Datensätze von Münchner Schülern möglicherweise im Darknet gelandet
Es ist ja so: Solange nichts passiert, nehmen wir Dinge als selbstverständlich wahr. Zum Beispiel, dass die Daten von Schülerinnen und Schülern so sicher verarbeitet und gespeichert werden, dass sie nicht im Darknet landen können. Denn das wäre eine ziemlich beunruhigende Vorstellung.
Aber genau das ist möglicherweise in München passiert. Zehntausende personenbezogene Daten von Schülerinnen und Schülern, Lehrkräften und Beschäftigten des Bildungsreferates sollen ins Darknet abgeflossen sein. Derzeit ermittelt die Staatsanwaltschaft und die bayerische Zentralstelle Cybercrime im oberfränkischen Bamberg muss nun klären, wie es dazu kommen konnte. Publik wurde die Nachricht durch die Münchner Abendzeitung gemacht. Die Datensätze sollen Namen, Geburtsdaten, Wohnanschrift, Staatsangehörigkeit und die besuchte Schule beinhalten.
Verwaltet werden die Daten von einer Tochtergesellschaft der Landeshauptstadt München, die für die Verarbeitung der Daten von etwa 900 Schulen, Kitas und Sportstätten zuständig ist.
Der Abendzeitung zufolge soll es bereits 2025 Hinweise gegeben haben, dass Daten möglicherweise nicht sicher gespeichert wurden. Allerdings wurde dies als nicht meldepflichtig eingestuft und lediglich intern und extern geprüft.
Unter Verdacht steht nun allerdings ein ehemaliger Mitarbeiter, der bereits 2024 große Datenmengen heruntergeladen und weitergegeben haben soll.
Nachdem die Abendzeitung bei dem zuständigen Unternehmen eine Presseanfrage gestellt hatte, wurde der Bayerische Landesbeauftragte für Datenschutz informiert und Strafanzeige erstattet. Bisher konnten entsprechende Datensätze nicht im Darknet gefunden werden.
Nun stehen freilich die Fragen im Raum, warum der gekündigte Mitarbeiter enorme Datenmengen heruntergeladen hat und ob das Ganze bewusst der Presse zugetragen wurde.
Münchens neuer Oberbürgermeister Dominik Krause liegt der Datenschutz sehr am Herzen, weshalb er eine vollumfängliche Aufklärung fordert. Gerade in so einem Fall zeigt sich, dass es bei Datenschutz um sehr viel mehr als um die bloße Einhaltung von Vorgaben geht – nämlich um Vertrauen.
Einen ähnlichen Fall gab es Anfang 2025 im rheinland-pfälzischen Speyer. Damals veröffentliche die Hackergruppe Lockbit Daten von Schülerinnen und Schülern im Darknet – u.a. Name, Anschrift, Geburtsdaten, Mailadressen, Telefonnummern und schulbezogene Daten wie Fehlzeiten, Verspätungen, Zeugnisse, interne Vermerke und teilweise auch Gesundheitsdaten.
Der Münchner Fall ist jedoch anders gelagert, da vornehmlich das auffällige Downloadverhalten eines ehemaligen Mitarbeiters geprüft wird und bisher lediglich der Verdacht besteht, dass auch in diesem Fall Daten im Darknet gelandet sein könnten.
Datenschutzkolumne
“So viele Buchstaben und sooo viel mehr, was damit ausgedrückt werden kann.“