opencaselaw.ch

Startseite / Zg Verwaltungsgericht / K 2024 9

K 2024 9

Zg Verwaltungsgericht · 2025-01-31 · Deutsch ZG
Quelle Original Original-PDF Export Word PDF BibTeX RIS

Korrespondenz Verwaltungsgericht

Dispositiv
  1. Das Einsichtsgesuch wird abgewiesen, soweit darauf einzutreten ist.
  2. Für den vorliegenden Beschluss werden keine Gebühren erhoben.
  3. Gegen diesen Beschluss kann innert 30 Tagen seit der schriftlichen Eröffnung beim Schweizerischen Bundesgericht in Lausanne Beschwerde in öffentlich- rechtlichen Angelegenheiten eingereicht werden.
  4. Mitteilung an den Gesuchsteller sowie zur Kenntnis an das Amt für Informatik und Organisation. Zug, 31. Januar 2025 Die Präsidentin Dr. iur. Diana Oswald
Volltext (verifizierbarer Originaltext)

VERWALTUNGSGERICHT DES KANTONS ZUG DIE PRÄSIDENTIN An der Aa 6, Postfach, 6301 Zug Telefon 041 / 594 52 70 B E S C H L U S S vom 31. Januar 2025 in Sachen A.________ Gesuchsteller betreffend Gesuch nach Öffentlichkeitsgesetz um Einsicht in amtliche Dokumente (IT-Infrastruktur des Verwaltungsgerichts) K 2024 9

- 2 - K 2024 9 ergeht nach Einsicht in das Gesuch vom 22. September 2024, mit dem der Gesuchsteller um Zugang zu amtlichen Dokumenten ersucht, welche Informationen zu folgenden Frage- stellungen enthalten: 1. Mit welchen Softwareprodukten und Dienstleistungen welcher Hersteller bzw. Anbieter, inkl. Subunternehmern, bearbeitet, d.h. erfasst, empfängt, speichert, modifiziert und versendet das Verwaltungsgericht Personenda- ten von Verfahrensbeteiligten? 2. An welchen Standorten finden vorgenannte Bearbeitungen statt bzw. ste- hen die darin involvierten Server und Cloud-Infrastrukturen? 3. Durch welche Behörden und Unternehmen inkl. eventueller Subunterneh- mer werden die in die vorgenannten Bearbeitungen involvierten Geräte, insbesondere Computer, Laptops, Tablets, Mobiltelefone, Server und Cloud-Infrastruktur administriert, gewartet und gesichert? 4. Welche gesetzlichen und vertraglichen Zusicherungen bezüglich der vor- genannten Datenbearbeitungen haben Dienstleister inkl. Subunternehmer abgegeben und welche Datenbearbeitungen durch Dienstleister inkl. Sub- unternehmer sehen Verträge gegebenenfalls vor? 5. Wie wurden vorgenannte Produkte, Dienstleistungen, Hersteller und Dienstleister im Bezug auf die vorgenannten Datenbearbeitungen evalu- iert? 6. Welche Regelungen, Richtlinien und anderen normativen Dokumente be- stehen bezüglich der vorgenannten Datenbearbeitungen durch das Ver- waltungsgericht und die Beschaffung von Produkten und Dienstleistungen mit Einfluss auf die Datenbearbeitung? und in Erwägung, dass - gemäss § 7 des Gesetzes über das Öffentlichkeitsprinzip der Verwaltung (Öf- fentlichkeitsgesetz; BGS 158.1) jede Person das Recht hat, amtliche Doku- mente einzusehen und von den Behörden Auskunft über den Inhalt amtlicher Dokumente zu erhalten, - § 9 Abs. 1 des Öffentlichkeitsgesetzes festhält, dass der Zugang zu amtlichen Dokumenten eingeschränkt, aufgehoben, mit Auflagen versehen oder verwei- gert wird, soweit überwiegende öffentliche oder private Interessen entgegenste- hen, - das öffentliche Interesse, welches eine Geheimhaltung rechtfertigen kann, das Interesse am Zugang beziehungsweise an der Transparenz überwiegen muss, - überwiegende öffentliche Interessen namentlich vorliegen, wenn durch Zugang a) eine behördliche Massnahme vereitelt werden könnte; b) die Position eines Organs in laufenden oder absehbaren Verhandlungen gefährdet werden könnte;

- 3 - K 2024 9

c) der Bevölkerung Schaden zugefügt würde, namentlich durch Gefährdung der öffentlichen Sicherheit (§ 10 des Öffentlichkeitsgesetzes), - auf die vom Gesuchsteller gestellten Fragen nach Rücksprache mit dem Amt für Informatik und Organisation (AIO) folgende Antworten gegeben werden kön- nen:

- Die Anwendungen werden in den kantonalen Rechenzentren betrieben (Frage 2);

- Zuständig für den technischen Betrieb der Infrastrukturen ist das AIO;

- das AIO verfügt über ein nach ISO 27001 zertifiziertes Informationssicher- heits-Managementsystem (Frage 3);

- Die Beschaffungen erfolgen entsprechend den kantonalen Vorgaben über das öffentliche Beschaffungswesen (Frage 5);

- Grundlage bilden Gesetze und Verordnungen sowie Reglemente und Richt- linien (Frage 6); - darüber hinaus keine Informationen erteilt oder interne Dokumente zugänglich gemacht werden können, weil überwiegende öffentliche Interessen einer Zugänglichmachung dieser Informationen und der zugrundeliegenden amtlichen Dokumente entgegenstehen, - es sich bei den gewünschten amtlichen Dokumenten um Informationen handelt, deren Kenntnisnahme durch Unberechtigte den Geschäftsinteressen und Si- cherheitsinteressen des Verwaltungsgerichts und der betroffenen Bürger zuwi- derläuft, die Bekanntgabe insbesondere gerade geeignet wäre, die Sicherheit der angesprochenen Daten zu kompromittieren, - das AIO weiter– wie bereits erwähnt – über ein nach ISO 27001 zertifiziertes In- formationssicherheits-Managementsystem verfügt, wonach klassifizierte Infor- mationen wie Angaben zu den Applikationen, zur Informatikarchitektur und zu den Schnittstellen nur berechtigten Personen zugänglich gemacht und bekannt gegeben werden dürfen, wenn diese die Informationen zur Erfüllung ihres Auf- trages unbedingt benötigen (need-to-know-Prinzip), - diese Informationen in den Händen einer unberechtigten Drittperson dazu ver- wendet werden könnten, das Verwaltungsgericht gezielt anzugreifen, was mas- sive negative Auswirkungen auf dessen Tätigkeit zur Folge haben und den in unseren Verfahren involvierten Personen und Behörden erheblichen Schaden zufügen könnte, - aus diesen Gründen ein erfolgreicher Hackerangriff mit allen technischen und organisatorischen Mitteln verhindert werden muss, wozu insbesondere gehört, keine Informationen zur eingesetzten Software herauszugeben, was ein sehr wichtiges Element in der Palette der Abwehr von Hackerangriffen darstellt,

- 4 - K 2024 9 - auch ein lediglich eingeschränkter Zugang zu den vom Gesuchsteller ge- wünschten Dokumenten nicht gewährt werden kann, da durch ihre Herausgabe an externe Dritte sich das Risiko von gezielten Spear-Phishing Attacken gegen die Mitarbeitenden der kantonalen Verwaltung erhöht, - die Kompromittierung eines einzelnen Systems das Risiko einer lateralen Ver- breitung innerhalb des kantonalen Netzwerks birgt, weshalb mit der Bekannt- gabe einzelner Systeme die Gesamtheit der Systeme im kantonalen Netzwerk angreifbar würde, - aufgrund der stetig steigenden Zahl von Hackerangriffen gegen Unternehmun- gen und öffentliche Organe in der Schweiz und des potenziellen Schadens bei einem erfolgreichen Hackerangriff das öffentliche Interesse an der Verweige- rung der vom Gesuchsteller geforderten amtlichen Dokumente überwiegt, - das vorliegende Verfahren keinen erheblichen Aufwand verursachte, weshalb keine Gebühren erhoben werden (§ 17 Abs. 1 des Öffentlichkeitsgesetzes),

- 5 - K 2024 9 Folgender Beschluss: 1. Das Einsichtsgesuch wird abgewiesen, soweit darauf einzutreten ist. 2. Für den vorliegenden Beschluss werden keine Gebühren erhoben. 3. Gegen diesen Beschluss kann innert 30 Tagen seit der schriftlichen Eröffnung beim Schweizerischen Bundesgericht in Lausanne Beschwerde in öffentlich- rechtlichen Angelegenheiten eingereicht werden. 4. Mitteilung an den Gesuchsteller sowie zur Kenntnis an das Amt für Informatik und Organisation. Zug, 31. Januar 2025 Die Präsidentin Dr. iur. Diana Oswald