Kanton Waadt muss Bericht über IT-Schwachstellen nicht öffentlich machen

12. April 2022 um 13:03
  • politik & wirtschaft
  • gerichtsurteil
  • e-government
image

Die Sicherheit überwiegt in diesem Fall das Transparenzprinzip, sagt das Bundesgericht.

Die Waadtländer Verwaltung hat nicht gegen das Öffentlichkeitsgesetz verstossen, als sie den Zugang zu einem Bericht über die Schwachstellen eines Informatiksystems verweigerte. Sicherheitsgründe standen dem entgegen, hat das Bundesgericht entschieden.
Es geht um die Applikation Actis zur Bearbeitung von Baugesuchen. Eine Privatperson stellte im Herbst 2020 den Antrag, Einsicht in den Bericht über einen von einer privaten Firma durchgeführte Penetrationstest für Actis zu erhalten. Sie berief sich dabei auf das Waadtländer Informationsgesetz.
Die betroffene Dienststelle lehnte das Gesuch ab. Ihrer Ansicht nach bestand ein "überwiegendes öffentliches Interesse gegen die Weitergabe dieses Dokuments", das unter dem Gesichtspunkt der IT-Sicherheit sehr sensibel sei.
Das angerufene Kantonsgericht bestätigte diese Entscheidung. Es stellte fest, dass der Bericht auf konkrete Schwachstellen der Anwendung und die erforderlichen Änderungen hinwies. Die Offenlegung dieser Informationen würde ein erhöhtes Risiko für einen Hackerangriff darstellen.

Ausnahme vom Transparenzgebot

In einem nun veröffentlichten Urteil bestätigt das Bundesgericht diese Position. Es ist der Ansicht, dass die Waadtländer Justiz nicht willkürlich gehandelt hat, als sie die im Informationsgesetz vorgesehene Ausnahme vom Transparenzprinzip wegen eines überwiegenden öffentlichen Interesses anwandte.
"Per definitionem" seien die Angaben, die in dem Dokument enthalten seien, sehr sensibel, da sie die Sicherheitslücken des Systems sowie die Art und Weise, wie sie ausgenutzt werden können, identifizierten, schreibt das Bundesgericht.
Das Risiko eines Hackerangriffs könne ohne Willkür als schwerwiegend eingestuft werden. Dies gelte umso mehr, als nicht alle identifizierten Schwachstellen vollständig behoben worden seien.
Eine mögliche Schwärzung des Dokuments, wie es der Beschwerdeführer vorgeschlagen hatte, wird als nicht praktikabel erachtet. Der Bericht müsste fast vollständig geschwärzt werden und wäre nicht mehr von Interesse, folgert das Bundesgericht.

Loading

Mehr erfahren

Mehr zum Thema

image

Bundesrat setzt sich nicht für souveräne digitale Infrastruktur ein

Die Regierung empfiehlt zwei Motionen aus dem National- und Ständerat zur Ablehnung. In der Begründung verweist sie auf laufende Arbeiten und heute gültige Gesetze.

publiziert am 24.5.2024
image

Superb: IBM erhält einen SAP-Freihänder vom Bund

Im Rahmen der Migration auf S/4Hana ist IBM für die Datenmigration zuständig. Ein Anbieterwechsel sei zu diesem Zeitpunkt zu teuer, heisst es vom Bundesamt für Informatik.

publiziert am 24.5.2024
image

So werden öffentliche Verwaltungen in Cyber­sicher­heit geschult

Seit Ende 2023 steht Kantonen und Gemeinden ein neues "E-Learning Cyber"-Tool der KKJPD zur Verfügung. Wird es auch genutzt? Wir haben bei Verwaltungen und dem Projektleiter nachgefragt.

publiziert am 24.5.2024 1
image

Ehemaliger IT-Leiter des Triemli-Spitals muss ins Gefängnis

Der 39-Jährige wurde zu 36 Monaten Haft verurteilt, weil er seinen Arbeitgeber betrogen hat. Zudem muss er eine happige Rück­forderung der Stadt Zürich bezahlen.

publiziert am 23.5.2024