Im Internet kursieren derzeit relativ widersprüchliche Informationen bezüglich eines mutmaßlichen IT-Sicherheitsvorfalls in der bayerischen Landeshauptstadt. Der ursprüngliche Bericht stammt von der „Abendzeitung„, die am 15.06.2026 von mehr als 120.000 im Darknet abrufbaren Datensätzen berichtete. Am selben Tag wurde dieser Bericht vom Bayerischen Rundfunk mit einer Meldung aufgegriffen, aus der weitere Details zum Fall hervorgingen, die bei der Abendzeitung hinter einer Paywall liegen. Demnach soll es sich um Daten handeln, die von einem kommunalen IT-Dienstleister, der LHM Services GmbH, verarbeitet wurden. In der Vergangenheit soll es bereits Vorwürfe gegen diesen Dienstleister bezüglich des Umgangs mit personenbezogenen Daten gegeben haben. Zuletzt erfährt man noch, dass der Vorfall an die zuständigen Behörden, eine Cyber-Einheit der Kriminalpolizei, die Generalstaatsanwaltschaft Bamberg und die bayerische Landesbeauftragte für Datenschutz weitergegeben wurden.
Der Fall, was auch immer nun tatsächlich passiert sein mag, hat in den Online Medien für einige Diskussionen gesorgt. Ein Beispiel ist der Beitrag „Wenn der Staat die Kinder nicht mehr schützt“ auf Cicero. Dort erfährt man zunächst, dass es nicht nur um die Daten von Schülern und Lehrkräften gehe, sondern auch um die von Angestellten des Bildungsreferats und interne Unterlagen zur IT-Infrastruktur, bevor man die Meldung zum Anlass nimmt, grundsätzliche Kritik am Umgang staatlicher Stellen mit den Daten von Kindern und Jugendlichen zu äußern. Der mutmaßliche Datenabfluss wird dort nicht als bloße IT-Panne betrachtet, sondern als Ausdruck eines strukturellen Problems. Kritisiert wird insbesondere, dass im Zuge der Digitalisierung immer mehr personenbezogene Daten von Schülerinnen und Schülern erhoben und verarbeitet werden, während Sicherheitsmaßnahmen, Kontrolle und Verantwortungsübernahme nicht im gleichen Maße mitgewachsen seien. Besondere Bedeutung misst der Autor dabei dem Umstand bei, dass es sich um Daten von Schülerinnen und Schülern handelt. Kinder seien Teil einer staatlichen Pflichtstruktur und könnten sich der Datenerhebung nicht entziehen. Daraus folge eine besondere Verantwortung des Staates für den Schutz dieser Daten. Darüber hinaus wird die politische Debatte um Datenschutz kritisch betrachtet. Während Datenschutz und Datenschutzaufsicht in Digitalisierungsdebatten häufig als Hindernis dargestellt würden, zeige sich gerade in Krisensituationen die Bedeutung wirksamer Datenschutz- und Sicherheitsvorgaben. Um dies zu verdeutlichen vergleicht der Autor den Datenschutz mit einer Brandschutzordnung, hier die des digitalen Staates. Datenschutz wird im Beitrag als Zumutung beschrieben und sogar politisch diskreditiert. „Aber wenn das Feuer ausbricht, fragt niemand mehr, ob Rauchmelder vielleicht innovationsfeindlich sind. Wer Datenschutz jahrelang als Fortschrittsbremse verspottet, sollte im Brandfall nicht überrascht sein, wenn die Flammen höher schlagen.“ Die eigentliche Herausforderung der Digitalisierung liege nach Auffassung des Autors deshalb weniger in der Bereitstellung von Technik als in der Schaffung einer Kultur der Verantwortung, Kontrolle und IT-Sicherheit. Der Fall sollte, so der Autor, „ein Warnsignal für alle Kommunen in Deutschland sein.“ Insgesamt sieht der Autor den Staat in der Rolle als Vorbild: „Ein Staat, der Kindern Medienkompetenz beibringen will, muss selbst Datenkompetenz besitzen.“
Auch Heise greift den Fall auf, jedoch deutlich kritischer was den Sachverhalt selbst angeht. Im Beitrag Datenschutzvorfall in München: 120.000 sensible Schuldaten im Darknet? kommt auch der kommunale IT-Dienstleister zu Wort, der auf in seinem eigenen Internet-Auftritt Stellungnahmen veröffentlicht. Demnach seien die Vorwürfe, welche sich auf Sachverhalte aus den Jahren 2023 und 2024 bezogen, abgeschlossen und bezüglich von Datensätzen im Darknet habe eine auf Darknet-Recherchen spezialisierte Firma bisher keine Hinweise finden können, dass es dort derartige Datensätze tatsächlich gibt. Beim IT-Dienstleister geht man davon aus, „dass Daten gerade nicht frei verfügbar sind, sondern mutmaßlich gezielt Dritten für eine presseöffentliche Verwertung zugespielt wurden.“
Bewertung
Der Fall ist insofern interessant, als die öffentliche Debatte bereits auf Grundlage eines mutmaßlichen Sicherheitsvorfalls geführt wird, obwohl die Ermittlungen gerade erst begonnen haben und bislang unklar ist, was genau geschehen ist und welchen Umfang der Vorfall tatsächlich hat. In der Regel stehen bei Berichten über Datenschutz- oder IT-Sicherheitsvorfälle bereits zumindest einige gesicherte Erkenntnisse über Art, Umfang und Ursache eines Vorfalls zur Verfügung. Im vorliegenden Fall scheint die Diskussion dagegen bereits begonnen zu haben, bevor belastbare Informationen über das tatsächliche Geschehen öffentlich vorliegen. Die kritische Auseinandersetzung mit den Themen Datenschutz und IT-Sicherheit im Bildungswesen trifft jedoch unabhängig von den bislang ungeklärten Umständen des Münchener Falls einen wichtigen Punkt. Wie die zahlreichen IT-Sicherheitsvorfälle der vergangenen Jahre zeigen, über die auch auf diesen Seiten bereits berichtet wurde, bleiben der Schutz personenbezogener Daten sowie die Sicherheit digitaler Infrastrukturen zentrale Herausforderungen der Schuldigitalisierung.