Die Betreiberin der besonders bei Kindertagesstätten bekannten App „Stay Informed“ informiert darüber, dass es eine Datenpanne gegeben hat. Durch die Fehlkonfiguration eines Servers waren personenbezogene Daten von betreuten Kindern und deren Eltern ohne weiteren Zugriffsschutz aus dem Internet abrufbar. Davon sind alle Einrichtungen betroffen, die die App im Zeitraum von 2020 bis 2024 genutzt haben. Konkret geht es um
- Dokumente, die Einrichtungen über den Dienst als Anlage zu einer Nachricht versandt hat,
- Unterschriften, die jedoch nur in verschlüsselter Form auf dem Server vorlagen und
- Avatarbilder, die Nutzende selbst für den in die Plattform integrierten Messenger festgelegt haben.
Bei Einrichtungen, die die Funktion zum Import von Stammdaten im Zeitraum von 2020 bis 2022 genutzt haben, können die zum Import verwendeten Daten ebenfalls unbefugten zugänglich gewesen sein, wenn der Import fehlschlug.
Die Stay Informed GmbH hat den Sachverhalt auch dem Landesbeauftragen für Datenschutz und Informationsfreiheit Baden-Württemberg gemeldet, der für das Unternehmen zuständig ist.
Pflichten der Einrichtungen – Was ist zu tun?
Rechtlich ist der Dienstleister Stay Informed GmbH „Auftragsverarbeiter“, weil er Daten im Auftrag von anderen Stellen verarbeitet. Die Einrichtungen, die das Angebot nutzen, sind „Verantwortliche“. Für beide gibt es verschiedene datenschutzrechtliche Vorgaben.
Betroffene Einrichtungen müssen als Verantwortliche zunächst prüfen,
- welche Dokumente mit welchen Inhalten als Anlage zu Nachrichten über die App versandt wurden,
- ob der integrierte Messenger genutzt wurde und
- ob personenbezogene Daten aus dem Import von Stammdaten betroffen sind.
Es ist davon auszugehen, dass die betroffenen Dokumente unterschiedliche Sensibilität aufweisen können und daher hier eine Einzelfallprüfung erfolgen muss.
Bedrohungen bestehen in möglichen missbräuchlichen Nutzungen der Daten für Betrugsmaschen und ggf. Diskriminierungen. Im Einzelfall ist nicht auszuschließen, dass sogar ein hohes Risiko für die betroffenen Personen vorliegt.
Falls die Untersuchung durch die Einrichtung ergibt, dass personenbezogene Daten aus ihrem Verantwortungsbereich von der Fehlkonfiguration betroffen waren und hiervon ein mehr als geringes Risiko für die Betroffenen ausgeht, muss die Einrichtung die Datenpanne bei der zuständigen Datenschutz-Aufsichtsbehörde melden. Für Einrichtungen in kirchlicher Trägerschaft sind die kirchlichen Aufsichtsbehörden zuständig, etwa das Katholische Datenschutzzentrum oder der Beauftragte für den Datenschutz der EKD. Auch für andere Einrichtungen wäre jeweils genauer zu prüfen, welche Landesdatenschutzaufsichtsbehörde zuständig ist. Für Stellen in NRW ist das aber meist die LDI NRW.
Da ein unbefugter Zugriff auf die Daten nicht unwahrscheinlich ist, sollten auch die betroffenen Personen im Sinne einer Abmilderungsmaßnahme über den Vorfall informiert werden, um sich selbst vor möglichen nachteiligen Auswirkungen schützen zu können.
Sollte eine Einrichtung aufgrund der Untersuchung zu dem Ergebnis kommen, dass für Betroffene ein hohes Risiko vorliegt, muss die Einrichtung die Betroffenen informieren. In jedem Fall müssen betroffene Einrichtungen den Vorfall intern bei sich dokumentieren.
Weitere Informationen zu den Pflichten nach Art. 33, 34 DS-GVO für Verantwortliche und Auftragsverarbeiter sind hier abrufbar.
Betroffene Personen – Was ist jetzt wichtig?
Für betroffene Personen besteht keine Pflicht zur Meldung einer Datenpanne. Diese Pflicht besteht für den Verantwortlichen.
Wir raten jedoch bei E-Mails und Anrufen erst einmal zur besonderen Wachsamkeit, insbesondere mit Blick auf mögliche Phishing- und Schadmails oder entsprechende Anrufe, in denen man aufgefordert wird, Zugangsdaten oder andere Informationen preiszugeben oder verschlüsselte Dateianhänge zu öffnen. Auch ungewöhnliche Post, etwa Mahnungen, Inkassobriefe oder Rechnungen sollte genau geprüft und mit den Absendern abgeklärt werden.
Weitere Informationen für Bürger*innen, deren personenbezogene Daten von einer Datenpanne betroffen sind, sind hier abrufbar.