BerghainBerliner Bezirksamt outet Sexparty-Besucher

Ein Berliner Gesundheitsamt hat bis zu 150 Teilnehmende einer schwulen Sexparty aus Versehen geoutet. Dem Amt passierte der Klassiker unter den Datenschutzpannen: Es sendete bei der Warnung vor einem Corona-Fall die Mailadressen in Kopie an alle.

Logo des Lab.oratory CC-BY-NC 2.0 wwilliamm

Das Bezirksamt Friedrichshain-Kreuzberg hat mindestens 120 Besucher:innen einer Sex-Party im Berghain geoutet. Nachdem Corona-Fälle auf der Party bekannt wurden, schrieb ein Mitarbeiter des Amtes die Gäste per E-Mail an und versendete die Mailadressen offen mit. Die Betroffenen kennen nun die Mailadressen aller anderen angeschriebenen Personen. Wer keine pseudonyme Mailadresse genutzt hat, könnte dadurch geoutet werden. Zuerst hatte Tagesspiegel Checkpoint darüber berichtet.

Das lab.oratory im Berghain ist in Berlin und darüber hinaus bekannt für seine schwulen Sex- und Fetischpartys. Das macht die Datenschutzpanne besonders sensibel: In einer Gesellschaft, in der bestimmte sexuelle Orientierungen, Vorlieben und Sexpraktiken stigmatisiert sind, kann die Teilnahme an einer solchen Veranstaltung für die Betroffenen zu Nachteilen führen.

Stigma und Scham

Der queere Klimaaktivist Tadzio Müller sieht deswegen das Problem gar nicht so sehr beim Fehler des Amtes, sondern bei der Gesellschaft, in der man „sich für Sex schämen muss“. Auf Anfrage sagt er, für die Betroffenen sei das Problem gar nicht so groß, da eine Art schwule Omertà (Schweigegelübde) wirke und diejenigen, die die Mail bekommen hätten, kaum einen Anreiz hätten, die Adressen zu verbreiten: „Ich war auf einer Fickparty – und diese anderen Personen auch.“

Die „CC-Falle“ ist der Klassiker unter den Datenschutzpannen im Bereich E-Mail. Will jemand eine Mail an viele Empfänger:innen senden, ohne dass diese mitbekommen, wer die Mail noch erhalten hat, so müssen die Mailadressen nicht im Feld CC (Kopie), sondern im Feld BCC (Blindkopie) eingetragen werden.  Im Feld CC sind die Mailadressen für alle Empfänger:innen sichtbar.

Lässt sich nun eine Mailadresse einer natürlichen Person zuordnen, gilt sie nach Art. 4 Nr. 1 DSGVO als personenbezogene Information, die Dritten nur mit Einwilligung oder einer anderen entsprechenden Rechtsgrundlage zur Verfügung gestellt werden darf. Ohne die Einwilligung liegt ein Datenschutzverstoß vor. Für Privatpersonen oder Unternehmen kann dann schnell mal ein Bußgeld von 2.500 Euro zusammenkommen.

„In aller Form entschuldigen“

Die Pressestelle des Bezirksamtes Friedrichshain-Kreuzberg hat auf eine kurzfristige Anfrage von netzpolititik.org bestätigt, dass 120 Personen von der Datenpanne betroffen sind. „Leider wurde die E-Mail durch einen menschlichen Fehler so verschickt, dass alle Adressaten die E-Mail-Adresse der anderen Adressaten sehen konnten. Fernerhin wurden Veranstaltungsort und Veranstaltungsdatum benannt, so dass die Veranstaltung für die Adressaten zuzuordnen ist. Dafür möchten wir uns in aller Form bei den betroffenen Personen entschuldigen.“ Tagesspiegel Background hatte von 150 E-Mail-Adressen berichtet, die in der Mail sichtbar gewesen sein sollen. 

Die Kontaktnachverfolgung würde aktuell durch die steigenden Fallzahlen bei weitgehenden Lockerungen der SARS-CoV-2-Maßnahmen immer schwieriger. Die Beschäftigten stünden unter einem hohen Druck. Der Datenschutz müsse natürlich trotzdem gewahrt bleiben, heißt es in dem Statement. Das Gesundheitsamt habe als Konsequenz seine Abläufe dahingehend angepasst, dass so ein Vorfall technisch nicht mehr möglich sei.

Bei der Berliner Datenschutzbeauftragten ist bis am Donnerstag um 11:30 Uhr keine Meldung des Bezirksamtes eingegangen, die Berliner Datenschutzbehörde prüft den Fall jedoch schon. Das Bezirksamt will den Fall nach eigener Aussage aber noch melden.

13 Ergänzungen

  1. Die Formulierung, dass ein Bußgeld „von bis zu 2.500 EUR“ in Betracht kommt, ist falsch. In dem zitierten Fall waren es 2.500 EUR, aber die gesetzlichen Vorgaben lassen auch höhere Bußgelder zu.

  2. > Der queere Klimaaktivist Tadzio Müller sieht deswegen das Problem gar nicht so sehr beim Fehler des Amtes, sondern bei der Gesellschaft, in der man „sich für Sex schämen muss“.

    Die Haltung möchte ich achtkantig zurückweisen. Hier geht es gar nicht um Sex, sondern darum, dass Menschen ihre Handlungen nicht vorher evaluieren. Jetzt heißt es wieder nur „…menschlicher Fehler…“, ja super. Wer beruflich E-Mails an Fremde versenden muss, sollte darin geschult sein, solche Fehler nicht zu machen. Es liegt gar nicht im Ermessen von anderen, ob und wie groß hier die Schäden für die Betroffenen entstanden sind. Privatsphäre definiert immer noch jeder Mensch für sich selbst.

    Ich finde, dass man hier ruhig einen Präzedenzfall schaffen kann. Das dürfen dann auch gern deutlich mehr als 2500€ sein.

    1. In meinem beruflichen Umfeld haben wir auch schon mal überlegt, ob man aus „Allen Antworten“ eine Funktion macht die extra freizuschalten ist … oder die man sich verdienen muß …

      … und auch wenn ich höhere Bußgelder ansetzen würde, das ist für Behörden schwer durchzusetzen.

  3. Die Frage müsste doch auch sein, ob nicht schon das versenden einer unverschlüsselten E-Mail (ohne jemanden im CC zu haben) an dieser Stelle nicht auch schon ein Verstoß gegen die DSGVO ist…

  4. Noch eine Frage an den Autor: „Die Betroffenen kennen nun die Mailadressen aller anderen angeschriebenen Personen.“ – kann man das Outing nennen?

    Ich hatte das seinerzeit so verstanden, das Outing das Öffentlichmachen ist (und auch speziell in den Fällen in denen Betroffene das nicht wollten), aber nicht die Information an Leute, die es sowieso wissen.

    1. Es ist vielleicht nicht ein Outing im klassischen Sinne, aber es ist eben doch ein Unterschied, ob ich im Zweifelsfall die Klarnamen (und den Arbeitgeber) einer Person weiß, mit der ich im Club war oder seinen Namen nicht weiß. Außerdem ist der Aspekt, was das bedeutet und warum Menschen ext. kein Interesse haben die Information weiterzugeben ja auch im Text mit einem O-Ton berücksichtigt.

    2. Hallo, das Outing funktioniert „um die Ecke“ viele haben nur eine geringe ge Anzahl von Email Adressen, nutzen diese also im Netz für andere Dinge (eBay Kleinanzeigen, Foren, etc) einfach die Emailadressen aus dem Verteiler googelndann findet ihr inder Regel alles was die Person mit dieser Adresse getan hat u. U. auch den Klarnamen, Adresse, Handy Nummer und vieles mehr…

  5. „seine Abläufe dahingehend angepasst, dass so ein Vorfall technisch nicht mehr möglich sei“ heißt dann vermutlich das man den Mailclient so um-designt hat das er von sich aus ein bcc Feld zeigt, aber kein cc Feld mehr? :-) Bei Thunderbird hielte ich das für möglich und machbar, bei Outlook, OWA oder anderen Kruden Setups… Keine Ahnung! Klingt aber ein bißchen wie Augenwischerei.

    Wie im Text ja schon gesagt „man war auf einer X-Party und das waren die anderen“ ist eine Info die möglicherweise Türen eintritt die gar nicht zu waren. ;-) Dennoch darf das natürlich nicht passieren, speziell „von Amts wegen“ nicht. Ich stelle mir aber grade vor wie das wohl aussähe wenn es hier nicht um SARS-COV-2 gegangen wäre sondern… z,.B. um AIDS-Infektionen! Teufel oder Beelzebub? Tot in ein paar Wochen oder nach Jahren, spielt das dann eine Rolle?

    Ist noch bekannt das es dieses Problem gibt und das; ganz Gender-paarungs-unspezifisch; u.a. Ungeschützter Verkehr es übertragen kann? Erwähne ich nur weil Ich den Eindruck habe das heute nur noch über Corona und Gender-gerechtigkeit gebrabbelt wird, es aber nicht mehr um die „Lustseuche“ geht. AIDS wird ebenso wenig verschwinden wie Corona oder Grippe. Inzidenzen/DE https://de.wikipedia.org/wiki/AIDS#Deutschland da frage ich mich als unbeteiligter doch: eine Gay-Sexparty in Pandemie-zeiten mit einer ungelösten Vor-Epidemie, mußte das sein?

  6. „kein Outing“

    Abgesehen vom Offensichtlichen, dass die Daten nun mal nicht in die Hände anderer Teilnehmer gehören (Privatdetektei, Stalker, Vergewaltiger… hier ist nicht viel Phantasie nötig), werden diese Emails bei nicht wenigen aufgrund von gesetzten oder auch nicht gesetzten Häkchen z.B. in Software verarbeitet und irgendwelchen Datenhändlern zugeführt, oder sie kommen durch Spionage/Hack/App oder sogar einfaches versehentliches Weiterleiten abhanden.

    Das ist alles die Schuld der Behörde, denn so hat Datenschutz zu funktionieren (Datensparsamkeit, usw.).

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.