Festplattenfunde im Heizungskeller: Gemeinde erklärt sich

Mitte Dezember hatte heise online über einen Datenschutzvorfall in der bayerischen Gemeinde Markt Kipfenberg berichtet. Zweimal binnen zwei Jahren waren dort kommunale Datenträger mit mutmaßlich sensiblen Einwohnerdaten in offen zugänglichen Kellerräumen eines Wohnhauses aufgetaucht. Ein Anwohner hatte die Ereignisse dokumentiert und uns davon berichtet.

Nachdem wir deshalb Ende November bei der Gemeinde angefragt hatten, kamen offenbar einige Dinge ins Rollen. Am 11. Dezember besuchten Mitarbeiter des bayerischen Landesdatenschutzbeauftragen zusammen mit dem Bürgermeister den Ort. Die Aufsichtsbehörde hatte uns bereits zuvor bestätigt, eine Vor-Ort-Prüfung durchführen zu wollen.

„Fälschlicherweise gelagert“

Am 17. Dezember, also einen Tag, nachdem der Artikel auf heise online erschienen war, äußerte sich Christian Wagner, Bürgermeister von Markt Kipfenberg, auf der Homepage der Gemeinde zu den Vorfällen: „Aufgrund des Rathausumbaus“ seien „im Jahr 2023 Kartons mit Datenträgern fälschlicherweise im Heizraum eines Mietshauses der Gemeinde gelagert“ worden, erläutert er. Auch danach sei versäumt worden, „die Datenträger zu entsorgen und so kam es im Herbst dieses Jahres erneut dazu, dass die Datenträger von einem Mitarbeiter in den Heizraum gestellt wurden, da in dem Raum, in dem die Datenträger versperrt gelagert wurden, von einem Techniker Arbeiten ausgeführt werden mussten“.

Der folgende Satz ist etwas missverständlich geraten, soll aber mutmaßlich bedeuten, dass die Gemeinde einen Abfluss der Daten in Richtung Unbefugte nicht ausschließen kann: „Dadurch, dass der Heizraum teilweise nicht abgesperrt wurde, kann nicht zu 100 Prozent gewährleistet werden, dass Daten in die Hände Dritter gelangt sind. Leider befanden sich auf den Datenträgern auch personenbezogene Daten der Bürgerinnen und Bürger von Kipfenberg.“

Meldung DSGVO-konform?

Diese Ausführungen lassen vermuten, dass ein „voraussichtlich […] hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen“ gemäß Art. 34 DSGVO besteht. Daraus würden Informationspflichten der Gemeinde gegenüber den Bürgern folgen. Die Meldung auf der Homepage würde da eher nicht genügen, denn laut Art. 34 Abs. 2 DSGVO müsste die Gemeinde als Verantwortlicher „den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen“ nennen, sowie „eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten“ (Art. 33 DSGVO, Abs. 3b und 3c) liefern. Beides fehlt in der Meldung an die Einwohner.

Bereits Ende November hatten wir einige Fragen an die Gemeinde zu den Vorfällen geschickt. Silvia Obermeier, Geschäftsleiterin der Gemeinde Markt Kipfenberg, hatte uns erklärt, man wolle erst Stellung beziehen, wenn die Sachlage mit dem Landesdatenschutzbeauftragten geklärt sei. Am 18. Dezember, also nach dem Vor-Ort-Termin im Heizungskeller, haben wir sie daran erinnert, bis heute aber keine Antwort erhalten.

(hob)