Eine Computer-Festplatte (ähnlich der auf dem Bild) mit einem rund sechs Gigabyte umfassenden Datensatz aus der Häfler Stadtver
Eine Computer-Festplatte (ähnlich der auf dem Bild) mit einem rund sechs Gigabyte umfassenden Datensatz aus der Häfler Stadtver (Foto: Ralf Schäfer)
Ralf Schäfer

Gehaltslisten, Zeugnisse, Protokolle nichtöffentlicher Sitzungen am Straßenrand: Ein ehemaliger Mitarbeiter der Stadt hat einen städtischen Rechner im Sperrmüll entsorgt. Auf dem Computer: rund sechs Gigabyte städtischer Daten. Die Stadtverwaltung bedauert den Vorfall, plant aber offenbar keine weiteren Schritte.

Eine Häflerin hatte den Rechner in der Nordstadt im Sperrmüll gefunden. Die Frau nahm das Gerät mit, ihr Sohn brachte es zum Laufen. Dann wandte er sich an die Stadt und an die Schwäbische Zeitung. Denn was er auf dem Computer entdeckte, waren keine harmlosen Privat-Dokumente, sondern ungeschützte Datensätze aus dem Rathaus: Mitschriften von Sitzungen hinter verschlossener Tür, Arbeitszeugnisse, persönliche Daten von Verwaltungsmitarbeitern. Weder ein Passwort noch eine andere Entschlüsselung seien nötig gewesen, um Texte und Tabellen lesen zu können, sagt der Sohn der Finderin.

Auch auf dem Rechner: das Tagebuch des Ex-Mitarbeiters, der mehrere Jahre lang unter anderem an verschiedenen internen Strukturprojekten der Verwaltung beteiligt war. 2007 wurde der Mann auf eigenen Wunsch beurlaubt, später ging er als Dozent an eine Fachhochschule. Um die von ihm größtenteils selbst erstellten Dateien für seine Lehrtätigkeit nutzen zu können, hatte er die Stadtverwaltung – damals mit Oberbürgermeister Josef Büchelmeier an der Spitze – gebeten, die Daten auch während seiner Beurlaubung verwenden zu können. Er nahm nach eigenem Bekunden seinen Dienstrechner mit Billigung der Stadt mit.

Stadt bedauert den Vorfall

Die Stadt Friedrichshafen bestätigt gegenüber der SZ den Vorfall. Die Verwaltung habe mit dem ehemaligen Mitarbeiter, der seit 2009 keinen Arbeitsvertrag mehr mit der Stadt hat, Kontakt aufgenommen. „Das ist peinlich, und wir bedauern diesen Vorfall“, sagt Pressesprecherin Andrea Gärtner. Statt die Festplatte zu löschen und – wie in der Stadtverwaltung sonst üblich – anschließend zu schreddern, sei sie „arglos entsorgt“ worden, erklärt der für die EDV zuständige Bürgermeister Holger Krezer.

Der Leiter des Rechtsamtes, Roland Sabacinski, sagt, dass hier der „Faktor Mensch“ zugeschlagen habe. Die Datensicherheit bei der Stadt sei in der Regel gewährleistet. Die ganze Geschichte habe jedoch hellhörig gemacht. Man werde weitere Sicherungsmaßnahmen im städtischen Datennetz einziehen, sagt Sabacinski, ohne konkreter zu werden.

Das Problem im konkreten Fall sei kein Loch in diesem Netz. Auch die Erlaubnis, städtische Daten außerhalb des Rathauses zu verarbeiten, sei noch in Ordnung gewesen. Das Problem, so Sabacinski, sei die unsachgemäße Entsorgung des Computers.

Welche Daten der Sohn der Computerfinderin tatsächlich hat, weiß die Stadt nach eigenen Angaben nicht. Die Verwaltung hat auf Nachfrage auch nicht mitgeteilt, wie sie mit dem Mann verblieben ist. Die bloße Herausgabe der digitalen Unterlagen zu fordern, macht wohl wenig Sinn: Computerdateien sind schnell kopiert. Den Rechner vom Sperrmüll habe er entsorgt, sagt der Sohn der Finderin. Die Daten aber hat er noch.

Rechtsamtsleiter Sabacinski geht davon aus, dass der Mann weder Melde- noch Finanzdaten einsehen kann. Die Gehaltseinstufung städtischer Mitarbeiter könne man durchaus im öffentlichen Haushaltsplan und im Häfler Stellenplan finden. Generell seien die städtischen Daten auf mehreren Ebenen geschützt, absolute Sicherheit aber gebe es nicht, sagt Roland Sabacinski.

Prinzipiell lasse sich jede Computer-Festplatte verschlüsseln. Das wird aber von der EDV-Abteilung der Stadt nicht gemacht, weil die automatisierte Daten- und Softwarepflege der rund 1000 Verwaltungsrechner dann nicht möglich sei. Theoretisch, so Bürgermeister Holger Krezer, sei deshalb eine Wiederholung des „Sperrmüll-Vorfalls“ durchaus möglich.

Diese Daten sind an die Straße gestellt worden

Bei den Dateien, die auf der Festplatte des „Sperrmüllrechners“ gespeichert waren, handelt es sich vor allem um Excel-Tabellen, Text-Dateien und Präsentationen aus den Jahren 2001 bis 2007. Zentrale Datei dürfte das Arbeits-Tagebuch des Ex-Mitarbeiters sein, der seinen Rechner zum Sperrmüll gegeben hat. Unter den Daten finden sich nicht nur Protokolle von nichtöffentlichen Sitzungen verschiedener Abteilungen und Dezernentenrunden einschließlich einiger Gremien des Gemeinderates, sondern auch Mitschriften von Dienstbesprechungen und Sitzungen der damals tätigen Haushaltskonsolidierungskommission. Die hatte sich mit der Zusammenlegung der Dezernate und der Abschaffung der vierten Bürgermeister-Stelle befasst. Arbeitszeugnisse finden sich in dem Datensatz ebenso wie Gehaltslisten städtischer Mitarbeiter und Listen mit Sozialversicherungsnummern. Kuriosität am Rande: Aus einem Schreiben geht hervor, dass bei Bewirtungen durch die Stadt das Aufstellen und Abräumen von Flaschen teurer ist als die Getränke selbst.

„Snowden geht uns alle an“

Mit Unverständnis hat Florian Deusch, Fachanwalt für IT-Recht und zertifizierter Datenschutzbeauftragter aus Ravensburg, auf den Datenfund reagiert. Ganz allgemein müsse jede verantwortliche Stelle den Umgang mit personenbezogenen Daten rechtlich und organisatorisch regeln, sagt er. Die Rechtsgrundlage für eine Stadtverwaltung ist das Landesdatenschutzgesetz, da die Kommunalbehörde der Aufsicht des Landes unterliegt. Jede Behörde und jedes Unternehmen ist verpflichtet, die rechtliche und organisatorische Umsetzung des Datenschutzes zu kontrollieren, besonders bei mobilen IT-Geräten oder wenn Daten das Haus verlassen. Wenn Dienst- oder Arbeitsverhältnisse enden, muss kontrolliert werden, ob der Mitarbeiter alle Daten, die in seinem Besitz waren, zurückgegeben bzw. gelöscht hat. Wo immer möglich, müssen personenbezogene Daten anonymisiert oder pseudonymisiert werden.

„Snowden geht uns alle an. Dieser Fall zeigt das sehr deutlich“, sagt Florian Deusch. Dass mal etwas passiere, könne immer sein, Betroffene hätten aber nach dem Landesdatenschutzgesetz das Recht auf Auskunft, das Recht auf Schadensersatz und unter Umständen zivilrechtlich die Möglichkeit, den Finder zu verpflichten, die Daten zu löschen. Eine Informationspflicht durch die Behörde gibt es nach dem Landesdatenschutzgesetz nicht; ein Unternehmen müsste die Betroffenen dagegen informieren (§ 42 a Bundesdatenschutzgesetz). Der Fall zeige, dass geeignete rechtliche und organisatorische Maßnahmen dringend nötig seien, um personenbezogene Daten zu schützen. Dies sei „die Aufgabe von behördlichen oder betrieblichen Datenschutzbeauftragten, die Unternehmen oder Behörden schriftlich zu bestellen haben“, sagt Florian Deusch.

Mehr zum Thema
Ihr Kommentar wird nach einer kurzen Prüfung durch unsere Redaktion veröffentlicht.
Kommentare werden geladen
Mehr Themen