Wie Festplattenfunde Datenschutzprobleme in einer Gemeinde offenbaren
Zweimal binnen zwei Jahren tauchen in einer bayerischen Gemeinde kommunale Datenträger in offen zugänglichen Kellerräumen auf, anscheinend sogar dieselben.
In einem frei zugänglichen Versorgungsraum fand Paul Müller 2023 drei Kisten mit Datenträgern, die offensichtlich der Gemeinde Markt Kipfenberg zuzuordnen waren.
(Bild: Paul Müller)
Etwas mehr als 6000 Einwohner zählt die Gemeinde Markt Kipfenberg, die laut Homepage „der geografische Mittelpunkt Bayerns im Herzen des Naturparks Altmühltal“ ist. Bekannt ist der Ort Kipfenberg unter anderem dafür, dass vor rund 2000 Jahren der Limes mitten durch den Ort verlaufen war, der die Grenze des Imperium Romanum zum freien Germanien markiert hatte. Dass die Gemeinde auch antiquierte Methoden zur Datenträger-Aufbewahrung pflegt, zeigt ein aktueller Fall.
Paul Müller (Name geändert) ist seit 1980 Einwohner Kipfenbergs. Seit 2022 wohnt er in einem Mehrfamilienhaus zur Miete, das der Gemeinde Markt Kipfenberg gehört. Im August 2023 suchte Müller nach Zustimmung des Hausmeisters den Versorgungsraum im Keller auf, um dort den Stromzähler abzulesen. Seiner Schilderung zufolge befanden sich unter dem Zählerschrank, achtlos auf dem Boden abgestellt, drei Pappkisten, die mit 30 bis 40 Festplatten und einer ebenso großen Anzahl Sicherungsbändern befüllt waren. Eines der Bänder sei mit der Abkürzung „EWO“ versehen gewesen. Müller vermutet, dies steht für „Einwohnermeldeamt“.
Zu diesem Zeitpunkt habe am Versorgungsraum ein Türschloss gefehlt. Der Weg von außerhalb dorthin sei für jeden seit drei Wochen frei zugänglich gewesen, weil wegen Bauarbeiten das Tiefgaragentor ebenfalls offengestanden habe. Auf dem Weg sei ihm außerdem ein offener Karton mit anderen Dingen aufgefallen, in dem sich augenscheinlich auch eine Festplatte aus dem Fundus befunden habe. Seine Vermutung: Einer der Bauarbeiter habe sich bereits bedient und etwas zur Seite geschafft. Müller legte seinen Angaben zufolge die Platte wieder in eine der drei Kisten zurück. Er erzählte einem Nachbarn von dem Fund. Dieser habe den Bürgermeister von Markt Kipfenberg informiert, der dann auch vor Ort erschienen sei. Der Bürgermeister habe damals versichert, die Datenträger seien bereits zuvor „sicherheitsgelöscht“ worden.
Man könnte meinen, dieser Vorfall habe nun dafür gesorgt, dass die Gemeinde ihr mangelhaftes Entsorgungskonzept für gebrauchte Datenträger geändert hat. Doch am 29. September 2025 sind offensichtlich dieselben Datenträger wieder im Haus aufgetaucht, dieses Mal fand ein Nachbar Müllers sie im unverschlossenen Heizungskeller hinter Wasserboilern. Müller berichtete uns, dass dieser Heizungskeller „unverschlossen war und in der Regel ständig wechselnden Reinigungskräften, Servicekräften der Heizungsfirma und Mitarbeitern der Gemeinde“ zugänglich gewesen sei. Er habe wie beim ersten Vorfall die Datenträger fotografiert und festgestellt, dass es sich um dieselben wie beim Fund zwei Jahre zuvor gehandelt habe, außer, dass einige gefehlt hätten.
Diesmal habe er zwei Festplatten herausgegriffen, mit in die Wohnung genommen und gemeinsam mit seinem Nachbarn als Zeugen an seinen PC angeschlossen. Er habe nun wissen wollen, ob sie wirklich sicherheitsgelöscht seien. Keine sei verschlüsselt oder gelöscht gewesen. Auf einer Platte fand er seinen Angaben zufolge eine Verzeichnisstruktur, deren Ordner „Personalwesen, Bescheide, Bauverwaltung oder Standesamt“ hießen. Außerdem habe er Protokolle von nicht öffentlichen Gemeinderatssitzungen von 1992 bis 2015 gesehen. Er habe Screenshots von der Verzeichnisstruktur gefertigt, keine Daten gespeichert, die Platte wieder abgezogen und in die Kiste zurückgelegt. Die andere habe er behalten, die Polizei über den Fund und sein Vorgehen informiert und die Platte „zur Beweissicherung“ dort abgegeben.
Müller ging seinen Worten zufolge und wohl mit einiger Berechtigung davon aus, dass das Band mit der Aufschrift „EWO“ hoch vertrauliche Daten des Einwohnermeldeamtes enthält. Deshalb habe er „umgehend eine Gemeindemitarbeiterin, die in der Nachbarschaft wohnt und einen ‚Dienstschlüssel‘ besitzt, aufgefordert, den Kellerraum unverzüglich abzuschließen“. Dies geschah dann auch.
Anschließend habe er die Gemeinde mangels Vertrauen nicht mehr informiert, sondern die Geschehnisse direkt der zuständigen Datenschutz-Aufsichtsbehörde gemeldet. In Bayern ist die Datenschutzaufsicht zweigeteilt: Für den nicht-öffentlichen Bereich, also die Unternehmen, zeichnet das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in Ansbach verantwortlich. Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) sitzt in München und beaufsichtigt öffentliche Stellen, also etwa Behörden und Gemeinden. Genau dorthin versandte Müller seine Meldung. Außerdem informierte er c’t über die Vorfälle.
Videos by heise
Vororttermin geplant
Wir haben beim BayLfD angefragt, ob die Behörde in der Sache ein Verfahren eingeleitet hat. Man behandele die Frage, „ob und mit welchem Inhalt ihm Beschwerden oder Kontrollanregungen vorliegen und Verfahren durchgeführt werden, grundsätzlich vertraulich“, teilte uns Regierungsdirektor Patrick Veigel vom BayLfD am 8. Dezember mit. Er könne daher „lediglich allgemein bestätigen, dass in der KW 50 eine Vor-Ort-Prüfung bei der Gemeinde Kipfenberg durchgeführt wird“.
Dies hatte uns indirekt zuvor bereits Silvia Obermeier, Geschäftsleiterin der Gemeinde Markt Kipfenberg, bestätigt. Es sei ein Vororttermin geplant, teilte sie uns Ende November mit. Unsere Fragen zu den Vorfällen beantwortete Obermeier so: Man werde „bis zur Klärung mit dem Landesdatenschutzbeauftragen keine Angaben hierzu machen können. Danach sind wir gerne bereit, eine Stellungnahme abzugeben“. Die Gemeinde nehme „die Angelegenheit sehr ernst“ und unternehme alles, damit so etwas nicht mehr vorkommt. Und: „Die Datenträger sind sicher verwahrt, sodass Folgeschäden ausgeschlossen sind.“
Eigentlich wollten wir von der Gemeinde wissen, wer Zugriff auf die mutmaßlich teils sensiblen Daten von Einwohnern und Mitarbeitern gehabt haben könnte. Außerdem interessierte uns, wieso die Datenträger laut Hausbewohner Müller nach zwei Jahren erneut in einem ungesicherten Raum aufbewahrt wurden, und was dazwischen alles damit geschah. Immerhin scheint es zumindest möglich, dass Daten in fremde Hände gelangten.
