Stellungnahme zur am 7. Juli 2022 durch diverse (online-) Medien veröffentlichten Studie “We may share the number of diaper changes”: A Privacy and Security Analysis of Mobile Child Care Applications”, von Moritz Gruber, Christian Höfig, Maximilian Golla, Tobias Urban und Matteo Große-Kampmann, zu teils gravierenden Sicherheitsmängeln bei Kita-Apps
Update 21.07.2022
Um den Nutzern der KiKom App gerade mit Blick auf den Empfang von Push-Benachrichtigungen auf ihren mobilen Endgeräten den optimalen Funktionsumfang gewährleisten zu können, sind wir in der App-Entwicklung auf die Nutzung von Softwarebibliotheken von Apple (Betriebssystem iOS) und Google (Android) angewiesen, deren Anwendung regelmäßig auf Sicherheitsrisiken überprüft wird.
Selbstverständlich arbeiten wir darüber hinaus kontinuierlich an weiteren Maßnahmen, um das ohnehin schon hohe Datenschutzniveau unserer Anwendungen noch weiter zu steigern. Entsprechend wurde das in der Studie geprüfte SDK Level bereits auf Level 23 angehoben. Ebenso werden alle von KiKom verarbeitenden personenbezogene Daten mit dem höchsten Sicherheitsstandard TLS 1.3./ 1.2. an den Server übertragen.
Im Rahmen einer neuen App-Version, welche zeitnah veröffentlicht wird, wird zudem ein Certificate Pinning integrieren, um auch das bislang als gering eingestufte Risiko eines sogenannten „Man in the Middle Angriffs” ebenfalls ausschließen zu können.
Ein externer Datenschutzbeauftragter ist in allen Anwendungen der Instikom GmbH und der LITTLE BIRD GmbH (Web und App) benannt. Kontaktinformationen können jederzeit in den jeweiligen Datenschutzrichtlinien eingesehen werden.
Die Kunden der KiKom App haben darüber hinaus die Möglichkeit, träger- und einrichtungsintern Vorgaben zu datenschutzrelevanten Leitplanken systemseitig abzubilden, auf die wir als Auftragsdatenverarbeiter keinen Einfluss nehmen wollen und können.
Wie bereits erläutert dienen Zugriffspunkte, z.B. zum Export von Terminen in den Smartphone-Kalender oder die direkte Durchführbarkeit von Telefonanrufen bei hinterlegten Notfallkontakten, ausschließlich zur Unterstützung des Einsatzes in der Praxis und werden kontinuierlich gemeinsam mit den Anwendern evaluiert. Gleiches gilt für das Zugriffsrecht auf den externalen Storage, welches den Nutzern den Upload und Download von PDF, Bildern/Video/Audio-Dateien ermöglicht. Bei erstmaligem Zugriff wird die Zustimmung des Nutzers abgefragt. Bei Bild, Video und Audiodateien kann die Einrichtung ergänzend festlegen, ob überhaupt ein Download auf das Smartphone des Nutzers zugelassen wird.
Sofern sich für uns weitere datenschutzrechtliche Optimierungspotentiale ergeben, setzen wir diese konsequent unter entsprechender Berücksichtigung der technischen Anforderungen um.
Stellungnahme 08.07.2022
Wir begrüßen die vorliegende Studie, da sie unvoreingenommen eine Vielzahl sensitiver Datenschutz- und Sicherheitsdetails prüft und somit wichtiges Feedback für uns liefert, um auch künftig unsere Anwendungen noch sicherer für Nutzer und die betreuten Kinder gestalten zu können.
Insbesondere stellt die Studie klar dar, dass wir als einziger App-Anbieter keinerlei Daten unnötig in irgendeiner Cloud speichern und auch keinerlei Auswertungen und / oder Überwachungen von Nutzerverhalten (Tracking) durchführen.
Zugriffspunkte z.B. zum Export von Terminen in den Smartphone-Kalender oder die direkte Durchführbarkeit von Telefonanrufen bei hinterlegten Notfallkontakten dienen zur Unterstützung des Einsatzes in der Praxis und werden kontinuierlich gemeinsam mit den Anwendern evaluiert. Bei erstmaligem Zugriff wird die Zustimmung des Nutzers abgefragt.
Anlass und Form jeglicher von uns durchgeführter Datenverarbeitung werden offen und transparent mit den Einrichtungen, Trägern und Eltern kommuniziert und mit den entsprechenden Auftragsdatenverarbeitungsvereinbarungen nach DSGVO als ordnungsgemäße Vertragsgrundlage abgesichert. Es erfolgt keine Weitergabe von jedweder Art an Daten, die im Rahmen des Systems erfasst und verarbeitet werden, ebenso keine Integration von Werbeanzeigen oder gewerblichen Inhalten, da dies die Grundpfeiler für eine vertrauensvolle und nachhaltige Kundenbeziehung für uns darstellen.
Wir stehen bereits mit der Herausgeberschaft der Studie im persönlichen Austausch, um wichtige Impulse für weitere Verbesserungen unserer Services ganz im Sinne eines nachhaltigen und kontinuierlichen Verbesserungsprozesses aufnehmen und umsetzen zu können.