München gilt als reiche, geordnete, verwaltungsstarke Stadt – eine, die sich teure Infrastruktur leisten kann und in Sonntagsreden gerne vom modernen Bildungsstandort spricht. Und ausgerechnet München steht nun für einen Fall, der wie ein Brennglas wirkt. Wie der deutsche Publizist Florian Hartleb in einem Gastkommentar im Magazin „Cicero” analysiert, sollen Daten von mehr als 120.000 Schülern abgeflossen sein – offenbar aus dem Umfeld der städtischen IT-Tochter LHM Services.

Laut Hartleb geht es dabei nicht nur um Schülerdaten, sondern auch um Informationen von Lehrkräften, Beschäftigten des Bildungsreferats und interne Unterlagen zur IT-Infrastruktur. Die Ermittlungen laufen, ein früherer Mitarbeiter steht unter Verdacht. Die Unschuldsvermutung gilt – politisch aber ist der Schaden längst da.

Denn der Fall ist mehr als eine lokale IT-Panne. Er zeigt, wie verwundbar der digitalisierte Staat geworden ist: Er sammelt immer mehr Daten, entwickelt aber nicht im gleichen Tempo Verantwortung, Kontrolle und Sicherheitskultur. Der Staat fordert von den Bürgern Vertrauen. Eltern sollen darauf vertrauen, dass Schulen die Daten ihrer Kinder sicher verwalten. Doch was passiert, wenn ausgerechnet die öffentliche Hand zum Risiko wird?

Kinderdaten sind keine gewöhnliche Verwaltungsmasse

Gerade Schülerdaten sind sensibel: Sie betreffen Minderjährige, Familien, Adressen, Schulwege, mögliche Förderbedarfe, vielleicht auch Hinweise auf soziale oder pädagogische Problemlagen. Wer solche Daten verliert, verliert nicht einfach Dateien – er verliert Schutzräume. Kinder können sich nicht wehren. Sie haben der Datenerhebung nicht frei zugestimmt wie Kunden eines Online-Shops, sondern sind Teil einer Pflichtstruktur: der Schule. Daraus folgt für Hartleb eine besondere Pflicht. Wer Kinder digital verwaltet, muss sie auch digital schützen.

Besonders beunruhigend ist der Verdacht eines Insider-Vorfalls. Die öffentliche Debatte über Cybergefahren wird oft bequem nach außen verlagert: russische Hacker, chinesische Spione, anonyme Darknet-Gestalten. All das gibt es. Aber die banalere Gefahr sitzt manchmal näher – im eigenen System, mit Zugriffsrechten, Passwörtern und Kenntnis der internen Schwächen. Der gefährlichste Angriff ist nicht immer der spektakuläre von außen, sondern der Zugriff von innen, der zu spät bemerkt wird.

Genau hier beginnt die politische Dimension. Wenn ein einzelner Mitarbeiter überhaupt in der Lage war, größere Datenmengen mitzunehmen, stellen sich harte Fragen: Wer hatte Zugriff auf welche Daten? Wurden Zugriffe protokolliert? Gab es Alarmmechanismen bei ungewöhnlichen Kopiervorgängen? Wurden ausscheidende Mitarbeiter sofort aus allen Systemen entfernt? Und wer war letztlich verantwortlich – die Gesellschaft, die Stadt, das Bildungsreferat, die IT-Leitung, der Aufsichtsrat?

Datenschutz ist die Brandschutzordnung des digitalen Staates"

In Deutschland werde Digitalisierung noch immer zu sehr als Beschaffungsfrage behandelt, kritisiert Hartleb: Geräte, Plattformen, Lizenzen, Tablets, Glasfaser. Dabei sei Digitalisierung zuerst eine Frage von Verantwortung und Kontrolle. Wer Daten sammelt, schafft Macht. Wer diese Macht nicht durch überprüfte Regeln organisiert, produziert Verwundbarkeit. Und wer bei Kindern schlampig mit Verwundbarkeit umgehe, handle nicht nur technisch unprofessionell, sondern politisch fahrlässig.

Bemerkenswert ist für den Publizisten dabei die Doppelzüngigkeit vieler Digitalisierungsdebatten. Solange alles funktioniert, gelte Datenschutz als Bremsklotz, als deutsche Marotte, als Innovationskiller. Die Datenschutzaufsicht werde verspottet, wenn sie warnt oder Nachweise verlangt. Doch sobald etwas passiert, rennen alle genau zu jener Institution, die sie zuvor schlechtgemacht haben – und fordern Aufklärung, Sanktionen und die Wiederherstellung von Vertrauen. Hartlebs Befund: „Datenschutz ist kein Luxus für Schönwetterzeiten. Er ist die Brandschutzordnung des digitalen Staates.”

München sei dafür ein besonders lehrreicher Fall, weil die Stadt nicht als arme Kommune am Rand ihrer Möglichkeiten gelte. Niemand könne sagen, es habe an allem gefehlt. Sonst entstehe der Eindruck eines digitalen Potemkinschen Dorfs: vorne Tablets und Lernplattformen, hinten unklare Zuständigkeiten, zu breite Zugriffsrechte und ein Sicherheitsverständnis aus der Ära der Aktenordner.

Deutschland rede seit Jahren von digitaler Schule und digitalem Staat – es fehle jedoch an einer Kultur der digitalen Verantwortung. Und der Schaden eines solchen Vorfalls sei kaum rückholbar: Ein gestohlener Laptop lässt sich ersetzen, ein Passwort ändern. Geraten personenbezogene Daten von Kindern aber einmal in kriminelle Umlaufbahnen, lassen sie sich nicht zurückholen. „Das Darknet vergisst nicht.” Heute seien es Schülerdaten, morgen könnten daraus Phishing-Angriffe gegen Eltern, Erpressungsversuche oder Identitätsmissbrauch werden.

„Ein Staat, der Medienkompetenz lehrt, muss selbst Datenkompetenz besitzen"

Vor allem aber brauche es politische Haftung im weiteren Sinne, fordert Hartleb. Nicht jede Panne sei persönliche Schuld – aber Verantwortung dürfe nicht in Organisationsdiagrammen verschwinden. Der moderne Staat liebe Auslagerungen, Tochtergesellschaften und hybride Konstruktionen. Funktioniert es, nennt man es Effizienz; geht es schief, wird die Zuständigkeit diffus. Genau das dürfe bei Kinderdaten nicht passieren. Eltern hätten einen Anspruch darauf zu wissen, wer verantwortlich war und welche Schutzmaßnahmen nun konkret folgen.

Der Fall berühre eine größere Vertrauensfrage. Der Staat verlange von den Bürgern immer mehr digitale Anpassung – elektronische Akten, Online-Portale, zentrale Register. Kinder müssten lernen, mit Künstlicher Intelligenz, Plattformen und Manipulation umzugehen. Aber digitale Bildung beginne nicht mit dem Tablet, sondern mit dem Vorbild. „Ein Staat, der Kindern Medienkompetenz beibringen will, muss selbst Datenkompetenz besitzen.”

München könnte aus dem Skandal lernen, transparent aufklären und Schul-IT als Sicherheitsfrage neu denken – oder den Fall verwalten, bis die Aufmerksamkeit nachlässt. Letzteres, so Hartleb, wäre der eigentliche Skandal. Bleibt am Ende die Frage, die im digitalen Staat über allem steht: Wer schützt eigentlich die Schutzbedürftigen vor den Systemen, die angeblich für sie geschaffen wurden?