Datenleck in der Kita-App? Das ist jetzt zu tun!

Es ist der Worst Case, wenn Daten aus der Kita-App von außen zugänglich sind. Eine ernste Datenpanne! Was müssen Sie tun, wenn Ihre Einrichtung davon betroffen ist?

Jasmin Block 28.03.2024
Eine männliche Kita-Fachkraft schaut ernst und kritisch ins Tablet und scheint nachzudenken
Foto erstellt von gpointstudio | www.freepik.com
Digitale KitaErzieher:inLeitungTrägerTipps zum DatenschutzTop-Nachricht
Datenleck in der Kita-App? Das ist jetzt zu tun! Lesezeit Icon Min Minuten Lesezeit

Träger in der Verantwortung

Alle Augen sind jetzt entsetzt auf die Kita-App gerichtet, die sich wg. eines Datenlecks zu verantworten hat. Aktuell wird davon ausgegangen, dass ein mehr als nur geringes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht.1

Achtung! Das Softwareunternehmen zeigt sich für die technisch-organisatorische Ursache verantwortlich, gleichwohl gilt: 

 

Die datenschutzrechtliche Gesamtverantwortung liegt nach wie vor beim Kita-Träger!

 Und das bedeutet: 

Tritt eine Datenpanne ein, muss der Kita-Träger den Vorfall an die Datenschutz-Aufsichtsbehörde melden (gemäß Art. 33 DSGVO).


Warum? Der Kita-Träger hat dem Software-Anbieter zwar den Auftrag für die digitale Verarbeitung der entsprechenden Sozialdaten (gemäß § 80 SGB X) erteilt. Er bleibt dennoch gesamtverantwortlich dafür, dass in seinen Einrichtungen die Datenschutzvorschriften lt. EU-DSGVO eingehalten werden. 

Konnten - wie im aktuellen Fall des Kita-App Datenlecks - Unberechtigte die Daten einsehen, müssen betroffene Einrichtungen bzw. deren Träger direkt reagieren! 

 

Ernste Datenpanne? Das ist jetzt zu tun:

Der datenschutzrechtlich Verantwortliche (i.d.R. der Kita-Träger) ist verpflichtet, 

  • unverzüglich nach Bekanntwerden des risikobehafteten Vorfalls (möglichst innerhalb 72 Std.) Meldung an die zuständige Datenschutz-Aufsichtsbehörde zu geben, 
  • bei hohem Risiko schnellstmöglich die betroffenen Personen (Familien & Mitarbeitende) zu benachrichtigen, 
  • den Vorfall intern zu dokumentieren (Fakten, Auswirkungen, ergriffene Abhilfemaßnahmen; gemäß Art. 33 Abs. 5 DSGVO). 

... und die Eltern & Fachkräfte?

Eltern und Fachkräfte müssen das Datenleck der Kita-App nicht persönlich bei der Behörde melden - das übernimmt der datenschutzrechtlich Verantwortliche der Einrichtung (s.o.).

Auf dieser Ebene wird auch die Risiko-Bewertung vorgenommen2, d.h. wie schwer und folgenreich der Vorfall im Hinblick auf die "Rechte und Freiheiten der Betroffenen" (nach DSGVO) ist. Ein Beispiel hierfür ist etwa der potenzielle Identitätsdiebstahl oder -betrug.  

Empfehlenswert ist es demnach, als Betroffene:r der Datenpanne zur Kita-App besonders wachsam zu sein3: fragwürdige E-Mails, Phishing-Anrufe und sonderbare Briefpost in den nächsten Wochen besser aufmerksam prüfen. 

Übrigens: Es gibt keine vollständig risikolose Datenverarbeitung - auch nicht im "nicht-digitalen" Raum. Eine Sensibilisierung aller Beteiligten zum verantwortungsvollen Umgang mit personenbezogenen Daten ist immer bedeutsam! 

 

Fazit

Wie wichtig es ist, auf die Sicherheit der Kita-App vertrauen zu können, zeigt der aktuelle Fall schmerzlich.

Tritt eine Datenpanne bei der Kita-App auf, kommen auf die Beteiligten unterschiedliche Pflichten zu, u.a. die Meldung bei der Datenschutz-Aufsichtsbehörde. 

In diesem Zusammenhang wird klar, wie bedeutsam die Risikobewertung zur Datenverarbeitung im Rahmen der Kita-App bzw. zum konkreten Vorfall ist. Diese erfolgt eigentlich bereits vor Abschluss des AV-Vertrages mit dem Kita-App-Anbieter im Allgemeinen - und wird nun im spezifischen Kontext der Vorfalls betrachtet. 

Deshalb: Verstehen Sie Ihren Kita-App-Anbieter von Anfang an als Partner und fragen Sie nach seinen IT-Sicherheitsmaßnahmen, damit Ihnen deutlich wird, inwieweit der Anbieter aktiv wird. Datenschutz ist kein Spielverderber, sondern grundlegend - gerade in der Kita, wo Sie tagtäglich personenbezogene Daten handhaben müssen. 

Tipp: Für interessierte Kund:innen bietet die Carlo & Friends GmbH regelmäßig kostenfreie Datenschutz-Informationsveranstaltungen (live online) an. 

Hinweis: Die beschriebenen Inhalte stellen keine Rechtsberatung dar. Es werden lediglich Hinweise und Tipps angeführt, die als Impulse zu verstehen sind. Die Autorin stützt ihre Empfehlungen auf Literatur- und Internetrecherchen (s.u.) sowie Erfahrungen. Trotz großer Sorgfalt können inhaltliche Fehler oder Unvollständigkeiten nicht ausgeschlossen werden. Für die Nutzung dieses Informationsangebots wird keine Haftung übernommen.

Quellenangaben: 

1) Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) (2024). Kita-App "Stay Informed", 27.03.2024

2) LDI NRW (2024). Meldepflicht für Verantwortliche - Verletzungen des Schutzes personenbezogener Daten. 

3) LDI NRW (2023). Datenpanne - was nun? 

4) IFP (Hrsg.) (2021). KitaApps. Apps und Softwarelösungen für mittelbare pädagogische Aufgaben in der Kita (2., überarbeitete Auflage), S. 43 - 60.

Zurück zur Übersicht