Der BigBrotherAward 2007 in der Kategorie „Behörden und Verwaltung“ geht an Generalbundesanwältin Monika Harms, Karlsruhe.

Die Generalbundesanwältin – die als oberste Anklagebehörde sich immer noch „Der Generalbundesanwalt“ (GBA) nennt – erhält den BigBrotherAward für ihre Maßnahmen gegen Gegner des G-8-Gipfels in Heiligendamm im Mai dieses Jahres. Die Jury hält dabei zwei Aspekte für besonders frag- und damit preiswürdig:

• Zum einen hat Frau Harms beim Ermittlungsrichter des Bundesgerichtshofs (BGH) beantragt, auf der Suche nach Bekennerschreiben militanter G-8-Gegner systematische Briefkontrollen in Hamburg durchführen zu lassen. Daraufhin wurden sämtliche Briefe aus den betroffenen Hamburger Stadtteilen nach verdächtigen äußeren Merkmalen abgesucht.
• Zweitens hat Frau Harms angeordnet, von G-8-Gipfelgegnern, die der Militanz verdächtigt wurden, Geruchsproben aufzunehmen und zu konservieren. Dabei haben die Ermittler stark in die Intimsphäre und die Persönlichkeitsrechte der Betroffenen eingriffen.

Sowohl der Antrag auf Postkontrolle als auch die Anordnung von Geruchsproben standen im Zusammenhang mit §-129a-Razzien und Durchsuchungen von 40 Wohnungen, Büros, Kulturzentren und Internetservern. Damit sind linke Szenen und Globalisierungskritiker schon im Vorfeld des G-8-Gipfels unter Terrorismusverdacht gestellt worden. Diese Ermittlungen haben bislang zu keinen Anklagen geführt, dafür aber zu umfangreichen Vorfeld-Ausforschungen per Datenerfassung und –verarbeitung, die dazu geeignet sind, auch für künftige Ereignisse Soziogramme des G-8-Protest- und Widerstandspotentials zu erstellen.

1. Postkontrollen: Präventivschlag gegen das Briefgeheimnis

Nach einem Brandanschlag in Hamburg am 22.5.07 hatte der BGH-Ermittlungsrichter auf Antrag der GBA noch am gleichen Tag eine umfangreiche Postkontrolle angeordnet. Überprüft wurden alle in der Zeit vom 22.05. bis 24.05.2007 bei der Deutschen Post AG, Briefzentrum 20 in Hamburg, aufgegebenen Postsendungen auf der Suche nach Briefen, die an bestimmte Zeitungsredaktionen adressiert waren. Dies geschah im Rahmen eines Ermittlungsverfahrens wegen des „Verdachts der Gründung einer terroristischen Vereinigung“ gemäß § 129a StGB gegen drei Beschuldigte, die einer „Militanten Kampagne zum Weltwirtschaftsgipfel (G8) 2007 in Heiligendamm“ verdächtigt worden sind. Gesucht wurde nach Briefen, deren äußeres Erscheinungsbild – u.a. ohne Absender, Verwendung von Adressaufklebern - darauf schließen ließ, dass es sich bei ihrem Inhalt um Selbstbezichtigungsschreiben zu dem Brandanschlag handelt. Im Trefferfall sollte per Spurensuche – Fingerabdrücke oder Geruchsspuren - herausgefunden werden, wer Urheber der aufgefundenen Schreiben und ggfls. für den Anschlag verantwortlich war.

Zwar sei – so der GBA – nur ein Brief unter Mitwirkung einer Staatsanwältin geöffnet worden. Doch sämtliche in den Zustellungsbezirken des Briefzentrums aufgegebenen Sendungen – und das waren Tausende - sind auf der Suche nach den Verdachtskriterien rund um die Uhr in Augenschein genommen und überprüft worden. Der Hamburger Datenschutzbeauftragte sah dadurch „ganze Stadtteile unter Generalverdacht“ gestellt.

Die Postkontrolle haben Ermittler des Hamburger Landeskriminalamtes und des federführenden Bundeskriminalamtes (BKA) vollzogen – obwohl diese Aufgabe ausschließlich Angehörigen des Postdienstleisters obliegt. Weder Staatsanwaltschaft noch ihre polizeilichen Hilfskräfte sind hierzu befugt, weil ein Eindringen von Ermittlungsorganen in Post-Gebäude das Briefgeheimnis über den gesetzlichen Rahmen hinaus beeinträchtigt. Das ist einhellige juristische Auffassung (vgl. Meyer-Gossner, StP0, 2007, § 100 Rdnr. 8 m.w.N). Denn die betreffenden Beamten erhalten Einblick in den Postbetrieb und Kenntnis von anderen, nicht unter die angeordnete Beschlagnahme fallenden Briefsendungen. So konnten die Strafverfolgungsbehörden Kenntnis von bestimmten Umständen brieflicher Kommunikation erlangen – auch über die Korrespondenz von Berufsgeheimnisträgern wie Anwälten oder Journalisten mit ihren Mandanten oder Informanten. Das ist ein Eingriff in das durch Art. 12 I GG geschützte Berufsgeheimnis und in das Grundrecht des Brief- und Postgeheimnisses, das sich nicht allein auf den Inhalt einer Briefsendung erstreckt, sondern auf die gesamten Kommunikationsvorgänge - also auch auf die Tatsache, ob überhaupt ein Briefverkehr zwischen bestimmten Personen stattfindet (Gusy, in: Mangoldt/Klein/Starck, GG I, 1999, Art. 10 Rdnr. 30; BVerfGE 85, 386 ff, 396).

Auch wenn es mit einer Ausnahme zu keiner gezielten Datenerfassung gekommen ist, so können doch die im Rahmen menschlicher Kontrollen miterfassten Kommunikationsvorgänge nicht spurenlos ausgesondert werden: Denn sie bleiben – anders als bei einer maschinell-elektronischen Kontrolle – nach einer bewussten Bewertung in den Gedächtnissen der Ermittler haften. Die so erhobenen Informationen werden u.U. als Zufallsfunde nach dem Legalitätsprinzip weiter verwertet. Die Gewissheit unbeobachteten Postverkehrs ist nicht mehr gegeben. Neben einer Beeinträchtigung des Briefgeheimnisses dürfte die Kontrollaktion auch gegen den Verfassungsgrundsatz der Verhältnismäßigkeit verstoßen haben. Hierfür ist ursächlich die Generalbundesanwältin verantwortlich, die den Beschlagnahme-Antrag beim BGH gestellt hatte.

2. Geruchsproben: der Duft des Terrors

In den genannten Ermittlungsverfahren sind auf Betreiben der GBA während der Razzien am 9.05.2007 bei mindestens fünf verdächtigen G-8-Gipfelgegnern Körpergeruchsproben aufgenommen und konserviert worden. Solche intimen Daten dienen der Identifizierung mit Hilfe speziell abgerichteter Polizeispürhunde, die herausfinden sollen, ob eine verdächtigte Person an einem bestimmten Tatort war oder ein Tatwerkzeug oder Bekennerschreiben berührt hat. Es ging bei diesen Ermittlungen um diverse Farb- und Brandanschläge, also um Sachbeschädigungen. Die GBA bezeichnet diese archaisch anmutende Schnüffelmethode inmitten einer digitalen und vernetzten Fahndungswelt als „ganz normal“, um nicht zu sagen „stinknormal“ – wenn sie auch noch selten angewandt werde.

Auch wenn die fünf Geruchsproben zur Strafverfolgung im Rahmen einer erkennungsdienstlichen Behandlung erhoben worden sind, so können sie unter gewissen Voraussetzungen auch präventiv zur Gefahrenabwehr Verwendung finden oder an Geheimdienste übermittelt werden – zumal die Grenzen zwischen Prävention und Repression im Laufe der Entwicklung unserer so genannten „Sicherheitspolitik“ immer durchlässiger geworden sind. Der Bundesinnenminister hat den präventiven Charakter bestätigt, als er diese Maßnahmen in einen unmittelbaren Zusammenhang mit dem Schutz des bevorstehenden G-8-Gipfels brachte.

Der kriminaltechnische Wert dieser Methode ist recht zweifelhaft, weshalb sie selbst nach Ansicht der GBA allenfalls als Indiz in einer Gesamtwürdigung eine Rolle spielen dürfte und vor Gericht keinesfalls Beweiswert im klassischen Sinn erlangt. Geruchsproben sind also kein kriminaltechnischer Fortschritt, sondern ein anrüchiges und unverhältnismäßiges Verfahren mit hoher Fehlerquote, das schon zu Kaisers Zeiten als „konservierte Verbrecherwitterung“ Anwendung gefunden hatte. Nach der Nazizeit ist diese Methode in der Bundesrepublik aus grundsätzlichen und rechtlichen Vorbehalten nicht mehr praktiziert worden. Anders in der DDR, wo die Geruchsprobe regelrecht Karriere machte - weshalb sie auch so stark nach perfider Stasi-Methode riecht und ehemalige DDR-Bürgerrechtler sich an überwunden geglaubte Zeiten erinnert fühlen. Die Einmachgläser mit den heimlich erfassten Geruchsproben von Dissidenten sind noch als abschreckende Ausstellungsstücke eines übergriffigen Staatsapparates im MfS-Museum und im Bonner Haus der Geschichte zu bestaunen.

Heute geht es allerdings moderner zu: Die als unverwechselbar geltenden Körpergerüche, sog. olfaktorische Spuren, werden „Aroma-Asservate“ genannt und in wissenschaftlich standardisierten Verfahren verarbeitet. Waren es zu DDR-Zeiten biedere gelbe Baumwoll-Lappen, mit denen die Proben oft heimlich eingefangen und in Tausenden von zweckentfremdeten Weckgläsern des MfS konserviert wurden, so werden Verdächtige heutzutage veranlasst, einige Minuten lang ein steriles Edelstahlröhrchen in der Hand zu halten, das dann in einem gasdichten Glasbehälter aufbewahrt wird. Schließlich bekommen drei abgerichtete Polizei-Schnüffelhunde mit „ausgeprägtem Beutetrieb“, im Amtsdeutsch „Geruchsspurenvergleichshunde“, das duftende Röhrchen unter die Nasen gehalten, um das Duftbild mit einer am Tatort gefunden Geruchsspur zu vergleichen. Eine Übereinstimmung in den genannten Fällen hat sich nach Aussagen der Generalbundsanwältin jedoch nicht ergeben.

Auch wenn Bundesjustizministerin Brigitte Zypries versichert, dass erfasste Duftmarken nach Gebrauch generell beseitigt würden (was im vorliegenden Fall auch geschehen sein soll) und Sammlungen zur olfaktorischen Wahrheitssuche nicht angelegt würden, so weiß man, was von solchen Beschwichtigungen zu halten ist – erinnert sei nur an die Gen- oder die Maut-Daten und ihre immer weitergehende Verwendung. US-Wissenschaftler sind dem „Duft des Terrors“ bereits auf neue Art und Weise auf der Spur – sie arbeiten intensiv an einer Digitalisierung des Geruchsverfahrens, von dem man auch hierzulande noch mehr hören wird. Denn die Generalbundsanwältin will es in geeigneten Fällen weiterhin anwenden – obwohl diese Methode stark in Persönlichkeitsrechte und Intimsphäre von Betroffenen eingreift und obwohl deren Vereinbarkeit mit der Menschenwürde von vielen Verfassungsrechtlern und Politikern fast aller Fraktionen bezweifelt wird.

Auch wir warnen mit der Vergabe des BigBrotherAwards und schließen mit einem Satz des SPD-Sicherheitsexperten Dieter Wiefelspütz an die Adresse der Generalbundesanwältin: „Sie ist auf den Hund gekommen und sollte so schnell wie möglich davon wieder runterkommen.“

In diesem Sinne: Herzlichen Glückwunsch, Frau „Generalbundesanwalt“ Monika Harms.

Der Big Brother Award 2006 in der Kategorie "Behörden & Verwaltung" geht an die Kultusministerkonferenz der Länder (KMK) für das vollständige Ignorieren (der Amtsschimmel würde sagen: "die fehlende Berücksichtigung") von Datenschutzanforderungen beim Versuch, bundesweit einheitliche, lebenslange Schüler-IDs einzuführen.

Man könnte zur Entschuldigung anführen, dass Jura nicht als allgemeines Schulfach gelehrt wird, die Damen und Herren der KMK also nicht notwendig juristische Kenntnisse besitzen, wenn sie das deutsche Bildungssystem durchlaufen haben.

Sollte man nicht aber zumindest Kenntnisse über demokratische Grundsätze vorweisen können, wenn man die Gesetzgebung lenken will? Und sollten diese nicht mindestens im Sozialkundeunterricht soweit vermittelt worden sein, dass man Bedeutung und Anforderungen von Datenschutz, informationeller Selbstbestimmung und Persönlichkeitsrecht erfasst und verstanden hat? Der Anspruch scheint bei den Mitgliedern der KMK nicht erfüllt worden zu sein. Ein PISA-gleiches Desaster in Sachen Datenschutz und Demokratieverständnis!

Doch - fangen wir von vorne an:

Seit dem Jahre 2000 unternimmt die KMK Bemühungen, schulstatistische Daten länderübergreifend einheitlich zu gestalten, zentral zusammenzufassen und personenbezogen (und zwar auf Schülerinnen und Schüler, Lehrerinnen und Lehrer bezogen) zu erheben.

Sie rechtfertigt dies mit dem grundsätzlich nachvollziehbaren Hinweis auf die Notwendigkeit verlässlicher statistischer Daten als Grundlage für bildungspolitische Weichenstellungen. Nicht erst seit PISA und der neuesten OECD-Studie ist offensichtlich, dass in unserem Schulsystem einiges im Argen liegt und grundlegende Änderungen bitter nötig sind. Ob jedoch die angeblich mangelhaften Statistiken in erster Linie für die Fehlentwicklungen verantwortlich sind und ob - ganz in der Argumentationstradition zahlengläubiger Controller - ausgerechnet personenbezogene Zahlen die inhaltliche Wende bringen werden, sei einmal dahingestellt.

Im Mai 2003 hat die 174. Amtschefkonferenz der KMK unter dem Stichwort "Kerndatensatz für schulstatistische Individualdaten der Länder" eine "baldige Umstellung der Schulstatistik auf Individualdaten" vereinbart. Dahinter verbirgt sich die Forderung an die Länder, durch geeignete Vorgaben und Gesetzgebung eine einheitliche Datenerfassung in staatlichen und privaten Vorschul-, Bildungs- und Weiterbildungseinrichtungen zu schaffen.

Von der Wiege bis zur Bahre - zumindest aber bis zum ersten Job oder der Entlassung in die Arbeitslosigkeit sollen alle Schülerinnen und Schüler von allgemeinbildenden und beruflichen Schulen, sowie von Schulen des Gesundheitswesens und in Zukunft möglichst auch der Vorschulen und in der Erwachsenenbildung eine eindeutige und einmalige Kennnummer erhalten, unter der in Zukunft ihr vollständiges Bildungsprofil angelegt werden soll.

Dies erfordert, dass die in den einzelnen Ländern verwendeten Schulverwaltungsprogramme bei jedem Vorgang im Sekretariat mindestens die durch die KMK definierten Kerndaten erfassen. Technisch müssen sie in der Lage sein, diese an die zentrale Statistik übermitteln zu können. Zu erfassen sind neben Geschlecht und Geburtsdatum unter anderem auch Angaben über Muttersprache und Staatsangehörigkeit, Konfession, die Schule und den besuchten Unterricht, Förderschwerpunkte (also auffällige Defizite in bestimmten Lernbereichen)  und ob jemand Spätaussiedler oder Migrantin ist. Übrigens werden auch über die Lehrkräfte umfangreiche personenbezogene Daten erfasst. Die erforderliche Mitbestimmung wird von der KMK anscheinend überhaupt nicht wahrgenommen.

Wen wird wohl diese nationale Bildungsdatenbank interessieren, wenn sie denn erst einmal besteht? Haben wir nicht gerade bei TollCollect gelernt, dass eine heute versprochene, noch so deutliche gesetzliche Zweckbegrenzung und ein aufwändiges Datenschutzkonzept nicht vor einer beliebigen "Umwidmung" schützen - wenn nur der entsprechende politische Druck entwickelt wird? Ist es also wirklich so unwahrscheinlich, dass sich nicht nur Polizei und Sicherheitsdienste für eine solch schöne Zusammenstellung interessieren, sondern auch Arbeitgeber, Hausbank und Versicherung? Sie wollen einen Kredit? Wo Sie den Abschluss nur mit Hängen und Würgen geschafft haben? Da könnte es sein, dass Ihre Bank Zweifel bekommt, ob Ihr Job ausreichend sicher ist und Sie den Kredit sicher zurückzahlen können. Sie kamen mal in den Genuss des Förderschwerpunkts "Emotionale und soziale Entwicklung"? Sorry, da stehen die Chancen schlecht, einen Ausbildungsplatz im Bankgewerbe zu bekommen.

Müssen wir in Zukunft befürchten, dass wir mit 30 in Bremen keinen Kredit, keine Lebensversicherung oder Job mehr bekommen, weil wir zwischen 12 und 18 in München drei Klassen wiederholt haben? Das halten Sie für übertriebene Befürchtungen? Sie denken, dass die KMK derartige Zwecke sicher ausgeschlossen hat?

Das wirklich Schlimme ist: die KMK ist noch nicht einmal so weit gekommen, sich über die gewünschten Zwecke auch nur annähernd nachvollziehbare Gedanken zu machen und diese zu formulieren. Es gibt keinerlei Dokumentation über konkrete Zwecke und Fragestellungen, die mithilfe der gesammelten Daten erfüllt und beantwortet werden sollen. Ein Versäumnis bei einem seit sechs Jahren verfolgten Projekt, das jedem privatwirtschaftlichen Unternehmen bei einer Datenschutz-Prüfung einen berechtigten Rüffel der Aufsichtsbehörde eingetragen hätte. Und genauso wenig ist befriedigend definiert, welche Stellen die zentrale Datenbank mit welcher Aufgabenstellung wo betreiben sollen.

Ganz in der Tradition von Jägern und Sammlern wird aber fleißig definiert und eingefordert, was denn alles erfasst werden soll. Da werden Stammdatensätze beschrieben, Export-Schnittstellen definiert, Ländersoftware umgestrickt, Schulen vergattert und es wird viel Druck entfaltet. Nur: genauso wenig wie man sich über die Persönlichkeitsrechte der betroffenen Schüler und Schülerinnen und der Lehrkräfte Gedanken gemacht hat, so wenig kümmert man sich auch um die Festlegung technischer und organisatorischer Schutzmaßnahmen. "Wer darf wann was womit?" ist keine Frage, die den Damen und Herren der KMK jemals in den Sinn gekommen zu sein scheint. Zugriffs-, Berechtigungs- und Rollenkonzept? Fehlanzeige! Schutz der Kommunikations- und Übertragungswege? Fehlanzeige! Mindestanforderungen an Berechtigungssysteme der Schulsoftware? Fehlanzeige! Anonymisierungskonzepte? Fehlanzeige!

Hat die KMK überhaupt wahrgenommen, dass sie mit ihrem Projekt in erheblicher Weise in das Persönlichkeitsrecht der Betroffenen eingreift? Ich fürchte, die Antwort lautet auch hier: Fehlanzeige!

Die Arbeitsgruppe "Datengewinnungsstrategie", die unter "fachlichen und pragmatischen Gesichtspunkten Handlungsempfehlungen priorisieren" soll, begreift Datenschutz jedenfalls offensichtlich nur noch als einen "mögliche Restriktionen" verursachenden Gesichtspunkt. Sie führt damit die Vorstellung der Kommission für Statistik weiter: Deren Verständnis von Datenschutz beschränkte sich 2005 in einem Bericht zum Umsetzungsstand lediglich auf das Referieren datenschutzrechtlicher Bedenken weniger Bundesländer. Darin wurde die Tatsache, dass Sachsen die Individualdatenerhebung vorläufig gestoppt hat und Schleswig-Holstein die Einbeziehung datenschutzrechtlicher Erwägungen anmahnt, offensichtlich nur noch als lästiges Querulantentum wahrgenommen.

Höchste Zeit also, dass die KMK das Verfahren "vom Kopf auf die Füße stellt", wie der schleswig-holsteinische Datenschutzbeauftragte fordert, und die grundlegenden Standards der Projekt- und Datenschutzorganisation beherzigt.

Herzlichen Glückwunsch, Kultusministerkonferenz! Setzen: Sechs.

Nun soll Big Brother also doch seinen sicheren Platz auf der Autobahn erhalten. Und das kam so: Nach einer Mordserie an Frauen, jeweils begangen in der Nähe von Autobahnen, fiel der Verdacht auf einen LKW-Fahrer. Damit war gleichzeitig die Idee geboren, die eigentlich ausschließlich zu Abrechnungszwecken erhobenen Maut-Daten für Fahndungszwecke zu nutzen. Das aber lässt die geltende Rechtslage - wie wir meinen: aus gutem Grund  - nicht zu. Nun kursiert in den Ministerien ein Gesetzentwurf aus dem Hause von Innenminister Schäuble, der die Aufhebung der strengen Zweckbindung zum Gegenstand hat. Das Versprechen des Gesetzgebers, dass die Mautinfrastruktur keinesfalls zu einer Überwachungsinfrastruktur werden dürfe, wird also demnächst gebrochen. Davor übrigens hatte die Laudatio des BBA 2002 an die Betreiberfirma TollCollect bereits gewarnt - und wir haben nicht gerne Recht mit düsteren Prognosen.

Im September 2006 wurde die Einführung einer Geräteabgabe für Computer mit Internetzugang und Radio- und/oder Fernsehkarte beschlossen, sofern der Besitzer nicht bereits Gebühren für ein Radio- oder TV-Gerät bezahlt. Das wird ein neues großes Betätigungsfeld für die Haustür-Fahnder und Adressen-Auswerter der GEZ. Überdies wird das System der Rundfunkfinanzierung extrem verkompliziert. Bereits 2003 hat die GEZ den BigBrotherAward für ihr Lebenswerk erhalten. Das Aushorchen von Nachbarn und das Einkaufen von Datenbanken mit Haushaltsdaten haben wir damals ausführlich kritisiert. Im gerade erschienenen "Schwarzbuch Datenschutz" mit den wichtigsten Preisträgern der vergangenen Jahre schlagen Rena Tangens und padeluun aus der BBA-Jury mehrere Alternativen zur Finanzierung des öffentlich-rechtlichen Rundfunks vor. Im Grundsatz geht es dabei immer darum, weg von der Geräte-Abgabe hin zu einem von Bürgern finanzierten öffentlich-rechtlichen Rundfunksystem zu kommen. Denn solange es die Geräte-Abgabe gibt, schnüffelt die GEZ unsere Wohn- und Arbeitszimmer aus. Eine Pro-Kopf-Abgabe von jedem Bundesbürger würde den politischen Willen umsetzen: "Ja, wir wollen für Deutschland ein öffentlich-rechtliches Rundfunkangebot als Kulturgut". Das sollte dann aber auch werbefrei sein. Wer mehr dazu wissen möchte, kann das ja im Buch nachlesen.

Am 8. Oktober 2006 verkündete EU-Kommissarin Viviane Reding ein wegweisendes Votum: Nur 15 Prozent der Teilnehmer an der Online-Konsultation der EU-Kommission zur RFID-Technologie glauben, dass die Industrie die Privatsphäre der Bürger mit einer Selbstregulierung ausreichend schützen wird. Über die Hälfte (55 Prozent) wünschten sich ausdrücklich gesetzliche Vorgaben für die RFID-Anwender und -Hersteller. FoeBuD-Mitglied Jan Hennig ist bereits mehrfach zu RFID-Tagungen der EU gefahren und hat dort in Wort und Schrift die Gedanken des FoeBuD zu RFID und Privatsphäre eingebracht.

Die RFID-Lobby investiert Millionen in PR-Maßnahmen und politische Einflussnahmen. Dass die RFID-Industrie dennoch am Thema Datenschutz nicht mehr vorbei kommt, geht quasi ausschließlich auf die meist ehrenamtliche Arbeit von Bürgerrechtsgruppen wie dem FoeBuD e.V. zurück - zum Beispiel durch den BigBrotherAward 2003 an den Metro Future Store, der Start der FoeBuD-StopRFID-Kampagne war.

Bundesministerium der Finanzen gewährt Google Einblicke in seine Web-Besucher

Alvar Freude

In puncto Sorglosigkeit mit dem Umgang von Daten ist das Bundesfinanzministerium ganz groß. Man könnte es auch naiv nennen: Bei seinem Internet-Auftritt wird der Aufruf jeder Seite, jede Suche, jede Bestellung von Broschüren usw. protokolliert. So weit, so normal. Weniger normal ist, dass die Daten bei Google landen: Das Finanzministerium nutzt den Dienst „Google-Analytics“, um Informationen über die Webseiten-Besucher zu sammeln und auszuwerten. Google speichert diese Daten in den USA. Herr Steinbrück, unsere Steuererklärungen werden aber noch in Deutschland gespeichert, oder?

Peter Frankenberg, Minister für Wissenschaft, Forschung und Kunst, Baden Württemberg:
will ganz genau wissen, wer ihm den Gehorsam verweigert

Alvar Freude

Peter Frankenberg ist offensichtlich ein neugieriger Mensch. Der Minister für Wissenschaft, Forschung und Kunst in Baden-Württemberg verlangte von allen Hochschulen des Landes die Daten derjenigen Studenten, die gegen die Hochschulen wegen der Einführung von Studiengebühren klagten. Für den Status eines „Cleverle“ reicht das nicht: Baden-Württembergs Datenschutzbeauftragter intervenierte und die Daten mussten wieder gelöscht werden.

Gesetzliche Krankenkassen:
fordern zum Rechtsbruch auf

Werner Hülsmann

Die gesetzlichen Krankenkassen fordern regelmäßig in Anschreiben an Ärzte und Ärztinnen sowie an Krankenhäuser Patientenunterlagen an, obwohl diese von den Ärztinnen und Ärzten nur an den Medizinischen Dienst der Krankenkassen (MDK) übermittelt werden dürfen. Eine Formulierung wie beispielsweise

„Wir bitten Sie, den beiliegenden Arztbericht auszufüllen und uns zur Vorlage beim Medizinischen Dienst innerhalb von 3 Tagen per Post oder Fax zurückzusenden.“

ist schlichtweg eine Aufforderung zu einer Straftat. Die unbefugte Offenbarung von Patientendaten durch den Arzt oder die Ärztin stellt einen Verstoß gegen § 203 StGB dar. Bei einer Übermittlung des Arztberichtes per Fax an die Krankenkasse lässt sich eine unbefugte Offenbarung gar nicht vermeiden. Denn schließlich ist einzig und alleine der MDK gesetzlich befugt, im Auftrag der Krankenkasse den Arztbericht zu prüfen. Den Kassen werden Diagnosen bislang aus gutem Grund vorenthalten: Zu groß wäre die Gefahr, dass sie mit Blick auf Kosteneinsparungen versuchen, in Behandlungsverläufe einzugreifen, indem sie z.B. Zahlungen verzögern o.ä. Gemäß dem „Bundesmantelvertrag der Ärzte“ darf der Bericht für den Medizinischen Dienst „nur in einem geschlossenen Briefumschlag“ versandt werden¹.

Selbst verschlossene Umschläge mit dem Vermerk „Nur vom MDK zu öffnen“ stellen nach der Erfahrung von Mitarbeiter/inne/n des MDK keine Garantie dar, dass die Umschläge ungeöffnet beim MDK ankommen. Vielmehr erreichen den MDK oftmals Umschläge, die „irrtümlich geöffnet“ wurden.

Die einzige richtige Formulierung in den Anforderungsschreiben kann nur sein: „Wir bitten Sie, den beiliegenden Arztbericht auszufüllen und per Post in einem verschlossenen Umschlag an den Medizinischen Dienst zu senden.“ Sinnvollerweise sollte dann gleich die Adresse des zuständigen MDK mit angegeben werden, damit der Arztbericht gleich dort landet, wo er gesetzlich vorgeschrieben hingehört und nicht versehentlich doch noch bei der Krankenkasse.

Uni Bielefeld, Fakultät für Wirtschaftswissenschaften:
traut weder den Studierenden noch ihren Ärzten

Florian Glatzner

Zu tadeln ist auch die Fakultät für Wirtschaftswissenschaften der Universität Bielefeld – stellvertretend für viele andere Fachbereiche an vielen anderen Universitäten. Es reicht dort für Studenten nicht mehr aus, eine „normale“ ärztliche Krankschreibung vorzulegen, falls sie vor einer Prüfung krank werden. Stattdessen wird gefordert, dass der Arzt die genaue Diagnose der Krankheit und die dadurch entstehende Beeinträchtigung angibt. Diese wird dann an das Prüfungsamt weitergegeben, das anschließend entscheidet, ob der Student an der Prüfung teilnehmen kann oder nicht. Die letzte Entscheidung über eine Prüfungsfähigkeit liegt also bei der Universitäts-Verwaltung, nicht beim behandelnden Arzt. Universitäten stellen sich damit über die Schweigepflicht und Urteilsfähigkeit von Ärzten.

Die Berliner Wohnungsbaugesellschaft „Stadt und Land“:
überwacht ein komplettes Wohnviertel

padeluun

Trotz massiver Proteste einiger Anwohner wird die Überwachung aufrecht erhalten. Behoben werden sollen „Vorkommnisse, die [...] ärgerlich sind. [...] Von Pöbeleien Jugendlicher über Hunde im Sandspielplatz bis zu Vandalismus“. Statt soziales Engagement von Mietern zu fördern, werden die Mieter „einfach“ mit ständig vorgehaltener Videoüberwachungsanlage bedroht.

Berliner Verkehrsbetriebe (BVG):
begleiten Videoüberwachung streng wissenschaftlich – oder nicht

Frank Rosengart

Die Berliner Verkehrsbetriebe haben einen ganz besonderen Coup gelandet: Die probeweise Videoüberwachung und Aufzeichnung von ausgewählten Stationen und Fahrzeugen wurde wissenschaftlich begleitet. Nach der Auswertung wollte das Berliner Abgeordnetenhaus über eine Fortsetzung entscheiden. Zur Überraschung von Datenschützern und Abgeordneten hat die BVG bereits vor Erscheinen der Auswertung beschlossen, dass die Videoüberwachung massiv ausgeweitet wird – ohne jegliche Zustimmung seitens der Datenschützer und der Politik.

Nicht alle nominierten Kandidaten für einen BigBrotherAward haben es geschafft. Mitunter hat sich die Jury schwer damit getan, eine datenschützerische Untat nicht mit einem unserer unbeliebten Preise zu sanktionieren. Wer als Datenkrake aber meint, ungeschoren davonzukommen, nur weil wir zu wenige Hauptpreise vergeben, der wiegt sich in falscher Sicherheit: Denn für solche gibt es die tadelnden Erwähnungen.

Auch in diesem Jahr betrafen wieder viele Nominierungen unnötige Datensammeleien, von denen wir hier nur drei präsentieren, die den gedankenlosen Umgang mit personenbezogenen Daten demonstrieren:
Die Studierenden der Fachhochschule des Mittelstandes in Bielefeld etwa fordern von Besuchern für die Anmeldung zu einer ihrer Veranstaltungen ein komplettes berufliches Profil: Name, Adresse, Position, Firma, Fax, Telefon, Mail - alles als Pflichteingabefelder im Internet mit der Begründung, "man müsse doch ordentliche Namensschilder drucken können".
Beim Fußball-Bundesligisten Energie Cottbus wurden im Mai 2006 die Personalausweisdaten von Kartenkäufern erfasst, wobei maximal vier Karten erstanden werden konnten. Es war noch nicht einmal geplant, eine Karte einem bestimmten Menschen zuzuordnen. Der Sinn dieser Datenerhebung ist also schlicht nicht nachzuvollziehen.
Geradezu dreist gebärdet sich der Deutsche Segler-Verband: Wer seine Veröffentlichung als Ranglistenregatta-Teilnehmer im Internet verhindern will, muss 10 Euro "Bearbeitungsgebühr" bezahlen. Die informationelle Selbstbestimmung der Teilnehmer verkommt folglich zur käuflichen Ware.

Zu tadeln ist weiterhin der Innenminister von Baden-Württemberg, Heribert Rech. Er ließ sein Ministerium einen sogenannten Einbürgerungs-Gesprächsleitfaden, den sog. Moslem-Test entwickeln, in dem mutmaßliche Muslime auch Fragen beantworten müssen, die dem Kernbereich privater Lebensgestaltung zuzurechnen sind. Als einbürgerungswilliger Mensch muss man sich etwa zu familiären Verhaltensweisen oder Reaktionen auf sexuelle Orientierungen ausfragen lassen. Das ist nicht nur diskriminierend, sondern stellt auch ein Datenschutzproblem dar. Antworten auf solche Fragen gehen den Staat nämlich prinzipiell nichts an, wie ihn überhaupt Gesinnung und Lebensführung seiner Bürger prinzipiell nichts angehen - es sei denn, es geht dabei um strafbare Handlungen. Ausgerechnet für die Prüfung der Verfassungstreue lässt Herr Rech also einen Fragebogen und eine Prozedur einsetzen, die dem Geist der Verfassung widersprechen.

Aber auch anderweitig sind Verstöße gegen den legitimen Anspruch eines Jeden, im Privatleben in Ruhe gelassen zu werden, zu rügen. Die "Bild-Zeitung" etwa blies in diesem Sommer mit ihrer Leser-Reporter-Aktion zum Großangriff auf die Privatsphäre von prominenten und nicht-prominenten Zeitgenossen. Schnappschüsse von Promis, spektakulären Unfällen oder zufälligen Nackedeis werden seitdem bundesweit abgedruckt und mit 500 Euro Honorar für die Hobby-Paparazzi belohnt. Die Achtung vor dem Privatleben und damit der Menschenwürde der Mitbürger wird durch diese Art von  Gossen-Journalismus systematisch in Frage gestellt. Die Jury tadelt solcherlei Anstiftung zu Voyeurismus und hält es mit der Hoffnung von Karl Kraus, "dass der Umkreis jener immer größer wird, die von einem Grausen gepackt werden, dass dergleichen im Leben einer Kulturregion Platz habe".

Von Freiwilligkeit ist die Rede in Zusammenhang mit DNA-Reihenuntersuchungen, den so genannten Massen-Gentests. Sie erfreuen sich als Ermittlungsinstrument einer stetig steigenden Beliebtheit. Die letzte große Fahndungsaktion fand im Juli 2006 in Coswig bei Dresden statt. Nach zwei Sexualstraftaten waren dort - auf richterlichen Beschluss - zunächst 3000 Männer zur freiwilligen Speichelprobe gebeten worden - erfolglos. Daraufhin sollen nun bis zum 100.000 Einwohner von Dresden und Umgebung zum Speicheltest gebeten werden. Die BBA-Jury meint: Auch die Verweigerung der Mitwirkung kann keinen Tatverdacht gegen eine Person rechtfertigen. Deswegen ist es mehr als bedenklich, dass die "Verweigerer" damit rechnen müssen, dass ihre Alibis überprüft oder gar Ermittlungen am Arbeitsplatz durchgeführt werden.

Ferner sei auf die wohl zweitgrößte Durchleuchtungsmaßnahme seit der Fußball-WM hingewiesen: Nicht nur Berufs- sondern auch Hobbyflieger und jeder, der "nicht nur gelegentlich" Zutritt zu Flughafenbereichen hat, muss sich seit Januar 2005 ausforschen lassen. Mit der Änderung des Luftsicherheitsgesetzes (die ursprünglich auch die Möglichkeit zum Abschuss von entführten Passagiermaschinen enthielt) wurde zu Beginn vorigen Jahres eine Zuverlässigkeitsprüfung eingeführt, deren Bestehen zum Erwerb oder Erhalt einer Fluglizenz notwendig ist. Diese Überprüfung umfasst zahlreiche Abfragen bei Polizei und Geheimdiensten. Der Antragsteller muss nicht nur die jährlichen Abfragen selbst veranlassen, sondern auch bezahlen. Ein verbindlicher Regelkatalog, in dem bestimmte Tatsachen verzeichnet sind, die einer Zuverlässigkeit abträglich sind, ist nicht bekannt. Piloten müssen seitdem befürchten, dass zum Beispiel bestimmte Auslandskontakte ihre Fluglizenz in Frage stellen können.

Und schließlich: Das Bundesverfassungsgericht legt, das wissen wir spätestens seit der Entscheidung zum großen Lauschangriff vom 3. März 2004, großen Wert darauf, dass der Kernbereich privater Lebensgestaltung, also z. B. Telefonate mit Ehepartnern und -partnerinnen, besonders geschützt werden. Am selben Tage erklärten die Karlsruher Richter auch eine Befugnis zur Überwachung der Telekommunikation durch den Zoll für verfassungswidrig und forderten den Gesetzgeber gleichzeitig auf, die Intimsphäre auch dort zu schützen. Dabei setzten sie dem Bundestag eine Frist bis zum 31. Dezember 2004. Bis zu diesem Zeitpunkt nahmen die Parlamentarier zwar die verfassungswidrige Regelung aus dem Außenwirtschaftsgesetz heraus, fügten sie aber mit einigen Änderungen in das Zollfahndungsdienstgesetz wieder ein. Dabei fehlten die vom Bundesverfassungsgericht verlangten kernbereichsschützenden Regelungen noch immer. Es galt also weiter eine Rechtslage, die mit den Vorgaben aus Karlsruhe nicht vereinbar war. Immerhin, das neue Gesetz war wiederum befristet und wäre zum 31. 12.2005 ausgelaufen, hätte der Bundestag nicht die offensichtlich verfassungswidrige Regelung um ein weiteres Jahr verlängert. Damit lässt sich festhalten: Der Deutsche Bundestag verweigert dem Bundesverfassungsgericht die Gefolgschaft. Ein klarer Tadel der BBA-Jury!

Wir sehen: Auch unterhalb der Schwelle der Preiswürdigkeit im Sinne der BigBrotherAwards treiben Datenkraken staatlicher und privater Natur ihr Unwesen. Deshalb ist sie auch weiter gefragt: Die Aufmerksamkeit aller, die sich mit einer gläsernen Gesellschaft nicht abfinden mögen. Und die sollte sich auch in Zukunft in zahlreichen Nominierungen von Datenkraken niederschlagen.

Der BigBrotherAward 2007 in der Kategorie „Technik“ geht an PTV Planung Transport Verkehr AG, vertreten durch Dr.-Ing. Hans Hubschneider, für ihr System zur individuellen Berechnung der Kfz-Versicherung mit ihrem so genannten „Pay-as-you-drive“-System, also einem Gerät, welches die Fahrtroute und das Fahrverhalten aufzeichnet und an die Versicherung übermittelt.

Die Idee klingt verlockend: Sie fahren vernünftig und umsichtig, im Gegenzug sinkt die Versicherungsprämie. Doch wie stellt die Versicherung fest, ob jemand umsichtig fährt, sich an die Geschwindigkeitsgrenzen hält und wenig Autobahnen benutzt? Die Technik dazu heißt „Pay-as-you-drive“, frei übersetzt: „Zahle, wie du fährst“. Vor allem Fahranfänger sollen zu gemäßigter Fahrweise motiviert werden – über den Geldbeutel.

Ähnlich wie die Geräte, die zur Erfassung der LKW-Maut in die meisten deutschen Lastwagen eingebaut sind, funktioniert Pay-as-you-drive mittels Satellitennavigation und Datenübertragung per Mobilfunk. Zusätzlich können noch weitere Datenquellen im Fahrzeug angezapft werden: Beschleunigungssensoren, ob der Blinker betätigt wurde, die elektronische Messung des Reifendrucks oder sogar ein Alkoholtester können an das Gerät angeschlossen werden. Alle Messwerte werden dann regelmäßig an die Versicherungszentrale übermittelt. Ebenso können   Geschwindigkeitsbeschränkungen auf elektronischen Straßenkarten im Gerät gespeichert werden. Pay-as-you-drive-Systeme wären sogar in der Lage, elektronische Strafzettel automatisch auszustellen. Den Überwachungsfantasien sind keine Grenzen gesetzt, lassen sich doch in modernen Autos nahezu alle technischen Parameter über den  Bordcomputer abfragen.

Das Hauptproblem liegt dabei in der zentralen Datenverarbeitung: Um stets mit aktuellen Kartenmaterial zu arbeiten und um die Komplexit ät der Pay-as-you-drive-Black-Box überschaubar zu halten, sollen die Fahrdaten per Mobilfunk (GSM) an die Versicherungszentrale übermittelt werden. Die Fahrdaten werden dann nicht in der Black-Box dezentral und sicher vor neugierigen Blicken gespeichert, sondern die Box übermittelt ihr Wissen über den Fahrer regelmäßig an die Versicherungszentrale. Dort werden diese Daten mit  aktuellem Kartenmaterial verglichen und es wird kontrolliert, ob die in der Versicherungspolice vorgebenen „Selbstbeschränkungen“ und gesetzlich angeordnete Verbote eingehalten werden. Und gleichzeitig können sich Behörden und andere Bedürftige bei der Versicherungszentrale oder einem beaufragtem Dienstleister jederzeit an diesen Daten bedienen.

Seit der Einführung der LKW-Maut wissen wir, welche Begehrlichkeiten seitens des Staates existieren, möglichst umfangreichen Zugriff auf die Daten des Kontrollsystems und der Erhebungsgeräte in den Fahrzeugen zu erhalten. Es ist also eine Illusion, dass die durch die Black-Box gewonnenen Daten in der Hand des Fahrzeughalters und der Versicherung bleiben. Das Autobahnmautgesetz, welches extra um Regelungen zum Schutz der Maut-Daten erweitert wurde, steht nach dem Regierungswechsel unter Beschuss. Bisher galt eine strikte Zweckbindung für die Daten: Die Verwendung beispielsweise zu Fahndungszwecken war verboten. Damit kann es bald vorbei sein, fordern Ermittler und Sicherheitspolitiker immer wieder.

In Großbritannien werden Pay-as-you-drive-Systeme bereits erprobt. In Deutschland haben einige Versicherungsunternehmen bereits deutliches Interesse bekundet, diese Technologie auch einzusetzen. Die Firma PTV bietet mit ihrem Software-Baukasten „Roadrunner“ die Basis für eine individuelle Fahrdaten-Erfassung an, welche für streckenbasierte Kfz-Versicherungsmodelle benutzt werden kann.

Wir möchten mit dem BigBrotherAward nicht warten, bis eine Versicherung einen Tarif mit Vollüberwachung auf den Markt bringt. Obwohl immer betont werden wird, dass Pay-as-you-drive-Tarife selbstverständlich freiwillig sind, werden die Kunden gewissermaßen doch gezwungen, sich eine Black-Box ins Auto einzubauen: mit Geld.

Vor allem junge Fahranfänger werden wegen des Sparanreizes nicht lange nachdenken – und damit frühzeitig an eine umfassende Bespitzelung ihres Fahrverhaltens und ihres Tagesablaufes gewöhnt. Der Erfolg der Rabatt- und Bonuskarten – wie zum Beispiel Payback – zeigt, dass viele Bürger bereits für wenig Gegenleistung bereit sind, ihre Privatsphäre zu aufzugeben.

Pay-as-you-drive-Systeme sind keine ‚neutrale’ Technologie. Ihr einziger Zweck ist das Überwachen und Ausspionieren des Fahrverhaltens. Der Große Bruder im Auto.

Herzlichen Glückwunsch zum BigBrotherAward, Dr.-Ing. Hans Hubschneider von der PTV Planung Transport Verkehr AG in Karlsruhe.

Der Big Brother Award 2006 in der Kategorie "Technik" geht an die Philips GmbH Abteilung Unterhaltungselektronik, vertreten durch deren Geschäftsführer Ronald de Jong, für die Vorgabe, dass CD-Brenner ihre eindeutige Seriennummer auf den Rohling schreiben und damit eine Rückverfolgbarkeit von Datenträgern zum Brenner ermöglichen.

Mit der Einführung der beschreibbaren CDs und den dafür notwendigen Brennern wurde der sogenannte Orange-Book-Standard geschaffen. Dieses Dokument beschreibt die technischen Vorgänge und Eckdaten, wie eine beschreibbare CD und das dazugehörige Laufwerk auszusehen haben. Maßgeblich beteiligt war seinerzeit die Firma Philips, Abteilung Unterhaltungselektronik. Diese hatte - so wird berichtet - dem Druck der Unterhaltungsindustrie nachgegeben und die eindeutige Kennzeichnung der gebrannten CDs in die Spezifikation der Brenner eingebracht. Von nun an sollten alle neuen Geräte ihre weltweit eindeutige Seriennummer während des Brennvorganges auf der CD hinterlassen.

Mit dieser Seriennummer hofft die Unterhaltungsindustrie, "Raubkopien", also unlizenzierte Vervielfältigungen von Datenträgern, aufspüren zu können, um gegen die so genannten Schwarzkopierer vorzugehen. Tatsächlich aber hinterlässt der eingebrannte Code eine Datenspur, die den Ersteller der CD in Erklärungsnöte bringen kann. Der Benutzer eines Brenners wird darüber nicht informiert und auch die Hersteller geben sich bedeckt, welche Geräte diesen Code auf das Medium schreiben. Dabei sind die Gefahren offensichtlich: Die anonyme Weitergabe von Daten ist nicht mehr möglich - Kopien lassen sich zu dem Gerät zurückverfolgen, mit dem sie hergestellt sind. Ähnliches hatte die BigBrotherAward-Jury bereits 2004 bei den heimlich aufgedruckten Seriennummern durch Farbkopierer für preiswürdig gehalten.

Regelmäßige Kinogänger kennen die Spots der ZKM-Kinomarketing: "Raubkopierer gehen für fünf Jahre ins Gefängnis." Verschwiegen wird hier allerdings, dass es sich dabei um die Höchststrafe für gewerbliche Urheberrechtsverletzungen handelt. Wer einmal in Osteuropa oder Asien auf den Märkten war, weiß was damit gemeint ist: In großem Stil werden dort professionelle Kopien von Musik, Filmen und Software verkauft. Diese CDs sind allerdings in richtigen Presswerken in Massenproduktion hergestellt. Selbstverständlich ohne Seriennummer des Gerätes. Die Herstellung mit CD-Brennern wäre viel zu zeitaufwändig. Das Verfahren von Philips hilft hier also nicht. Es trifft nur den privaten Benutzer.

Wir wollen klarstellen: Es ist in Deutschland nicht strafbar, Musik-CDs für den privaten Gebrauch zu brennen. Auch wenn uns die Kampagnen der Unterhaltungsindustrie ein anderes Bild vermitteln wollen. Lediglich ein technisch wirksamer Kopierschutz darf dabei nicht überwunden werden und die Musik darf nicht aus "offensichtlich illegalen" Quelle stammen.

Über die so genannte "Leermedienabgabe", die für jeden Rohling und für jeden Brenner an die GEMA entrichtet wird, bekommen sogar die Urheber eine Vergütung. Es gibt also nicht den geringsten Grund, diese quasi geheime Kennzeichnung auf den CDs anzubringen. Trotzdem schreiben weiterhin viele Geräte den Code auf die Silberscheibe - weil es im Orange-Book-Standard so drin steht.

Herzlichen Glückwunsch, Ronald de Jong von der Firma Philips, stellvertretend für alle Hersteller, deren CD-Brenner ihre Seriennummer auf der CD hinterlassen.

Fußnote/Anhang:
Technisch betrachtet wird die Recorder Identification (RID) im sogenannten "Sub-code Q channel" untergebracht, wo unter anderem auch die Laufzeit des Stückes und die Songtitel untergebracht sind. Die RID besteht aus drei Zeichen Hersteller-Kürzel, vier Zeichen Modell-Kürzeln und mindestens fünf weiteren Zeichen für die eindeutige Geräte-Seriennummer.