Datenpanne nach Berghain-Party

Diese Schlagzeile machte diesen Herbst die Runde, zumindest in Berliner Medien. Aber was war genau passiert, wie ging es weiter und mit welchen Konsequenzen müssen die Verantwortlichen rechnen?

Was war passiert?

Das Berghain ist ein Techno-Club im Berliner Ortsteil Friedrichshain und sein Name leitet sich aus dem Bezirksnamen Friedrichshain-Kreuzberg ab. Das Berghain gilt als einer der bekanntesten Technoclubs der Welt, war aber auf Grund der Corona-Pandemie lange Zeit geschlossen. Erst im Sommer diesen Jahres öffnete der Club wieder seine Tore für Besucher.

Auf einer Party im Berghain ereigneten sich am 15.10.2021, trotz streng kontrollierter 2G-Regel, dann mehrere Infektionen mit Covid-19. Entsprechend der 3. SARS-CoV-2-Infektionsschutzmaßnahmenverordnung der Berliner Senatskanzlei, wurden die Daten der Party-Teilnehmer an das Bezirksamt Friedrichshain-Kreuzberg weitergegeben, um diese über ihr erhöhtes Infektionsrisiko zu informieren. Im Zuge der Information der Teilnehmer schrieb ein Mitarbeiter des Bezirksamtes dann insgesamt 150 Besucher an, leider mit einem offenen Mailverteiler. Konkret bedeutet das, dass alle 150 Mailadressen für alle Empfänger sichtbar waren.

Besonders brisant und prekär an diesem Datenschutzvorfall: die Party „Friday Fuck 2-4-1“ ist eine Sex Party, die vom „lab.oratory“, einem Gay-Sex-Club, ausgerichtet wurde. Es handelt sich hier also nicht nur wegen des Infektionsgeschehens, sondern auch wegen dem Bezug zu einer Sex Party um besondere Kategorien personenbezogener Daten nach Artikel 9 DSGVO. Denn hierunter fallen neben Gesundheitsdaten auch solche personenbezogenen Daten, die einen Bezug zum Sexualleben oder der sexuellen Orientierung erlauben.

Welche Konsequenzen sind möglich?

Schon allein der Versand einer E-Mail an eine größere Anzahl von Empfängern mit einem offenen Verteiler erfüllt den Tatbestand eines Datenschutzvorfalls. Da es sich hier zusätzlich noch um besondere Kategorien personenbezogener Daten nach Artikel 9 DSGVO handelt, ist der Vorfall gem. Art. 33 Abs. 1 Satz 1 DSGVO zudem meldepflichtig und die Betroffenen müssen über den Vorfall informiert werden.

Laut tagesspiegel Checkpoint vom 28.10.2021 war der Datenschutzvorfall aber bis zum 27.10 2021 bei der Berliner Datenschutzbeauftragten nicht bekannt, was bedeuten würde, dass der Datenschutz-Vorfall nicht innerhalb von 72 Stunden nach Bekanntwerden gemeldet wurde und somit zusätzlichen einen Verstoß nach Art. 33 DSGVO vorliegt. Sollten schließlich sogar die Betroffenen nicht informiert worden sein, kommt auch ein Verstoß gegen Art. 34 DSGVO in Betracht.

Die Liste der möglichen Verstöße ist offensichtlich lang. Ein Bußgeld muss das Bezirksamt aber nicht fürchten: Denn gem. Art. 83 Abs. 7 DSGVO kann jeder Mitgliedstaat der EU gesetzlich festlegen, ob und in welchem Umfang Bußgelder gegen Behörden und öffentliche Stellen verhängt werden können. Die Bundesrepublik hat von dieser sog. Öffnungsklausen In § 43 Abs. 3 des deutschen Bundesdatenschutzgesetzes Gebrauch gemacht. Dort steht, dass gegen Behörden und sonstige öffentliche Stellen des Bundes keine Bußgelder verhängt werden können.

Das Berliner Datenschutzgesetzes legt in § 28 außerdem fest: „Gegen öffentliche Stellen im Sinne des § 2 Absatz 1 und 2 sowie Stellen, die nach § 2 Absatz 3 den Bestimmungen dieses Gesetzes unterliegen, werden keine Geldbußen verhängt.“

Was sagt das Bezirksamt selbst dazu?

Beim Verantwortlichen gibt es aber anscheinend ein Problembewusstsein und auch schon Gegenmaßnahmen. Die Pressesprecherin des zuständigen Bezirksamtes Friedrichshain-Kreuzberg, Sara Lühmann, teilte mit: „Dafür [den Datenschutzvorfall] möchten wir uns in aller Form bei den betroffenen Personen entschuldigen. Die Kontaktnachverfolgung wird aktuell durch die steigenden Fallzahlen bei weitgehenden Lockerungen der SARS-CoV-2-Maßnahmen immer schwieriger. Die Beschäftigten stehen unter einem hohen Druck. Der Datenschutz muss natürlich trotzdem gewahrt bleiben. Als Konsequenz haben wir unsere Abläufe dahingehend angepasst, dass so ein Vorfall technisch nicht mehr möglich ist.“

Fazit

Das Bezirksamt hat geschlampt und die Leidtragenden sind die Besucher des Berghain. Datenschutzvorfälle lassen sich nie gänzlich vermeiden, Bußgelder helfen aber, die Verantwortlichen und Mitarbeiter entsprechend zu sensibilisieren. Wir hoffen der Gesetzgeber erkennt diesen Misstand und legt bei öffentlichen Stellen die gleichen Maßstäbe an, wie bei privaten Unternehmen.