Update der Stellungnahme zur am 7. Juli 2022 durch diverse (online-) Medien veröffentlichten Studie “We may share the number of diaper changes”: A Privacy and Security Analysis of Mobile Child Care Applications”, von Moritz Gruber, Christian Höfig, Maximilian Golla, Tobias Urban und Matteo Große-Kampmann, zu teils gravierenden Sicherheitsmängeln bei Kita-Apps
Trotz einiger Mängel in Art und Durchführung sowie teils irreführender Aussagen begrüßen wir die vorliegende Studie grundsätzlich, da sie eine Vielzahl sensitiver Datenschutz- und Sicherheitsdetails prüft und somit wichtiges Feedback für uns liefert, um auch künftig unsere Anwendungen noch sicherer für Nutzer und betreute Kinder gestalten zu können.
Die Studie stellt klar, dass wir keinerlei Daten unnötig in irgendeiner Cloud speichern und auch keinerlei Auswertungen und / oder Überwachungen von Nutzerverhalten (Tracking) durchführen.
Um den Nutzern gerade mit Blick auf den Empfang von Push-Benachrichtigungen auf ihren mobilen Endgeräten den optimalen Funktionsumfang gewährleisten zu können, sind wir in der App-Entwicklung allerdings auf die Nutzung von Softwarebibliotheken von Apple (Betriebssystem iOS) und Google (Android) angewiesen, deren Anwendung regelmäßig auf Sicherheitsrisiken überprüft wird.
Selbstverständlich arbeiten wir darüber hinaus auch kontinuierlich an weiteren Maßnahmen, um das ohnehin schon hohe Datenschutzniveau unserer Anwendungen noch weiter zu steigern. Entsprechend wurde das in der Studie geprüfte SDK Level bereits auf Level 23 angehoben. Ebenso werden alle von KiKom verarbeitenden personenbezogene Daten mit dem höchsten Sicherheitsstandard TLS 1.3./ 1.2. an den Server übertragen.
Im Rahmen einer neuen App-Version, welche zeitnah veröffentlicht wird, werden wir zudem ein Certificate Pinning integrieren, um auch das bislang als gering eingestufte Risiko eines sogenannten „Man in the Middle Angriffs“ ebenfalls ausschließen zu können.
Ein externer Datenschutzbeauftragter ist in allen Anwendungen (Web und App) benannt. Kontaktinformationen können jederzeit in unseren Datenschutzrichtlinien eingesehen werden.
Unsere Kunden haben darüber hinaus die Möglichkeit, träger- und einrichtungsintern Vorgaben zu datenschutzrelevanten Leitplanken systemseitig abzubilden, auf die wir als Auftragsdatenverarbeiter keinen Einfluss nehmen wollen und können.
Zugriffspunkte, z.B. zum Export von Terminen in den Smartphone-Kalender oder die direkte Durchführbarkeit von Telefonanrufen bei hinterlegten Notfallkontakten, dienen ebenso ausschließlich zur Unterstützung des Einsatzes in der Praxis und werden kontinuierlich gemeinsam mit den Anwendern evaluiert. Gleiches gilt für das Zugriffsrecht auf den externalen Storage, welches den Nutzern den Upload und Download von PDF, Bildern/Video/Audio-Dateien ermöglicht. Bei erstmaligem Zugriff wird die Zustimmung des Nutzers abgefragt. Bei Bild, Video und Audiodateien kann die Einrichtung ergänzend festlegen, ob überhaupt ein Download auf das Smartphone des Nutzers zugelassen wird.
Anlass und Form jeglicher von uns durchgeführter Datenverarbeitung werden offen und transparent mit den Einrichtungen, Trägern und Eltern kommuniziert und mit den entsprechenden Auftragsdatenverarbeitungsvereinbarungen nach DSGVO als ordnungsgemäße Vertragsgrundlage abgesichert. Eine durch uns genehmigte Weitergabe von Daten, die systemseitig erfasst und verarbeitet werden, findet ebenso wenig statt, wie eine Integration von Werbeanzeigen oder gewerblichen Inhalten. Diese Prämissen stellen für uns die Grundpfeiler einer vertrauensvollen und nachhaltigen Kundenbeziehung dar.
Sofern sich für uns weitere datenschutzrechtliche Optimierungspotentiale ergeben, setzen wir diese konsequent unter entsprechender Berücksichtigung der technischen Anforderungen um.
Wir stehen bereits mit der Herausgeberschaft der Studie im persönlichen Austausch, um wichtige Impulse für weitere Verbesserungen unserer Services ganz im Sinne eines nachhaltigen und kontinuierlichen Verbesserungsprozesses aufnehmen und umsetzen zu können.
Bitte wenden Sie Sich im Bedarfsfalle bei Fragen zum Thema Datenschutz und IT-Sicherheit gerne direkt an: datenschutz@instikom.de