Datenschutz nicht eingehalten: Aargau hätte sensible Daten gar nicht an Softwarefirma geben dürfen
Die Xplain AG, eine Schweizer Anbieterin von Behördensoftware, wurde im Mai 2023 Opfer eines Cyberangriffs der Hackergruppe «Play». Das Unternehmen weigerte sich, ein Lösegeld an die Hackergruppe zu zahlen. Die Folge: 342 Gigabyte Daten landeten im Juni 2023 im Darknet.
Davon waren auch Daten des Aargauer Departements Volkswirtschaft und Inneres (DVI) betroffen, das schon seit rund zehn Jahren mit Xplain zusammenarbeitet. Das DVI lieferte im Rahmen von Softwareentwicklungsprojekten Daten an Xplain. Jetzt hat Gunhilt Kersten, die ehemalige Aargauer Beauftragte für Öffentlichkeit und Datenschutz, die Verwaltung scharf kritisiert. In einem Bericht schreibt sie, dass die Weitergabe der Daten unzulässig war.
Dies, weil ein öffentliches Organ den Schutz von Personendaten sicherstellen muss, wenn es diese durch Dritte bearbeiten lässt. Das DVI habe dies nicht gemacht, weil die Bearbeitung von besonders schützenswerten Personendaten ausserhalb der kantonalen IT-Infrastruktur mit Xplain AG nicht vorgesehen war.
Auch dürften gemäss den Allgemeinen Geschäftsbedingungen des Kantons Aargau über die Informationssicherheit und den Datenschutz (ISDS) Produktivdaten «unter keinen Umständen zu Testzwecken benutzt werden». Das DVI behaupte zwar, die Daten seien nicht für Tests, sondern für die Softwareentwicklung übermittelt worden. «Dies ändert an der Schutzbedürftigkeit der Daten jedoch nichts», heisst es im Bericht von Kersten weiter.
Zudem hätte das DVI prüfen müssen, ob die Erbringung der Dienstleistung von Xplain einen Zugriff auf Personendaten erfordert oder ob der Auftrag auch mit anonymisierten Testdaten möglich gewesen wäre.
Verantwortlichkeiten innerhalb des DVI müssen geklärt werden
Zu den insgesamt 32 Gigabyte Daten aus dem DVI, die im Darknet landeten, zählen unter anderem geschäftliche Kontaktdaten von Mitarbeitenden des Amts für Migration und Integration des Kantons Aargau (MIKA) und der Kantonspolizei, Kontaktdaten von Gemeinden, Sozialdiensten und Strafbefehle, Gerichtsentscheide sowie Verwaltungsentscheide.
Die kantonale Beauftragte für Öffentlichkeit und Datenschutz empfiehlt dem DVI folgende Schritte:
- Die internen Prozesse des DVI sind daraufhin zu überprüfen, ob die rechtzeitige Durchführung von Datenschutz-Folgenabschätzungen darin genügend verankert ist.
- Die Verantwortlichkeiten innerhalb des DVI betreffend Kontrolle der Einhaltung der Datenschutzvorschriften sind zu klären.
Der Fall Xplain sei der «spektakulärste Fall einer Datenschutzverletzung» im Kanton Aargau in ihrer 16-jährigen Amtszeit, sagte Gunhilt Kersten im Interview mit der AZ im November 2023. (fan)