Ein Datenleck in der beliebten Kita-App Stay Informed, über das Heise Online berichtet, hat betroffene Einrichtungen aufgeschreckt.
Angesichts der potenziellen Auswirkungen auf die Datenschutzrechte ist eine angemessene Reaktion unerlässlich.
Außerdem drohen Bußgelder, wenn den Meldepflichten nicht nachgekommen wird!
Was müssen Einrichtungen tun, die von dem Datenleck bei Stay Informed betroffen sind?
Zu mir:
Ich bin Rechtsanwalt und zertifizierter Datenschutz- und IT-Security-Beauftragter (TÜV). Ich betreue Kita-Träger und Kita-App Hersteller im Datenschutz.
Bei Fragen stehe ich gerne zur Verfügung!
Mehr auf meiner Webseite oder auf LinkedIn.
Welche Pflichten bestehen bei einem Datenleck?
Eine Datenpanne muss innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde gemeldet werden, wenn sie voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Achtung: Die 72 Stunden laufen auch am Wochenende
Eine Nachricht an die betroffenen Personen (Eltern, Kinder und ggf. Beschäftigte) ist verpflichtend, wenn ein hohes Risiko für die betroffenen Personen besteht.
Ist bei dem Datenleck bei Stay Informed eine Meldung nötig?
Das kann nur im Einzelfall beurteilt werden. Nach den Informationen die man bei Heise Online bekommt, ist eine Meldung aber im Regelfall nötig.
Laut dem Artikel von Heise Online scheint es zu einer Ausnutzung des Fehlers gekommen zu sein. Nach einer Analyse der Logfiles des Webservers soll der früheste noch sichtbare Zugriff, der den oben beschriebenen Fehler ausnutzt, am 05.03.2024 erfolgt sein.
Laut dem Artikel von Heise Online sollen „alle Kunden bezüglich Avataren, PDF-Anhängen und Unterschriften“ betroffen sein.
Außerdem sollen CSV-Dateien von 15 Prozent der Kunden offengelegt worden sein. Diese sollen „Namen, Geburtsdaten und Anschriften fanden sich teilweise auch Herkunftsländer, Informationen über Impfungen, Konfessionen, Erziehungsberechtigte, Notfallkontakte, Klassenlehrer und vieles mehr“ enthalten.
Bei der Offenlegung eines so umfassenden Datensatzes, insbesondere mit sensiblen Daten, ist wohl von einem hohen Risiko für die Betroffenen auszugehen.
Eine Prüfung des Risikos im Einzelfall ist unerlässlich, um hier eine adäquate Entscheidung zu treffen!
Bei Fragen oder Unterstützungsbedarf, melden Sie sich gerne über das Kontaktformular!
Was sollten Sie tun, wenn Sie von dem Datenleck bei Stay Informed betroffen sind?
Um auf ein Datenleck oder eine Datenpanne angemessen zu reagieren, ist eine sofortige Informationsauswertung und Risikobewertung unerlässlich.
Unter Umständen müssen zusätzliche Informationen aktiv eingeholt werden, um eine gründliche Prüfung durchführen zu können.
Nach eine Meldung sollten jegliche fehlenden oder relevanten Informationen ohne explizite Aufforderung seitens der Aufsichtsbehörde unverzüglich an diese übermittelt werden.
Eine zügige Reaktion ist entscheidend, um potenzielle Risiken zu minimieren und den rechtlichen Anforderungen gerecht zu werden.
Wer muss ein Datenleck melden?
Meldepflichtig ist nach Art. 33 DSGVO die verantwortliche Stelle. Dies ist in der Regel der Träger und nicht eine einzelne Einrichtung. Dies kann aber im Einzelfall anders sein!
Wichtig ist, dass die Träger selbst tätig werden müssen! Stay Informed kann die Meldepflicht nicht für die Träger erfüllen.
Sie müssen selbst tätig werden!
Inhalt der Meldung des Datenlecks
- Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
- Namen und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
- Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
- Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen
Form der Meldung des Datenlecks
Eine bestimmte Form der Meldung ist nicht vorgesehen. Viele Landesaufsichtsbehörden bieten jedoch Meldeformulare auf deren Webseite an.
Bei Fragen oder Unterstützungsbedarf, melden Sie sich gerne über das Kontaktformular!
Zu mir:
Ich bin Rechtsanwalt und zertifizierter Datenschutz- und IT-Security-Beauftragter (TÜV). Ich betreue Kita-Träger und Kita-App Hersteller im Datenschutz.
Bei Fragen stehe ich gerne zur Verfügung!