Viele offene Fragen muss die bayerische Zentralstelle Cybercrime mit Sitz in Bamberg klären. Sie leitet die Ermittlungen zusammen mit dem zuständigen Kriminalfachdezernat 12 bei der Münchner Polizei und reagiert damit auf einen Verdacht, den die Münchner "Abendzeitung" [externer Link, möglicherweise Bezahlinhalt] öffentlich gemacht hat: ein großes Datenleck bei der Stadt München.
Münchner Bildungseinrichtungen im Fokus
Abgeflossen sein sollen die Daten von rund 120.000 Menschen – möglicherweise auch ins sogenannte Darknet. Betroffen sein sollen viele Schülerinnen und Schüler, aber auch Lehrkräfte und Beschäftigte des Bildungsreferates. Der Datensatz ist der AZ-Recherche zufolge brisant: Die Schülerdaten etwa sollen neben Namen, Geburtsdaten und Staatsangehörigkeit auch die Wohnanschrift sowie die konkrete Schule beinhalten.
Münchner IT-Referat nicht kontrollbefugt
Die Daten, um die es in der Recherche geht, verwaltet die LHM Services GmbH (LHM-S), eine Tochtergesellschaft der Landeshauptstadt München, die für städtische Bildungseinrichtungen zuständig ist und dabei persönliche Daten im Auftrag der Stadt und deren Einrichtungen verarbeitet. Laut LHM-S-Homepage sind das rund 900 Schulen, Kitas und Sportstätten.
Die LHM Services GmbH ist direkt an das IT-Referat (RIT) der Landeshauptstadt angebunden. In seiner Stellungnahme an den BR weist das Referat darauf hin, dass es die LHM-S nur auf gesamtstädtischer IT-Ebene (Strategie, Projekte, Finanzen) steuere. Man habe aber keine operative Verantwortung, keine Weisungsbefugnis und keine Kontrollaufträge für den IT-Betrieb der LHM-S.
Erste Hinweise auf Datenleck
Schon 2025 hatte es laut AZ Hinweise gegeben, dass personenbezogene Daten bei der LHM-S möglicherweise nicht sicher gespeichert waren. Dazu schreibt das IT-Referat dem BR, diese Vorgänge seien vom Datenschutz der LHM-S und der zuständigen Aufsichtsbehörde (BayLfD) als nicht meldepflichtig eingestuft worden. Das bestätigt auch die LHM Services GmbH selbst: "Die Vorgänge wurden intern und extern geprüft und es bestand zu keiner Zeit eine Zugriffsmöglichkeit für unbefugte Personen außerhalb der LHM-S."
Aktueller Fall: Darknet-Recherche ergibt keine Hinweise
Laut AZ gibt es nun einen Verdacht gegen einen früheren Mitarbeiter, der 2024 in erheblichem Umfang Daten heruntergeladen und weitergegeben haben könnte. Der LHM-S war dieser Verdacht nach eigenen Angaben bis zu einer Presseanfrage nicht bekannt. Man habe den Bayerischen Landesbeauftragten für den Datenschutz unverzüglich informiert und Strafanzeige erstattet.
Darüber hinaus beruft sich LHM-S auf eine auf Darknet-Recherchen spezialisierte Firma, die bislang "keinen Hinweis darauf finden konnte, dass diesbezügliche Datensätze im Darknet auffindbar und/oder allgemein verfügbar sind".
Wurden Datensätze bewusst der Presse zugespielt?
In ihrer Stellungnahme an BR24 geht die LHM Services GmbH noch einen Schritt weiter: "Nach aktuellem Kenntnisstand spricht vieles dafür, dass Daten gerade nicht frei verfügbar sind, sondern mutmaßlich gezielt Dritten für eine presseöffentliche Verwertung zugespielt wurden." Die Firma untersuche nun das potenziell auffällige Downloadverhalten eines gekündigten Ex-Mitarbeiters und arbeite "mit Hochdruck an einer Aufklärung".
Stadt München fordert Aufklärung
Münchens Oberbürgermeister Dominik Krause (Grüne) begrüßt in einem Statement an BR24 die eingeleiteten Ermittlungen. Er lege "großen Wert auf die Einhaltung datenschutzrechtlicher Vorgaben in der Stadtverwaltung und in allen städtischen Tochterunternehmen". Sofern es Verstöße gegeben habe, müssten diese vollumfänglich aufgeklärt werden. Die Stadtratsfraktion ÖDP/BündnisKultur/Münchner Liste hat einen Dringlichkeitsantrag mit der Forderung gestellt, dass sich der IT-Ausschuss des Münchner Stadtrats am kommenden Mittwoch mit der Angelegenheit beschäftigt.
Im Video: Daten von Münchner Schülern im Darknet?
Die Abendzeitung (AZ) berichtet in ihrem E-Paper und ihrer morgigen Ausgabe über ein Datenleck bei der Landeshauptstadt München.
Das ist die Europäische Perspektive bei BR24.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht's zur Anmeldung!