VERWALTUNGSGERICHT DES KANTONS ZUG DIE PRÄSIDENTIN An der Aa 6, Postfach, 6301 Zug Telefon 041 / 594 52 70 BESCHLUSS vom 31. Januar 2025 in Sachen A.________ Gesuchsteller betreffend Gesuch nach Öffentlichkeitsgesetz um Einsicht in amtliche Dokumente (IT-Infrastruktur des Verwaltungsgerichts) K 2024 9
- 2 - K 2024 9 ergeht nach Einsicht in das Gesuch vom 22. September 2024, mit dem der Gesuchsteller um Zugang zu amtlichen Dokumenten ersucht, welche Informationen zu folgenden Fragestellungen enthalten: 1. Mit welchen Softwareprodukten und Dienstleistungen welcher Hersteller bzw. Anbieter, inkl. Subunternehmern, bearbeitet, d.h. erfasst, empfängt, speichert, modifiziert und versendet das Verwaltungsgericht Personendaten von Verfahrensbeteiligten? 2. An welchen Standorten finden vorgenannte Bearbeitungen statt bzw. stehen die darin involvierten Server und Cloud-Infrastrukturen? 3. Durch welche Behörden und Unternehmen inkl. eventueller Subunternehmer werden die in die vorgenannten Bearbeitungen involvierten Geräte, insbesondere Computer, Laptops, Tablets, Mobiltelefone, Server und Cloud-Infrastruktur administriert, gewartet und gesichert? 4. Welche gesetzlichen und vertraglichen Zusicherungen bezüglich der vorgenannten Datenbearbeitungen haben Dienstleister inkl. Subunternehmer abgegeben und welche Datenbearbeitungen durch Dienstleister inkl. Subunternehmer sehen Verträge gegebenenfalls vor? 5. Wie wurden vorgenannte Produkte, Dienstleistungen, Hersteller und Dienstleister im Bezug auf die vorgenannten Datenbearbeitungen evaluiert? 6. Welche Regelungen, Richtlinien und anderen normativen Dokumente bestehen bezüglich der vorgenannten Datenbearbeitungen durch das Verwaltungsgericht und die Beschaffung von Produkten und Dienstleistungen mit Einfluss auf die Datenbearbeitung? und in Erwägung, dass - gemäss § 7 des Gesetzes über das Öffentlichkeitsprinzip der Verwaltung (Öffentlichkeitsgesetz; BGS 158.1) jede Person das Recht hat, amtliche Dokumente einzusehen und von den Behörden Auskunft über den Inhalt amtlicher Dokumente zu erhalten, - § 9 Abs. 1 des Öffentlichkeitsgesetzes festhält, dass der Zugang zu amtlichen Dokumenten eingeschränkt, aufgehoben, mit Auflagen versehen oder verweigert wird, soweit überwiegende öffentliche oder private Interessen entgegenstehen, - das öffentliche Interesse, welches eine Geheimhaltung rechtfertigen kann, das Interesse am Zugang beziehungsweise an der Transparenz überwiegen muss, - überwiegende öffentliche Interessen namentlich vorliegen, wenn durch Zugang a) eine behördliche Massnahme vereitelt werden könnte; b) die Position eines Organs in laufenden oder absehbaren Verhandlungen gefährdet werden könnte;
- 3 - K 2024 9 c) der Bevölkerung Schaden zugefügt würde, namentlich durch Gefährdung der öffentlichen Sicherheit (§ 10 des Öffentlichkeitsgesetzes), - auf die vom Gesuchsteller gestellten Fragen nach Rücksprache mit dem Amt für Informatik und Organisation (AIO) folgende Antworten gegeben werden können: - Die Anwendungen werden in den kantonalen Rechenzentren betrieben (Frage 2); - Zuständig für den technischen Betrieb der Infrastrukturen ist das AIO; - das AIO verfügt über ein nach ISO 27001 zertifiziertes Informationssicherheits-Managementsystem (Frage 3); - Die Beschaffungen erfolgen entsprechend den kantonalen Vorgaben über das öffentliche Beschaffungswesen (Frage 5); - Grundlage bilden Gesetze und Verordnungen sowie Reglemente und Richtlinien (Frage 6); - darüber hinaus keine Informationen erteilt oder interne Dokumente zugänglich gemacht werden können, weil überwiegende öffentliche Interessen einer Zugänglichmachung dieser Informationen und der zugrundeliegenden amtlichen Dokumente entgegenstehen, - es sich bei den gewünschten amtlichen Dokumenten um Informationen handelt, deren Kenntnisnahme durch Unberechtigte den Geschäftsinteressen und Sicherheitsinteressen des Verwaltungsgerichts und der betroffenen Bürger zuwiderläuft, die Bekanntgabe insbesondere gerade geeignet wäre, die Sicherheit der angesprochenen Daten zu kompromittieren, - das AIO weiter– wie bereits erwähnt – über ein nach ISO 27001 zertifiziertes Informationssicherheits-Managementsystem verfügt, wonach klassifizierte Informationen wie Angaben zu den Applikationen, zur Informatikarchitektur und zu den Schnittstellen nur berechtigten Personen zugänglich gemacht und bekannt gegeben werden dürfen, wenn diese die Informationen zur Erfüllung ihres Auftrages unbedingt benötigen (need-to-know-Prinzip), - diese Informationen in den Händen einer unberechtigten Drittperson dazu verwendet werden könnten, das Verwaltungsgericht gezielt anzugreifen, was massive negative Auswirkungen auf dessen Tätigkeit zur Folge haben und den in unseren Verfahren involvierten Personen und Behörden erheblichen Schaden zufügen könnte, - aus diesen Gründen ein erfolgreicher Hackerangriff mit allen technischen und organisatorischen Mitteln verhindert werden muss, wozu insbesondere gehört, keine Informationen zur eingesetzten Software herauszugeben, was ein sehr wichtiges Element in der Palette der Abwehr von Hackerangriffen darstellt,
- 4 - K 2024 9 - auch ein lediglich eingeschränkter Zugang zu den vom Gesuchsteller gewünschten Dokumenten nicht gewährt werden kann, da durch ihre Herausgabe an externe Dritte sich das Risiko von gezielten Spear-Phishing Attacken gegen die Mitarbeitenden der kantonalen Verwaltung erhöht, - die Kompromittierung eines einzelnen Systems das Risiko einer lateralen Verbreitung innerhalb des kantonalen Netzwerks birgt, weshalb mit der Bekanntgabe einzelner Systeme die Gesamtheit der Systeme im kantonalen Netzwerk angreifbar würde, - aufgrund der stetig steigenden Zahl von Hackerangriffen gegen Unternehmungen und öffentliche Organe in der Schweiz und des potenziellen Schadens bei einem erfolgreichen Hackerangriff das öffentliche Interesse an der Verweigerung der vom Gesuchsteller geforderten amtlichen Dokumente überwiegt, - das vorliegende Verfahren keinen erheblichen Aufwand verursachte, weshalb keine Gebühren erhoben werden (§ 17 Abs. 1 des Öffentlichkeitsgesetzes),
- 5 - K 2024 9 Folgender Beschluss: 1. Das Einsichtsgesuch wird abgewiesen, soweit darauf einzutreten ist. 2. Für den vorliegenden Beschluss werden keine Gebühren erhoben. 3. Gegen diesen Beschluss kann innert 30 Tagen seit der schriftlichen Eröffnung beim Schweizerischen Bundesgericht in Lausanne Beschwerde in öffentlichrechtlichen Angelegenheiten eingereicht werden. 4. Mitteilung an den Gesuchsteller sowie zur Kenntnis an das Amt für Informatik und Organisation. Zug, 31. Januar 2025 Die Präsidentin Dr. iur. Diana Oswald