Im März 2024 wurde bekannt, dass der Kita- und Schul-App-Betreiber Stay Informed Opfer eines massiven Datenlecks geworden war. Aufgrund einer Fehlkonfiguration eines Webservers standen sensible Daten von Benutzern, darunter auch viele Minderjährige, offen im Netz. Dieses Ereignis hat weitreichende Folgen, die auch für Schulen in Mecklenburg-Vorpommern sowohl rechtlicher als auch praktischer Natur sind.
Stay Informed bietet eine App-Infrastruktur für verschiedene Einrichtungen wie Kindertagesstätten, Schulen und ähnliche Bildungseinrichtungen, um die papierlose Kommunikation zwischen Mitarbeitern und Eltern zu erleichtern. Diese Software-as-a-Service (SaaS)-Lösung war durch eine Fehlkonfiguration des Webservers anfällig, wodurch Unbefugte Zugriff auf sensible Daten erhielten. Ein anonymer Hinweisgeber informierte das Computermagazin c’t über das Leck, woraufhin das Problem verifiziert und Stay Informed informiert wurde. Das Unternehmen reagierte sofort und schloss die Sicherheitslücke.
Durch das Datenleck wurden Daten von über 800.000 Nutzern kompromittiert. Dazu gehörten persönliche Informationen wie Namen, Adressen, Telefonnummern und möglicherweise auch Fotos und Gesundheitsdaten. Besonders besorgniserregend ist die Tatsache, dass viele der Betroffenen Kinder sind, deren Daten nun in falsche Hände geraten könnten.
Das Datenleck wirft erhebliche rechtliche Fragen auf. Stay Informed agiert als Auftragsverarbeiter gemäß der Datenschutz-Grundverordnung (DSGVO), da das Unternehmen die Daten im Auftrag der Einrichtungen verarbeitet. Diese Schulen, Kindertagesstätten und ähnliche Einrichtungen, mehr als 11.000 an der Zahl, tragen somit die Hauptverantwortung für den Datenschutzvorfall. Auch betroffene Schulen in Mecklenburg-Vorpommern mussten die ihre Landesdatenschutzbehörde informieren und die Betroffenen über das Leck in Kenntnis setzen. Eventuell haften sie sogar für entstandene Schäden, was zu erheblichen finanziellen Belastungen führen könnte.
Nach Bekanntwerden des Datenlecks ergriff Stay Informed sofort Maßnahmen zur Schließung der Sicherheitslücke. Zudem wurden die betroffenen Einrichtungen und deren Träger über den Vorfall informiert, sodass diese die notwendigen Schritte zur Benachrichtigung der Betroffenen einleiten konnten. Es wird empfohlen, dass betroffene Personen besonders wachsam hinsichtlich unautorisierter Aktivitäten auf ihren Konten sind und gegebenenfalls ihre Zugangsdaten ändern.
Dieses Ereignis unterstreicht die Notwendigkeit robuster Sicherheitsmaßnahmen bei der Verarbeitung sensibler Daten auch für Schulen und Kindertagesstätten in Mecklenburg-Vorpommern. Schulen und ähnliche Bildungseinrichtungen sollten regelmäßige Sicherheitsüberprüfungen und Penetrationstests durchführen, um Schwachstellen frühzeitig zu erkennen und zu beheben. Darüber hinaus ist es essenziell, dass sowohl Mitarbeiter als auch die Benutzer der Dienste ausreichend über Datenschutzpraktiken informiert und geschult werden.
Das Datenleck bei Stay Informed zeigt die gravierenden Folgen, die durch Sicherheitslücken in IT-Systemen entstehen können. Besonders im Bereich der Bildung, wo sensible Daten von Kindern betroffen sind, ist höchste Sorgfalt geboten. Während Einrichtungen, die externe Software nutzen, keinen direkten Einfluss auf Sicherheitslücken dieser Software haben, können sie doch das Risiko solcher Vorkommnisse durch einen durchdachten Einsatz solcher Software und eine konsequente Sensibilisierung von Mitarbeitern und Nutzern minimieren.
Die Experten von Datenschutz-Nordost beraten Sie gerne unverbindlich über Ihre Möglichkeiten zur Risikominimierung.