Fall Xplain: Aargauer Datenschützerin kritisiert Verwaltung scharf

24. Januar 2024 um 15:43
image
Katrin Gisler ist seit Januar 2024 Beauftragte für Öffentlichkeit und Datenschutz im Kanton Aargau.

Die Aargauer Datenlieferung an Xplain war laut einem Bericht der Datenschützerin "unzulässig". Vereinbarungen wurden nie überprüft, externe Audits gab es keine.

Die Aargauer Kantonsverwaltung hat im Vorfeld des Datendiebstahls bei der Softwarefirma Xplain gegen die Datenschutzbestimmungen verstossen. Dafür hat Gunhilt Kersten, die kantonale Beauftragte für Öffentlichkeit und Datenschutz, die Verwaltung in einem Bericht vom Dezember 2023 scharf kritisiert. Die Herausgabe der Daten sei "unzulässig" gewesen. Im Januar folgte Katrin Gisler auf Kersten und ist seitdem die neue Datenschutzverantwortliche.
Konkret hatte der Kanton dem Anbieter von Behördensoftware produktive und besonders schützenswerte Daten geliefert. Die Ransomware-Bande Play verübte im Mai 2023 einen Angriff auf Xplain und stahl eine riesige Datenmenge. Da Xplain kein Lösegeld bezahlte, veröffentlichte Play die Daten im Darknet.
Davon betrafen rund 10% (32 GB) Daten aus dem Aargauer Departement für Volkswirtschaft und Inneres (DVI). Veröffentlicht wurden unter anderem geschäftliche Kontaktdaten von Mitarbeitenden des Amts für Migration und Integration des Kantons Aargau (MIKA) und der Kantonspolizei sowie Kontaktdaten von Gemeinden und Sozialdiensten.
Das DVI lieferte die Daten laut Aargauer Regierungsrat im Rahmen von Software-Entwicklungsprojekten an Xplain. Die Verwaltung trug also ihren Anteil dazu bei, dass bei der Firma überhaupt sensible Daten gespeichert waren und geklaut werden konnten. Der Kanton arbeitet seit rund 10 Jahren mit der Firma in Interlaken zusammen.

Im Vertrag steht nichts von Datenbearbeitung

"Die Bearbeitung von besonders schützenswerten Personendaten ausserhalb der kantonalen IT-Infrastruktur war in den Verträgen mit Xplain nicht vorgesehen", heisst es im Bericht der Datenschützerin. Daher seien Xplain auch keine Vorgaben zur Gewährleistung der Datensicherheit bei der Bearbeitung besonders schützenswerter Personendaten gemacht worden.
"Dies ändert an der Schutzbedürftigkeit der Daten jedoch nichts", hält die Datenschutzbeauftragte im Bericht fest: "Die Übermittlung von Produktivdaten, insbesondere von besonders schützenswerten Personendaten an Xplain war daher unzulässig." Der Bericht (PDF) von Ende Dezember wurde auf der Website des Kantons publiziert.

Heikle Daten nicht zum Testen nutzen

Die allgemeinen Geschäftsbedingungen des Kantons Aargau über die Informationssicherheit und den Datenschutz (ISDS) sehen bei der Erbringung von Informatikdienstleistungen explizit vor, "dass Produktivdaten unter keinen Umständen zu Testzwecken benutzt werden dürfen", steht im Bericht weiter.
Das Innendepartement machte laut Bericht zwar geltend, dass produktive Daten nie zu Testzwecken, sondern zur Softwareentwicklung an den Dienstleister übermittelt worden seien.

Auch Kantonspolizei lieferte Daten

Darunter waren auch betriebliche Scans und Screenshots von Kundenbeziehungen, einzelne gescannte Verfügungen, Strafbefehle, Gerichts- und Verwaltungsentscheide sowie Daten des kantonalen Einwohnerregister und von JustThis (Geschäftsverwaltung Strafjustiz) und Polaris (Geschäftsverwaltung Polizei).
"Dabei handelt es sich auch um produktive, besonders schützenswerte Personendaten. Diese Daten waren von Abteilungen des DVI beziehungsweise der Kantonspolizei an Xplain übermittelt worden", heisst es im Bericht der Datenschutzbeauftragten.
Das DVI habe nicht eingehender abgeklärt, ob eine Übermittlung von Produktivdaten an Xplain erforderlich gewesen sei oder ob die Ziele auch auf der Infrastruktur des Kantons oder durch Verwendung von Test- oder anonymisierten Daten hätten erreicht werden können.

Kanton muss nachbessern

Weiter wird bemängelt: "Die verantwortlichen Stellen haben die Einhaltung der vertraglichen Vereinbarungen mit Xplain nicht direkt (oder durch Ersatzmassnahmen wie externe Audits) überprüft und diese fehlende Kontrolle wurde wiederum von der internen Dienstaufsicht nicht bemerkt."
Die Datenschutzbeauftragte empfiehlt, dass die internen Prozesse des DVI daraufhin überprüft werden sollen, ob die rechtzeitige Durchführung von Datenschutzfolgeabschätzungen darin genügend verankert seien. Auch soll geklärt werden, wer innerhalb des DVI für die Einhaltung der Datenschutzvorschriften verantwortlich sei.

Loading

Mehr zum Thema

image

Digitalisierungsprojekt scheitert im Schaffhauser Kantonsrat

Der Regierungsrat des Kantons Schaffhausen muss beim Projekt "Digitale Verwaltung" und dem Kredit über 18 Millionen Franken über die Bücher.

publiziert am 2.12.2024
image

Vom schwächsten Glied zum Sicherheits­faktor

Es greife zu kurz, den Menschen nur als Risikofaktor in der Cybersicherheit zu sehen, schreibt Verena Zimmermann. Vielmehr sollten die Fähigkeiten der Nutzenden gezielt zur Steigerung der Cybersicherheit eingesetzt werden.

publiziert am 2.12.2024
image

Zug öffnet seinen Datenschatz

Der neu lancierte Open-Government-Data-Katalog bietet für alle nutzbare und verständlich aufbereitete Daten von Stadt und Kanton Zug.

publiziert am 2.12.2024
image

St. Gallen will IT-Organisation komplett überarbeiten

Die IT-Organisation des Kantons ist "stark fragmentiert und nicht mehr zukunfts­orientiert". Bis 2030 soll sie deshalb grundlegend neugestaltet werden.

publiziert am 2.12.2024