Datenlecks an Bildungseinrichtungen und die Konsequenzen

Die von vielen Bildungseinrichtungen verwendete App Stay Informed war von einem massiven Datenleck betroffen – mit für manche Schule überraschenden Konsequenzen.

Wie das IT-Online-Portal Heise berichtet, gab es bei der Eltern-Informations-App Stay Informed ein massives Datenleck.

Auf einem frei zugänglichen Webserver speicherte das Unternehmen große Mengen an Dateien, die zumindest teilweise von Nutzern der Stay-Informed-App stammten. …

Unter den ungeschützten Daten befanden sich fast 1500 CSV-Dateien, die jeweils persönliche Daten einer Vielzahl von Personen enthielten, insbesondere von Minderjährigen. In Verbindung mit Namen, Geburtsdaten und Anschriften fanden sich teilweise auch Herkunftsländer, Informationen über Impfungen, Konfessionen, Erziehungsberechtigte, Notfallkontakte, Klassenlehrer und vieles mehr.

Außerdem lieferte der Server über 16.000 Avatarbilder aus, die augenscheinlich für die Nutzung der Chatfunktion dienten. Darunter befanden sich auch Fotos von Kindern und Erwachsenen. PDF-Dateien und Fotos, die von den Einrichtungen für die Eltern hochgeladen wurden, sind ebenfalls von dem Datenleck betroffen, genauso wie digitale, aber verschlüsselte Unterschriften der Eltern.

https://www.heise.de/news/Datenleck-bei-beliebter-KiTa-App-Stay-Informed-9662578.html

Dieser Vorfall dürfte für viele eine böse Überraschung gewesen sein, denn normalerweise gehen Institutionen wie Schulen davon aus, dass die in ihrem Auftrag verarbeiteten Daten hinreichend gesichert sind. Noch überraschter dürften Schulen gewesen sein, als sie erfuhren, dass im Rahmen der Aufarbeitung des Datenlecks auch sie selber einen Beitrag leisten müssen:

Das Unternehmen schließt mit diesen Kunden einen Auftragsverarbeitungsvertrag ab, demzufolge es seinen Service als „Software-as-a-Service“ bereitstellt. Verantwortlich im Sinne der DSGVO sind damit die über 11.000 Einrichtungen, die jetzt jeweils einen individuellen Datenschutzvorfall im Haus haben, den sie in vielen Fällen der zuständigen Landesdatenschutzbehörde und eventuell sogar den betroffenen Eltern melden müssen.

ebenda.

Vor dem Hintergrund der neuen hessischen Schul-Datenschutzverordnung (SchDSV) hat dieser Vorfall eine besondere Brisanz, denn dort heißt es im §6 Technische und organisatorische Maßnahmen der Datenverarbeitung:

(1) Bei der Verarbeitung von personenbezogenen Daten hat die Schule geeignete technische und organisatorische Maßnahmen insbesondere nach den Bestimmungen von Artt. 25 und 32 der Datenschutz-Grundverordnung sicherzustellen. Sofern Belange des Schulträgers betroffen sind, sind die Maßnahmen mit diesem abzustimmen.
(2) Im Rahmen der Datenverarbeitung sind die veröffentlichten Standards für den IT-Grundschutz vom Bundesamt für Sicherheit in der Informationstechnik durch die Schule zu beachten.
(3) Die Schule hat im Benehmen mit dem Schulträger ein IT-Sicherheitskonzept zu erstellen.

https://www.rv.hessenrecht.hessen.de/bshe/document/hevr-SchulDSVHErahmen

Fragen zu dieser Problematik können Schulen des Hochtaunuskreises gerne an das Medienzentrum richten.