Datenleck bei der Berliner Online-Gewerbeauskunft
Auf berlin.de findet sich die “eAuskunft – die Online-Gewerbeauskunft” als eGovernment-Projekt. Aus der Selbstbeschreibung:
“Berlin bietet mit der eAuskunft als erste deutsche Großstadt eine durchgängige Online-Auskunft aus dem Gewerberegister an. Sie können frei in den Grunddaten der Berliner Unternehmen suchen.”
Auf der Seite kann man konkret nach Firmensuchen und bekommt Grundstammdaten wie Adresse und Tätigkeit angezeigt. Auch kann man nach Straßen sortiert suchen und findet dort alle angemeldeten Gewerbe.
Eine Quelle brachte uns einen Datensatz von 350.000 Grunddaten vorbei. (Kommentar der Senatsverwaltung: Das sind nahezu alle Berliner Firmen.) Unsere Quelle hatte mit einem Script massenhaft alle einzelnen Firmen ausgelesen. Das kann man z.B. durch ein Berliner Straßenverzeichnis machen, indem man alle Straßen von A-Z durchlaufen lässt und die einzelnen Daten abspeichert. Das Auslesen ist nicht strafbar, weil die Datensätze nicht urheberrechtlich geschützt sind. Ist das jetzt nur ein OpenGovernment – Feature? Nicht wirklich, denn einerseits fehlen natürlich die offenen Schnittstellen. Andererseits geht es hier auch um sensible Daten, die man nicht freiwillig dem Staat gibt, sondern weil man es bei der Anmeldung eines Gewerbes tun muss. In dem Datensatz fanden sich auch jeweils die Tätigkeitsfelder. Damit wurden Invers-Suchen möglich, z.B. nach einzelnen Tätigkeitsfeldern.
Das ist ein Datenschutzproblem und sollte eigentlich verhindert werden. Denn das Gesetz zur eAuskunft schreibt vor, dass man nicht nach der Tätigkeit alleine suchen darf. Deshalb fehlt diese Funktion auch in der eAuskunft. Wir haben nach einzelnen Tätigkeiten gesucht, die uns etwas heikel vor kamen. Alleine aus den Suchbegriffen “Prostitution”, “Begleit-Service” (Davon sind manche auch nur Senioren-Begleitung, etc.) und “Erotik” haben wir knapp 1850 Datensätze heraus gefischt. Hier ist eine bereinigte Liste nur mit den aussortierten Tätigkeitsfeldern und ohne private Angaben als CSV-Datei. Einzelne Personen, die z.B. legal ein Gewerbe auf Prostitution angemeldet haben, konnten wir auch in sozialen Netzwerken als Privatperson entdecken, wo nichts von ihrer Berufstätigkeit zu finden war. Mit der Liste hätten wir auch problemlos ein Google -Maps Mash-Up bauen können, wo auf einer Berliner Landkarte die Standorte aller legal angemeldeten Prostituierten angezeigt werden.
Wir haben den Berliner Datenschutzbeauftragten und die Senatsverwaltung für Wirtschaft, Technologie und Frauen über das Problem informiert. Die Senatsverwaltung hat sofort zugesichert, das Problem rasch zu lösen. Eine schriftliche Antwort auf unsere kurzen Fragen zur Problematik wurde uns für spätestens Mitte Januar angekündigt… Wir hoffen mal, dass die Problematik vorher gelöst wird. Das wird sicherlich durch die Berichterstattung beschleunigt.
Die lustigste Tätigkeitsbeschreibung, die wir finden konnten, war übrigens “Software-Entwicklung, Server-Vermietung, Datenschutzlösung und Spirituosenhandel”. Wir verraten jetzt mal nicht, welche Firma dies konkret war.
