Bei der beliebten Kita-App Stay Informed hat es Medienberichten zufolge eine massive Datenpanne gegeben. In diesem Beitrag klären wir darüber auf, wie die Datenpanne ans Licht kam, welche Daten und wie viele Nutzer von dem Vorfall betroffen sind. Außerdem erklären wir, was Betroffene von Datenlecks grundsätzlich beachten sollten.

Die App Stay Informed wird von der Stay Informed GmbH mit Sitz in Freiburg betrieben. Insgesamt nutzen etwas mehr als 11.000 Einrichtungen wie Kitas, Schulen und Horten die App. Laut eigenen Angaben verzeichnet die App über 800.000 Nutzer. Eltern können durch die Nutzung Termine und Informationen der Betreuungsstellen ihrer Kinder einsehen sowie Krankmeldungen vornehmen und mit den Betreuern in Kontakt treten.

Laut Berichten des Computer-Fachmagazins „c’t“ wies Stay Informed jedoch eine IT-Schwachstelle auf, durch die die Daten vieler Nutzer gefährdet wurden. Über diese Schwachstelle konnten externe Parteien offenbar auf Informationen wie Namen, Geburtsdaten und sogar Adressen von Minderjährigen zugreifen. In einigen Fällen sollen sogar auf sensible Daten wie das Herkunftsland oder den Impfstatus zugegriffen worden sein. Die Recherchen von „c’t“ legen außerdem nahe, dass auch Informationen über Erziehungsberechtigte, Notfallkontakte und Klassenlehrer betroffen waren.

Die Ursache lag wohl in einem zu Stay Informed gehörenden Webserver, der unzureichend gesichert gewesen wäre. Außerdem sei eine veraltete Software eingesetzt worden und die Daten seien nicht mit https-Verschlüsselung übertragen worden. Auf dem betroffenen Server sollen sich dem Bericht nach in manchen Fällen sogar Fotos von Kindern und Erwachsenen befunden haben, die die Fotos als Profilbilder für eine Chat-Funktion hochgeladen hatten.

Es blieb zunächst unklar, ob Kriminelle die Schwachstelle ausgenutzt hatten, da „c’t“ einen anonymen Hinweis auf die Lücke erhalten hatte. Ebenso war nicht bekannt, wie viele Nutzerinnen und Nutzer genau von dem Problem betroffen waren. Laut dem Fachmagazin befanden sich auf dem offenen Server 16.000 Bilddateien und 1500 CSV-Dateien, die angeblich „persönliche Daten einer Vielzahl von Personen“ enthielten.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Stay Informed informiert betroffene Einrichtungen

Die Betreiber der App haben laut Angaben das Problem unverzüglich behoben, nachdem sie darauf aufmerksam gemacht wurden.

Darüber hinaus hat der Geschäftsführer des Unternehmens am Mittwoch alle Einrichtungen, die die Software nutzen, informiert. Laut dem Geschäftsführer bestand die fehlerhafte Serverkonfiguration, die die Daten gefährdete, frühestens seit Oktober 2021 und spätestens seit August 2023. 15 Prozent der Einrichtungen und Träger, die Stay Informed nutzen, seien betroffen gewesen. Der Datenschutzbeauftragte des Landes Baden-Württemberg bestätigte Medien gegenüber, dass das Unternehmen Stay Informed seine Behörde über den Vorfall informiert hat.

In nächster Zeit könnten zahlreiche Meldungen bei den lokalen Datenschutzbehörden eingehen, da Stay Informed Einrichtungen, die ihren Dienst nutzen, dazu rät, die jeweilige Datenschutzaufsichtsbehörde in ihrem Bundesland zu informieren. Die Betreiber der App betrachten sich selbst als Software-Dienstleister, während sie die Verantwortung für den Datenschutz rechtlich gesehen den Kitas, Schulen und Horten zuschreiben. Das Freiburger Unternehmen überlässt also die Entscheidung, ob der Vorfall an die zuständige Behörde und/oder die direkt Betroffenen melden sollte, den Trägern selbst. Dies bedeutet, dass einige bereits überlastete Betreuungseinrichtungen sich nun auch mit Fragen des Datenschutzrechts auseinandersetzen müssen.

Stay Informed selbst schreibt derweil in einer Infomail: „Unsere IT-Sicherheitsbeauftragten haben unsere gesamte Infrastruktur überprüft. Diese Prüfung ergab keine weiteren Lücken dieser Art. Wir haben sie beauftragt, unsere Infrastruktur wöchentlich automatisiert zu scannen. Wir gehen davon aus, dass ein solcher Fehler dann zeitnah auffällt und behoben wird.“

Was gilt, wenn man von einem Datenleck betroffen ist?

Grundsätzlich können Nutzer auf der Grundlage von Art. 15 DSGVO Auskunft von der vom Datenleck betroffenen Plattform verlangen, ob sie vom Datenleck betroffen sind. Erteilt diese sodann keine oder eine unvollständige Auskunft, kann sich daraus zu Ihren Gunsten bereits ein Schadensersatzanspruch aus Art. 82 DSGVO ergeben. Daneben kommen weitere Pflichtverletzungen im Zusammenhang mit dem jeweiligen Datenleck in Betracht, die möglicherweise Schadensersatzansprüche zur Folge haben.

Zuletzt haben deutsche Gerichte Klägern hohe Schadensersatzansprüche aus Art. 82 DSGVO bei DSGVO-Verstößen zugebilligt. Die Norm wird von der Rechtsprechung zunehmend sehr weit ausgelegt. Zum Teil wird von den Gerichten auch vertreten, dass der den Klägern zustehende Schadensersatz abschreckende Wirkung haben und damit eine abschreckende Höhe erreichen müsse.

Der EuGH hatte hierzu Ende 2023 in einem Urteil Spektakuläres entschieden, das die Rechte von Millionen von Verbrauchern in der EU enorm stärkt. Wurden die eigenen Daten infolge eines Hackerangriffs missbraucht, so stehen die Chancen, dafür immateriellen DSGVO-Schadensersatz zu erhalten, besser denn je. Denn zum einen reicht bereits die Befürchtung eines Datenmissbrauchs aus, um Schadensersatz zu erhalten. Und zum anderen können Unternehmen, deren Systeme gehackt wurden, praktisch kaum noch vortragen, dass sie daran keine Schuld tragen.


Prüfen Sie im Folgenden, ob Sie vom Facebook- oder Deezer-Datenleck betroffen sind

Facebook-Datenleck – jetzt prüfen

Jetzt Handynummer eingeben und sofort zeigt der Checker Ihnen an, ob Sie betroffen sind:

Bitte geben Sie Ihre Mobilnummer im Internationalen Format an, beginnend mit +49, ohne Bindestriche und ohne Leerzeichen.

Hinweis: Wir verwenden deine Mobilfunknummer zur Überprüfung, ob du von dem Facebook-Datenleak betroffen bist. Der Abgleich deiner Mobilfunknummer erfolgt auf unserem Server. Eine Weitergabe an Dritte erfolgt nicht. Unmittelbar nach dem Abgleich und Ausspielung des Ergebnisses an dich, wird deine Mobilfunknummer bei uns gelöscht. Die Verarbeitung ist im Rahmen unserer Vertragserfüllung erforderlich, da die beauftragte Überprüfung sonst nicht möglich ist, Art. 6 (1) lit. b DS-GVO.


Deezer-Datenleck – jetzt prüfen

Einfach Mail-Adresse eingeben und sofort herausfinden, ob Sie einer von 14 Millionen deutschen Betroffenen sind.

Bitte geben Sie Ihre E-Mail-Adresse an.

Hinweis: Wir verwenden deine E-Mail Adresse zur Überprüfung, ob du von dem Deezer-Datenleak betroffen bist. Der Abgleich deiner E-Mail Adresse erfolgt auf unserem Server. Eine Weitergabe an Dritte erfolgt nicht. Unmittelbar nach dem Abgleich und Ausspielung des Ergebnisses an dich, wird deine E-Mail Adresse bei uns gelöscht. Die Verarbeitung ist im Rahmen unserer Vertragserfüllung erforderlich, da die beauftragte Überprüfung sonst nicht möglich ist, Art. 6 (1) lit. b DS-GVO.

Keine Sorge: Direkt nach der Eingabe erscheint das Prüfergebnis nur für Dich. Erst wenn Du danach bewusst weitere Daten eingibst, werden wir auch für Dich tätig und erstreiten den Schadensersatz.

agr