Tatort Keller: Die Lehren aus dem Fall Kipfenberg

Ein umfassender Datenschutzvorfall in der bayerischen Gemeinde Kipfenberg zeigt, dass Datenschutz nicht nur eine technische, sondern vor allem eine organisatorische Aufgabe ist. Innerhalb von zwei Jahren wurden in Räumlichkeiten der beschaulichen Gemeinde mehrfach alte Festplatten und Sicherungsbänder gefunden, die unverschlossen in frei zugänglichen Kellerräumen lagerten.

Frei zugänglich und ungesichert

Die Datenträger befanden sich ungeordnet in Kisten und Kartons, teilweise zusammen mit anderen Gegenständen. Laut Berichten hatten Reinigungskräfte, Handwerker sowie weitere unbeteiligte Personen jederzeit Zugang. Der Fund wurde unter anderem durch Fotos von Bürgerinnen und Bürgern dokumentiert.

Verzögerte Reaktion trotz klarer Risiken

Besonders kritisch war, dass trotz des offensichtlichen Risikos zunächst keine Meldung an die Datenschutzaufsichtsbehörde erfolgte. Zudem erklärte die Gemeinde anfangs, die Datenträger seien gelöscht worden.

Sensible Daten weiterhin vorhanden

Eine spätere Überprüfung zeigte jedoch, dass dies nicht der Wahrheit entsprach und sich auf den Festplatten weiterhin strukturierte Verzeichnisse mit sensiblen Daten befanden, unter anderem aus Personalwesen, Bauverwaltung und Standesamt. Damit lag ein klarer Verstoß gegen Art. 32 DSGVO vor, insbesondere hinsichtlich der Vertraulichkeit und der sicheren Datenträgerentsorgung.

Konsequenzen und Lehren für öffentliche Stellen

Als unmittelbare Folge leitete das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) eine Vor-Ort-Kontrolle bei der Gemeinde ein.

Der Fall macht deutlich, dass organisatorische Defizite im Datenschutz schnell zu aufsichtsbehördlichen Maßnahmen führen können – auch bei Verwaltungen!

Zugleich zeigt die Causa Kipfenberg exemplarisch:

• Datenträger stellen auch nach ihrer Außerbetriebnahme ein erhebliches Risiko dar.
• Löschkonzepte müssen nachweisbar, dokumentiert und überprüfbar sein.
• Datenschutzvorfälle sind unverzüglich an die Aufsichtsbehörde zu melden.

Gerade Kommunen und andere öffentliche Stellen sollten daher klare Prozesse für die sichere Außerbetriebnahme, Löschung und Entsorgung von IT-Altgeräten etablieren und regelmäßig überprüfen.