Vom 10. Juni 2020
Eingestuft als unkritisch und behoben
Im Rahmen einer internen routinemäßigen Überprüfung zur Verbesserung der Dienste des Web-Client von schul.cloud, ist Folgendes aufgefallen und geändert worden:
Alle Nutzerrollen (Schüler, Eltern, Lehrer, Administratoren) können Zugriff auf die E-Mail-Adressen aller User innerhalb der gleichen Organisation (Schule) haben. Dieser Zugriff kann aber nur über die Konsole im Browser erfolgen, nicht innerhalb des normalen User-Interfaces (UI).
Um Zugriff zu erhalten, müssen folgende Schritte durchgeführt werden, welche im Rahmen einer normalen Nutzung nicht ergriffen werden:
Der Hintergrund dieser Verarbeitung ist, dass E-Mail-Adressen als Anhang des Datenpaktes „Userobjekt“ mitgesendet wurden und ausschließlich Administratoren angezeigt werden sollen. Dies ist das Standardvorgehen der Anwendung, sollte jedoch unter den einschränkenden Rollenfaktoren „Schüler“ und „Eltern“ nicht erfolgen , sondern nur bei den Rollen (Berechtigungen) „Administrator“ und „Lehrer“ .
Somit war es im Einzelfall möglich, manuell die Emailadresse von anderen bekannten User (innerhalb der gleichen Organisation / Schule) auszulesen, der ohnehin schon namentlich („Telefonbuch“ (siehe oben))bekannt war.
Nutzer, die das entsprechende administrative Recht (Administrator / Lehrer) besitzen, können jederzeit die Mailadressen auslesen.
Die Einsicht der Daten beschränkt sich hierbei auf die namentlich ohnehin bekannten Nutzer derselben Organisation, auf welcher der Nutzer aktiv ist. Eine Einsicht über diese Organisationsgrenzen hinaus oder Dritter von außen ist nicht möglich.
Die Größe der Gruppe ist gemessen an der Anzahl der Nutzer unterschiedlich. Statistisch gesehen hat eine Gruppe durchschnittlich 76 Nutzeraccounts und somit wäre durchschnittlich ein Zugriff auf 76 E-Mail-Adressen möglich gewesen wäre (Auswertung über alle schul.cloud Organisationen). Die Gruppengröße variiert jedoch, sodass in Einzelfällen auch deutlich größere Gruppe gemessen an ihrer Anzahl an Nutzern bestehen. Die Nutzer aller Einzelgruppen zusammengerechnet ergeben die Gesamtnutzerzahl 500.000 des Produktes schul.cloud. Es war jedoch keinem einzelnen Nutzer zu irgendeinem Zeitpunkt möglich Zugang zu allen Organisationen zu erlangen. Die Zugehörigkeit erstreckt sich jeweils immer nr auf eine Gruppe.
Dieser Umstand wurde von uns am 10.06.2020 um 14.00 Uhr festgestellt und war innerhalb einer Stunde geändert und die Änderung produktiv bereitgestellt. Seitdem sind die E-Mail-Adressen nur noch den Administratoren oder Nutzern mit der Rolle „Lehrer“, die ohnehin Kenntnis von der E-Mail-Adresse haben (müssen), einsehbar. Eine Anzeige der E-Mail-Adresse über den vorgenannten Weg ist ausgeschlossen.
Zusätzlich über den Kommunikationsweg innerhalb der schul.cloud hätte die Möglichkeit bestanden, dass Nutzer parallel über den Mailweg hätten kontaktiert werden können.
Wir haben keine Kenntnis davon, dass auf dem vorgenannten Weg E-Mail-Adressen im Rahmen der schul.cloud missbräuchlich angesehen oder ausgelesen wurden. Aufgrund des ungewöhnlichen Wegs und der erforderlichen Kenntnisse und mit Blick auf den Nutzerkreis und die ohnehin bestehende Bekanntschaft unter den Nutzern ist noch nicht einmal zu vermuten, dass auf diesem Weg missbräuchlich Mail-Adressen im Rahmen der schul.cloud angesehen oder ausgelesen wurden.
Selbst wenn es hierzu gekommen wäre, ist insbesondere aus den folgenden Gründen nicht von dem Überschreiten der Risikoschwelle des Art. 33 DS-GVO auszugehen.
Dennoch informieren wir Sie vorsorglich aufgrund des besonderen Nutzerkreises und der aktuellen Aufmerksamkeit, welche Schulanwendungen aufgrund der Corona-bedingten Sondersituation erhalten haben. Zum aktuellen Zeitpunkt haben wir keine Kenntnis darüber, dass der Fehler missbräuchlich verwendet wurde.