Logo LDI NRW

Kita-App „Stay Informed“

Der Betreiberin der besonders bei Kindertagesstätten bekannten App „Stay Informed“ informiert darüber, dass es eine Datenpanne gegeben hat. Durch die Fehlkonfiguration eines Servers war eine große Anzahl von Stammdaten wie Name und Geburtsdatum von betreuten Kindern und deren Eltern ohne weiteren Zugriffsschutz aus dem Internet abrufbar. Weiterhin waren Dokumente und Fotos betroffen, die Einrichtungen über den Dienst verarbeitet haben. Darunter wohl auch Unterschriften, die jedoch nur in verschlüsselter Form auf dem Server vorlagen. Betroffen waren auch Avatarbilder, die Nutzende selbst für den in die Plattform integrierten Messenger festgelegt haben.

Die Stay Informed GmbH hat den Sachverhalt auch dem Landesbeauftragen für Datenschutz und Informationsfreiheit Baden-Württemberg gemeldet, der für das Unternehmen zuständig ist.

Risiko besteht

Wir gehen derzeit davon aus, dass für die betroffenen Personen zumindest ein mehr als nur geringes Risiko für ihre Rechte und Freiheiten vorliegt. Bedrohungen bestehen in möglichen missbräuchlichen Nutzungen der Daten für Betrugsmaschen und ggf. Diskriminierungen. Im Einzelfall ist nicht auszuschließen, dass sogar ein hohes Risiko für die betroffenen Personen vorliegt. Für Einrichtungen – wie Kindertagesstätten – und für betroffene Personen – besonders die Eltern – sind jetzt die richtigen Reaktionen wichtig: 

Pflichten der Einrichtungen – Was ist zu tun?

Rechtlich ist der Dienstleister Stay Informed GmbH „Auftragsverarbeiter“, weil er Daten im Auftrag von anderen Stellen verarbeitet. Die Einrichtungen, die das Angebot nutzen, sind „Verantwortliche“. Für beide gibt es verschiedene datenschutzrechtliche Vorgaben.

Betroffene Einrichtungen müssen als Verantwortliche zunächst prüfen, ob Stammdaten ihrer Einrichtung betroffen sind, welche Dokumente und Fotos auf der Plattform verarbeitet wurden und ob der integrierte Messenger genutzt wurde. Nach unseren Informationen sind von der Offenlegung der Stammdaten nicht alle Einrichtungen betroffen. Es ist zudem davon auszugehen, dass eingestellte Dokumente und Fotos unterschiedliche Sensibilität aufweisen können und daher hier eine Einzelfallprüfung erfolgen muss. 

Falls die Untersuchung durch die Einrichtung ergibt, dass personenbezogene Daten aus ihrem Verantwortungsbereich von der Fehlkonfiguration betroffen waren und hiervon ein mehr als geringes Risiko für die Betroffenen ausgeht, muss die Einrichtung die Datenpanne bei der zuständigen Datenschutz-Aufsichtsbehörde melden. Für Einrichtungen in kirchlicher Trägerschaft sind die kirchlichen Aufsichtsbehörden zuständig, etwa das Katholische Datenschutzzentrum oder der Beauftragte für den Datenschutz der EKD. Auch für andere Einrichtungen wäre jeweils genauer zu prüfen, welche Landesdatenschutzaufsichtsbehörde zuständig ist. Für Stellen in NRW ist das aber meist die LDI NRW.

Da ein unbefugter Zugriff auf die Daten nicht unwahrscheinlich ist, sollten auch die betroffenen Personen im Sinne einer Abmilderungsmaßnahme über den Vorfall informiert werden, um sich selbst vor möglichen nachteiligen Auswirkungen schützen zu können. 

Sollte eine Einrichtung aufgrund der Untersuchung zu dem Ergebnis kommen, dass für Betroffene ein hohes Risiko vorliegt, muss die Einrichtung die Betroffenen informieren. In jedem Fall müssen betroffene Einrichtungen den Vorfall intern bei sich dokumentieren.

Weitere Informationen zu den Pflichten nach Art. 33, 34 DS-GVO für Verantwortliche und Auftragsverarbeiter sind hier abrufbar.

Betroffene Personen – Was ist jetzt wichtig?

Für betroffene Personen besteht keine Pflicht zur Meldung einer Datenpanne. Diese Pflicht besteht für den Verantwortlichen. 

Wir raten jedoch bei E-Mails und Anrufen erst einmal zur besonderen Wachsamkeit, insbesondere mit Blick auf mögliche Phishing- und Schadmails oder entsprechende Anrufe, in denen man aufgefordert wird, Zugangsdaten oder andere Informationen preiszugeben oder verschlüsselte Dateianhänge zu öffnen. Auch ungewöhnliche Post, etwa Mahnungen, Inkassobriefe oder Rechnungen sollte genau geprüft und mit den Absendern abgeklärt werden. 

Weitere Informationen für Bürger*innen, deren personenbezogene Daten von einer Datenpanne betroffen sind, sind hier abrufbar.