Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB
Schlussbericht und Empfehlungen
vom 25 . April 2024
des
Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)
in Sachen fedpol
aufgrund Ransomware-Vorfall
gemäss
Artikel 27 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (aDSG) in Verbindung mit Artikel 70 Bundesgesetz vom 25. September 2020 über den Datenschutz (DSG)
Inhaltsverzeichnis
Ausgangslage ................................................................................................................................. 1 1.1. Anlass ...................................................................................................................................... 1 1.2. Chronologie der wesentlichen Verfahrensschritte ................................................................... 1 1.3. Umfang der Sachverhaltsabklärung ........................................................................................ 1
Sachverhalt ..................................................................................................................................... 2 2.1. Einleitung ................................................................................................................................. 2 2.2. IT- Infrastruktur von Xplain ...................................................................................................... 2 2.3. Personendaten auf dem Fileserver von Xplain ....................................................................... 4 2.4. Xplain als Dienstleister von fedpol .......................................................................................... 6 2.4.1. Bearbeitung von Fehlerbehebungen durch Xplain im Allgemeinen ................................ 6 2.4.1.1. Datenübertragungen durch eneXs-mobile ...................................................................... 7 2.4.1.2. Datenübertragung durch ORMA ...................................................................................... 8 2.4.2. Datenübertragung im Projekt HOOGAN ......................................................................... 9 2.4.3. Daten für die Anwendungsentwicklung ........................................................................... 9 2.5. Datenübertragungen aus Sicht Xplain..................................................................................... 9 2.6. Vertragssituation zwischen fedpol und Xplain ......................................................................... 9 2.6.1. eneXs-mobile ................................................................................................................... 9 2.6.2. ORMA ............................................................................................................................ 10 2.6.3. Projekt Zugriff HOOGAN-Datenbank für Zutrittskontrolle in Stadion ............................ 10 2.7. Personensicherheitsüberprüfung .......................................................................................... 10 2.8. Ransomware-Vorfall auf Xplain ............................................................................................. 10 2.9. Reaktionen von fedpol auf Ransomware- Vorfall .................................................................. 11 2.9.1. Information an Dritte ...................................................................................................... 11 2.9.2. Umgesetzte technische und organisatorische Massnahmen ........................................ 12 2.10. Weitere betroffene Bundesämter .......................................................................................... 13
Stellungnahme zum Sachverhalt ................................................................................................ 14
Datenschutzrechtliche Beurteilung ............................................................................................ 15 4.1. Vorbemerkungen ................................................................................................................... 15 4.2. Vertragliche Vereinbarungen mit Xplain ................................................................................ 15 4.3. Datenübertragung durch eneXs-mobile ................................................................................ 16 4.3.1. Datenbearbeitung durch Dritte ...................................................................................... 16 4.3.1.1. Vereinbarung oder Gesetz ............................................................................................ 16 4.3.1.2. Keine Bearbeitung zu eigenen Zwecken ....................................................................... 18 4.3.1.3. Keine widersprechenden Geheimhaltungspflichten ...................................................... 18 4.3.1.4. Fazit ............................................................................................................................... 18 4.3.2. Gewährleistung der Datensicherheit ............................................................................. 18 4.3.2.1. Auswahl ......................................................................................................................... 19 4.3.2.2. Instruktion ...................................................................................................................... 19 4.3.2.3. Überwachung ................................................................................................................ 20 4.3.2.4. Fazit ............................................................................................................................... 21 4.4. Datenübertragung durch ORMA ............................................................................................ 21 4.4.1. Auslagerung .................................................................................................................. 21 4.4.1.1. Vereinbarung oder Gesetz ............................................................................................ 21 4.4.1.2. Keine Bearbeitung zu eigenen Zwecken ....................................................................... 22 4.4.1.3. Keine widersprechenden Geheimhaltungspflichten ...................................................... 22 4.4.1.4. Fazit ............................................................................................................................... 23 4.4.2. Gewährleistung der Datensicherheit ............................................................................. 23 4.5. Support- und Wartungsprozesse ........................................................................................... 25 4.5.1. eneXs-mobile ................................................................................................................. 25
4.5.1.1. Verhältnismässigkeit ...................................................................................................... 25 4.5.1.2. Datensicherheit .............................................................................................................. 25 4.5.1.3. Zweckbindung ............................................................................................................... 26 4.5.2. ORMA ............................................................................................................................ 26 4.6. Datenübertragung durch ein HOOGAN-Zugriffs Projekt ....................................................... 27 4.7. Daten für die Anwendungsentwicklung ................................................................................. 27 4.8. IT-Infrastruktur von fedpol ..................................................................................................... 28 4.9. Reaktionen von fedpol auf Ransomware-Vorfall ................................................................... 28 4.9.1. Information an Dritte ...................................................................................................... 28 4.9.2. Technische und organisatorische Massnahmen ........................................................... 28 4.10. Abschliessende Bemerkungen .............................................................................................. 28
Empfehlungen .............................................................................................................................. 30
Verfahren....................................................................................................................................... 32 6.1. Rechtliches Gehör und weiteres Vorgehen ........................................................................... 32 6.2. Veröffentlichung des Schlussberichts mit Empfehlungen ..................................................... 32
Anhang 1: Wichtigste Dokumente .............................................................................................. 33 8. Anhang 2: Glossar ....................................................................................................................... 38
Abbildungsverzeichnis Abbildung 1: Überblick zum allgemeinen Systemaufbau der Xplain. .................................................... 3 Abbildung 2: Einfache Illustration des Hackervorfalls ......................................................................... 11
Tabellenverzeichnis Tabelle 1: Quellsysteme ......................................................................................................................... 5 Tabelle 2: Genutzte Xplain-Anwendungen in der Bundesverwaltung. ................................................. 14
1/40
Im Mai 2023 ereignete sich ein Ransomware-Vorfall auf das Unternehmen Xplain AG (nachfolgend: Xplain). Xplain ist ein Informatik-Dienstleister verschiedener Bundesorgane und Kantone im Bereich der öffentlichen Sicherheit. Der Vorfall hat zum Abfluss erheblicher Datenmengen geführt, die auf den Systemen von Xplain gespeichert waren. Die Daten wurden in der Folge in Tranchen im Darknet veröffentlicht: Am 1. Juni 2023 wurde eine erste Tranche von 5 GB veröffentlicht, am 14. Juni 2023 folgte eine zweite Tranche von ca. 424 GB, welche auch die zuvor publizierte Tranche umfasste. Betroffen davon waren auch personenbezogene und damit datenschutzrelevante Daten. 2. Am 6. Juni 2023 erfolgte eine telefonische und am 16. Juni 2023 eine schriftliche Meldung der Da- tenschutzverletzung durch das Bundesamt für Polizei fedpol (nachfolgend: fedpol) an den EDÖB. Am 20. Juni 2023 hat der EDÖB eine Sachverhaltsabklärung gegen fedpol eröffnet. 3. Parallel eröffnete der EDÖB auch Sachverhaltsabklärungen gegen das Bundesamt für Zoll und Grenzsicherheit BAZG (nachfolgend: BAZG) sowie gegen das Unternehmen Xplain AG. Chronologie der wesentlichen Verfahrensschritte 4. Nachfolgend werden die wesentlichen Verfahrensschritte aufgeführt:
06.06.2023 Telefonische Information über den Vorfall der Datensicherheitsverletzung. 16.06.2023 Meldung Datenschutzverletzung via Meldeportal. 20.06.2023 Eröffnung formelle Untersuchung. 04.08.2023 Zustellung Fragenkatalog an fedpol. 28.09.2023 Erhalt Antworten Fragenkataloges. 08.01.2024 Beantragung weitere Akten und Auskünfte. 29.01.2024 Erhalt weitere Rückmeldung Akten und Auskünfte. 31.01.2024 Besprechung mit fedpol zur Klärung des Sachverhalts. 08.03.2024 Sachverhaltsfeststellung an fedpol. 22.03.2024 Erhalt Stellungnahme Sachverhaltsfeststellung. 04.04.2024 Sachverhaltsfeststellung an fedpol zur Beantragung von Schwärzungen. Umfang der Sachverhaltsabklärung 5. Mit dieser Sachverhaltsabklärung prüft der EDÖB einerseits, ob die Datenbearbeitungen vom fedpol bei der Zusammenarbeit mit Xplain den Anforderungen des Datenschutzgesetzes (DSG) genügen, und andererseits gibt er bei der Feststellung von Mängeln Empfehlungen ab. Im Fokus stehen die Datenbearbeitungen vom fedpol im Zusammenhang mit Xplain zum Zeitpunkt des Ransomware- Vorfalls. Dabei werden die Datenbearbeitungen des fedpol durch die Anwendungen eneXs-mobile und ORMA sowie in Bezug auf ein Zugriffsprojekt auf die Datenbank HOOGAN durch ein Stadion näher geprüft. 6. Die Sachverhaltsabklärungen gegen das BAZG und fedpol zur Frage der Rechtmässigkeit von Zu- griffen von Mitarbeitenden des BAZG auf das von fedpol betriebene Fahndungsregister RIPOL wur- den von den Verfahren betreffend Xplain getrennt und bis zu deren Abschlüsse sistiert.
2/40
Xplain ist ein privates Unternehmen (AG) mit Sitz in Interlaken und zwei Entwicklungspartnerschaf- ten mit Niederlassungen in Deutschland und Spanien im Besitz von zwei Verwaltungsräten der Xplain und je einen Mitarbeitenden. Zusammen mit den Niederlassungen beschäftigt das Unterneh- men rund 70 Mitarbeitende. 8. Gemäss eigener Beschreibung ist das Unternehmen seit der Gründung im Jahr 2000 fast aus- schliesslich als Lieferantin von Standard-Software für die Innere Sicherheit tätig und arbeitet für Behörden und Organisationen mit Sicherheits-, Migrations-, Strafverfolgungs- und Strafvollzugsauf- gaben. Für diese Behörden und Organisationen bietet Xplain «innovative-Softwareprodukte mit ei- ner vollständigen Abdeckung der Arbeitsprozesse von der Erstaufnahme bis zur Archivierung an. Der Fokus der Lösungen liegt auf der hohen Automatisierung der «Kilowäsche» und der Einhaltung der gesetzlichen Vorgaben, insbesondere auch der Formvorschriften der Strafprozessordnung so- wie dem schnellen und nachvollziehbaren Austausch der Informationen zwischen allen Beteiligten – auch mobil. In den letzten 22 Jahren haben sich über 30 Organisationen unter anderem aus Po- lizei, Strafverfolgung, Justiz, Vollzug und Migration für eine Lösung von Xplain entschieden». 9. Das fedpol hat Xplain für mehrere IT-Projekte beauftragt. IT - Infrastruktur von Xplain 10. Im Mai 2023 bezog Xplain vom Hostanbieter AG Dienstleistungen wie Host Services – (Hy- per-V-Server), Dedicated Services – (eigenständige physische Server) und Cloud Services – (Da- tenablagen). Nach Bekanntwerden des Ransomware-Vorfalls wurde die weitere Zusammenarbeit mit AG sistiert.
3/40
Auf den von AG bereitgestellten Systemen befanden sich im Mai 2023 Referenzinstallationen, Entwicklungsserver, Testserver sowie einige Administrations- und Build-Umgebungen von Xplain. Abbildung 1 illustriert den allgemeinen Systemaufbau und gibt einen Überblick zu den Verbindungen zwischen AG und Xplain.
Der Systemaufbau basiert auf einem VPN-Netzwerk, über welches die verschiedenen Standorte miteinander verbunden waren. Remote Arbeitsplätze ihrerseits waren mit einer P2S-VPN-Verbin- dung via Office-Firewalls verbunden. Alle Daten von Kundenprojekten befanden sich auf Infrastruk- turen in der Schweiz – vorwiegend auf Servern in Interlaken. Am Standort Interlaken wurden die File-Server mit den Daten und Dokumenten betrieben und verschiedene Server der Build-Pipeline sowie das NAS für Backups. An den Standorten in Spanien (Madrid und Ciudad Real) waren ge- mäss Xplain keine «relevanten» Daten der Xplain und deren Kunden abgelegt. Der EDÖB geht davon aus, dass mit relevanten Daten Personendaten im Sinne des DSG verstanden werden. 13. Entsprechend den Informationen, die der EDÖB erhalten hat, verfügte der betroffene Fileserver im Mai 2023 nicht über den aktuellen Patchlevel und wies zudem unnötig geöffnete Ports auf. Im Wei- teren lief auf dem Server kein aktives Monitoring, was u. a. dazu beigetragen hat, dass ungewöhn- liche Aktivitäten oder Anomalien nicht zeitnah identifiziert werden konnten. Abbildung 1: Überblick zum allgemeinen Systemaufbau von Xplain.
4/40
Personendaten auf dem Fileserver von Xplain 14. Fedpol hat eine Analyse der im Darknet publizierten Daten durchgeführt, welche sich auf von fedpol bearbeitete Daten bezog. Folglich betrifft die Analyse von fedpol nur einen Teil der im Darknet publi- zierten Daten. Diese Daten waren auf dem Fileserver von Xplain gespeichert. 15. Das fedpol hat dem EDÖB am 29.01.2024, in Form von zusätzlichen Unterlagen und Auskünften, eine ausführliche Beschreibung ihrer eigenen Datenanalyse zur Verfügung gestellt. Darin wird unter anderem erläutert, wie mittels einer Analyse der Hashwerte ermittelt werden konnte, dass sämtliche Daten des fünf GB grossen «PARTIAL DUMP» im «FULL DUMP» (907 GB resp. 600 GB; Zahl wurde im Februar 2024 von 907 auf 600 geändert) enthalten sind. Demnach wurden die Daten im Darknet in der Form von 646 komprimierten Dateien des Typs .RAR veröffentlicht. Nach deren Ver- öffentlichung stellte Xplain am 07.06.2023 fedpol weitere 70 GB Daten als sogenannte «XPLAIN EDITION» zur Verfügung. Demzufolge handelt es sich um Backups der gestohlenen Daten, deren Erstellungsdatum Xplain allerdings nicht kommuniziert habe. Der Vergleich des PARTIAL DUMPS mit dem FULL DUMP offenbarte, dass Daten mit einem eindeutigen fedpol-Bezug demnach nur teilweise im Darknet publiziert wurden. Anhand des Abgleichs des eindeutigen Hash- Wertes von jeder Datei der 70 GB Daten von der «XPLAIN EDITION» zum veröffentlichten Datensatz im Darknet konnte fedpol feststellen, dass 39% (52'368 Files) der fedpol Daten veröffentlicht wurden. Daraus zieht fedpol für sich den Schluss, dass PLAY die übrigen Daten mit fedpol-Bezug nicht «gestohlen» oder zumindest nicht veröffentlicht hat. Bei der Analyse der Ordnerstruktur von Xplain zeigte sich ausserdem, dass zwar aus jedem Verzeichnis Daten veröffentlicht wurden, aber jeweils nicht der gesamte Inhalt daraus. Die gefundenen 646 .RAR-Archive wurden durch fedpol extrahiert und wiederum in 52 Stammordner aufgeteilt. Daraus wurden 19'816 Unterordner und 147'546 Da- teien ermittelt, mit einer Gesamtgrösse von 395 GB. Zwei dieser Dateien sind sogenannte «.tibx- Dateien», mit einer Gesamtgrösse von 242 GB. Hierbei referenziert fedpol auf Xplain, welche an- gibt, dass es sich dabei um Images von Windows-Servern ohne Kundendaten handelt. Die verblei- benden 147’544 Dateien haben ein Datenvolumen von 153 GB. Einige Dateien sind weitere Archiv- dateien bzw. komprimierte Dateien (bspw. .ZIP). Diese wurden beim Import in die, durch fedpol, genutzte Forensik-Software entpackt. Daraus resultierten ungefähr 3.9 Mio. Dateien aus dem FULL DUMP. 16. Eine weitere Beurteilung der Daten hat ergeben, dass bspw. offengelegt wurden. Im weiteren Verlauf flossen Personenda- ten aus ORMA mitsamt den allozierten Strafdaten aus dem Jahr 2018 an die Hackergruppe PLAY. Ebenso sind Täterpersonalien mit terroristischem Hintergrund, als auch ORMA-Interpolmeldungen zu Verbrechen im Zusammenhang mit Terrorismus aus dem Jahr 2020 betroffen. Weiter wurden Personendaten einer PAX (Interpol) sowie Suchergebnisse aus RIPOL mit sensiblen Daten geleakt. 17. Bei den geleakten Dokumenten wurden viele Logs von eneXs gefunden mitsamt einer gewissen Menge an Personendaten pro einzelnem Log. Mit der Anwendung eneXs-mobile kann fedpol Ab- fragen durchführen von RIPOL, SIS, HOOGAN, C-VIS, ISA, ISR, ZEMIS, AS (INTERPOL), FABER, MOFIS und ORBIS. Die stichprobeweise Prüfung der Logs zeigten im Ergebnis einerseits produk- tive Klardaten und andererseits teilweise anonymisierte Daten. In der von fedpol durchgeführten Analyse wurden Personendaten von RIPOL, SIS, INTERPOL und ISA gefunden. 18. Ein zusätzlicher Abfluss von Personendaten wurde aus der HOOGAN-Datenbank, mit Personenda- ten aus einer Liste vom 02. September 2015 eruiert. Auf der geleakten Liste waren total 766 Per- sonen aufgelistet, welche alle von fedpol per Brief informiert wurden. Von den 766 Personen waren 690 am 07. Juli 2023 nicht mehr in HOOGAN registriert, 76 waren am 07. Juli 2023 noch in HOO- GAN registriert. 19. Die vorgängig beschriebenen Daten wurden in verschiedenen Formaten im Darknet publiziert. Eine grosse Mehrheit wurde in BASE64 codiert. Bspw. sind das Scans von Pässen mitsamt Passbildern
7/40
Mitarbeitenden auf der Produktions- und der Integrationsumgebung über einen Zugang zum Single Sign on Portal (SSO-Portal) des ISC-EJPD und zur Anwendung ORMA. 32. Xplain erfüllte für fedpol den 3 rd Level Support für die Anwendungen ORMA, und . Für die Erfüllung des 3 rd Level Supports muss ein Fehler in der Software – nicht auf Applikationsebene – vorliegen. Der ordentliche Ablauf gestaltete sich wie folgt: das Prob- lem wurde, wenn möglich, auf der Testumgebung der Bundesstellen durch den dort zuständigen Mitarbeitenden nachgespielt. Darauf gestützt wurde durch den Anwendungsverantwortlichen (AV) bei fedpol die Fehlermeldung erstellt, die dieser anschliessend per E-Mail an support@xplain.ch und im Fall von ORMA per JIRA oder einen Sharepoint an Xplain übermittelte. 33. Innerhalb ihrer eigenen IT-Infrastruktur betreibt Xplain eine Instanz der Software JIRA. JIRA wird von Xplain als Ticketingsystem genutzt. Aus dem Bereich «PSI-POLS Betrieb und Support» haben fedpol Mitarbeitende Zugriff auf JIRA und können selbst Support-Tickets erstellen und bearbeiten. Der Austausch von schriftlichen Informationen erfolgt mehrheitlich per E-Mail. Hiermit werden Infor- mationen zu Projekten, dem Betrieb und Support sowie der Weiterentwicklung ausgetauscht. 34.
2.4.1.1. Datenübertragungen durch eneXs-mobile 35. Im Rahmen des Programms FMÜ «Ausbau und Betrieb des Verarbeitungssystems zur Fernmelde- überwachung sowie der polizeilichen Informationssysteme des Bundes» setzte fedpol im Projekt IKT-ProgFMÜ-P4-EFMÜ (P4-EFMÜ) die «Kompatibilitätsanpassungen der Systeme von fedpol» um. Im Teilprojekt «zentrale Abfragen» wurde die Notwendigkeit einer mobilen App für fedpol zur Abfrage auf polizeiliche Datenbanken bekräftigt und durch die Direktion fedpol der Auftrag erteilt, eine solche App für das ganze fedpol zu beschaffen. Der Benutzerin und dem Benutzer sollte er- möglicht werden, Abfragen ab einem Smartphone zu Personen, Fahrzeugen, Sachen und Doku- menten auf Informationssystemen wie RIPOL, SIS, ZEMIS, Mofis usw. durchführen zu können. Der Aufbau des Einsatzes eneXs-mobile als App für das fedpol erfolgte über die aufgebauten Infrastruk- turen des Grenzwachtkorps EZV (heute BAZG), welches die App bereits im produktiven Einsatz hatte. Die eneXs-mobile App entsprach derjenigen der aktuellen App des GWK und bot im Zeitpunkt der Einführung den folgenden Funktionsumfang:
Die Software eneXs-mobile ist eine Anwendung, mit der Dokumente eingelesen und Fahndungsab- fragen durchgeführt werden können. Weiter werden die daran angeschlossenen Geräte wie bspw. Passleser, Fingerabdruckscanner, Kamera etc. gesteuert. Die Software eneXs selbst enthält keine Datenbank, jedoch wird ein Teil der biometrischen Indikatoren und Prozess-Daten für eine be- grenzte Zeit, für Kontrollprozesse, zwischengespeichert und darauf automatisch gelöscht. 37. Genutzt werden kann eneXs sowohl von FAT-Clients aus der Virtual Desktop Infrastructure (VDI) sowie von mobilen Geräten. Dabei ermöglicht eneXs das Lesen von Daten und initialisiert basierend darauf eine automatische Abfrage in Fahndungs- und Administrativ-Datenbanken wie bspw. RIPOL. Der eneXs-Server selbst befindet sich in der Shared Services Zone (SSZ) des BIT. Die SSZ unter- liegt den Betriebsauflagen der Bundesverwaltung und wird bezüglich Sicherheitsauflagen analog
8/40
aller Anwendungen in den BIT Rechenzentren betrieben. Der Zugriff zur SSZ wird mittels Firewall geschützt. Damit wurden die Auflagen des ISC-EJPD für den eneXs-Server sichergestellt. 38. Wie bei der Verwendung von Software üblich, können auch bei eneXs Fehler auftreten. Denkbare Fehlerarten beziehen sich dabei insbesondere auf die elektronische Dokumentenüberprüfung, feh- lende, unvollständige Treffer oder False Positives. In der Folge kann dieses Verhalten zu fehlerhaf- ten Detailanzeigen führen, oder die Performance der Anwendung, wie Verbindungsprobleme oder Latenz kann Anomalien aufweisen. Der Fehler muss reproduzierbar sein, damit Xplain infolgedes- sen in die Lage versetzt wird, den Fehler zu beheben. Von einem aufgetretenen Fehler werden durch eine Funktion in der Anwendung eneXs-mobile die benötigten Screenshots oder Fehler-Re- ports erstellt. Diese werden durch das fedpol in der Folge manuell an Xplain geschickt. Xplain ana- lysiert daraufhin die generierten Reports auf Ihrer Infrastruktur mit dem Ziel zur Fehlerbehebung. 39. Für die Anwendung eneXs-mobile wird das LogFile gesichert, das anschliessend per E-Mail an die eigene fedpol-E-Mail-Adresse des fedpol-Mitarbeitenden geschickt wird. Danach sendet der fedpol- Mitarbeitende das LogFile an das interne 2nd- Level Supportteam des fedpol. Das fedpol Support- team sichtet seinerseits den Fehler, u.a. auch zum Sicherstellen, dass gleiche Fehler nicht mehrfach an Xplain gemeldet werden. Fehler, welche durch das fedpol-Supportteam im Rahmen des 2nd Level Supports gelöst werden können, werden fedpol intern erledigt und nicht an Xplain gesendet. Handelt es sich jedoch um einen systembedingten Fehler, wird der Fehlerbericht nach vorheriger Rücksprache mit Xplain auf dem sogenannten T-Laufwerk, einem zentralen Fileshare der Bundes- verwaltung, abgelegt. 40. Im Anschluss erfolgt eine Vollzugsmeldung mittels E-Mail oder Telefon an Xplain, dass der ange- meldete Fehlerbricht oder das Logfile zur Analyse auf dem T-Laufwerk bereit liegt. Damit Xplain auf das T-Laufwerk zugreifen kann, wird via BAB-Client-fedpol ein Remotezugriff ermöglicht. Daraufhin kann der Fehlerbericht von Xplain vom T-Laufwerk zwecks Analyse, auf ihre eigene Infrastruktur kopiert werden. Im Anschluss an den Kopiervorgang werden die auf dem T-Laufwerk des fedpol abgelegten Fehlerberichte dort von Xplain gelöscht. 41. Die Software eneXs-mobile verfügt zudem seit der Einführung über eine Funktion, durch welche die Benutzerin oder der Benutzer aktiv eine Fehlermeldung inklusive Log-Dateien an einen FTP-Server versenden kann. Die Zugangsdaten zu dem FTP-Server waren im Programmcode fest (hard coded) hinterlegt. Die Verwendung dieser Funktion war und ist bei der Bundesverwaltung bzw. bei fedpol nicht möglich, weil die Netzwerke der Bundesverwaltung einen Versand auf einen externen FTP- Server nicht zulassen. Daher konnten bei fedpol keine Fehlermeldungen über einen FTP-Server an Xplain übermittelt werden. 2.4.1.2. Datenübertragung durch ORMA 42. Die Anwendung ORMA verfügt ebenfalls über eine integrierte Supportfunktion, welche Fehlerbe- richte aufzeichnen und auch übermitteln kann. Dazu muss der Benutzer diese Funktion manuell einschalten. Danach werden durch die Supportfunktion die Inhalte aller momentan geöffneten An- wendungen aus dem Zwischenspeicher (Cache) abgegriffen. In der Folge wird daraus eine ZIP- Datei generiert, welche im Anschluss manuell zur Fehleranalyse an Xplain weitergeleitet wurde. 43. Der Austausch von schriftlichen Informationen erfolgte mehrheitlich per E-Mail; für die Wartung und den Support für ORMA über JIRA; sowie einen Sharepoint nur für ORMA. Hiermit wurden Informa- tionen zu Projekten, dem Betrieb und Support sowie der Weiterentwicklung ausgetauscht. 44. Nach dem Ransomware-Vorfall im Mai 2023 war einer der zahlreichen IT-Sofortmassnahmen die Einstellung des in der vorangehenden Ziffer beschriebenen Prozesses. 45. Der in den vorangehenden Ziffern beschriebene Prozess wurde von einem ehemaligen Anwen- dungsverantwortlichen in einem anderen Bundesamt, dass die gleiche Anwendung von Xplain be- zieht, im Jahr 2020 bemerkt. Daraufhin wurde bei Xplain vom Anwendungsverantwortlichen eine
9/40
Anforderung zur Behebung spezifiziert. Ab diesem Zeitpunkt wurden produktive Daten vor dem Weiterleiten aus den ErrorReport.zip-Dateien von Personen des entsprechenden Amts vor der Übermittlung an Xplain herausgelöscht. 2.4.2. Datenübertragung im Projekt HOOGAN 46. Fedpol beauftragte im Jahr 2012 Xplain mit der Umsetzung einer Zutrittskontrolle durch Abgleiche mit den Einträgen in der HOOGAN-Datenbank für den Zutritt ins Stadion. Als bei der Zutrittskontrolle und dem Abgleich der HOOGAN-Datenbankeinträge Probleme auftraten, wurde Xplain mit der Fehlerbehebung beauftragt. In diesem Zusammenhang hat fedpol einen Auszug aus HOOGAN- Datenbank aus dem Jahr 2015 per E-Mail an einen Xplain Mitarbeitenden gesandt. 47. Dieser Auszug wurde vom Xplain Mitarbeiter auf seinem persönlichen Laufwerk gespeichert, worauf nur er und Administratoren Zugriff hatten. Dieser Auszug wurde im Darknet veröffentlicht. 2.4.3. Daten für die Anwendungsentwicklung 48. Bei fedpol stehen gemäss eigener Aussage für die Entwicklung und Wartung Testdaten des jeweils betroffenen Informationssystems zur Verfügung. In der Integrationsumgebung von fedpol waren so- mit nur Testdaten vorhanden. Datenübertragungen aus Sicht Xplain 49. Gemäss Xplain sind Personendaten aus der Bundesverwaltung wie folgt übermittelt worden: Angaben im Rahmen von Projektdaten (z.B. Kontaktangaben, involvierte Mitarbei- tende/Stellen, Ansprechpartner etc.); Angaben im Rahmen von Fehlerbehebungen, In Einzelfällen wurden Daten übermittelt, die in zugriffsgeschützten Laufwerken abgelegt oder nur auf dedizierten Geräten weiter analysiert und bearbeitet wurden. Vertragssituation zwischen fedpol und Xplain 50. Bei fedpol bestehen seit 2003 verschiedenen Anwendungen, die Xplain entwickelt, weiterentwickelt und für diese zusätzlich Wartungs- und Support Dienstleistungen erbringt. Es bestehen daher zahl- reiche Verträge zwischen fedpol und Xplain. In der Regel wurde als erstes ein Entwicklungsvertrag abgeschlossen, worauf mehrere Weiterentwicklungsverträge mit Support und Wartung sowie Li- zenzverträge vereinbart wurden. Diese Verträge wurden in einem Intervall von ca. fünf Jahren je- weils erneuert. So kamen etwas über 100 Verträge zustande. 51. Die Verträge wurden auf Grundlage der Vorlagen des BBL erstellt. 52. Da einzelne Dienstleistungsverträge mit Xplain bis ins Jahr 2003 zurückdatieren, stellte der EDÖB unter anderem die Frage, ob fedpol die Xplain-Dienstleistungen vorgängig jeweils einer daten- schutzrechtlichen Beurteilung unterzogen hat. Darauf antwortete fedpol, dass man gemäss den IKT- Vorgaben des Bundes vorgegangen sei. Im Weiteren sei in den Verträgen ab Januar 2021 auch eine «Cyberklausel» enthalten. Bei der Zusammenarbeit mit Dritten hält fedpol zudem fest, die IKT- Vorgaben und -Weisungen der Bundesverwaltung einzuhalten. 2.6.1. eneXs-mobile 53. Die Anwendung eneXs-mobile ist seit 2020 in Betrieb. Fedpol hat mit Xplain einen Vertrag abge- schlossen betreffend die Erbringung von Informatikdienstleitungen im Zusammenhang mit der Auf- schaltung von eneXs-mobile. 2 Neben dem Vertrag wurden die folgenden Dokumente als
2 Vertrag für die Erbringung von Informatikdienstleistungen (Auftrag), 0316004366.
10/40
Vertragsbestandteile integriert: Verpflichtungserklärung pro Mitarbeitenden, die AGB für Informatik- dienstleistungen des Bundes (Ausgabe 20. Oktober 2010) sowie das Angebot der Auftragnehmerin vom 22. März 2019. Der Vertrag wurde bis zum 31. Dezember 2022 abgeschlossen. Die Vertrags- verlängerung bis Ende 2023 wurde Mitte 2023 gestoppt. 2.6.2. ORMA 54. ORMA ist seit ca. 2004 in Betrieb. Fedpol hat mit Xplain mehrere Verträge abgeschlossen für die Wartung und Pflege sowie Weiterentwicklung der Anwendung ORMA, die im Zeitpunkt des Ransomware- vorfalls im Mai 2023 gültig waren:
Vertrag für die Erbringung von Informatikdienstleistungen (Auftrag), abgeschlossen für den Zeitraum vom 01. Januar 2015 bis 31. Dezember 2024. 3
Vertrag für die Erbringung von Informatikdienstleistungen (Auftrag), Dienstleistungen ORMA 2018+, Zusatzaufwände 2023, abgeschlossen für den Zeitraum 01. Januar 2015 bis 31. Dezember 2023. 4
Vertrag für die Erbringung von Informatikdienstleistungen (Auftrag), Dienstleistungen Clean ORMA Phase 2, 2023 abgeschlossen für den Zeitraum vom 01. Januar 2015 bis 31. Dezember 2023. 5
In den drei oben aufgeführten Verträgen sind weitere Dokumente als Vertragsbestandteile integriert, insbesondere AGB der Bundesverwaltung. 55. Für die Anwendung ORMA hat fedpol eine SCHUBAN 6 und ein ISDS-Konzept 7 erstellt, für eneXs- mobile nicht. Zudem hat fedpol die Umsetzung des IKT-Grundschutzes für die Anwendung ORMA geprüft und in einem Dokument festgehalten. 8
2.6.3. Projekt Zugriff HOOGAN-Datenbank für Zutrittskontrolle in Stadion 56. Fedpol hat mit Xplain einen Vertrag abgeschlossen betreffend «Dienstleistungen im Projekt HOO- GAN + Zutrittskontrolle, Pilot ». 9
Personensicherheitsüberprüfung 57. Die Mitarbeitenden von Xplain, die direkt mit der Bundesverwaltung zusammenarbeiten, wurden einer Personensicherheitsüberprüfung unterzogen. Eine Verpflichtung hierzu wurde in einzelnen Verträgen festgehalten. Ransomware-Vorfall auf Xplain 58. Die Angreifer der Hackergruppe PLAY haben sich im Mai 2023 unbefugt Zugang zu einem von der Firma AG gehosteten Server verschafft und sich mittels «Lateral Movement» durch das Netz- werk der Xplain bewegt. Die Systeme beim externen Hoster AG umfassten einerseits
3 Referenz Nr.: 0316000091. 4 Referenz Nr.: 0316000091 / 500. 5 Referenz Nr.: 0316000091 / 520. 6 Schutzbedarfsanalyse (SCHUBAN) vom 29.08.2016. 7 Informationssicherheits- und Datenschutzkonzept (ISDS-Konzept) vom 03.12.2019. 8 Massnahmenumsetzung zum IKT- Grundschutz in der Bundesverwaltung, Version 2.0 vom 19. Dezember 2013 (Stand 01. März 2015). 9 Vertragsnummer: 40312071652.
12/40
Wurden Personendaten mit einem internationalen Bezug im Darknet gefunden, wurden der be- troffene Staat oder betroffene Stellen informiert. Dabei wurde sowohl über den aktuellen Kenntnis- stand des Ransomware-Vorfalls informiert als auch über die konkret im Darknet publizierten Daten. In diesem Sinne wurden mit mehreren Schreiben sowohl Europol, INTERPOL und eu-LISA infor- miert. 63. Falls Daten von anderen Behörden in den von fedpol analysierten Daten festgestellt wurden, hat fedpol diese umgehend darüber informiert. So wurden insbesondere verschiedene Kantonspoli- zeien, die Militärpolizei, das SEM, die Migrationsbehörde Aargau, verschiedene Gerichte, das Bun- desamt für Justiz, die Bundesanwaltschaft sowie das BAZG informiert. 64. Ab dem 15. Juni 2023 informierte fedpol die Mitarbeitenden auf dem Intranet über den Vorfall. Die Aktualisierungen wurden jeweils mit einer Intranet-News angekündigt und bei Bedarf erläutert. Durch diesen Kanal wurde über den Ablauf und Zuständigkeiten, den verschiedenen Untersuchun- gen und Kontaktstellen bei Fragen informiert sowie über mögliche Risiken von Social Engineering sensibilisiert. 65. Fedpol hat am 12. Juli 2023 auf ihrer Webseite die Öffentlichkeit über den veröffentlichten Auszug der HOOGAN- Datenbank von 2015 informiert. Im genannten Auszug werden 766 Personen aufge- führt, wovon 690 am 07. Juli 2023 nicht mehr in HOOGAN registriert waren. Den möglichen Be- troffenen wurde auf der Webseite ein Kontaktformular zur Verfügung gestellt. Daraufhin haben sich 295 Personen bei fedpol gemeldet. Sämtliche Anfragen wurden persönlich beantwortet. 2.9.2. Umgesetzte technische und organisatorische Massnahmen 66. Alle User- Accounts (Wartungs- und Supportzugänge) von Xplain wurden umgehend deaktiviert. 67. Fedpol hat eine interne Einsatzorganisation gebildet, welche mit der Vorfallanalyse beauftragt wurde. Die Ergebnisse der Untersuchungen, inkl. der Teile der Daten, die im Darknet publizierten wurden, wurden eingangs täglich und danach wöchentlich in den Sitzungen der Einsatzorganisation präsentiert, in den Protokollen festgehalten, und die zu treffenden Massnahmen wurden bespro- chen. 68. Fedpol hat insgesamt 4'792 Files analysiert und beurteilt, wovon 1'892 IT-relevant waren. Bei etwas über 600 Files wurden unter dem Aspekt der IT-Sicherheit kritische Inhalte identifiziert, wodurch 106 IT-Massnahmen eingeleitet wurden. Bei der Definition der einzuleitenden Massnahmen wurde unterschieden, ob die identifizierten Inhalte für externe Partner (Kantone, KAPOs, andere Bundes- behörden) relevant sind. Wenn ja, wurden entsprechende « Informationsmassnahmen » ausgelöst. Die restlichen Massnahmen wurden nach Umsetzungsdringlichkeit (Sofortmassnahme, mittelfris- tige Massnahme, langfristige Massnahme) kategorisiert. 69. In der Folge wurden verschiedene IT-Massnahmen ergriffen, um weitere Datenabflüsse zu verhin- dern. Dazu gehörten die rasche Änderung von Zugangsdaten und Zertifikaten für Benutzer und Systeme, kontinuierliche Überwachung von Web-Services und Systemen, sowie die Anpassung der nach aussen exponierten IP-Adressen. Es wurden ebenfalls Massnahmen ergriffen, um den Zugriff von Xplain-Mitarbeitenden auf die Bundesinfrastruktur über die zur Verfügung gestellten BAB-Cli- ents zu sperren. Zusätzlich wurden Zertifikate gesperrt und alle eneXs-Zertifikate für die Datenban- kabfrage ausgetauscht. Zudem wurde eine detaillierte Softwareanalyse, einschliesslich des Source- Codes, durchgeführt. Um das Bewusstsein der Mitarbeitenden für Datenschutz, den Umgang mit Passwörtern und Handlungsanweisungen zu schärfen, wurden ebenfalls Sensibilisierungsmass- nahmen eingeleitet. Zusätzlich wurden verschiedene Aufträge an Xplain erteilt, wie das Herunter- fahren von Servern und die Änderung von Passwörtern. 70. Zur Einleitung von Präventiv-Massnahmen wurde ein Fokus auf die Zusammenarbeit mit weiteren externen IT-Dienstleistern gelegt. Die wichtigste Massnahme zur Steuerung der Zusammenarbeit mit Drittfirmen war eine Sensibilisierung und eine Forderung zur Darlegung der Einhaltung des IKT-
15/40
Gestützt auf Art. 70 Bundesgesetz über den Datenschutz vom 25. September 2020 (DSG) erfolgt die datenschutzrechtliche Beurteilung nach dem Bundesgesetz über den Datenschutz vom 19. Juni 1992 (aDSG). Gewisse Begrifflichkeiten und materiellrechtliche Konkretisierungen werden jedoch vom DSG übernommen, soweit sie eine identische Bedeutung haben und der Klarheit die- nen. 10
Die nachfolgenden rechtlichen Beurteilungen nach aDSG gelten grundsätzlich auch bei der Anwen- dung des revidierten DSG, weil in diesen Bereichen keine materiellen Unterschiede bestehen. Wo materielle Unterschiede zwischen altem DSG und revidiertem DSG vorhanden sind, wird auf die Unterschiede hingewiesen. 76. Ob für die im Rahmen dieser Sachverhaltsabklärung untersuchten Personendatenbearbeitungen über hinreichende gesetzliche Grundlagen bestehen, ist nicht Gegenstand dieser Untersuchung. 77. Der EDÖB eröffnete ursprünglich ein Vorverfahren betreffend RIPOL-Zugriffe und anschliessend ein formelles Verfahren betreffend RIPOL-Zugriffe und Datenschutzverletzungen im Zusammen- hang mit Xplain gestützt auf Art. 22 SDSG und Art. 27 Abs. 2 aDSG. Das Verfahren betreffend RIPOL-Zugriffe wurde sistiert (siehe Ziffer 6) und das vorliegende Verfahren wurde gestützt auf Art. 27 aDSG weitergeführt, da erste Erkenntnisse der Abklärung rasch den Schluss zuliessen, dass schwerpunktmässig kaum Personendaten im Sinne des SDSG betroffen sind. 78. Die Datenbearbeitungen von fedpol im Zusammenhang mit den Anwendungen eneXs-mobile und ORMA sowie in Bezug auf ein Projekt betreffend HOOGAN stehen im Vordergrund (siehe Ziffer 5). Der EDÖB hat seine Untersuchung auf diese Anwendungen eingeschränkt: Die Anwendung eneXs- mobile führte zahlenmässig zu den meisten Personendatenübermittlungen von Behörden zu Xplain. Dabei ist festzuhalten, dass neben fedpol zahlreiche weitere Behörden die Anwendung eneXs-mo- bile verwenden, insbesondere zahlreiche kantonale Polizeibehörden, aber auch andere Bundesbe- hörden. Die Anwendung ORMA ist eine Softwarelösung für die Geschäftsverwaltung, die Xplain auch bei anderen Behörden implementiert hat, weshalb auch diese Anwendung untersucht wurde. Andere Anwendungen, die Xplain für die Bundesverwaltung entwickelt und implementiert hat, führ- ten gemäss Erkenntnissen des EDÖB zu keinen systematischen Datenflüssen von Behörden zu Xplain, weshalb auf die Untersuchung der restlichen Anwendungen verzichtet wurde. Das Projekt betreffend die HOOGAN-Datenbank zeigt zudem exemplarisch auf, wie Personendaten in Einzel- fällen zu Xplain gelangen konnten. Die Reaktionen von fedpol nach dem Vorfall werden kurz beur- teilt. Die datenschutzrechtliche Beurteilung des Ransomware-Vorfalls durch Play ist nicht Gegen- stand dieser Untersuchung. Vertragliche Vereinbarungen mit Xplain 79. Das fedpol verfügt über langjährige vertragliche Beziehungen mit Xplain (siehe Ziffer 49). Diese betreffen die IT-Projektbegleitung, Softwareentwicklung und -Weiterentwicklung sowie die Wartung und der Support der von Xplain an fedpol gelieferten Anwendungen. Im Rahmen dieser Vertrags- beziehungen erfolgte die Übertragung von Personendaten an Xplain. 80. Es spielt keine Rolle, dass die Übertragung von Personendaten nur ein Nebeneffekt bei der gesam- ten Vertragserfüllung darstellt. Insbesondere der Support- und Wartungsprozess ist auf die
10 So wird nicht vom «Inhaber der Datensammlung» (Art. 3 lit. i aDSG) gesprochen, sondern vom Verantwortlichen (Art. 5 lit. j DSG) und statt vom Dritten, dem eine Datenbearbeitung übertragen wird (Art. 10a aDSG), vom Auftragsbearbeiter (Art. 9 DSG).
16/40
Übertragung von Personendaten hin angelegt, auch wenn sie einen geringen Umfang im Vergleich zu den Kerntätigkeiten von Xplain ausmachen. In Bezug auf diese Datenbearbeitungen liegt ein Auftragsbearbeitungsverhältnis gemäss Art. 10a aDSG vor. Art. 10a aDSG formuliert die Anforde- rungen an die Auftragsdatenbearbeitung. Die Qualifikation der Datenübertragungen an Xplain als Auftragsdatenbearbeitung und die Anforderungen an diese werden nachfolgend in Bezug auf die betrachteten Anwendungen näher begründet.
Datenübertragung durch eneXs-mobile 81. In Art. 22 Abs. 2 VDSG 11 wird festgehalten, dass das Bundesorgan, das Personendaten durch Dritte bearbeiten lässt, für den Datenschutz verantwortlich bleibt und dafür sorgt, dass die Daten auftrags- gemäss bearbeitet werden, insbesondere was deren Verwendung und Bekanntgabe betrifft. Die Voraussetzungen, damit ein Bundesorgan Personendaten durch Dritte bearbeiten lassen kann, wird in Art. 10a Abs. 1 aDSG geregelt. Diese Bestimmung entspricht materiell im Wesentlichen dem neuen DSG. 12 Gemäss Art. 16 Abs. 1 aDSG bleibt das Bundesorgan, das Personendaten durch Dritte bearbeiten lässt, für den Datenschutz verantwortlich.
4.3.1. Datenbearbeitung durch Dritte 82. «Nach Art. 10a Abs. 1 (a)DSG kann die Bearbeitung von Personendaten durch Vereinbarung oder Gesetz Dritten übertragen werden. Voraussetzung für die (teilweise) Übertragung der Datenbear- beitung an Dritte ist, dass die Daten nur so bearbeitet werden, wie der Auftraggeber den Dritten hierzu ermächtigt. Zudem dürfen keine gesetzlichen oder vertraglichen Geheimhaltungsinteressen die Übertragung verbieten und eine Bearbeitung der Personendaten zu eigenen Zwecken durch den Dritten muss ausgeschlossen sein; würden die Personendaten (auch) für Zwecke des Dritten bearbeitet, ginge die Datenbearbeitung über eine «Datenbearbeitung durch Dritte» im Sinne von Art. 10a (a)DSG hinaus und bedürfte eines eigenen Rechtfertigungsgrundes bzw. der Einhaltung der Voraussetzungen von Art. 19 (a)DSG.» 13 Für eine Auslagerung gemäss Art. 10a Abs. 1 aDSG wird somit eine Übertragung durch Vereinbarung oder Gesetz, keine Bearbeitung zu eigenen Zwe- cken des Auftragnehmers sowie keine widersprechenden Geheimhaltungsverpflichtungen voraus- gesetzt. 4.3.1.1. Vereinbarung oder Gesetz 83. Eine gesetzliche Grundlage, wonach Xplain zur fraglichen Bearbeitung legitimiert wird, ist nicht er- sichtlich. Es ist deshalb zu prüfen, ob zwischen fedpol und Xplain eine Vereinbarung bestand, wel- che die Bearbeitung von Personendaten beinhaltet. 84. Weder die von fedpol vorgebrachten Argumente (siehe Ziffer 28), noch die Ausführungen von Xplain (siehe Ziffer 29), die darauf abzielen, das Bestehen einer Vereinbarung über eine Datenbearbeitung zu verneinen, vermögen zu überzeugen. Die Vorbringen dürften aus unterschiedlichen Gründen motiviert sein, sie verkennen jedoch die datenschutzrechtliche Situation. 85. Gemäss Art. 3 lit. e aDSG bedeutet «bearbeiten» im Sinne des DSG jeder Umgang mit Personen- daten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten. Der Begriff des Bearbeitens wird weit gefasst und beinhaltet auch die Kenntnisnahme oder das Einsicht- gewähren (Art. Art. 3 lit. f aDSG).
11 Verordnung zum Bundesgesetz über den Datenschutz (VDSG) vom 14. Juni 1993; SR 235.11. 12 Botschaft zur Totalrevision des DSG, 2017, S. 7031. 13 Zum Ganzen BVerGer A-4941/2014, Urteil vom 09.11.2016, Ziff. 12.7.3.
17/40
Das tatsächliche Bearbeiten von Personendaten durch Xplain wird durch den Ransomware-Vorfall im Mai 2023 belegt. Aufgrund des Zugriffs auf den Fileserver von Xplain am Standort Interlaken wurde ein Teil der Daten, die auf dem erwähnten Fileserver gespeichert waren, im Juni 2023 im Darknet publiziert. Somit bearbeitete bzw. hatte Xplain mindestens diejenigen Personendaten von fedpol gespeichert, die im Darknet publiziert wurden. Xplain verfügte über 70 GB Daten von fedpol auf ihrem Fileserver, wovon 39% bzw. 52'368 Files veröffentlicht wurden (siehe Ziffer 70). In den im Darknet publizierten Daten wurden viele Logs von eneXs-mobile mit Personendaten festgestellt. Folglich hat Xplain im Mai 2023 Personendaten von fedpol auf ihrem Fileserver in Interlaken ge- speichert bzw. im Sinne von Art. 3 lit. e aDSG bearbeitet. 87. Das fedpol hat mit Xplain einen Vertrag betreffend Erbringung von Informatikdienstleistungen im Zusammenhang mit der Aufschaltung von eneXs-mobile abgeschlossen. 14 Gemäss dem Vertrags- gestand regelt der Vertrag «die Lieferung von Lizenzen, die Wartungs- und Support-Leistungen und die Erbringung von Informatik-Dienstleistungen im Zusammenhang mit der Aufschaltung von eneXs mobile (ineXs) für iOS-Smartphones beim fedpol.» Vertraglich wurde betreffend Wartung und Sup- port nur die Vergütung geregelt. Bei Wartung und Support von eneXs-mobile, womit auf unter- schiedliche Datenbanken mit besonders schützenswerten Personendaten zugegriffen werden kann, muss davon ausgegangen werden, das Xplain regelmässig mindestens Einblick in Personendaten erhalten kann. Um von einer Übertragung von Personendaten auszugehen, spielt es keine Rolle, dass dies nur eine Nebenleistung der eigentlichen Aufgabe darstellt, was vorliegend zutrifft.
Die Verpflichtungserklärungen (Beilage 1 und 2) zum Vertrag betreffend Erbringung von Informatik- dienstleistungen im Zusammenhang mit der Aufschaltung von eneXs-mobile 15 und die vertraglich vereinbarte Möglichkeit für Personensicherheitsprüfungen für Mitarbeitende von Xplain (Ziff. 10.1 des Vertrages) zeigen auf, dass die Parteien von Personendatenbearbeitungen im Zusammenhang mit eneXs-mobile durch Xplain ausgingen. Dies ergibt sich insbesondere dadurch, indem Xplain mit der Verpflichtungserklärung auf die berufliche Schweigepflicht nach Massgabe des DSG ausdrück- lich hingewiesen wurde. Auch war eine Personensicherheitsprüfung gestützt auf Art. 11 Abs. 2 lit. f PSPV 16 notwendig, wenn «Personen regelmässig Zugang zu besonders schüt- zenswerten Personendaten haben, deren Bekanntgabe die Persönlichkeit der Betroffenen schwer- wiegend beeinträchtigen kann», was auf Mitarbeitende von Xplain zutreffen kann. 89. Aus dem Wortlaut des Vertrages bleibt jedoch unklar, ob fedpol lediglich davon ausging, dass Xplain nur im Rahmen von Support und Wartung Kenntnis von Personendaten erhält und deshalb die Ver- pflichtungserklärung abgeschlossen hat sowie die Möglichkeit der Personensicherheitsprüfung ver- einbarte, oder ob der Support und Wartungsprozess - insbesondere die Organisation des 2 nd und 3 rd Levels - so ausgestaltet wurde, dass dieser die Speicherung von Personendaten auf dem File- server von Xplain beinhaltet (zur Beurteilung des 2 nd und 3 rd Level-Prozesses siehe nachfolgende Ziffer 124 ff.). Wird der Vertrag jedoch mit dem tatsächlich durchgeführten Support-Prozess (siehe Ziffer 38 f.) betrachtet, mussten die Parteien Wissen, dass Personendaten übertragen werden. Von einem aufgetretenen Fehler wurden durch eine Funktion in der Anwendung eneXs-mobile Screens- hots oder Fehler-Reports erstellt. Da keine technischen oder organisatorische Massnahmen ergrif- fen wurden, um die Personendaten in den Screenshots oder Fehler-Reports zu anonymisieren, musste sowohl für fedpol als auch für Xplain erkennbar sein, dass Personendaten an Xplain über- tragen werden. 90. Unter Berücksichtigung der gesamten Umstände ist davon auszugehen, dass mit dem erwähnten Vertrag betreffend eneXs-mobile die Vertragsparteien eine Vereinbarung gemäss Art. 10a aDSG
14 Siehe vorangehende Ziffer 53. 15 Vertragsnummer 0316004366. 16 Verordnung über die Personensicherheitsprüfung, SR 120.4; war im Zeitpunkt der Vertragsschliessung in Kraft, wurde auf 01.01.2024 aufgehoben.
18/40
getroffen haben. Gegenstand und Umfang der Datenbearbeitung wird im Vertrag zwar nicht konkret geregelt. Das ist aber so möglich, weil die Vereinbarung an keine Form gebunden ist. Somit kann auch offenbleiben, ob der dem EDÖB nicht bekannte Vertragsbestandteil «Angebot der Auftragneh- merin vom 22. März 2019» den Gegenstand und Umfang der Datenbearbeitung regelt. Das Risiko einer unklaren Regelung trägt das fedpol als Verantwortliche. 4.3.1.2. Keine Bearbeitung zu eigenen Zwecken 91. Sowohl in den erwähnten Verpflichtungserklärungen sowie in Ziff. 17.2 der im Vertrag integrierten AGB 17 wird die Bearbeitung von Personendaten für andere Zwecke ausgeschlossen. 4.3.1.3. Keine widersprechenden Geheimhaltungspflichten 92. Bei der Erfüllung des Vertrages musste davon ausgegangen werden, dass Xplain Kenntnis von Amtsgeheimnissen erhält. Das Amtsgeheimnis steht grundsätzlich einer Auslagerung nicht entge- gen, sofern die Dritten als Hilfspersonen i.S.v. Art. 321 Abs. 1 StGB zu qualifizieren sind. 18 Dies ist bei den Mitarbeitenden von Xplain erfüllt. Zusätzlich muss sichergestellt werden, dass die Geheim- haltungsverpflichtung dem Auftragnehmer überbunden wird. Dies wird mit den Verpflichtungserklä- rungen sowie Art. 16 der AGB erfüllt. 93. Zudem stellt der IKT-Grundschutz Anforderungen angesichts des Risikos der Amtsgeheimnisver- letzung. Die zu berücksichtigen Massnahmen werden aufgelistet und auf das Dokument «Anforde- rungen angesichts des Risikos von Amtsgeheimnisverletzungen» hingewiesen. 19
4.3.1.4. Fazit 94. Somit bestätigen die vorangehenden Erläuterungen, dass ein Auftragsbearbeitungsverhältnis vor- liegt und der Auslagerung von Personendaten im Zusammenhang mit eneXs-mobile gestützt auf Art. 10a Abs. 1 aDSG grundsätzlich nichts entgegenstand, obwohl Gegenstand und Umfang der Datenbearbeitung vertraglich nur rudimentär geregelt wurden. Insbesondere wurde nicht transpa- rent festgehalten, ob und wie bei Supportleistungen Personendaten an Xplain übertragen werden und somit das Prinzip der Verhältnismässigkeit eingehalten werden kann. Da es sich nicht um eine Datenbekanntgabe im Sinne von Art. 3 lit. f aDSG handelt, bleibt fedpol für die Datenbearbeitungen von Xplain verantwortlich, solange Xplain die Personendaten nicht über die Vereinbarung hinaus bearbeitet. Nicht geprüft wurde, ob die Anforderungen gemäss dem IKT-Grundschutz umgesetzt wurden. 4.3.2. Gewährleistung der Datensicherheit 95. Gemäss Art. 10a Abs. 2 aDSG muss sich der Auftraggeber insbesondere vergewissern, dass der Dritte die Datensicherheit gewährleistet. Im Gesetz zwar nicht ausdrücklich erwähnt, aber mitum- fasst, ist die Pflicht des Auftraggebers, sich um die Einhaltung des Datenschutzes und damit auch der anderen allgemeinen Datenschutzgrundsätze aktiv zu bemühen. Die Umsetzung der eigenen Verpflichtungen hinsichtlich Datensicherheit ist dem Dritten zu überbinden. 20
Der Verantwortliche hat dem Auftragnehmer klare Vorgaben für Sicherheitsmassnahmen zu ma- chen und deren Umsetzung und Einhaltung zu kontrollieren. Sofern der Auftragnehmer selbst dem aDSG untersteht, kann der Verantwortliche davon ausgehen, dass die technischen und organisa- torischen Massnahmen der Datensicherheit (Art. 7 aDSG) angemessen erfüllt sind
17 Allgemeine Geschäftsbedingungen für Informatikdienstleistungen, Stand 20.10.2010. 18 Botschaft zur Totalrevision des DSG, 2017, S. 7031 f.; wonach dies sowohl nach aDSG wie auch nach revidiertem DSG gilt. 19 IKT-Grundschutz in der Bundesverwaltung, Version 4.6, Stand 01.04.2021, Kap. 2 Ziff. 15.2. 20 Zum Ganzen BVerGer A-4941/2014, Urteil vom 09.11.2016, Ziff. 12.7.3.
19/40
(Art. 22 Abs. 3 VDSG e contrario). Der Verantwortliche ist deshalb verpflichtet, den Auftragsbear- beiter sorgfältig auszuwählen, zu instruieren und soweit nötig zu überwachen. 21
Zudem hält auch der IKT-Grundschutz der Bundesverwaltung als minimale Sicherheitsanforderung fest, dass bei Dienstleistungen durch Dritte die IKT-Sicherheitsvorgaben des Bundes verbindlich und vertraglich zu regeln sind. 22
4.3.2.1. Auswahl 98. Dem EDÖB ist nicht bekannt, nach welchen Kriterien fedpol im Jahr 2019 für die Umsetzung einer mobilen App zur Abfrage auf polizeiliche Datenbanken Xplain ausgewählt hat. Bekannt ist jedoch, dass der Einsatz von eneXs-mobile über die bereits aufgebauten Infrastrukturlösungen des Grenz- wachtkorps EZV erfolgte, welche die Anwendung bereits im produktiven Einsatz hatte. Typischer- weise wurden die Vertragsbeziehung mit Xplain jeweils für eine Zeitperiode von rund vier Jahren abgeschlossen. Bei jedem Entscheid für eine neue Zeitperiode ist die Auswahl objektiv neu zu be- urteilen. Solange Xplain Daten im Bereich der inneren Sicherheit bearbeitet und dabei besonders schützenswerte Daten oder vertrauliche und geheime Informationen bearbeitet, müssen auch da- tenschutzrechtliche Kriterien berücksichtigt werden; etwa ob Xplain über ein Informationssicher- heitsmanagementsystem verfügt und ob dazu eine Zertifizierung nach einem international aner- kannten Standard vorliegt. Diese hohen Anforderungen sind gerechtfertigt, wenn eine Zusammen- arbeit mit Xplain im Bereich der inneren Sicherheit eingegangen werden soll. 4.3.2.2. Instruktion 99. Zu prüfen ist, inwieweit die Vergewisserungspflicht des Verantwortlichen geht, dass der Auftrags- bearbeiter die Datensicherheit gewährleistet. Nach Art. 7 Abs. 1 aDSG wird die Datensicherheit gewährleistet, sofern die Personendaten durch angemessene technische und organisatorische Massnahmen geschützt werden. Die verantwortlichen Bundesorgane treffen die nach den Artikeln 8- 10 VDSG erforderlichen technischen und organisatorischen Massnahmen zum Schutz der Per- sönlichkeit und der Grundrechte der Personen, über die Daten bearbeitet werden. Bei der automa- tisierten Datenbearbeitung arbeiten die Bundesorgane mit dem Informatikstrategieorgan Bund (ISB; heute BACS) zusammen (Art. 20 Abs. 1 VDSG). 100. Grundsätzlich kann fedpol davon ausgehen, dass Xplain die angemessenen technischen und orga- nisatorischen Massnahmen umgesetzt hat, da Xplain selbst als Verantwortlicher dem aDSG unter- steht und Art. 7 aDSG einzuhalten hat. In Art. 8 DSG wird dies neu konkretisiert, indem auch der Auftragsbearbeiter explizit erwähnt wird. Soweit indessen spezifische Sicherheitsmassnahmen des Auftraggebers bestehen – hier der Bundesverwaltung – sind diese dem Auftragsbearbeiter spezi- fisch zu überbinden. 101. Gemäss dem Vertrag erbringt Xplain als Spezialistin und in Kenntnis des Vertragszwecks die Lie- ferung von Lizenzen zur Nutzung der eneXs-mobile App, Anpassung und Erweiterung auf dem en- eXs-Server sowie Wartungs- und Support-Leistungen. 102. Um beurteilen zu können, welche technischen und organisatorischen Massnahmen erforderlich sind zum Schutz der Persönlichkeit und Grundrechte der Personen, über die Daten bearbeitet werden, bildet der Gegenstand und der Umfang der Bearbeitung die Ausgangslage. Dies wurde indessen nicht klar geregelt und stellt ein grundlegendes Problem für die angemessene Erfüllung der Anfor- derungen der Datensicherheit eines Auftragsbearbeiters dar. Fedpol hat Xplain keine direkten Zu- griffe auf die Serviceinfrastruktur beim ISC-EJPD bzw. auf diejenigen Datenbanken ermöglicht, für welche fedpol verantwortlich ist. Der Wartungs- und Supportprozess war allerdings durch die von
21 Botschaft DSG 1988, 463; Botschaft DSG 2017, 7032. 22 IKT-Grundschutz in der Bundesverwaltung, Version 4.6, Stand 01.04.2021, Kap. 2 Ziff. 15.1.
20/40
Xplain in der Software programmierte Funktion vorgegeben. Bei einem aufgetretenen Fehler wer- den in eneXs-mobile Screenshots oder Fehler-Reports mit produktiven Daten, die auch Personen- daten enthalten, erstellt und aus der IT-Bundesinfrastruktur in die IT-Infrastruktur von Xplain über- tragen (siehe Ziffer 38 f.). Die Parteien hätten erkennen müssen, dass dieser Support- und Wartung bzw. die Fehlerbehebungsprozesse Personendaten beinhaltet und der genaue Umgang mit diesen Personendaten wäre konkret zu regeln gewesen. 103. Der Vertrag betreffend die Aufschaltung von eneXs-mobile zwischen fedpol und Xplain enthält keine spezifischen datenschutzrechtlichen Instruktionen. In den integrierten AGB Informatikdienstleistun- gen wird in Ziffer 17 festgehalten, dass die Parteien sich verpflichten, «die wirtschaftlich zumutbaren sowie technisch und organisatorisch möglichen Vorkehrungen zu treffen, damit die im Rahmen der Vertragsabwicklung anfallenden Daten gegen unbefugte Kenntnisnahme Dritter wirksam geschützt sind». Andere Vereinbarungen, worin fedpol Xplain über die Anforderungen der Datensicherheit genauer instruiert, bestanden gemäss den Feststellungen des EÖDB nicht. 104. In der erwähnten Verpflichtungserklärung wird festgehalten: «[...] Nach Rück-/Übergabe an den Besteller sind die Daten auf den Anlagen der Auftragnehmerin unverzüglich physisch zu löschen. Die Ausführung der Löschung ist dem Besteller unaufgefordert schriftlich zu bestätigen. [...]». Dar- aus folgt, dass Xplain nach Erhalt von Personendaten diese nach fertiger Bearbeitung des Support- oder Wartungsauftrages hätte löschen müssen. Diese Löschpflicht ergibt sich bereits gestützt auf den allgemeinen Verhältnismässigkeitsgrundsatz gemäss Art. 4 Abs. 2 aDSG, weshalb die Bestim- mung keine weitergehende Verpflichtung als das DSG mit sich bringt. 105. Möglich gewesen wären grundsätzlich zwei Varianten: Fedpol hätte Xplain ausdrücklich vertraglich verpflichten können, dass Personendaten nur auf der Bundesinfrastruktur des Bundes bearbeitet werden dürfen bzw. die Speicherung von Personendaten ausserhalb der Bundesverwaltung strikt verboten wäre. Dazu hätte fedpol Xplain alle notwendigen Voraussetzungen dazu zur Verfügung stellen müssen und prüfen, ob dies in der Praxis auch konsequent umgesetzt wird. In der zweiten Variante werden Personendaten ausserhalb der Bundesinfrastruktur bearbeitet. Dazu müssen alle datenschutzrechtlichen Anforderungen beachtetet werden, insbesondre eine Bearbeitung im Sinne der Verhältnismässigkeit und der Risikominimierung indem Regeln bzw. Prozesse befolgt werden, damit so wenig Personendaten wie möglich die Bundesinfrastruktur verlassen. Wo möglich sind Personendaten zu anonymisieren. Personendaten, die ausserhalb der Bundesinfrastruktur bearbei- tet werden, müssen gemäss ihrem Schutzbedürfnis mit den erforderlichen technischen und organi- satorischen Massnahmen geschützt werden, insbesondere durch die Einhaltung von Löschregeln. 106. Dem EDÖB liegt keine SCHUBAN und kein ISDS-Konzept vor. Daraus liegt der Schluss nahe, dass fedpol die Anwendung eneXs-mobile bei der eigenen Implementierung nicht mehr näher geprüft hat, weil darauf vertraut wurde, dass dies das BAZG bereits richtig vorgenommen hat und die An- wendung alle datenschutzrechtlichen Anforderungen erfüllt. Das fedpol hätte aber vor der Imple- mentierung von eneXs-mobile mindestens eine eigene SCHUBAN und gegebenenfalls ein ISDS- Konzept erstellen müssen, allenfalls auf Grundlage der bereits vorhandenen. Dabei hätten die Ri- siken des Support- und Fehlerbehebungsprozesses erkannt und entsprechende Vereinbarung zur datenschutzkonformen Umsetzung abgeschlossen werden müssen. 4.3.2.3. Überwachung 107. Fedpol macht geltend, dass aufgrund von fehlenden personellen und finanziellen Ressourcen keine regelmässigen Prüfungen bei Xplain im Hinblick auf die Einhaltung der Datensicherheit, etwa in Form von regelmässigen Audits, vorgenommen werden konnten. Aus operativer Sicht steht das Funktionieren der Systeme mit möglichst wenig Fehlern und Störungen im Vordergrund, sodass konzeptionelle Datenschutzrisiken nicht erkannt oder zwar erkannt werden, aber keine Ressourcen für die Korrektur vorhanden sind. Folglich wurde zwar erkannt, dass mehr Ressourcen notwendig wären, diese wurden aber nicht hinreichend zur Verfügung gestellt.
21/40
Neben der Kontrolle und Einhaltung der Prozesse durch eigene Ressourcen kann diese Aufgaben auch Dritten übertragen werden, z.B. privaten Auditunternehmen. Dies kann im Einzelfall ein geeig- netes Mittel sein, um die eigenen Prozesse und deren Einhaltung aus datenschutzrechtlicher Sicht zu prüfen. Dies kann aber auch durch interne Stellen umgesetzt werden, da es oft nicht zielführend ist, wenn diese Verantwortung an Stellen ausserhalb der Bundesverwaltung delegiert wird. Eine geeignete Kontrolle kann im Einzelfall bereits dadurch erfüllt werden, dass durch Xplain die Kon- trolle und Einhaltung vereinbarter datenschutzrechtlicher Anforderungen mit Nachweisen bestätigt wird. 4.3.2.4. Fazit 109. Aus den obigen Darlegungen geht hervor, dass fedpol die Gewährleistung der Datensicherheit ge- mäss Art. 10a Abs. 2 aDSG nicht ausreichend erfüllt hat. Fedpol hätte die Übertragung von Perso- nendaten im Rahmen von Wartung und Support ausdrücklich regeln und besser instruieren müssen, insbesondere unter welchen datenschutzrechtlichen Anforderungen im Rahmen von Wartung und Support Personendaten die IT-Bundesinfrastruktur verlassen oder nicht. Je nach Variante hätten dann die angemessenen technischen und organisatorischen Massnahmen geregelt werden müs- sen, um die Gewährleistung der Datensicherheit erfüllen zu können. Schliesslich hätten diese Pro- zesse angemessen kontrolliert werden müssen. Datenübertragung durch ORMA 4.4.1. Auslagerung 110. Die Ausführungen zur Auslagerung (Art. 10a Abs. 1 aDSG) durch eneXs-mobile (siehe Ziff.81 ff.) gelten für ORMA analog. Im Unterschied zu eneXs-mobile bestehen für ORMA jedoch mehrere und detailliertere Verträge, weshalb nachfolgend auf die diesbezüglichen Unterschiede eingegangen wird. 4.4.1.1. Vereinbarung oder Gesetz 111. Aus dem Vertrag «Erbringung von werkvertraglichen Leistungen im Informatikbereich und die Pflege von Individualsoftware» 23 werden bei Wartung und Support die Personendatenbearbeitun- gen durch Xplain nicht geregelt. Im Folgevertrag wird jedoch wieder auf die berufliche Schweige- pflicht gemäss DSG verwiesen. 24
Als Grundauftrag wird «Wartung und Pflege der Software (wiederkehrende Kosten) gemäss beste- hendem Wartungsvertrag.(AGB Lizenzen). Vgl. Absatz C dieses Vertrages.» definiert. In Absatz C des Vertrages wird festgehalten, dass die Pflege und der Support von ORMA im Rahmenvertrag 403.000.-1, Spezifikationsblatt Nr. 1 / 30.01.2014 geregelt wird. Im genannten Dokument finden sich namentlich folgende Bestimmungen: « 3) Umfang der Pflege
Der Lieferant erbringt die folgenden Leistungen:
Hotline Bereitschaftsdienst während der Bereitschaftszeit
23 Vertragsnummer: 0316004363, siehe auch Ziffer 54 hiervor. 24 Vertrag über die Erbringung von Informat kdienstleistungen (Auftrag), Dienstleistungen ORMA 2018+, Zusatzaufwände 2023, Vertragsnummer 0316000091 / 500, Ziff. 13.1; siehe auch nachfolgende Ausführungen in Ziffer 116.
22/40
Qualifizierte Fehler-Annahme Fehler-Management und Benennung eines individuellen Kundenansprechpartners der die Leistungen koordiniert
Wartung Off-Site Fehleridentifikation Off-Site Korrektur von Fehlern / Mängeln Software-Updates / -Patches Remote-Diagnose Dokumentationsservice
4.1 ) Pflegebereitschaftszeit Montag - Freitag 08.00 - 12.00 Uhr und 14.00 - 17.00 Uhr (ausgenommen offizielle Feiertage)
4.2) Reaktionszeit (lnterventionszeit) Reaktionszeit 4 Stunden » 113. Unter Berücksichtigung der zitierten Bestimmung bleibt unklar, ob die Parteien lediglich davon aus- gingen, dass Xplain im Rahmen von Support und Wartung Personendaten zur Kenntnisnahme er- hält oder, ob der Support und Wartungsprozess - insbesondere die Organisation des 2 nd und 3 rd
Levels - so ausgestaltet wurde, dass dieser das Bearbeiten von Personendaten auf dem Fileserver von Xplain beinhaltet (zur Beurteilung des 2 nd und 3 rd Level-Prozesses siehe nachfolgende Zif- fer 124 ff.). In beiden Fällen handelt es sich um ein Bearbeiten im Sinne von Art. 3 lit. e und f aDSG. Eine entsprechende Verpflichtungserklärung wurde abgeschlossen und die Möglichkeit der Perso- nensicherheitsprüfung wurde vereinbarte. Fedpol hat mit Xplain keine ausreichende vertragliche Vereinbarung betreffend den Support und die Wartungsprozesse und die damit verbundenen Da- tenübertragungen getroffen. 114. Fedpol musste davon ausgehen, dass mit den von Xplain zur Verfügung gestellten Fehlerbehe- bungs- und Wartungsprozessen (siehe Ziffer 42 f.) ein Bearbeiten von Personendaten erfolgt, wes- halb unter Berücksichtigung der gesamten Umstände auch bei ORMA eine Vereinbarung gemäss Art. 10a Abs. 1 aDSG vorliegt. Der Umfang der Datenbearbeitung wird im Vertrag nicht klar geregelt und somit auch der Grundsatz der Verhältnismässigkeit nicht berücksichtigt. Es kann offenbleiben, ob der dem EDÖB nicht bekannte Vertragsbestandteil «Angebot der Auftragnehmerin vom 22. März 2019» den Gegenstand und Umfang der Datenbearbeitung regelt. Das Risiko einer unkla- ren Regelung trägt das fedpol als Verantwortliche. 4.4.1.2. Keine Bearbeitung zu eigenen Zwecken 115. In Ziff. 17.2 der im Vertrag integrierten AGB 25 wird die Bearbeitung von Personendaten für andere Zwecke ausgeschlossen. Die analoge Verpflichtungserklärung wie bei eneXs-mobile wurde in die- sem Vertrag nicht als Vertragsbestandteil integriert. 4.4.1.3. Keine widersprechenden Geheimhaltungspflichten 116. Die Geheimhaltungspflicht wird mit Art. 16 der AGB überbunden. Im Übrigen gelten die Ausführun- gen in Ziffer 92 f. analog.
25 Allgemeine Geschäftsbedingungen für Informatikdienstleistungen, Stand 20.10.2010.
23/40
4.4.1.4. Fazit 117. Mit den erwähnten Verträgen betreffend ORMA haben die Parteien eine Vereinbarung für die Aus- lagerung im Sinne von Art. 10a aDSG getroffen. Faktisch war der Wartungs- und Supportprozess durch die entsprechende Programmierung der Software vorgegeben (siehe Ziffer 42 f.) und die Übertragung an Xplain ständige Praxis. Die Datenübertragung wird zwar vertraglich grob umschrie- ben, jedoch finden sich keine ausdrücklichen Bestimmungen, welche datenschutzrechtlichen An- forderungen gelten, damit Personendaten die IT-Bundesinfrastruktur verlassen bzw. auf der IT-Inf- rastruktur von Xplain gespeichert werden können. Das Risiko einer unklaren Regelung trägt fedpol als Verantwortliche, sofern Xplain die Personendaten nicht über die Vereinbarung hinaus bearbei- tet. Nicht geprüft wurde, ob alle Anforderungen gemäss dem IKT-Grundschutz umgesetzt wurden. 4.4.2. Gewährleistung der Datensicherheit 118. Die Ausführungen zur Gewährleistung der Datensicherheit (Art. 10a Abs. 2 aDSG; Ziff. 95 ff.) durch eneXs-mobile gelten für ORMA analog. Im Unterschied zu eneXs-mobile bestehen für ORMA je- doch mehre und detailliertere Verträge, weshalb nachfolgend wiederum auf die diesbezüglichen Unterschiede eingegangen wird. 119. Im Zeitpunkt des Ransomware-Vorfalls waren drei Verträge zwischen fedpol und Xplain betreffend ORMA in Kraft. 26 Im Vertrag «ORMA 2018+, Zusatzaufwände 2023» 27 wurde betreffend Datensi- cherheit folgendes vereinbart (Hervorhebungen hinzugefügt): Ziffer 13.7 Schutz der Informatik- und Telekommunikationssysteme vor Angriffen und Melde- pflicht
«
26 Siehe Ziffer 54 hiervor. 27 Vertragsnummer: 0316000091 / 500.
24/40
entstandene Schäden. Dabei wird auch über die geplanten und getroffenen Massnahmen zu deren Behebung informiert. Zur Vermeidung von Schäden oder weiteren Angriffen ge- währt die Auftragnehmerin der Auftraggeberin oder durch sie beauftragten Dritten auf erst- malige Aufforderung unverzüglich den vollen und umfassenden Zugang zu Analysen, Un- tersuchungsberichten und anderen Feststellungen (Dokumente, Daten, Log-Daten, Ge- genstände etc.), die es erlauben, das Ereignis zu analysieren. Die Auftragnehmerin stellt sicher, dass mit der Auftragnehmerin vordefinierte Aktivitäten aufgezeichnet (Logging) und ausgewertet werden, um Angriffe zu erkennen und zu vermeiden. Entdeckte Sicherheits- lücken müssen zeitnah behoben werden. 5. Die Auftraggeberin (oder ein Dritter in ihrem Auftrag) kann nach Bedarf - höchstens zwei Mal jährlich – bei der Auftragnehmerin Audits durchführen. Solche werden 7 Arbeitstage vorangekündigt. Jede Partei trägt ihre Kosten des Audits selbst. Sollten jedoch im Rah- men eines Audits wesentliche Mängel im Sinne dieser Bestimmung festgestellt werden, trägt die Auftragnehmerin zusätzlich die Kosten zur Behebung dieser Mängel aber auch die Kosten, die der Auftraggeberin aus dem Audit entstehen. Die Auftragnehmerin ist ver- pflichtet, festgestellte Mängel innert einer Frist von 1 seit der Meldung zu beheben und der Auftraggeberin den Vollzug zu melden. 6. Die Auftragnehmerin schuldet eine Konventionalstrafe, sofern sie die verlangten Vorkeh- rungen gemäss der vorliegenden Klausel nicht getroffen hat. Diese beträgt je Verletzungs- fall 10% der gesamten Vergütung, mindestens jedoch CHF 3'000.-- je Fall. Die Bezahlung der Konventionalstrafe befreit die Auftragnehmerin nicht von der Einhaltung ihrer vertragli- chen Pflichten. Die Konventional-strafe wird auf einen allfälligen Schadenersatz angerech- net. 7. Die Auftragnehmerin. haftet für den Schaden, welcher der Auftraggeberin entsteht, sofern sie nicht beweist, dass sie kein Verschulden trifft.
Bei wesentlichen Verletzungen dieser Klausel oder mangelnder Mitwirkung in obengenannten Fällen behält sich die Auftraggeberin vor, keine weiteren Leistungen zu beziehen und die Ver- tragsbeziehung zu beenden.
1 In Frage kommen alle in der Liefer- und Produktionskette eingebundenen Parteien, namentlich auch Rechteinhaber und Hersteller.
» 120. Im dritten Vertrag «Dienstleistungen Clean ORMA Phase 2 2023» 28 werden die gleichen Bestim- mungen zur Datensicherheit geregelt. 121. Im Vertrag wird weitgehend auf die Einhaltung der gesetzlichen Grundlagen hingewiesen. Da Xplain ein langjähriger Vertragspartner von fedpol ist und spezialisierte Dienstleistungen anbietet, kann fedpol auch davon ausgehen, dass Xplain bei diesbezüglichen Unklarheiten Rücksprache nimmt. 122. Regelmässige Prüfungen bei Xplain im Hinblick auf die Einhaltung der Datensicherheit, etwa in Form von regelmässigen Audits, fanden nicht statt, was fedpol mit fehlenden personellen und finan- ziellen Ressourcen begründet. 123. Fedpol ist den Anforderungen von Art. 10a Abs. 2 aDSG nur ungenügend nachgekommen. Bereits aufgrund der unklaren vertraglichen Regelung betreffend die Art und Weise der Datenbearbeitung war es nicht möglich, sich spezifisch zu vergewissern, ob Xplain die Datensicherheit nach den Vor- gaben des aDSG und den weiteren Anforderungen der Bundesverwaltung gewährleistet. Zwar konnte sich fedpol grundsätzlich auf die vertragskonforme Erfüllung durch Xplain verlassen, aber eine Prüfung hätte die Schwachstellen bei Xplain ohne weiteres aufdecken können.
28 Vertragsnummer: 0316000091 / 520.
25/40
Support- und Wartungsprozesse 124. Kern der datenschutzrechtlichen Problematik ist die Übermittlung von Personendaten aus der Bun- desinfrastruktur in die IT-Infrastruktur von Xplain im Rahmen der Wartungs- und Supportprozesse (siehe Ziffer 38 ff. und 42 ff.). Solange die Personendaten in der Bundesinfrastruktur bleiben, sind diese gemäss den Vorgaben des Bundes bzw. mindestens vom IKT-Grundschutz geschützt. Dem EDÖB sind keine Anhaltspunkte bekannt, dass fedpol zusammen mit den bundesinternen Leis- tungserbringen den IKT-Grundschutz sowie den erhöhten Schutzbedarf bei erhöhtem Schutzbe- dürfnis für die Bundesinfrastruktur nicht erfüllt hat. Das Problem war, das nicht geprüft und beurteilt wurde, ob bzw. welche Personendaten beim Wechsel vom 2 nd Level Support zum 3 rd Level Support die Bundesinfrastruktur verlassen müssen. 4.5.1. eneXs-mobile 125. Der Support- und Wartungsprozess für eneXs-mobile verletzt den Grundsatz der Verhältnismässig- keit, der Datensicherheit und der Zweckbindung. 4.5.1.1. Verhältnismässigkeit 126. Das Bundesgericht hält zum Grundsatz der Verhältnismässigkeit fest, dass «eine Massnahme für das Erreichen des im öffentlichen oder privaten Interesse liegenden Zieles geeignet und erforderlich ist und sich für die Betroffenen in Anbetracht der Schwere der Grundrechtseinschränkung als zu- mutbar erweist. Es muss eine vernünftige Zweck-Mittel-Relation vorliegen [...]. Erforderlich ist eine Massnahme, wenn der angestrebte Erfolg nicht durch gleich geeignete, aber mildere Massnahmen erreicht werden kann [...]. Im Bereich des Datenschutzes heisst dies unter anderem, dass Daten nur dann und nur soweit bearbeitet werden dürfen, als es für den Zweck der Datenbearbeitung notwendig ist (Prinzip der Datenvermeidung und Datensparsamkeit [...])». 29
Damit Xplain ihre Aufgaben des 3 rd Level Support umsetzten kann, muss der Fehler oder der Auftrag für eine Weiterentwicklung verständlich und nachvollziehbar sein. Dafür werden in der Praxis häufig – weil es schnell und einfach umsetzbar ist – konkrete Beispiele verwendet, die oft eben auch be- sonders schützenswerte Personendaten enthalten können. Der Inhalt der Fehlerberichte muss aber erforderlich im Sinne der Verhältnismässigkeit sein. Auf die Fehlerberichte angewendet heisst das, dass Personendaten gelöscht oder anonymisiert werden müssen. Nur wenn die Personendaten wirklich notwendig sind, um den 3 rd Level Support umzusetzen, wird die Erforderlichkeit erfüllt. Das Prinzip der Datenvermeidung und Datensparsamkeit ist somit zentral. 128. Folglich verletzt die Funktion, mit welcher Screenshots und Log-Files mit Personendaten für die Behebung von Support und Wartung erstellt werden (siehe Ziffer 38), das Prinzip der Verhältnis- mässigkeit, soweit nicht erforderliche Personendaten übertragen wurden. 4.5.1.2. Datensicherheit 129. Nach Art. 7 aDSG müssen Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. In Art. 20 VDSG werden die Min- destanforderungen festgehalten. Wer Personendaten bearbeitet, sorgt für die Vertraulichkeit, Ver- fügbarkeit und Integrität der Daten, um einen angemessenen Datenschutz zu gewährleisten (Art. 20 Abs. 1 i.V.m. Art. 8 Abs. 1 VDSG). Insbesondere sind die Daten gegen die Risiken von un- befugtem Ändern, Kopieren, Zugreifen oder andere unbefugte Bearbeitungen zu schützen (Art. 1 lit. e VDSG). 130. Der IKT-Grundschutz legt die minimalen organisatorischen, personellen und technischen Anforde- rungen an die Informatiksicherheit der Bundesverwaltung bzw. deren Informatikschutzobjekte
29 BGE 147 I 346, E. 5.5.
26/40
(Schutzobjekte) fest. Der IKT-Grundschutz und die Datensicherheit gemäss DSG verfolgen unter- schiedliche Schutzziele. Während der IKT-Grundschutz die Schutzobjekte schützt, dient das DSG dem Schutz der Persönlichkeit von Personen. Der EDÖB beurteilt deshalb die Datensicherheit ge- mäss Art. 7 aDSG und nicht den IKT-Grundschutz. 131. Die Informationsweitergabe zwischen dem 2 nd und 3 rd Level Support bzw. zwischen dem fedpol und Xplain hätte so organsiert werden müssen, dass das Risiko von potentiellen Persönlichkeitsverlet- zungen angemessen minimiert wird. Ein organisatorischer Fehler lag insbesondere bei der Verwen- dung der dezidierten Endgeräte, welche Xplain Mitarbeitende erhielten. Solange die Xplain Mitar- beitenden nur mit den erhaltenen fedpol Notebooks auf der Bundesinfrastruktur arbeiten, bleiben alle Daten im geschützten Perimeter der Bundesverwaltung. Offensichtlich bestand seitens fedpol und Xplain kein Bewusstsein darüber, welche Anforderungen aus datenschutzrechtlicher Sicht gel- ten müssen, sobald Personendaten den Perimeter der Bundesverwaltung verlassen. Solange näm- lich Xplain mit den erhaltenen fedpol Notebooks arbeitet, wird das datenschutzrechtliche Risiko nicht erheblich erhöht, weil die Daten im geschützten Perimeter der Bundesverwaltung bleiben. Ob- wohl Mitarbeitende von Xplain die fedpol Notebooks für die Unterstützung im 2 nd Level Support erhielten, wurden die Laptops auch dazu verwendet, um Daten von der Bundesinfrastruktur auf den Fileserver von Xplain weiterzuleiten, zu bearbeiten und zu speichern. 132. Zusammenfassend kann festgehalten werden, dass der Grundsatz der Datensicherheit insbeson- dere deshalb verletzt wurde, weil keine organisatorischen Massnahmen bei der Überschneidung von 2 nd und 3 rd Level Support getroffen wurden, um entweder Personendatenflüsse zu Xplain zu verhindern oder die Voraussetzungen hierfür zu regeln und einzuhalten. 4.5.1.3. Zweckbindung 133. Gemäss Art. 4 Abs. 3 aDSG dürfen Personendaten nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Bei der Umsetzung des 3 rd Level Support entspricht der Zweck die Lösung des konkreten Problems oder die Umsetzung einer Weiterentwicklung. Eine Ablage bzw. ein Archiv von behandelten Anfra- gen macht aus betriebsökonomischer Sicht zwar Sinn, ist aber aus datenschutzrechtlicher Sicht ein anderer Zweck und müsste im Sinne der Verhältnismässigkeit mit anonymisierten Daten erfolgen. Folglich müssen die Personendaten nach Abschluss der Anfrage gelöscht werden. Dies ergibt sich bereits aus der erwähnten Gesetzesbestimmung, wurde aber auch ausdrücklich in der Verpflich- tungserklärung vertraglich festgelegt (siehe Ziffer 91). 134. Folglich wurde durch die Nichtlöschung der 3 rd Level Arbeiten der Grundsatz der Zweckbindung sowie die Vertragspflicht durch Xplain verletzt. Das fedpol bleibt jedoch für diese Verletzung gestützt auf Art. 16 Abs. 1 aDSG verantwortlich. 4.5.2. ORMA 135. Die rechtlichen Ausführungen zum Support- und Wartungsprozess von eneXs-mobile (siehe Zif- fer 125 ff.) gelten für ORMA analog. Im Unterschied zur Funktion in eneXs-mobile musste die Be- nutzerin oder der Benutzer die Funktion für die Aufzeichnung der Fehlerberichte manuell einschal- ten. Die Supportfunktion war so programmiert, dass die Inhalte aller momentan geöffneten Anwen- dungen aus dem Zwischenspeicher (Cache) abgegriffen wurden. (siehe Ziffer 42). Das heisst, wurde die Supportfunktion eingeschaltet wegen einer Störung in ORMA und waren gleichzeitig an- dere Anwendungen geöffnet, etwa ein Bild eines Tatorts und eine E-Mail mit besonders schützens- werten Personendaten, wurden für den Fehlerbericht das Bild des Tatorts und das E-Mail mit be- sonders schützenswerten Personendaten abgegriffen. Die daraus generierte ZIP-Datei wurde im Anschluss zur Fehleranalyse an Xplain weitergeleitet. Die Integration von gleichzeitig anderen An- wendungen in den Fehlerbericht verletzt offensichtlich und in schwerwiegender Weise das Verhält- nismässigkeitsprinzip. Obwohl die Funktion ORMA etwas anders ausgestaltet wurde als in eneXs-
27/40
mobile, gelten die Erläuterungen zur Verletzung der Grundsätze der Verhältnismässigkeit (siehe Ziffer 126), der Datensicherheit (siehe Ziffer 129) und der Zweckbindung (siehe Ziffer 133) analog. Datenübertragung durch ein HOOGAN-Zugriffs Projekt 136. Im Darknet wurde eine Liste der HOOGAN-Datenbank vom 02. September 2015 publiziert, in wel- cher 766 Personen aufgelistet werden. Diese Daten befanden sich auf dem Fileserver von Xplain (siehe Ziffer 18). Folglich wird geprüft, weshalb die HOOGAN-Liste an Xplain übermittelt, auf dem Fileserver gespeichert und nicht gelöscht wurde. 137. Der Vertrag «Erbringung von Informatikdienstleistungen (Auftrag)» betreffend «Dienstleistungen im Projekt Hoogan + Zutrittskontrolle» 30 ist der einzige Vertrag, welcher der EDÖB zwischen fedpol und Xplain im Zusammenhang mit Zutrittskontrollen von Stadien durch Abgleiche mit der HOOGAN- Datenbank in Erfahrung bringen konnte. Die Ablieferung der Leistungsergebnisse wurde auf den 31. Oktober 2012 terminiert. Als Leistungen von Xplain wurden folgende Dienstleistungen definiert: « 4. Leistungen der Auftragnehmerin
Die Auftragnehmerin erbringt als Spezialistin und in Kenntnis des Vertragszwecks die folgenden Dienstleistungen:
• Teilnahme an 5 Projektsitzungen zu je 3 Stunden inklusive Vor- und Nachbereitung • Dokumentation Einsatzkonzept • Dokumentation der Programmänderungen, Anpassungen der Detailspezifikation • Projektdokumentation mit Reviews und Inputs für Schlussbericht • Koordination mit dem Stadion [...], Abklärungen zu Installation, Integration in Haustechnik » 138. Aufgrund der Leistungen von Xplain und des Ablieferungstermins am 31. Oktober 2012 und der Tatsache, dass der HOOGAN-Auszug vom 02. September 2015 entspricht und somit rund 3 Jahre danach, besteht kein direkter Zusammenhang zwischen dem versendeten HOOGAN-Auszug und dem erwähnten Vertrag. 139. Es ist aber unbestritten, dass der HOOGAN-Auszug an Xplain übermittelt wurde, um im Projekt aufgetretene Fehler zu beheben (siehe Ziffer 46). Die Leistung wurde demnach im Rahmen der übrigen vertraglich vereinbarten Dienstleistungen von Xplain erbracht. Es ist deshalb auch hier grundsätzlich von einem Auftragsbearbeitungsverhältnis auszugehen, das allerdings schriftlich nicht weiter spezifiziert wurde. 140. Es ist fraglich, ob die Übermittlung des vollständigen HOOGAN-Auszugs an Xplain verhältnismässig war. Auch ist offen, ob angemessene Massnahmen der Datensicherheit getroffen wurden. Auf jeden Fall verletzt die Aufbewahrung des HOOGAN-Auszuges auf dem Fileserver von Xplain den Grund- satz der Zweckbindung und der Verhältnismässigkeit. Daten für die Anwendungsentwicklung 141. Bei fedpol standen für die Entwicklung und Wartung Testdaten des jeweils betroffenen Informati- onssystems zur Verfügung. In der Integrationsumgebung von fedpol waren somit nur Testdaten vorhanden, weshalb dadurch keine Personendaten an Xplain übermittelt wurden. Somit konnte der EDÖB diesbezüglich bei fedpol keine datenschutzrechtlichen Mängel feststellen.
30 Vertragsnummer: 40312071652.
28/40
IT-Infrastruktur von fedpol 142. Dem EDÖB liegen keine Anhaltspunkte vor, dass die IT-Infrastruktur im Rahmen des Ransomware- Vorfalls die Datensicherheit oder andere Anforderungen des DSG nicht erfüllte hätte, weshalb dies nicht Gegenstand der Untersucht bildet. Reaktionen von fedpol auf Ransomware-Vorfall 4.9.1. Information an Dritte 143. Im aDSG bestand keine ausdrückliche Bestimmung betreffend Meldung von Verletzungen der Da- tensicherheit, im Gegensatz zu Art. 24 DSG. Weil fedpol den EDÖB über den Ransomware-Vorfall informiert hat, kann offenbleiben, ob sich eine solche Meldepflicht nach Treu und Glauben und der allgemeinen Informationspflicht ergeben hätte. 144. Nach dem Ransomware-Vorfall hat fedpol involvierte Stellen und betroffene Personen informiert und für Personen, die nicht sicher waren ob sie vom Vorfall betroffen sind, wurde ein Kontaktformu- lar auf der Webseite publiziert (siehe Ziffer 65). Mit diesen Massnahmen hat fedpol seine Informa- tionspflichten nach Treu und Glauben wahrgenommen. 4.9.2. Technische und organisatorische Massnahmen 145. Gemäss Art. 4 Abs. 1 aDSG hat die Bearbeitung von Personendaten nach Treu und Glauben zu erfolgen. Werden nach einem Vorfall dem Verantwortlichen Mängel in der Datensicherheit bekannt, sind diese Mängel nach Treu und Glauben und in Erfüllung der Datensicherheit (Art. 7 aDSG), so- fern zumutbar, so schnell wie möglich zu korrigieren. Das heisst notwendige technische und orga- nisatorische Massnahmen zur Behebung oder Vermeidung weiterer möglicher Persönlichkeitsver- letzungen sind schnellstmöglich umzusetzen. 146. Zur Bewältigung des Ransomware-Vorfalls bei Xplain hat fedpol eine Einsatzorganisation gebildet, die zuerst täglich und danach wöchentlich die Aufklärung des Vorfalls, die Erkenntnisse und zu treffenden Massnahmen besprochen, priorisiert und koordiniert hat. Dazu wurde ein hoher Perso- nalaufwand eingesetzt. Die Zusammenarbeit und Koordination mit anderen involvierten Stellen, ins- besondere mit Xplain, dem NCSC und dem BAZG erfolgte, soweit der EDÖB dies beurteilen kann, professionell und zielgerichtet. Die Aufklärung des Vorfalls führte dazu, dass das fedpol 106 IT- Massnahmen eingeleitet hat. 147. Die Einleitung von 106 IT-Massnahmen zeigt eindrücklich auf, wie gewissenhaft der Vorfall aufge- arbeitet wurde, womit die festgestellten Mängel im Bereich Datensicherheit nach Treu und Glauben bestmöglich korrigiert wurden. Die Einleitung von 106 IT-Massnahmen nach dem Vorfall zeigt aber auch auf, dass zahlreiche notwendige technische und organisatorische Massnahmen nicht vorhan- den waren. Abschliessende Bemerkungen 148. Die auf dem Fileserver von Xplain gespeicherten Daten bzw. die im Darknet publizierten Daten stammen zu einem Grossenteil aus Log-Files der Anwendung eneXs-mobile und eneX-stationär, wobei eneX-stationär von fedpol nicht eingesetzt wurde. Die Anwendungen eneXs-stationär und eneXs-mobile wurde von verschiedenen Bundesbehörden und insbesondere auch von zahlreichen kantonalen Polizeibehörden verwendet. Die Anwendungen ermöglichen die Abfrage auf zahlreiche Datenbanken, die von fedpol oder anderen Behörden geführt werden. Nicht für alle Personendaten, die aus fedpol Datenbanken in die IT-Infrastruktur von Xplain übermittelt wurden, liegt die daten- schutzrechtliche Verantwortung bei fedpol. Hat beispielsweise eine kantonale Polizeibehörde über eneXs-mobile auf eine fedpol Datenbank eine Abfrage durchführen wollen bzw. wurde dabei eine Fehlermeldung generiert und an Xplain übermittelt, hatte fedpol mit dieser Bearbeitung von
29/40
Personendaten keinen direkten Bezug bzw. Einfluss, da fedpol lediglich die Abfrage für die kanto- nale Polizeibehörde ermöglicht hat. Dabei muss auch festgehalten werden, dass Übermittlung von Fehlermeldungen über den FTP-Server bei der Bundesverwaltung nicht möglich waren und nur von anderen Behörden erfolgen konnten (siehe Ziffer 41). 149. Der EDÖB stellte fest, dass ein anderes Bundesamt die offensichtlich datenschutzwidrige Support- funktion der Standardanwendung (wie in ORMA) im Jahr 2020 feststellte und Xplain mitteilte. Spä- testens zu diesem Zeitpunkt hätte Xplain bzw. die Bundesverwaltung das Risikopotential bei der Übermittlung von Personendaten im Rahmen des 3 rd Level Supports erkennen und entsprechende Massnahmen für die gesamte Bundesverwaltung umsetzen müssen, etwa die Löschung aller pro- duktiven Daten bei Xplain oder die Sicherung der Daten durch angemessene organisatorische und technische Massnahmen.
30/40
Gestützt auf Art. 29 Abs. 3 aDSG erlässt der EDÖB gegenüber dem fedpol die nachfolgenden Emp- fehlungen. 151. Die Auftragsdatenbearbeitung wurde nicht klar geregelt. Die datenschutzrechtlichen Risiken in der Zusammenarbeit mit Xplain werden erheblich minimiert, indem sich die Parteien die Datenübertra- gungen bewusst machen, ob bzw. unter welchen Voraussetzungen Personendaten die IKT-Sys- teme des Bundes verlassen dürfen (siehe Ziffer 84 ff.). In diesem Sinne ist die Auftragsdatenbear- beitung zu konkretisieren. Empfehlungen:
Bei der Entscheidung zur weiteren Zusammenarbeit im Bereich der inneren Sicherheit sind daten- schutzrechtliche Kriterien zu berücksichtigen (siehe Ziffer 84). Die datenschutzrechtlichen Prozesse und deren Einhaltung sind regelmässig zu überwachen ( siehe Ziffer 107 f.) Empfehlungen:
1a) Ist es nicht erforderlich, dass im Rahmen von Supportprozessen Personenda- ten die IKT-Systeme des Bundes verlassen und in den IKT-Systemen von Xplain gespeichert werden, sind die dazu notwendigen technischen und orga- nisatorischen Massnahmen zu bestimmen. 1b) Ist es erforderlich, dass im Rahmen von Supportprozessen vereinzelt Perso- nendaten die IKT-Systeme des Bundes verlassen und in den IKT-Systemen von Xplain gespeichert werden, sind die dazu notwendigen technischen und organisatorischen Massnahmen zu bestimmen. Dabei sind insbesondere die Grundsätze der Datenminimierung und Datensicherheit konsequent umzuset- zen. 2. Die Datenübertragungen gemäss vorangehender Ziffer sind in klaren vertraglichen Vereinbarungen festzuhalten.
31/40
In Bezug auf den Support und Wartung (siehe Ziffer 124 ff.) sowie auf die Implementierung einer Anwendung, die bereits von einem anderen Bundesamt verwendet wird (siehe Ziffer 106). Empfehlung:
32/40
Dem fedpol wurde die Möglichkeit gegeben, den Sachverhalt zu prüfen und dazu Stellung zu neh- men. Mit Schreiben vom 21. März 2024 hat fedpol davon Gebrauch gemacht. 155. Der vorliegende Schlussbericht weist aufgrund des Sachverhalts einen engen Zusammenhang zu den beiden Schlussberichten des EDÖB in Bezug auf das BAZG und Xplain auf. Der EDÖB hat sich deshalb entschieden, die drei Schlussberichte und Empfehlungen den drei Parteien gleichzeitig und mit der gleichen Rechtsbelehrung zu eröffnen. 156. Dem fedpol wird eine Frist von 30 Tagen ab Erhalt des Schlussberichts angesetzt, um sich darüber zu äussern, ob sie die Empfehlungen gemäss vorangehender Ziffer 150 f f. annehmen oder ableh- nen. Veröffentlichung des Schlussberichts mit Empfehlungen 157. In Fällen von allgemeinem Interesse kann der EDÖB die Öffentlichkeit über seine Feststellungen und Empfehlungen informieren (Art. 30 Abs. 2 aDSG). Der Ransomware-Vorfall vom Mai 2023 hat ein breites öffentliches Interesse gefunden. Die Information über die Ursachen der widerrechtlichen Publikation von besonders schützenswerten Personendaten im Darknet und die getroffenen und zu treffenden Massnahmen und die entsprechenden Empfehlungen des EDÖB sind von allgemeinem Interesse, da sowohl die öffentliche Verwaltung als auch ein privates Unternehmen betroffen sind. Aus datenschutzrechtlicher Sicht ist diese Konstellation mit besonderen Risken verbunden, denen das Datenschutzgesetz auch eine spezifische Aufmerksamkeit schenkt. Der Schlussbericht und die Empfehlungen des EDÖB im vorliegenden Zusammenhang sind deshalb auch aus diesem Grund von allgemeinem Interesse. 158. Der Schlussbericht fedpol wird deshalb zusammen mit den Schlussberichten vom BAZG und Xplain auf der Webseite des EDÖB veröffentlicht (www.edoeb.admin.ch). 159. Dem fedpol wurde die Gelegenheit gegeben, Schwärzungen des Sachverhalts zu beantragen, um eigene Interessen zu schützen. Mit Eingabe vom 12. April 2024 machte fedpol davon Gebrauch.
die stellvertretende Beauftragte: der zuständige Jurist:
Florence Henguely
Nicolas Winkelmann
der zuständige Informations- und Sicherheitsspezialist
der beigezogene Experte Michael Burger Bruno Baeriswyl