KITA-Apps: Kita-Info-App, clivver und Co. – Wir müssen reden

Disclaimer: Ich schreibe hier privat meine Meinung. Ich behaupte nicht, dass irgendeine App unsicher ist, Datenhandel betreibt, unseriös ist usw. Dies ist meine private Meinung.

Es muss vor ungefähr zwei Jahren gewesen sein (vielleicht länger, vielleicht kürzer), als unser damaliger Kindergarten die Kita-Info-App einführte. Ich sah mir die Software an und war direkt davon überzeugt: Nein, das sieht nicht gut aus (Sicherheit, Datenerhebung, Qualität, usw.): wir machen da nicht mit. Meine Frau war gleicher Meinung. Wir hatten dann ein Gespräch mit der Kita-Leitung und erläuterten unsere Bedenken. Wir wurden an die nächste höhere Stelle verwiesen, die unsere Bedenken für grundlos hielt. Naja: https://www.heise.de/news/Datenleck-bei-beliebter-KiTa-App-Stay-Informed-9662578.html

Wir waren umgezogen, neuer Kindergarten, keine App, also alles super. Dann wurde vor ein paar Wochen mit clivver eine neue Kita-App eingeführt und wieder schaute ich mir die an. Ich wurde hellhörig, als ich sah, welche Informationen die App für die Nutzung vom Hersteller haben möchte (Stand 26.03.2024):

  • Vorname
  • Nachname
  • Mobilfunknummer
  • Device-ID: Android ID / Identifier for Vendor
  • Zeitpunkt der Registrierung
  • Vorname des Kindes
  • Meldungen zu einem Kind / sich selbst
  • Zeitpunkt des Öffnens einer Nachricht

Da wurde mir bereits schlecht und es stimmt nicht, denn die App benötigt noch eine weitere Information, die anscheinend bereits erhoben und auf den Servern gespeichert wurde: Das Geburtsdatum des Kindes.

Bis auf „Zeitpunkt der Registrierung“ (aus statistischen Gründen oder zur späteren Löschung bei Inaktivität) kann ich alle weiteren erhobenen Daten der Eltern und des Kindes nicht nachvollziehen. Über die App werden verschiedene Informationen ausgetauscht:

  • Nachrichten an alle/Gruppen
  • an Personal
  • Umfragen
  • Kalendereinträge
  • Krankmeldungen
  • Zuhause-Info (mein Kind bleibt heute zu Hause)
  • Mittagsessen-Info (mein Kind isst mit und was es isst)
  • Kommentare

Weiterhin hörte ich, ob es stimmt, weiß ich nicht, dass bsplw. Bilder, die Kinder gemalt haben oder Bilder von Gebasteltem darin verschickt werden.

Als Techniker im Allgemeinen und letztlich auch sowas wie „Digital Native“ im Engeren finde ich eine solche App erstmal super. Aber nur, wenn sie vernünftig gemacht ist.

Was ich damit meine: Warum werden diese Daten erhoben und warum ist nicht alles anonymisiert? Welchen Zweck hat für den Austausch mein Name, das Geburtsdatum meines Kindes, meine Device-ID, usw.?

Ich wollte es mir nicht nehmen lassen und schrieb an den Entwickler der App, seines Zeichens ehemaliger Journalist, ein paar Fragen:

Sehr geehrte Damen und Herren,

unsere Kita setzt ab jetzt clivver ein. Bevor ich den seitenlangen „Datenschutzbestimmungen“ zustimme, habe ich doch ein paar Fragen:

  1. Wo werden die personenbezogenen Daten gespeichert?
  2. Wie sind die personenbezogenen Daten verschlüsselt?
  3. Wer hat Zugriff auf die personenbezogenen Daten?
  4. Wozu wird die Telefonnummer gebraucht?
  5. Wozu wird das Geburtsdatum des Kindes benötigt?
  6. Ist die Kommunikation Ende-zu-Ende verschlüsselt?
  7. Wie werden Backups angelegt, sind diese verschlüsselt und
    wer hat Zugriff?
  8. Werden nach dem Löschen des Accounts auch alle Daten aus
    dem Backupbestand restlos entfernt?
  9. Welche Daten werden in der Cloud (Firebase) gespeichert,
    wo liegen diese Daten und wer hat Zugriff darauf und werden
    die Daten seitens Google weiterverwendet?
  10. Die erstellende und betreibende Firma sieht nach einer
    Privatperson aus, die im journalistischen Umfeld tätig
    ist (Sascha Müller-Jänsch). Gibt es im Unternehmen eine
    technische Abteilung, die die Expertise hat, eine solche
    Software sicherheitstechnisch zu betreiben?
  11. Warum werden die Daten nicht vollständig anonymisiert? Weder
    die Eltern noch die Kinder erhalten eine Rechnung, damit werden
    die Daten letztendlich nicht benötigt. Mich interessiert, warum
    diese dann erhoben werden, da ja die Kita die Rechnungen be-
    gleicht.
  12. Wir haben Zettel erhalten, auf denen unsere Namen sowie der Name
    unseres Kindes vermerkt sind und es findet ein Matching in der App
    für das Geburtsdatum des Kindes statt. Wo sind meine persönlichen
    Daten und die meines Kindes jetzt bereits (vor Registrierung) ge-
    speichert und wer hat mein Einverständnis zu dieser Speicherung
    gegeben?

Vielen Dank für die Beantwortung der Fragen und mit freundlichen Grüßen

Thorsten Geppert

E-Mail vom 28.02.2024

Ich bekam auch eine, für mich sehr schwammige, Antwort. Ich fragte nach, ob ich aus dieser Antwort zitieren dürfte. Das wurde abgelehnt. Wie die Antwort aussah, möchte ich aus einem Gedankenprotokoll anhand eines Beispiels klar machen:

Die Frage: „Wie sind die personenbezogenen Daten verschlüsselt?“ – Die Antwort: „Ja, sie sind verschlüsselt.“

Da ich nicht aus der Antwort zitieren darf, möchte ich da auch nicht weiter drauf eingehen und respektiere den Wunsch (und kann ihn an der Stelle auch absolut nachvollziehen…).

Verstehen konnte ich auch nicht die Antwort der nächst höheren Stelle der Kita, die von einem Mitglied des Eltenrbeirats angeschrieben wurde. Ich habe gefragt, ob ich diese E-Mail zitieren darf. Die Antwort kam spät, war aber ein Nein. Ich möchte das aber dennoch ohne O-Ton zusammenfassen, zumindest zwei Punkte:

  • Wenn der Hersteller zusichert, dass die Software DSGVO-konform betrieben wird, dann ist das so
  • Wir müssen mit Sicherheitslücken und auch damit, dass wir Opfer werden können, leben, wichtig sei nur, dass diese Mängel schnell beseitigt werden

Also interpretiere ich das so: Wenn Ihre Daten und die sensiblen Daten Ihres Kindes geleakt werden, dann ist das ok, da sie ja DSGVO-konform geleakt sind und der Mangel sicher bald schnell beseitigt wird…

Allerdings wurde noch mitgeteilt, dass wenn wir Datenschutzverletzungen feststellen, wir diese melden können und sie denen nachgehen würden.

In der E-Mail-Antwort der höheren Stelle wurde mir aber mitgeteilt, ich würde seine/ihre Worte nicht richtig interpretieren. Eine Relativierung der Problematiken wäre es damit nicht, sondern im Gegenteil. Dann kam direkt der Satz, dass ich aber die E-Mail nicht zitieren darf, um weitere Missverständnisse zu vermeiden.

Bevor ich noch auf ein wenig Technik komme, mal einen Gedankenanreiz für die, die meinen, dass es sich hier nicht um sensible Daten „Schutzbefohlener“ handelt. Bei einem Datenleak könnten die Daten von Ihnen und Ihrem Kind veröffentlicht werden:

  • Der jenige kennt den Namen von Ihnen und Ihrem Kind
  • Er kennt auch Ihre eindeutige Telefonnummer
  • Er weiß, wann Ihr Kind krank war und wie häufig, kann mitunter Rückschlüsse auf chronische Probleme ziehen
  • Er weiß, wann Ihr Kind in den Kindergarten geht
  • Er weiß vielleicht, wenn das mit den oben erwähnte Bildern stimmt, mitunter welchen kognitiven Zustand ihr hat, vor allem in Kombination mit dem Geburtsdatum (Es malt weiter unter der Alterserwartung… usw.)
  • Er kann Rückschlüsse auf Nahrungsunverträglichkeiten ziehen

Es lässt sich ein detailiertes Profil Ihres Kindes und teils Ihrer Familiensituation feststellen (Kind wird mittags geholt, sprich, Sie oder Ihr Partner arbeiten nur halbtags…).

Das wäre meiner Meinung nicht nötig, wenn man diese Daten nicht erhebt, bsplw. wenn das Kind nur eine Nummer ist und keine persönlichen Daten dazu getauscht werden und die Zuordnung zum Kind ausschließlich in der KITA erfolgt. Dann wäre ein Datenleak nicht ganz so schlimm. Das ist hier aber nicht der Fall.

Kommen wir zu etwas technischem, aber ich gehe da nicht in die Tiefe, da mir hier die Zeit zu fehlt. Wenn man sich die Website des Entwicklers ansieht, dann sieht man, dass dieser das Portal „Kita im Blick“ betreibt. Wenn man dort eine Bestellung aufgeben will, kann man sowas machen:

Das wird auch so in den Warenkorb übernommen:

Schaut man sich dann noch diese (von mir manipulierte) URL an: https://www.kitaimblick.com/kib/beta/public/auth/loginxxx stellt man zwei Dinge fest:

  • In der URL erscheint das Wort „beta“, was auch immer das (rechtlich) bedeuten mag
  • Es erscheint eine Fehlermeldung, in der sogar absolute Dateipfade sichtbar sind

Wenn wir uns dann noch ein nmap auf diesem Server ansehen, bekommen wir:

Dass bsplw. PostgreSQL und MySQL nach außen offen sind, muss nichts bedeuten, gibt aber ein ungutes Gefühl. Wir wissen nicht, ob dort Ihre Daten liegen und wie weit die gesichert sind.

Das war nur an der Oberfläche gekratzt und meine Frau und ich haben entschieden: wir machen bei clivver nicht mit, unsere Entscheidung. Mir fehlt leider die Zeit, da tiefer zu gehen.

Was ich aber gerne raten möchte ist: Hinterfragen Sie immer, warum gewisse Daten erhoben werden. Überlegen Sie, ob sie notwendig sind und wenn Sie auch nur ein minimales ungutes Gefühl haben, lassen Sie es lieber.

Noch einmal: ich rate auf keinen Fall von solchen Apps ab, ich sage nicht, dass sie unsicher sind, Datenlücken haben oder Datenhandel damit betrieben wird.