Die auch von Schulen genutzte Mitteilungs App Stay Informed, die sich selbst als „die Lösung für sichere, datenschutzkonforme und schnelle Kommunikation mit allen, die Bescheid wissen müssen.“ anpreist, hatte laut Meldung auf Golem vom 23.03.2024 eine Datenschutzpanne. Die App, die bis 2022 unter dem Namen Schul-Info App geführt wurde, wird von Schulen laut Anbieter genutzt, um „wichtigen Neuigkeiten, Mitteilungen, Ankündigungen und Termine“ an Eltern zu versenden. Golem selbst referenziert einen Beitrag auf c’t vom 22.03.2024, wonach c’t von einem anonymen Hinweisgeber auf einen offen zugänglichen Webserver der in Baden Württemberg ansässigen Stay Informed GmbH aufmerksam gemacht worden war. c’t konnte die Datenpanne verifizieren und schreibt „Auf einem frei zugänglichen Webserver speicherte das Unternehmen große Mengen an Dateien, die zumindest teilweise von Nutzern der Stay-Informed-App stammten.“ Nach Angaben von c’t waren eine Reihe von Fehlern und Versäumnissen bei der Konfiguration des Webservers für die Datenpanne verantwortlich. „Unter den ungeschützten Daten befanden sich fast 1500 CSV-Dateien, die jeweils persönliche Daten einer Vielzahl von Personen enthielten, insbesondere von Minderjährigen. In Verbindung mit Namen, Geburtsdaten und Anschriften fanden sich teilweise auch Herkunftsländer, Informationen über Impfungen, Konfessionen, Erziehungsberechtigte, Notfallkontakte, Klassenlehrer und vieles mehr.“ c’t informierte den Anbieter am 18. März und dieser reagierte direkt. Nach Angaben des Anbieters waren durch die Datenpanne 15 % der mehr als 11.000 deutschen Kitas, Horte und Schulen und deren Nutzerdaten betroffen. Die betroffenen Einrichtungen müssen als Verantwortliche nun die Risiken, die aus der Offenlegung der Daten auf dem Webserver für die Rechte und Freiheiten der Betroffenen entstehen können, ermitteln und gegebenenfalls Meldung an die Aufsichtsbehörde machen und möglicherweise auch die Betroffenen selbst informieren. Der Anbieter Stay Informed GmbH als Auftragsverarbeiter ist dabei zur Unterstützung verpflichtet.
Bewertung
Auch wenn es hier um ein Unternehmen geht, so erinnert bei diesem Fall einiges an das Datenleck auf einem Server von QUALIS von Mai 2023. Im aktuellen Fall sind die Auswirkungen jedoch größer, da zum Einen mehr Personen betroffen sind und zum Anderen die Datensätze mehr Informationen enthalten.