Aargauer Datenlieferung an Xplain «unzulässig»

Die Aargauer Kantonsverwaltung hat im Vorfeld des Datendiebstahls bei der Softwarefirma Xplain gegen die Datenschutzbestimmungen verstossen.

Daher hat die kantonale Beauftragte für Öffentlichkeit und Datenschutz die Verwaltung in einem Bericht scharf kritisiert. Die Herausgabe der Daten sei «unzulässig» gewesen.

Konkret hatte der Kanton dem Anbieter von Behördensoftware produktive und besonders schützenswerte Daten geliefert.

Die Hackergruppe «Play» machte im ersten Halbjahr 2023 einen Ransomware-Angriff auf Xplain und lud eine riesige Datenmenge herunter. Da Xplain kein Lösegeld bezahlte, veröffentlichte «Play» die Daten im Darknet.

Das Aargauer Innendepartement machte laut Bericht zwar geltend, produktive Daten seien nie zu Testzwecken, sondern zur Softwareentwicklung an den Dienstleister übermittelt worden.

«Dies ändert an der Schutzbedürftigkeit der Daten jedoch nichts», hält die Datenschutzbeauftragte Gunhilt Kersten im Bericht fest: «Die Übermittlung von Produktivdaten, insbesondere von besonders schützenswerten Personendaten an Xplain AG war daher unzulässig.»