Seit zwei Jahren schreiben Deutschlands Gesundheitsämter besonders viele E-Mails an die Bevölkerung. Am Abend des 17. Januar 2022 kam es dabei zu einer peinlichen Panne im Berliner Bezirk Friedrichshain-Kreuzberg. Von der Adresse coronakontakt@ba-fk.berlin.de aus wurde eine E-Mail an Menschen verschickt, die kurz zuvor einen positiven Corona-Test gehabt hatten. Der Betreff lautete: „Umsetzung neue Regeln zu Isolation“. Das Schreiben begann mit der unpersönlichen Anrede: „Guten Tag“ und enthielt Informationen zu den seit drei Tagen geltenden neuen Isolationsregeln. Im Anhang befand sich unkommentiert eine Datei mit dem Titel: „2022-01-17-E-Mail.xlsx“, die es in sich hatte. Es handelte sich nämlich um ein Tabellendokument, in dem in einer Spalte untereinander 3.100 E-Mail-Adressen aufgelistet waren.
Die Adressen sind völlig gewöhnlich und decken so ziemlich alle Namensgebungsvarianten ab. Der Bezirksbevölkerung entsprechend sind nicht nur viele Personen-Namen ausländisch, sondern auch einige Domains der E-Mail-Postfächer. Die allermeisten Postfächer sind von den großen kostenlosen Anbietern, also eher keine beruflichen Adressen.
Bezirksamt stellte den Fehler selbst fest
Nicht zuletzt aufgrund des Dateinamens fragt sich nun, ob diese Datei alle an dem Tag Angeschriebenen erreichte. Gegenüber netzpolitik.org verneint das Bezirksamt Friedrichshain-Kreuzberg das. Nur 45 Menschen hätten das Tabellendokument erhalten. Mittlerweile seien nicht nur die Landesdatenschutzbehörde über das Missgeschick informiert worden, sondern auch alle Betroffenen. Des weiteren teilt das Bezirksamt mit: „Die 45 Empfänger*innen des Tabellendokumentes wurden zusätzlich aufgefordert, die Tabelle zu löschen. Fernerhin wurden die Prozesse in der Pandemiekoordination dahingehend überarbeitet, dass derartige Fehler nicht mehr vorkommen.“
Der Redaktion von netzpolitik.org liegt eine solche E-Mail mit der Löschaufforderung vor. Sie ist vom 25. Februar. Darin wird erklärt: „Der Fehler war menschlicher Natur. Bei 45 E-Mails wurde statt der PDF-Übersicht, die Sie erhalten haben, eine Excel-Tabelle angehängt, die der reinen Bearbeitung der Vorgänge dienen sollte. Der Fehler ist bei Bereinigungsaufgaben am vergangenen Donnerstag, 17.02.2022, aufgefallen.“
Auch diese E-Mail zeigt, dass es im Gesundheitsamt Friedrichshain-Kreuzberg mitunter etwas konfus zugeht. Die Formulierung, dass jemand statt einer Datei, die er erhalten habe, eine andere erhalten hat, ergibt keinen Sinn. Gemeint ist wohl: „statt der PDF-Übersicht, die Sie erhalten sollten“.
Dasselbe Gesundheitsamt war schon im Oktober 2021 mit so einem Datenschutzverstoß aufgefallen. Damals wurden, ebenfalls in Sachen Coronavirus, 120 Menschen offen angeschrieben, die an einer sogenannten Sexparty in einer bekannten Diskothek teilgenommen hatten.
Landesdatenschutzbehörde kennt acht solcher Fälle
Wie sieht es in den anderen elf Berliner Bezirken aus? Die Landesdatenschutzbehörde hat seit Januar 2021 insgesamt acht Meldungen
solcher Datenpannen erhalten, wie sie auf Anfrage mitteilt. Insgesamt wurden demnach 4.117 Adressen offengelegt. Mit Ausnahme des geschilderten Falles seien jeweils zwischen 45 und knapp 300 Adressen betroffen gewesen. Drei der acht Fälle stammen aus Friedrichshain-Kreuzberg, zwei weitere aus Pankow, die anderen drei aus jeweils anderen Bezirken.
Wegen des Vorfalls mit der Sexparty laufe bei der Datenschutzbehörde „ein Untersuchungsverfahren, in welchem grundsätzlich die technisch-organisatorischen Maßnahmen der Gesundheitsämter, insbesondere des Gesundheitsamtes Friedrichshain-Kreuzberg behandelt werden“, wird mitgeteilt. Zu den Ursachen dieser Pannen mutmaßt die Behörde, „dass die Fehler wohl auf eine unzureichende personelle und technische Ausstattung der Gesundheitsämter zurückzuführen sind“. Die genannte Untersuchung scheint weiterhin nötig zu sein, denn noch am 5. Mai 2022 meldete der Bezirk Tempelhof-Schöneberg so eine Datenschutzpanne.
Das Bezirksamt Friedrichshain-Kreuzberg teilt zu den ergriffenen Vorbeugungsmaßnahmen gegen solche Fehler mit: „Wir überprüfen und verbessern kontinuierlich unsere Prozesse und sind bemüht, sie den sich teilweise im Wochentakt ändernden Rahmenbedingungen (Gesetze, Verordnungen, Inzidenzen, Personalressourcen etc.) anzupassen.“
Die Angabe einer E-Mail-Adresse für die Kommunikation mit einem Gesundheitsamt sei jedenfalls freiwillig. Wer sichergehen will, dass seine Adresse nicht öffentlich wird, kann also einfach verweigern, sie anzugeben. Das Bezirksamt weist darauf hin, dass seine E-Mails keine Anordnungen darstellen (was ja auch keine Rechtskraft hätte), sondern nur „Informationsschreiben“.
Excel-Frickelei tut in etwa so weh in der Entwicklerseele wie Digitalisierung durch Faxe…
Stellt sich auch die Frage, wie der Fehler so oft wiederholt werden kann. Mein Tip an den Datenschutzbeauftragten für die Untersuchung: Microsoft ist schuldig. Könnte mir zumindest vorstellen, dass die Ausblendung der Dateiendungen zum Fehler beiträgt. Benzin auf Murphys Feuer.
Ohne das jetzt aufbauschen zu wollen, verwundert mich die Darstellung im Artikel etwas, gerade was die Äußerung der Landesdatenschutzbehörde angeht.
Es handelt sich streng genommen doch nicht „nur“ um die Veröffentlichung von E-Mail-Adressen, sondern auch um Gesundheitsdaten, da alle Angeschriebenen Corona-positiv waren, oder?