Datenleck bei der Berliner Online-Gewerbeauskunft

Auf berlin.de findet sich die „eAuskunft – die Online-Gewerbeauskunft“ als eGovernment-Projekt. Aus der Selbstbeschreibung:

„Berlin bietet mit der eAuskunft als erste deutsche Großstadt eine durchgängige Online-Auskunft aus dem Gewerberegister an. Sie können frei in den Grunddaten der Berliner Unternehmen suchen.“

Auf der Seite kann man konkret nach Firmensuchen und bekommt Grundstammdaten wie Adresse und Tätigkeit angezeigt. Auch kann man nach Straßen sortiert suchen und findet dort alle angemeldeten Gewerbe.

Eine Quelle brachte uns einen Datensatz von 350.000 Grunddaten vorbei. (Kommentar der Senatsverwaltung: Das sind nahezu alle Berliner Firmen.) Unsere Quelle hatte mit einem Script massenhaft alle einzelnen Firmen ausgelesen. Das kann man z.B. durch ein Berliner Straßenverzeichnis machen, indem man alle Straßen von A-Z durchlaufen lässt und die einzelnen Daten abspeichert. Das Auslesen ist nicht strafbar, weil die Datensätze nicht urheberrechtlich geschützt sind. Ist das jetzt nur ein OpenGovernment – Feature? Nicht wirklich, denn einerseits fehlen natürlich die offenen Schnittstellen. Andererseits geht es hier auch um sensible Daten, die man nicht freiwillig dem Staat gibt, sondern weil man es bei der Anmeldung eines Gewerbes tun muss. In dem Datensatz fanden sich auch jeweils die Tätigkeitsfelder. Damit wurden Invers-Suchen möglich, z.B. nach einzelnen Tätigkeitsfeldern.

Das ist ein Datenschutzproblem und sollte eigentlich verhindert werden. Denn das Gesetz zur eAuskunft schreibt vor, dass man nicht nach der Tätigkeit alleine suchen darf. Deshalb fehlt diese Funktion auch in der eAuskunft. Wir haben nach einzelnen Tätigkeiten gesucht, die uns etwas heikel vor kamen. Alleine aus den Suchbegriffen „Prostitution“, „Begleit-Service“ (Davon sind manche auch nur Senioren-Begleitung, etc.) und „Erotik“ haben wir knapp 1850 Datensätze heraus gefischt. Hier ist eine bereinigte Liste nur mit den aussortierten Tätigkeitsfeldern und ohne private Angaben als CSV-Datei. Einzelne Personen, die z.B. legal ein Gewerbe auf Prostitution angemeldet haben, konnten wir auch in sozialen Netzwerken als Privatperson entdecken, wo nichts von ihrer Berufstätigkeit zu finden war. Mit der Liste hätten wir auch problemlos ein Google -Maps Mash-Up bauen können, wo auf einer Berliner Landkarte die Standorte aller legal angemeldeten Prostituierten angezeigt werden.

Wir haben den Berliner Datenschutzbeauftragten und die Senatsverwaltung für Wirtschaft, Technologie und Frauen über das Problem informiert. Die Senatsverwaltung hat sofort zugesichert, das Problem rasch zu lösen. Eine schriftliche Antwort auf unsere kurzen Fragen zur Problematik wurde uns für spätestens Mitte Januar angekündigt… Wir hoffen mal, dass die Problematik vorher gelöst wird. Das wird sicherlich durch die Berichterstattung beschleunigt.

Die lustigste Tätigkeitsbeschreibung, die wir finden konnten, war übrigens „Software-Entwicklung, Server-Vermietung, Datenschutzlösung und Spirituosenhandel“. Wir verraten jetzt mal nicht, welche Firma dies konkret war.

29 Ergänzungen

  1. Ich kann nicht so ganz nachvollziehen, warum die Suche nach Tätigkeit nicht möglich sein sollte. Wer ein Gewerbe anmeldet, begibt sich automatisch und selbstverschuldet in die Öffentlichkeit. Überall im Wirtschaftsrecht gibt es Transparenzgebote, ob bei der Werbung, Produktbeschreibung, Rechnungstellung, etc. Warum sollte die „Verruchtheit“ eines Gewerbes Einfluss darauf haben, ob Informationen dazu abrufbar sind oder nicht?

    1. @sm

      Das Problem ist, daß die Tätigkeitsbeschreibung nicht im Wissen abgegeben wird, daß diese im Web erscheint, resp. dort durchsuchbar ist. Da stehen echt die kuriosesten Sachen drin. Ist ja nur für die Verwaltung gedacht.

  2. Was ist an Prostitution so schlimm? Das ist ein anerkannter Beruf und die Kundschaft ist hoch. Viele Manager und Politiker nehmen die Dienste von Prostituierten in Anspruch.

  3. Dasselbe könnte man mit vielen anderen Verzeichnissen machen. Einfach mit Hilfe von „Wortlisten“ (eben z.B. dem Strassenregister) alles indexieren und danach ist ne Reverse/Invers Search kein Problem mehr. Stichwort Zefix, etc.

  4. Das Auslesen ist nicht strafbar, weil die Datensätze nicht urheberrechtlich geschützt sind.

    Die Aussage ist in dieser Form falsch. Sammlungen von Daten fallen in Deutschland selbst dann unter das Urheberrecht, wenn sie nur Fakten aufzählen.

    Steht so im UrhG und ist unter anderem im Artikel „Der Schutz von Datenbanken im Urheberrecht“ erklärt.

    (Ein Beispiel mehr für die Ahnungslosigkeit der beteiligten Entscheider.)

    1. @Name: Bist Du Dir da so sicher? Immerhin ist das hier keine private Datenbank, sondern quasi eine staatliche.

  5. Naja, bei staatlichen Daten und sonstigen Firmendaten greifen die doch hart durch wenn da einer was abzweigt.

    Wenn aber z.B. die Bahn die Kunden und Mitarbeiter ausspioniert wird so getan als wäre man total entsetzt und das wars dann.

    Alles in allem muss der Datenschutz in Deutschland (und der weiteren (zivilisierten) Welt) schleunigst komplett überarbeitet und vor allem gewährleistet werden.

    Und es muss wieder ein gesundes Verhältnis entstehen was die Datensammelei und Datennutzung anbelangt.

  6. @Nimsa: Genau darin liegt für mich eher das Problem. Wenn ich eine Gewerbeanmeldung abgebe, dann gehe ich davon aus (und sollte es auch), dass diese Daten zum größten Teil veröffentlicht bzw. öffentlich einsehbar sind. Wieso sollte es eine Erwartung von „Privatsphäre“ im Bereich des eigenen Gewerbebetriebs geben?

    1. @sm: Es gibt einen Grund, warum in der eAuskunft explizit nicht nach der Tätigkeit gesucht werden darf und das ist in dem dazu passenden Gesetz formuliert. Im übrigen kann man wohl auch der Veröffentlichung nicht zustimmen. Mein Unternehmen findet sich nicht in der eAuskunft. Ich vermute mal, dass das daran liegt, dass ich bei der Anmeldung an der passenden Stelle ein Häckchen gemacht habe. Dazu braucht es aber Medienkompetenz.

  7. @Markus: und wie lautet der Grund? Oder wo findet sich dieses Gesetzesstelle? Du scheinst dich da besser auszukennen. Mir ist er nicht klar.

    Dass Betriebe sich der Veröffentlichung entziehen können, wäre für mich eher der Skandal als diese Sache hier.

    1. @sm: Das hat mir der für die eAuskunft zuständige Senatsverwaltungs-Mitarbeiter erzählt, als ich da anrief und nachfragte, ob das ein undokumentiertes Feature sei. Den genauen Grund hab ich vergessen, war was mit Datenschutz.

  8. Ich möchte mal ein dickes Lob aussprechen! Netzpolitik hat sich zu einer echten Institution in Sachen Datenschutz gemausert. Es ist sehr traurig, dass unserem Staat und unserer Wirtschaft Datenschutz scheißegal geworden ist. In solchen Zeiten sind Leute wie ihr Gold wert. Macht weiter so!

  9. Hallo Datenschützer,

    Danke für Eure digitale Aufmerksamkeit.

    Was für ein Geschenk zum Fest der Liebe für die LiebesdienstleisterInnen der Hauptstadt.

    Wer sich näher mit der Sexworker-Problematik und teilweise stigmatisierenden bis kriminalisierenden Rechtslage befassen will, sollte sich das Gutachten von Dona Carmen e.V. -Verein für die sozialen und politischen Rechte für die Menschen in der Prostitution, Frankfurt/Main- zur Einführung eines Gewerberechts für Prostituierte aufmerksam durchlesen:
    http://sexworker.at/phpBB2/viewtopic.php?t=4403&start=26

    Dieser Datenskandal scheint die schlimmsten Befürchtungen schon jetzt zu bestätigen, noch bevor die umstrittenen verschärften Kontrollregime, lanciert vom BKA über einen sog. Runden Tisch Marburg, überhaupt umgesetzt wurden.

    Wenn Sexarbeiter unter verschärfte Behördenkontrolle gestellt werden, solange Sexarbeit tabuisiert, diskreditiert und nicht weitreichend entkriminalisiert wird (oder wollt ihr dass Eure Mutter, Vater, Schwester, Bruder, Freund, Kollege, Chefin, Tochter diese Tätigkeit ausübt oder konsumiert?), so werden die Frauen, Transsexuellen und Männer in der Prostitution verletzlich und ausbeutbar.

    Mit solidarischen Grüßen,
    Marc, admin vom Sexworker-Forum
    einem Vorläufer einer SexdienstleisterInnen-Gewerkschaft
    für Sexworker in A – CH – D.

  10. Großartig ist allerdings auch die interne Kurzbezeichnung der Senatsverwaltung für Wirtschaft, Technologie und Frauen — nämlich SenWTF. Nomen est omen, hm?

  11. Also bitte mal den § 14 Abs. 6 Satz 2 der Gewerbeordnung lesen, da steht folgendes drin:
    „Der Name, die betriebliche Anschrift und die angezeigte Tätigkeit des Gewerbetreibenden dürfen allgemein zugänglich gemacht werden.“ (http://bundesrecht.juris.de/gewo/__14.html).
    Der § 14 Gewerbeordnung wurde in 2007 geändert, vorher durften Auskünfte aus dem Gewerberegister nur bei Glaubhaftmachung eines berechtigten Interesses herausgegeben werden. Das ist jetzt aber nicht mehr so.
    Im Übrigen gilt das Datenschutzrecht nur für natürliche, nicht für juristische Personen (also alle GmbHs usw. können durch diese Veröffentlichung gar nicht in Ihrem Datenschutzrecht verletzt sein).
    Man sollte nicht immer gleich aus allem ein riesen Datenschutzproblem zaubern, denn das tut der Sache auch nicht gut. Angesichts der ständig veröffentlichten „riesigen Datenschutzpannen“ glaubt kaum noch einer an den Datenschutz und ist auch kaum mehr jemand bereit dafür selbst etwas zu tun.

  12. Beispiel für Doppelmoral:

    Keine Gewerbefähigkeit für Sexworker erlauben aber gleichzeitig Gewerbeanmeldungsdaten (erhoben ohne gesetzliche Grundlage) von Sexworkern im Internet zu veröffentlichen (= Zwangsouting):

    Die Senatsverwaltung für Wirtschaft, Arbeit und Frauen des Landes Berlin im Rundschreiben III C Nr.10/2002:

    „Die Prostitution ist auch nach Inkrafttreten des Prostitutionsgesetzes kein Gewerbe im Sinne der Gewerbeordnung. Selbständige Prostituierte müssen daher weder eine Gewerbeanzeige erstatten… Entsprechende Gewerbeanzeigen und Anträge sind abzuweisen…. Diese Beschlusslage entspricht auch der Auffassung Berlins.“ (02.07.2002)

    Vollständige Pressemitteilung von Doña Carmen e.V. Frankfurt/Main:
    http://www.donacarmen.de/?p=297

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.