Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB
Schlussbericht und Empfehlungen
vom 25. April 2024
des
Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)
in Sachen Xplain AG
aufgrund Ransomware-Vorfall
gemäss
Artikel 29 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (aDSG) in Verbindung mit Artikel 70 Bundesgesetz vom 25. September 2020 über den Datenschutz (DSG)
Inhaltsverzeichnis 1. Ausgangslage ................................................................................................................................. 1 1.1. Anlass ...................................................................................................................................... 1 1.2. Chronologie der wesentlichen Verfahrensschritte ................................................................... 1 1.3. Umfang der Sachverhaltsabklärung ........................................................................................ 1
2. Sachverhalt ..................................................................................................................................... 2 2.1. Einleitung ................................................................................................................................. 2 2.2. IT-Infrastruktur ......................................................................................................................... 2 2.3. Anwendungen für die Bundesverwaltung ................................................................................ 4 2.4. Personendaten auf dem Fileserver ......................................................................................... 5 2.5. Xplain als Dienstleister ............................................................................................................ 7 2.6. Datenübertragungen aus Sicht Xplain..................................................................................... 7 2.7. Verhältnis Xplain und BAZG .................................................................................................... 8 2.8. Datenübertragungen von BAZG an Xplain .............................................................................. 8 2.8.1. eneXs-mobile ................................................................................................................... 8 2.8.2. Daten für die Anwendungsentwicklung ........................................................................... 9 2.9. Verhältnis Xplain und fedpol .................................................................................................... 9 2.10. Datenübertragungen von fedpol an Xplain .............................................................................. 9 2.10.1. Datenübertragungen aus ORMA ................................................................................... 10 2.10.2. Datenübertragungen im Projekt HOOGAN ................................................................... 10 2.10.3. Datenübertragungen durch eneXs-mobile .................................................................... 11 2.11. Verträge mit der Bundesverwaltung ...................................................................................... 11 2.11.1. Vertragssituation mit fedpol ........................................................................................... 11 2.11.2. eneXs-mobile ................................................................................................................. 11 2.11.3. ORMA ............................................................................................................................ 11 2.11.4. HOOGAN ....................................................................................................................... 12 2.11.5. Vertragssituation mit BAZG ........................................................................................... 12 2.11.6. eneXs-mobile ................................................................................................................. 12 2.12. Personensicherheitsüberprüfung .......................................................................................... 12 2.13. Ransomware-Vorfall .............................................................................................................. 13 2.14. Reaktion von Xplain auf den Ransomware-Vorfall ................................................................ 14 2.14.1. Unmittelbare Reaktion ................................................................................................... 14 2.14.2. Aufarbeitung .................................................................................................................. 14
3. Stellungnahme zum Sachverhalt ................................................................................................ 15 4. Datenschutzrechtliche Beurteilung ............................................................................................ 16 4.1. Allgemeine formelle Bemerkungen ....................................................................................... 16 4.2. Allgemeine materielle Bemerkungen..................................................................................... 16 4.2.1. Bearbeiten von Personendaten ..................................................................................... 16 4.2.2. Datenschutzrechtliche Anforderungen an das Bearbeiten von Personen- daten ...... 17 4.3. Die Rolle von Xplain .............................................................................................................. 17 4.3.1. Xplain als Verantwortlicher ............................................................................................ 17 4.3.2. Xplain als Auftragsbearbeiter ........................................................................................ 17 4.4. Vertragliche Vereinbarungen mit der Bundesverwaltung (BAZG, fedpol) ......................... 18 4.5. Datenübertragungen an Xplain ............................................................................................. 20 4.5.1. Xplain als Auftragsbearbeiter und als Verantwortlicher ................................................ 22 4.6. Verletzung des Grundsatzes der Datensicherheit ................................................................. 22 4.7. Verletzung der Grundsätze der Rechtmässigkeit, der Verhältnismässigkeit und der Zweckbindung .................................................................................................................................... 24 4.8. Persönlichkeitsverletzung und Rechtfertigung ...................................................................... 25 4.9. Systemfehler .......................................................................................................................... 26
4.10. Aufarbeitung Ransomware-Vorfall ........................................................................................ 26 4.11. Fazit ....................................................................................................................................... 26
5. Empfehlungen .............................................................................................................................. 28 6. Abschluss des Verfahrens .......................................................................................................... 30 6.1. Rechtliches Gehör und weiteres Vorgehen ........................................................................... 30 6.2. Veröffentlichung des Schlussberichts ................................................................................... 30
7. Anhang 1: Wichtigste Dokumente .............................................................................................. 32 8. Anhang 2: Glossar ....................................................................................................................... 33 Abbildungsverzeichnis Abbildung 1: Überblick zum allgemeinen Systemaufbau der Xplain. .................................................... 3 Abbildung 2: Vereinfachte Illustration des Hackervorfalls auf die Xplain AG. .................................... 13 Tabellenverzeichnis Tabelle 1: Xplain-Anwendungen für die Bundesverwaltung. .................................................................. 5 Tabelle 2: Übersicht Datenbestand. ....................................................................................................... 6 Tabelle 3: Übersicht über die betroffenen Dateneigner. ......................................................................... 6 Tabelle 4: Betroffene Dateneigner in der Bundesverwaltung. ................................................................ 6 Tabelle 5: Sensitive Daten der Bundesverwaltung. ................................................................................ 7
Seite 1 von 34
1. Ausgangslage 1.1. Anlass 1. Im Mai 2023 ereignete sich ein Ransomware-Vorfall auf das Unternehmen Xplain AG (nachfolgend: Xplain). Xplain ist ein Informatik-Dienstleister verschiedener Bundesorgane und Kantone im Bereich der öffentlichen Sicherheit. Der Vorfall hat zum Abfluss erheblicher Datenmengen geführt, die auf den Systemen von Xplain gespeichert waren. Die Daten wurden in der Folge in Tranchen im Darknet veröffentlicht: Am 1. Juni 2023 wurde eine erste Tranche von 5 GB veröffentlicht, am 14. Juni 2023 folgte eine zweite Tranche von ca. 420 GB, welche auch die zuvor publizierte Tranche umfasste. Betroffen davon waren auch personenbezogene und damit datenschutzrelevante Daten. 2. Am 7. Juni 2023 erfolgte eine Meldung der Datenschutzverletzung via Meldeportal durch Xplain an den EDÖB. Am 13. Juli 2023 hat der EDÖB eine Sachverhaltsabklärung gegen Xplain eröffnet. 3. Parallel eröffnete der EDÖB auch Sachverhaltsabklärungen gegen das Bundesamt für Polizei fedpol (nachfolgend: fedpol) sowie das Bundesamt für Zoll und Grenzsicherheit BAZG (nachfolgend: BAZG), die umfassende Dienstleistungen von Xplain beziehen. 1.2. Chronologie der wesentlichen Verfahrensschritte 07.06.2023 Meldung Datenschutzverletzung via Meldeportal durch Xplain an EDÖB. 13.07.2023 Eröffnung Sachverhaltsabklärung durch den EDÖB an Xplain. 24.07.2023 Schreiben Xplain an EDÖB. 04.08.2023 Zustellung Editionsaufforderung an Xplain. 25.08.2023 Stellungnahme AG für Xplain zu Editionsaufforderung. 07.11.2023 Besprechung mit AG und Xplain (Protokoll). 08.01.2024 Beantragung weitere Auskünfte. 22.01.2024 Zusendung neue Akten und Auskünfte 15.02.2024 Nachfrage Versicherungspolice (Cyberversicherung). 29.02.2024 Übermittlung Versicherungspolice (Cyberversicherung). 08.03.2024 Sachverhaltsfeststellung an Xplain. 22.03.2024 Erhalt Stellungnahme Sachverhaltsfeststellung. 04.04.2024 Sachverhaltsfeststellung an Xplain zur Beantragung von Schwärzungen. 1.3. Umfang der Sachverhaltsabklärung 4. Mit der Sachverhaltsabklärung prüft der EDÖB einerseits, ob die Datenbearbeitungen von Xplain den Anforderungen des Datenschutzgesetzes (DSG) genügen, und andererseits gibt er bei der Feststellung von Mängeln Empfehlungen ab. Im Fokus stehen dabei die Datenbearbeitungen von Xplain im Zusammenhang mit der Bundesverwaltung im Zeitpunkt des Ransomware-Vorfalls. Dabei werden insbesondere die Datenbearbeitungen des fedpol und des BAZG mittels der Software eneXs-mobile und ORMA sowie in Bezug auf ein Projekt betreffend HOOGAN näher geprüft.
Seite 2 von 34
2. Sachverhalt 2.1. Einleitung 5. Xplain ist ein privates Unternehmen (AG) mit Sitz in Interlaken und zwei Entwicklungspartnerschaften mit Niederlassungen in Deutschland und Spanien im Besitz von zwei Verwaltungsräten der Xplain und je einen Mitarbeitenden. Zusammen mit den Niederlassungen beschäftigt das Unternehmen rund 70 Mitarbeitende. 6. Gemäss eigener Beschreibung ist das Unternehmen seit der Gründung im Jahr 2000 fast ausschliesslich als Lieferantin von Standard-Software für die Innere Sicherheit tätig und arbeitet für Behörden und Organisationen mit Sicherheits-, Migrations-, Strafverfolgungs- und Strafvollzugsaufgaben. Für diese Behörden und Organisationen bietet Xplain «innovative Softwareprodukte mit einer vollständigen Abdeckung der Arbeitsprozesse von der Erstaufnahme bis zur Archivierung an. Der Fokus der Lösungen liegt auf der hohen Automatisierung der «Kilowäsche» und der Einhaltung der gesetzlichen Vorgaben, insbesondere auch der Formvorschriften der Strafprozessordnung sowie dem schnellen und nachvollziehbaren Austausch der Informationen zwischen allen Beteiligten – auch mobil. In den letzten 22 Jahren haben sich über 30 Organisationen unter anderem aus Polizei, Strafverfolgung, Justiz, Vollzug und Migration für eine Lösung von Xplain entschieden». 2.2. IT-Infrastruktur 7. Im Mai 2023 bezog Xplain vom Hostanbieter AG Dienstleistungen wie Host Services – (Hyper-V-Server), Dedicated Services – (eigenständige physische Server) und Cloud Services – (Datenablagen). Nach Bekanntwerden des Ransomware-Vorfalls wurde die weitere Zusammenarbeit mit AG sistiert. 8. Auf den von AG bereitgestellten Systemen befanden sich im Mai 2023 Referenzinstallationen, Entwicklungsserver, Testserver sowie einige Administrations- und Build-Umgebungen von Xplain. Abbildung 1 illustriert den allgemeinen Systemaufbau und gibt einen Überblick zu den Verbindungen zwischen AG und Xplain.
Seite 8 von 34
2.7. Verhältnis Xplain und BAZG 25. Die Dienstleistungen von Xplain für das BAZG umfassen die Entwicklung und Bereitstellung des Produktes «eneXs». Das Produkt eneXs ist eine kundenspezifische Entwicklung, welches die Anforderungen einer Grenzkontrolllösung an der Schengen-Aussengrenze, an den Binnengrenzen und im Inland abdeckt. Die Anwendung eneXs stationär wurde im Herbst 2023 durch ein neues Grenzkontrollsystem, welches durch einen Drittanbieter entwickelt wurde, abgelöst. Die mobile Lösung eneXs-mobile ist derzeit noch im Einsatz. Dessen Nachfolgelösung (GKS mobile) wird laut BAZG voraussichtlich im Q2 2024 in Betrieb genommen. 26. Genutzt werden kann eneXs sowohl von FAT-Clients aus der VDI sowie von mobilen Geräten. Dabei ermöglicht eneXs das Lesen von Daten und initialisiert basierend darauf eine automatische Abfrage in Fahndungs- und Administrativ-Datenbanken wie bspw. RIPOL. Der eneXs-Server selbst befindet sich in der Shared Services Zone (SSZ) des BIT. Die SSZ unterliegt den Betriebsauflagen der BV und wird bezüglich Sicherheitsauflagen analog aller Anwendungen in den BIT Rechenzentren betrieben. Der Zugriff auf die SSZ wird mittels Firewall geschützt. Damit wurden die Auflagen des ISC-EJPD für den eneXs-Server sichergestellt. 2.8. Datenübertragungen von BAZG an Xplain 2.8.1. eneXs-mobile 27. Das BAZG setzte im Mai 2023 bei der Grenzkontrolllösung die mobile und stationäre Grenzkontrolllösung «eneXs» ein. Xplain ist nebst der Lieferung der Software auch für die Pflege und den Support sowie die Weiterentwicklung zuständig. 28. Die Software eneXs-stationär und eneXs-mobile sind zwei Anwendungen, mit welchen Dokumente eingelesen und Fahndungsabfragen durchgeführt werden können. Weiter werden die daran angeschlossenen Geräte wie bspw. Passleser, Fingerabdruckscanner, Kamera etc. gesteuert. Die Software eneXs selbst enthält keine Datenbank, jedoch wird ein Teil der biometrischen Indikatoren und Prozess-Daten für eine begrenzte Zeit, alleinig für Kontrollprozesse, zwischengespeichert und anschliessend automatisch gelöscht. 29. Wie bei der Verwendung von Software üblich, können auch bei eneXs Fehler auftreten. Denkbare Fehlerarten beziehen sich dabei insbesondere auf die elektronische Dokumentenüberprüfung, fehlende, unvollständige Treffer oder False Positives. In der Folge kann dieses Verhalten zu fehlerhaften Detailanzeigen führen, oder die Performance der Anwendung, wie Verbindungsprobleme oder Latenz kann Anomalien aufweisen. Der Fehler muss reproduzierbar sein, damit Xplain infolgedessen in die Lage versetzt wird, den Fehler zu beheben. Von einem aufgetretenen Fehler werden durch eine Funktion in der Anwendung eneXs-mobile die benötigten Screenshots oder Fehler-Reports erstellt. Diese werden durch das BAZG in der Folge manuell an Xplain geschickt. Xplain analysiert daraufhin die generierten Reports auf Ihrer eigenen Infrastruktur mit dem Ziel der Fehlerbehebung. 30. Für die Anwendung eneXs-mobile wird das LogFile gesichert, das anschliessend per E-Mail an die eigene BAZG-E-Mail-Adresse des BAZG-Mitarbeitenden geschickt wird. Danach sendet der BAZG-Mitarbeitende das LogFile an das interne 2nd- Level Supportteam des BAZG. Das BAZG Supportteam sichtet seinerseits den Fehler, u.a. auch um sicherzustellen, dass gleiche Fehler nicht mehrfach an Xplain gemeldet werden. Fehler, welche durch das BAZG-Supportteam im Rahmen des 2nd Level Supports gelöst werden können, werden BAZG intern erledigt und nicht an Xplain gesendet. Handelt es sich jedoch um einen systembedingten Fehler, wird der Fehlerbericht nach vorheriger Rücksprache mit Xplain auf dem sogenannten T-Laufwerk, einem zentralen Fileshare der Bundesverwaltung, abgelegt. 31. Im Anschluss erfolgt eine Vollzugsmeldung mittels E-Mail oder Telefon an Xplain, dass der angemeldete Fehlerbericht oder das Logfile zur Analyse auf dem T-Laufwerk bereit liegt. Damit Xplain
Seite 9 von 34
auf das T-Laufwerk zugreifen kann, wird via BAB-Client-BAZG ein Remotezugriff ermöglicht. Daraufhin kann der Fehlerbericht von Xplain vom T-Laufwerk zwecks Analyse, auf ihre eigene Infrastruktur kopiert werden. Im Anschluss an den Kopiervorgang werden die auf dem T-Laufwerk des BAZG abgelegten Fehlerberichte dort von Xplain gelöscht. 32. Die Software eneXs-mobile verfügt zudem seit der Einführung über eine Funktion, durch welche die Benutzerin oder der Benutzer aktiv eine Fehlermeldung inklusive Log-Dateien an einen FTP- Server versenden kann. Die Zugangsdaten zu dem FTP- Server waren im Programmcode fest (hard coded) hinterlegt. Eine Übermittlung war und ist bei der Bundesverwaltung bzw. bei BAZG nicht möglich, weil die Netzwerke der Bundesverwaltung einen Versand auf einen externen FTP- Server nicht zulassen. Daher konnten durch das BAZG keine Fehlermeldungen über einen FTP- Server an Xplain übermittelt werden. 2.8.2. Daten für die Anwendungsentwicklung 33. Wie vom BAZG ausgeführt, stehen für die Entwicklung und Wartung im Allgemeinen Testdaten des jeweils betroffenen Informationssystems zur Verfügung. «Einzelne externe Informationssysteme enthalten aber in ihrer Integrationsumgebung auch produktive Daten (reelle bzw. scharfe Daten). Das heisst, dass je nach Informationssystem Xplain entweder nur Testdaten oder aber auch produktive Daten zur Vertragserfüllung zur Verfügung standen». Gemäss Xplain sei es für sie nicht erkennbar gewesen, um welche Datenkategorien es sich handelte. 34. Die Xplain-Zugriffe auf interne Informationssysteme des BAZG erfolgten auf eine sogenannte Referenzinstallation, nicht aber auf die Produktionsumgebung. Auf die Informationssysteme «Argos» und «E-Lynx» hatte Xplain wiederum nur auf Testdaten Zugriff. Demgegenüber waren im Informationssystem Rumaca auch produktive Daten in der Referenzinstallation hinterlegt. Gemäss Xplain seien die ausgetauschten Daten von Rumaca nicht vom Ransomware-Vorfall betroffen. 2.9. Verhältnis Xplain und fedpol 35. Die Zusammenarbeit von fedpol mit Xplain besteht aus IT-Projektbegleitung, Softwareentwicklung und -Weiterentwicklung sowie der Wartung und dem Support der von Xplain an fedpol gelieferten Anwendungen ORMA, und eneXs-mobile. Die von fedpol genutzten Anwendungen selbst werden beim bundesinternen Leistungserbringer ISC-EJPD betrieben. Ausnahmen bilden die Anwendungen eneXs-mobile und Der Betrieb von eneXsmobile erfolgte durch das BIT im Auftrag des BAZG, und ist eine lokale Anwendung. 2.10. Datenübertragungen von fedpol an Xplain 36. Gemäss Angaben von fedpol hätten Mitarbeitende von Xplain zu keinem Zeitpunkt Zugriff auf die Serverinfrastruktur beim ISC-EJPD. Der Programmcode für diese Anwendungen sei durch Xplain bereitgestellt und durch das ISC-EJPD auf deren eigener Umgebung implementiert worden. Eine systematische Datenweitergabe sei nie Gegenstand der Zusammenarbeit zwischen dem BAZG und Xplain gewesen. 37. Xplain hält seinerseits fest, dass sie nicht beauftragt waren, Kundendaten zu hosten oder zu bearbeiten. Es bestünden zwar Verträge zu Unterhalt, Support und Wartung der Applikationen, diese würden aber nicht Hosting und Bearbeitung von Personendaten beinhalten. Datenhosting und Datenbearbeitung bilde nicht Servicebestandteil von Xplain als Softwareentwicklerin. Das Geschäftsmodell von Xplain bestehe nicht darin, im Auftrag von Kunden Personendaten zu bearbeiten, sondern in der Entwicklung von Software, welche anschliessend auf den Systemen der Kunden betrieben und verwaltet werden. 38. Sowohl bei eneXs-mobile als auch bei ORMA erfolgt der 1st und 2nd Level Support beim EJPD, der 3rd Level Support bei Xplain. 39. Aufgrund von Ressourcenknappheit im internen 2nd Level Support bei fedpol hat Xplain den 2nd Level Support personell unterstützt. Dazu nahmen drei Personen von Xplain für fedpol Aufgaben
Seite 10 von 34
in den Bereichen Betrieb, Wartung, Support und Weiterentwicklung wahr. Diese Arbeiten von Xplain erfolgten über die Infrastruktur von fedpol und auf von fedpol zur Verfügung gestellten dedizierten Endgeräten, gemäss dem Berechtigungs- und Zugriffskonzept von fedpol. Die Personen verfügten jeweils über ein fedpol Notebook mitsamt einem so genannten X-Account für externe Dienstleister. Damit verbunden verfügten diese Mitarbeitende über eine fedpol-Mailbox, über welche E-Mails mit anderen fedpol Mitarbeitenden über die Bundesinfrastruktur ausgetauscht werden konnten. Damit war auch eine Verschlüsselung sensibler Inhalte möglich. Weiter verfügten diese drei Mitarbeitenden auf der Produktions- und der Integrationsumgebung über einen Zugang zum Single Sign on Portal (SSO-Portal) des ISC-EJPD und zur Anwendung ORMA. 40. Xplain erfüllte für fedpol den 3rd Level Support, namentlich für die Anwendungen eneXs-mobile und ORMA. Für die Erfüllung des 3rd Level Supports muss ein Fehler in der Software – nicht auf Applikationsebene – vorliegen. Der ordentliche Ablauf gestaltete sich wie folgt: das Problem wurde, wenn möglich, auf der Testumgebung der Bundesstellen durch den dort zuständigen Mitarbeitenden nachgespielt. Darauf gestützt wurde durch den Anwendungsverantwortlichen (AV) bei fedpol die Fehlermeldung erstellt, die dieser anschliessend im Fall von eneXs-mobile per E- Mail an support@xplain.ch und im Fall von ORMA per JIRA oder einen Sharepoint an Xplain übermittelte. 41. Xplain betreibt innerhalb ihrer eigenen IT-Infrastruktur eine Instanz der Software JIRA. JIRA wird von Xplain als Ticketingsystem genutzt. Aus dem Bereich «PSI-POLS Betrieb und Support» haben fedpol Mitarbeitende Zugriff auf JIRA und können selbst Support-Tickets erstellen und bearbeiten. Der Austausch von schriftlichen Informationen erfolgt mehrheitlich per E-Mail. Hiermit werden Informationen zu Projekten, dem Betrieb und Support sowie der Weiterentwicklung ausgetauscht. 42. Xplain selbst hält fest, dass sie, wo es für sie überhaupt ersichtlich war, keine sensitiven Daten wollten. Generell seien sie von fedpol auch nicht geschult und instruiert worden. 2.10.1. Datenübertragungen aus ORMA 43. Die Anwendung ORMA verfügt über eine integrierte Supportfunktion, welche Fehlerberichte aufzeichnen und auch übermitteln kann. Dazu muss der Benutzer diese Funktion manuell einschalten. Danach wurden durch die Supportfunktion die Inhalte aller momentan geöffneten Anwendungen aus dem Zwischenspeicher (Cache) abgegriffen. In der Folge wurde daraus eine ZIP-Datei generiert, welche im Anschluss manuell zur Fehleranalyse an Xplain weitergeleitet wurde. 44. Der Austausch von schriftlichen Informationen erfolgte mehrheitlich per E-Mail, für die Wartung und den Support für ORMA über JIRA sowie einen Sharepoint nur für ORMA. Hiermit wurden Informationen zu Projekten, dem Betrieb und Support sowie der Weiterentwicklung ausgetauscht. 45. Der in den vorangehenden Ziffern beschriebene Prozess wurde von einem Anwendungsverantwortlichen in einem anderen Bundesamt, dass die gleiche Anwendung von Xplain bezieht, im Jahr 2020 bemerkt. Daraufhin wurde bei Xplain vom Anwendungsverantwortlichen eine Anforderung zur Behebung spezifiziert. Ab diesem Zeitpunkt wurden produktive Daten vor dem Weiterleiten aus den ErrorReport.zip- Dateien von Personen des entsprechenden Amts vor der Übermittlung an Xplain herausgelöscht. 2.10.2. Datenübertragungen im Projekt HOOGAN 46. Fedpol beauftragte im Jahr 2012 Xplain mit der Umsetzung einer Zutrittskontrolle durch Abgleiche mit den Einträgen in der HOOGAN-Datenbank für den Zutritt ins Stadion. Als bei der Zutrittskontrolle und dem Abgleich der HOOGAN-Datenbankeinträge Probleme auftraten, wurde Xplain mit der Fehlerbehebung beauftragt. In diesem Zusammenhang hat fedpol einen Auszug aus HOO- GAN-Datenbank aus dem Jahr 2015 per E-Mail an einen Xplain Mitarbeitenden gesandt. 47. Dieser Auszug wurde vom Xplain Mitarbeitenden auf seinem persönlichen Laufwerk abgelegt, worauf nur er und Administratoren Zugriff hatten. Dieser Auszug wurde im Darknet veröffentlicht. Xplain hält fest, dass keine vertragliche Grundlage für die Übermittlung des Auszugs aus der
Seite 11 von 34
HOOGAN-Datenbank bestanden hätte. Sie hätten die Daten ohne Hinweis, dass es sich um «scharfe Daten» handle, und ohne Instruktionen erhalten. Gleichwohl habe Xplain die Fehlerbehebung gemäss dem danach üblichen Vorgehen für 3rd Level Support erledigt. 2.10.3. Datenübertragungen durch eneXs-mobile 48. Die Datenübertragung durch eneXs-mobile erfolgte beim fedpol vergleichbar wie beim BAZG (siehe Ziffer 29 ff.). 2.11. Verträge mit der Bundesverwaltung 49. Aufgrund der langjährigen Geschäftsbeziehungen besteht eine grosse Anzahl von Verträgen und Nachträgen zu Verträgen mit der Bundesverwaltung. Von Interesse im vorliegenden Zusammenhang ist die Vertragssituation in Bezug auf die Datenübertragungen an Xplain im Zeitpunkt Mai 2023. Dabei werden die Verträge von Xplain mit fedpol respektive BAZG in Bezug auf die drei erwähnten Anwendungen betrachtet. 2.11.1. Vertragssituation mit fedpol 50. Bei fedpol bestehen seit 2003 verschiedene Anwendungen, die Xplain entwickelt, weiterentwickelt und für diese zusätzlich Wartungs- und Support-Dienstleistungen erfüllt. Es bestehen daher zahlreiche Verträge zwischen fedpol und Xplain. In der Regel wurde als erstes ein Entwicklungsvertrag abgeschlossen, worauf mehrere Weiterentwicklungsverträge mit Support und Wartung sowie Lizenzverträge vereinbart wurden. Diese Verträge wurden in einem Intervall von ca. fünf Jahren jeweils erneuert. So kamen etwas über 100 Verträge zustande. 51. Die Verträge wurden in der Regel auf Grundlage der Vorlagen des BBL erstellt. 2.11.2. eneXs-mobile 52. eneXs-mobile ist bei fedpol seit 2020 in Betrieb. Fedpol hat mit Xplain einen Vertrag abgeschlossen betreffend die Erbringung von Informatikdienstleitungen im Zusammenhang mit der Aufschaltung von eneXs-mobile.2 Neben dem Vertrag wurden die folgenden Dokumente als Vertragsbestandteile integriert: Verpflichtungserklärung pro Mitarbeitenden, die AGB für Informatikdienstleistungen des Bundes (Ausgabe 20. Oktober 2010) sowie das Angebot der Auftragnehmerin vom 22. März 2019. Der Vertrag wurde bis zum 31. Dezember 2022 abgeschlossen. Die Vertragsverlängerung bis Ende 2023 wurde Mitte 2023 gestoppt. 2.11.3. ORMA 53. ORMA ist seit ca. 2004 in Betrieb. Fedpol hat mit Xplain mehrere Verträge abgeschlossen für die Wartung und Pflege sowie Weiterentwicklung der Anwendung ORMA, die im Zeitpunkt des Ransomware-Vorfalls im Mai 2023 gültig waren: Vertrag für die Erbringung von Informatikdienstleistungen (Auftrag), abgeschlossen für den Zeitraum vom 01. Januar 2015 bis 31. Dezember 2024.3 Vertrag für die Erbringung von Informatikdienstleistungen (Auftrag), Dienstleistungen ORMA 2018+, Zusatzaufwände 2023, abgeschlossen für den Zeitraum 01. Januar 2015 bis 31. Dezember 2023.4
2 Vertrag für die Erbringung von Informatikdienstleistungen (Auftrag), 0316004366. 3 Referenz Nr.: 0316000091. 4 Referenz Nr.: 0316000091 / 500.
Seite 12 von 34
Vertrag für die Erbringung von Informatikdienstleistungen (Auftrag), Dienstleistungen Clean ORMA Phase 2, 2023 abgeschlossen für den Zeitraum vom 01. Januar 2015 bis 31. Dezember 2023.5 In den drei oben aufgeführten Verträgen sind weitere Dokumente als Vertragsbestandteile integriert, insbesondere AGB der Bundesverwaltung. 2.11.4. HOOGAN 54. Fedpol hat mit Xplain einen Vertrag abgeschlossen betreffend «Dienstleistungen im Projekt HOO- GAN + Zutrittskontrolle, Pilot EV ZUG».6 2.11.5. Vertragssituation mit BAZG 55. Das BAZG hat seit 2009 Geschäftsbeziehungen mit Xplain. Sie betreffen drei verschiedenen Anwendungen, die Xplain für das BAZG entwickelt, weiterentwickelt und für diese zusätzlich Wartungs- und Support-Dienstleistungen erfüllt. Es bestehen zahlreiche Verträge zwischen dem BAZG und Xplain. Typischerweise wurde als erstes ein Entwicklungsvertrag abgeschlossen, worauf mehrere Weiterentwicklungsverträge mit Support und Wartung sowie Lizenzverträge vereinbart wurden. Diese Verträge wurden in einem Intervall von ca. fünf Jahren jeweils erneuert. So kamen zahlreiche Verträge zustande. 56. Festzuhalten ist, dass die Anwendung eneXs-mobile inzwischen durch die neue Anwendung Grenzkontrollsystem mobile (nachfolgend: GKS-mobile) abgelöst wurde. Die neue Anwendung GKS-mobile wurde durch Xplain entwickelt. Auch die Anwendung eneXs-stationär wurde im Herbst 2023 durch «bocoa» abgelöst. Die Anwendung «bocoa» wurde jedoch nicht durch Xplain, sondern durch einen anderen Anbieter entwickelt. 57. Die Verträge wurden auf Grundlage der Vorlagen des BBL erstellt. 2.11.6. eneXs-mobile 58. Das GWK hat für den Betrieb des MAPP (Multifunktionales Abfragegerät für Personen- und Passkontrollen) auf die Anwendung eneXs-stationär aufgebaut und benötigte zusätzlich eine dazu angepasste mobile Version. Dazu wurde Xplain für die Entwicklung einer entsprechenden mobilen Version im Jahr 2010 beauftragt. 59. Das BAZG und das BBL haben für die Weiterentwicklung, Pflege und Support der Anwendung eneXs-mobile für den Zeitraum vom 01. Mai 2019 bis 30. Juni 2023 mit Xplain einen Vertrag abgeschlossen.7 Neben dem Vertrag wurden die folgenden Dokumente als Vertragsbestandteile integriert: Offertanfrage vom 21.02.2019, AGB für Werkverträge im Informatikbereich und die Pflege von Individualsoftware (Ausgabe 20. Oktober 2010) und das Angebot der Lieferantin OF-190304 vom 04. März 2019 eneXs-mobile. 2.12. Personensicherheitsüberprüfung 60. Die Mitarbeitenden von Xplain, die direkt mit der Bundesverwaltung zusammenarbeiten, wurden einer Personensicherheitsüberprüfung unterzogen. Eine Verpflichtung hierzu wurde in einzelnen Verträgen festgehalten.
5 Referenz Nr.: 0316000091 / 520. 6 Vertragsnummer: 40312071652. 7 Vertrag für die Erbringung von werkvertraglichen Leistungen im Informatikbereich, die Pflege und den Support von Individualsoftware für die Fachanwendung eneXs-mobile, 2019-2023, Vertrags-Nr.: 530047786, Referenz-Nr.: 530115732.
Seite 15 von 34
g) Patch / Vulnerability Management Systeme müssen zeitnah gepatched werden, der Patchlevel sollte überwacht werden und klare Verantwortlichkeiten wer für das Einspielen eines Securitypatches zuständig ist definiert sein. Vulnerability Scans müssen regelmässig durchgeführt werden. h) Organisation Incident Response Plan mit zugewiesenen Verantwortlichkeiten sowie Sicherstellung, dass das nötige Wissen für Detektion und Reaktion entweder innerhalb der Firma vorhanden ist oder bei einem externen Dienstleister eingekauft werden kann. Als weitere Massnahme braucht es ein Inventar und ein Life Cycle Management der Daten, die der Kunde Xplain anvertraut. Auch ist ein Löschverfahren für Testdaten nach deren Gebrauch zu implementieren. Zusätzlich sollte gemäss NCSC die Verwendung eines Frameworks zur fortlaufenden Verbesserung der IT-Sicherheit, wie bspw. OpenSAMM und die Einhaltung von entsprechenden Security Guidelines wie sie bspw. von OWASP herausgegeben werden. i) Audit Die Firma Xplain muss nach Umsetzung Empfehlungen ein komplettes Audit durchführen lassen und die gefundenen Mängel beheben. Der Audit-Scope muss zusammen mit der Bundesverwaltung definiert werden; die Bundesverwaltung definiert ein Control Set, wie zyklisch Prüfungen durchgeführt werden. Das Control Set selbst orientiert sich am IKT Grundschutz und ergänzt diesen wo nötig mit zusätzlichen Massnahmen, um dem erhöhten Schutzbedarf gerecht zu werden. 70. Darauf basierend hat Xplain die komplette IT-Infrastruktur und die Prozesse neu aufgebaut. Die neue Infrastruktur basiert auf aktuellen technischen Komponenten und Security Best Practices.
71. Auf Basis der dem NCSC zur Verfügung gestellten Informationen und der Einschätzungen der mit dem Audit beauftragten Firma kommt das NCSC zum Schluss, dass die technischen und organisatorischen Anforderungen an die Cybersicherheit, welche als eine der Bedingungen für eine mögliche weitere Zusammenarbeit zwischen Bundesstellen und der Firma Xplain definiert wurden, erfüllt sind.
72. Laut Aussage des NCSC wurden für die noch nicht vollständig umgesetzten Massnahmen (Aufbau SOC, Zugriffskontrolle Sourcecode und Segmentierung Netzwerk) Umsetzungspläne vorgelegt. Diese beinhalten als Ziel die Segmentierung des Netzwerks bis am 15. Oktober 2023, festlegen der Zugriffskontrollen auf den Sourcecode bis am 31. Oktober 2023 sowie den Aufbau eines SOC bis am 31. Dezember 2023. 3. Stellungnahme zum Sachverhalt 73. Am 22. März 2024 hat Xplain zum Sachverhalt Stellung genommen. Die Ergänzungen und Anmerkungen wurden übernommen, soweit sie für die datenschutzrechtliche Beurteilung relevant waren.
Seite 16 von 34
4. Datenschutzrechtliche Beurteilung 4.1. Allgemeine formelle Bemerkungen 74. Der EDÖB hat die Sachverhaltsabklärung gegenüber Xplain gestützt auf Art. 29 aDSG am 13. Juli 2023 eröffnet. Er kann eine Untersuchung einleiten, wenn die Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grossen Anzahl von Personen zu verletzen (Systemfehler) (Art. 29 Abs. 1 lit. a aDSG). 75. Der Fokus der Sachverhaltsabklärung ist auf die Datenbearbeitungen von Xplain im Zeitpunkt des Ransomware-Vorfalls (Mai 2023) gerichtet, insbesondere im Zusammenhang mit der Bundesverwaltung. Hier stehen die Zusammenarbeit mit dem fedpol und dem BAZG in Bezug auf die Anwendungen eneXs-mobile und ORMA sowie in Bezug auf ein Projekt betreffend HOOGAN im Vordergrund. 76. Das Bestehen eines Systemfehlers und somit der Kompetenz des EDÖB zur Untersuchung der Datenbearbeitungen von Xplain wird in den materiellrechtlichen Ausführungen begründet. 77. Gestützt auf Art. 70 Bundesgesetz über den Datenschutz vom 25. September 2020 (DSG) erfolgt die datenschutzrechtliche Beurteilung nach dem Bundesgesetz über den Datenschutz vom 19. Juni 1992 (aDSG). Gewisse Begrifflichkeiten und materiellrechtliche Konkretisierungen werden jedoch vom DSG übernommen, soweit sie eine identische Bedeutung haben und der Klarheit dienen.8 4.2. Allgemeine materielle Bemerkungen 78. Das Datenschutzgesetz ist anwendbar, sobald Personendaten bearbeitet werden. Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen (Art. 3 lit. a aDSG). Eine Unterkategorie der Personendaten sind die besonders schützenswerten Personendaten (Art. 3 lit. c aDSG) wie beispielsweise Daten über administrative oder strafrechtliche Verfolgungen und Sanktionen (Art. 3 lit. c Ziff. 4 aDSG). Des Weiteren kommen die Persönlichkeitsprofile dazu, die eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlauben (Art. 3 lit. d aDSG). 79. Mit Bearbeiten ist jeder Umgang mit Personendaten umfasst (Art. 3 lit. e aDSG). Der Begriff ist weit gefasst, und das Bearbeiten beinhaltet, unabhängig von den angewandten Mitteln und Verfahren, neben dem Verwenden auch das Aufbewahren oder Vernichten. Zudem gehört zum Bearbeiten auch die Kenntnisnahme oder das Einsichtgewähren (Art. 3 lit. e aDSG). 4.2.1. Bearbeiten von Personendaten 80. Die Analyse des aufgrund des Ransomware-Vorfalls im Darknet veröffentlichten Daten zeigt, dass sich darunter eine grosse Menge von Personendaten und besonders schützenswerten Personendaten befinden (siehe Ziffer 15 ff.). Neben originären Daten von Xplain wie Angaben über Kunden oder Mitarbeitende («Personal- und Lohndaten») sind auch eine hohe Anzahl von Personendaten aus der Bundesverwaltung, die strafrechtliche Verfolgungen und Sanktionen betreffen und per se als besonders schützenswert i.S.v. Art. 3 lit. c Ziff. 4 aDSG gelten, dabei. 81. Es ist unbestritten, dass diese Daten auf einem File-Server von Xplain gespeichert waren und von dort durch den Ransomware-Vorfall ins Darknet gelangten (siehe Ziffer 62). Ebenso kann festgehalten werden, dass die im Darknet publizierten Daten nur einen Teil der auf dem File-Server aufbewahrten Daten ausmachen (siehe Ziffer 15 f.).
8 So wird nicht vom «Inhaber der Datensammlung» (Art. 3 lit. i aDSG) gesprochen, sondern vom Verantwortlichen (Art. 5 lit. j DSG) und statt vom Dritten, dem eine Datenbearbeitung übertragen wird (Art. 10a aDSG), vom Auftragsbearbeiter (Art. 9 DSG).
Seite 17 von 34
4.2.2. Datenschutzrechtliche Anforderungen an das Bearbeiten von Personendaten 82. Wer Personendaten bearbeitet, hat sich an die Vorgaben des Datenschutzgesetzes zu halten. Die Grundprinzipien sind in den Art. 4 aDSG, Art. 5 aDSG und Art. 7 aDSG festgehalten. Sie beinhalten das Prinzip der Rechtmässigkeit, das Prinzip von Treu und Glauben, das Prinzip der Verhältnismässigkeit, das Prinzip der Zweckbindung, das Prinzip der Transparenz, das Prinzip der Datensicherheit. Auch das neue DSG hat diese Prinzipien übernommen und sie teilweise mit spezifischen Datenschutzregeln konkretisiert, wie beispielsweise in Bezug auf die Aufbewahrung von Personendaten (Art. 6 Abs. 4 DSG). 83. Die datenschutzrechtlichen Anforderungen treffen Xplain sowohl als Verantwortlichen als auch als Auftragsbearbeiter. Als Auftragsbearbeiter kommen die vertraglichen Verpflichtungen ergänzend dazu. 4.3. Die Rolle von Xplain 4.3.1. Xplain als Verantwortlicher 84. Xplain handelt als Verantwortlicher, soweit Personendaten über Kunden, Mitarbeitende etc. bearbeitet werden. Dabei hat Xplain die Grundprinzipien des Datenschutzgesetzes einzuhalten (siehe Ziffer 82). 85. Soweit Xplain als Auftragsbearbeiter (siehe Ziffer 86 ff.) indessen Personendaten entgegen den vertraglichen Vereinbarungen oder zu eigenen Zwecken bearbeitet, wird Xplain selbst zum datenschutzrechtlichen Verantwortlichen und kann hierfür allenfalls eigene Rechtfertigungsgründe geltend machen. 4.3.2. Xplain als Auftragsbearbeiter 86. Das Kerngeschäft von Xplain ist die Entwicklung von Standard-Software für die Innere Sicherheit (siehe Ziffer 6). Im Rahmen dieser Tätigkeit werden auch Personendaten des Auftraggebers an Xplain übertragen, so insbesondere im Rahmen von Projektdaten und bei Fehlerbehebungen (siehe Ziffer 30, 43). Es spielt keine Rolle, dass die Übertragung dieser Daten nur ein Nebeneffekt der eigentlichen Aufgabe von Xplain ist. Es ist auch unerheblich, dass diese Datenbearbeitungen einen geringen Umfang im Vergleich zu den Kerntätigkeiten von Xplain ausmachen. Wie die tatsächliche Sachlage zeigt (siehe Ziffer 15 ff.), hat Xplain eine grosse Menge Personendaten auf ihrem Server gespeichert, die sie aufgrund der Vertragsvereinbarungen mit der Bundesverwaltung erhalten hat. Wie die Vertragsvereinbarungen zeigen, ist insbesondere bei den mit Xplain vereinbarten Dienstleistungen das Bearbeiten von Personendaten enthalten (siehe Ziffer 106 ff.). Xplain ist in dieser Konstellation als Auftragsbearbeiter im Sinne von Art. 10a aDSG zu qualifizieren. Damit treffen Xplain auch die Verpflichtungen nach Art. 10a aDSG. 87. Zwar richtet sich Art. 10a aDSG in erster Linie an den Verantwortlichen, der Datenbearbeitungen an einen Dritten überträgt. Die generellen Anforderungen von Art. 10a aDSG werden dabei soweit
Seite 18 von 34
notwendig zwischen dem Verantwortlichen und dem Auftragsbearbeiter vertraglich konkretisiert (siehe Ziffer 111). 88. Bei der Datenbearbeitung im Auftrag verbleibt die datenschutzrechtliche Verantwortung beim Auftraggeber, und der Auftragsbearbeiter hat sich an die vertraglichen Vorgaben zu halten. 89. Neben der vertraglichen Vereinbarung und der zweckgebundenen Bearbeitung der übertragenen Daten spielt bei der Datenübertragung an einen Dritten die Datensicherheit eine besondere Rolle. Der Auftragsbearbeiter hat die Datensicherheit zu gewährleisten, worüber sich der Verantwortliche zu vergewissern hat (Art. 10a Abs. 2 aDSG). 90. Grundsätzlich kann ein Auftraggeber davon ausgehen, dass Xplain die angemessenen technischen und organisatorischen Massnahmen umgesetzt hat, da Xplain selbst als Verantwortlicher dem aDSG untersteht und Art. 7 aDSG einzuhalten hat. In Art. 8 DSG wird dies neu konkretisiert, indem auch der Auftragsbearbeiter explizit erwähnt wird. Soweit indessen spezifische Sicherheitsmassnahmen des Auftraggebers bestehen – hier der Bundesverwaltung – sind diese dem Auftragsbearbeiter separat zu überbinden. 91. Die Umsetzung und Einhaltung der Sicherheitsmassnahmen sind zu prüfen. Der Auftragsbearbeiter selbst hat Audits durchzuführen und ungewöhnliche Sicherheitsvorfälle dem Verantwortlichen zu melden. Dies ergibt sich bereits aus den Grundschutzmassnahmen von Art. 7 aDSG und aus dem Grundsatz von Treu und Glauben. Der Verantwortliche kann sich ein Auditrecht ausbedingen und sich auch Auditberichte des Auftragsbearbeiters vorlegen lassen. 4.4. Vertragliche Vereinbarungen mit der Bundesverwaltung (BAZG, fedpol) 92. Verschiedene Verträge zwischen Xplain und fedpol respektive Xplain und BAZG in Bezug auf die Anwendungen eneXs-mobile, ORMA und HOOGAN regeln einzelne Aspekte der Auftragsbearbeitung im Sinne von Art. 10a aDSG durch Xplain. Die meisten Verträge sind eine Kombination von werkvertraglichen Leistungen und auftragsrechtlichen Dienstleistungen, weshalb auch die drei diesbezüglich bestehenden AGB des Bundes Xplain übertragen wurden. 93. Die «Allgemeinen Geschäftsbedingungen für Informatikdienstleistungen des Bundes» (nachfolgend: AGB Dienstleistungen) (Ausgabe 20. Oktober 2010), «Allgemeinen Geschäftsbedingungen für Werkverträge im Informatikbereich und die Pflege von Individualsoftware» (nachfolgend: AGB Werkverträge) (Ausgabe 20. Oktober 2010) sowie die «Allgemeinen Geschäftsbedingungen für die Beschaffung und Pflege von Standardsoftware» (nachfolgend: AGB Pflege) (Ausgabe 20. Oktober 2010) werden im Rahmen der Vertragsbeziehungen des fedpol und des BAZG mit Xplain für anwendbar erklärt und von Xplain so anerkannt.9 94. In Bezug auf die Datenbearbeitungen durch Xplain sind die folgenden Bestimmungen der AGB damit relevant und von Xplain umzusetzen: 95. Ziffer 8.1 der AGB Dienstleistungen hält fest, dass sich die Auftragnehmerin zu einer sorgfältigen, getreuen und sachkundigen Vertragserfüllung verpflichtet und garantiert, dass alle erbrachten Leistungen den vertraglichen Bedingungen und Spezifikationen, dem aktuellen Stand der Technik sowie den gesetzlichen Vorgaben entsprechen. Eine Geheimhaltungsklausel sieht vor, dass alle wirtschaftlich zumutbaren sowie technisch und organisatorisch möglichen Vorkehrungen getroffen werden, damit vertrauliche Tatsachen und Informationen gegen den Zugang und die Kenntnisnahme durch Unbefugte wirksam geschützt sind (Ziffer 16.1 der AGB Dienstleistungen). In Bezug auf die Datenschutzgesetzgebung wird explizit festgehalten, dass die Bestimmungen der schweizerischen Datenschutzgesetzgebung einzuhalten und die wirtschaftlich zumutbaren sowie technisch und organisatorisch möglichen Vorkehrungen zu treffen sind, damit die im Rahmen der
9 z.B. Offerte OF-190304 als Vertragsbestandteil.
Seite 19 von 34
Vertragsabwicklung anfallenden Daten gegen unbefugte Kenntnisnahme Dritter wirksam geschützt sind (Ziffer 17.1 der AGB Dienstleistungen). Des Weiteren ist festgehalten, dass Daten nur vertragskonform bearbeitet werden dürfen (Ziffer 17.2 der AGB Dienstleistungen) und die Verpflichtungen in Bezug auf Datenschutz und Datensicherheit auch den Mitarbeitenden zu überbinden sind (Ziffer 17.3 der AGB Dienstleistungen). 96. Die AGB Werkverträge enthalten in Ziffer 22 und Ziffer 23 die gleichen Bestimmungen in Bezug auf die Geheimhaltung und die Datenschutzgesetzgebung wie die AGB Dienstleistungen. 97. Auch die AGB Pflege umfasst die identischen Bestimmungen zur Geheimhaltung (Ziffer 24) und zu Datenschutz und Datensicherheit (Ziffer 25). 98. Sowohl das BAZG wie auch fedpol haben einen Vertrag mit Xplain betreffend die Anwendung eneXs-mobile abgeschlossen. 99. Der Vertrag mit dem BAZG10 bezieht sich auf die Zeitperiode vom 1. Mai 2019 bis zum 30. Juni 2023. Er sieht in Bezug auf den Support von eneXs-mobile vor, dass das BAZG Ausnahmezustände und Fehlermeldungen zu dokumentieren hat (Vertrag Ziffer 5). Xplain stellt eine qualifizierte Fehler-Annahme und ein Fehlermanagement zur Verfügung, das die Off-Site Fehleridentifikation und die Off-Site Korrektur von Fehlern vorsieht. Der Kontakt für Pflege und Support hat über Telefon oder E-Mail zu erfolgen (Vertrag Buchstabe B). BAZG stellt Xplain für die Wartung und Pflege eine Umgebungskonfiguration in den Räumen von Xplain zur Verfügung. 100. Im Jahre 2019 schloss fedpol mit Xplain einen Vertrag ab, der insbesondere die Lieferung von Lizenzen, die Wartungs- und Support-Leistungen sowie weiterer Informatik-Dienstleistungen im Zusammenhang mit der Aufschaltung von eneXs-mobile für Smartphones betraf. Der Vertrag hatte eine Gültigkeit bis 31. Dezember 2022.11 Der Vertrag beinhaltet eine spezifische Verpflichtungserklärung für Xplain und ihre Mitarbeitende. Neben dem Hinweis auf die berufliche Schweigepflicht wird in Ergänzung der AGB Dienstleistungen und die AGB Werkverträge explizit auf die berufliche Schweigepflicht nach aDSG hingewiesen. Insbesondere wird festgehalten, dass es untersagt ist, Daten, Datenmodelle oder Persönlichkeitsprofile zu einem anderen, als dem zur jeweiligen rechtmässigen Aufgabenerfüllung gehörenden Zweck zu verarbeiten, bekannt zu geben, zugänglich zu machen oder sonst zu nutzen. Des Weiteren dürfen Datenbestände und -modelle nur mit schriftlicher Zustimmung von fedpol ausserhalb dessen Räumlichkeiten transferiert werden. Nach der Rück-/Übergabe an fedpol sind die Daten auf den Anlagen der Xplain unverzüglich physisch zu löschen, wobei die Ausführung der Löschung fedpol unaufgefordert schriftlich zu bestätigen ist. 101. In Bezug auf die Anwendung ORMA hat das fedpol auf der Basis früherer Verträge einen Rahmenvertrag vom 27. November 201412 mit Xplain abgeschlossen, der die Wartung und Pflege der Software bis 31. Dezember 2024 vorsieht. 102. Für das Jahr 2023 wurde ein Zusatzvertrag13 zu diesem Rahmenvertrag abgeschlossen. Dieser Vertrag enthält – wie der Vertrag von fedpol betreffend eneXs-mobile (siehe Ziffer 100) – spezifische Bestimmungen zu Datenschutz und Datensicherheit. Neben dem Hinweis auf die berufliche Schweigepflicht nach aDSG wird insbesondere festgehalten, dass es Xplain und ihren Mitarbeitenden untersagt ist, Daten zu einem andern als dem zur jeweiligen rechtmässigen Auftragserfüllung gehörenden Zweck zu verarbeiten, bekannt zu geben, zugänglich zu machen oder sonst zu nutzen. Zudem dürfen Daten nur mit schriftlicher Zustimmung des fedpol ausserhalb des Bundesamts transferiert werden und sind unmittelbar nach der Rück-/Übergabe an das fedpol auf den
10 Vertrag für die Erbringung von werkvertraglichen Leistungen im Informatikbereich, die Pflege und den Support von Individualsoftware für die Fachanwendung eneXs-mobile, 2019-2023, Vertrags-Nr.: 530047786, Referenz-Nr.: 530115732 11 Vertrag für die Erbringung von Informatikdienstleistungen (Auftrag), 0316004366. 12 Referenz Nr.: 0316000091. 13 Referenz Nr.: 0316000091 / 500.
Seite 20 von 34
Anlagen von Xplain zu löschen, wobei die Löschung unaufgefordert schriftlich zu bestätigen ist (Ziffer 13.1). 103. Des Weiteren werden Vorgaben zur Datensicherheit spezifiziert: Xplain wird verpflichtet, ihre für die Vertragsabwicklung benutzten und in ihrem Verantwortungsbereich befindlichen Systeme (umfassend insbesondere Infrastruktursysteme, Netzwerke, Geräte und Anwendungen sowie Daten und Informationen) nach dem jeweils aktuellen Stand der Technik mittels technisch und organisatorisch möglichen sowie wirtschaftlich zumutbaren Vorkehrungen vor Angriffen zu schützen (Ziffer 13.7.1). Mit Angriffen sind «Cyberattacken» oder «Cyberangriffe» gemeint (Ziffer 13.7.2). Xplain hat fedpol unaufgefordert jedes erkannte Ereignis, welches die Einhaltung ihrer Pflichten beeinträchtigen könnte, unverzüglich nach Auftreten bzw. Kenntnisnahme, spätestens innerhalb einer Frist von 24 Stunden zu melden. Xplain hat insbesondere auch versuchte oder erfolgreiche Angriffe sowie andere befürchtete oder erfolgte technische Kompromittierungen von Systemen, Daten und/oder Informationen und allenfalls entstandene Schäden zu melden (Ziffer 13.7.4). Dabei soll auch über die geplanten und getroffenen Massnahmen zu deren Behebung informiert werden. Zur Vermeidung von Schäden oder weiteren Angriffen hat Xplain fedpol auf erstmalige Aufforderung unverzüglich den vollen und umfassenden Zugang zu Analysen, Untersuchungsberichten und anderen Feststellungen (Dokumente, Daten, Log-Daten, Gegenstände etc.), die es erlauben, das Ereignis zu analysieren, zu gewähren. Weiter wird festgehalten, dass vordefinierte Aktivitäten aufgezeichnet (Logging) und ausgewertet werden, um Angriffe zu erkennen und zu vermeiden. Dabei sind entdeckte Sicherheitslücken zeitnah zu beheben (Ziffer 13.7.4). Ausserdem behält sich fedpol ein Auditrecht vor (Ziffer 13.7.5). 104. Die identischen Bestimmungen zu Datenschutz und Datensicherheit finden sich auch im zweiten Zusatzvertrag für das Jahr 2023.14 Im Übrigen kann festgestellt werden, dass diese Bestimmungen auch schon in Vorgängerverträgen (beispielsweise für das Jahr 2022) statuiert wurden. 105. Betreffend HOOGAN besteht ein Vertrag zwischen fedpol und Xplain aus dem Jahr 2012.15 Dieser Vertrag enthält auch eine Verpflichtungserklärung analog zum Vertrag zwischen fedpol und Xplain betreffend eneXs-mobile (siehe Ziffer 100). 4.5. Datenübertragungen an Xplain 106. Im Rahmen der Wartung und des Supports der Anwendungen sind von BAZG und fedpol Personendaten an Xplain übertragen worden (siehe Ziffer 30, 43). Diese Datenübertragungen sind auch in den Verträgen festgehalten: Die Bundesverwaltung hat die Fehler zu dokumentieren und an Xplain zur Fehlerbehebung zu übermitteln (siehe Ziffer 99). Der Fehlerbehebungsprozess musste von der Bundesverwaltung manuell ausgelöst werden. Er beruhte auf einem in der Software immanenten Prozess, der die Aufzeichnung von Personendaten vorsah (siehe Ziffer 30, 43). Dieser Prozess wurde von Xplain entwickelt und war die Grundlage für die in den Verträgen vorgesehenen Übermittlungen der Fehlerberichte an Xplain. 107. Zudem wurden auch im Rahmen der Softwareentwicklung vereinzelt Personendaten übermittelt (siehe Ziffer 33) oder in einem einzelnen Supportfall (Projekt HOOGAN) (siehe Ziffer 46). 108. Da die Übertragung von Personendaten nicht ausgeschlossen war, handelt sich aus datenschutzrechtlicher Sicht um eine Datenbearbeitung durch Dritte (Art. 10a aDSG). In der Regel lässt sich ein Wartungs- und Supportprozess einer Anwendung nicht ohne das Bearbeiten von Personendaten durchführen. In einem ersten Schritt sind meist keine Personendaten notwendig, doch vertiefte Abklärungen lassen sich kaum ohne den Bezug zu Personendaten («produktive Daten») durchführen. Dies ist insbesondere der Fall bei vertieften Abklärungen auf dem Niveau des 3rd Level Supports. Eine Abweichung von diesem Regelfall ist im vorliegenden Sachverhalt nicht ersichtlich, auch wenn sich Xplain auf den Standpunkt stellt, sie hätten nie Personendaten gewollt.
14 Referenz Nr.: 0316000091 / 520. 15 Vertragsnummer: 40312071652.
Seite 21 von 34
Xplain musste vielmehr damit rechnen, dass ihr Personendaten übertragen werden, haben sie die Funktion des Fehlerreportings selbst in die Software integriert. Zudem musste Xplain die Fehlerreports aktiv von einem Laufwerk des BAZG herunterladen, nachdem ihnen mitgeteilt wurde, dass ein Fehlerbericht auf dem Laufwerk bereit liege (siehe Ziffer 30 und 31). Bei fedpol und der Anwendung ORMA war bei Xplain ein Ticketingsystem eingerichtet, dass die Fehlerberichte aufnahm (siehe Ziffer 43 und 44). 109. Welche Personendaten in welchem Umfang für den 3rd Level Support notwendig sind, ist eine Frage der Verhältnismässigkeit und von BAZG oder fedpol aufgrund der Vorgaben von Xplain festzulegen. Durch die Programmierung der automatisierten Erstellung von Fehlerreports in der Software eneXs-mobil und ORMA war dies weitgehend vordefiniert. 110. Art. 10a Abs. 1 aDSG verlangt, dass die Datenübertragung an Dritte (Bearbeitung durch Auftragsbearbeiter, Art. 9 DSG) vertraglich geregelt wird. Über den Detaillierungsgrad einer solchen Regelung sagt das aDSG nichts aus. Aus der Sicht des Verantwortlichen ist eine möglichst konkrete Regelung zu seinem Vorteil, da er gegenüber den betroffenen Personen die datenschutzrechtliche Verantwortung trägt. 111. Die Support- und Wartungsprozesse sind vorliegendenfalls vertraglich nur rudimentär geregelt. Da diese aber zum Routinegeschäft von Xplain gehören, das im Zusammenhang mit der Softwareentwicklung angeboten wird, ist eine weitere Spezifizierung für den Auftragsbearbeiter nur notwendig, wenn ihm dieser Prozess nicht geläufig wäre. Das Gegenteil ist hier der Fall: Der Support- und Wartungsprozess ist von Xplain durch die Softwarefunktion vordefiniert. Der Ablauf wurde in der vertraglichen Vereinbarung festgehalten16: Für den Support von eneXs-mobile ist vorgesehen, dass Xplain mit einer Hotline eine qualifizierte Fehler-Annahme und ein Fehler-Management zur Verfügung stellt. Dazu gehört eine Offsite-Fehleridentifikation und die Offsite Korrektur von Fehlern wie auch die Remote-Diagnose. Ein Fernzugriff wurde grundsätzlich ausgeschlossen, weshalb für die Übermittlung von Störungsmeldungen und Supportanfragen eine E- Mail-Adresse (und eine Telefonnummer) zur Verfügung gestellt wurden. In keiner Stufe dieses Ablaufs wurde die Übermittlung von Personendaten ausgeschlossen oder deren Anonymisierung statuiert. 112. Xplain ist ein langjähriger Geschäftspartner der Bundesverwaltung und spezialisiert im Bereich der Inneren Sicherheit (siehe Ziffer 6). Xplain hatte als Datenbearbeiter die Bestimmungen des aDSG einzuhalten, wobei die Sensitivität der Geschäftstätigkeit im Bereich der Inneren Sicherheit grundsätzlich ein hohes Mass an (Daten)sicherheit verlangt, insbesondere wenn Personendaten, vertrauliche und geheime Informationen aus diesem Bereich im Rahmen von Projekten und im Support- und Wartungsprozess bearbeitet werden. 113. Da Xplain grundsätzlich dem aDSG unterstand, musste sie auch davon ausgehen, dass sie von der Bundesverwaltung keine vertieften Instruktionen erhalten wird (Art. 22 Abs. 2 VDSG e contrario). Neuere Verträge17 halten auch fest, dass die für die Vertragsabwicklung benutzten und im Verantwortungsbereich von Xplain befindlichen Systeme (umfassend insbesondere Infrastruktursysteme, Netzwerke, Geräte und Anwendungen sowie Daten und Informationen) nach dem jeweils aktuellen Stand der Technik mittels technisch und organisatorisch möglichen sowie wirtschaftlich zumutbaren Vorkehrungen vor Angriffen zu schützen sind. 114. Die Sensitivität der Datenbearbeitung im Rahmen des Auftragsverhältnisses musste Xplain auch durch die Vorgaben an die Datenbearbeitungen in den Verträgen bekannt sein (siehe Ziffer 92 ff.). Zudem ergibt sich dies auch aus den von der Bundesverwaltung vorbehaltenen Personensicherheitsüberprüfungen, die in den verschiedenen Verträgen für die Mitarbeitenden von Xplain
16 Hier beispielhaft: Vertrag für die Erbringung von werkvertraglichen Leistungen im Informatikbereich, die Pflege und den Support von Individualsoftware für die Fachanwendung eneXs-mobile, 2019-2023, Vertrags-Nr.: 530047786, Referenz-Nr.: 530115732. 17 Referenz Nr.: 0316000091 / 500.
Seite 22 von 34
vorgesehen sind. Sie erfolgen bei Dritten nur, wenn sie im Rahmen eines Vertrags oder als Mitarbeiterin oder Mitarbeiter eines vertraglich verpflichteten Unternehmens an einem klassifizierten Projekt im Bereich der inneren oder äusseren Sicherheit mitwirken und dabei Zugang zu vertraulich oder geheim klassifizierten Informationen erhalten (Art. 6 Verordnung vom 4. März 2011 über die Personensicherheitsprüfungen (PSPV), in Kraft bis 31. Dezember 2023). 115. Bei dieser Ausgangslage wäre es die Pflicht von Xplain gewesen, bei Unklarheiten im Umgang mit Personendaten bei BAZG oder fedpol nachzufragen. Die Behauptung von Xplain, ihr sei nicht bewusst gewesen, dass ihr Personendaten übermittelt werden, und sie hätten auch nicht gewollt, dass ihr solche zugestellt werden, widerspricht sowohl der tatsächlichen Sachlage wie auch den in den Verträgen vorgesehen Supportprozessen, die auf der Basis der von Xplain programmierten Fehlerbehebungsfunktion, die offensichtlich Personendaten beinhaltet, aufgebaut sind. 116. Selbst als ein Bundesamt Xplain auf die unverhältnismässige Übermittlung von Personendaten bei der Fehlerbehebungsfunktion aufmerksam machte und eine Behebung verlangte (siehe Ziffer 45), wurde dies für ORMA nicht umgesetzt. 117. Im Verlaufe der langjährigen Geschäftsbeziehungen sind die Vorgaben der Bundesverwaltung in Bezug auf die Datenbearbeitungen und die Datensicherheit insbesondere im Rahmen der Allgemeinen Geschäftsbedingungen immer konkreter geworden. Sie wurden Xplain beim Abschluss neuer Verträge jeweils auferlegt. Xplain konnte nicht darlegen, dass sie diesen die notwendige Beachtung geschenkt hat. Es trifft zwar zu, dass für Xplain das Bearbeiten von Personendaten nicht im Vordergrund stand (siehe Ziffer 6). Das Bearbeiten von Personendaten kann bei einer Auftragsbearbeitung auch nur ein Nebeneffekt sein (siehe Ziffer 86). Dass damit (besonders schützenswerte) Personendaten einem hohen Risiko ausgesetzt sein können, zeigt der vorliegende Ransomware-Vorfall. Das erhöhte Risiko bei der Bearbeitung von Personendaten durch Dritte ist der Grund, warum das Datenschutzgesetz eine Spezialbestimmung für die Auftragsbearbeitung kennt. 4.5.1. Xplain als Auftragsbearbeiter und als Verantwortlicher 118. Xplain hat in der Funktion als Auftragsbearbeiter Personendaten nach den Vorgaben des Verantwortlichen zu bearbeiten, insbesondere nach den vertraglichen Vorgaben und im Rahmen dessen, was der Auftraggeber selbst tun dürfte (Art. 10a Abs. 1 lit. a aDSG). 119. Soweit sich Xplain nicht an diese Vorgaben hält, wird sie selbst zum datenschutzrechtlich Verantwortlichen. 120. Im vorliegenden Sachverhalt zeigt sich, dass Xplain die ihr übermittelten Personendaten nicht vertragsgemäss gelöscht hat (siehe Ziffer 100). Für die Aufbewahrung dieser Personendaten – die später im Darknet publiziert wurden – ist Xplain Verantwortlicher. 121. Das haftungsrechtliche Innenverhältnis zwischen BAZG und Xplain respektive fedpol und Xplain kann aus datenschutzrechtlicher Sicht hier ausser Betracht gelassen werden. 4.6. Verletzung des Grundsatzes der Datensicherheit 122. Xplain hat als Verantwortlicher respektive Auftragsbearbeiter angemessene technische und organisatorische Massnahmen der Datensicherheit umzusetzen (Art. 7 aDSG). Sie sollen das unbefugte Bearbeiten von Personendaten verhindern. Weitere Spezifizierungen finden sich in Art. 8 und Art. 9 aVDSG. Neben den gesetzlichen Vorgaben sind Xplain mit den AGB auch vertraglich Vorgaben zur Datensicherheit überbunden worden (siehe Ziffer 95 ff.). 123. Der Ransomware-Vorfall bei Xplain ist Anlass zu prüfen, ob Xplain die angemessenen technischen und organisatorischen Massnahmen der Datensicherheit umgesetzt hat. Allein die Tatsache, dass Personendaten vom Fileserver von Xplain im Darknet publiziert wurden, lässt noch nicht darauf schliessen, dass die Massnahmen nicht angemessen waren. Ein Restrisiko einer
Seite 23 von 34
Datenschutzverletzung verbleibt bei jeder Datenbearbeitung. Entscheidend ist, ob die dem Risiko der Datenbearbeitungen angemessenen Massnahmen getroffen wurden. 124. Xplain bearbeitet als Verantwortlicher Personendaten über ihre Mitarbeitenden und Kunden und als Auftragsbearbeiter die von ihren Kunden übertragenen Personendaten. Bei diesen Kundendaten handelt es sich nicht nur um vertrauliche und geheime Informationen (siehe Ziffer 114), sondern auch um besonders schützenswerte Personendaten, die im Umfeld von BAZG und fedpol bearbeitet werden und Teil eines Supportprozesses werden können. Die Anforderungen an die Datensicherheit sind deshalb grundsätzlich hoch. 125. Dem EDÖB liegen zahlreiche Hinweise vor, dass diesen erhöhten Anforderungen an die Datensicherheit nicht entsprochen wurde. Grundsätzlich irritiert, dass sich Xplain auf den Standpunkt stellt, nichts darüber zu wissen, dass sie über besonders schützenswerte Personendaten auf ihren Systemen verfügen würde respektive dass ihr diese ungewollt und ohne ihr Wissen übermittelt wurden (siehe Ziffer 42). Aufgrund der vorliegenden Verträge mit der Bundesverwaltung kann Xplain nicht von dieser Annahme ausgehen (siehe Ziffer 92 ff.). 126. Weiter versichert Xplain, über die notwendigen Sicherheitsfachleute zu verfügen (siehe Ziffer 11). Für welche Aufgaben und welche Prozesse diese Sicherheitsfachleute verantwortlich sind, lässt sich nicht mehr belegen, da gemäss Xplain mit dem Ransomware-Vorfall sämtliche einschlägigen Dokumente zur Datensicherheit gelöscht wurden und nicht mehr wiederherstellbar seien (siehe Ziffer 11). Nach Ansicht des EDÖB wären solche Dokumente – soweit sie existierten – auch physisch aufzubewahren, da sie gerade bei IT-Störungen greifbar sein müssen (z.B. Vorfallmanagement). 127. Es liegen zahlreiche weitere Hinweise vor, dass die technischen Sicherheitsmassnahmen nicht angemessen waren. 128. Bereits die Softwareentwicklung für sensitive Bereiche, wie dies im Umfeld von BAZG und fedpol der Fall ist, verlangt nach einer technischen Sicherheitsinfrastruktur, die die Integrität der Software in Bezug auf das Bearbeiten von besonders schützenswerten Personendaten gewährleisten kann. Art. 11 aDSG weist auf diese Tatsache unmissverständlich hin, indem Zertifizierungsverfahren für Software vorgesehen sind. Dies wird auch im neuen DSG in Art. 13 DSG übernommen und durch die Prinzipien von «Privacy by Design» und «Privacy by Default» (Art. 7 DSG) verstärkt. Hinweise, dass dieser Ansatzpunkt für die Massnahmen der Datensicherheit berücksichtigt wurde, fehlen. 129. Xplain ist zwar nicht verpflichtet, ihren Softwareentwicklungsprozess zu zertifizieren. Aufgrund von Art. 11 aDSG musste es für Xplain aber erkennbar sein, dass aus datenschutzrechtlicher Sicht auch die Softwareentwicklung ein datenschutzrelevanter Prozess sein kann, der entsprechende Massnahmen der Datensicherheit verlangt. Dies insbesondere, wenn die Softwareentwicklung mit der Wartung und dem Support der Anwendung verbunden ist – was in den Verträgen mit der Bundesverwaltung so vorgesehen ist – und dabei besonders schützenswerte Personendaten übertragen werden. Wieweit die seit 2019 nach ISO 9001:2015 (Qualitätsmanagementsystem; QMS) bestehende Zertifizierung zu einer angemessenen Datensicherheit bei der Softwareentwicklung beitrug, kann offen bleiben, da entsprechende Sicherheitsmassnahmen offenbar nicht umgesetzt wurden. 130. Xplain verfügt über kein Security Operation Center (SOC) und auf dem betroffenen Server lief kein aktives Monitoring. Loganalysen erfolgten monatlich, wie auch das «Patchen» der Systeme, was dazu führte, dass der betroffene Fileserver im Mai 2023 nicht über den aktuellen Patchlevel verfügte – neben der Tatsache, dass er auch unnötig geöffnete Ports aufwies (siehe Ziffer 10). Auch die von Xplain abgeschlossene Cyberversicherung verlangte lediglich wenige Grundschutzmassnahmen (siehe Ziffer 13). Die Unterlagen zur Cyberversicherung wurden dem EDÖB erst nachträglich ausgehändigt. Ob die vorgesehenen Massnahmen umgesetzt wurden und deren Umsetzung kontrolliert wurde, geht aus den Dokumenten nicht hervor. 131. Aus der Aufarbeitung des Ransomware-Vorfalls wird ersichtlich, dass erst im Nachhinein organisatorische und technische Massnahmen aufgebaut wurden, die eine angemessene
Seite 24 von 34
Datensicherheit gewährleisten können (siehe Ziffer 70). Im technischen Bereich wurden diese geprüft und vom NCSC als angemessen beurteilt. Wie weit auch die Prozesse in Bezug auf die Datensicherheit angepasst wurden, lässt sich dadurch nicht ableiten. Xplain verfügt über keine Zertifizierung im Bereich der Informationssicherheit (bspw. ISO 27001), die sicherstellt, dass bestimmte Standards in Bezug auf die Informationssicherheit eingehalten werden und Prozesse in einen Informationssicherheitsmanagementsystem (ISMS) definiert sind. Somit liegen auch keine entsprechenden internen Auditberichte vor. 132. Des Weiteren zeigt sich das Fehlen von angemessenen technischen und organisatorischen Massnahmen im Bereich der Datensicherheit auch in der Tatsache, dass vertragliche Verpflichtungen nicht in die eigenen Prozesse übernommen wurden. Xplain hätte beispielsweise fedpol unaufgefordert spätestens innerhalb einer Frist von 24 Stunden über den Ransomware-Vorfall informieren müssen. Eine Information erfolgte aber erst 10 Tage später. Erst danach hat Xplain fedpol zur Vermeidung von Schäden oder weiteren Angriffen Zugang zu Analysen, Untersuchungsberichten und anderen Feststellungen, die es erlauben, das Ereignis zu analysieren, – wie vertraglich vereinbart – gewährt. 133. Xplain bringt vor, über angemessene technische und organisatorische Massnahmen verfügt zu haben (siehe Ziffer 10), aber gleichzeitig auch, dass es ihnen nicht bewusst war, dass ihnen besonders schützenswerte Personendaten übertragen werden (siehe Ziffer 42). Beides weist nochmals darauf hin, dass offensichtlich eine Übersicht über die Datenbearbeitungen fehlte, weshalb es auch kaum möglich war, angemessene technische und organisatorische Massnahmen für das Bearbeiten von besonders schützenswerten Personendaten zu treffen. 134. Aufgrund dieser Erwägungen kommt der EDÖB zum Schluss, dass Xplain über keine angemessenen technischen und organisatorischen Massnahmen der Datensicherheit verfügte und damit Art. 7 aDSG verletzte. Dies trifft auf Xplain sowohl in ihrer Rolle als Verantwortlicher als auch als Auftragsbearbeiter zu. Als Auftragsbearbeiterin wurden ihr die Anforderungen aus dem DSG, der Cyberrisikoverordnung (CybRV)18 und der Informationsschutzverordnung (ISchV)19 explizit als zu «beachten und einzuhalten» übertragen.20 135. Die Vorbringungen von Xplain, vertraglich nicht zu bestimmten Sicherheitsanforderungen verpflichtet worden zu sein (siehe Ziffer 10 und 11), sind unbehilflich. Einerseits ergeben sich diese Anforderungen direkt aus Art. 7 aDSG und andererseits sind ihr diesbezügliche Verpflichtungen sehr wohl vertraglich übertragen worden (siehe Ziffer 92 ff.). 136. Ebenso wenig kann sich Xplain darauf berufen, keine Verträge über Hosting und Bearbeitung von Personendaten abgeschlossen zu haben (siehe Ziffer 37). Der datenschutzrechtliche Begriff des Bearbeitens ist weit gefasst und umfasst jeden Umgang mit Personendaten (Art. 3 lit. e aDSG), und es spielt auch keine Rolle, dass das Bearbeiten nur ein Nebeneffekt im gesamten Dienstleistungsauftrag ist. Der Einwand von Xplain ist deshalb unerheblich. 4.7. Verletzung der Grundsätze der Rechtmässigkeit, der Verhältnismässigkeit und der Zweckbindung 137. Art. 4 Abs. 2 aDSG hält fest, dass das Bearbeiten von Personendaten verhältnismässig sein muss. Dies bedeutet, dass Personendaten bearbeitet werden dürfen, soweit dies für den Zweck der Bearbeitung geeignet und erforderlich ist. Ist dieser Zweck erfüllt, sind die Daten – vorbehältlich einer Aufbewahrungspflicht – zu löschen. 138. Xplain wurden durch den Wartungs- und Supportprozesses besonders schützenswerte Personendaten von BAZG und fedpol übertragen. Diese wurden im Rahmen der generierten Fehlerrapports
18 In Kraft bis 31. Dezember 2023. 19 In Kraft bis 31. Dezember 2023. 20 Referenz Nr.: 0316000091 / 500.
Seite 25 von 34
an Xplain zur Fehlerbehebung übermittelt. Nach der Fehlerbehebung liegt kein Grund mehr vor, diese Daten weiter aufzubewahren. 139. Verschiedene Dienstleistungsverträge, die Xplain mit dem BAZG und fedpol abgeschlossen hat, enthalten allgemeine Bestimmungen, die es Xplain und allen ihren Mitarbeitenden verbieten, Daten zu einem anderen als dem zur jeweiligen rechtmässigen Auftragserfüllung gehörenden Zweck zu verarbeiten, bekannt zu geben, zugänglich zu machen oder sonst zu nutzen.21 In weiteren Verträgen wird in Bezug auf Datenbestände und -modelle, die ausserhalb der Räumlichkeiten der Bundesverwaltung bearbeitet werden, festgehalten, dass sie nach Abschluss auf den Anlagen von Xplain unverzüglich physisch zu löschen sind.22 Damit wird das Prinzip der Verhältnismässigkeit der Datenbearbeitung konkretisiert. 140. Die nach dem Ransomware-Vorfall im Mai 2023 im Darknet publizierten Daten stammen überwiegend aus der Zeit vor dem Jahr 2020. Es ist davon auszugehen, dass im Mai 2023 sämtliche Supportfälle, die mit diesen Daten in Zusammenhang stehen, abgeschlossen waren. Eine weitere Aufbewahrung war deshalb nicht mehr notwendig. Dabei ist irrelevant, dass der Datenfluss von BAZG und fedpol an Xplain allenfalls unverhältnismässig war. Die Aufbewahrung per se ist unverhältnismässig. 141. Die Datenübermittlung im Projekt HOOGAN zeigt dies im Einzelnen: Bei einem Supportfall im Jahre 2014/2015 wurden vom fedpol sämtliche Einträge der HOOGAN-Datenbank an Xplain übermittelt. Nach Abschluss des Supportfalls hat der Mitarbeitende von Xplain diese Daten auf seinem persönlichen Laufwerk gespeichert und aufbewahrt. Dieser Supportfall ist vom ursprünglichen Vertrag (siehe Ziffer 55) nicht abgedeckt. Das Vertragsverhältnis zwischen Xplain, fedpol und dem involvierten Dritten muss im vorliegenden Fall nicht näher geklärt werden. Xplain musste erkennen, dass es sich hierbei um Personendaten handelt (siehe Ziffer 47), gerade weil es sich um einen ad hoc Supportfall handelte. Ob die Datenübermittlung durch das fedpol verhältnismässig war, spielt vorliegend keine Rolle: Xplain hat die Daten – ob mit oder ohne Instruktion (siehe Ziffer 47) – aufbewahrt, was weder geeignet noch erforderlich war und deshalb den Grundsatz der Verhältnismässigkeit verletzt. 142. Generell kann festgestellt werden, dass Xplain den vertraglichen Vorgaben betreffend Datenschutz nicht nachgekommen ist und Daten über den Zweck der Aufgabenerfüllung – die Fehlerbehebung – hinaus aufbewahrt hat. Mit dieser Aufbewahrung wird der Grundsatz der Zweckbindung verletzt (Art. 4 Abs. 3 aDSG), da diese Daten für die Fehlerbehebung nicht mehr notwendig waren. 143. Für die Aufbewahrung dieser Daten wird Xplain deshalb zum datenschutzrechtlichen Verantwortlichen. Dabei verletzt Xplain auch die Grundsätze der Rechtmässigkeit (Art. 4 Abs. 1 aDSG) und der Verhältnismässigkeit (Art. 4 Abs. 2 aDSG) der Datenbearbeitung. Xplain hätte die Daten nach Beendigung der Fehlerbehebung nicht aufbewahren dürfen, sondern hätte sie löschen müssen. 144. Da Xplain über keine angemessenen technischen und organisatorischen Massnahmen der Datensicherheit verfügte (siehe Ziffer 128 ff.), hat Xplain auch als Verantwortlicher die Vorgaben der Datensicherheit (Art. 7 aDSG) nicht eingehalten. 4.8. Persönlichkeitsverletzung und Rechtfertigung 145. Bei dieser Rechtslage stellt sich die Frage, ob die durch die Datenbearbeitungen von Xplain verursachten Persönlichkeitsverletzungen im Sinne von Art. 12 Abs. 2 lit. a aDSG gerechtfertigt werden können. 146. Im vorliegenden Fall ist ein überwiegendes privates oder öffentliches Interesse von Xplain oder die Rechtfertigung durch ein Gesetz für die Datenbearbeitung zu prüfen, da eine Einwilligung
21 Referenz Nr.: 0316000091 / 500. 22 Referenz Nr.: 0316004366.
Seite 26 von 34
betroffener Personen aufgrund des Sachverhalts ausgeschlossen werden kann (Art. 13 Abs. 1 aDSG). 147. Ob und wie weit Xplain ein privates Interesse an der Aufbewahrung der Personendaten hatte, kann offengelassen werden. Im vorliegenden Fall kann es die Rechte der betroffenen Personen, die davon ausgehen können, dass ihre Personendaten von der Bundesverwaltung als Verantwortlicher bearbeitet werden, keinesfalls überwiegen. 148. Auch ein überwiegendes öffentliches Interesse an einer solche Datenbearbeitung ist zu verneinen, da das Interesse der Allgemeinheit grundsätzlich in einer vertragskonformen Datenbearbeitung liegt. Ebenso wenig erscheint die Aufbewahrung der Personendaten durch ein Gesetz gerechtfertigt. 149. Xplain hat mit seinen Datenbearbeitungen die Persönlichkeit einer grösseren Anzahl von Personen verletzt. Hierfür gibt es keine Rechtfertigungsgründe. 4.9. Systemfehler 150. Am 13. Juli 2023 eröffnete der EDÖB aufgrund von Art. 29 Abs. 1 lit. a aDSG eine Sachverhaltsabklärung gegen Xplain, weil er Hinweise hatte, dass ein Systemfehler vorliegt. 151. Die vorliegende Untersuchung bestätigt diesen Systemfehler vollumfänglich. Es zeigt sich, dass Xplain keine angemessenen Prozesse zur Bearbeitung von besonders schützenswerten Personendaten umgesetzt hat und folglich auch keine angemessenen technischen und organisatorischen Massnahmen der Datensicherheit getroffen hat. Damit sind die Bearbeitungsmethoden geeignet, die Persönlichkeit einer grossen Anzahl betroffener Personen zu verletzen. 152. Die besonders schützenswerten Personendaten sind einem grossen Risiko ausgesetzt, das nicht angemessen minimiert wurde. Erst aufgrund des Ransomware-Vorfalls wurde dies offensichtlich, da keine interne Datenschutz-Audits vorher stattfanden. 4.10. Aufarbeitung Ransomware-Vorfall 153. Xplain hat unmittelbar nach dem Ransomware-Vorfall verschiedene Massnahmen getroffen, um den Schaden zu minimieren (siehe Ziffer 64 ff.). Dabei fällt auf, dass Xplain sich der Schwere des Vorfalls offensichtlich nicht bewusst war und die Bundesverwaltung erst zehn Tage nach dem Vorfall informierte, obwohl eine Frist für solche Vorfälle von 24 Stunden vereinbart war (siehe Ziffer 103). Xplain ist seit Jahren fast ausschliesslich im Bereich der Inneren Sicherheit tätig (siehe Ziffer 6) und hat mit entsprechend sensitiven Informationen und Daten zu tun. Die Reaktion auf den Ransomware-Vorfall bestätigt das Fehlen von angemessenen Massnahmen der Datensicherheit (siehe Ziffer 128 ff.). 154. In Bezug auf die zukünftigen Datenbearbeitungen hat das NCSC einen Massnahmenplan aufgestellt, dessen Umsetzung auditiert und das Resultat vom NCSC beurteilt wurde (siehe Ziffer 71 f.). Dies wird in den folgenden Empfehlungen des EDÖB berücksichtigt. 4.11. Fazit 155. Xplain hat als Verantwortlicher und Auftragsbearbeiter die Bestimmungen des Datenschutzgesetzes insbesondere in Bezug auf die Grundsätze der Datensicherheit, der Rechtmässigkeit und Verhältnismässigkeit sowie der Zweckbindung verletzt: - Xplain verfügt über keine technischen und organisatorischen Massnahmen der Datensicherheit, die für den Supportprozess und die Softwareentwicklung im Bereich der Inneren Sicherheit und das Bearbeiten von besonders schützenswerten Personendaten angemessen sind; - Xplain hat vertragliche Vorgaben in Bezug auf die Datensicherheit aus dem Auftragsbearbeitungsverhältnis nicht umgesetzt;
Seite 27 von 34
- Xplain hat Personendaten nach der Fehlerbehebung weiter aufbewahrt und nicht gelöscht. 156. Die Beurteilung erfolgte aufgrund des aDSG (siehe Ziffer 74). Sie würde auch unter Anwendung des neuen DSG vom 25. September 2020 (in Kraft seit 1. September 2023) zu keinem anderen Ergebnis führen. 157. Die Zusammenarbeit von Xplain mit BAZG respektive fedpol steht als Muster für das Verhältnis zu den übrigen Bundesämtern (siehe Ziffer 22), weshalb die Ergebnisse aus der datenschutzrechtlichen Beurteilung auch für die übrige Bundesverwaltung bedeutsam sind.
Seite 28 von 34
5. Empfehlungen 158. Gestützt auf Art. 29 Abs. 3 aDSG erlässt der EDÖB gegenüber Xplain die folgenden Empfehlungen: 159. In Bezug auf die Verletzung des Grundsatzes der Datensicherheit (vgl. Kap. 4.6): Empfehlungen:
Xplain trifft technische und organisatorische Massnahmen der Datensicherheit gemäss Art. 7 DSG (neu: Art. 8 DSG) und nach den Vorgaben der Bundesverwaltung (siehe Ziffer 70 ff.), die angemessen sind in Bezug auf
1. das Bearbeiten von besonders schützenswerten Personendaten im Rahmen von Supportund Wartungsprozessen, die Xplain als Dienstleiter anbietet, 2. das Bearbeiten von Personendaten unter einem qualifizierten Geheimnisschutz, 3. auf die Entwicklung von Software im sensitiven Bereich der Inneren Sicherheit.
Xplain hat die Einhaltung der technischen und organisatorischen Massnahmen gegenüber der Bundesverwaltung regelmässig nachzuweisen, indem
4. ein Informationssicherheitsmanagementsystem (ISMS) aufgebaut wird, 5. ein Risikomanagement etabliert wird und eine laufende Evaluierung der Massnahmen stattfindet, 6. eine kontinuierliche Sensibilisierung der Mitarbeitenden erfolgt, 7. periodisch interne und externe Audits durchgeführt werden.
Solange Xplain im Bereich der Inneren Sicherheit mit der Bundesverwaltung zusammenarbeitet, ist
8. die Zertifizierung des ISMS nach einem international anerkannten Standard nachzuweisen.
Seite 29 von 34
160. In Bezug auf die Verletzung der Grundsätze der Rechtmässigkeit, der Verhältnismässigkeit und der Zweckbindung (vgl. Kap. 4.7) Empfehlungen:
Xplain kommt seinen vertraglichen Pflichten als Auftragsbearbeiter gemäss Art. 10a aDSG (neu Art. 9 DSG) nach, indem
9. die Verpflichtungen aus den Verträgen mit der Bundesverwaltung in die eigenen technischen und organisatorischen Prozesse eingebunden werden, 10. ein Löschkonzept gemäss den gesetzlichen und vertraglichen Vorgaben umgesetzt wird.
Seite 30 von 34
6. Abschluss des Verfahrens 6.1. Rechtliches Gehör und weiteres Vorgehen 161. Xplain wurde die Möglichkeit gegeben, den Sachverhalt zu prüfen und dazu Stellung zu nehmen. Mit Eingabe vom 22. März 2024 hat Xplain davon Gebrauch gemacht. Die Sachverhaltsfeststellung wurde anschliessend Xplain nochmals vorgelegt, um allfällige Schwärzungen der Sachverhaltsdarstellung zu beantragen, soweit rechtliche Interessen von Xplain beeinträchtigt und ein Interesse an der Geheimhaltung überwiegt (siehe Ziffer 167 f.). Mit Eingabe vom 12. April 2024 macht Xplain geltend, dass die Sachverhaltsfeststellung grundsätzlich unrichtig und unvollständig sei. Im Wesentlichen bezieht sich dieser Einwand darauf, dass es unzutreffend sei, dass Xplain «produktive Daten einschliesslich Personendaten ihrer Kunden auf ihren eigenen Systemen speichert, verwaltet oder sonst wie bearbeitet.» Es ist indessen tatsächlich unbestritten, dass der Ransomware-Vorfall Personendaten der Bundesverwaltung betrifft, die sich auf den Systemen von Xplain befanden und dass das Aufbewahren dieser Daten auf den Systemen von Xplain datenschutzrechtlich als «bearbeiten» zu qualifizieren ist. Der EDÖB hat deshalb die Bemerkungen von Xplain zur Sachverhaltsdarstellung gestützt auf die Eingabe vom 22. März 2024 geprüft und soweit übernommen, wie sie zur Klärung des Sachverhaltes notwendig waren. Er hat dabei insbesondere Anmerkungen verworfen, die den tatsächlichen Sachverhalt zu relativieren versuchten oder rechtliche Beurteilungen vorwegnehmen wollten. 162. Der EDÖB hat den Sachverhalt von Amtes wegen erstellt und geprüft. Damit ist der Sachverhalt gestützt auf Art. 29 aDSG rechtsgenügend erstellt, so dass die rechtliche Würdigung nachvollziehbar ist. 163. Der vorliegende Schlussbericht weist einen engen Zusammenhang mit der Bundesverwaltung auf. Er beurteilt im Wesentlichen das Auftragsverhältnis zwischen BAZG respektive fedpol als Verantwortliche und Xplain als Auftragsbearbeiter im Sinne von Art. 10a aDSG. Damit hat der vorliegende Schlussbericht einen engen Bezug zu den Schlussberichten des EDÖB zu BAZG und fedpol zum gleichen Sachverhalt. Dabei überwiegt der öffentlich-rechtliche Aspekt. Der EDÖB hat sich deshalb in Bezug auf das Verfahren aus Gründen der Praktikabilität entschieden, die drei Schlussberichte und Empfehlungen den drei Parteien gleichzeitig und mit der gleichen Rechtsbelehrung zu eröffnen. 164. Xplain wird eine Frist von 30 Tagen ab Erhalt des Schlussberichts angesetzt, um sich darüber zu äussern, ob sie die Empfehlungen gemäss vorgehendem Kapitel 5 annehmen oder ablehnen. 6.2. Veröffentlichung des Schlussberichts 165. In Fällen von allgemeinem Interesse kann der EDÖB die Öffentlichkeit über seine Feststellungen und Empfehlungen informieren (Art. 30 Abs. 2 aDSG). Der Ransomware-Vorfall vom Mai 2023 hat ein breites öffentliches Interesse gefunden. Die Information über die Ursachen der widerrechtlichen Publikation von besonders schützenswerten Personendaten im Darknet und die getroffenen und zu treffenden Massnahmen sowie die entsprechenden Empfehlungen des EDÖB sind von allgemeinem Interesse, da sowohl die öffentliche Verwaltung als auch ein privates Unternehmen betroffen sind. Aus datenschutzrechtlicher Sicht ist diese Konstellation der Auftragsbearbeitung mit besonderen Risken verbunden, denen das Datenschutzgesetz auch eine spezifische Aufmerksamkeit schenkt. Der erstellte Sachverhalt, die diesbezügliche rechtliche Beurteilung sowie die Empfehlungen sind deshalb sowohl für die Bundesverwaltung als auch für private Unternehmen von grossem Interesse, weil allgemeine Erkenntnisse für die datenschutzrechtlichen Anforderungen für die Zusammenarbeit der Bundesverwaltung mit privaten Unternehmen als Auftragsbearbeiter präzisiert werden. Durch die Erkenntnisse dieses Schlussberichts können datenschutzrechtliche Risiken erheblich minimiert werden, weshalb der EDÖB auch eine speditive Durchführung der Untersuchung angestrebt hat. Der Schlussbericht und die Empfehlungen des EDÖB im vorliegenden Zusammenhang sind deshalb auch aus diesem Grund von allgemeinem Interesse.
Seite 31 von 34
166. Der Schlussbericht Xplain wird deshalb zusammen mit den Schlussberichten von BAZG und fedpol auf der Webseite des EDÖB veröffentlicht (www.edoeb.admin.ch). 167. Xplain wurde die Gelegenheit gegeben, Schwärzungen des Sachverhalts zu beantragen, um eigene rechtliche Interessen zu schützen. Mit Eingabe vom 12. April 2024 hat Xplain beantragt, die Sachverhaltsfeststellung nicht zu veröffentlichen, im Wesentlichen, weil der Sachverhalt nicht im Sinne von Xplain abgeändert wurde. Auf dieses Ansinnen kann der EDÖB nicht eintreten, weil die Anmerkungen von Xplain – wo sachdienlich – berücksichtigt wurden und der Sachverhalt rechtsgenügend erstellt ist. 168. Eventualiter macht Xplain weitere Argumente für Schwärzungen geltend, die auf eine komplette Anonymisierung des Sachverhalts und der beteiligten Parteien hinauslaufen. Sie fügt hierfür insbesondere Geheimhaltungsinteressen und Sicherheitsaspekte an. Gleichzeitig werden Schwärzungen beantragt, die offensichtlich haltlos sind, wie etwa die Nennung der Firma Xplain, die aufgrund der Medienmitteilung des EDÖB vom 14. Juli 2023 sowie der zahlreichen Berichterstattungen der Öffentlichkeit bekannt ist. Der EDÖB hat die einzelnen Anträge geprüft und entsprechende Schwärzungen im veröffentlichten Schlussbericht vorgenommen. In Bezug auf die komplette Anonymisierung verhält sich Xplain widersprüchlich. Mit Informationen auf Ihrer Website vor kurzem (8. Februar 2024, 7. März 2024) (zuletzt besucht am 15. April 2024) und Interviews in Fachzeitschriften (Inside-IT, 6. Februar 204) nimmt Xplain ausführlich zum Ransomware-Vorfall Stellung. Zudem liegt ein öffentlicher Bericht des BACS vom 7. März 2024 zum «Hackerangriff auf Firma Xplain» vor, der im Internet abrufbar ist (zuletzt besucht am 15. April 2024). Eine Anonymisierung ist deshalb unmöglich, da eine Re-Identifikation bei dieser Sachlage ohne weiteres möglich ist. Auf eine solche Anonymisierung ist deshalb auch aus verwaltungsökonomischer Sicht zu verzichten. Für eine konsequente Schwärzung im Sinne der Beantragungen von Xplain müssten zudem auch die parallelen Schlussberichte vom fedpol und BAZG geschwärzt werden, wodurch auch diese in weiten Teilen unverständlich wären. Wie bereits erläutert, besteht aber sowohl für die Bundesverwaltung als auch für private Unternehmen, die für die Bundesverwaltung Dienstleistungen erfüllen (wollen), ein erhebliches Interesse an den Feststellungen der Schlussberichte. Schliesslich erscheint es vorliegend nicht opportun, Stellen zu schwärzen, die nach Bearbeitung eines allfälligen Zugangsgesuch nach Öffentlichkeitsprinzip voraussichtlich offenbart würden. Somit überwiegt das allgemeine Interesse an der Publikation des Schlussberichts bzw. die weitgehende Nichtbeachtung der beantragten Schwärzungen durch Xplain.
die stellvertretende Beauftragte: der zuständige Jurist:
Florence Henguely
Nicolas Winkelmann
der zuständige Informations- und Sicherheitsspezialist:
der beigezogene Experte: Michael Burger Bruno Baeriswyl