Stellen Sie sich vor, Sie stellen einen Asylantrag, reichen Ihre Gehaltsnachweise ein oder korrespondieren vertraulich mit Ihrer Gemeindeverwaltung – und Monate später tauchen genau diese Daten auf einer gebrauchten Festplatte auf, die jeder auf eBay kaufen kann, oder liegen jahrelang ungesichert im Heizungskeller eines Wohnhauses herum. Ein Szenario wie aus einem Albtraum, das jedoch für die Bürger der bayerischen Gemeinde Kipfenberg Realität wurde.
Die aktuellen Fälle, bei denen ungelöschte Festplatten aus dem Rathaus in den freien Handel gelangten oder in unverschlossenen Kellern „vergessen“ wurden, sind weit mehr als bedauerliche Einzelfälle. Sie sind Symptome für ein tiefgreifendes, strukturelles Problem in der deutschen Verwaltungslandschaft. Während wir über Digitalisierung sprechen, scheitern viele Kommunen bereits an den analogen Grundlagen der IT-Sicherheit.
In diesem Artikel analysieren wir, warum gerade kleine Gemeinden mit dem Datenschutz in der Verwaltung überfordert sind, welche Rolle fehlendes Fachpersonal spielt und warum ein Kulturwandel unumgänglich ist. Zudem erfahren Sie, wie Sie selbst proaktiv werden können, um zumindest Ihre digitalen Spuren im Netz zu verwischen.
Der Fall Kipfenberg: Ein Weckruf für den Datenschutz
Wie das Magazin heise online berichtete, gelangten interne Festplatten der Gemeinde Kipfenberg über einen Umweg in den Verkauf auf eBay. Der Käufer, ein IT-Fachmann, traute seinen Augen kaum: Die Datenträger waren nicht etwa professionell bereinigt, sondern enthielten noch sensible Betriebssystemdaten, E-Mail-Archive und Dokumente.
„Ein IT-Dienstleister hatte die Hardware ausgemustert, aber offenbar nicht sicher gelöscht. So landeten die Datenträger samt sensibler Inhalte auf dem freien Markt.“ > (Vgl. heise.de: Wie Festplattenfunde Datenschutzprobleme in einer Gemeinde offenbaren)
Der zweite Skandal: Das Archiv im Heizungskeller
Doch der eBay-Verkauf war nur die Spitze des Eisbergs. Fast zeitgleich wurde ein weiterer, fast noch gravierenderer Vorfall bekannt: Im Heizungskeller eines gemeindeeigenen Wohnhauses lagerten kistenweise ungesicherte Datenträger. Ein Mieter entdeckte bereits 2023 rund 30 bis 40 Festplatten und Sicherungsbänder, die offenbar aus einer Rathaus-Sanierung stammten und dort zwischengelagert wurden.
Das Erschreckende: Trotz Meldung an den Bürgermeister wurden die Datenträger offenbar nicht fachgerecht gesichert oder entsorgt. Berichten zufolge tauchten sie 2025 erneut in einem unverschlossenen Kellerraum auf – zugänglich für jedermann. Brisant ist dabei der Inhalt: Die Bänder trugen Beschriftungen wie „EWO“ (Einwohnermeldeamt) und enthielten Ordnerstrukturen zu „Personalwesen“, „Standesamt“ sowie Protokolle nicht-öffentlicher Sitzungen über einen Zeitraum von mehr als 20 Jahren.
Das Brisante an diesen Vorfällen ist nicht nur das technische Versagen beim Löschen der Daten („wiping“) oder noch besser die Datenträger durch spezialisiert Entsorgungsunternehmen entsorgen lassen („schreddern“), sondern die Kette der Verantwortlichkeiten. Wenn eine Behörde Hardware ausmustert, bleibt sie bis zur vernichtenden Löschung für die Daten verantwortlich – eine Pflicht, die hier eklatant verletzt wurde.
Die Strukturkrise: IT-Sicherheit vs. Gemeindegröße
Um zu verstehen, warum solche Fehler passieren, müssen wir einen Blick auf die Struktur der deutschen Kommunen werfen. Datenschutz ist oft eine Frage der Ressourcen, und genau hier liegt das Problem.
Statistische Analyse: Deutschland, das Land der kleinen Gemeinden
Eine Analyse der Gemeindestrukturen in Deutschland (basierend auf Daten zum Gemeindeverzeichnis des Statistischen Bundesamtes Stand Ende 2024) zeichnet ein eindeutiges Bild:
- Gesamtzahl der Gemeinden: Deutschland hat über 10.700 Gemeinden.
- Gemeinden unter 20.000 Einwohner: Dies betrifft die überwältigende Mehrheit, nämlich über 93 % aller Kommunen in Deutschland.
- Gemeinden über 20.000 Einwohner: Nur ein kleiner Bruchteil (weniger als 7 %) erreicht eine Größe, die in der Regel eigene, professionelle IT-Abteilungen rechtfertigt.
Das bedeutet im Umkehrschluss: In über 90 % der deutschen Rathäuser wird IT-Sicherheit nicht von studierten Informatikern oder zertifizierten CISOs (Chief Information Security Officers) gemanagt, sondern „nebenbei“ erledigt.
Der „Zufalls-Admin“: Wenn Verwaltungskräfte IT machen
Kipfenberg selbst ist ein klassisches Beispiel. Mit 6.239 Einwohnern fällt die Gemeinde genau in das Raster jener Kommunen, die zu klein für eine eigene IT-Abteilung, aber komplexe Datenverarbeitung betreibt, wie alle Kommunen egal welche Größe Sie sind.
Ein Blick auf die Webseite der Gemeinde zeigt ca. 30 Mitarbeitende in der Kernverwaltung. Auffällig dabei: Für eine Gemeinde dieser Größe ist das eine ungewöhnlich hohe Personaldecke. In vergleichbaren Kommunen liegt der Schnitt eher bei 15 bis 20 Verwaltungsmitarbeitenden (ohne Außenbetriebe wie Bauhof oder Kita).
Trotz dieser Personalstärke fehlt oft eines: Gelerntes IT-Personal. In Gemeinden unter 20.000 Einwohnern wird die IT-Administration häufig einem Verwaltungsfachangestellten übertragen, der „eine Affinität zu Computern“ hat. Die Aufgaben werden on top zum Tagesgeschäft erledigt. Die Folgen sind fatal:
- Fehlendes Fachwissen: Es fehlt an Kenntnissen über forensisch sicheres Löschen von Datenträgern, Netzwerksegmentierung oder Intrusion Detection.
- Überlastung: Zwischen Bauanträgen und Passwesen bleibt keine Zeit für Sicherheitsupdates oder Log-Analysen.
- Mangelnde Sensibilisierung: IT-Sicherheit wird als lästiges Hindernis gesehen, nicht als Kernaufgabe.
Der Faktor Mensch: Sicherheitskultur als Fremdwort
Das Problem ist jedoch nicht rein technischer Natur. Es ist ein kulturelles Versagen, das tief in den Strukturen des öffentlichen Dienstes verankert ist.
Der „Gläserne Bürger“ im Bürgerbüro
Jeder kennt die Situation: Sie sitzen im Bürgerbüro, ein großer Raum, mehrere Schreibtische. Während Sie Ihr Anliegen vortragen, können Sie problemlos mithören, warum der Herr am Nachbartisch eine Gewerbeuntersagung erhält. Schlimmer noch ist die physische IT-Sicherheit:
- Bildschirme sind oft so ausgerichtet, dass Wartende den Inhalt mitlesen können.
- Verlassen Mitarbeitende den Platz, wird der PC nicht gesperrt (Windows-Taste + L ist vielen unbekannt).
- Bürotüren stehen offen, während sensible Akten auf den Tischen liegen.
Datenschutzbelehrungen finden zwar statt, werden aber oft als bürokratische Pflichtübung wahrgenommen. Es fehlt das Verständnis, dass Datenschutz kein Formular ist, das man abheftet, sondern eine tägliche Praxis. Eine Ausrede die auch gerne genutzt wird ist, dass die Mitarbeitenden ja alle zur Verschwiegenheit verpflichtet sind.
Zitate und Expertenmeinungen zur Verwaltungskultur
Die Defizite in der digitalen Kompetenz und der Kultur der öffentlichen Verwaltung sind bekannt. In meinem Artikel „Wir brauchen einen Kulturwandel in der Verwaltung“ habe ich bereits darauf hingewiesen, dass Technik allein keine Probleme löst, wenn das Mindset fehlt:
„Es reicht nicht, analoge Prozesse einfach nur digital abzubilden. Wir müssen verstehen, dass Digitalisierung eine Änderung der Arbeitsweise erfordert.“ > (Vgl. Blog Grams-IT: Kulturwandel in der Verwaltung)
Auch die starre Haltung, Veränderungen abzuwehren, trägt zur Unsicherheit bei. Der Satz „Das haben wir schon immer so gemacht“ ist der größte Feind der IT-Sicherheit. Veraltete Prozesse werden beibehalten, weil man sie kennt – auch wenn sie unsicher sind.
„Der Digitalisierungskiller Nr. 1 ist die Weigerung, alte Zöpfe abzuschneiden. Fortschritt wird aktiv ausgebremst.“ > (Vgl. Blog Grams-IT: Der Digitalisierungskiller)
Eine tickende Zeitbombe
Die Kombination aus veralteter Technik, ungeschultem Personal und einer Kultur der Sorglosigkeit macht kleine Kommunen zum idealen Ziel für Cyberangriffe. Wir stehen hier an einem Scheideweg. Ohne massive Investitionen in Schulung und Professionalisierung (z.B. durch interkommunale Zusammenarbeit bei der IT) steuern wir auf den Kollaps der digitalen Daseinsvorsorge zu.
„Der öffentliche Dienst steht am Scheideweg. Es ist eine tickende Zeitbombe, wenn wir Personal und Sicherheit nicht endlich priorisieren.“ > (Vgl. Blog Grams-IT: Die tickende Zeitbombe)
Weitere Hintergründe zur schleppenden Digitalisierung finden Sie auch in meiner Analyse: Die öffentliche Verwaltung – ein Schlusslicht in der Digitalisierung.
Fazit: Es muss sich etwas ändern
Der Vorfall in Kipfenberg ist peinlich für die Gemeinde, aber er ist symptomatisch für ganz Deutschland. Solange wir in über 90 % der Kommunen Verwaltungsfachangestellte dazu zwingen, nebenbei IT-Admin zu spielen, werden wir solche Schlagzeilen immer wieder lesen.
Was muss passieren?
- Professionalisierung: IT gehört in die Hände von Fachpersonal, notfalls durch Zusammenschluss mehrerer kleiner Gemeinden zu IT-Zweckverbänden.
- Schulung: Datenschutzschulungen dürfen keine Alibi-Veranstaltungen sein.
- Mentalitätswandel: IT-Sicherheit muss Chefsache werden und darf nicht als Kostenfaktor, sondern als Daseinsvorsorge begriffen werden.