EDÖB: Schluss­be­rich­te i.S. Xplain, fed­pol und BAZG

Der EDÖB hat die Schluss­be­rich­te in sei­ner Sach­ver­halts­abk­läung in Sachen Xplain AG, fed­pol und BAZG jeweils mit Datum vom 25. April 2024 ver­öf­fent­licht, nach einer für die Ver­hält­nis­se des EDÖB sehr spe­di­ti­ven Sachverhaltsabklärung.

Hin­ter­grund

Hin­ter­grund war der bekann­te Dou­ble Extor­ti­on-Ran­som­wa­re-Angriff auf Xplain. Eine recht detail­lier­te Beschrei­bung fin­det sich bei Insi­de IT, eben­so wie ein Inter­view mit dem CEO von Xplain vom Febru­ar 2024.

Die Angrei­fer, eine Grup­pe namens Play, hat­te im Mai 2023 eine grö­sse­re Daten­men­ge erbeu­tet. Kri­tisch war dies des­halb, weil Xplain seit 2000 schwer­ge­wich­tig als IT-Pro­vi­der der Bun­des­ver­wal­tung im Bereich der inne­ren Sicher­heit tätig war, bspw. für das BAZG (Bun­des­amt für Zoll und Grenz­si­cher­heit). Auf den betrof­fe­nen Syste­men – Refe­renz­in­stal­la­tio­nen, Entwicklungs‑, Test‑, Admi­ni­stra­ti­ons- und Build-Umge­bun­gen – befan­den sich offen­bar rund 1.5 TB an Daten, wovon ca. 600 GB exfil­triert und – weil Xplain von einer Löse­geld­zah­lung abge­se­hen hat­te – rund 430 GB (146’623 Datei­en; ein gro­sser Teil aber Dupli­ka­te) ver­öf­fent­licht wur­den; dies ver­mut­lich ohne genaue­re inhalt­li­che Prü­fung der Daten durch die Angrei­fer. Das NCSC, das die Bewäl­ti­gung des Vor­falls sei­tens des Bun­des gelei­tet hat­te, hat zu den betrof­fe­nen Daten einen Bericht erstellt und ver­öf­fent­licht.

Betrof­fen waren vor allem Daten von Xplain, des fed­pol, des BJ und wei­te­ren dem EJPD zuzu­ord­nen­den Stel­len, fer­ner des VBS, des Seco und wei­te­rer kan­to­na­ler und Bun­des­be­hör­den. Die Daten ent­hiel­ten auch Per­so­nen­da­ten, neben eini­gen als intern oder ver­trau­lich – aber nicht geheim – klas­si­fi­zier­ten Daten­ob­jek­ten. Der EDÖB illu­striert den Vor­fall wie folgt:

Admi­ni­stra­tiv­un­ter­su­chung des Bundesrats

In der Fol­ge des Angriffs hat­te neben dem EDÖB der Bun­des­rat ab Ende August 2023 durch Ober­son Abels eine Admi­ni­stra­tiv­un­ter­su­chung durch­füh­ren las­sen, die mit einem auf den 28. März 2024 datier­ten Bericht abge­schlos­sen wur­de (noch lau­fend sind Straf­ver­fah­ren der BA). Gegen­stand der Unter­su­chung war dabei, wie Xplain in den Besitz von pro­duk­ti­ven Daten der Bun­des­ver­wal­tung kom­men konn­te, ob dabei ein Man­gel an aus­rei­chen­den TOMs ursäch­lich war und ob die Bun­des­ver­wal­tung ihre Pflich­ten beim Moni­to­ring von Xplain ver­letzt hat.

Der Bericht kam zum Ergeb­nis, dass auf Sei­ten des Bun­des Pro­zess­män­gel bestan­den (z.B. feh­len­des Vier­au­gen­prin­zip bei der Über­mitt­lung von Pro­duk­tiv­da­ten an Xplain), dass Xplain nicht ange­mes­sen über­wacht wor­den war und dass der Bund auch daten­schutz­recht­li­che Pflich­ten im Ver­hält­nis zu Xplain als Auf­trags­be­ar­bei­ter ver­letzt hat. Offen­bar bestand auch Unklar­heit bei der zer­split­ter­ten Zustän­dig­keit inner­halb der diver­sen betei­lig­ten Bun­des­stel­len. Eben­falls wur­de eine Abhän­gig­keit von Xplain festgestellt.

Der Bun­des­rat hat des­halb an sei­ner Sit­zung vom 1. Mai 2024 beschlos­sen, Mass­nah­men zu ergrei­fen. Eine Ver­bes­se­rung der Situa­ti­on erwar­tet er schon auf­grund des am 1. Janu­ar 2024 in Kraft getre­te­nen ISG, aber er hat wei­te­re Mass­nah­men beschlos­sen, die jeweils bis Ende 2024 umzu­set­zen sind:

  • zusätz­li­che Sicher­heits­vor­ga­ben zur Zusam­men­ar­beit mit Lie­fe­ran­ten (bis Ende 2024 erstellt), zur Stär­kung der Kon­troll- und Auditfähigkeit;
  • funk­ti­ons­be­zo­ge­nes Aus­bil­dungs­kon­zept für die Schu­lung und Sen­si­bi­li­sie­rung von Mit­ar­bei­ten­den in Bezug auf Sicherheitsvorgaben;
  • Über­sicht über die vor­han­de­nen Kom­mu­ni­ka­ti­ons­mit­tel der Bundesbehörden;

Wei­ter ist das VBS beauf­tragt, den IKT-Grund­schutz des Bun­des bis Ende 2024 zu über­prü­fen und ggf. Anpas­sun­gen vor­zu­schla­gen. Das BACS zudem “auf­zei­gen”, wie die Koor­di­na­ti­on bei der Bewäl­ti­gung von Cyber­an­grif­fen zwi­schen Bund, Kan­to­nen und Lie­fe­ran­ten abläuft und nach wel­chen Kri­te­ri­en das Aus­mass der Cyber­an­grif­fe beur­teilt wer­den soll.

Schluss­be­richt i.S. Xplain

Über­gangs­recht

Im Schluss­be­richt zu Xplain kommt der EDÖB zum Ergeb­nis, dass diver­se Emp­feh­lun­gen aus­zu­spre­chen sind. Wie bei allen unter dem alten Recht begon­ne­nen Sach­ver­halts­ab­klä­run­gen stellt sich aller­dings das Pro­blem, dass sie über­gangs­recht­lich (Art. 70 DSG) for­mell wie mate­ri­ell nach dem alten DSG abzu­schlie­ssen waren bzw. sind. Das führt dazu, dass die Ergeb­nis­se und ggf. Emp­feh­lun­gen des EDÖB im Grun­de genom­men rechts­hi­sto­ri­schen Cha­rak­ter haben, denn anders als der EDÖB bei der Durch­füh­rung der Sach­ver­halts­ab­klä­rung unter­ste­hen die Adres­sa­ten der Sach­ver­halts­ab­klä­rung seit dem 1. Sep­tem­ber 2023 dem neu­en DSG. Es fragt sich des­halb jeweils, ob die Emp­feh­lun­gen des EDÖB auch unter dem neu­en Recht beacht­lich wären. Der EDÖB ver­weist des­halb im Schluss­be­richt wie­der­holt auf das neue Recht, um den Erwä­gun­gen etwas mehr Gewicht zu ver­lei­hen; eine eigent­li­che Prü­fung, inwie­fern das neue dem alten DSG tat­säch­lich ent­spricht, erfolgt aber nicht.

Dazu kommt der Umstand, dass Art. 70 DSG nur für die eigent­li­che Sach­ver­halts­ab­klä­rung eine Wei­ter­gel­tung des alten Rechts vor­sieht. Da eine etwa­ige Kla­ge vor dem Bun­des­ver­wal­tungs­ge­richt durch den EDÖB oder den Adres­sa­ten der Abklä­rung ein neu­es, eige­nes Ver­fah­ren eröff­nen wür­de – es ist kein Rechts­mit­tel­ver­fah­ren –, wäre hier­für eine eige­ne Über­gangs­re­ge­lung erfor­der­lich. Da eine sol­che fehlt, kön­nen wohl weder der EDÖB noch der Adres­sat des Schluss­be­richts vor dem Bun­des­ver­wal­tungs­ge­richt kla­gen (für die Adres­sa­ten galt ein Kla­ge­recht nach Art. 35 lit. b VGG, der durch das neue DSG aber gestri­chen wurde).

Soweit eine Emp­feh­lung abge­lehnt oder nicht umge­setzt wird, blie­be dem EDÖB also nur eine Unter­su­chung nach dem neu­em DSG. Da das VwVG auf die Sach­ver­halts­ab­klä­rung nur ana­log ange­wandt wur­de, müss­te der EDÖB dabei den Sach­ver­halt nach den Regeln des VwVG neu erhe­ben und nach dem neu­en Recht wür­di­gen. Die Über­gangs­re­ge­lung von Art. 70 DSG ist mit ande­ren Wor­ten im Ansatz ver­fehlt, ver­liert aber immer­hin lau­fend an Bedeu­tung (vie­le Sach­ver­halts­ab­klä­run­gen sind nicht mehr hängig).

Recht­li­che Erwägungen

In recht­li­cher Hin­sicht hat der Schluss­be­richt zwei Haupt­the­men, einer­seits die Rol­le von Xplain und ande­rer­seits die Ein­hal­tung der Daten­si­cher­heit. Dabei stützt sich der EDÖB auf sei­ne Sach­ver­halts­fest­stel­lun­gen, die Xplain aller­dings als unrich­tig ein­ge­stuft hatte.

Xplain war aus Sicht des EDÖB in zwei Rol­len tätig:

  • Als Ver­ant­wort­li­che im Bereich der eige­nen Bearbeitungen:

    Xplain han­delt als Ver­ant­wort­li­cher, soweit Per­so­nen­da­ten über Kun­den, Mit­ar­bei­ten­de etc. bear­bei­tet wer­den. Dabei hat Xplain die Grund­prin­zi­pi­en des Daten­schutz­ge­set­zes einzuhalten […].

  • Als Auf­trags­be­ar­bei­ter, soweit Xplain Soft­ware entwickelte:

    Das Kern­ge­schäft von Xplain ist die Ent­wick­lung von Stan­dard-Soft­ware für die Inne­re Sicher­heit […]. Im Rah­men die­ser Tätig­keit wer­den auch Per­so­nen­da­ten des Auf­trag­ge­bers an Xplain über­tra­gen, so ins­be­son­de­re im Rah­men von Pro­jekt­da­ten und bei Feh­ler­be­he­bun­gen […]. Es spielt kei­ne Rol­le, dass die Über­tra­gung die­ser Daten nur ein Neben­ef­fekt der eigent­li­chen Auf­ga­be von Xplain ist. Es ist auch uner­heb­lich, dass die­se Daten­be­ar­bei­tun­gen einen gerin­gen Umfang im Ver­gleich zu den Kern­tä­tig­kei­ten von Xplain aus­ma­chen. […] Wie die Ver­trags­ver­ein­ba­run­gen zei­gen, ist ins­be­son­de­re bei den mit Xplain ver­ein­bar­ten Dienst­lei­stun­gen das Bear­bei­ten von Per­so­nen­da­ten ent­hal­ten […]. Xplain ist in die­ser Kon­stel­la­ti­on als Auf­trags­be­ar­bei­ter im Sin­ne von Art. 10a aDSG zu qualifizieren.

Der EDÖB hält sich hier nicht mit einer genaue­ren Ana­ly­se der Rol­len auf. Nach der ins­be­son­de­re vom BayL­DA, aber auch vom EDSA ver­tre­te­nen und auch in der Schweiz rezi­pier­tenSchwer­punkt­theo­rie” wäre mass­ge­bend, ob die Bear­bei­tung von Per­so­nen­da­ten eigent­li­cher Gegen­stand der Lei­stungs­er­brin­gung ist (Auf­trags­be­ar­bei­tung, bspw. bei Hosting- oder SaaS-Lei­stun­gen) oder ledig­lich Neben­ef­fekt einer anders gela­ger­ten Dienst­lei­stung (Tätig­keit als Ver­ant­wort­li­cher, bspw. Dienst­lei­stun­gen der frei­en Berufe).

Das liegt wohl im Inter­es­se der Bun­des­stel­len – soweit Xplain ein Ver­ant­wort­li­cher wäre, wür­de sich die Fra­ge stel­len, ob Xplain über­haupt Per­so­nen­da­ten zur Ver­fü­gung gestellt wer­den dür­fen, was bei einem Auf­trags­be­ar­bei­ter viel ein­fa­cher ist. Anzu­mer­ken bleibt, dass auch ein Ver­ant­wort­li­cher eine Hilfs­per­son im (amts-)geheimnisrechtlichen Sinn sein kann und ent­spre­chend bei­gezo­gen wer­den darf, wenn er lege artis bestellt und ein­be­zo­gen wird.

Dazu kommt aber eine wei­te­re Rol­le von Xplain: Die­je­ni­ge des Ver­ant­wort­li­chen, weil im Rah­men einer Auf­trags­be­ar­bei­tung die ent­spre­chen­den Vor­ga­ben nicht ein­ge­hal­ten wer­den:

Xplain hat in der Funk­ti­on als Auf­trags­be­ar­bei­ter Per­so­nen­da­ten nach den Vor­ga­ben des Ver­ant­wort­li­chen zu bear­bei­ten, ins­be­son­de­re nach den ver­trag­li­chen Vor­ga­ben und im Rah­men des­sen, was der Auf­trag­ge­ber selbst tun dürf­te (Art. 10a Abs. 1 lit. a aDSG).

Soweit sich Xplain nicht an die­se Vor­ga­ben hält, wird sie selbst zum daten­schutz­recht­lich Verantwortlichen.

Im vor­lie­gen­den Sach­ver­halt zeigt sich, dass Xplain die ihr über­mit­tel­ten Per­so­nen­da­ten nicht ver­trags­ge­mäss gelöscht hat […]. Für die Auf­be­wah­rung die­ser Per­so­nen­da­ten – die spä­ter im Dark­net publi­ziert wur­den – ist Xplain Verantwortlicher.

Das ist weder ganz rich­tig noch ganz falsch. So abso­lut for­mu­liert gäbe es kei­nen ver­trags­brü­chi­gen Auf­trags­be­ar­bei­ter, son­dern nur den ange­mass­ten Ver­ant­wort­li­chen. Der Begriff des Ver­ant­wort­li­chen ist aber nicht so weit – er ver­langt bekannt­lich einen aus­rei­chen­den Ein­fluss auf die Zwecke und die Mit­tel der Bear­bei­tung. Ver­letzt ein Auf­trags­be­ar­bei­ter eine Sicher­heits­an­for­de­rung, wird er dadurch noch nicht zum Ver­ant­wort­li­chen. Ein sol­cher Rol­len­wech­sel ent­steht erst, wenn der Ver­ant­wort­li­che aus eige­nen Moti­ven – Zweck­be­stim­mung – eine eige­ne Bear­bei­tung vor­nimmt oder wesent­li­che Mit­tel der Bear­bei­tung setzt. Bei einer Daten­spei­che­rung über das ver­trag­lich Vor­ge­ge­be­ne hin­aus geschieht dies aller­dings; hier wird der Auf­trags­be­ar­bei­ter tat­säch­lich ein Ver­ant­wort­li­cher. Es liegt daher bspw. im Inter­es­se des Auf­trags­be­ar­bei­ters, eine wei­te­re Spei­che­rung in Back­ups usw. aus­drück­lich zu regeln – geschieht das nicht und unter­bleibt eine Daten­lö­schung nach dem Ende der eigent­li­chen Auf­trags­be­ar­bei­tung, ist der Auf­trags­be­ar­bei­ter ein Ver­ant­wort­li­cher, der höchst­wahr­schein­lich sei­ne Pflich­ten (bspw. zur Infor­ma­ti­on der Betrof­fe­nen) verletzt.

Der EDÖB hält wei­ter fest:

  • Die beauf­tra­gen­den Bun­des­stel­len durf­ten grund­sätz­lich davon aus­ge­hen, dass Xplain ange­mes­se­ne TOMs ergrif­fen hat, “da Xplain als Ver­ant­wort­li­cher dem aDSG unter­steht und atzt 7 aDSG ein­zu­hal­ten hat”. Das ist eine etwas selt­sa­me Begrün­dung, aber rich­tig ist jeden­falls, dass auch ein Auf­trags­be­ar­bei­ter den Bear­bei­tungs­grund­sät­zen ein­schliess­lich der Daten­si­cher­heit unter­steht, also eige­ne Pflich­ten hat, und dass der Ver­ant­wort­li­che ein gewis­ses Ver­trau­en in die Ein­hal­tung der ent­spre­chen­den Pflich­ten haben darf. Es ist des­halb nicht gene­rell zwin­gend, in einer ADV eine Liste von TOMs auf­zu­füh­ren, auch wenn dies häu­fig ist (oft aller­dings mit nichts­sa­gen­den Umschrei­bun­gen sehr gene­ri­scher TOMs).
  • Soweit der Ver­ant­wort­li­che spe­zi­fi­sche Sicher­heits­an­for­de­run­gen hat, muss er sie aber ver­trag­lich über­bin­den. (Zudem hält der IKT-Grund­schutz der Bun­des­ver­wal­tung fest, dass die IKT-Sicher­heits­vor­ga­ben des Bun­des ver­bind­lich ver­trag­lich zu regeln sind.)
  • Der Ver­ant­wort­li­che müs­se die Umset­zung und Ein­hal­tung der Sicher­heits­mass­nah­men prü­fen – nicht falsch, aber nicht auf alle Auf­trags­be­ar­bei­tun­gen verallgemeinerbar:

    Der Auf­trags­be­ar­bei­ter selbst hat Audits durch­zu­füh­ren und unge­wöhn­li­che Sicher­heits­vor­fäl­le dem Ver­ant­wort­li­chen zu mel­den. Dies ergibt sich bereits aus den Grund­schutz­mass­nah­men von Art. 7 aDSG und aus dem Grund­satz von Treu und Glau­ben. Der Ver­ant­wort­li­che kann sich ein Audit­recht aus­be­din­gen und sich auch Audit­be­rich­te des Auf­trags­be­ar­bei­ters vor­le­gen lassen.

  • Die Spei­che­rung von Per­so­nen­da­ten über das Erfor­der­li­che hin­aus ver­letzt den Grund­satz der Ver­hält­nis­mä­ssig­keit.
  • Xplain habe die Pflicht zur Mit­tei­lung der Sicher­heits­ver­let­zung ver­nach­läs­sigt (aller­dings exi­stier­te eine sol­che Pflicht unter dem aDSG nur auf ver­trag­li­cher Basis oder in bestimm­ten Kon­stel­la­tio­nen als Aus­fluss des Sicherheitsgrundsatzes):

    Xplain hat unmit­tel­bar nach dem Ran­som­wa­re-Vor­fall ver­schie­de­ne Mass­nah­men getrof­fen, um den Scha­den zu mini­mie­ren […]. Dabei fällt auf, dass Xplain sich der Schwe­re des Vor­falls offen­sicht­lich nicht bewusst war und die Bun­des­ver­wal­tung erst zehn Tage nach dem Vor­fall infor­mier­te, obwohl eine Frist für sol­che Vor­fäl­le von 24 Stun­den ver­ein­bart war.

Inter­es­sant ist ein wei­te­rer Punkt: Der EDÖB prüft die Ein­hal­tung der Min­dest­an­for­de­run­gen an die Daten­si­cher­heit durch Xplain und stellt Ver­let­zun­gen fest – dies aber, ohne eine abstrak­te Regel für die Bestim­mung des mini­ma­len Schutz­stan­dards zu nen­nen oder auf­zu­stel­len. Der EDÖB hält zwar zu Recht fest, dass aus der Tat­sa­che eines Sicher­heits­vor­falls nicht auf unzu­rei­chen­de TOMs zu schlie­ssen ist (ein Gedan­ke, der in Art. 4 Abs. 2 PrHG beson­ders deut­lich zum Aus­druck kommt):

Allein die Tat­sa­che, dass Per­so­nen­da­ten vom File­ser­ver von Xplain im Dark­net publi­ziert wur­den, lässt noch nicht dar­auf schlie­ssen, dass die Mass­nah­men nicht ange­mes­sen waren. Ein Rest­ri­si­ko einer Daten­schutz­ver­let­zung ver­bleibt bei jeder Daten­be­ar­bei­tung. Ent­schei­dend ist, ob die dem Risi­ko der Daten­be­ar­bei­tun­gen ange­mes­se­nen Mass­nah­men getrof­fen wurden.

Dar­an soll­te man auch bei der Über­mitt­lung von Per­so­nen­da­ten ins Aus­land den­ken. Aber: Der EDÖB geht so vor, dass er Sicher­heits­mass­nah­men nennt, die nicht getrof­fen wor­den waren – bspw. der Betrieb eines SOC oder die Abbil­dung ver­trag­li­cher Vor­ga­ben in eige­nen Pro­zes­sen –, und kommt direkt zum Ergeb­nis, dass dadurch Anfor­de­run­gen an die Daten­si­cher­heit ver­letzt wur­den. Auch wenn das im Ergeb­nis ein­leuch­tet und sich der EDÖB auf recht gene­ri­sche Emp­feh­lun­gen beschränkt, ist das Vor­ge­hen recht­lich betrach­tet eigent­lich lücken­haft. Der EDÖB hät­te die Fak­to­ren nach Art. 1 DSV – oder viel­mehr: nach Art. 8 ff. und 20 ff. aVDSG – prü­fen müs­sen, d.h. er hätte

  • dar­le­gen müs­sen, wie die Risi­ken für die Betrof­fe­nen ex ante ein­zu­schät­zen waren, unter Berück­sich­ti­gung des Ermes­sens­spiel­raums des Verantwortlichen,
  • den Stand der Tech­nik beur­tei­len müs­sen, und
  • den Auf­wand für die Imple­men­tie­rung wei­te­rer mög­li­cher Mass­nah­men, unter Berück­sich­ti­gung der Wirk­sam­keit der mög­li­chen Massnahmen.

Was das vor­lie­gen­de Ver­fah­ren eben­falls zeigt:

  • Sicher­heits­mass­nah­men wer­den in einem Ver­trau­ens­kli­ma sehr oft ver­nach­läs­sigt und erst kri­tisch geprüft, wenn eine Ver­let­zung erfolgt ist. Das belegt die Wich­tig­keit exter­ner Prü­fun­gen (bspw. Pen­tests oder ande­rer Secu­ri­ty Reviews), und zwar beson­ders bei einer engen und lang­jäh­ri­gen Zusammenarbeit.
  • Es ist nicht unzu­läs­sig, dem Auf­trags­be­ar­bei­ter Pflich­ten im Bereich der Daten­si­cher­heit zu über­las­sen, sogar der Regel­fall. Wie weit die Ver­ant­wor­tung des Ver­ant­wort­li­chen geht und wie weit jene des Auf­trags­be­ar­bei­ters, ist schwie­rig zu sagen – eine zen­tra­le TOM besteht für bei­de Par­tei­en aber dar­in, genau die­se Schnitt­stel­le zu regeln.
  • Sicher­heit ist auch eine Pro­zess­fra­ge. Pro­zes­se müs­sen exi­stie­ren und ein­ge­übt wer­den. Sie funk­tio­nie­ren im Ernst­fall nicht, wenn sie im Stan­dard­be­trieb nicht funktionieren.
  • Unter­neh­men haben oft ein fal­sches Gefühl der Sicher­heit bei den eige­nen Bear­bei­tun­gen, wohl aus zwei Grün­den: Zum einen fin­den inter­ne Bear­bei­tun­gen gefühlt in einem geschütz­ten Raum statt – inter­ne Pro­zess­män­gel sind so gese­hen unschön, aber unschäd­lich. Zum ande­ren ist abstrakt bekannt, wie häu­fig Cyber­an­grif­fe gewor­den sind, aber das führt nicht zu einem Gefühl der Bedro­hung, sehr zu unrecht allerdings.
  • Eine Kon­ta­mi­na­ti­on von Syste­men mit Per­so­nen- oder ande­ren heik­len Daten kann sich rächen. Das betrifft nicht nur die Spei­che­rung von Kun­den­da­ten bei IT-Dienst­lei­stern, son­dern genau­so eine unter­las­se­ne Löschung oder Anony­mi­sie­rung von Daten auf eige­nen Syste­men, die von einem Breach betrof­fen sein kön­nen, was zu einem Erklä­rungs­not­stand gegen­über Betrof­fe­nen füh­ren kann.

Emp­feh­lun­gen

Der EDÖB emp­fiehlt Xplain fol­gen­de Massnahmen:

Mit Bezug auf die Daten­si­cher­heit:

  • Xplain trifft ange­mes­se­ne TOMs nach dem Gesetz und den ver­trag­li­chen Vor­ga­ben der Bun­des­ver­wal­tung, dies in Bezug auf 
    • die Bear­bei­tung beson­ders schüt­zens­wer­ter Per­so­nen­da­ten im Rah­men von Sup­port- und Wartungsprozessen,
    • die Bear­bei­tung von Per­so­nen­da­ten unter einem qua­li­fi­zier­ten Geheimnisschutz
    • die Ent­wick­lung von Soft­ware im sen­si­ti­ven Bereich der Inne­ren Sicherheit.
  • Xplain weist die­se TOMs der Bun­des­ver­wal­tung regel­mä­ssig nach, indem sie 
    • ein ISMS auf­baut (wobei dies nach einem inter­na­tio­nal aner­kann­ten Stan­dard zu zer­ti­fi­zie­ren ist, solan­ge Xplain mit der Bun­des­ver­wal­tung im Bereich der Inne­ren Sicher­heit zusammenarbeitet);
    • ein Risi­ko­ma­nage­ment eta­bliert und
    • Mass­nah­men lau­fend evaluiert;
  • Xplain “sen­si­bi­li­siert” ihre Mitarbeitenden
  • Xplain führt peri­odisch inter­ne und exter­ne Audits durch.

Mit Bezug auf wei­te­re Grund­sät­ze:

  • Xplain bin­det die ver­trag­li­chen Pflich­ten in die eige­nen Pro­zes­se ein, und
  • setzt ein Lösch­kon­zept gemäss den gesetz­li­chen und ver­trag­li­chen Vor­ga­ben um.

Ver­öf­fent­li­chung des Schlussberichts

Strit­tig war, ob und wie der Schluss­be­richt zu ver­öf­fent­li­chen ist. Xplain hat­te erfolg­los ver­langt, von einer Ver­öf­fent­li­chung abzu­se­hen, im Wesent­li­chen offen­bar, weil der Sach­ver­halt nicht rich­tig erstellt wor­den sei. Even­tua­li­ter hat­te Xplain weit­ge­hen­de Schwär­zun­gen ver­langt, offen­bar bis hin zu einer Anony­mi­sie­rung des Schluss­be­richts. Der EDÖB hat zwar wie üblich gewis­se Schwär­zun­gen vor­ge­nom­men, aber nicht so weit­ge­hend, auch weil eine Anony­mi­sie­rung in die­sem Fall fak­tisch nicht mög­lich gewe­sen wäre.

Es fragt sich aller­dings tat­säch­lich, wie weit­ge­hend die Ver­öf­fent­li­chungs­pra­xis des EDÖB gehen darf. Nach dem alten wie auch dem neu­en DSG kann der EDÖB die Öffent­lich­keit über Fest­stel­lun­gen und Ver­fü­gun­gen infor­mie­ren, heu­te also auch über Unter­su­chun­gen und Ver­fü­gun­gen, aber nur “in Fäl­len von all­ge­mei­nem Inter­es­se” (Art. 57 Abs. 2 DSG; Art. 30 Abs. 2 aDSG). Die­se For­mu­lie­rung ist miss­ver­ständ­lich: Der EDÖB kann bei sol­chen Fäl­len nicht gene­rell infor­mie­ren, son­dern nur, soweit an der Infor­ma­ti­on kon­kret ein öffent­li­ches Inter­es­se besteht. Dabei sind eini­ge Fak­to­ren zu berücksichtigen:

  • Nicht jedes Inter­es­se der Öffent­lich­keit ist ein öffent­li­ches Inter­es­se – das gilt bei Medi­en eben­so wie beim EDÖB. Nicht alles, wor­über Medi­en schrei­ben wol­len, erfolgt im öffent­li­chen Inter­es­se. Die Medi­en­öf­fent­lich­keit recht­fer­tigt des­halb nicht jede Ver­öf­fent­li­chung. Sie kann im Gegen­teil sogar ein Grund sein, von einer Ver­öf­fent­li­chung abzusehen.
  • Das Inter­es­se der Öffent­lich­keit an der Tätig­keit des EDÖB im All­ge­mei­nen ist nicht durch die Ver­öf­fent­li­chung eines Schluss­be­richts zu befrie­di­gen, son­dern durch Tätig­keits­be­rich­te oder Medienmitteilungen.
  • Das Inter­es­se des EDÖB, die eige­ne Wirk­sam­keit zu bele­gen, ist kein öffent­li­ches Interesse.
  • Das öffent­li­che Inter­es­se an der Infor­ma­ti­on ver­langt kei­ne detail­lier­te Infor­ma­ti­on. Die Auf­merk­sam­keits­span­ne der Öffent­lich­keit ist kurz.
  • Das Inter­es­se an der Rechts­fort­bil­dung und an Kennt­nis der Pra­xis des EDÖB ist ein öffent­li­ches Inter­es­se. Es könn­te und soll­te durch Leit­fä­den u.dgl. befrie­digt wer­den, nicht durch Schluss­be­rich­te, die in recht­li­cher Hin­sicht oft sehr ober­fläch­lich begrün­det werden.

Schluss­be­rich­te i.S. fed­pol und BAZG

Die Sach­ver­halts­ab­klä­rung i.S. fed­pol und BAZG rich­te­te sich anders als bei Xplain nicht auf die inter­nen Pro­zes­se von Xplain, son­dern auf das Vor­ge­hen der Behör­den selbst. Inhalt­lich über­schnei­den sich die Schluss­be­rich­te allerdings.

Der EDÖB bestä­tigt aber noch­mals klar, dass der Ver­ant­wort­li­che ein gewis­ses Grund­ver­trau­en in den Auf­trags­be­ar­bei­ter haben darf:

Der Ver­ant­wort­li­che hat dem Auf­trag­neh­mer kla­re Vor­ga­ben für Sicher­heits­mass­nah­men zu machen und deren Umset­zung und Ein­hal­tung zu kon­trol­lie­ren. Sofern der Auf­trag­neh­mer selbst dem aDSG unter­steht, kann der Ver­ant­wort­li­che davon aus­ge­hen, dass die tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men der Daten­si­cher­heit (Art. 7 aDSG) ange­mes­sen erfüllt sind.

Der Ver­ant­wort­li­che muss den Auf­trags­be­ar­bei­ter u.U. aber den­noch überwachen:

Der Ver­ant­wort­li­che ist des­halb ver­pflich­tet, den Auf­trags­be­ar­bei­ter sorg­fäl­tig aus­zu­wäh­len, zu instru­ie­ren und soweit nötig zu über­wa­chen.

In der Sache sieht der EDÖB Män­gel ins­be­son­de­re bei der ver­trag­li­chen Ein­bin­dung von Xplain, beim Ver­trau­en in eine ver­mu­te­te Prü­fung durch das BAZG, das eine von fed­pol genutz­te Appli­ka­ti­on bereits im Ein­satz hat­te, und bei feh­len­den Überwachungsmassnahmen.

Hier emp­fiehlt der EDÖB sowohl dem fed­pol aus auch dem BAZG folgendes:

  • Die Auf­trags­da­ten­be­ar­bei­tung sei nicht klar gere­gelt gewe­sen. Die Auf­trags­da­ten­be­ar­bei­tung sei daher dahin­ge­hend zu kon­kre­ti­sie­ren, dass sich die Par­tei­en “bewusst machen”, ob bzw. unter wel­chen Vor­aus­set­zun­gen Per­so­nen­da­ten die Syste­me des Bun­des ver­las­sen dür­fen. Er emp­fiehlt hier folgendes: 
    • Zu prü­fen, wann es not­wen­dig ist, dass Per­so­nen­da­ten im Rah­men von Sup­port­pro­zes­sen die Syste­me des Bun­des ver­las­sen und in Syste­men von Xplain gespei­chert werden;
    • jeweils die not­wen­di­gen TOMs zu bestim­men, und bei einer not­wen­di­gen Spei­che­rung bei Xplain ins­be­son­de­re die Grund­sät­ze der Daten­mi­ni­mie­rung und Daten­si­cher­heit abzusichern;
    • die ent­spre­chen­den Daten­über­tra­gun­gen in kla­ren Ver­ein­ba­run­gen festzuhalten.
  • Soll­te fed­pol wei­ter mit Xplain zusam­men­ar­bei­ten (was offen­bar der Fall ist – die vom Unter­su­chungs­be­richt fest­ge­stell­te Abhän­gig­keit wird fort­be­stehen –, sind “daten­schutz­recht­li­che Kri­te­ri­en zu berück­sich­ti­gen” . Die daten­schutz­recht­li­chen Pro­zes­se und deren Ein­hal­tung sind regel­mä­ssig zu überwachen. 
    • Bei der näch­sten Ent­schei­dung zur wei­te­ren Zusam­men­ar­beit muss fed­pol kon­trol­lie­ren, ob ein zer­ti­fi­zier­tes ISMS besteht.
    • Die daten­schutz­recht­li­chen Pro­zes­se und deren Ein­hal­tung sind regel­mä­ssig zu kon­trol­lie­ren, durch inter­ne oder exter­ne Kon­trol­len oder einen ande­ren Nachweis.
  • Zudem sind die Mit­ar­bei­ten­den kon­ti­nu­ier­lich auf daten­schutz­recht­li­che Risi­ken zu “sen­si­bi­li­sie­ren”.
  • Ver­trä­ge sind im Bereich Daten­si­cher­heit zu prä­zi­sie­ren und ggf. zu vereinheitlichen.

Dem fed­pol emp­fiehlt der EDÖB wei­ter, bei Anwen­dun­gen, die von einem ande­ren Bun­des­amt ver­wen­det wer­den, min­de­stens eine eige­ne SCHUBAN durchzuführen.