vertraulichkeitsvereinbarungen oder der Schutz von Urheber-, Betriebs- und Geschäftsgeheimnissen änderten an dieser Einschätzung nichts, so das Berliner Gericht.
Die Entscheidung ist noch nicht rechtskräftig, die BRAK teilte auf Nachfrage gegenüber LTO mit, Antrag auf Zulassung der Berufung stellen zu wollen.
Das geheime Gutachten
Das externe Sicherheitsunternehmen Secunet untersuchte im Jahr 2018 die massiven Sicherheitslücken des beA, die Experten nach dem Go-live des Systems im Dezember 2017 entdeckt und die schnell dazu geführt hatten, dass das Postfach für Monate wieder offline gehen musste.
Am 30. Mai 2018 sandte das IT-Sicherheitsunternehmen der BRAK wie vereinbart seinen eigentlich fertigen Abschlussbericht zu. Das Präsidium der Kammer jedoch zeigte sich damit unzufrieden. "Anpassungsbedarf im Hinblick auf die Allgemeinverständlichkeit und den Konkretisierungsgrad" hieß es damals öffentlich, laut Urteil des VG Berlin hat die BRAK dort "gravierende handwerkliche Mängel" des Berichts vorgetragen.
Die Herausgabe des ursprünglichen Berichts vom 30. Mai aber verweigerte die BRAK weiterhin. Secunet habe diesen schließlich vertraulich zur Verfügung gestellt und bestehe auch weiterhin auf Vertraulichkeit, zumal der Bericht Betriebs- und Geschäftsgeheimnisse des Unternehmens enthalte; die BRAK verwies dabei unter anderem noch einmal auf die handwerklichen Mängel, wegen denen das Gutachten noch einmal eine Schleife drehen musste.
VG: Gutachten nicht vertraulich, nicht urheberrechtlich geschützt
Das VG Berlin konnte die BRAK mit diesem Argument jedoch nicht überzeugen. Zwar kann ein Interesse eines Dritten - wie Secunet - an der Vertraulichkeit der Information einen Auskunftsanspruch nach dem IFG durchaus verhindern (§ 3 Nr. 7 IFG) - aber nicht im Fall von Secunet.
Die BRAK habe nämlich keine Vertraulichkeitsvereinbarung mit Secunet vorgelegt und das VG Berlin sieht auch keine konkludente Vereinbarung einer solchen. Schließlich habe die BRAK schon vorab angekündigt, den Bericht veröffentlichen zu wollen.
Auch einen entgegenstehenden Schutz geistigen Eigentums lehnt das VG Berlin ab. Es lässt offen, ob überhaupt ein urheberrechtlich geschütztes Werk vorliegt und greift auf die Vermutungsregel zurück, wonach die Nutzungsrechte an gegen Entgelt erstellten (Sachverständigen-)Gutachten ganz oder teilweise vom Gutachtenersteller auf den Auftraggeber übergehen. Das Nutzungsrecht zur behördlichen Aufgabenerfüllung erfasse dabei regelmäßig auch das Recht der Behörde, Informationen nach den Informationsfreiheitsgesetzen zu veröffentlichen.
Kein Geschäftsgeheimnis von Secunet
Auch Geschäfts- und Betriebsgeheimnisse von Secunet gilt es nach Ansicht des VG Berlin nicht zu schützen. Der pauschale BRAK-Vortrag, dass der Bericht "die Methodik und Arbeitsweise" von Secunet offenlege, reichte dem Gericht nicht. Auch die Information, wie schnell und wie tiefgehend das Unternehmen das erste Gutachten überarbeitet habe, sei ersichtlich kein Geschäftsgeheimnis, dessen Offenlegung dem IT-Unternehmen schaden würde.
Handwerkliche Mängel des Gutachtens schließlich, welche die BRAK ebenfalls als Betriebs- und Geschäftsgeheimnis von Secunet für schützenswert hält, habe sie ebenso wenig substantiiert dargelegt wie andere schützenswerte Informationen Dritter, wie etwa Quellcodes. Und selbst wenn es Fehler gäbe, "erschließt sich dem Gericht bereits nicht, dass ein Fehler, der auf technischem Unwissen beruht, als solcher ein exklusives technisches oder kaufmännisches Wissen darstellt", heißt es in dem Urteil.
In der Sache befasst sich die BRAK mit Anträgen nach dem Informationsfreiheitsgesetz erst seit rund zwei Jahren. Nachdem sie mit dem Versuch gescheitert war, sich explizit vom Anwendungsbereich des IFG auszunehmen zu lassen, berief sie sich stets darauf, keine Behörde i.S.d. IFG zu sein und als berufsständische Selbstverwaltungskörperschaft nur der Rechtsausicht zu unterliegen. Erst im Mai 2017 entschied das Oberverwaltungsgericht Berlin-Brandenburg rechtskräftig, dass die Dachorganisation der Anwälte de lege lata umfassend der Informationspflicht nach Maßgabe des IFG unterliegt.
VG Berlin zum Sicherheitscheck des Anwaltspostfachs: . In: Legal Tribune Online, 15.07.2019 , https://www.lto.de/persistent/a_id/36503 (abgerufen am: 20.11.2024 )
Infos zum Zitiervorschlag