Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Auslegungssache 106: Folgen des Stay-Informed-Datenlecks

Ein Webserver leakte beim Kita- und Schul-App-Betreiber Stay Informed sensible Daten. Um die vertrackten rechtlichen Folgen geht es im c't-Datenschutzpodcast.

In Pocket speichern vorlesen Druckansicht 7 Kommentare lesen
Gruppenfoto mit Joerg Heidrich (rechts)und Holger Bleich (links)

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Podcast (Podigee GmbH) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Podigee GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Lesezeit: 2 Min.
c't Magazin
Von
  • Holger Bleich

Wegen der Fehlkonfiguration eines Webservers standen beim Kita- und Schul-App-Betreiber Stay Informed eine Menge sensibler Dateien offen im Netz, eventuell sogar über mehrere Jahre. Ein anonymer Hinweisgeber machte c't auf das gravierende Datenleck aufmerksam. Wir verifizierten das Problem und informierten die Stay Informed GmbH aus Freiburg.

Stay Informed reagierte umgehend und schloss das Datenleck Lücke. Wegen der datenschutzrechtlichen Konstellation sind die Folgen der Panne in diesem Fall besonders heftig: Stay Informed bietet seine App-Infrastruktur Kitas, Schulen und anderen Einrichtungen zur papierlosen Kommunikation zwischen Mitarbeitern und Eltern an, und zwar als Software-as-a-Service-Produkt. Das Unternehmen schließt dazu mit jeder Einrichtung beziehungsweise mit deren Trägern einen Auftragsverarbeitungsvertrag ab. Weil es deshalb als Auftragnehmer der Datenverarbeitung fungiert, ist es nicht direkt verantwortlich für das Leck im Sinne der DSGVO. Verantwortlich sind vielmehr die mehr als 11.000 angeschlossenen Auftraggeber, also alle Einrichtungen.

In Episode 106 des c't-Datenschutz-Podcasts spricht Heise-Verlagsjustiziar und Datenschutzexperte Joerg Heidrich mit Redakteur Holger Bleich über die rechtlichen Grundlagen und die Folgen. Bleich war an der Recherche zum Stay-Informed-Datenleck beteiligt. Heidrich erklärt, welche Rolle das Unternehmen Stay Informed, die Einrichtungen, und die vom Leak jeder Menge sensibler, personenbezogener Daten Betroffenen rechtlich einnehmen.

Es ist vertrackt: Die Einrichtungen und Träger müssen sich auf die Information von Stay Informed verlassen und entsprechend ihre zuständige Landesdatenschutzbehörde zum Vorfall informieren. Eventuell haften sie sogar mit. Überdies können über 800.000 Betroffene ihre Rechte aus der DSGVO beanspruchen, also etwa Auskunft oder Löschung verlangen – und zwar von sicherlich teilweise völlig überforderten Einrichtungen, die selbst gar keinen Einfluss auf das Daten verarbeitende System hatten und haben.

Episode 106:

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Podcast (Podigee GmbH) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Podigee GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Hier geht es zu allen bisherigen Folgen:

(hob)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten