Die Waadtländer Verwaltung hat nicht gegen das Öffentlichkeitsgesetz verstossen, als sie den Zugang zu einem Bericht über die Schwachstellen eines Informatiksystems verweigerte. Sicherheitsgründe standen dem entgegen, hat das Bundesgericht entschieden.

Es geht um die Applikation Actis zur Bearbeitung von Baugesuchen. Eine Privatperson stellte im Herbst 2020 den Antrag, Einsicht in den Bericht über einen von einer privaten Firma durchgeführte Penetrationstest für Actis zu erhalten. Sie berief sich dabei auf das Waadtländer Informationsgesetz.

Die betroffene Dienststelle lehnte das Gesuch ab. Ihrer Ansicht nach bestand ein "überwiegendes öffentliches Interesse gegen die Weitergabe dieses Dokuments", das unter dem Gesichtspunkt der IT-Sicherheit sehr sensibel sei.

Das angerufene Kantonsgericht bestätigte diese Entscheidung. Es stellte fest, dass der Bericht auf konkrete Schwachstellen der Anwendung und die erforderlichen Änderungen hinwies. Die Offenlegung dieser Informationen würde ein erhöhtes Risiko für einen Hackerangriff darstellen.

In einem nun veröffentlichten Urteil bestätigt das Bundesgericht diese Position. Es ist der Ansicht, dass die Waadtländer Justiz nicht willkürlich gehandelt hat, als sie die im Informationsgesetz vorgesehene Ausnahme vom Transparenzprinzip wegen eines überwiegenden öffentlichen Interesses anwandte.

"Per definitionem" seien die Angaben, die in dem Dokument enthalten seien, sehr sensibel, da sie die Sicherheitslücken des Systems sowie die Art und Weise, wie sie ausgenutzt werden können, identifizierten, schreibt das Bundesgericht.

Das Risiko eines Hackerangriffs könne ohne Willkür als schwerwiegend eingestuft werden. Dies gelte umso mehr, als nicht alle identifizierten Schwachstellen vollständig behoben worden seien.

Eine mögliche Schwärzung des Dokuments, wie es der Beschwerdeführer vorgeschlagen hatte, wird als nicht praktikabel erachtet. Der Bericht müsste fast vollständig geschwärzt werden und wäre nicht mehr von Interesse, folgert das Bundesgericht.