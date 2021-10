Ein Berliner Gesundheitsamt hat bis zu 150 Teilnehmende einer schwulen Sexparty aus Versehen geoutet. Dem Amt passierte der Klassiker unter den Datenschutzpannen: Es sendete bei der Warnung vor einem Corona-Fall die Mailadressen in Kopie an alle.

Das Bezirksamt Friedrichshain-Kreuzberg hat mindestens 120 Besucher:innen einer Sex-Party im Berghain geoutet. Nachdem Corona-Fälle auf der Party bekannt wurden, schrieb ein Mitarbeiter des Amtes die Gäste per E-Mail an und versendete die Mailadressen offen mit. Die Betroffenen kennen nun die Mailadressen aller anderen angeschriebenen Personen. Wer keine pseudonyme Mailadresse genutzt hat, könnte dadurch geoutet werden. Zuerst hatte Tagesspiegel Checkpoint darüber berichtet.

Das lab.oratory im Berghain ist in Berlin und darüber hinaus bekannt für seine schwulen Sex- und Fetischpartys. Das macht die Datenschutzpanne besonders sensibel: In einer Gesellschaft, in der bestimmte sexuelle Orientierungen, Vorlieben und Sexpraktiken stigmatisiert sind, kann die Teilnahme an einer solchen Veranstaltung für die Betroffenen zu Nachteilen führen.

Stigma und Scham

Der queere Klimaaktivist Tadzio Müller sieht deswegen das Problem gar nicht so sehr beim Fehler des Amtes, sondern bei der Gesellschaft, in der man „sich für Sex schämen muss“. Auf Anfrage sagt er, für die Betroffenen sei das Problem gar nicht so groß, da eine Art schwule Omertà (Schweigegelübde) wirke und diejenigen, die die Mail bekommen hätten, kaum einen Anreiz hätten, die Adressen zu verbreiten: „Ich war auf einer Fickparty – und diese anderen Personen auch.“

Die „CC-Falle“ ist der Klassiker unter den Datenschutzpannen im Bereich E-Mail. Will jemand eine Mail an viele Empfänger:innen senden, ohne dass diese mitbekommen, wer die Mail noch erhalten hat, so müssen die Mailadressen nicht im Feld CC (Kopie), sondern im Feld BCC (Blindkopie) eingetragen werden. Im Feld CC sind die Mailadressen für alle Empfänger:innen sichtbar.

Lässt sich nun eine Mailadresse einer natürlichen Person zuordnen, gilt sie nach Art. 4 Nr. 1 DSGVO als personenbezogene Information, die Dritten nur mit Einwilligung oder einer anderen entsprechenden Rechtsgrundlage zur Verfügung gestellt werden darf. Ohne die Einwilligung liegt ein Datenschutzverstoß vor. Für Privatpersonen oder Unternehmen kann dann schnell mal ein Bußgeld von 2.500 Euro zusammenkommen.

„In aller Form entschuldigen“

Die Pressestelle des Bezirksamtes Friedrichshain-Kreuzberg hat auf eine kurzfristige Anfrage von netzpolititik.org bestätigt, dass 120 Personen von der Datenpanne betroffen sind. „Leider wurde die E-Mail durch einen menschlichen Fehler so verschickt, dass alle Adressaten die E-Mail-Adresse der anderen Adressaten sehen konnten. Fernerhin wurden Veranstaltungsort und Veranstaltungsdatum benannt, so dass die Veranstaltung für die Adressaten zuzuordnen ist. Dafür möchten wir uns in aller Form bei den betroffenen Personen entschuldigen.“ Tagesspiegel Background hatte von 150 E-Mail-Adressen berichtet, die in der Mail sichtbar gewesen sein sollen.

Die Kontaktnachverfolgung würde aktuell durch die steigenden Fallzahlen bei weitgehenden Lockerungen der SARS-CoV-2-Maßnahmen immer schwieriger. Die Beschäftigten stünden unter einem hohen Druck. Der Datenschutz müsse natürlich trotzdem gewahrt bleiben, heißt es in dem Statement. Das Gesundheitsamt habe als Konsequenz seine Abläufe dahingehend angepasst, dass so ein Vorfall technisch nicht mehr möglich sei.

Bei der Berliner Datenschutzbeauftragten ist bis am Donnerstag um 11:30 Uhr keine Meldung des Bezirksamtes eingegangen, die Berliner Datenschutzbehörde prüft den Fall jedoch schon. Das Bezirksamt will den Fall nach eigener Aussage aber noch melden.