Am 7. Juli 2022 wurde die Studie “We may share the number of diaper changes: A Privacy and Security Analysis of Mobile Child Care Applications” von Moritz Gruber, Christian Höfig, Maximilian Golla, Tobias Urban und Matteo Große-Kampmann veröffentlicht. Sie berichtet von Sicherheitsmängeln bei Kita-Apps und enthält Informationen, die ohne tiefergehende rechtliche oder technische Erklärung zu falschen Schlüssen führen können.

Wir bieten Ihnen an, die Studie von unserem Webserver herunterzuladen.

Wir begrüßen es sehr, dass das Thema Datenschutz und IT-Sicherheit immer weiter in den Fokus rückt. Denn genau dafür stehen wir mit unserer Lösung Stay Informed App (früher Kita- / Schul-Info-App). Dies ist sicherlich mit ein Grund dafür, warum sich mittlerweile 8.500 Kunden mit 650.000 App-NutzerInnen für unsere Lösung entschieden haben.

Die Studie, bei der über 40 Lösungen unter die Lupe genommen wurden, stellt uns ein gutes Zeugnis bzgl. Datenschutz und IT-Sicherheit aus. Die Sicherheitsmängel bei anderen Anbietern waren teils gravierend – so konnten etwa bei diversen Anbietern Daten, darunter Fotos von Kindern, von unbeteiligten Dritten eingesehen werden.

Die Studie enthält aber auch Recherchemängel und falsche Aussagen in Bezug auf unsere Lösung, die Sie als InteressentIn, KundIn oder als NutzerIn vielleicht verunsichert. Deshalb erhalten Sie hierzu von uns technische und datenschutzrechtliche Richtigstellungen:

Datenschutzinformation

Die Studie bemängelt, dass unsere Datenschutzinformation für NutzerInnen nur in deutscher Sprache vorliegt – aber nicht auch in Englisch. Dass wir keine englischsprachige Datenschutzerklärung bereitstellen, ist korrekt. Das liegt daran, dass unsere Lösung lediglich im deutschsprachigen Raum verbreitet ist und es nicht unsere Aufgabe als Auftragsverarbeiter ist, Datenschutzinformationen bereitzustellen. Insofern ist diese Aussage der Studie irreführend.

Rechtlicher Hintergrund: Der Verantwortliche muss die Betroffenen informieren – in unserem Fall also der Träger der Einrichtung bzw. die Einrichtung selbst. Wir liefern unseren Kunden ein (deutsches) Muster, an dem sie sich bei der Erstellung ihrer Datenschutzerklärung orientieren können. Ab Herbst 2022 wird es darüber hinaus für die Verantwortlichen möglich sein, ihre eigene Datenschutzerklärung dauerhaft für ihre Nutzer:innen in der Lösung zur Verfügung zu stellen.

Datenschutzbeauftragter

Die Studie schreibt weiter, dass wir keinen Datenschutzbeauftragten bestellt hätten. Dies ist nicht korrekt. Wir haben seit Januar 2021 einen Datenschutzbeauftragten bestellt. Diese Information finden Kunden im Auftragsverarbeitungsvertrag und Nutzer in unserer Datenschutzerklärung („Ext. Datenschutzbeauftragter: Olav Seyfarth, +49 (0)761 610899-18, datenschutz@stayinformed.de“).

Rechtlicher Hintergrund: Wie zuvor muss der Verantwortliche die Betroffenen informieren – also der Träger bzw. die Einrichtung, und die Betreiber der App-Stores (Apple, Google und Huawei). Wir weisen den Datenschutzbeauftragten in unserer Datenschutzerklärung für die Dinge aus, bei denen wir Verantwortliche sind, und verweisen in den Datenschutzinformation für die NutzerInnen auf die jeweiligen Verantwortlichen, da wir hier selbst nicht verantwortlich sind.

Google Firebase Analytics (Tracker)

Am kritischsten ist, dass die Studie auflistet, dass die Programmierschnittstelle für Google Firebase Analytics in der App eingebaut sei. Das ist korrekt. Wir haben diese aber nicht selbst eingebaut. Als wir bemerkt haben, dass sie von Google aktiviert wurde, haben wir die Funktion sofort abgeschaltet und erhobene Daten gelöscht: Hier können Sie die Statistik einsehen.

Technischer Hintergrund: Google hat seine Schnittstellen 2021 so umgebaut, dass Analytics immer im App-Code landet, sobald man bestimmte Funktionen verwendet, u.a. bei Firebase Cloud Messaging. Dieses FCM benötigen wir, um Mitteilungen der Einrichtungen an die App der Sorgeberechtigten zu pushen. Zwischenzeitlich haben wir jedoch einen Weg gefunden, die von Google veranlasste, automatische Re-Implementierung der Analytics-Schnittstelle im Code der Android-App zu unterbinden, siehe Tracking-Report bei Exodus Privacy. Dass wir FCM nutzen, wird transparent kommuniziert – zum Beispiel in der ausführlichen Stellungnahme zu Push-Diensten und in der Datenschutzinformation für die NutzerInnen.

Verschlüsselung

Der Tabelleneintrag TLSv1.0 der Studie suggeriert, dass die App mit TLS 1.0 kommunizieren würde. Das ist falsch. Der Zugriff erfolgt stets mit TLS 1.3 oder 1.2 – auch wenn dies nicht in der App erzwungen wird.

Technischer Hintergrund: Beim Aufbau sicherer Netzwerkverbindungen über TLS handeln die Kommunikationspartner ein Protokoll aus. Unser Server bietet seit Oktober 2021 nur noch TLS 1.3 und TLS 1.2 an. Wenn die App (oder ein Angreifer) versucht, eine Verbindung mit TLS 1.0 oder 1.1 aufzubauen, lehnt der Server diese ab. App-seitig verwenden wir die Verschlüsselungsfunktionen der Mobil-Betriebssysteme (Android, iOS). Ältere Mobil-Betriebssysteme erlauben z.T. noch Verbindungen per TLS 1.0 und 1.1. Da viele Nutzer ältere Handys und Tablets nutzen, begrenzen wir die minimale Betriebssystemfunktion nur, wenn wir bestimmte neuere Funktionen benötigen. Da die Verbindung nur mit mindestens TLS 1.2 aufgebaut wird, hat dies keine Auswirkung auf die Sicherheit.

Wir bedauern sehr, dass Sie die Studie möglicherweise verunsichert hat. Mit den Autoren stehen wir bereits in Kontakt.

Bei Fragen zu Datenschutz und IT-Sicherheit allgemein sowie auch zur Studie können Sie sich an uns wenden.

Unser Datenschutz-Team steht Ihnen wie gewohnt montags bis freitags zwischen 8 und 14 Uhr telefonisch unter 0761-610899-18 und per E-Mail (datenschutz-anfrage@stayinformed.de) mit Rat und Tat zur Seite.