Fall Xplain: Aargauer Datenschützerin kritisiert Verwaltung scharf

24. Januar 2024 um 15:43
image
Katrin Gisler ist seit Januar 2024 Beauftragte für Öffentlichkeit und Datenschutz im Kanton Aargau.

Die Aargauer Datenlieferung an Xplain war laut einem Bericht der Datenschützerin "unzulässig". Vereinbarungen wurden nie überprüft, externe Audits gab es keine.

Die Aargauer Kantonsverwaltung hat im Vorfeld des Datendiebstahls bei der Softwarefirma Xplain gegen die Datenschutzbestimmungen verstossen. Dafür hat Gunhilt Kersten, die kantonale Beauftragte für Öffentlichkeit und Datenschutz, die Verwaltung in einem Bericht vom Dezember 2023 scharf kritisiert. Die Herausgabe der Daten sei "unzulässig" gewesen. Im Januar folgte Katrin Gisler auf Kersten und ist seitdem die neue Datenschutzverantwortliche.
Konkret hatte der Kanton dem Anbieter von Behördensoftware produktive und besonders schützenswerte Daten geliefert. Die Ransomware-Bande Play verübte im Mai 2023 einen Angriff auf Xplain und stahl eine riesige Datenmenge. Da Xplain kein Lösegeld bezahlte, veröffentlichte Play die Daten im Darknet.
Davon betrafen rund 10% (32 GB) Daten aus dem Aargauer Departement für Volkswirtschaft und Inneres (DVI). Veröffentlicht wurden unter anderem geschäftliche Kontaktdaten von Mitarbeitenden des Amts für Migration und Integration des Kantons Aargau (MIKA) und der Kantonspolizei sowie Kontaktdaten von Gemeinden und Sozialdiensten.
Das DVI lieferte die Daten laut Aargauer Regierungsrat im Rahmen von Software-Entwicklungsprojekten an Xplain. Die Verwaltung trug also ihren Anteil dazu bei, dass bei der Firma überhaupt sensible Daten gespeichert waren und geklaut werden konnten. Der Kanton arbeitet seit rund 10 Jahren mit der Firma in Interlaken zusammen.

Im Vertrag steht nichts von Datenbearbeitung

"Die Bearbeitung von besonders schützenswerten Personendaten ausserhalb der kantonalen IT-Infrastruktur war in den Verträgen mit Xplain nicht vorgesehen", heisst es im Bericht der Datenschützerin. Daher seien Xplain auch keine Vorgaben zur Gewährleistung der Datensicherheit bei der Bearbeitung besonders schützenswerter Personendaten gemacht worden.
"Dies ändert an der Schutzbedürftigkeit der Daten jedoch nichts", hält die Datenschutzbeauftragte im Bericht fest: "Die Übermittlung von Produktivdaten, insbesondere von besonders schützenswerten Personendaten an Xplain war daher unzulässig." Der Bericht (PDF) von Ende Dezember wurde auf der Website des Kantons publiziert.

Heikle Daten nicht zum Testen nutzen

Die allgemeinen Geschäftsbedingungen des Kantons Aargau über die Informationssicherheit und den Datenschutz (ISDS) sehen bei der Erbringung von Informatikdienstleistungen explizit vor, "dass Produktivdaten unter keinen Umständen zu Testzwecken benutzt werden dürfen", steht im Bericht weiter.
Das Innendepartement machte laut Bericht zwar geltend, dass produktive Daten nie zu Testzwecken, sondern zur Softwareentwicklung an den Dienstleister übermittelt worden seien.

Auch Kantonspolizei lieferte Daten

Darunter waren auch betriebliche Scans und Screenshots von Kundenbeziehungen, einzelne gescannte Verfügungen, Strafbefehle, Gerichts- und Verwaltungsentscheide sowie Daten des kantonalen Einwohnerregister und von JustThis (Geschäftsverwaltung Strafjustiz) und Polaris (Geschäftsverwaltung Polizei).
"Dabei handelt es sich auch um produktive, besonders schützenswerte Personendaten. Diese Daten waren von Abteilungen des DVI beziehungsweise der Kantonspolizei an Xplain übermittelt worden", heisst es im Bericht der Datenschutzbeauftragten.
Das DVI habe nicht eingehender abgeklärt, ob eine Übermittlung von Produktivdaten an Xplain erforderlich gewesen sei oder ob die Ziele auch auf der Infrastruktur des Kantons oder durch Verwendung von Test- oder anonymisierten Daten hätten erreicht werden können.

Kanton muss nachbessern

Weiter wird bemängelt: "Die verantwortlichen Stellen haben die Einhaltung der vertraglichen Vereinbarungen mit Xplain nicht direkt (oder durch Ersatzmassnahmen wie externe Audits) überprüft und diese fehlende Kontrolle wurde wiederum von der internen Dienstaufsicht nicht bemerkt."
Die Datenschutzbeauftragte empfiehlt, dass die internen Prozesse des DVI daraufhin überprüft werden sollen, ob die rechtzeitige Durchführung von Datenschutzfolgeabschätzungen darin genügend verankert seien. Auch soll geklärt werden, wer innerhalb des DVI für die Einhaltung der Datenschutzvorschriften verantwortlich sei.

Loading

Mehr erfahren

Mehr zum Thema

image

Thurgau beginnt mit der M365-Einführung

Für die kantonale Verwaltung soll ein "umfassender digitaler Arbeitsplatz" auf Microsoft-Cloud-Basis umgesetzt werden.

publiziert am 16.4.2024
image

Zero-Day-Lücke bedroht PAN-OS-Software von Palo Alto

Während drei Wochen konnten Hacker über eine kritische Schwachstelle in den betroffenen Systemen Remotecode ausführen. Der Hersteller empfiehlt dringende Massnahmen.

publiziert am 15.4.2024
image

Winterthur genehmigt Kredit für Steuersoftware Nest

Mit Winterthur fällt die nächste Zürcher Gemeinde den Entscheid für ein Nest-Update und bewilligt 4,6 Millionen Franken. Der Zuschlag ist bereits an KMS erfolgt.

publiziert am 15.4.2024
image

Wo sich der Grossteil der Cybercrime-Aktivitäten abspielt

Eine Forschungsarbeit der Universität Oxford zeigt die globalen Cybercrime-Hotspots. Dies soll dem privaten wie öffentlichen Sektor helfen, Ressourcen gezielt einzusetzen.

publiziert am 12.4.2024