{"id":293695,"date":"2024-03-24T13:11:56","date_gmt":"2024-03-24T12:11:56","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=293695"},"modified":"2024-03-28T11:11:17","modified_gmt":"2024-03-28T10:11:17","slug":"datenschutz-gau-bei-stay-informed-kindergarten-app","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/03\/24\/datenschutz-gau-bei-stay-informed-kindergarten-app\/","title":{"rendered":"Datenschutz-GAU bei Stay Informed Kindergarten-App"},"content":{"rendered":"

\"SicherheitDie Kita-App von Stay Informed scheint in vielen Kindertagesst\u00e4tten und Kinderg\u00e4rten im Einsatz zu sein. Eltern und Erzieherinnen k\u00f6nnen sich austauschen und informiert. Geworben wird mit Hosting in Deutschland und dass die L\u00f6sung DSGVO-konform sei. Nun kommt heraus, dass es gravierende Sicherheitsl\u00fccken in der App [bzw. in der Speicherung der Daten] gab, so dass Daten unzureichend gesichert waren. Bis zu 800.000 Personen sind von diesem Datenschutz-GAU bei Stay Informed betroffen. Erg\u00e4nzung:<\/strong> Mir liegt eine Stellungnahme des externen Datenschutzverantwortlichen von Stay Informed vor, die ich nat\u00fcrlich gerne nachtrage, da sie einige Hintergrundinformationen beinhaltet, die mir aus der Berichterstattung von heise unbekannt waren. Erg\u00e4nzung 2:<\/strong>\u00a0Stay Informed hat eine Infoseite eingerichtet.<\/p>\n

<\/p>\n

Kita-App von Stay Informed<\/h2>\n

\"\"Die Stay Informed GmbH hat es sich zum Ziel gesetzt, die Zettelwirtschaft in Kitas, Schulen aber auch in Pflegeeinrichtungen f\u00fcr \u00e4ltere Menschen, mit denen Angeh\u00f6rige oder Personen informiert werden, durch Apps abzul\u00f6sen. Der aus Australien stammende Gr\u00fcnder Peter Horner kannte es aus seiner Heimat: Dort landen alle Informationen in einer App und die Nutzer k\u00f6nnen auf die Informationen zugreifen.<\/p>\n

\"Stayinformed\"<\/a><\/p>\n

Mit diversen Apps greift die Stay Informed GmbH den obigen Gedanken auf und versucht den Informationsablauf zwischen Einrichtung (z.B. Kita, Grundschule) und Eltern zu managen. Auf der betreffenden Unternehmensseite findet der Interessierte auch zahlreiche Informationen<\/a>, wie komfortabel das ist, dass das Ganze mit Erzieherinnen entwickelt wurde und DSGVO-konform sei. Das Hosting findet nach ISO\/IEC 27001 in Deutschland statt. Alles vorbildlich und die Idee ist ja auch nicht schlecht.<\/p>\n

Datenschutz- und Sicherheitsdesaster bei der Implementierung<\/h2>\n

Ich hatte es bereits Ende der Woche vernommen, und einige Nutzer haben mich darauf explizit hingewiesen – so zum Beispiel Singlethreaded<\/em> (danke daf\u00fcr): \"Die Stayinformed Kindergarten-App ist auch von einem Datenschutzvorfall betroffen. Bin vermutlich betroffen, da unsere Kita ebenfalls auf diese App setzt. Bin mal gespannt was am Montag von der Kita-Leitung dazu kommt.\" Dennis Kipker hat es in nachfolgendem Tweet aufgegriffen – ich verlinke mal auf den entsprechenden heise-Beitrag dazu<\/a>.<\/p>\n

<\/a><\/p>\n

Ein anonymer Hinweisgeber hatte die c't Redaktion informiert, dass es bei der Stay Informed Kita-App-L\u00f6sung ein massives Datenleck gebe. Auf einem frei zug\u00e4nglichen Webserver speicherte das Unternehmen ungesch\u00fctzt gro\u00dfe Mengen an Dateien, die laut heise zumindest teilweise von Nutzern der Stay-Informed-App stammten. Der Server war nicht nur ungesch\u00fctzt und somit \u00f6ffentlich erreichbar, die Kommunikation fand auch unverschl\u00fcsselte \u00fcber http-Verbindungen statt.<\/p>\n

Die c't Redaktion konnte die Dateien auf dem Server einsehen und fand fast 1500 CSV-Dateien mit pers\u00f6nliche Daten einer Vielzahl von Personen. Es waren auch Daten von Minderj\u00e4hrigen darunter. Die Daten umfassten Namen, Geburtsdaten und Anschriften, teilweise Herkunftsl\u00e4nder, Impfstatus, Konfessionen, Erziehungsberechtigte, Notfallkontakte, Klassenlehrer und vieles mehr, schreibt heise.<\/p>\n

Zudem stie\u00df die Redaktion auf dem Server auf \u00fcber 16.000 Avatarbilder f\u00fcr die von der L\u00f6sung bereitgestellt Chatfunktion. Als Avatare wurden auch Fotos von Kindern und Erwachsenen verwendet.<\/p>\n

Weiterhin fanden sich auf dem Server PDF-Dateien und Fotos, die von den Einrichtungen f\u00fcr die Eltern hochgeladen wurden, schreibt die c't-Redaktion und erg\u00e4nzt, dass auch digitale, aber verschl\u00fcsselte Unterschriften der Eltern gefunden wurden.<\/p>\n

heise beziffert den Kreis der Betroffenen auf \u00fcber 800.000 Nutzer, denn die App sei in 11.000 deutschen Kitas, Horten und Schulen im Einsatz. Die Redaktion informierte die Stay Informed GmbH am 18. M\u00e4rz 2024 \u00fcber den Sachverhalt. Inzwischen sollen die Daten auf dem Server gesch\u00fctzt sein.<\/p>\n

Laut Gesch\u00e4ftsf\u00fchrer J\u00fcrgen Thiel bestand das Datenleck nach aktuellem Kenntnisstand \"fr\u00fchestens seit dem 20.10.2021 und sp\u00e4testens seit dem 18.08.2023\". Betroffen waren \"alle Kunden bez\u00fcglich Avataren, PDF-Anh\u00e4ngen und Unterschriften\". Profilbilder h\u00e4tten sich nur auf Nutzer des Messenger bezogen.<\/p>\n

Datenschutzproblem liegt bei Einrichtungen<\/h2>\n

Mir ging sofort die spannende Frage im Kopf herum: \"Wer ist f\u00fcr die DSGVO-Seite des Datenschutzvorfalls verantwortlich?\". Das Unternehmen hat zwar die Fehlkonfiguration zu verantworten – schlie\u00dft laut heise aber einen Auftragsverarbeitungsvertrag mit den Nutzern (Kitas, Horts etc.) ab. Damit ist die Stay Informed GmbH aus der DSGVO-Frage im Prinzip raus, die Nutzer (Kitas, Horts etc.) der L\u00f6sung sind f\u00fcr den DSGVO-Vorfall verantwortlich.<\/p>\n

heise schreibt zwar, dass die Stay Informed GmbH die zust\u00e4ndige baden-w\u00fcrttembergische Landesdatenschutzbeh\u00f6rde \u00fcber den Vorfall informieren will. Auch die Einrichtungen, die die App bzw. den Dienst nutzen, wurden am 20. M\u00e4rz 2024 informiert. Nun kommt auf die Einrichtungen die Aufgabe zu (eigentlich m\u00fcsste das bereits erfolgt sein), die zust\u00e4ndigen Datenschutzaufsichtsbeh\u00f6rden und auch Nutzer der L\u00f6sung \u00fcber den Vorfall zu informieren. Details lassen sich ggf. bei heise<\/a> nachlesen.<\/p>\n

Alles in allem eine \u00e4u\u00dferst unsch\u00f6ne Geschichte, die zeigt, was alles schief gehen kann. Gut gemeint ist nicht immer gut gemacht. Vom Bauchgef\u00fchl her d\u00fcrften wir demn\u00e4chst h\u00e4ufiger \u00fcber solche Vorf\u00e4lle lesen, je mehr digitalisiert wird, umso mehr Fehlerm\u00f6glichkeiten gibt es.<\/p>\n

Stellungnahme des Datenschutzverantwortlichen<\/h2>\n

Der bei Stay Informed f\u00fcr den Datenschutz extern Verantwortliche, Herr Olav Seyfarth, hat mich direkt per Mail kontaktiert, um einige Fehlinformationen klar zu stellen. Laut seiner Aussage wurde er weder vom Unternehmen dazu aufgefordert, noch wurden nachfolgende Aussagen abgesprochen. Ich trage nat\u00fcrlich gerne diese Informationen hier nach, um das Bild abzurunden und die technischen Sachverhalte aufzuhellen.<\/p>\n