Digitale KitaErzieher:inLeitungTrägerTipps zum Datenschutz
Sichere Kita-App? Daran erkennt man sie!
6 Min Minuten LesezeitWas heißt schon "sicher"...
"Nichts ist sicher - auch nicht die Kita-App. Hab ich´s doch geahnt!" Ja, das ist erschreckend. Dabei ist so eine Kita-App doch so ein guter Helfer! Das stimmt nach wie vor - und es hilft nicht, jetzt alles und jeden zu verteufeln.
Stattdessen gilt es, zu lernen und näher hinzusehen: Was macht eine Kita-App sicher? Denn: Obwohl der Kita-Träger den Auftrag zur digitalen Datenverarbeitung vertraglich an den Kita-App-Anbieter überträgt, bleibt er selbst gesamtverantwortlich für die Einhaltung der Datenschutzbestimmungen lt. DSGVO in seinen Kitas.
Deshalb ist es besonders wichtig, achtzugeben, wenn man den sog. AV-Vertrag mit dem Kita-App-Anbieter abschließt. Zwar ist der Aufkleber "DSGVO-konform" ein gutes Zeichen für die Datensicherheit einer Kita-App - aber nicht das einzige.
Aus aktuellem Anlass erklären wir die wichtigsten Maßnahmen, die zur Sicherheit einer Software beitragen. Was sollten Anbieter tun, um den Schutz der sensiblen Daten zu gewährleisten? Und wie kann man beurteilen, ob man sich auf das Versprechen der Software-Anbieter verlassen kann?
5 Anhaltspunkte, die Sie jederzeit nachfragen können - und sollten!
Liegt eine Zertifizierung zur Datensicherheit vor?
Haben Sie schon einmal eine Zertifizierung erhalten, z.B. von der IHK oder gar nach DIN EN ISO? Dann wissen Sie: Ein Zertifikat zu erwerben ist immer mit Aufwand verbunden. Eine unabhängige Instanz prüft, ob die Voraussetzungen erfüllt sind, z.B. spezifisches Wissen und die Umsetzung bestimmter Maßnahmen und Abläufe.
Im Hinblick auf den Schutz vertraulicher Daten ist die ISO-Norm 27001 für Informationssicherheit, Cybersicherheit & Datenschutz als hochrangiger Standard anerkannt - sogar weltweit! Will ein Kita-App-Anbieter ein solches Zertifikat erhalten, muss er im Rahmen eines Audits die Wirksamkeit seines Sicherheitsmanagements (sog. ISMS) glaubwürdig und objektiv nachweisen.
Nur, wenn davon auszugehen ist, dass es ihm gelingt, potenzielle Schwachstellen im IT- und Datenschutz-System zu schließen, wird das Zertifikat erteilt. Ein ISO 27001-zertifizierter Anbieter prüft und optimiert seine IT-Systeme regelmäßig und ist so in der Lage, die ihm anvertrauten sensiblen Daten bestmöglich zu schützen.
Deshalb ist das Vorliegen einer entsprechenden ISO 27001-Zertifizierung ein top Indikator, eine sichere Kita-App zu erkennen.
- Fragen Sie: "Sind Sie nach ISO 27001 für Ihre Maßnahmen zur IT-Sicherheit zertifiziert?"
Erfolgt die Datenübertragung verschlüsselt?
Wenn Sie eine Kita-App nutzen, liegen die Inhalte (Kinddaten, Fotos, etc.) nicht auf dem Gerät in Ihrer Hand. Das ist gut so, denn ein Tablet, Laptop oder Smartphone kann schnell abhanden kommen - im schlechtesten Fall gelangen die vertraulichen Daten in fremde Hände und werden für unlautere Zwecke missbraucht.
Nein... Die Infos, die Sie in der Kita-App pflegen, liegen auf externen Servern, die in sehr gut geschützten Räumen stehen (s.u.). Wie gelangen Sie dort hin? Na klar, per Internet. Am besten verschlüsselt, also vor den Blicken Fremder verborgen.
Der aktuelle Standard für die Verschlüsselung der Datenströme heißt TLS 1.2 - das steht für Transport Layer Security (dt. Transportschichtsicherheit).
TLS ist eine technische Maßnahme, die dafür sorgt, dass nicht nur eine vertrauenswürdige Verbindung aufgebaut wird, sondern auch noch ein Verschlüsselungs-Algorithmus den Datenstrom schützt.
So zahlt TLS auf die Datensicherheit ein - und das ist natürlich für die sensiblen Daten aus Ihrer Kita besonders wichtig. Mit TLS schicken Sie keine Postkarte, sondern einen versiegelten Briefumschlag!
- Fragen Sie: "Nach welchem Standard ist die Datenübertragung verschlüsselt?"
Ist eine Zwei-Faktor-Authentifizierung vorgesehen?
Sie kennen das: In Ihrem Lieblings-Onlineshop melden Sie sich mit einem Passwort an. Je länger und komplexer Ihr Passwort, desto besser - denn kurze, einfache Folgen sind heutzutage schnell geknackt. Schon kauft jemand auf Ihren Namen ein. Das ist ungünstig! Und im Fall einer Kita-App geradezu katastrophal, wenn sich Fremde für die Bezugspersonen eines Kindes ausgeben können.
Noch viel besser und sicherer als ein sehr langes, sehr komplexes Passwort ist: die 2-Faktor-Authentifizierung (kurz: 2FA)! Wie gemacht für eine Kita-App, bei der es besonders wichtig ist, dass ausschließlich Berechtigte - also Kita-Team und Eltern - an die entsprechenden Informationen gelangen.
Wenn zum Einloggen in die Kita-App die 2FA-Technologie angewandt wird, sind zwei Wege zum Nachweis der eigenen Identität erforderlich. Das heißt, es genügt nicht mehr, Ihr Passwort abzugreifen - man braucht noch einen zweiten "Schlüssel", um Zugriff zu erhalten. Das ist logischerweise sicherer!
Es gibt veschiedene Varianten von 2FA, bspw. zweiteilige PIN-Nummern oder die Verwendung zweier Kanäle, z.B. E-Mail und Telefonnummer. Wenn die sinnbildlichen Schlüssel an zwei unterschiedlichen Plätzen liegen, sind die Daten prima geschützt. Der Zugang zur Kita-App kann nicht so einfach geknackt werden.
Also, auch wenn die 2-Faktor-Authentifizierung den Anmeldevorgang verlängert: Doppelt hält besser!
- Fragen Sie "Gibt es die Möglichkeit des Zugangs per Zwei-Faktor-Authentifizierung für die Kita-App?"
Wie wird auf konkrete IT-Sicherheitsvorfälle reagiert?
Angenommen, der Katastrophenfall ist eingetreten: Es gab ein Datenleck in der Kita-App. Was jetzt?!
Hierfür sollte der Kita-App-Anbieter professionelle Sicherheitsexperten (ein Cyber Emergency Response Team) bereithalten, das rund um die Uhr auf IT-Sicherheitsprobleme reagiert.
Dadurch ist gewährleistet, dass bei Gefahr sofort gehandelt wird - und die realistische Chance besteht, das zu erwartetende Risiko auf ein Minimum zu senken. Bestenfalls so weit, dass kein bzw. nur geringes Risiko für die Rechte und die Freiheit der betroffenen Personen (Familien, Mitarbeitende) entsteht.
- Fragen Sie konkret nach: "Wie gehen Sie in der Situation eines konkreten IT-Sicherheitsvorfalles vor?"
Übrigens: Wie die Einrichtung (der Kita-Träger) reagieren muss, wenn wirklich ein Datenschutz-Vorfall eintritt, können Sie im HDK-Beitrag "Datenleck in der Kita-App? Das ist jetzt zu tun!" nachlesen.
Wird die EU-DSGVO eingehalten?
Sie kennen den plakativen Aushang: "DSGVO-konforme Kita-App". Aber was verbirgt sich eigentlich dahinter?
DS-GVO oder EU-DSGVO ist die Abkürzung für europäische Datenschutz-Grundverordnung. Sie regelt im Detail, in welcher Art und Weise die Unternehmen mit den personenbezogenen Daten ihrer Kunden, Nutzer, Besucher und Klienten umzugehen haben. Seit sie am 25. Mai 2018 inkraft getreten ist, gilt sie auch für die Informationsverwaltung in deutschen Kitas verpflichtend.
Wenn Sie eine Kita-App nutzen, lagern Sie bzw. der Träger die Haltung der sensiblen Daten (von Familien, Kindern) sozusagen digital aus. Damit diese Datenhaltung DSGVO-konform erfolgt, muss die digitale Anwendung entsprechend strukturiert sein. Was ist damit gemeint?
Beispielsweise müssen die Server, auf denen die Kita-App die Daten ablegt, zur Einhaltung der DSGVO in einem deutschen Rechenzentrum untergebracht sein.
Zudem sind sog. TOM (technisch-organisatorische-Maßnahmen) zu erfüllen, damit unbefugter Zugang weder physisch noch technisch möglich ist. Dadurch wird ein Hochsicherheitsbereich geschaffen, in dem die Daten der Kita, der Kinder, Familien und Mitarbeiter bestens geschützt sind.
Übrigens: Für kirchliche Einrichtungen gibt es neben der DS-GVO noch den sog. kirchlichen Datenschutz (DSG-EKD bzw. KDG). Fragen Sie beim Anbieter nach, falls Sie zu einer evang. oder kath. Trägerschaft gehören.
- Erkundigen Sie sich: "Inwiefern halten die die Grundprämissen der EU-DSGVO / des kirchlichen Datenschutzes ein?"
Zusammenfassend kann es betont einfach so ausgedrückt werden: Offen im Internet zugängliche Daten genügen keinesfalls den Ansprüchen an eine professionelle Kita-App.
Datenschutz ist nicht alles - aber ohne Datenschutz ist alles nichts!
Fazit
Eine Kita-App hat viele Vorteile für den Alltag in der Kita. Sie können den digitalen Helfer mit einem guten Gefühl einsetzen - wenn der Schutz der sensiblen Daten gewährleistet ist. Wie kann man erkennen, ob eine Kita-App sicher ist?
Achten Sie bei der Auswahl der Kita-App auf die fünf Anhaltspunkte. Sie sind nicht sehr schwer zu verstehen und geben ein gutes Bild darüber, ob der Anbieter sich fundiert mit den diversen Datenschutzaspekten auseinandergesetzt hat. Haken Sie ruhig nach - und trauen Sie sich, im Detail nachzufragen.
Auch Ihr Datenschutzbeauftragter wird interessiert daran sein, wie der Kita-App-Anbieter die Fragen nach der Datensicherheit beantwortet. Schriftliche Informationen hierzu befinden sich i.d.R. in den Unterlagen zum Vertragsabschluss.
Tipp: Für interessierte Kund:innen bietet die Carlo & Friends GmbH regelmäßig kostenfreie Datenschutz-Informationsveranstaltungen (live online) an.
