Die Stadt München hat Name und Anschrift von 10 917 Münchnern gegen deren ausdrücklichen Willen herausgegeben. Vier dieser Personen hatten sogar eine Auskunftssperre eingetragen, die in der Regel nur bei einer Bedrohung von Leib und Leben gewährt wird. Das sei "zu unserem sehr großen Bedauern fälschlicherweise" geschehen, bestätigte ein Sprecher des Kreisverwaltungsreferats (KVR) der Süddeutschen Zeitung.
Als Grund für das Datenleck führte er eine Panne in der Computertechnik an. Thomas Petri, der bayerische Landesbeauftragte für den Datenschutz, ordnet die Herausgabe der Adressen und Namen an vier politische Parteien vor der Bundestagswahl 2017 als einen "nicht unerheblichen Verstoß" gegen die Vorschriften ein. Er hat auf Beschwerde eines Bürgers bereits eine offizielle Beanstandung ausgesprochen. Das Verfahren laufe noch, "wir erwarten, dass der Mangel abgestellt wird", sagte er.
Das sei längst geschehen, erklärte der Sprecher des KVR. Als die ersten Bürger im vergangenen Jahr unerwünschte Wahlpost moniert hätten, seien Mitarbeiter umgehend auf die Suche nach den Ursachen gegangen. Fündig wurden sie bei einer Überprüfung der Computerprogramme. Bei einer Neukonfiguration der Datenbanksoftware habe der IT-Dienstleister versehentlich einen Filter entfernt, heißt es in der Mitteilung der Stadt. Dieser sei dafür verantwortlich gewesen, "die Weitergabe von gesperrten Datensätzen" zu verhindern. Der Datenschutzbeauftragte Petri nannte die Münchner Computerpanne "ein typisches Beispiel", wie sich Mängel in der automatisierten Datenverarbeitung auswirken könnten. "Das hat Potenzial für eine solche Reichweite."
Die Herausgabe von Daten an politische Parteien ist grundsätzlich erlaubt. Die Frist dafür beginnt sechs Monate vor jeder Wahl. Vor der Bundestagswahl 2017 nahmen in München vier Parteien dieses Recht in Anspruch und forderten einen jeweils individuellen Ausschnitt aus dem Melderegister an. Die Stadt gab insgesamt 172 646 Datensätze heraus. Dabei konnte das Computerprogramm aufgrund der Panne nicht mehr gesperrte von frei verfügbaren Daten unterscheiden. Laut Gesetz sollten die übermittelten Namen und Adressen allerdings längst gelöscht sein.
Spätestens einen Monat nach der entsprechenden Wahl müssen die Parteien die Daten vernichtet haben. Dafür seien diese aber selbst verantwortlich, heißt es vom KVR. "Eine Kontrollmöglichkeit der Meldebehörde ist gesetzlich nicht gegeben." Der Datenschutzbeauftragte Petri weist allerdings darauf hin, dass die Empfänger sehr wohl mit einer Kontrolle durch Landes- oder Bundesbehörden rechnen müssten.
"Diese Daten hätten auf keinen Fall rausgehen dürfen"
Sollten Bürger den Verdacht haben, dass ihre Daten gegen ihren Willen weitergegeben wurden, können sie sich direkt an den Datenschutzbeauftragten wenden. Bereits im November 2017 geschah dies im vorliegenden Fall. Einem Münchner war aufgefallen, dass in einer an ihn adressierten Wahlwerbung ungewöhnlicherweise alle Vornamen aufgeführt waren. Dabei hatte er von seinem Recht gebraucht gemacht, bei seiner Meldebehörde formlos eine sogenannte "Übermittlungssperre" einzurichten. Dann dürfen Name, akademischer Grad und Adresse nicht an politische Parteien weitergeleitet werden.
Viel brisanter ist ein Datenleck allerdings, wenn es Personen betrifft, die eine Auskunftssperre erwirkt haben. Eine solche müsse sehr genau begründet werden, sagt der Datenschutzbeauftragte Petri. Gewährt werde sie nur Menschen, bei denen "eine Gefahr für Leben und Gesundheit" bestehe. Die Auskunftssperre sei der stärkste Schutz, den eine Meldebehörde einräumen könne. "Diese Daten hätten auf keinen Fall rausgehen dürfen", sagte Petri. Es sei bis auf wenige Ausnahmen "generell unzulässig", diese zu übermitteln. Auch deshalb müsse die Stadt alles tun, um diese technisch-organisatorischen Mängel abzustellen. Dabei sei das KVR auf einem guten Weg, sagte Petri. "Das klingt ganz vernünftig.
Das KVR hat nach eigenen Angaben "zusätzliche Sicherheitskriterien" mit seinem IT-Dienstleister vereinbart. Dazu gehören eine exakte Definition der wieder installierten Filter und eine Vier-Augen-Kontrolle der Auswertungen bestellter Daten. Weiter sollen künftig testweise Datenbankauszüge vor der Herausgabe an Dritte erstellt und überprüft werden. Denn nicht nur Parteien können Anfragen bei Meldebehörden platzieren. Im Jahr 2017 nutzten laut KVR auch die Kriminalpolizei sowie 31 öffentliche Stellen und Institutionen die gesetzlich eingeräumte Möglichkeit, Daten abzurufen. Zudem erhielten vier städtische Dienststellen entsprechende Auskünfte.
