Die Aargauer Kantonsverwaltung hat im Vorfeld des Datendiebstahls bei der Softwarefirma Xplain gegen die Datenschutzbestimmungen verstossen. Dafür hat Gunhilt Kersten, die kantonale Beauftragte für Öffentlichkeit und Datenschutz, die Verwaltung in einem Bericht vom Dezember 2023 scharf kritisiert. Die Herausgabe der Daten sei "unzulässig" gewesen. Im Januar folgte Katrin Gisler auf Kersten und ist seitdem die neue Datenschutzverantwortliche.
Konkret hatte der Kanton dem Anbieter von Behördensoftware produktive und besonders schützenswerte Daten geliefert. Die Ransomware-Bande Play
verübte im Mai 2023 einen Angriff auf Xplain und stahl eine riesige Datenmenge. Da Xplain kein Lösegeld bezahlte, veröffentlichte Play die Daten im Darknet.
Davon betrafen rund 10% (32 GB) Daten aus dem Aargauer Departement für Volkswirtschaft und Inneres (DVI). Veröffentlicht wurden unter anderem geschäftliche Kontaktdaten von Mitarbeitenden des Amts für Migration und Integration des Kantons Aargau (MIKA) und der Kantonspolizei sowie Kontaktdaten von Gemeinden und Sozialdiensten.
Das DVI lieferte die Daten
laut Aargauer Regierungsrat im Rahmen von Software-Entwicklungsprojekten an Xplain. Die Verwaltung trug also ihren Anteil dazu bei, dass bei der Firma überhaupt sensible Daten gespeichert waren und geklaut werden konnten. Der Kanton arbeitet seit rund 10 Jahren mit der Firma in Interlaken zusammen.
Im Vertrag steht nichts von Datenbearbeitung
"Die Bearbeitung von besonders schützenswerten Personendaten ausserhalb der kantonalen IT-Infrastruktur war in den Verträgen mit Xplain nicht vorgesehen", heisst es im Bericht der Datenschützerin. Daher seien Xplain auch keine Vorgaben zur Gewährleistung der Datensicherheit bei der Bearbeitung besonders schützenswerter Personendaten gemacht worden.
"Dies ändert an der Schutzbedürftigkeit der Daten jedoch nichts", hält die Datenschutzbeauftragte im Bericht fest: "Die Übermittlung von Produktivdaten, insbesondere von besonders schützenswerten Personendaten an Xplain war daher unzulässig." Der
Bericht (PDF) von Ende Dezember wurde auf der Website des Kantons publiziert.
Heikle Daten nicht zum Testen nutzen
Die allgemeinen Geschäftsbedingungen des Kantons Aargau über die Informationssicherheit und den Datenschutz (ISDS) sehen bei der Erbringung von Informatikdienstleistungen explizit vor, "dass Produktivdaten unter keinen Umständen zu Testzwecken benutzt werden dürfen", steht im Bericht weiter.
Das Innendepartement machte laut Bericht zwar geltend, dass produktive Daten nie zu Testzwecken, sondern zur Softwareentwicklung an den Dienstleister übermittelt worden seien.
Auch Kantonspolizei lieferte Daten
Darunter waren auch betriebliche Scans und Screenshots von Kundenbeziehungen, einzelne gescannte Verfügungen, Strafbefehle, Gerichts- und Verwaltungsentscheide sowie Daten des kantonalen Einwohnerregister und von JustThis (Geschäftsverwaltung Strafjustiz) und Polaris (Geschäftsverwaltung Polizei).
"Dabei handelt es sich auch um produktive, besonders schützenswerte Personendaten. Diese Daten waren von Abteilungen des DVI beziehungsweise der Kantonspolizei an Xplain übermittelt worden", heisst es im Bericht der Datenschutzbeauftragten.
Das DVI habe nicht eingehender abgeklärt, ob eine Übermittlung von Produktivdaten an Xplain erforderlich gewesen sei oder ob die Ziele auch auf der Infrastruktur des Kantons oder durch Verwendung von Test- oder anonymisierten Daten hätten erreicht werden können.
Kanton muss nachbessern
Weiter wird bemängelt: "Die verantwortlichen Stellen haben die Einhaltung der vertraglichen Vereinbarungen mit Xplain nicht direkt (oder durch Ersatzmassnahmen wie externe Audits) überprüft und diese fehlende Kontrolle wurde wiederum von der internen Dienstaufsicht nicht bemerkt."
Die Datenschutzbeauftragte empfiehlt, dass die internen Prozesse des DVI daraufhin überprüft werden sollen, ob die rechtzeitige Durchführung von Datenschutzfolgeabschätzungen darin genügend verankert seien. Auch soll geklärt werden, wer innerhalb des DVI für die Einhaltung der Datenschutzvorschriften verantwortlich sei.