Aargauer Datenlieferung an Xplain ist laut Datenschutz "unzulässig"

Die Herausgabe der Daten sei "unzulässig" gewesen.

Konkret hatte der Kanton dem Anbieter von Behördensoftware produktive und besonders schützenswerte Daten geliefert. Die Hackergruppe "Play" machte im ersten Halbjahr 2023 einen Ransomware-Angriff auf Xplain und lud eine riesige Datenmenge herunter. Da Xplain kein Lösegeld bezahlte, veröffentlichte "Play" die Daten im Darknet.

Das Aargauer Departement Volkswirtschaft und Inneres (DVI) lieferte die Daten laut Aargauer Regierungsrat im Rahmen von Software-Entwicklungsprojekten an Xplain. Die Verwaltung trug also ihren Anteil dazu bei, dass bei der Firma überhaupt sensible Daten gespeichert waren und geklaut werden konnten. Der Kanton arbeitet seit rund zehn Jahren mit der Firma in Interlaken BE zusammen.

"Die Bearbeitung von besonders schützenswerten Personendaten ausserhalb der kantonalen IT-Infrastruktur war in den Verträgen mit Xplain nicht vorgesehen", heisst es im Bericht. Daher seien Xplain auch keine Vorgaben zur Gewährleistung der Datensicherheit bei der Bearbeitung besonders schützenswerter Personendaten gemacht worden.

"Dies ändert an der Schutzbedürftigkeit der Daten jedoch nichts", hält die Datenschutzbeauftragte Gunhilt Kersten im Bericht fest: "Die Übermittlung von Produktivdaten, insbesondere von besonders schützenswerten Personendaten an Xplain AG war daher unzulässig." Der Bericht von Ende Dezember wurde auf der Website des Kantons publiziert.

Die allgemeinen Geschäftsbedingungen des Kantons Aargau über die Informationssicherheit und den Datenschutz (ISDS) sehe bei der Erbringung von Informatikdienstleistungen explizit vor, "dass Produktivdaten unter keinen Umständen zu Testzwecken benutzt werden dürfen", steht im Bericht weiter.

Das Innendepartement machte laut Bericht zwar geltend, produktive Daten seien nie zu Testzwecken, sondern zur Softwareentwicklung an den Dienstleister übermittelt worden.