In der Online-Abstimmung gab es eine knappe Entscheidung für den Preis in der Kategorie „Gesundheit“ an die Doctolib GmbH. Ganz knapp dahinter kam der Preis „Was mich wirklich wütend macht“ an Google auf den zweiten Platz. An diese beiden ging jeweils ein gutes Drittel der Stimmen.

BBA 2021 – Kategorie „Was mich wirklich wütend macht“

Die Kategorie für diesen BigBrotherAward ist neu.

Sie heißt: „Was mich wirklich wütend macht!“

Und der diesjährige Preis geht an … – ja, an wen eigentlich?

Das ist diesmal nicht so einfach. Werden Sie gleich sehen.

Also: Was mich wirklich wütend macht:

Cookiebanner! Diese Pest! Sie kennen das: Sie rufen eine Webseite auf und – zack! – schon schiebt sich dieser Kasten mit unsäglich schlechtem Design über das, was Sie eigentlich sehen wollen. Dann müssen Sie sich entscheiden: Wollen Sie einfach nur schnell an die gewünschte Webseite, dann klicken Sie einfach auf den großen bunten Button „Okay“. Doch wenn Sie das mit Ihren Rechten ernst nehmen, dann wird es kompliziert. Augen zusammenkneifen, kleine graue Schrift auf weißem Grund lesen, und minutenlang alles einzeln wegklicken, was Sie nicht wollen. Und das ist verdammt viel: bis zu 470 Tracker zum Beispiel alleine bei der Süddeutschen Zeitung. „Will ich alles nicht!“ wird Ihnen gar nicht erst angeboten. Und wenn Sie alle Tracker einzeln in mühsamer Handarbeit weggeklickt haben, dann passen Sie bloß auf, denn der nächste freundlich-bunte Button heißt „Alles zulassen“ und nicht „Meine Auswahl abspeichern“. Der ist grau. Aber Vorsicht – auch da sollten Sie nicht draufklicken. Denn vorher müssen Sie noch die meist gut verborgene Kategorie „Berechtigtes Interesse“ finden. Dort steht nämlich auch alles auf „aktiviert“, und Sie müssen es wegklicken. Haben Sie’s gewusst?

Was mich daran wirklich wütend macht:

Diese Cookie-Dialoge sind nach den neuesten Erkenntnissen über menschliche Wahrnehmung, Psychologie und Webdesign für ergonomisch ansprechende Webseiten gestaltet. Also:

• Wichtige Handlungsoptionen werden im Fließtext versteckt, während das „ok“ auf einem fetten Button thront.

• Sie werden in unlesbaren Farben und Schriftgrößen angezeigt.

• Der „Alles zulassen“-Button steht unten rechts – wo wir eigentlich die Bestätigung unserer Auswahl erwarten.

• Bei vielen Schaltern ist die rechts-links-Position vertauscht: Wenn ich dort klicke, wo ich vorher Tracker deaktiviert habe, werden mit dem Zentral-Schalter plötzlich alle wieder aktiviert.

• Und dann gibt es noch sprachliche Ungetüme, komplizierte Formulierungen und mehrfache Verneinungen, um uns maximal zu verwirren.

Diese Art der Trickserei bei der Gestaltung wird „Dark Patterns“ genannt – wörtlich: „dunkle Muster“. Man könnte sie auch „betrügerisch“, „unethisch“ oder „Manipulation by Design“ nennen.

Wenn wir gute Laune haben – und viel Zeit – können wir das Ganze auch als schräges Spiel betrachten – ein Dark-Pattern-Adventure: Schaffe ich, durch das Labyrinth zu kommen und alle Tracker abzulehnen? Was versuchen sie jetzt noch, um mich auszutricksen? Und wenn ich durchgekommen bin: Was war eigentlich nochmal der Artikel, den ich gerne lesen wollte? Ach, egal …

Cookie-Banner sind kein Spiel. Sie sind armselig und niederträchtig. Sie klauen mir meine Lebenszeit. Dieses Design will mich ermüden und zermürben. Es will, dass ich aufgebe und schließlich „ok“ drücke.

Und jetzt einmal zum Mitschreiben: Nein, der Datenschutz ist nicht schuld! Nein, diese nervenden Abfragen sind vom Gesetz keineswegs so vorgeschrieben – vielmehr ist ein Großteil der Cookiebanner schlicht illegal. Die von Max Schrems¹ initiierte Datenschutzorganisation noyb.eu² hat Ende Mai 2021 mehr als 500 Beschwerden an Unternehmen verschickt, die auf ihrer Website rechtswidrige Cookie-Banner verwenden. Es könnten eine Menge mehr werden. Danke dafür! Ebenso Dank an die EU-Abgeordneten, die die Initiative „trackingfreeads.eu“³ gegen personalisierte Werbung gestartet haben.

Dabei sind Cookie-Banner nur die sichtbare Materialisierung davon, wie wir im Internet ausgespäht werden.

Neben Cookies gibt es nämlich noch etliche andere Ausspähmethoden. Das Facebook-Pixel zum Beispiel, das unsichtbar auf vielen Medienseiten⁴ eingebunden ist und unser Klickverhalten an Facebook verpetzt. Den Browser-Fingerabdruck, der Informationen über Betriebssystem, Browser, Plugins und installierte Schriften nutzt, um uns ganz ohne Cookies wiederzuerkennen.

Was mich wirklich wütend macht:

Wissen Sie, was im Hintergrund passiert, wenn Sie eine Website „betreten“? Während die ersten Teile der Webseite laden, wird im Hintergrund Ihr persönliches Profil auf dem Werbemarkt feilgeboten. Es beginnt eine Auktion um Ihre Aufmerksamkeit. Sie sind die Ware. Das nennt sich „Real Time Bidding“, geschieht in Millisekunden. Verschiedene Gruppen von Online-Werbefirmen identifizieren, analysieren und kategorisieren Sie anhand Ihres Online-Profils, das wieder andere Werbefirmen verwalten. Nehmen wir mal an: Sie sind ein Mann, Mitte 40, mögen teure Uhren? Schwupps, zeigt Spiegel Online Ihnen BMW-Werbung. Oder die Studentin, die eben nach WG-Zimmern gesucht hat, versucht man direkt mit nur vermeintlich günstigen Kreditangeboten zu ködern.

Beim „Real Time Bidding“ zockt ein ganzes Ökosystem von Werbefirmen darum, wer Ihnen seine Werbung zeigen darf. Ein gigantisches Netzwerk von Dienstleistern und Mit-Verdienern. Und die, die das Internet interessant machen, die Zeitungsverlage, Blogs, Inhalte-Lieferanten, bekommen am wenigsten vom Kuchen ab.

Was mich dann noch wirklich wütend macht, …

… sind die Leute, die rufen: Aber dafür sind doch die ganzen Inhalte gratis. Gratis? Hm – Ausforschung und Manipulation im Netz ist ein ziemlich hoher Preis für dieses „Gratis“, finde ich. Dann wird behauptet: Die Medien, die die interessanten Inhalte produzieren, könnten ohne personalisierte Werbung gar nicht existieren. Das müssten wir doch einsehen und deshalb Tracking und personalisierte Anzeigen akzeptieren.

Das ist Quatsch. Medien haben auch früher schon Anzeigenplatz verkauft. Allerdings haben sie dabei bis in die 1990er Jahre den größten Teil der Einnahmen auch tatsächlich selber erhalten und konnten damit Journalisten, Fotografinnen, Zeichner, Rechercheurinnen etc. korrekt bezahlen. Seit den 2000er Jahren sind die Einnahmen der Medien im freien Fall. Denn inzwischen kommen 50–70 % (!) des Geldes, das die Anzeigenkunden ausgeben, gar nicht mehr bei den Verlagen an, sondern landen bei den Dienstleistern und Werbeplattformen, die sich dazwischen geschaltet haben.⁵

Und wo ist das Geld, das nicht mehr bei den Medien ankommt? Schauen Sie mal auf diese Grafik⁶:

Inzwischen im Wesentlichen bei Google. Und bei Facebook. Ich fasse zusammen: Personalisierte Werbung bedeutet: Die Nutzer werden ausgehorcht – die Medien werden ausgehungert.⁷

Was mich wirklich wütend macht:

Nun kommt Google als Ritter auf dem weißen Pferd daher und kündigt an: Chrome, der Google-eigene Browser, wird ab 2022 Third Party Cookies blockieren. Jubel im Netz und in den Medien: Google erlöst uns von den Cookie-Bannern!

Doch das Blockieren von Dritt-Partei-Cookies heißt mitnichten, dass das Tracking und die Ausforschung im Netz aufhören würde. Nein, Google will dafür einfach nur eine neue Technik einführen namens „FloC“ – Federated Learning of Cohorts. FLoC bedeutet: Wir werden nach unserem Browsing-Verhalten der letzten Woche einer Gruppe von ein- bis fünftausend Individuen zugeschlagen, die ähnliche Websites besucht haben. Die Zugehörigkeit zu der jeweiligen Kohorte speichert Chrome auf unserem eigenen Rechner.

Wer jetzt denkt, dann zumindest in der Gruppe der tausend anderen untertauchen zu können, irrt sich. Zum Beispiel ist eine Person, die sich auf einer Website einloggt, natürlich nicht mehr anonym. Und ihre persönlichen Informationen können mit der aktuellen FloC-Kohorte verknüpft werden. Dasselbe gilt für alle, die einen Google- oder Facebook-Account haben und aus Bequemlichkeit ständig eingeloggt bleiben – auch die sind identifizierbar. Und schließlich können wir an unserem Browser-Fingerabdruck wiedererkannt werden. So sorgt FLoC dafür, dass wir in Zukunft noch genauer analysiert werden als bisher schon. Und der Chrome-Browser hat inzwischen einen Marktanteil von etwa 70 % weltweit.

FLoC ist keine datenschutzfreundliche Technik. Es beendet keineswegs unsere Verfolgung im Netz – eher im Gegenteil⁸. Aber wer könnte das auch ernsthaft von Google erwarten – einem Konzern, der 99 % seines Umsatzes mit Werbung macht. Eher glauben wir Piranhas, dass sie Veganer werden wollen.

Willkommener Nebeneffekt von FLoC und dem Blockieren von Third Party Cookies: Google bootet damit konkurrierende Werbeplattformen aus. Nicht, dass wir denen besonders nachweinen würden. Aber der Effekt wird sein, dass die Konzentration auf dem Werbemarkt noch weiter vorangetrieben wird. Google ist dort schon die Nummer eins, dann folgt Facebook und inzwischen auch Amazon. Und dann kommt lange nichts mehr. „Competition is for losers“ – „Wettbewerb ist was für Verlierer.“⁹ Freier Markt? Ach was. Was man als Big Tech-Konzern will, ist ein Monopol.

Was mich wirklich wütend macht:

Wie diese Konzerne mit uns umgehen. Wie sie Menschen nur noch als Rohstoff ansehen, den sie ausbeuten und deren persönliche Erfahrungen sie sich aneignen können. Die Verachtung für die Menschen, die Skrupellosigkeit und der Wille, sie über den Tisch zu ziehen. Die Verachtung fürs Steuerzahlen und für staatliche Infrastruktur. Und die Verachtung für geltendes Recht. Shoshana Zuboff hat ein Wort dafür gefunden: „Überwachungskapitalismus“.¹⁰

Es ist nicht nur eine einzelne Datenkrake – es ist ein ganzes krakiges Ökosystem. Dazu gehören die Versicherungen, die möglichst jedes Risiko für sich selber ausschließen wollen, die Scoring-Unternehmen, die uns geheime Noten geben, nach denen sich unsere Chancen im Leben richten, die Lobbyisten, die Think Tanks, die PR-Agenturen, die Anwaltskanzleien, die diese Enteignung möglich machen, und die Geheimdienste, die davon profitieren und selbst gern im Trüben fischen.

Und an wen geht denn nun dieser BigBrotherAward?

An die Cookie-Bäckereien? An die Internet-Werbewirtschaft? An die großen Plattform-Monopolisten? An die Nudging-Psychologen und die Dark-Pattern-Designer? Die Zeitdiebe und Nervenräuber? Die Profil-Dealer und Real-Time-Bidding-Casinobetreiber? Die Smarten, die Gewissenlosen und die Mitläufer bei den Medienhäusern? Die Karrieristen und die Blauäugigen unter den Digital-Politikern?¹¹

Die Wahl fiel schwer.

Aber dann passierte etwas.

Was mich wirklich amüsiert hat.

Denn Google hat sich quasi selbst nominiert.

Wir wissen nicht, ob es ein menschliches Versehen, die Heldentat eines Whistleblowers oder eine KI war, die digitales Wahrheitsserum genascht hatte …

Die Geschichte geht so: Zehn US-Bundesstaaten unter der Führung von Texas haben Ende 2020 Klage gegen Google eingereicht. Der Vorwurf: Google nutze seine Marktmacht, um Preise für Internetwerbung zu kontrollieren, ein Kartell zu bilden und Werbe-Auktionen zu manipulieren. Dafür nutze Google seine Mehrfachfunktion als Werbeplattformbetreiber, zugleich selber Werbeanbieter und seinen Zugriff auf Nutzerdaten hemmungslos aus. Der texanische General-Staatsanwalt Ken Paxton erklärte den Sachverhalt mit einem Bild aus dem Baseball: Google ist Werfer, Fänger und Schiedsrichter zugleich.¹²

Google schickte also Dokumente an das Gericht in Texas. Die waren zum Beweis seiner Unschuld gedacht. Die eingereichten Dokumente waren überaus relevant zu diesem Thema – allerdings so gar nicht in Googles Sinne. Denn die Dokumente wurden unredigiert eingereicht, also ohne die wirklich interessanten Stellen wirksam zu schwärzen.

Einige Stunden später bemerkte man bei Google den Irrtum und bat das Gericht, die Dokumente austauschen zu dürfen. Doch zu spät – ein paar flinke Gerichtsreporter des Jura-Portals MLex¹³ hatten die unredigierte Fassung gelesen und flugs erkannt, was ihnen da für ein Schatz zugeflogen war:

Die Dokumente beschreiben, wie Google seit 2013 als Auktionsplattform seine Kenntnis von vorangegangenen Auktionen nutzt, um die voraussichtlich gerade ausreichenden Preise vorherzusagen. Damit konnten sie in ihrer zweiten Rolle als Werbevermittler aktuelle Anzeigenauktionen gewinnen, und zwar zu einem möglichst geringen Preis¹⁴. An der Börse heißt so etwas „Insiderhandel“. Vermutet wurde so etwas schon lange – nun steht es genau so in Googles eigenen Dokumenten.

Mit diesem Trick verschafft sich Google nicht nur einen Vorteil vor den anderen Werbevermittlern, sondern drückt auch den Preis, den Publisher für ihren Werbeplatz erhalten. Nutzer werden ausgeforscht – Medien ausgehungert.

Was mich wirklich wütend macht:

Dieses Verfahren hat Google firmenintern „Project Bernanke“ getauft – nach Ben Bernanke, dem ehemaligen Chef der US-Zentralbank. Dieser Codename bedeutet nichts anderes als „Googles Lizenz zum Gelddrucken“. Welch eine Arroganz.

Damit aber nicht genug: 2018 hat Google mit Facebook, der Nummer 2 im Werbemarkt, eine geheime Abmachung geschlossen – interner Codename „Jedi Blue“. Darin sichert Google seinem Konkurrenten Facebook zu, dass sie 10 % der Anzeigenauktionen, an denen sie auf Googles Plattform teilnehmen, gewinnen. Wie soll das gehen in einem Markt mit angeblich freiem Wettbewerb?

Nun: Google liefert Facebook dafür Informationen über Netznutzer.innen, anhand derer Facebook 60 % der Desktopnutzer und 80 % der Mobilnutzer eindeutig identifizieren kann. Damit weiß Facebook, bei wem es sich lohnt, in Anzeigen zu investieren. Facebook sagt im Gegenzug zu, dass sie eine bestimmte Summe für Anzeigen investieren und dass sie ein geplantes Verfahren namens „Header Bidding“, das anderen Werbenetzwerken neben Google bessere Chancen gegeben hätte, nicht weiter verfolgen. Wenn das keine Wettbewerbsmanipulation ist, was dann?

Aber: Erwischt!

Was mir Mut macht!

• Die Klagen und Bußgeldverfahren gegen Big Tech wegen Datenschutz- und Wettbewerbsverstößen häufen sich, sowohl von einzelnen Ländern (aktuell in Frankreich) wie auch von der EU und in den USA. Jawoll – geltendes Recht durchsetzen!¹⁵

• Kalifornien – ja, der US-Bundesstaat, in dem auch Silicon Valley liegt – hat ein Datenschutzgesetz beschlossen. Vorbild war das europäische Datenschutzrecht – doch das kalifornische Gesetz ist tatsächlich strenger!¹⁶

• Die New York Times hat 2018 (nach Inkrafttreten der DSGVO) beschlossen, für ihre internationale Ausgabe auf Tracker und personalisierte Werbung zu verzichten und schaltet Anzeigen nun wieder kontextabhängig. Neben dem Plus an Datenschutz ist diese Entscheidung auch ein finanzieller Erfolg: Denn weil die Tracking-Dienstleister nun außen vor sind, bleibt mehr vom Werbegeldkuchen für die Zeitung übrig.¹⁷

• Die britische Tageszeitung The Guardian hat 2019 nach schwierigen Jahren zum ersten Mal mit einem satten Plus abgeschlossen – ganz ohne Paywall, mit Spenden der Leserinnen und Leser.¹⁸

• Die EU bereitet zwei wichtige Verordnungen vor, die in das Geschäft der Internet-Riesen eingreifen: Den Digital Services Act (DSA) und den Digital Markets Act (DMA). Die Lobbyisten und die Anwaltskanzleien von Big Tech sind schon am Rotieren.¹⁹

• Was uns extra Schwung geben sollte: In den USA entwickelt sich tatsächlich eine überparteiliche Bewegung, die die Macht der großen Digitalkonzerne beschneiden will. Wir freuen uns auf Lina Khan²⁰, die von Joe Biden für die Federal Trade Commission (FTC, die Verbraucher- und Wettbewerbsbehörde) nominiert wurde – eine kompetente Kritikerin von Big Tech.²¹

• Und: Google erhält den BigBrotherAward 2021 für jüngst offenbar gewordene massive Manipulation des Internet-Werbemarktes, Aushungern von Kreativen und Medien sowie Enteignung unserer digitalen Persönlichkeiten.

Vielleicht ist das alles schon mal der Anfang von etwas, was Google wirklich wütend macht.

Herzlichen Glückwunsch, Google.

Der BigBrotherAward in der Kategorie „Public Intellectual“ geht an den Philosophen und stellvertretenden Vorsitzenden des Deutschen Ethikrats, Prof. Dr. phil. Dr. h. c. Julian Nida-Rümelin, für seine öffentlich mehrfach geäußerte unhaltbare Behauptung, dass „der Datenschutz“ die Bekämpfung von Corona erschwert und Tausende von Toten zu verantworten habe.

Natürlich benötigen die Missklänge um die Corona-Pandemiebekämpfung einen Widerhall bei den BigBrotherAwards. Und ich habe lange gebraucht, um zu entscheiden, welchen Namen ich hier als Preisträgerin oder Preisträger nennen möchte. Über Coronapolitik, Sinn und Unsinn gibt es eine Menge zu sagen – was leider auch viele tun. Da komme ich auch noch zu.

Aber erst einmal meine Begründung, warum ich über Herrn Nida-Rümelin wirklich erzürnt bin.

Er sagte und wiederholte die Ansicht, dass (ich fasse da mal zusammen) „in Deutschland der Datenschutz eine vernünftige Warn-App verhindere. Anders als in Südkorea, wo man die Pandemie mit Apps ohne Datenschutz super in den Griff bekommen habe“.

Der Journalist Markus Beckedahl bezeichnete diese Sichtweise als „Talkshow-Mythos“ ¹. Demnach wird die App in Südkorea nämlich vor allem dazu eingesetzt, um die Quarantänebestimmungen einzuhalten, weniger dazu, um Infektionsketten nachzuverfolgen und zu unterbrechen. Und der Blogger Linus Neumann, der hier an dieser Stelle auch schon einmal eine Laudatio gehalten hat, ergänzt²: „Die südkoreanische App hatte Ende Juli ein schweres Datenleck und Südkorea kämpft gerade mit der zweiten Welle. Einen Ausbruch im August hat Korea hingegen unter Kontrolle gebracht – mit einem Lockdown. Auch dieser ‚Erfolg‘ kann also nicht als argumentative Grundlage dienen für das, was Nida-Rümelin behauptet.“

Auch sonstige Behauptungen Nida-Rümelins zerpflückt Linus Neumann genüsslich in seinem Blog³.

Was treibt einen anscheinend klugen Mann wie Nida-Rümelin dazu, sich im Fernsehen, Radiosendungen, in Zeitungen dazu auszulassen, dass der Datenschutz „Tausende Corona-Tote zu verantworten hätte“? Wie klein muss sein großer Geist sein, damit der ihm nicht noch mal eine Warnung zuflüstert, bevor er so eine offensichtliche Dummheit in die Welt hinausruft?

Herr Nida-Rümelin ist Philosoph, Politiker, ehemaliger Kulturstaatsminister, stellvertretender Vorsitzender der Ethikrats. Dortselbst ist er Presseansprechpartner für Digitalisierung.

Schon im Mai letzten Jahres ließ er sich auf SWR1⁴ aus. Im September 2020 haben wir das für die BigBrotherAwards noch ignoriert. „Don’t make stupid views famous.“ Leider hat der Denker Nida-Rümelin diese Chance nicht zum Denken genutzt. Bei der Unterhaltungssendung „Anne Will“⁵ im Dezember 2020 wiederholte er seine falschen Parolen gegen den Datenschutz.

Und dann, im März 2021 – da waren alle Fakten, auf die er sich gestützt hatte, längst komplett widerlegt – verbreitete er seine alternativen Meinungen erneut, diesmal über die Deutsche Presseagentur. Da dachte ich dann wirklich: Ach, Philosoph, hättest Du doch geschwiegen …

Nein, Julian Nida-Rümelin und Ihr anderen „Anti-Datenschutz“-Apologeten: Datenschutz tötet nicht. Datenschutz ist die dünne Membran, die uns alle vor der Barbarei staatlicher und kommerzieller Übergriffigkeiten schützt.

Datenschutz, beziehungsweise ‚Informationelle Selbstbestimmung‘, beziehungsweise „Menschenschutz“, vom Bundesverfassungsgericht 1983 aus den ersten zwei Absätzen des Grundgesetzes abgeleitet, seit der Inkraftsetzung der Datenschutzgrundverordnung ein weltweiter Innovationsmotor, ist ein Thema, das wie kein anderes das geschulte philosophische Denken fordert, weil diese verdammte digital vernetzte Welt nun mal nicht mit Hämmern und Nägeln vergleichbar und nicht mit mechanischen Modellen darstellbar ist.

Wir haben in den vergangenen 4 Jahrzehnten die Darstellung unserer Welt und unsere Kommunikation darüber in Nullen und Einsen zerlegt. Es sind Stromschwankungen, die potenziell gleichzeitig an Millionen und Milliarden Orten bis hinein in den erdnahen Orbit und das Universum gleichzeitig kopiert werden – völlig ohne dass das an der Ursprungsstelle erfahrbar ist.

Was das fürs Menschsein bedeutet, haben Sie, Herr Nida-Rümelin – genauso wie die anderen Schwachmaten, die zurzeit ein digitales Pro-Terrorgesetz nach dem anderen verabschieden – noch lange nicht durchdrungen. Darüber muss man nachdenken, bevor man den Erwachsenen reinredet. Da muss man zuhören, wenn die Erwachsenen drüber reden. Da muss man seinen Verstand gebrauchen, wenn man der Gesellschaft weiter helfen will.

(Ich bitte die Arroganz der vorstehenden Sätze zu entschuldigen: Sie sind meiner Verzweiflung geschuldet.)

Digitaler Menschen- und Gesellschaftsschutz braucht Präzision.

Ja, ich bennene das Wort Datenschutz jetzt mal zum besseren Verständnis um. Denn Datenschutz bedeutet nicht, dass Daten geschützt werden müssen – das wäre Datensicherheit – sondern, dass Menschen und Gesellschaft Schutz brauchen.

Also nochmal: Digitaler Menschen- und Gesellschaftsschutz braucht Präzision.

Digitaler Menschen- und Gesellschaftsschutz braucht geschultes Denken.

Digitaler Menschen- und Gesellschaftsschutz braucht Philosophie.

Das denkt sich nun mal nicht so schnell zwischen Häppchen und Interview.

Ich erwarte von einem studierten und lehrenden Philosophen, dass er nicht einfach wie jeder andere dahergelaufene Verschwörungsheini undurchdachten Blödsinn in die Welt hinausbläst. Oder erwarte ich da einfach zu viel? Hat mir mein gefährliches Halbwissen von Platons Traum der „Philosophenherrschaft“ schon selbst den Verstand vernebelt, so dass ich jetzt ent‑täuscht bin über meine Vorstellung von einer Denk-Elite, die nicht mehr als ungare Plattitüden ’raushaut?

Ich möchte hier auf gar keinen Fall einer keimenden Intellektuellenfeindlichkeit das Wort reden. Im Gegenteil.

Natürlich gehört es zum Beruf eines Philosophen, steile Thesen zu proklamieren – aber es gehört auch dazu, sich dem Diskurs zu stellen und diese Thesen prüfen und angreifen zu lassen, und aus dem Diskurs zu lernen. Und das Gelernte muss dann anschließend in neue Thesen eingebaut werden. Und dann, wenn man in vielen nervigen und beflügelnden Diskursen Festigkeit in seiner These erlangt hat, dann erst strebt man zu der großen Bühne und gibt das in die Gesellschaft, was die Gesellschaft als Gesamtes weiterbringt. Man wiederholt auf der großen Bühne nicht ein Jahr lang dumme Behauptungen – und schon gar nicht, wenn deren Faktenbasis inzwischen Stück für Stück komplett widerlegt worden ist.

Wumms.

Und jetzt frage ich mich, was mich selbst denn so von Herrn Nida-Rümelin unterscheidet (abgesehen davon, dass ich meinen Beruf als Künstler bezeichne). Ich stelle mich auch auf mehr oder weniger große Bühnen und postuliere Erkenntnisse. Aber auch, wenn ich das nicht wahrhaben will, bin ich auch nur ein älterer Herr, der ab und an ganz schön sauer ist und durchaus das Mitteilungsbedürfnis hat, andere an dieser Mißstimmung – mit dem Ziel der Verbesserung – teilhaben zu lassen.

Wenn ich mich in der Corona-Diskussion umgucke, sehe ich eine Kakophonie von vielen Herren und ein paar Damen, die einem ihre Erkenntnisse und Ansichten mit Kraft der von ihnen genutzten Medien um die Ohren hauen möchten. Schulen auf? Ja! Schulen zu? Ja! Lockdown? Ist doch gar kein Lockdown! Alles zumachen! Alles aufmachen? Spahn macht alles falsch! Datenschutz stinkt! Die Luca-App ist Betrug! Du genderst falsch! IP-Nummern sind keine personenziehbaren Daten! Doch, sind sie! Corona ist eine Absprache des World Economic Forums. Die wollen nur ID2020 durchbringen. Und Billionen über Impfungen einsacken. Putin ist ein lupenreiner Demokrat. Versammlungen sind grundsätzlich verboten. Das war doch nur satirisch gemeint!

In dieser Kakophonie hat Julian Nida-Rümelin als Denker mitgemacht. Und um es ganz schlicht auszudrücken: Er war nicht hilfreich.

Sollte ich Mitleid mit ihm haben, Verständnis zeigen? Ich kann es mal versuchen. Da stehen wir armen Toren, und ohne, dass es blitzt und donnert oder Asche regnet, bricht da eine Pandemie aus. Wir können sie nicht riechen, nicht schmecken. Wir können uns nicht in Feuersbrünste werfen und heldenhaft Frauen und Kinder retten. Wir sind dazu verdonnert, zur Seite zu gehen und Fachleute machen zu lassen.

Er und ich sind keine Pandemiefachleute.

Deshalb interessiert sich auch niemand für uns. Wir sind gar nicht gefragt. Das einzige, was ich Leuten hätte sagen können, war: Ich habe wissenschaftlich arbeitende Menschen in meinem Freundeskreis, die können Statistik verstehen und die sagten mir zu Beginn der Pandemie: Bunker Dich erst mal ein. Zumindest, bis weitere Informationen da sind.

Und dann hat man ein bisschen Zeit, um das Seuchenschutzgesetz zu lesen. Dann versteht man den gesetzlichen Auftrag des RKI. Versteht plötzlich den Unterschied zwischen Katastrophen- und Bürgerschutz. Man weiß dann, dass Seuchenschutz Länderrecht ist. Und dann entdeckt man, dass die Gesundheitsämter überhaupt nicht für die Bewältigung einer Pandemie aufgestellt sind. Dass in den vielen Jahren Gesetzgebung nichts getan wurde, um einer Pandemie zu begegnen. Aber es wurde ein schwachsinniges Gesetz nach dem anderen für den Fetisch „für mehr Sicherheit“ gemacht. In den Gesundheitsämtern sitzen sie mit Papier und Bleistift, Faxgeräten und Wählscheibentelefonen und schaffen es nicht, die Informationsmengen und Anforderungen, die auf sie einstürmen, zu bewältigen. Hier blicken wir auf mindestens 30 Jahre Staatsversagen. Und dann kam noch der Kanzlerkandidatsmachtkampf der CDU dazu, der nicht hilfreich war. Weil unter dem Eindruck dieses Machtkampfes nie klar war, welche Maßnahme wirklich sinnvoll war und welche nur den Gockeleien geschuldet war …

Aber der Datenschutz ist schuld? Ja?! Echt mal!

Ich weiß nicht, ob jemand hier im Raum mal auf einer „Corona-Leugner“-Demo war. Ich war es. Ich habe meinen Presseausweis eingesteckt, meinen Mundschutz aufgesetzt, und ich habe dort mit vielen Leuten gesprochen. Menschen, wie du und ich. Menschen, bei denen ich mir auch vorstellen konnte, dass sie auf einer unserer Demos mitlaufen könnten. Aber auch Menschen, denen geistige Führung fehlt, um eigenständig sein zu können. Die durch das, von dem sie denken, dass es Korruption sei, dieses Haudrauf-Gesetzemachen ohne Sinn und Verstand, so verunsichert sind, dass sie zu der nächstbesten wohlfeilen Erklärungsalternative greifen.

Ich kann es ihnen nicht wirklich verdenken. Zumal immer mehr Verwirrprofis Morgenluft wittern und nicht nur die dummen Klugen, sondern nun auch die bösen Schlauen mitspielen im Verwirrspiel. Die Leute da sind (mal von den komplett Verstrahlten abgesehen) wirklich überzeugt von ihren Einstellungen, von ihren Zweifeln und den ‚alternativen‘ Informationen, die sie sich einverleibt haben. Das sind die Menschen, die von denen, die fürs Denken bezahlt werden, allein gelassen worden sind. Nicht nur allein gelassen: Sie wurden dem strukturellen Populismus⁶ der sozialen Hetzwerke ausgeliefert. Allein gelassen nicht nur von Herrn Nida-Rümelin, sondern auch von den anderen Herren (und Damen) seines Kalibers.

Deshalb haben wir auch die Kategorie „Public Intellectual“ eingeführt – weil wir eigentlich so dringend Menschen brauchen, die denken können und anderen damit Wege weisen. Wie bitter, wenn Menschen wie Herr Nida-Rümelin diesen Auftrag so schändlich für billigen Populismus verraten.

Viele haben in dieser verfluchten Corona-Pandemie mit den notwendigen Einschränkungen von Freizügigkeit und existenzbedrohenden finanziellen Verlusten hier und da Dinge von sich gegeben, die man bei klarem Verstand so nicht gesagt hätte. All denen gegenüber müssen wir Barmherzigkeit walten lassen. Den Schauspielern, die sich jetzt für ihre komische Aktion schämen. Und den Leuten, die als Querdenker.innen ein paar gewissenlose Hetz-Trolle reich gemacht haben. Und die dabei nicht gemerkt haben, dass der Gebrauch ihres eigenen Verstandes eine Zeitlang in die Irre geführt hat. Ihnen allen – auch Herrn Nida-Rümelin – möchte ich zurufen: Wer A sagt, muss nicht immer wieder A sagen. Man kann auch erkennen, dass A falsch war.

In diesem Sinne: Herzlichen Glückwunsch, Julian Nida-Rümelin, zum BigBrotherAward 2021.

Der BigBrotherAward 2021 in der Kategorie Verkehr geht an die Europäische Kommission für die Einführung des „On-Board Fuel Consumption Meter“ (OBFCM).

Was verbirgt sich dahinter?

Die Autohersteller nehmen es bei den Angaben für Schadstoffausstoß meist nicht so genau. Man kann auch sagen: Es wird gemogelt, dass sich die Balken biegen. Das wissen wir spätestens seit dem Diesel-Skandal. Und dass auch der Benzinverbrauch unter realen Fahrbedingungen nicht nur geringfügig von den im Autohersteller-Labor gemessenen Werten abweicht, ist keine große Überraschung.

Für die EU ist es wichtig, realistische Verbrauchsdaten zu ermitteln, da den Herstellern eine Obergrenze des CO2-Ausstoßes für Neuwagen auferlegt wurde. Bei Überschreitung werden Strafen fällig¹. Außerdem sollen potentielle Autokäufer.innen eine Idee bekommen, was ihr Wunschauto tatsächlich verbraucht, und nicht nur schöngerechnete Werte. Deshalb sollen die Verbrauchswerte nicht nur im Labor, sondern an den tatsächlich gefahrenen Autos ermittelt werden.

Die gut gemeinte Idee: Moderne Autos können doch ohnehin sämtliche Motordaten erfassen, die beim normalen Betrieb des Fahrzeuges anfallen, also die Werte der Motorsteuerung, der Einspritzanlage etc. Sie verfügen über einen mächtigen Bordcomputer für die Steuerung und sind – dank dem BigBrotherAward-Preisträger von 2014 („e-Call“) – auch bereits mit einem Mobilfunkmodul ausgestattet, welches diese ganzen Daten sogar in Echtzeit übermitteln kann. Sowas nennt sich „Telemetrie“ (oder weniger technisch: „nach Hause telefonieren“). Für Telemetrie in Windows 10 hat Microsoft im Jahr 2018 einen BigBrotherAward bekommen. Und wenn das Auto das alles sowieso kann, braucht man gar keine Laborwerte mehr, die womöglich geschönt und frisiert werden.

Gut, bei der Übertragung per Mobilfunk könnte man jetzt denken: Puh, tja, ist der Echtzeit-Anspruch nicht etwas übertrieben? Könnte man die Daten nicht einfach sammeln und beim nächsten Werkstattaufenthalt auslesen? Klar, das ginge, aber neue Autos müssen erst nach drei Jahren zum TÜV, so lange müsste die EU-Kommission auf die Daten warten. Mit Blick auf den fortschreitenden Klimawandel ist das eine lange Zeit.

Für die nun laufende Testphase von fünf Jahren hat sich die EU-Kommission bei der Umsetzung der Verordnung 2019/631² dafür entschieden, die Hersteller mit der Datensammlung zu beauftragen.

Aha. Die Autohersteller.

Die bisher sooo „ehrlich“ bei den Angaben zu Schadstoffen und Verbrauchswerten waren.

Ernsthaft?

Das hat sich die EU-Kommission wohl auch gefragt - und möchte deswegen detailliert, für jedes Auto mit seiner Fahrzeugidentifikationsnummer, in dichten Abständen, die Verbrauchswerte, gefahrene Kilometer und ggf. weitere Parameter übermittelt bekommen, damit soll eine Schummelei seitens der Hersteller unterbunden werden.

Kleiner Schönheitsfehler: Die Hersteller sind immer noch im Boot. Mehr noch: Sie bekommen die umfangreichen individuellen Telemetriedaten frei Haus geliefert, die sie sonst nur mit ausdrücklicher Einwilligung des Halters erheben dürften. Und nicht nur das, sondern darüber hinaus nicht genauer von der Verordnung spezifizierte „weitere Parameter“. Eine höchst willkommene weitere Datenquelle für die Hersteller.

Zwar steht in der EU-Verordnung, dass die Fahrzeug-Identifizierungsnummern „lediglich für die Zwecke dieser Datenverarbeitung verwendet und nicht länger als dafür notwendig gespeichert“ werden sollen, aber wie lange das ist, da möchte sich lieber niemand so genau festlegen. Fest steht: So lange die Motordaten mit der Fahrzeug-ID verknüpft bleiben, sind auf jeden Fall umfangreiche Einblicke in das individuelle Fahrverhalten möglich.

Laut einer Antwort auf eine parlamentarische Anfrage der FDP³ ist sich die Bundesregierung sicher, dass mit dieser Technik keine Bewegungsprofile erstellt werden können, und abgesehen von der Datenbank beim Kraftfahrzeug-Bundesamt und denen der Versicherungen gäbe es auch keine Verknüpfung zwischen den Fahrzeugnummern und Halter.innen. Aber wie wir aus der Vergangenheit wissen, gerade wenn es um Bewegungsdaten geht: Wo ein Trog ist, kommen die Schweine. Wenn die Daten erstmal gesammelt sind, findet sich auch schnell ein Bedarf mit einem „berechtigten Interesse“ dafür.

Und nicht nur die EU-Kommission, auch die Bundesregierung hätte solche Daten gerne. Sie plant die Initiative „Datenraum Mobilität“. Dort sollen vor allem die deutschen Autohersteller und Mobilitätsanbieter ihre Daten „teilen“, so das Ziel des Projektes. Wer da was mit wem teilt, ist aber noch reichlich unklar. Es gibt bestimmt sinnvolle Anwendungen für so einen Datenpool. Aber es lässt auch erahnen, wie zukünftig die Autofahrer.innen darum kämpfen müssen, dass ihre Bewegungsdaten nicht zum Freiwild werden.

Mit der elektronischen Verbrauchsdatenerfassung und -übermittlung (die englische Abkürzung dieses Verfahrens ist „OBFCM“) wird ein weiteres Mosaiksteinchen in Richtung gläserne Autofahrer.innen gelegt, obwohl dies gar nicht notwendig wäre. Wir sehen mit Sorge, wie Telematikdienste ihren Weg in die Autos finden und der Datenschutz dabei auf der Strecke bleibt.

Deshalb sagen wir für diese EU-Verordnung 2019/631: Herzlichen Glückwunsch, zum BigBrotherAward 2021, liebe EU-Kommission.

Der BigBrotherAward in der Kategorie „Gesundheit“ geht an die Firma Doctolib in Berlin für ihr Terminvermittlungsportal für Ärzte.

Doctolib verarbeitet mit diesem Portal unter Missachtung der ärztlichen Vertraulichkeit die Daten von zigtausenden Patient.innen.

Das Angebot für Gesundheitsfachkräfte, also vor allem für Ärzte, und deren Patienten, ist genial: Die Ärzte schließen einen Vertrag mit Doctolib ab, erteilen Zugriff auf ihre Patientendaten und können dann über eine Internetseite Behandlungs-, Beratungs- oder Impftermine verbindlich verabreden lassen. Und schon können die Patient.innen online Termine buchen. Kein Warten in einer Telefonwarteschleife, keine gestressten Mitarbeiter.innen, selbst das Erinnern der Patient.innen an den Termin übernimmt Doctolib – und für das alles zahlen die Praxen nur etwas mehr als 100 € im Monat. Für die Patient.innen ist alles unentgeltlich. Und nicht nur das. Doctolib verspricht:

„Für DOCTOLIB hat die Sicherheit und die Geheimhaltung personenbezogener Daten seiner Nutzer oberste Priorität. Daher verpflichtet sich DOCTOLIB, alle deutschen und europäischen Vorschriften zum Schutz personenbezogener Daten einzuhalten. DOCTOLIB hält sich an die von den jeweiligen Kammern und Verbänden erlassenen Standesregeln für Ärzte und Heilberufler.“

Na, dann ist ja alles in Butter. Auf dem Bildschirm.

Funktionsweise

In der Realität sollten Ärzt.innen schnell stutzig werden, denn wenn ein Arzt Doctolib für seine Praxis in Anspruch nehmen will, erscheint ein Mitarbeiter des Unternehmens und bittet zunächst einmal um Zugriff auf den gesamten im Arztinformationssystem gespeicherten Patientenstammdatensatz.

Und damit nicht genug: Nach dem Import der Patientenliste ist ein regelmäßiger Datenabgleich der Termintabelle des Arztsystems mit dem Vermittlungssystem von Doctolib nötig.

Da stellen sich unsere Stacheln auf. Trotzdem beteiligen sich Praxen an diesem Dienst. Wir vermuten: Die meisten Ärzt.innen verstehen von den technischen Vorgängen wenig und vertrauen auf die Expertise von Doctolib sowie das Versprechen, Patientengeheimnis und Datenschutz zu beachten.

Als Zusatzangebot für die Patient.innen bietet Doctolib zur Orientierung eine bundesweite Ärzteliste sowie zur Telekonsultation einen Videodienst an. Und seit Beginn der Corona-Pandemie vermittelt Doctolib auch Impftermine, für das französische Gesundheitsministerium ebenso wie für die Gesundheitsverwaltung in Berlin.

Und tatsächlich funktioniert dann auch alles. Doctolib rühmt sich einer Kundenzufriedenheit von 97 %. Nach eigenen Angaben nutzen 150.000 Ärzte und Gesundheitsfachkräfte in Deutschland und Frankreich und 50 Millionen Patient.innen den Dienst. Dass dies alles in Ordnung geht, dafür sollen gleich drei unterschiedliche Gütesiegel bürgen.

Intransparenz

Ein qualifizierter Blick ins Kleingedruckte aber belehrt ein geschultes Auge eines Schlechteren: Verwirrend ist zunächst die Vielzahl der Dokumente: Während es bei anderen Diensten einmal Allgemeine Geschäftsbedingungen (AGB) gibt, gibt es hiervon bei Doctolib ein Dutzend: Nutzungsbedingungen, Datenschutzhinweise, Grundsätze zum Schutz von Gesundheitsdaten (jeweils unterschieden nach Patient.innen und den sog. Gesundheitsfachkräften), zusätzlich eine Cookie-Richtlinie, eine Verarbeitungsliste, Hinweise zu Datenschutz und Sicherheit, FAQs, einen Auftragsverarbeitungsvertrag und Begriffsbestimmungen. Das ist für einen einheitlichen Dienst zu viel. Die Dokumente sind verwirrend und unklar, teilweise widersprüchlich. Die meisten sind nicht durchnummeriert, was eine Berufung darauf zusätzlich erschwert.

Der Teufel steckt im Detail: Doctolib trennt formaljuristisch zwischen einer Auftragsverarbeitung für die Gesundheitsfachkraft und einer eigenen Doctolib-Verantwortung für sein eigenes Webangebot. Soweit so gut und richtig. Doch dann maßt sich Doctolib an, die im Auftrag des Arztes verarbeiteten Daten in den eigenen Datenbanken zur Terminvergabe zusammenzuführen. Für Ärzt.innen wie Patient.innen und auch für uns bleibt unklar, wie die Daten dann weitergenutzt werden.

Besonders sensible Gesundheitsdaten

Es sollte unstreitig sein, dass ärztliche Terminvereinbarungen ebenso wie die Metadaten von Videosprechstunden sensitive Gesundheitsdaten sind, die unter dem besonderen Schutz der Datenschutzgrundverordnung stehen, und die zudem der beruflichen Schweigepflicht unterliegen. Das Vertrauen des Patienten gegenüber dem Arzt verbietet es, dass Namen, Termine, Behandlungen in die Hände Dritter gelangen und für andere als Behandlungs- und Beratungszwecke in der Praxis des Vertrauens genutzt werden. Juristisch dürfen Ärzte dafür Auftragsverarbeitungsverträge abschließen, ohne dass ihre Patient.innen zustimmen müssen. Aber dieses Vertrauensverhältnis wird spätestens dann in strafbarer Weise verletzt, wenn sich Doctolib aus dem Arztsystem Daten von Patient.innen beschafft, die keine Termine vereinbaren und nicht einmal ein Konto bei Doctolib haben, und wenn die Betroffenen über diese Datenweitergabe nicht informiert werden.

Werbung, Tracking, Analysen – wer ist verantwortlich?

So vollmundig sich Doctolib zum Datenschutz und zum Patientengeheimnis bekennt, so sehr müssen wir diese Versprechen nach Lektüre des Kleingedruckten in Frage stellen:

In der Cookie-Liste von Doctolib taucht z.B. Google auf mit Analytics und Adwords bzw. Ads. Als Zwecke werden das „Verfolgen“ oder „Nachverfolgen“ der Webseitennutzung angegeben. Ads dient für nichts Banaleres als Werbung. Stimmt man den Datennutzungen für Werbung und Meinungsumfragen einmal zu, dann hat dies bei allen weiteren Terminvereinbarungen offenbar zur Folge, dass die Daten z. B. auch zu Google gelangen. Das gleiche Problem stellt sich bei der Einbindung von sozialen Netzwerken wie Twitter, Instagram, Facebook, LinkedIn, Medium und YouTube schon auf der Startseite von Doctolib. Wofür das alles gut sein soll, weshalb zum Beispiel eine Terminvergabe-Seite einen YouTube-Button braucht, muss Doctolib sich ernsthaft fragen lassen. Bei den dortigen Cookieeinstellungen wird jeweils „alle akzeptieren“ angeboten. Und Doctolib erklärt dann unschuldig, dass es für die Verarbeitung von Daten bei diesen Diensten nicht verantwortlich sei.

Hier irrt Doctolib: In jüngster Zeit hat der Europäische Gerichtshof gleich in drei völlig unabhängigen Verfahren festgestellt, dass bei einer solchen Datenverarbeitung eine Mitverantwortlichkeit des Seitenanbieters, also hier von Doctolib, besteht. Wir meinen: Kommerzielle Social Media-Firmen haben in der Arzt-Patientenbeziehung nichts zu suchen, schon gar nicht, wenn diese ihren Sitz in einem unsicheren Drittstaat wie den USA haben.

Schweigepflicht

In Doctolibs „AGB Nutzer“ von 2019 kann der Patient lesen, dass er seine Ärzte mit seiner Zustimmung von der gesetzlichen Schweigepflicht entbindet. Wofür und weshalb, wird dem Patienten und wurde auch uns auf Anfrage nicht erklärt. Es sollte klar sein, dass eine solche Entbindung im Kleingedruckten unwirksam ist.

Tatsächlich beginnt die Verletzung der Schweigepflicht früher und hat eine gewaltige Dimension: Einem Arzt ist es zwar nach einer neuen gesetzlichen Regelung aus dem Jahr 2017 explizit erlaubt, technische Dienstleister wie Doctolib in Anspruch zu nehmen. Voraussetzung ist aber, dass die hierfür offenbarten Patientengeheimnisse für den Dienst erforderlich sind. Definitiv nicht erforderlich ist der gesamte Import der Patientenliste eines Arztes durch Doctolib. Dem Unternehmen würde es für seine Terminvermittlung genügen, vom Arzt die freien Termine zu erfahren, um dann diese gegenüber dem Arztsystem zu vermitteln.

Mandantentrennung

Als Mitwirkender eines Arztes und als dessen Auftragsverarbeiter ist Doctolib verpflichtet, die sog. Mandantentrennung einzuhalten. Das heißt, Doctolib darf die Patientendaten von verschiedenen Ärzten bei sich nicht zusammenführen. Doch das genau scheint das Unternehmen zu tun. Auf dem Chaos Computer Congress 2020 wurde berichtet¹, dass dem Chaos Computer Club eine Doctolib-Datenbank zugespielt worden sei. Über die beschriebene Lücke sei der Zugriff auf ca. 150 Millionen Terminvereinbarungen möglich gewesen, die wohl auf eine Synchronisierung mit den Terminkalendern der Arztpraxen zurückzuführen waren und die bis ins Jahr 1990 zurückreichten.² Wie die Daten verarbeitet wurden und werden, was Doctolib mit dieser Sammlung tut und weshalb alte Daten nicht gelöscht wurden, bleibt das Geschäftsgeheimnis unseres Preisträgers.

Die angeblich verliehenen Gütesiegel haben entgegen der Firmenbehauptung keine Grundlage in der DSGVO. Was hier gesiegelt wurde und weshalb, bleibt weitgehend das Geheimnis von Doctolib. Bekannt ist u.a., dass Doctolib ein in Frankreich zertifiziertes Cloudangebot von Amazon Web Services – mit Rechnern in Europa – nutzt.³

Was tut Doctolib wirklich?

Unsere Nachfragen beim Unternehmen wegen des millionenfachen Herunterladens von Patientendaten, zur Mandantentrennung und vieles mehr, blieben unbeantwortet.

Uns bleiben insofern nur Spekulationen, was auf den Servern von Doctolib und AWS passiert.

Spekulieren tun übrigens auch Wagniskapitalgeber, die dem 2013 gegründeten Unternehmen 2016 23 Mio. €, 2017 weitere 35 Mio. € und 2019 nochmals 150 Mio. € bereitstellten. Doctolib zählt inzwischen zu den sog. Unicorns, also den Firmen, die auf dem Kapitalmarkt mit mehr als einer Milliarde Euro bewertet werden.⁴

Der Markt der Gesundheitsdaten ist, nachdem der globale und auch der europäische Markt von Internetnutzungsdaten zwischen Facebook und Google aufgeteilt ist, ein neues Spielfeld für IT-Konzerne und Spekulanten. Bisher ist es halbwegs gelungen, hier in Europa US-Unternehmen draußen zu halten unter Verweis auf die ärztliche Vertraulichkeit. Doctolib arbeitet daran, sich einen großen Teil dieses Kuchens einzuverleiben mit dem vollmundigen Bekenntnis zu dieser Vertraulichkeit, ohne sich daran wirklich zu orientieren.

Die Digitalisierung unseres Gesundheitssystems ist wichtig, um die Gesundheitsversorgung der Bevölkerung zu verbessern und auf einem hohen Niveau zu halten. Dies darf aber nicht auf Kosten der Vertraulichkeit zwischen Patient.innen und Heilberufen passieren. Dafür, dass Doctolib diese Vertraulichkeit seinem Expansionsstreben unterordnet, dafür erhält das Unternehmen den BigBrotherAward 2021 in der Kategorie „Gesundheit“.

Herzlichen Glückwunsch, Doctolib.

Thilo Weichert hat ein ausführliches Gutachten zu Doctolib für das Netzwerk Datenschutzexpertise geschrieben, das am Tag der Preisverleihung veröffentlicht wurde (PDF).

Der BigBrotherAward 2021 in der Kategorie Hochschulen geht an die Proctorio GmbH in München-Unterföhring für ihre KI-basierte Prüfungssoftware, die auch Proctorio heißt.

Der Name Proctorio leitet sich aus dem englischen Wort „Proctoring“ ab, das sich mit „beaufsichtigen“ übersetzen lässt. Proctorio geht es um „Online-Proctoring“, das heißt um die Beaufsichtigung von Prüflingen im Hochschulbereich per Internet.

Mit Blick auf dieses Geschäftsmodell war der Ausbruch der Corona-Pandemie Anfang 2020 für die Firma aus Marketingsicht ein absoluter Glücksfall: Lehrende mussten aufgrund umfassender Lockdown-Maßnahmen und „Shutdowns“ geplante Präsenzprüfungen von einem Tag auf den anderen einstellen. Anreisen zu Klausuren mit öffentlichen Verkehrsmitteln stellten ebenso eine Gesundheitsgefahr dar wie der stundenlange Aufenthalt in einem Hörsaal. Studierende machten sich berechtigte Sorgen um die Fortsetzung oder um den Abschluss ihres Studiums.

In dieser Situation wurden funktionierende technische Möglichkeiten für die Durchführung von Online-Prüfungen fast schon ebenso herbeigesehnt wie ein wirksamer Impfstoff gegen das SARS-CoV-2-Virus. Der optimale Zeitpunkt für das Angebot der Proctorio Software, die „vollautomatische und sichere Prüfungsaufsicht für Online Prüfungen“ ermöglichen soll, und die dabei laut Marketing-Text „skalierbar, kostengünstig und DSGVO-konform“¹ ist. Die Software soll nach Aussagen auf der Firmenwebsite eine täuschungsgeschützte Durchführung von Online-Prüfungen in den eigenen vier Wänden von Studierenden mit deren eigenen Geräten ermöglichen, ohne dass noch eine unmittelbare menschliche Aufsicht notwendig ist.

Aber für welchen Preis?

Die Software Proctorio greift tief in die Integrität der privaten Geräte der Studierenden ein. Um an Prüfungen teilnehmen zu können, müssen sie die Software auf ihren Computern installieren und Proctorio für die Dauer einer Prüfung die Kontrolle über ihr Gerät überlassen.

Die Verwendung von Proctorio setzt zudem voraus, dass auf den Computern der Studierenden Google Chrome als Browser installiert ist. Dort werden von der Proctorio-Software zudem Drittanbieter-Cookies aktiviert, „um einen proaktiven Chat-Support“ anbieten zu können - über die US-amerikanische Firma OLARK.²

An einer Onlineprüfung teilnehmen kann nur, wer Proctorio den Zugriff auf seine Videokamera ermöglicht. Diese muss während der gesamten Prüfungszeit eingeschaltet sein. Prüfende können entscheiden, ob sie Studierende während der Prüfung persönlich beobachten, oder ob die Software dies für sie erledigt. Und die Prüfenden können Proctorio den Start von Anwendungen und Downloads blockieren lassen oder Erweiterungen und individuelle Einstellungen sperren. Sogar „Copy and Paste“ kann grundsätzlich unterbunden werden. Und wenn Prüfende das wollen, muss zu Beginn der Prüfung ein „Raum-Scan“ durchgeführt werden, bei dem Prüflinge der Videokamera ihren gesamten Arbeitsraum vorführen müssen. Dieser „Raum-Scan“ muss auf Aufforderung während der Prüfung wiederholt werden.

Und es kommt noch schlimmer: Hochschulen und Lehrende als potentielle Kunden werden von Proctorio mit dem Argument umworben, dass bei der Klausurdurchführung eine „vollautomatische Kontrolle“ möglich ist. Die Software wertet dafür die eingehenden Videoinformationen mit künstlicher Intelligenz aus und soll auf dieser Grundlage erkennen können, ob sich eine weitere Person im Raum aufhält.

Hinzu kommt eine von Proctorio als „Gesichtserkennung“³ bezeichnete Analyse der Augenbewegungen. Hierzu schreibt die Firma: „Das System erkennt Anomalien durch vermehrte Blicke in eine Richtung und markiert diese Vorfälle als potenziell verdächtig.“ ⁴ Weiter heißt es dort wenig später: „Das bedeutet nicht, dass sie bei Denkpausen nicht wegschauen dürfen. Solange sie keine Hilfsmittel verwenden, müssen sie keine Bedenken haben.“⁵ Wie gnädig, dass die Proctorio-Software Denkpausen erlaubt! Allerdings tragen die Studierenden auch hier das volle Risiko, falls die Software das doch irgendwie verdächtigt findet.

Im Automatikmodus wird das beobachtete Verhalten der Prüflinge mit den Mustern abgeglichen, die in der Software als „Normverhalten“ hinterlegt sind. Findet sie das beobachtete Verhalten in Ordnung – was immer das bedeutet – werden die vorhandenen Aufzeichnungen im Regelfall nach dreißig Tagen durch Proctorio gelöscht. Gibt es hingegen Auffälligkeiten, können die Prüfenden sich die entsprechenden Videos anschauen. Damit entscheidet im Automatikmodus allein die sogenannte „Künstliche Intelligenz“ von Proctorio darüber, ob ein Täuschungsverdacht besteht. Ganz selbstständig.

Derartige automatisierte Bewertungen des menschlichen Verhaltens sind immer bedenklich. Im Schul- und Hochschulbereich sollte die Aufhebung der Unschuldsvermutung durch Formen der „automatisierten Verdachtsbegründung“ schon mit Blick auf die hier verfolgten pädagogischen Ziele und auf die zu vermittelnden Grundwerte vollständig tabu sein.

Und für viele Studierende trägt es zur Erhöhung ihres persönlichen Klausurstresses bei, wenn sie stundenlang Auge in Auge mit einer Kamera arbeiten müssen, ohne zu wissen, ob ihr aktuelles Verhalten gerade den Argwohn eines Prüfers oder einer Software erregt.

Ich bin seit rund fünfundzwanzig Jahren Hochschullehrer und habe in dieser Zeit sehr viele Klausuren beaufsichtigt und viele mündliche Prüfungen abgenommen. Deshalb weiß ich, dass Prüfungs- und Klausursituationen für viele Studierende unabhängig vom fachlichen Leistungsstand sehr anstrengend und vielfach angstbesetzt sind. Bei einer Präsenzklausur können Prüfende Stress und Ängste von Studierenden oft durch ein paar freundliche aufmunternde Worte abbauen. Und ich finde es nie verdächtig, wenn jemand beim Nachdenken den Blick schweifen lässt - solange das Ziel nicht der Text von Sitznachbarn ist. Gleiches gilt in mündlichen Prüfungen, wo schnell zu erkennen ist, ob Studierende eine Antwort nicht wissen, oder ob ihnen vor Aufregung nur die Worte fehlen. Prüfende können in Präsenzsituationen Druck rausnehmen, Brücken bauen oder mit einer zulässigen Andeutung ermuntern. Eine Maschine kann hingegen nur Algorithmen abarbeiten und erkennt nicht, ob jemand seinen Blick nachdenklich schweifen lässt oder mit der Intention, eine Lösung abzuschreiben.

Auf der Grundlage dieses Wissens hätte ich vor der Corona-Pandemie der massenhaften Durchführung von beaufsichtigten Online-Klausuren ebenso wie viele meiner Kolleginnen und Kollegen vehement widersprochen. Dass wir trotz großer grundsätzlicher Bedenken in dieser besonderen Situationen Online-Klausuren zugelassen haben, heißt aber nicht, dass das jetzt ein Normalfall geworden ist. Für alle Standardfälle müssen Hochschulen „nach Corona“ wieder zurück zu Präsenzsituationen kommen. Und wo Online-Klausuren oder Online-Prüfungsgespräche sinnvoll sind, müssen sie unter der Aufsicht von Menschen stattfinden, die Blicke nicht nur erfassen, sondern auch verstehen können.

Eine Software wie Proctorio hat kein Verständnis für Studierende, sondern prüft, ob ihr Verhalten dem entspricht, das andere Menschen als „normal“ definiert haben. Studierende in den USA, wo Proctorio an einer Reihe Hochschulen im Einsatz ist, berichteten in der Washington Post⁶, das Programm habe bereits Verdacht geschöpft, wenn sie während einer Prüfung ungewöhnlich oft den Kopf, die Augen oder die Maus bewegt haben. Verdächtig war auch, dass sie „zu oft“ gescrollt, geklickt oder Fenstergrößen verändert hatten. Was immer diese Erkenntnisse auch aussagen sollen. Als „abweichend“, „abnormal“ und „auffällig“ hat die Software auch bewertet, dass Studierende früher oder später als andere fertig waren. Manche Studierende haben berichtet, dass sie sich aus Angst, dafür einen Betrugsversuch vorgeworfen zu bekommen, nicht getraut hätten, den Raum für eine Toilettenpause zu verlassen. In ihren eigenen vier Wänden.

Und wer zudem das Pech hatte, die Prüfung in einem Raum durchzuführen, in dem es viele Außengeräusche, eine langsame Internetverbindung, schlechtes Licht oder eine flackernde Kamera gab, über den generierte die Software ebenfalls einen Hinweis an die Prüfenden. Um derartige Einflussfaktoren auszuschließen, rät Proctorio Studierenden bezüglich der Auswahl eines geeigneten Raums in seinen „FAQ für Studierende“ übrigens: „Überlegen Sie sich im Vorfeld, welchen Raum Sie für die Prüfung verwenden möchten. Sie können Ihre Prüfung auch an einem Ort absolvieren, bei dem sie genügend Ruhe gewährleisten können (z. B. Büro).“⁷ Mit Blick auf die schwierige finanzielle Situation, in der viele Studierende sich seit Beginn der Pandemie befinden, ist das schon ziemlich zynisch.

In Normalzeiten wäre zu erwarten, dass Studierende gegen die Planung einer solchen „Rundum-Totalkontrolle“ protestieren und auf die Straße gehen würden. Aber wir haben eine Pandemie. Proteste und Versammlungen sind deshalb schwierig zu organisieren. Zudem geht es Studierenden verständlicherweise vor allem darum, mit ihrem Studium irgendwie voran und durch zu kommen. Da nehmen sie Online-Prüfungen in Kauf, zumal, wenn es keine Prüfungsalternativen gibt.

Aber vielleicht sind uns die Studierenden in den USA ja nur etwas voraus. Dort hagelte es Proteste bei Proctorio und in den sozialen Medien. In Deutschland erweckt hingegen unser Preisträger, die Proctorio GmbH in München, den Eindruck, Hochschulen, Lehrende und Studierende seien einhellig voll des Lobes. Glaubt man den Pressemitteilungen des Unternehmens, muss es Scharen von online-prüfwilligen Studierenden geben, die im Chor rufen „Aber das ist doch alles gut so. Dann werden doch ehrliche Studierende belohnt und die unehrlichen von der Software entdeckt.“

Ich will als Hochschullehrer auch gar nicht in Abrede stellen, dass Online-Klausuren von zu Hause aus für Studierende attraktiver und bequemer sein können als in einem Hörsaal in der Hochschule. Wer aber Online-Klausuren zum Standardfall macht, der nimmt in Kauf, dass Bildungsgerechtigkeit und Chancengleichheit auf der Strecke bleiben. Wer Online-Prüfungen in einem kleinen WG Zimmer auf seinem altersschwachen Notebook schreibt und dabei mit lauter Musik aus dem Nachbarzimmer beschallt wird, dessen Erfolgschancen sind in der Regel schlechter als die eines Studierenden, der über ein technisch gut ausgestattetes Arbeitszimmer in einer ruhigen Wohngegend verfügt. Dies gilt erst recht, wenn die Proctorio-Software genervtes Umherblicken oder laute Nebengeräusche verdächtigt findet und Prüfende veranlasst, hier noch einmal genauer hinzusehen.

Wir halten fest

• Die Nutzung von Proctorio für die Beaufsichtigung von Online-Prüfungen führt zu einem schweren Eingriff in die Integrität der privaten Geräte der Studierenden.

• Die permanente Videoüberwachung der Prüflinge während der Prüfungszeit ist ein schwerer Eingriff in ihre Privatsphäre und in ihre privaten Räume – insbesondere, wenn ein Raum-Scan stattfindet.

• Die von der „KI“-Software durchgeführten automatischen Analysen ihres Verhaltens sind für die betroffenen Studierenden nicht transparent. Die allgemeine Unschuldsvermutung, die für alle Bürger gilt, wird durch die verwendeten Algorithmen und die hieraus folgende intransparente Kontrolle außer Kraft gesetzt.

• Die Gestik und insbesondere Augenbewegungen werden permanent erfasst und ausgewertet. Die Software kann hieraus negative Schlussfolgerungen ziehen, was den Druck und den Stressfaktor für die Studierenden erhöht.

• Online-Prüfungen zu Hause finden manche Studierende sicher angenehm. Sie gefährden aber aufgrund ungleicher Wohn- und Lebensverhältnisse die Chancengleichheit, die bei der Ablegung von „Präsenzprüfungen“ hergestellt werden soll.

• Das Einsparpotential, das Proctorio für automatisierte Prüfungsaufsichten verspricht, macht die Software für kostenbewusste Hochschulen attraktiv. Diese Einsparung geht aber auf Kosten der Studierenden, die mit klassischen Präsenzprüfungen besser zurecht kommen als mit Online-Prüfungen unter den Augen einer Software.

• Die Datenschutzkonformität ist schon deshalb zweifelhaft, weil belastbare Aussagen zur Rechtsgrundlage fehlen und eine „freiwillige Zustimmung“ der Studierenden in Prüfungssituationen wohl eher nicht gewährleistet ist.

Gründe genug für den BigBrotherAward in der Kategorie Bildung.Herzlichen Glückwunsch, Protoctorio GmbH.

Den BigBrotherAward 2020 in der Kategorie „Geschichtsvergessenheit“, erhält die Innenministerkonferenz der Bundesrepublik Deutschland, vertreten durch ihren Vorsitzenden Georg Maier, Innenminister von Thüringen, für die Absicht, auf der Basis der Steuer-Identifikationsnummer eine lebenslange Personenkennziffer einzuführen.

Die Grenz-Erfahrung

Neunzehnhunderteinundachtzig; es ist fast vierzig Jahre her: Ich fuhr auf Tournee per Bahn mit einem Sack voller Super-8-Filme von Graz nach Düsseldorf. Das heißt: Ich wollte nach Düsseldorf fahren, denn an der deutsch/österreichischen Grenze war die Fahrt erst einmal zu Ende. Man hatte mir in Österreich mein einziges Ausweisdokument abgenommen, meinen Reisepass. (Die genauere Geschichte dazu mag ein anderes Mal erzählt werden.)

Ich hatte nicht mit großen Problemen gerechnet, denn ich hatte – so dachte ich – eine geheimnisvolle Macht: Ich konnte meine Personalausweisnummer auswendig hersagen und damit – so dachte ich – könnte schnell festgestellt werden, dass ich der wahre und einzige padeluun bin und dass man mich sofort ein- und weiterreisen ließe. In den folgenden acht Stunden, die ich zusammen mit dem freundlichen Grenzbeamten verbrachte, lernte ich etwas über Personennummern.

Vor allem lernte ich, dass es solche Personennummern nach 1945, nachdem klar war, wie sehr das Durchzählen und Erheben von statistischen Daten den Nazis beim Morden geholfen hatten, nicht mehr geben sollte. Das hat der Parlamentarische Rat, bestehend aus 66 Männern und vier Frauen, fast allesamt Zuchthäusler, KZ’ler, Fahnenflüchtige, Widerständler¹, so in den Artikel 1 des deutschen Grundgesetzes geschrieben:

„Die Würde des Menschen ist unantastbar.“

Deswegen ist die Personalausweisnummer nicht rückführbar auf die Person, und die Nummer wird bei jedem Ausweis, den ich neu beantrage, neu vergeben. Kein Mensch soll auf deutschem Boden jemals wieder zu einer Nummer abgestempelt werden – oder gar mit einer solchen Nummer eindeutig tätowiert sein.

Und ich junger Depp fand das damals einfach nur furchtbar uneffektiv. Acht Stunden musste ich auf diesem Grenzposten ausharren, nur weil ‚die‘ die blöde Nummer aus irgendwelchen ‚romantischen‘ Gründen nicht zur Suche freigeben. Ich fand das nicht wichtig. Der Krieg war lange vorbei und die Nazis und Faschisten würden nie wiederkommen. Dachte ich in meiner jugendlichen Fehleinschätzung.

Und ich hatte nicht im Blick: Derartige Personenkennziffern wurden in den zwei Diktaturen auf deutschem Boden – im Nazideutschland und in der DDR – zur Erfassung, zur Repression bis hin zur Vernichtung genutzt. Sie widersprechen dem Geist des Grundgesetzes.

Immer wieder abgelehnt

Schon 1969 hat das Bundesverfassungsgericht der Personen-ID in der „Mikrozensus“-Entscheidung zum ersten Mal eine klare Absage erteilt. Und danach noch mehrmals. Es sei verfassungswidrig, sagten die Richter,

„den Menschen zwangsweise in seiner ganzen Persönlichkeit zu registrieren und zu katalogisieren … und ihn damit wie eine Sache zu behandeln, die einer Bestandsaufnahme in jeder Beziehung zugänglich ist.“²

Im Mai 1976 stellte dann der Rechtsausschuss des Deutschen Bundestages fest, dass

„aus verfassungs- und rechtspolitischen Gründen die Entwicklung, Einführung und Verwendung von Nummerierungssystemen, die eine einheitliche Nummerierung der Gesamtbevölkerung ermöglichen“, unzulässig seien. An diesem Votum scheiterte seinerzeit der erste Entwurf eines Bundesmeldegesetzes.³

2007 hat dann der damalige Finanzminister Peer Steinbrück die Steuer-ID eingeführt. Wir haben ihm dafür bereits damals, vor 13 Jahren, einen BigBrotherAward verliehen. Damals wurde noch hoch und heilig geschworen, dass diese Steuer-ID niemals zu einer Personenkennziffer ausgeweitet werden soll. Und jetzt haben wir den Salat!

Was 2020 geplant ist

Im Februar 2020 haben wir bei unserer BigBrotherAward-Jurysitzung über die Personenkennzahl als Kandidat gesprochen. Und ich weiß noch, dass wir erst gar nicht glauben wollten, dass es so ein Gesetzesvorhaben wirklich gäbe.

Wir stießen auf den Nationalen Normenkontrollrat, der ein von McKinsey&Company ausgearbeitetes Gutachten vorstellte, mit dem Fazit, es bräuchte ein „Registermodernisierungsgesetz“, damit ließen sich 6 Milliarden Euro einsparen. Dafür sei mutiges politisches Handeln gefragt, steht da. Und ich denke mir: Ja, den Mut muss man erst mal haben, dem ganz banalen Bösen Keyboard und Monitor hinzuhalten.

Markus Reuter vom Blog Netzpolitik.org schreibt über dieses McKinsey-Gutachten (Zitat):

„Das Gutachten weist auch darauf hin, dass die Einführung einer Personenkennziffer sowohl aus verfassungsrechtlicher wie auch datenschutzrechtlicher Perspektive schwierig ist. Problematisch ist die Einführung einer Personenkennzahl unter anderem wegen des Volkszählungsurteils des Bundesverfassungsgerichtes und wegen des möglichen Verstoßes gegen das Grundrecht auf informationelle Selbstbestimmung. Dieses Urteil untersagt dem Staat die Verknüpfung von personenbezogenen Daten mit einer übergreifenden Identifikationsnummer wegen einer möglichen Profilbildung.“ (Zitat Ende)

Aber tatsächlich hat sich die 212. Innenministerkonferenz nach einer Vorlage des Abteilung V II 2 des Bundesinnenministeriums mit dem Gutachten befasst und beschlossen, das nun durchzuziehen.⁴ Nicht einstimmig, möchte ich hinzufügen. Einige Bundesländer haben wohl dagegen gestimmt. Aber vergeblich. Die Initiative Freiheitsfoo hatte bereits im Dezember letzten Jahres alle Innenministerien in Deutschland angeschrieben und befragt. Baden-Württemberg, Bayern und Sachsen fanden die Personen-ID demnach uneingeschränkt gut. Berlin und Bremen wollten noch überlegen, NRW, Sachsen-Anhalt und das Saarland wollten lieber nichts dazu sagen, und die restlichen Bundesländer und das BMI hatten die Anfrage einfach ignoriert.⁵

Die Steuer-ID soll noch in diesem Sommer⁶ (vom Bundeskabinett im Konjunkturpaket versteckt) auch eine Personen-ID werden. Dann sind Menschen wieder eine Nummer. Für alle Behördengänge. Damit dieses neuerliche Verbrechen gegen das Grundgesetz nicht so auffällt, soll eine ominöse zusätzliche Behörde zwischengeschaltet werden. So ein ähnlicher Trick hat schon vor Jahren zur faktischen Zusammenführung der Melderegister geführt: Die Datenbanken blieben zwar getrennt, aber es wurde ein Index darüber gelegt.

Wenn das nun als „Konjunkturmaßnahme“ mit dem Namen „Registermodernisierung“ daherkommt, weil „Digitalisierung so wichtig“ sei, dann sollten wir endlich das Wort „Digitalisierung“ als Unwort des Jahres vorschlagen. Digitalisieren müssen wir? Gar nichts müssen wir. Unsere einzige Verpflichtung ist es, eine lebenswerte Welt für alle Lebewesen, Flora und Fauna, zu schaffen und friedlich miteinander zu leben.

Wir können da nur noch mit Sarkasmus antworten: Immerhin steht nicht die ganze Familiengeschichte codiert in der ID (wie es beim Nazi-Original war), sondern nur das zuständige örtliche Finanzamt lässt sich daraus lesen. Nein, das ist kein ernsthafter Trost.

Was das bedeutet

Wer jetzt noch „wie praktisch“ denkt, mag recht haben. Eine Nummer für alle Fälle, kein Notizbuch voller Nümmerchen bei verschiedenen Ämtern mehr, sondern alles auf einen Blick, in einer Datei, bei jedem Amt, mit dem ich zu tun habe. Ja, das ist praktisch. Aber es ist ein weiterer Schritt, das Grundgesetz zu missachten und auszuhebeln und den eigentlichen Souverän, die Bürgerinnen und Bürger, nicht nur zu entmächtigen, sondern obendrein zu entwürdigen.

Ich sehe heute, mit dem Abstand von 39 Jahren, dass sich in Tausenden von Meinungsbekundungen meine eigene avantgardistische Dummheit widerspiegelt. Leider nicht nur auf den schmuddeligen Straßen der Social-Media-Kommentare, sondern auch in den Arbeiterhaushalten, in den Bürgerhäusern, in den Medien und – am schlimmsten – auch in den Parlamenten, die geschichtsvergessen solche Pläne schmieden und durchmogeln wollen.

Das Diktat der Ökonomie

Das heutige hoheitliche Denken ist beherrscht von den Versprechungen des großen Internets für großes Geld ohne große Anstrengung und vom weinerlichen Bekämpfen all derer, die dem maximalen Gewinn auch bei hoheitlichen Verwaltungsakten irgendwie im Wege stehen könnten. Sechs Milliarden Euro – so die Verheißung – sollen durch diese Personenkennziffer eingespart werden. Dabei wird andersrum ein Schuh draus: Diese sechs Milliarden Euro, die es offenbar kostet, Verwaltungsdatenbanken getrennt verwalten zu lassen, sind gut investiertes Geld, um die Bevölkerung vor dem Staat zu schützen. Und diesen Schutz braucht es nicht nur, wenn noch mehr Faschisten in die Parlamente kommen, sondern auch und gerade, wenn sich dort lupenreine Demokraten tummeln.

Was getan werden muss

Wo sind die gewählten Menschen, die jetzt aufschreien und das Wahrhafte wollen und das Grundgesetz vor Angriffen durch Behörden und Verwaltung verteidigen? Stattdessen hören wir aus Ministerien und Parlamenten immer nur: „Wie jetzt?! Das verstößt gegen das Grundgesetz? Obwohl es so praktisch ist? Wir wollen das aber trotzdem haben!“

Obwohl das Grundgesetzkorrektiv – das Bundesverfassungsgericht – immer mal wieder mahnend die höchstrichterliche Stimme erhebt, wird die Regierung nicht klüger.

Sollte die Personenkennziffer Gesetz werden, werden diejenigen unter uns, die nicht geschichtsvergessen sind, gegen diese neuerliche Anmaßung von Regierungshandeln aufstehen müssen. Wir rufen Verfassungsjurist.innen und Staatsrechtler.innen dazu auf, uns dabei zu unterstützen.

Bis dahin,

Herzlichen Glückwunsch zum BigBrotherAward 2020 in der Kategorie Geschichtsvergessenheit, Herr Maier, und alle weiteren Mitglieder der Innenministerkonferenz.

Der BigBrotherAward 2020 in der Kategorie Arbeitswelt geht an die H&M Hennes & Mauritz B.V. & Co. KG.

Die Jury des BigBrotherAward zeichnet damit jahrelanges, hinterhältiges und rechtswidriges Erheben und Verarbeiten von datenschutzrechtlich herausragend geschützten Beschäftigtendaten im H&M-Kundencenter in Nürnberg aus.

Dass ein junges, modernes und hippes Unternehmen wie H&M den BigBrotherAward bekommt, ist eigentlich unfassbar – jedenfalls dann, wenn die Werte im Unternehmen tatsächlich gelebt und umgesetzt würden, die auf einer Bewerbungs-Webseite vorgestellt werden. Dort steht nämlich, die Unternehmenskultur von H&M orientiere sich an folgenden Werten:

WIR SIND EIN TEAM

WIR GLAUBEN AN DEN MENSCHEN

UNTERNEHMERISCHES DENKEN UND HANDELN

STÄNDIGE VERBESSERUNG

KOSTENBEWUSSTSEIN

OFFEN UND GERADEHERAUS

KEEP IT SIMPLE

Zumindest das mit dem „offen und geradeheraus“ hat im Kundenzentrum des Konzerns in Nürnberg eindeutig nicht funktioniert. Von hier betreuen 700 Beschäftigte des H&M-eigenen Callcenters die Kundinnen und Kunden des Unternehmens in Deutschland und Österreich. Im Oktober 2019 wurde öffentlich bekannt, dass in diesem Kundenzentrum nicht nur ein großes Interesse an Wünschen, Bedürfnissen oder Problemen der Kundinnen und Kunden bestand, sondern auch an höchst privaten und persönlichen Informationen über die dort Beschäftigten.

Personen- und Gesundheitsdaten

Am 25.10.2019 berichtete die FAZ erstmals darüber¹, dass es im Kundenzentrum Nürnberg einen Führungskräften und Teamleitern zugänglichen Computer-Ordner gab, in dem detailliert, systematisch und heimlich persönliche Informationen über Beschäftigte erfasst wurden.² Dort war etwa zu lesen, wie es um Beziehungen von Beschäftigten bestellt war, mit welchen Partnern sie gerade eine Nacht verbracht hatten, wo es gerade einen Ehekrach gab oder wo eine Scheidung anstand. Gleichermaßen fanden familiäre Streitigkeiten oder Todesfälle im Familien- oder Bekanntenkreis Eingang in die Auflistungen. Und zu Urlauben wurde beispielsweise festgehalten, ob dieser für Beschäftigte erholsam oder aufgrund persönlicher Probleme eher anstrengend war.

Das Erkenntnisinteresse der Leitungsebene von H&M machte auch vor Gesundheitsdaten keinen Halt. In personenbezogenen Dateien fanden sich beispielsweise Informationen zu Erkrankungen von Beschäftigten oder von deren Angehörigen einschließlich Details zu Krankheitsverläufen.³ Der eingeschaltete Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Johannes Caspar, ließ nach ersten Recherchen wissen⁴, dass in Nürnberg diverse Krankheitsdaten von Beschäftigten „von der Blasenschwäche bis zur Krebserkrankung“ erfasst wurden. Ergänzt wurde das Ganze durch Vermutungen und Gerüchte, etwa zu Menstruationsproblemen einzelner Mitarbeiterinnen.

Beschäftigte gezielt ausgefragt

Zusammengetragen wurden all diese sensitiven Informationen von Teamleitungen und anderen Vorgesetzten. Sie stammten insbesondere aus gemeinsamen Plauderrunden in den Büroräumen oder in Raucherpausen, aber auch aus sogenannten „Welcome-Back“-Gesprächen, z. B. nach Urlauben. Dabei wurde offenbar gezielt nach Privatem gefragt⁵. Die gewonnenen Erkenntnisse wurden in detaillierten digitalen Notizen festgehalten, die der gesamten Leitungsebene von H&M zugänglich waren⁶. Darüber, dass private Informationen gezielt abgefragt wurden und Eingang in zentrale Dateien finden würden, wurden die Beschäftigten natürlich in keiner Weise informiert.

Vorgesetzte nutzten Vertrauen aus

Als ich für die BigBrotherAwards recherchiert habe, haben mir einige Beschäftigte persönlich die Aufzeichnungen, die über sie angelegt wurden, gezeigt. Da diese Personen immer noch bei H&M tätig sind und Angst vor Nachteilen haben, kann ich hieraus nicht direkt zitieren. Aber ich kann sagen: Ich war entsetzt, dass Vorgesetze nicht davor zurückschrecken, gezielt eine freundschaftliche Gesprächsatmosphäre zu erzeugen, um Beschäftigten private und sehr persönliche Informationen zu entlocken und diese dann strukturiert für andere Leitungskräfte niederzuschreiben und abzuspeichern. Ein solches Vorgehen auf der Basis eines bestehenden beruflichen Vertrauensverhältnisses als „mies“ zu umschreiben, ist noch höflich formuliert. In jedem Fall ist sie illegal.

Aufgeflogen durch ein Datenleck

Aufgeflogen ist das Ganze übrigens 2019 zufällig, als die personenbezogenen Dossiers plötzlich im internen Netz frei zugänglich waren. Das spricht dafür, dass es bei H&M auch um den technischen und organisatorischen internen Datenschutz nicht durchgängig gut bestellt ist. Wäre ich Kunde dieses Unternehmens, würde mich eine solche Situation beunruhigen.

Selbstanzeige und Entschuldigung – Alles wieder gut?

Immerhin: Das Unternehmen hatte nach den ersten Presseberichten über die Aufzeichnungen im Oktober 2019 die für den Hauptsitz in Hamburg zuständige Aufsichtsbehörde informiert. Diese befasst sich seitdem mit dem Vorfall. Den Beschäftigten selbst wurde intern mitgeteilt, dass es sich lediglich um „Einzelfälle“ handeln würde und dass sich ein Großteil der Führungskräfte an datenschutzrechtliche Vorgaben gehalten habe.

In einer Nachricht an die Beschäftigten heißt es:

„Wir möchten nochmals in aller Form um Entschuldigung bitten, dass ihr durch die Vorfälle in eine unangenehme Lage geraten seid und [dass] Unsicherheiten aufgetreten sind.“

Also alles wieder gut? Einige Teamleitungen machen Fehler, die Unternehmensleitung zeigt das selbst an, entschuldigt sich, und das war’s? Nein.

Aus Kreisen der Beschäftigten verlautete schon im Januar 2020, dass die angekündigte rasche Aufklärung der Angelegenheit nicht stattgefunden habe. Es wurde zudem der der Verdacht geäußert, dass die Dateien vor der Einsichtnahme manipuliert wurden⁷. Eine Mitarbeiterin wird mit der Aussage zitiert, dass ein Klima der Angst und Einschüchterung herrsche. Sie selbst wollte deshalb auch namentlich nicht genannt werden.⁸

Ein Teil der Beschäftigten hat sogar inzwischen gekündigt, weil sich die persönlichen Arbeitsbedingungen nach dem Bekanntwerden der Spitzeleien weiter verschlechtert haben. Besonders geärgert haben sie sich darüber, dass es eine „Entschädigungs­zahlung“ von 2.500 € pro Person geben soll, die auch die Teamleitungen erhalten sollen, die die Ausforschung betrieben haben.

Aber immerhin gibt es nach ihren Worten jetzt in Nürnberg einen Betriebsrat.

Callcenter fallen immer wieder mit Überwachungsthemen auf

Der ausufernde Kontrollwahn im Callcenter von H&M ist kein Einzelfall. In der Callcenter-Branche hat sich zwar in den letzten zwanzig Jahren viel verändert und eine Reihe von Unternehmen hält sich hinreichend an arbeits- und datenschutzrechtliche Vorgaben. Umfassende Überwachung der Beschäftigten findet aber vereinzelt auch in anderen Callcentern statt. Allerdings hat man es dort oft gar nicht mehr nötig, Beschäftigte mühsam persönlich auszuhorchen, um etwa Informationen zur Stimmung oder zu Krankheiten zu bekommen. Dies lässt sich nämlich mit spezialisierter Software viel einfacher erledigen, und das haben wir bereits mehrfach mit BigBrotherAwards angeprangert, zum Beispiel 2014 für eine Tochter von RWE, die Mausklicks und Tastendrucke erfasste, oder vergangenes Jahr (2019) mit einem BigBrotherAward für die Stimmanalysesoftware der Firma Precire.

Warum ist die Callcenter-Branche so besonders anfällig für Überwachungsexzesse und schlechte Arbeitsbedingungen? Ganz einfach: Weil Menschen in Callcentern nicht aus Spaß arbeiten, sondern um ihren Lebensunterhalt zu verdienen und weil sie deshalb Angst haben, öffentlichkeitswirksam von den herrschenden Arbeitsbedingungen zu erzählen. Wer hier kritisch auftritt und Rechte einfordert, dessen befristeter Arbeitsvertrag wird nicht verlängert oder nach langjähriger Tätigkeit in einen festen umgewandelt. Hinzu kommt, dass sich die Arbeit im Callcenter technisch enorm gut erfassen und bewerten lässt. Wer sich aber über rechtlich unzulässige oder zu weitgehende Kontrollen beschwert, ist ebenfalls schnell raus. Es ist einfach weiterhin in großen Teilen eine prekäre Branche. Wo es Betriebsräte gibt, berichten deren Mitglieder immer wieder von persönlichen Repressionen bis hin zur Bedrohung. Da überlegen sich Beschäftigte schon, ob sie Details über stattfinde Kontrollen weitergeben. Zumal ein Gesetz, dass „Whistleblower“ wirksam vor Nachteilen und Sanktionen schützt, in Deutschland immer noch nicht existiert. So wären wir nicht überrascht, wenn es in den nächsten Jahren weitere Preisträger aus der Callcenter-Branche geben würde.

In diesem Sinn: Herzlichen Glückwunsch, H&M, zum BigBrotherAward 2020.