In ihrem 28. Tätigkeitsbericht, der bereits am 15. Juni 2023 veröffentlicht wurde, berichtet die Landesbeauftragte für Datenschutz Niedersachsen auf Seite 141 über einen Ransomware Angriff auf einen Schulserver der ihr im Berichtszeitraum, 2022, von der betroffenen Schule gemeldet wurde. Auf dem betroffenen Schulverwaltungsserver waren alle Daten verschlüsselt worden. Allem Anschein war auch eine Lösegeldforderung gestellt worden, welcher die Schule offensichtlich nicht nachgekommen war. In Folge veröffentlichten die Täter die erbeuteten Daten („ u.a. Fotos von Schülerinnen und Schülern, Lehrkräften sowie Erziehungsberechtigten, Jahrbücher, Namen und Adressdaten von Schülerinnen und Schülern in Verbindung mit Passwörtern für den Zugang zu einem Portal zur Schulanmeldung sowie korrigierte und benotete Klassenarbeiten aus den Jahren 2017 und 2018 in Form von Scans“) im Internet. Der Schule selbst war die Veröffentlichung nicht bekannt. Aufmerksam wurde die Aufsichtsbehörde selbst bei routinemäßigen Recherchen im Internet bei der Bearbeitung der Meldung der Schule. Die Schule wurde durch die Aufsichtsbehörde gebeten, Strafanzeige zu stellen und die Löschung der Daten zu verlangen. Außerdem forderte die Aufsichtsbehörde die Schule auf, ihr Informationen zu den getroffenen Maßnahmen zur Sicherung des Schulverwaltungsservers mitzuteilen. Letztendlich konnte durch die Aufsichtsbehörde nicht ermittelt werden, wie es zu dem Datenschutzvorfall kommen konnte. Da nichts darauf hinwies, dass die technische und organisatorische Maßnahmen zum Schutz der Daten auf dem Server unzureichend gewesen waren oder die Schule andere Versäumnisse begangen hatte, rechnete die Aufsichtsbehörde der Schule die Veröffentlichung der beschriebenen Daten auch nicht zu und sah von aufsichtsbehördlichen Maßnahmen ab. Die Schule erhielt allerdings Hinweise, wie sie ihren Server zukünftig durch technische und organisatorische Schutzmaßnahmen absichern kann.
Bewertung
Aus dem Bericht geht nicht hervor, um welche Schule es sich genau handelte. Von daher ist es auch kaum möglich zu ermitteln, ob der Fall in den Medien bekannt wurde und um welche Art von Schulverwaltungsserver es sich handelte. Interessant an dem Fall ist, dass die Aufsichtsbehörde selbst aktiv im Fall ermittelte und sich nicht auf die bloße Abfrage von Informationen beschränkte.