Die Aargauer Kantonsverwaltung hat im Vorfeld des Datendiebstahls bei der Softwarefirma Xplain gegen die Datenschutzbestimmungen verstossen. Daher hat die kantonale Beauftragte für Öffentlichkeit und Datenschutz die Verwaltung in einem Bericht scharf kritisiert. Die Herausgabe der Daten sei «unzulässig» gewesen.
Konkret hatte der Kanton dem Anbieter von Behördensoftware produktive und besonders schützenswerte Daten geliefert. Die Ransomware-Bande «Play» führte im ersten Halbjahr 2023 einen Hackerangriff auf Xplain durch und lud eine riesige Datenmenge herunter, wie watson publik machte. Da Xplain kein Lösegeld bezahlte, veröffentlichte «Play» mehr als 900 GB an gestohlenen Daten im Darknet.
Das Aargauer Departement Volkswirtschaft und Inneres (DVI) hatte die Daten laut Aargauer Regierungsrat im Rahmen von Software-Entwicklungsprojekten an Xplain geliefert. Die Verwaltung trug also ihren Anteil dazu bei, dass bei der Firma überhaupt sensible Daten gespeichert waren und geklaut werden konnten. Der Kanton arbeitet seit rund zehn Jahren mit der Firma in Interlaken BE zusammen.
«Die Bearbeitung von besonders schützenswerten Personendaten ausserhalb der kantonalen IT-Infrastruktur war in den Verträgen mit Xplain nicht vorgesehen», heisst es im Bericht. Daher seien Xplain auch keine Vorgaben zur Gewährleistung der Datensicherheit bei der Bearbeitung besonders schützenswerter Personendaten gemacht worden.
«Dies ändert an der Schutzbedürftigkeit der Daten jedoch nichts», hält die Datenschutzbeauftragte Gunhilt Kersten im Bericht fest: «Die Übermittlung von Produktivdaten, insbesondere von besonders schützenswerten Personendaten an Xplain AG war daher unzulässig.» Der Bericht von Ende Dezember wurde auf der Website des Kantons publiziert.
Die allgemeinen Geschäftsbedingungen des Kantons Aargau über die Informationssicherheit und den Datenschutz (ISDS) sehe bei der Erbringung von Informatikdienstleistungen explizit vor, «dass Produktivdaten unter keinen Umständen zu Testzwecken benutzt werden dürfen», steht im Bericht weiter.
Das Innendepartement machte laut Bericht zwar geltend, produktive Daten seien nie zu Testzwecken, sondern zur Softwareentwicklung an den Dienstleister übermittelt worden.
Darunter waren auch betriebliche Scans und Screenshots von Kundenbeziehungen, einzelne gescannte Verfügungen, Strafbefehle, Gerichtsentscheide und Verwaltungsentscheide sowie Daten des kantonalen Einwohnerregister und von JustThis (Geschäftsverwaltung Strafjustiz) und Polaris (Geschäftsverwaltung Polizei).
«Dabei handelt es sich auch um produktive, besonders schützenswerte Personendaten. Diese Daten waren von Abteilungen des DVI beziehungsweise der Kantonspolizei an Xplain AG übermittelt worden», heisst es im Bericht der Datenschutzbeauftragten.
Das DVI habe nicht eingehender abgeklärt, ob eine Übermittlung von Produktivdaten an Xplain erforderlich gewesen sei oder ob die Ziele auch auf der Infrastruktur des Kantons oder durch Verwendung von Test- oder anonymisierten Daten hätten erreicht werden können.
Die Hackergruppe «Play» veröffentlichte nach dem Datenklau bei Xplain insgesamt 32 Gigabyte Daten aus dem DVI. Veröffentlicht wurden unter anderem geschäftliche Kontaktdaten von Mitarbeitenden des Amts für Migration und Integration des Kantons Aargau (MIKA) und der Kantonspolizei sowie Kontaktdaten von Gemeinden und Sozialdiensten.
Die Datenschutzbeauftragte bemängelt, dass im Rahmen der internen Dienstaufsicht nicht bemerkt worden sei, dass unzulässige Datenbekanntgaben durch die verantwortlichen Stellen an Xplain AG erfolgt waren.
Die Datenschutzbeauftragte empfiehlt, dass die internen Prozesse des DVI daraufhin zu überprüfen seien, ob die rechtzeitige Durchführung von Datenschutz-Folgeabschätzungen darin genügend verankert seien. Auch soll geklärt werden, wer innerhalb des DVI für die Einhaltung der Datenschutzvorschriften verantwortlich sei.
(dsc/sda)