Chemnitz, 26.03.2024: Gemäß einem kürzlich veröffentlichten Bericht bei heise.de ist es bei einer in Kindertagesstätten, Horten und Schulen genutzten Software zu einem Datenleck aufgrund eines falsch konfigurierten Webservers gekommen. Eine große Anzahl von Nutzern und Nutzerinnen ist potenziell betroffen. Seit frühestens Oktober 2021 sind CSV-Listen und tausende Profilbilder im Internet frei zugänglich. Die Fehlkonfiguration soll inzwischen behoben sein.
Der Anbieter gibt Informationen auf seiner Website (stayinformed.de).
Betroffene verantwortliche Stellen in Kirche und Diakonie müssen die Nutzung der betreffenden App umgehend einstellen, bis eine Unbedenklichkeitsbestätigung von unabhängiger Seite die Nutzung wieder möglich macht. Selbstauskünfte oder Zusicherungen des Anbieters allein reichen nicht aus.
In diesem Zusammenhang verweisen wir noch einmal auf unsere Praxishilfe zur Auswahl solcher Anwendungen für Kitas, die wir insbesondere in den Schulungen der örtlichen Datenschutzbeauftragten zum Thema gemacht hatten: https://dsbkd.de/wp-content/uploads/2024/03/Checkliste-Vorbereitung-Softwareeinsatz-2022_EK.pdf
Darüber hinaus müssen Einrichtungen, welche diese App genutzt haben, beim Vertragspartner, der die App bereitstellt ermitteln, ob und in welchem Umfang Daten der genannten Einrichtungen konkret betroffen sind und ob es bei den offengelegten Daten auch hohe Risiken für Betroffene geben könnte und diese dann darüber zu informieren sind (§ 33 DSG-EKD).
Datenschutz ist ein Grundrecht. Entsprechend hoch sind die Anforderungen und die Personensorgeberechtigten und selbstverständlich die Kinder haben Anspruch darauf, dass die Verarbeitung ihrer persönlichen Daten sicher und datenschutzkonform stattfindet.
Der Vorfall ist durch betroffene Einrichtungen bzw. deren Träger lückenlos zu dokumentieren (§ 32 Abs. 5 Satz 1 DSG-EKD). Es muss jeder Träger mit betroffenen Einrichtungen den Vorgang selbstständig bearbeiten, die Aufsichtsbehörde informiert halten und ggf. je nach Risikobewertung auch Betroffene informieren.
Wenn es dazu kommt, dass Betroffene den Rechtsweg beschreiten, werden Träger und ihre Einrichtungen im Zweifel nachweisen müssen, dass sie die App im Rahmen eines ordentlichen Software-Auswahlprozesses mit Prüfung der Zuverlässigkeit des Anbieters ausgewählt und sich nicht allein auf Werbeaussagen verlassen haben.
Die Kommentarfunktion ist deaktiviert, aber Trackbacks und Dingbacks sind offen.