München gilt als funktionierende Stadt. Als reich, geordnet, verwaltungsstark. Eine Stadt, die sich teure Infrastruktur leisten kann, die ihre Schulen digitalisieren will, die in Sonntagsreden vom modernen Bildungsstandort spricht. Und nun steht ausgerechnet München für einen Fall, der wie ein Brennglas wirkt: Daten von mehr als 120.000 Schülern sollen abgeflossen sein, offenbar aus dem Umfeld der städtischen IT-Tochter LHM Services. Nach Medienberichten geht es nicht nur um Schülerdaten, sondern auch um Informationen von Lehrkräften, Beschäftigten des Bildungsreferats und interne Unterlagen zur IT-Infrastruktur. Ermittlungen laufen, ein früherer Mitarbeiter steht unter Verdacht.
Die Unschuldsvermutung gilt. Doch politisch ist der Schaden längst da. Denn dieser Fall ist mehr als eine lokale IT-Panne. Er zeigt, wie verwundbar der digitalisierte Staat geworden ist, wenn er zwar immer mehr Daten sammelt, aber nicht in gleicher Weise Verantwortung, Kontrolle und Sicherheitskultur entwickelt. Der Staat fordert von Bürgern Vertrauen. Eltern sollen darauf vertrauen, dass Schulen die Daten ihrer Kinder sicher verwalten. Lehrer sollen darauf vertrauen, dass digitale Plattformen nicht zur Schwachstelle werden. Schüler sollen lernen, dass Digitalisierung Teil der Zukunft ist. Doch was passiert, wenn ausgerechnet die öffentliche Hand zum Risiko wird?
Gerade Schülerdaten sind keine gewöhnlichen Verwaltungsdaten. Sie betreffen Minderjährige, Familien, Adressen, Schulwege, Klassenstrukturen, mögliche Förderbedarfe, Kommunikationswege, vielleicht auch sensible Hinweise auf soziale oder pädagogische Problemlagen. Wer solche Daten verliert, verliert nicht einfach Dateien. Er verliert Schutzräume. Kinder können sich nicht wehren. Sie haben der Datenerhebung nicht frei zugestimmt wie Kunden eines Online-Shops. Sie sind Teil einer Pflichtstruktur: Schule. Der Staat erhebt ihre Daten, weil sie zur Schule gehen müssen. Daraus folgt eine besondere Pflicht. Wer Kinder digital verwaltet, muss sie auch digital schützen.
Solange alles funktioniert, gilt Datenschutz als Bremsklotz
Besonders beunruhigend ist der Verdacht eines Insider-Vorfalls. Die öffentliche Debatte über Cybergefahren ist oft bequem externalisiert. Dann sind es russische Hacker, chinesische Spionagegruppen, organisierte Kriminelle oder anonyme Darknet-Gestalten. All das gibt es. Aber die vielleicht banalere Gefahr sitzt manchmal näher: im eigenen System, mit Zugriffsrechten, Passwörtern, Administrationsrechten, Routinewissen und Kenntnis der internen Schwächen. Der gefährlichste Angriff ist nicht immer der spektakuläre Angriff von außen. Manchmal ist es der Zugriff von innen, der nicht rechtzeitig bemerkt, begrenzt oder verhindert wird.
Lesen Sie auch
Genau hier beginnt die politische Dimension. Wenn ein einzelner Mitarbeiter überhaupt in der Lage gewesen sein sollte, größere Datenmengen mitzunehmen, stellen sich harte Fragen. Wer hatte Zugriff auf welche Daten? Wurden Zugriffe protokolliert? Gab es Alarmmechanismen bei ungewöhnlichen Kopiervorgängen? Wurden Berechtigungen regelmäßig überprüft? Wurden ausscheidende Mitarbeiter sofort konsequent aus allen Systemen entfernt? Gab es ein Vier-Augen-Prinzip für besonders sensible Datenbestände? Und wer war letztlich verantwortlich: die Gesellschaft, die Stadt, das Bildungsreferat, die IT-Leitung, der Aufsichtsrat?
In Deutschland wird Digitalisierung noch immer zu sehr als Beschaffungsfrage behandelt. Es geht um Geräte, Plattformen, Kabel, Lizenzen, Tablets und Glasfaser. Doch Digitalisierung ist zuerst eine Frage von Herrschaft, Verantwortung und Kontrolle. Wer Daten sammelt, schafft Macht. Wer diese Macht organisiert, braucht Regeln. Wer Regeln nicht überprüft, produziert Verwundbarkeit. Und wer bei Kindern schlampig mit Verwundbarkeit umgeht, handelt nicht nur technisch unprofessionell, sondern politisch fahrlässig. Bemerkenswert ist dabei die Doppelzüngigkeit vieler Digitalisierungsdebatten. Solange alles funktioniert, gilt Datenschutz als Bremsklotz, als deutsche Marotte, als Verwaltungshindernis, als Innovationskiller. Politiker, Bildungsfunktionäre und Digitalenthusiasten überbieten sich dann in der Klage über die angeblich lähmende Macht der Datenschutzbehörden. Die Datenschutzaufsicht wird verspottet, wenn sie warnt, bremst oder Nachweise verlangt. Sie gilt als Gegnerin des Fortschritts.
Datenschutz ist die Brandschutzordnung des digitalen Staates
Doch sobald etwas passiert, rennen alle genau zu jener Institution, die sie zuvor öffentlich schlechtgemacht haben. Dann soll die Datenschutzbehörde plötzlich aufklären, sanktionieren, schützen, Orientierung geben und Vertrauen wiederherstellen. Die gleichen Stimmen, die Datenschutzrecht gestern noch als bürokratische Zumutung verspotteten, fordern heute vehement dessen konsequente Durchsetzung. Genau darin liegt die Heuchelei: Datenschutz wird politisch so lange diskreditiert, bis man ihn im Krisenfall dringend braucht. Der Münchner Fall zeigt deshalb nicht nur ein…
Read the full article at Cicero →
Germany