Information an Nutzende der „App Stay Informed“ im Bereich Kita im Landesverband Niedersachsen/Bremen

Diese Information gilt auch für Sorgeberechtigte, die die App "Stay Informed" aktuell nutzen oder während der Betreuung ihres Kindes in unserer Einrichtung genutzt haben.

Unsere Einrichtung wurde am Spätnachmittag des 20.03.24 von der Stay Informed GmbH davon in Kenntnis gesetzt, dass es bei der App "Stay Informed", die auch in unserer Kita verwendet wird, zu einer Datenpanne gekommen ist:

Auf dem betroffenen Server werden unter anderem auch Daten von Nutzern der Stay Informed App gespeichert, die aufgrund einer Fehlkonfiguration auch ohne Benutzeranmeldung heruntergeladen werden konnten, wenn man aktiv auf dem Server nach Daten gesucht hat. Die Fehlfunktion bestand frühestens seit dem 20.10.2021 und spätestens seit dem 18.08.2023. Es handelte sich nicht um einen Angriff auf den Server und auch nicht um eine Manipulation der Software.

Die Stay Informed GmbH hat ihre Zugriffsprotokolle („Logfiles“) analysiert und festgestellt, dass Zugriffe auf einzelne Dateien erfolgten, am 15.03.2024 jedoch auch sämtliche Inhalte innerhalb eines kurzen Zeitraums heruntergeladen wurden. Die Auswertung der Protokolldateien legt nahe, dass alle Zugriffe nur im unmittelbaren zeitlichen Zusammenhang mit der Entdeckung, Meldung und Analyse des Fehlers am 18.03.24 erfolgt sind. Für die Zeit vor dem 05.03.2024 können jedoch weitere Zugriffe nicht ausgeschlossen werden, weil der Stay Informed GmbH die Logfiles zeitlich rückwärts nur noch bis zum 05.03.2024 vorliegen.

Auf dem betroffenen Server sind nur Dateien abgelegt, Kommunikationsinhalte (Nachrichten) werden dort NICHT gespeichert. Betroffen sind folgende Dateien mit personenbezogenem Inhalt, soweit diese im Rahmen der Kommunikation mit Ihnen verarbeitet wurden:

• Avatare (Profilbilder, u.a. auch Fotos, die Nutzer hierfür eingestellt haben),
• PDF-Anhänge (u.a. auch Fotos von Kindern), die Einrichtungen hochgeladen haben
• und digitale (aber unverschlüsselte) Unterschriften von Sorgeberechtigten.

Wir sehen in dieser Datenpanne ein mögliches Risiko für den Schutz Ihrer vorgenannten Daten, soweit Sie die App genutzt haben. Es ist uns daher ein wichtiges Anliegen, Sie über die Datenpanne umfassend zu informieren.

Zum Zeitpunkt der Information (20. März 2024) war die Sicherheitslücke durch das Unternehmen Stay Informed GmbH bereits geschlossen. Das Unternehmen hat die gesamte Infrastruktur durch ihren IT-Sicherheitsbeauftragten prüfen lassen. Weitere Lücken wurden nicht festgestellt. Ein vollständiger Test durch den IT-Sicherheitsbeauftragten erfolgte ebenfalls. Die Infrastruktur der Stay Informed GmbH wird ab sofort wöchentlich in automatisierter Form gescannt. Zudem wird der Datenschutzbeauftragte der Stay Informed GmbH zeitnah sämtliche Daten sichten und sicherstellen, dass nicht notwendige Daten umgehend gelöscht werden. Audits werden sicherstellen, dass die Löschung solcher Daten auch nach Änderungen im System wirksam erfolgen wird. Vergleichbare Datenpannen sind damit aus unserer Sicht für die Zukunft ausgeschlossen.

Die Datenpanne haben wir gemäß den datenschutzrechtlichen Vorschriften fristgerecht an die zuständige Aufsichtsbehörde bei der Evangelischen Kirche in Deutschland (EKD) gemeldet.

Wir verstehen, dass diese Datenpanne bei Ihnen Besorgnis auslösen kann, insbesondere in Bezug auf die Sicherheit der Daten Ihres Kindes/Ihrer Kinder.

Wir möchten Ihnen daher versichern, dass wir alles in unserer Macht Stehende tun, um die Sicherheit Ihrer Daten zu gewährleisten und solche Vorfälle in Zukunft zu verhindern. Weitere und detaillierte Infos unter:

https://www.stayinformed.de/information-sicherheit/

Bei Rückfragen zur gesamten Thematik wenden Sie sich bitte an unseren zuständigen Betriebsdatenschutzbeauftragten: Thomas Oesterreich, Kontakt: datenschutz.nb(at)johanniter.de