Stand: 15.06.2026. In München steht ein mutmaßliches Datenleck bei Schülerdaten im Raum, das weit über eine lokale IT-Panne hinausreicht. t-online meldet, dass Münchner Schülerdaten im Darknet gelandet sein sollen. Die Abendzeitung München berichtet von mehr als 120.000 betroffenen Münchnerinnen und Münchnern und von polizeilichen Ermittlungen. Cicero ordnet den Fall als Daten-GAU ein und nennt als mögliches Umfeld die städtische IT-Tochter LHM Services.

Noch ist nicht jede Detailfrage öffentlich belastbar beantwortet. Genau deshalb ist der Fall für Datenschutzverantwortliche so wichtig. Wenn Daten von Kindern, Lehrkräften, Beschäftigten eines Bildungsreferats und möglicherweise interne IT-Unterlagen betroffen sein können, reicht die übliche Krisenformel aus Betroffenheit, Prüfung und Aufklärung nicht aus. Unternehmen und öffentliche Stellen müssen an diesem Fall vor allem eine Frage stellen: Wer durfte auf welche Daten zugreifen, und warum war dieser Zugriff so weit möglich?

Kinderdaten sind keine gewöhnlichen Verwaltungsdaten

Schülerdaten sind besonders sensibel, auch wenn sie im Alltag oft wie normale Stammdaten behandelt werden. Sie können Namen, Adressen, Schulzugehörigkeiten, Klassenstrukturen, Kommunikationsdaten, Informationen zu Sorgeberechtigten und im Einzelfall Hinweise auf Förderbedarf oder besondere Schutzsituationen berühren. Selbst wenn derzeit nicht öffentlich gesichert ist, welche Datenarten genau abgeflossen sein sollen, zeigt der Verdacht schon das Kernproblem: Schulen verarbeiten Daten von Minderjährigen in einer Pflichtbeziehung. Kinder können sich dieser Verarbeitung kaum entziehen.

Für Verantwortliche nach der Datenschutz-Grundverordnung bedeutet das mehr als eine saubere Datenschutzerklärung. Es geht um Zugriffskontrolle, Protokollierung, Rollenmodelle, Löschkonzepte, Meldewege und regelmäßige Sicherheitsprüfungen. Der Datenschutzkern liegt nicht nur im möglichen Darknet-Fund, sondern in der Frage, ob Schutzmechanismen einen ungewöhnlichen Zugriff rechtzeitig hätten erkennen, begrenzen oder verhindern müssen.

Der Insider-Verdacht verschiebt den Blick auf Berechtigungen

Cicero schreibt von Ermittlungen und davon, dass ein früherer Mitarbeiter unter Verdacht stehe. Die Unschuldsvermutung gilt. Für die organisatorische Lehre ist der Verdacht trotzdem relevant, weil er den Blick von der klassischen Erzählung des externen Hackerangriffs weglenkt. Datenschutzvorfälle entstehen nicht nur durch Schadsoftware oder Angriffe von außen. Sie entstehen auch, wenn interne Rechte zu breit vergeben sind, wenn ausscheidende Mitarbeitende nicht konsequent entzogen werden, wenn Kopiervorgänge nicht auffallen oder wenn besonders schützenswerte Datenbestände ohne Vier-Augen-Prinzip erreichbar bleiben.

Genau hier beginnt die praktische Unternehmenslehre. Wer personenbezogene Daten großer Gruppen verarbeitet, muss Berechtigungen wie ein Risiko behandeln, nicht wie eine Bequemlichkeitsfrage. Das gilt für Schulen und Kommunen, aber ebenso für private Unternehmen mit Kunden-, Gesundheits-, Beschäftigten- oder Minderjährigendaten. Ein Konto mit zu vielen Rechten ist kein harmloser Verwaltungsfehler. Es ist ein möglicher Weg aus dem System heraus.

Was Verantwortliche jetzt prüfen sollten

Der Münchner Fall ist noch nicht abgeschlossen. Er liefert aber bereits eine klare Prüfliste. Verantwortliche sollten feststellen, ob sensible Datenbestände nach dem Need-to-know-Prinzip geschützt sind, ob privilegierte Konten regelmäßig überprüft werden und ob ungewöhnliche Exporte, Massenzugriffe oder Zugriffe außerhalb typischer Arbeitszeiten auffallen. Ebenso wichtig ist die Frage, ob Dienstleister, Tochtergesellschaften und ausgelagerte IT-Einheiten in der Praxis genauso kontrolliert werden wie interne Fachabteilungen.

Bei Kinderdaten kommt hinzu, dass die Kommunikation mit Betroffenen besonders verständlich sein muss. Eltern müssen nicht nur erfahren, dass geprüft wird. Sie brauchen klare Aussagen dazu, welche Daten betroffen sind, welche Risiken realistisch bestehen, welche Schutzmaßnahmen folgen und an wen sie sich wenden können. Wenn sich ein Darknet-Bezug bestätigt, reicht der Hinweis auf laufende Ermittlungen allein nicht aus.

Für Unternehmen ohne Schulbezug bleibt die wichtigste Lehre dieselbe: Datenschutz scheitert selten an einem einzelnen Formular. Er scheitert, wenn Rollen, Rechte und Kontrolle nicht zum Risiko der Daten passen. Wer große Datenbestände verwaltet, sollte jetzt nicht warten, bis ein eigener Vorfall Aufmerksamkeit erzwingt. Der bessere Zeitpunkt für eine Berechtigungsprüfung ist vor dem nächsten Export, nicht danach.

Quellen: Cicero Online, Münchens Daten-GAU; t-online München via Google News, Meldung vom 15.06.2026 zu Münchner Schülerdaten im Darknet; Abendzeitung München via Google News, Meldung vom 15.06.2026 zu mehr als 120.000 Betroffenen und Ermittlungen.

Bildquelle: Pexels