Kanton Waadt muss Bericht über IT-Schwachstellen nicht öffentlich machen

12. April 2022, 13:03
  • politik & wirtschaft
  • gerichtsurteil
  • e-government
image

Die Sicherheit überwiegt in diesem Fall das Transparenzprinzip, sagt das Bundesgericht.

Die Waadtländer Verwaltung hat nicht gegen das Öffentlichkeitsgesetz verstossen, als sie den Zugang zu einem Bericht über die Schwachstellen eines Informatiksystems verweigerte. Sicherheitsgründe standen dem entgegen, hat das Bundesgericht entschieden.
Es geht um die Applikation Actis zur Bearbeitung von Baugesuchen. Eine Privatperson stellte im Herbst 2020 den Antrag, Einsicht in den Bericht über einen von einer privaten Firma durchgeführte Penetrationstest für Actis zu erhalten. Sie berief sich dabei auf das Waadtländer Informationsgesetz.
Die betroffene Dienststelle lehnte das Gesuch ab. Ihrer Ansicht nach bestand ein "überwiegendes öffentliches Interesse gegen die Weitergabe dieses Dokuments", das unter dem Gesichtspunkt der IT-Sicherheit sehr sensibel sei.
Das angerufene Kantonsgericht bestätigte diese Entscheidung. Es stellte fest, dass der Bericht auf konkrete Schwachstellen der Anwendung und die erforderlichen Änderungen hinwies. Die Offenlegung dieser Informationen würde ein erhöhtes Risiko für einen Hackerangriff darstellen.

Ausnahme vom Transparenzgebot

In einem nun veröffentlichten Urteil bestätigt das Bundesgericht diese Position. Es ist der Ansicht, dass die Waadtländer Justiz nicht willkürlich gehandelt hat, als sie die im Informationsgesetz vorgesehene Ausnahme vom Transparenzprinzip wegen eines überwiegenden öffentlichen Interesses anwandte.
"Per definitionem" seien die Angaben, die in dem Dokument enthalten seien, sehr sensibel, da sie die Sicherheitslücken des Systems sowie die Art und Weise, wie sie ausgenutzt werden können, identifizierten, schreibt das Bundesgericht.
Das Risiko eines Hackerangriffs könne ohne Willkür als schwerwiegend eingestuft werden. Dies gelte umso mehr, als nicht alle identifizierten Schwachstellen vollständig behoben worden seien.
Eine mögliche Schwärzung des Dokuments, wie es der Beschwerdeführer vorgeschlagen hatte, wird als nicht praktikabel erachtet. Der Bericht müsste fast vollständig geschwärzt werden und wäre nicht mehr von Interesse, folgert das Bundesgericht.

Loading

Mehr zum Thema

image

Genfer Kantonalbank gewinnt erneut im Rechtsstreit gegen IBM

Im jahrelangen Gezanke um einen IT-Vertrag hat die BCGE die nächste Hürde genommen. Nun kann nur noch das Bundesgericht IBM vor der Zahlung von 46,8 Millionen bewahren.

publiziert am 25.11.2022
image

Bazl übernimmt EU-Drohnenregeln

Mit den neuen Drohnen-Regeln will der Bund unter anderem die Privatsphäre der Bevölkerung schützen. Insbesondere im Kanton Zürich wartete man schon lange auf verbindliche Regeln.

publiziert am 25.11.2022
image

Aargau migriert die SAP-Basis für 10 Millionen Franken in die Cloud

Der Kanton wechselt von einem On-Prem- in einen Cloud-Betrieb und vergibt den Auftrag für 10 Millionen Franken freihändig an SAP Schweiz.

publiziert am 25.11.2022
image

Meteoschweiz braucht viel Data-Know-how

Das Bundesamt für Meteorologie und Klimatologie will seine IT-Architektur umstellen und sucht dafür externe IT-Fachleute.

publiziert am 25.11.2022