Urteil : Vorgabe zur Nutzung elektronischer Verfahren zwecks Datenübermittlung an den Staat (OVG Münster, Beschluss vom 22.12.2016) : aus der RDV 3/2017, Seite 148 bis 150
(Oberverwaltungsgericht Münster, Beschluss vom 22. Dezember 2016 – 4 B 1001/16 –)
- Die Verpflichtung von Betrieben und Unternehmen, die für eine Bundesstatistik zu erhebenden Daten (hier: Verdienststrukturerhebung) grundsätzlich mittels eines dafür zur Verfügung gestellten elektronischen Verfahrens zu übermitteln, ist verfassungsgemäß.
- Ein trotz angemessener technischer Sicherheitsmaßnahmen verbleibendes Risiko unberechtigter Datenzugriffe durch Hacker-Angriffe muss der Betroffene hinnehmen.
Aus den Gründen:
Die Beschwerde der Antragsteller ist unbegründet.
Das Verwaltungsgericht hat den sinngemäßen Antrag, die aufschiebende Wirkung der Klage 3 K 2927/15 (VG Minden) gegen die Bescheide des J. .O. aus Februar 2015, Mai 2015, vom 8.6.2015 und vom 5.10.2015 anzuordnen, zu Recht abgelehnt und zur Begründung im Wesentlichen ausgeführt: Der Antrag der Antragstellerin zu 2. sei mangels Antragsbefugnis unzulässig. Hinsichtlich der hier streitigen Auskunfts- und Übermittlungspflicht nach § 8 Abs. 1 des Gesetzes über die Statistik der Verdienste und Arbeitskosten (Verdienststatistikgesetz – VerdStatG) i.V.m. § 15 Abs. 1 des Gesetzes über die Statistik für Bundeszwecke (Bundesstatistikgesetz – BStatG) und § 11a Abs. 2 BStatG sei die Antragstellerin zu 2. nicht Inhaltsadressatin der Bescheide aus Februar 2015 und vom 5.10.2015 sowie der Schreiben aus Mai 2015 und vom 8.6.2015. Der Antrag des Antragstellers zu 1. sei wegen fehlenden Rechtsschutzbedürfnisses unzulässig, soweit er sich gegen die – tatsächlichen oder vermeintlichen – Bescheide aus Februar 2015, Mai 2015 und vom 8.6.2015 richte. Unter dem 5.10.2015 habe J. .O. eine neue Sachentscheidung getroffen und damit einen sog. Zweitbescheid erlassen, womit sich vorausgegangene Bescheide erledigt hätten. Im Übrigen sei der Antrag des Antragstellers zu 1. unbegründet. Der Bescheid vom 5.10.2016 erweise sich bei summarischer Prüfung als rechtmäßig. Der Antragsteller zu 1. sei als Inhaber der in die Verdienststrukturerhebung einbezogenen Antragstellerin zu 2. bzw. als mit deren Leitung Beauftragter gemäß § 8 Abs. 1 VerdStatG i.V.m. § 15 Abs. 1 BStatG auskunftspflichtig. Zur Datenübermittlung müsse er sich gemäß § 11a Abs. 2 Satz 1 BStatG des von der Antragsgegnerin zur Verfügung gestellten elektronischen Verfahrens bedienen. Sowohl die Auskunftspflicht als auch die Verpflichtung zur elektronischen Datenübermittlung stünden mit höherrangigem Recht, namentlich dem Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG in Einklang. Insbesondere sei ein etwaiges trotz Anwendung der zur Verfügung stehenden technischen Sicherungsmöglichkeiten verbleibendes Restrisiko eines Hacker-Angriffs auf gespeicherte oder übermittelte Daten im überwiegenden Interesse des Allgemeinwohls hinzunehmen.
Diese Einschätzung des Verwaltungsgerichts wird durch das Beschwerdevorbringen nicht durchgreifend in Frage gestellt.
Die von der Beschwerde unter Hinweis auf die Adressierung der streitgegenständlichen Schreiben an die Antragstellerin zu 2. geäußerten Zweifel am Fehlen ihrer Antragsbefugnis entsprechend § 42 Abs. 2 VwGO sind nicht berechtigt. Das Verwaltungsgericht hat zutreffend angenommen, dass Inhaltsadressat des Bescheides vom 5.10.2015 der Antragsteller zu 1. ist, nicht aber (auch) die Antragstellerin zu 2.
Allein auf diesen Bescheid kommt es an. Mit ihm hat – wovon das Verwaltungsgericht zu Recht ausgegangen ist und was auch die Beschwerde nicht in Zweifel zieht – J. .O. eine (neue) Sachentscheidung getroffen. Diese Entscheidung hätte als sog. Zweitbescheid die von den Antragstellern so bezeichneten „Bescheide“ aus Februar und Mai 2015 sowie vom 8.6.2015 mit erledigender Wirkung ersetzt, soweit es sich bei diesen Schreiben – was offen bleiben kann – um Verwaltungsakte im Sinne von §§ 42, 80 VwGO, 35 VwVfG gehandelt haben sollte. Insoweit ist der Antrag auf Anordnung der aufschiebenden Wirkung daher in jedem Fall nicht statthaft bzw. mangels Rechtsschutzbedürfnisses unzulässig.
Die Antragstellerin zu 2. ist nicht Inhaltsadressatin des Bescheides vom 5.10.2015. Dies ist allein der Antragsteller zu 1.
Inhaltsadressat eines Verwaltungsaktes ist derjenige, dem gegenüber die Einzelfallregelung getroffen wird, der sie mit anderen Worten zu beachten hat und daran gebunden ist. Etwaige Unklarheiten sind unter dem Gesichtspunkt des Bestimmtheitsgebotes (§ 37 Abs. 1 VwVfG NRW) unschädlich, sofern sie sich im Wege der Auslegung des Verwaltungsaktes beseitigen lassen. Dabei kommt es auf den objektiven Empfängerhorizont und mithin darauf an, wie der Betroffene nach den ihm bekannten Umständen den Verwaltungsakt unter Berücksichtigung von Treu und Glauben verstehen musste.
Vgl. BVerwG, Urteil vom 27.6.2012 – 9 C 7.11 –, BVerwGE 143, 222 = juris, Rn. 11; VGH Bad.-Württ., Urteil vom 21.4.2016 – 1 S 665/14 –, DÖV 2016, 697 (Leitsatz) = juris, Rn. 27; OVG NRW, Beschluss vom 13.11.2015 – 12 A 1946/14 –, juris, Rn. 8 f., jew. m.w.N.
Gemessen hieran richtet sich der formell an die „W.-Werkstätten GmbH & Co. KG z. H. des Geschäftsführers U.W1.“ adressierte Bescheid inhaltlich ausschließlich an den Antragsteller zu 1. Aus der Begründung des Bescheides geht hervor, dass der persönlich angesprochene („Sehr geehrter Herr W1. „) Antragsteller zu 1., der nach Aktenlage alleiniger Kommanditist sowie Geschäftsführer der persönlich haftenden Gesellschafterin der Antragstellerin zu 2. ist, „als Inhaber bzw. Leiter der o. a. Erhebungseinheit … auskunftspflichtig“ sei, weil nach § 8 VerdStatG die Inhaber der in die Erhebung einbezogenen Erhebungseinheiten sowie die mit deren Leitung Beauftragten im Rahmen der ihnen übertragenen Aufgaben und Befugnisse zur Auskunft verpflichtet seien. Einen entsprechenden Hinweis enthielt bereits das Schreiben von J. .O. vom 8.6.2015. Und auch in der dem Schreiben von J. .O. aus Februar 2015 als Anlage beigefügten „Unterrichtung nach § 17 Bundestatistikgesetz“, auf die dieses Schreiben wegen der „Einzelheiten zur Auskunftspflicht“ ausdrücklich Bezug nahm, war auf die Auskunftspflicht der Inhaber bzw. Leiter der in die Verdienststrukturerhebung einbezogenen Erhebungseinheiten hingewiesen worden. Danach war für den Antragsteller zu 1. erkennbar, dass – nur – er zur Auskunftserteilung herangezogen werden sollte.
Das Verwaltungsgericht hat zutreffend angenommen, der Antragsteller zu 1. sei nach § 8 Abs. 1 Sätze 1 und 3 VerdStatG i.V.m. § 15 Abs. 1 BStatG auskunftspflichtig. Er sei Inhaber bzw. Leiter der Antragstellerin zu 2., die gemäß § 2 VerdStatG als Erhebungseinheit in die Erhebung der Struktur der Arbeitsverdienste im Jahr 2014 nach § 4 VerdStatG einbezogen sei. Gegen diese Einschätzung wendet sich die Beschwerde ebenso wenig wie gegen die gleichfalls zutreffende weitere Annahme des Verwaltungsgerichts, die für Zwecke wirtschaftspolitischer Planungsentscheidungen sowie zur Erfüllung von Berichtspflichten nach dem Recht der Europäischen Gemeinschaften dienende (vgl. § 1 VerdStatG) Auskunftspflicht im Rahmen der Verdienststrukturerhebung stehe mit höherrangigem Recht, namentlich dem Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG, in Einklang. Insoweit nimmt der Senat gemäß § 122 Abs. 2 Satz 3 VwGO Bezug auf die Gründe der angefochtenen Entscheidung.
Vgl. zudem Nds. OVG, Beschluss vom 27.1.2015 – 11 ME 226/14 –, DVBl. 2015, 372 = juris, Rn. 9 ff. (zur Erhebung der Arbeitsverdienste nach § 3 VerdStatG); vgl. auch BVerwG, Urteil vom 20.12.2001 – 6 C 7.01 –, BVerwGE 115, 319 = juris, Rn. 17 ff. (zur Erhebung der Arbeitsverdienste und Arbeitszeiten nach dem Lohnstatistikgesetz).
Ohne Erfolg rügt die Beschwerde eine Verletzung des informationellen Selbstbestimmungsrechts durch die auf § 11a Abs. 2 Satz 1 BStatG gestützte Verpflichtung zur Datenübermittlung mittels der von J. .O. dafür zur Verfügung gestellten elektronischen Verfahren. Auch insoweit nimmt der Senat zunächst Bezug auf die zutreffenden Gründe der erstinstanzlichen Entscheidung. Die Einwände hiergegen greifen nicht durch.
Die Verpflichtung von Betrieben und Unternehmen nach § 1a Abs. 2 Satz 1 BStatG, die für eine Bundesstatistik zu erhebenden Daten grundsätzlich mittels eines dafür zur Verfügung gestellten elektronischen Verfahrens zu übermitteln, dient der Verwaltungsvereinfachung und mithin der administrativen Kosten- und Zeitersparnis.
Vgl. Entwurf eines Gesetzes zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften, BT-Drs. 17/11473, S. 55 f.
Wie bereits das Verwaltungsgericht im Anschluss an den Bundesfinanzhof, vgl. Urteil vom 14.3.2012 – XI R 33/09 –, BFHE 236, 283 = juris, Rn. 31, m.w.N (zur elektronischen Abgabe von Umsatzsteuervoranmeldungen), zu Recht ausgeführt hat, handelt es sich bei der Gewährleistung einer effektiven, möglichst wirtschaftlichen und einfachen Verwaltung um einen gewichtigen öffentlichen Belang. Dieser wird durch die Verpflichtung zur elektronischen Datenübermittlung gefördert. Die jeweils zu übermittelnden statistischen Daten werden von den Auskunftspflichtigen elektronisch aufbereitet und können so nach Übermittlung an die Verwaltung von dieser im Rahmen der gesetzlichen Vorschriften ohne weiteres maschinell weiterverarbeitet werden. Dadurch wird der Antragsteller zu 1. im Rahmen der hier in Rede stehenden Verdienststrukturerhebung nicht unverhältnismäßig belastet. Das gilt auch unter Berücksichtigung des von der Beschwerde geltend gemachten Risikos unberechtigter Datenzugriffe durch Hacker-Angriffe. Zwar fordert der Verhältnismäßigkeitsgrundsatz die Gewährleistung eines dem Gewicht der jeweiligen Grundrechtsbeeinträchtigung angemessenen Maßes an Datensicherheit.
Vgl. BVerfG, Urteil vom 2.3.2010 – 1 BvR 256, 263, 586/08 –, BVerfGE 125, 260 = juris, Rn. 221 ff. (zu Art. 10 GG).
Es ist aber weder dargetan noch sonst ersichtlich, dass vorliegend ein im Hinblick auf Art und Umfang der in Rede stehenden Erhebungsmerkmale nach § 4 VerdStatG hinreichender Schutz vor unberechtigten Datenzugriffen Dritter nicht gewährleistet wäre. Die Datenübermittlung erfolgt mittels der von J. .O. dafür zur Verfügung gestellten Online-Meldeverfahren „IDEV“ (Internet Datenerhebung im Verbund) und „.CORE“ (Common Online Rawdata Entry) in verschlüsselter Form.
Vgl. https://erhebungsportal.estatistik.de/ Erhebungsportal (Infos für Melder/Schutz der Daten/Personenbezogene Daten und Datensicherheit).
Die Verwendung dem Stand der Technik entsprechender Verschlüsselungsverfahren bei der elektronischen Datenübermittlung ist nunmehr auch – die bereits bislang geübte Praxis festschreibend –, vgl. Entwurf eines Gesetzes zur Änderung des Bundesstatistikgesetzes und anderer Statistikgesetze, BT-Drs. 18/7561, S. 25, in § 11a Abs. 3 BStatG in der Fassung des Gesetzes vom 21.7.2016 (BGBl. I S. 1768) gesetzlich ausdrücklich angeordnet. Die Antragsgegnerin hat mitgeteilt, dass sie auch im Übrigen alle erforderlichen organisatorischen, personellen und technischen Maßnahmen nach den Standards des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) getroffen habe. Unter anderem seien die internen Server vom Internet abgeschirmt und stünden in einem gesondert gesicherten Bereich. Dem ist die Beschwerde nicht entgegengetreten.
Ein gegebenenfalls gleichwohl noch verbleibendes Risiko eines Hacker-Angriffs auf übermittelte oder gespeicherte Daten ist, wie schon das Verwaltungsgericht zutreffend erkannt hat, im überwiegenden Interesse des Gemeinwohls – konkret: der mit der elektronischen Datenverarbeitung bezweckten Verwaltungsvereinfachung – hinzunehmen.
Vgl. auch BFH, Urteil vom 14.3.2012 – XI R 33/09 –, BFHE 236, 283 = juris, Rn. 68 ff., und Beschluss vom 14.4.2015 – V B 158/14 –, BFH/NV 2015, 1115 = juris, Rn. 3 f. (zur elektronischen Abgabe von Umsatzsteuervoranmeldungen bzw. Steuererklärungen)
Aus dem Beschwerdevorbringen ergibt sich nicht, dass das Risiko eines unberechtigten Zugriffs auf die von dem Antragsteller zu 1. elektronisch zu übermittelnden Daten trotz der von J.O. ergriffenen Sicherheitsmaßnahmen unzumutbar hoch ist. Konkrete Sicherheitslücken, die etwaige Hacker-Angriffe auf die betreffenden Daten mit hinreichender Wahrscheinlichkeit erfolgreich erscheinen ließen, haben die Antragsteller nicht benannt. Die von ihnen vorgelegten Berichte über eine im Zuge zunehmenden Digitalisierung der öffentlichen Verwaltung anwachsende Bedrohung durch Hacker-Angriffe und Schadprogramme beschreiben lediglich ein mit der Nutzung moderner Datenverarbeitungssysteme unausweichlich verbundenes allgemeines Risiko, das den Betroffenen zumutbar ist, soweit – wie hier – geeignete Maßnahmen zur Gewährleistung eines nach den jeweiligen Umständen hinreichenden Maßes an Datensicherheit ergriffen worden sind. Soweit die Beschwerde konkret auf Berichte über einen Hacker-Angriff auf das Computer-System des Deutschen Bundestages im Jahr 2015 verweist, sind diese nicht geeignet, unzumutbar gesteigerte Sicherheitsrisiken der Datenverarbeitung (gerade) im Rahmen der Verdienststrukturerhebung zu belegen. Nichts anderes gilt für die ebenfalls vorgelegten Medienberichte über eine Cyber-Attacke auf Systeme der US-Regierung, bei der im Jahr 2015 personenbezogene Daten von mehr als 21 Mio. Mitarbeitern illegal abgegriffen worden sein sollen.
Dieser Beschluss ist gemäß § 152 Abs. 1 VwGO, § 68 Abs. 1 Satz 2 i.V.m. § 66 Abs. 3 Satz 3 GKG unanfechtbar.