Die Betreiber der beliebten App „Stay Informed“, die vor allem in Kindertagesstätten genutzt wird, haben eine besorgniserregende Nachricht herausgegeben: Aufgrund einer Fehlkonfiguration eines Servers waren eine Vielzahl von Stammdaten, darunter Namen und Geburtsdaten von betreuten Kindern sowie deren Eltern, ohne angemessenen Zugriffsschutz im Internet abrufbar. Zusätzlich waren auch Dokumente und Fotos betroffen, die von Einrichtungen über den Dienst verarbeitet wurden, einschließlich möglicherweise sensibler Informationen wie Unterschriften. Diese waren jedoch lediglich in verschlüsselter Form gespeichert. Selbst Avatarbilder, die von Nutzern für den integrierten Messenger festgelegt wurden, waren von der Panne betroffen.
Die Stay Informed GmbH hat den Vorfall auch dem Landesbeauftragten für Datenschutz und Informationsfreiheit in Baden-Württemberg gemeldet, der für die Aufsicht über das Unternehmen zuständig ist.
Das Risiko für betroffene Personen ist nicht zu unterschätzen. Es besteht zumindest ein erhebliches Risiko für möglichen Missbrauch der Daten, sei es für betrügerische Machenschaften oder potenzielle Diskriminierung. In einigen Fällen könnte sogar ein hohes Risiko für die betroffenen Personen bestehen.
Für Einrichtungen, insbesondere Kindertagesstätten, und betroffene Personen, insbesondere Eltern, ist es nun von entscheidender Bedeutung, angemessen zu reagieren.
Pflichten der Einrichtungen – Was ist zu tun?
Gemäß den geltenden Datenschutzbestimmungen ist Stay Informed GmbH als Auftragsverarbeiter zu betrachten, da sie Daten im Auftrag anderer Stellen verarbeitet. Die Einrichtungen, die den Dienst nutzen, sind als Verantwortliche anzusehen. Für beide gelten verschiedene Datenschutzvorschriften.
Betroffene Einrichtungen müssen als Verantwortliche zunächst untersuchen, ob die Stammdaten ihrer Einrichtung betroffen sind, welche Dokumente und Fotos auf der Plattform verarbeitet wurden und ob der integrierte Messenger genutzt wurde. Nicht alle Einrichtungen sind von der Offenlegung der Stammdaten betroffen. Es ist anzunehmen, dass Dokumente und Fotos unterschiedliche Sensibilitätsgrade aufweisen können und daher eine Einzelfallprüfung erforderlich ist.
Sollte eine Einrichtung feststellen, dass personenbezogene Daten von der Fehlkonfiguration betroffen waren und ein mehr als geringes Risiko für die Betroffenen besteht, muss die Einrichtung die Datenpanne der zuständigen Datenschutzaufsichtsbehörde melden.
Angesichts der Möglichkeit eines unbefugten Zugriffs auf die Daten sollten auch betroffene Personen über den Vorfall informiert werden, um sich vor möglichen negativen Folgen zu schützen.
Betroffene Personen – Was ist jetzt wichtig?
Betroffene Personen sind nicht verpflichtet, eine Datenpanne zu melden. Diese Pflicht liegt beim Verantwortlichen.
Es wird jedoch empfohlen, besonders wachsam zu sein, insbesondere in Bezug auf mögliche Phishing-E-Mails oder Anrufe, in denen nach Zugangsdaten oder anderen sensiblen Informationen gefragt wird. Auch unerwartete Post, wie Mahnungen oder Inkassoschreiben, sollte genau geprüft und bei Bedarf mit den Absendern abgeklärt werden.
Es ist von entscheidender Bedeutung, dass sowohl Einrichtungen als auch betroffene Personen die entsprechenden Maßnahmen ergreifen, um mögliche negative Auswirkungen dieser Datenpanne zu minimieren und die Sicherheit ihrer Daten zu gewährleisten.
PR/Redaktion
Celler Presse
Foto: Firmbee / Pixabay
Diese Seite zeigt gesponsorten Marketing-Inhalt, Quell- und Informationslinks sowie extern eingespielte Banner und Flash-Anzeigen.