Dieses Interview wurde gekürzt. Sie können sich die Langfassung im Video anschauen.

Golineh Atai: Beim BigBrotherAward aus dem Bereich Arbeitswelt konnte die Jury sich in diesem Jahr nicht für einen konkreten Preisträger entschieden. Dazu möchte ich jetzt ein Jury-Mitglied auf die Bühne bitten. Er ist Professor für Arbeitsrecht und Recht in der Informationsgesellschaft an der Frankfurt University of Applied Sciences. Herzlich willkommen, Prof. Dr. Peter Wedde!

Herr Wedde, in diesem Jahr, 2019, gibt es keinen BigBrotherAward für den Bereich „Arbeitswelt“. Heißt das, dass irgendwie alles gut ist, oder gibt es da vieles, was wir nicht beobachten, aber nicht sehen oder nicht sehen können?

Peter Wedde: Es ist natürlich nicht alles gut. Wenn wir keinen BigBrotherAward in der Kategorie „Arbeitswelt“ mehr vergeben müssten, würde das ja heißen, dass Arbeitgeber Datenschutz und Persönlichkeitsrechte ernst nehmen und dass sie kein Geld mehr durch schlechten Datenschutz sparen wollen. Das ist natürlich nicht so.

Manche Unternehmen haben zwar dazugelernt oder wollen vielleicht auch nur Bußgelder vermeiden. Aber es gibt auch weiterhin eine ganze Reihe von Vorfällen, die aber nur nicht an die Oberfläche kommen. Hinzu kommt, dass das öffentliche Interesse erst dann einsetzt, wenn es sich um große Fälle handelt. Ich selbst erhalte immer wieder Presseanfragen wie: „Haben sie nicht mal etwas Spannendes?“ Und wenn ich dann sage „Ja, ich kenne eine Frau, Ende 50, der ist gerade anhand von datenschutzrechtlich unzulässig ausgewerteten Vertriebsdaten vorgeworfen worden, dass sie angeblich Arbeitszeitverstöße begangen hat und man hat ihr gekündigt“, dann winken die Anfrager ab. „Das ist zu klein, das zieht nicht so.“ Größere Fälle bleiben oft unter der Decke, weil viele Betriebe hier interne „Alarmsysteme“ eingerichtet haben, um Öffentlichkeit zu vermeiden. Der große „Big Bang“, der fehlt derzeit und damit auch ein Bewusstsein für Beschäftigtendatenschutz.

Atai: Haben Sie noch weitere Beispiele, damit wir uns ein Bild machen können?

Wedde (grinst): Wie viel Zeit haben wir?

Atai: Na, wir haben ein bisschen Zeit.

Wedde: Ich kenne viele Vorfälle, aber oft darf ich darüber nicht reden, weil ich als Sachverständiger oder Gutachter davon erfahren habe und deshalb Stillschweigen wahren muss. Deswegen mache ich es so: Die Fälle, die ich Ihnen jetzt erzähle, sind so verfremdet, dass man nicht auf die realen Firmen und Personen schließen kann. Aber deshalb sind sie trotzdem wahr.

Da ist zum Beispiel ein Vertriebsleiter, der in einem großen Unternehmen alle Administratoren-Rechte hat. Der kann damit natürlich in die Daten der Vertriebsorganisation reingucken. Dieser Mensch hat sich das Erstellen sogenannter „Rennlisten“ zum Hobby gemacht. Solche Listen weisen die besten, aber auch die schlechtesten Vertriebler aus. Solche „Rennlisten“ gibt es immer wieder, deshalb steht in einer geltenden Betriebsvereinbarung drin, dass deren Erstellung verboten ist. Der Vertriebsleiter in meinem Beispiel hat sie aber trotzdem geführt und auch noch mit der Gehaltsdatenbank verbunden, auf die er ebenfalls Zugriff hatte. Und dann hat er gesagt: „Mitarbeiter A ist älter und teuer, Mitarbeiterin B ist jünger, aber auch teuer und nicht so leistungsfähig - die müssen weg!“

Er hat schlecht bewertete Mitarbeiter dann angesprochen und sie gefragt, ob sie nicht ihre vorzüglichen Fähigkeiten besser woanders einbringen wollen. Wer nach diesem deutlichen Hinweis nicht „freiwillig“ ging, erhielt eine Kündigung mit vorgeschobenen Gründen – etwa wegen Arbeitszeitbetruges. Als das Ganze raus kam, hat er sich damit heraus geredet, er hätte diese Möglichkeit zufällig so beim Ausprobieren des Systems entdeckt und gar nicht gewusst, dass das datenschutzfeindlich ist.

Atai: Ganz „zufällig“ also?

Wedde: Genau, gaaanz zufällig!

Zweites Beispiel, und da wird es dann schon kritischer: Stellen sie sich eine große Bank vor. In einem großen Raum sitzen dort die System-Administratoren vor ihren Monitoren – Menschen, die ja auch die Geld-Daten im System sehen können. Also wird überwacht, was sie tun und das ist eigentlich auch vernünftig. Es gibt aber zwei Kategorien von Überwachung. Auf der einen Seite des Raumes werden die Menschen mit zwei Kameras überwacht. Eine Kamera ist auf den Monitor gerichtet, die andere auf die Tastatur. Das sind Beschäftigte eines externen Dienstleisters. Auf der anderen Seite sitzen die Angestellten der Bank, da sind keine Kameras.

Die Beschäftigten des Dienstleisters haben ihrem eigenen Betriebsrat gesagt: „Was soll das?“ Der hat den Chef der Dienstleistungsfirma darauf angesprochen, und dieser hat dann gesagt: „Ja, das ist unschön für Euch, aber wenn wir die Videoüberwachung beim Kunden vertraglich ausschließen, sind wir den Auftrag los.“ Für die direkt bei der Bank Beschäftigten hat der Betriebsrat den Einsatz von Kameras in dieser Form durch eine Betriebsvereinbarung ausgeschlossen. Da merkt man, wie eine Schere auseinander geht.

Banken verweisen oft darauf, dass eine solche Überwachung angeblich von der BaFin, von der Bundesanstalt für Finanzdienstleistungsaufsicht gefordert würde. Ich habe bei der BaFin mal nachgefragt. Dort sagte man: „Wir fordern das so nie, das wäre ja nicht rechtens!“ Und dann behaupten Arbeitgeber gerne auch auch, „das steht im Gesetz.“ Im Gesetz stehen solche Maßnahmen aber auch nicht.

Atai: Also die Arbeitgeber wissen eigentlich, dass sie Datenschutz missachten, aber sie wissen ganz genau, welche Karten sie zücken müssen?

Wedde: Nein, das würde ich nicht so pauschalisieren. Ich kenne Arbeitgeber, die sehr auf Datenschutz achten, eine ganze Menge sogar. Aber es gibt eben auch immer wieder welche, die solche Ausreden suchen.

Atai: Sie haben von den Betriebsräten gesprochen. Welche Rolle spielen diese? Sind sie ausreichend aktiv?

Wedde: Wo Betriebsräte existieren, sind die auch aktiv. Sie sind aber nur in ungefähr in einem Drittel der Betriebe gewählt – meist in großen, in vielen mittelständischen und in ein paar kleinen Betrieben. Das heißt, zwei Drittel der Beschäftigten sind ohne Betriebsrat.

Betriebsräte können ein Stück weit regeln, was mit einzelnen IT-Systemen passiert. Sie können aber nicht verhindern, dass Arbeitgeber rechtswidrig handeln – davon müssen sie erst einmal wissen. Und selbst wenn sie davon erfahren, haben sie relativ schwache Regelungs- und Reaktionsmöglichkeiten. Insbesondere zum Datenschutz haben Betriebsräte bis heute kein Mitbestimmungsrecht. Und dass, obwohl die neue Datenschutzgrundverordnung ausdrücklich sagt, dass man Betriebsvereinbarungen zum Datenschutz abschließen kann. Aber wie sollen sie das tun, ohne Mitbestimmungsrecht? Der Gesetzgeber weiß das, tut aber aktuell nichts dafür, um Betriebsräten die Umsetzung seiner Rechte aus der DSGVO zu ermöglichen.

Atai: Ich stelle mir gerade die Situation vor, wenn ich die Betroffene wäre, als Beschäftigte, und mir fällt ein Datenschutzverstoß auf. Welche Möglichkeiten habe ich, so etwas öffentlich zu machen?

Wedde: Das ist sehr schwierig. Man muss wissen, im deutschen Arbeitsrecht gibt es das Instrument der Verdachtskündigung. Wenn der Arbeitgeber meint, es hätte ein Arbeitnehmer ihm schlechtes getan, dann kann er erst mal kündigen, auch wenn an entsprechenden Vorwürfen gar nichts dran ist. Davor haben natürlich viele Beschäftigte Angst.

Ich kriege oft Anrufe von Menschen, die meinen Namen im Internet gefunden haben und die datenschutzwidrige Sachverhalte berichten und fragen, was sie tun können. Ich frage dann oft zurück: „Wollen Sie das wirklich öffentlich machen?“ Und dann ist die Antwort oft „Nein, ich wollte das ja nur mal wissen. Was kann ich jetzt tun?“

Atai: Und was können Sie solchen Anrufern raten?

Wedde: Beschäftigte können sich natürlich an den betrieblichen Datenschutzbeauftragten wenden. Dazu hat aber das Bundesarbeitsgericht schon 1997 gesagt, betriebliche Datenschutzbeauftragte nicht neutral sind, denn sie werden vom Arbeitgeber eingesetzt. Es gibt betriebliche Datenschutzbeauftragte, die machen dennoch einen tollen Job. Aber es gibt auch ganz viele, die sind sozusagen „his master’s voice“. Sie sind Mitarbeiter des Arbeitgebers und wenn da ein Beschäftigter hinkommt, wird es für ihn schnell schwierig.

Gerade letzte Woche habe ich einen Fall gehört, da hat sich ein Arbeitnehmer beim betrieblichen Datenschutzbeauftragten schriftlich beschwert. Er wurde dann eine Woche später vor seinen Chef zitiert, der den Beschwerdebrief auf dem Tisch hatte. Der Datenschutzbeauftragte ist mit dem Beschwerdebrief also offenkundig direkt zum Chef marschiert. Das ist dann ein Datenschutzverstoß des Datenschutzbeauftragten – dem Arbeitnehmer hilft das aber im Zweifel nicht, der ist dran.

Atai: Wo könnten Arbeitnehmer noch hingehen?

Wedde: Zu den Landesdatenschutzbeauftragten zum Beispiel. Die machen einen guten Job, sind aber personell meistens sehr schlecht ausgestattet. Ich habe ein Schreiben gesehen, da hat ein Beschäftigter von der zuständigen staatlichen Stelle die Antwort bekommen „Ihre Datenschutzbeschwerde hat die Nummer 5430.“ Kein Witz, 5430. Und weiter hieß es: „Wir schaffen es in diesem Jahr nicht mehr, uns mit ihrem Fall zu beschäftigen.“

Es ist wirklich eigentlich ein Skandal, dass die staatlichen Datenschutzaufsichtsbehörden nicht besser ausgestattet werden. Auch deshalb bleibt Arbeitnehmern nicht viel mehr übrig, als den Rechtsverstoß zu ertragen und zu schlucken.

Betriebsräte und Datenschutzbeauftragte können immer nur ein Stück weit helfen. Die sind nicht aufgestellt wie eine Polizei, man wählt eine Nummer und dann kommt jemand und hilft, wenn ein Einbrecher im Haus ist. So funktionieren diese Stellen nicht.

Atai: Sie haben jetzt mehrfach Beispiele genannt, bei denen die Menschen, die Datenverstöße melden wollten, sich selbst gefährdet haben. Hilft es, wenn wir über Maßnahmen zum Informantenschutz in der Arbeitswelt nachdenken? Was wäre da möglich?

Wedde: Informanten- und Whistleblower-Schutz wird seit Jahren gefordert, aber wir haben zu diesem Thema immer noch kein Gesetz in Deutschland. Es gab schon vor Jahren Anhörungen im Bundestag, es gibt Gesetzentwürfe, aber da kommt so recht nichts voran, obwohl jeder, der sich mit diesem Thema befasst, sagt, „man braucht das“. Nun ist ein Arbeitsverhältnis immer existenziell für einen Menschen, deswegen werden Beschäftigte ohne so ein Gesetz ziemlich allein gelassen. Und die Betriebsräte müssten wie gesagt mehr Instrumente und Rechte haben, um Änderungen durchzusetzen oder Missstände abzustellen oder zu verhindern.

Insofern mache ich Werbung in eigener Sache für uns: Die BigBrotherAwards in der Kategorie „Arbeitswelt“ haben in den vergangenen Jahren immer eine große und gute Wirkung gehabt. Da sind Kündigungen von Betriebsratsmitgliedern zurückgenommen worden, da sind Kameras abgebaut worden, da wurden viele Missstände abgestellt und Betriebsvereinbarungen nachgebessert. Wir als Jury und Team hinter den Preisen wissen ja meist sehr viel mehr über einzelne Fälle, als wir hier sagen. Und unsere Preisverleihung zeigt den Arbeitgebern, dass jemand aufpasst.

Von daher können wir nur einladen, Datenschutzverstöße in der Arbeitswelt an uns zu melden. „Nach dem Spiel ist vor dem Spiel“ - es gibt auch einen BigBrotherAward 2020. Wir nehmen den Informantenschutz immer sehr ernst. Da geht nichts raus, was jemandem schaden könnte – lieber verzichten wir auf eine Nominierung, bevor wir den Absender einer Information gefährden. Deshalb kann ich alle Beschäftigten nur ermutigen, uns von Datenschutzverstößen zumindest zu erzählen, und dann schauen wir weiter.

Atai: Herr Wedde, ich bedanke mich sehr für diesen Einblick.

Der BigBrotherAward 2019 in der Kategorie Biotechnik geht an die Firma Ancestry.com mit ihrer Niederlassung in München, weil sie das Interesse an Familienforschung dazu ausnutzt, Menschen zur Abgabe von Speichelproben zu veranlassen.

Familienforschung – auch Ahnenforschung oder Genealogie genannt – ist ein relativ harmloses Hobby: Wer bin ich? Wo komme ich her? Mit wem bin ich verwandt? Diese Fragen wurden früher mit Geburts-, Heirats- und Sterbeurkunden, Familienstammbäumen und Kirchenbüchern beantwortet. Die Gentechnik eröffnet nun ganz neue Erkenntnismöglichkeiten, da die Analyse unserer Gene, unserer DNA, verrät, mit wem wir biologisch verwandt sind – bis zum 3. oder 4. Grad. Selbst die sogenannte biogeografische Herkunft unserer Urahnen, also die Frage, in welcher Region meine Familienmitglieder in vergangenen Generationen gelebt haben, lässt sich mit einer gewissen Wahrscheinlichkeit genetisch bestimmen.

DNA ist die englische Abkürzung für Desoxyribonukleinsäure - deoxyribonucleic acid – die wissenschaftliche Bezeichnung für unser Genom, also die Gesamtheit unserer Erbanlagen. Die Erkenntnisse daraus sind verblüffend. Kein Wunder, dass viele Familienforschende ihren Speichel zur Untersuchung einsenden, um mehr über sich herauszubekommen.

Familienforschung als Hobby ist in den USA weit verbreitet. Viele Firmen bieten hierzu ihre Dienste an. Der Marktführer ist Ancestry.com mit angeblich derzeit mehr als 10 Millionen Kund.innen weltweit und 20 Milliarden weiteren Datensätzen und Urkunden, gefolgt von der Google-Gründung „23andMe“ mit 5 Millionen DNA-Analysen¹.

Ancestry hat in München eine Niederlassung eingerichtet und drängte kurz vor Weihnachten 2018 massiv auf den deutschen Markt. Versprochen wird eine „Selbstentdeckungsreise“, „Erstaunliches über sich selbst“, ein „Schlüssel in die Vergangenheit“. Das Ganze für einen Einführungspreis von 79 €, heute 89 € incl. Mehrwertsteuer zuzüglich Versand. Ein Schnäppchen, denn immerhin hat im Jahr 2003 die erste Entschlüsselung des gesamten menschlichen Genoms mit seinen über 3 Milliarden Basenpaaren im Rahmen des Human Genome Projectes noch 3 Milliarden Euro gekostet. 2008 fielen die Kosten pro Genom auf eine Million Euro. 2011 war ein Next Generation Sequencing schon für 10.000 € zu haben. Ein Jahr später konnte erstmals das 1000-Euro-Genom mit der inzwischen verfügbaren Rechenpower und neuen Analysemethoden innerhalb weniger Stunden analysiert werden.

Das Angebot ist nicht nur „billig“, sondern auch einfach zu bekommen: Im Internet kann ich ein Ancestry-Konto einrichten und mir damit ein Testkit bestellen. Meine Speichelprobe wird an ein Labor geschickt; 6 bis 8 Wochen später kann ich im Internet über den Account die Ergebnisse abrufen. Toll!

Dass da alles mit guten Dingen zugeht, dafür verbürgten sich angeblich Ende 2018 auf der Internetseite von ancestry.com noch viele deutschsprachige „Partner“, etwa viele Landesarchive, die Deutsche Nationalbibliothek, das Deutsche Auswandererhaus, die Marineschule Mürwik, das Schweizerische Bundesarchiv oder der niedersächsische Landesverein für Familienkunde. Nur: Von uns auf ihre Partnerschaft angesprochen, hatten diese davon keine Ahnung. Schnell verschwand dann auch diese illegale Werbemethode.

Das Angebot sei, so heißt es auf der Internetseite, datenschutzkonform. (Zitat:) „Sicherheit und Datenschutz genießen bei Ancestry oberste Priorität“. Die Kunden blieben (Zitat) „Eigentümer ihrer Daten“. Die Daten sowie die Gewebeproben würden auf Anforderung der Betroffenen wieder gelöscht bzw. vernichtet. Eine Weitergabe an Dritte erfolge nicht – außer, soweit (Zitat) „gesetzlich erforderlich“ oder „Sie geben uns Ihre ausdrückliche Zustimmung“. Also alles paletti?

Der Haken liegt – wie so oft – im Kleingedruckten und ist im Falle von Ancestry in einem dichten Gestrüpp von Bestimmungen verborgen: einer 16seitigen Datenschutzerklärung², elf Seiten Allgemeine Geschäftsbedingungen³ und siebeneinhalb Seiten Einwilligung in das Forschungsprojekt „Ancestry Human Diversity Project“⁴.

Mit dem Einsenden des Speichels erfolgt die Zustimmung zu den Datenschutzbestimmungen, wonach Ancestry selbst mit meinen Daten unbeschränkt über (Zitat) „Merkmale, persönliche Gesundheit und persönliches Wohlbefinden“ Forschung durchführen kann. Wird dem „Ancestry Human Diversity Project“ zugestimmt, so kommen „mitwirkende Partner“ ins Spiel. Die Partner befinden sich (Zitat) „in den Vereinigten Staaten und anderen Ländern“. Dabei kann es sich um „akademische Einrichtungen sowie Non-Profit-Organisationen, gewinnorientierte Unternehmen und Regierungsbehörden“ handeln.

Wer in dieses „Ancestry Human Diversity Project“ einmal seine Einwilligung erteilt, gibt die Kontrolle über seine genetischen Daten aus der Hand und hat keinen Einfluss mehr darauf, wer was und wo damit forscht. Ca. 80% der Einsendenden geben gemäß Presseberichten bei 23anMe ihre DNA für „Forschungszwecke“ frei und machen weitere Angaben zu sich und ihrer Familie⁵. Bei Ancestry dürfte es ähnlich sein.

Damit nicht genug: Den Kunden als „Eigentümern ihrer Daten“ wird von Ancestry jegliche Auskunft verweigert über die sogenannte Forschung, über Methoden, Partner oder Rückschlüsse, die daraus gezogen werden. Was dahinter steckt, wird offenkundig, wenn man sich die junge, aufstrebende Branche der Gendatenkraken genauer ansieht. So schloss der Ancestry-Konkurrent 23andMe, der nur einen halb so großen Datenbestand hat, kürzlich mit dem Pharmakonzern GlaxoSmithKline über 300 Mio. US-Dollar einen Kooperationsvertrag zur Nutzung der Daten. Das Geschäftsmodell dieser Anbieter ist nicht die Ahnenforschung, sondern es geht um das ganz große Geld mit den Gendaten, mit insbesondere der Pharmaindustrie als Abnehmer.

Das Ganze ist also keine Win-Win-Geschichte, bei denen Kunden einfach für eine Dienstleistung bezahlen, die sie bestellt haben. Tatsächlich werden die Betroffenen abgezockt. Die Abzocke erinnert an Google, Facebook und Co. mit Internetdaten. Die Betroffenen erhalten außer spärlichen Auswertungsergebnissen keine Auskunft über die Nutzung ihrer Daten, geschweige denn, dass sie – als vermeintliche „Dateneigentümer“ – an den Gewinnen beteiligt würden. Im Gegenteil: Ihnen wird von Ancestry gar verboten, ihre eigenen Analyseergebnisse an Dritte weiterzugeben⁶.

Welche weiteren Begehrlichkeiten die Daten der Firma Ancestry wecken, ist 2018 aus den USA bekannt geworden. Menschen, die dort ihre DNA analysieren liessen, gerieten mitsamt ihren Familien ins Visier der Polizei, etwa weil sie mit dem so genannten „Golden State-Killer“ auch nur entfernt verwandt sind. Um den Täter zu ermitteln, wurde die gesamte Verwandtschaft von den Ermittlern ausgeforscht. Kein Wort bei Ancestry.über die potenzielle Strafverfolgung von biologischen Verwandten.

Ancestry erteilt deutschen Kunden vor der DNA-Analyse auch keine humangenetische Beratung, obwohl diese verpflichtend im deutschen Gendiagnostikgesetz vorgesehen ist. Die Firma prüft auch nicht, ob eine Person berechtigt ist, die eingesendeten Speichelproben untersuchen zu lassen. So könnte z.B. ein Vater DNA von sich und von seinen Kindern einsenden, um auf diesem Weg de facto einen Vaterschaftstest machen zu lassen. Ancestry klärt ihn weder darüber auf, dass er sich damit nach deutschem Recht strafbar macht, noch dass seine biologischen Verwandten ein „Recht auf Nichtwissen“ haben und welche gravierenden familiären Verwerfungen und psychischen Folgen so ein Schritt haben kann, etwa wenn per DNA-Test die Unehelichkeit eines Kindes herauskommt oder ein angeblich anonymer Samenspender plötzlich ans Tageslicht gezerrt wird.

Nichts gegen Genanalysen. Diese können für die Familienforschung, insbesondere aber für die Medizin eine wichtige Erkenntnisquelle sein. Doch sollten die Probengeber sich darüber im Klaren sein, was sie da tun. Anbieter wie Ancestry missbrauchen das Interesse an Familienforschung, um einen Genom-Schatz für die kommerzielle Forschung anzuhäufen, denn das ist ihr eigentliches Geschäftsmodell. Die Datenschutzrechte der Probengeber und ihrer Verwandten müssen respektiert werden. Die deutschen Datenschutz- und Aufklärungspflichten werden aber von Ancestry aus Profitinteresse bewusst ignoriert. Wir sehen hier einen Trend: Nach der Ausbeutung von Internetdaten wird die Ausbeutung von Gendaten das nächste ganz große Ding. Ancestry ist der Platzhirsch, der keine Datenschutz- oder Grundrechtsskrupel kennt.

Deshalb erhält Ancestry den BigBrotherAward 2019. Herzlichen Glückwunsch.

Der BigBrotherAward 2019 in der Kategorie Behörden & Verwaltung geht an den hessischen Innenminister Peter Beuth (CDU).

Er erhält den Negativpreis

1. für die bundesweit erstmalige Anschaffung einer Analysesoftware der CIA-nahen Firma Palantir,

2. dafür, dass diese umstrittene US-Firma über Einsatz und Betrieb der Software Zugang zum Datennetz der hessischen Polizei erhält, und

3. dafür, dass mit dieser Analysesoftware Massendaten aus polizeieigenen und externen Quellen in Sekundenschnelle automatisiert verknüpft, analysiert und ausgewertet werden können – mit fatalen Auswirkungen auf Grundrechte, Datenschutz und Rechtsstaat.

Ja, wir haben die schwarz-grünen Regierungsfraktionen in Hessen schon letztes Jahr mit einem BigBrotherAward ausgezeichnet, und zwar für ihre damals geplante Verschärfung des Verfassungsschutz- und Polizeigesetzes.¹ Trotz aller Proteste sind diese Gesetze im Juli 2018 verabschiedet worden und seitdem in Kraft. Damit darf die hessische Polizei inzwischen neue Überwachungsmaßnahmen weit im Vorfeld eines Verdachts oder einer möglichen Gefahr ergreifen – etwa Staatstrojaner installieren oder Menschen in elektronische Fußfesseln legen, von denen sie nur annimmt, dass sie künftig Straftaten begehen könnten.

Damit aber nicht genug: Um diese neuen präventiven Aufgaben zu erfüllen und die dabei anfallende Datenflut zu bewältigen, holte sich die Polizei auch noch die umstrittene CIA-nahe Firma Palantir ins Haus. Deshalb kommen wir erstmals in der Geschichte der deutschen BigBrotherAwards nicht darum herum, einen zweiten Straf-Preis in Folge an einen Datenfrevler derselben Regierungskoalition desselben Bundeslandes verleihen zu müssen.

Der hessische Innenminister Peter Beuth ist dafür verantwortlich, dass die US-Firma Palantir beauftragt worden ist, ihre Analysesoftware „Gotham“ im IT-System der hessischen Polizei zu installieren und in Betrieb zu setzen. Benannt ist diese Software nach jener fiktiven, von Kriminalität und Korruption verseuchten Stadt, in der Batman Verbrecher jagt und für Recht und Ordnung sorgt. Nachdem die „Gotham“-Software an hessische Polizei-Bedürfnisse angepasst worden ist, heißt sie „Hessen-Data“. Zur Nutzung ermächtigt wird die Polizei mit § 25a des verschärften Hessischen Polizeigesetzes (HSOG), weshalb dieser Paragraf auch spöttisch „Palantir-Ermächtigung“² genannt wird. Danach dürfen umfangreiche Datenanalysen durchgeführt werden zur vorbeugenden Bekämpfung von über vierzig Straftaten, die in § 100a Abs. 2 StPO (Telekommunikationsüberwachung) aufgelistet sind, sowie zur Abwehr bestimmter Gefahren.

Was aber ist nun so problematisch und grundrechtsschädigend an dieser Verknüpfungs- und Analysesoftware der US-Firma „Palantir“?

„Palantir“, benannt nach den „sehenden Steinen“ aus „Herr der Ringe“, ist „eine der umstrittensten Firmen des Silicon Valley“, so die „Süddeutsche Zeitung“. Sie gilt nach Einschätzung der US-Bürgerrechtsvereinigung ACLU als „Schlüsselfirma in der Überwachungsindustrie“.³ Der US-„Star-Investor“ und Milliardär Peter Thiel, der bereits den Online-Bezahldienst Paypal mitgegründet hatte, gründete die Firma im Jahr 2004 mit finanzieller Unterstützung des US-Geheim­dienstes CIA. Die Kundenliste der Firma liest sich wie das Who-is-who der US-Militär- und Sicherheitsbürokratie: CIA, FBI, NSA, Pentagon, Marines und Airforce.⁴ Oder anders ausgedrückt: Als Hauslieferant dieser Behörden ist die Firma tief in den militärisch-digitalen Komplex der USA verstrickt und ihr Geschäftsmodell heißt: BigData for BigBrother.⁵ Peter Thiel sitzt zudem im Aufsichtsrat von Facebook und hat Donald Trumps Wahlkampf mit über einer Million US-Dollar unterstützt.⁶

Die hessische Polizei beauftragte also diese hoch umstrittene Überwachungsfirma damit, ihre Polizeidatenbanken mit Social Media-Daten und anderen externen Dateien zu verknüpfen und zu analysieren. Es ist dabei keineswegs auszuschließen, dass vertrauliche Polizeidaten aus Hessen in die USA abfließen könnten – zumal bis zu sechs Software-Entwickler der Firma mit eigenen Laptops die Analysesoftware installierten, sie für die hessische Polizei betrieben und Servicezugriff haben. Als US-Firma ist Palantir übrigens auch dem FISA-Act unterworfen, dem berüchtigten „Foreign Intelligence Surveillance Act“ (Gesetz zur Überwachung in der Auslandsaufklärung). Und das bedeutet: Alle Informationen über Nicht-US-Bürger und -Bürgerinnen, zu denen Palantir – wie und wo auch immer - Zugang bekommt, müssen im Fall einer Anordnung auch an US-Geheimdienste übermittelt werden.⁷ Und es gibt, so sehen es die Oppositionsfraktionen von FDP und Die Linke im hessischen Landtag, keine verlässlichen Kontrollmechanismen, um das zu verhindern.⁸

Mit der Dateienverknüpfungs- und -auswertungssoftware „Hessen-Data“ sollen Be­dro­hungslagen leichter erkannt und so genannte terroristische Gefährder identifiziert und aufgespürt werden können – also Menschen, die keine Straftaten begangen haben, denen polizeilicherseits aber aufgrund bestimmter Indizien oder Verhaltensweisen solche künftig zugetraut werden. In der modernen Polizeiarbeit geht es längst nicht mehr nur um die Abwehr konkreter Gefahren, sondern um polizeiliche „Aufklärung“ weit im Vorfeld mutmaßlicher Gefahren, wie sie mit der letzten Polizeirechtsverschärfung in Hessen legalisiert worden ist. Damit begibt sich die Polizei auf geheimdienstliches Terrain, wo sie prinzipiell nichts zu suchen hat. Und folgt man dem neuen schwarz-grünen Koalitionsvertrag von Dezember 2018, könnte die Analysesoftware künftig auch schon unterhalb der Schwelle der Bekämpfung von islamistischem Terrorismus und Organisierter Kriminalität eingesetzt werden - und damit in weit größerem Ausmaß als ursprünglich vorgesehen.⁹ Inzwischen gibt es übrigens auch eine Mobilversion von „Hessen-Data“, um etwa Zielpersonen zu orten und polizeiliche Observateure koordinieren zu können.¹⁰

„Hessen-Data“ ist ein Dammbruch für die polizeiliche IT-Arbeit: Bislang waren die Polizeidaten-Bestände der Strafverfolgung und Gefahrenabwehr nicht miteinander verknüpft, weil personenbezogene Daten aus datenschutzrechtlichen Gründen prinzipiell nur für den Zweck verwendet werden dürfen, für den sie erhoben wurden – also entweder für Strafverfolgung oder für Gefahrenabwehr. Dieser Zweckbindungsgrundsatz wird mit „Hessen-Data“ aufgehoben.¹¹ Mehr noch: Es werden nicht nur unterschiedliche Polizeidatenbanken, sondern auch noch die Verkehrs- und Inhaltsdaten aus Telekommunikationsüberwachungen zusammengeführt und durchforstet sowie Daten aus unterschiedlichen Informationssystemen anderer Behörden wie etwa des Melde- und Ausländerzentralregisters. Doch damit nicht genug: Ein Dammbruch ist auch, dass mit „Hessen-Data“ erstmals auch Informationen aus sozialen Medien und Netzwerken wie Facebook, Twitter, Whatsapp, Instagram oder YouTube automatisch abgerufen, zusammengeführt und in Windeseile mit polizeilichen Daten abgeglichen werden können.

Mithilfe dieser rasanten Dateien-Verknüpfung und Daten-Analyse liefert die Palantir-Software der Polizei - grafisch spannend aufbereitet - komplexe Bewegungs- und Kontaktbilder, Beziehungsgeflechte und Personendossiers sowie Anomalien oder Verhaltensmuster von Menschen.¹² Wer kommuniziert oder trifft sich mit wem? Welche persönlichen Kontakte, Verbindungen und Zusammenhänge gibt es zwischen bestimmten Ereignissen, Personen, Gruppen oder Institutionen? Wer verhält sich ungewöhnlich oder verdächtig? Auch bloße Kontakt- und Begleitpersonen, Zeugen, Hinweisgeber oder Geschädigte können dabei ins Visier der Fahnder geraten, auch wenn sie nur in loser oder zufälliger Verbindung mit mutmaßlich Verdächtigen stehen.

Dabei geht es nicht mehr in erster Linie um harte Beweise, sondern um mehr oder weniger zufällige Analyseergebnisse dieser automatisiert zusammen gemixten Datensammlungen. Stellen Sie sich vor, Ihre alltäglichen Aktivitäten, mit denen Sie Unmengen digitaler Spuren hinterlassen, machen Sie plötzlich verdächtig, weil sie aus ihrem ursprünglichen Zusammenhang gerissen und in einen vollkommen anderen, neuen Kontext gestellt werden. Vielleicht kommt Ihnen die hessische Polizei „auf die Spur“, nur weil Sie zufällig zur falschen Zeit am falschen Ort waren, eine Wohnung in der Nähe eines Tatortes haben oder einfach mit einer anderen Person verwechselt worden sind. Dieses Analysesystem scheint zwar sehr leistungsfähig zu sein - aber auch recht manipulations- und willküranfällig.

Durch die neuen Überwachungsermächtigungen der hessischen Polizei können solche Analyseergebnisse für die Betroffenen zu besonders gravierenden Konsequenzen führen. Denn wer im Rahmen der Dateienverknüpfung und Datenanalyse als auffällig, als angebliche Risikoperson oder so genannter Gefährder herausgefiltert wird, hat unter Umständen mit dem heimlichen präventiven Einsatz von Staatstrojanern auf seinen Geräten zu rechnen, kann unter Meldeauflagen, Aufenthalts- und Kontaktverbote gestellt, in elektronische Fußfesseln gelegt, in Präventiv- oder Strafhaft genommen werden.

Auf welche Weise die Software „Hessen-Data“ ihre Analysen vornimmt, bleibt Geschäftsgeheimnis der Firma Palantir. Damit entziehen sich die Algorithmen hinter den möglichen polizeilichen „Erkenntnissen“ der öffentlichen und demokratischen Kontrolle.¹³

Bemerkenswert ist im Übrigen, wie die Kooperation der hessischen Polizei mit Palantir eingefädelt worden ist.¹⁴ Ein Untersuchungsausschuss des hessischen Landtags befasste sich im vergangenen Jahr monatelang mit der Frage, ob die Auftragsvergabe an Palantir möglicherweise rechtswidrig erfolgt ist und welche Rolle der Innenminister dabei spielte. Diese Fragen sind bis heute nicht wirklich eindeutig geklärt. Jedenfalls erfolgte die Vergabe auf intransparente Weise; die Leistungsbeschreibung war auf Palantir und ihre Software zugeschnitten, so dass andere mögliche Anbieter keine gleichberechtigte Chance hatten, obwohl es Alternativen gab.

Es macht darüber hinaus misstrauisch, wenn die Öffentlichkeit über den Kaufpreis der Palantir-Software im Dunkeln gelassen wird. Ihr Wert beträgt nach offizieller Mitteilung „0,01 Euro ohne MwSt“. Gegenüber „Spiegel-online“¹⁵ räumte das hessische Innenministerium ein, dass dies „nicht der tatsächliche Preis“ sei, wollte diesen aber aus „Gründen des öffentlichen Sicherheitsinteresses des Landes Hessen“ nicht nennen. Wie kann eine solche Information die öffentliche Sicherheit gefährden – werden etwa Straßenunruhen oder gar Anschläge befürchtet? Hessens Innenminister Beuth nimmt offensichtlich lieber Spekulationen in Kauf, als transparent zu arbeiten, wie es in einer Demokratie selbstverständlich sein sollte.

Fazit: Der Einsatz der wohl millionenschweren Palantir-Software bedeutet eine neue Qualität der Datenverarbeitung - die Polizei schwärmt gar von einem „Quantensprung in der polizeilichen Arbeit“. Oder anders und klarer ausgedrückt: Mit „Hessen-Data“ geht das schwarz-grün regierte Hessen einen weiteren großen Schritt in Richtung Kontroll- und Überwachungsstaat.

Die Analyseplattform „Hessen-Data“ steht im Dauerkonflikt mit dem Recht auf informationelle Selbstbestimmung als Ausprägung des Allgemeinen Persönlichkeits­rechts (Artikel 2 Abs. 1 GG). Außerdem wird mit dem Einsatz der Palantir-Software eine wichtige Grundsäule des Datenschutzes buchstäblich niedergerissen: nämlich das Prinzip der Zweckbindung, wonach personenbezogene Daten grundsätzlich nur für den Zweck verwendet werden dürfen, für den sie erhoben worden sind. Und das Ganze auch noch weitgehend ohne wirksame Kontrolle und in einer unheiligen Allianz mit einem Hauptakteur des US-amerikanischen Militär- und Geheimdienstkomplexes. Da können wir nur sagen:

Herzlichen Glückwunsch, Herr Innenminister Peter Beuth, zum BigBrotherAward 2019.

Mit einem guten Drittel der Stimmen ging der Publikumspreis – bei deutlichem Vorsprung vor dem zweitplatzierten (etwa ein Fünftel) und allen anderen – an die Preisträger in der Kategorie Politik, also die Fraktionen von CDU und Bündnis 90/​​Die Grünen im Hessischen Landtag für ihr geplantes neues Verfassungsschutzgesetz.

Hier sind einige Kommentare, die unser Publikum auf den Wahlzetteln hinterlassen hat:

Arbeitswelt

Die Informationen des „Schwächeren“ werden an den „Mächtigeren“ blanko abgetreten.

Im jetzigen System ist Arbeit für viele unabdingbar, deshalb ist ein Eingreifen in die Freiheit des Menschen in diesem Raum absolut nicht in Ordnung.

PR & Marketing

Fühle mich persönlich hiervon am meisten betroffen.

Das hatte für mich den größten Wow-Faktor – meine Kinnlade ist runtergefallen, im negativen Sinne!

Meine Stadt soll gerade Smart City werden, wird als etwas ganz tolles von der Smart Factory „verkauft“ – ich wusste nicht, was kleine Annehmlichkeiten für Horrorfolgen haben können.

Ich möchte mich bei Bewegung im Raum frei fühlen.

Smart City ist so generell und unsichtbar und verführerisch für smarte Politiker, dass hier Aufmerksamkeit echt smart ist.

Technik

Absolute Ohnmacht und Ausgeliefertsein als Nutzer, keine Handhabe dagegen.

Dieser Preis betrifft mich schon jetzt.

Meine Firma führt es in Kürze ein und mir graut jetzt noch mehr davor!

Durch den de-facto-Standard im Bereich der Wirtschaft und weil man nichts anderes kennt bzw. da ja die meisten Programme drauf laufen, ist man oftmals gezwungener Windows-Anwender. Dieser Konzern ist eines der ersten und datenschutzverachtenden Big-Data-Monopole. Er gehört zerschlagen!

Verwaltung

Einschränkung der Rechte von geflüchteten Menschen werden allzu oft hingenommen oder ignoriert. Der Preis ist wichtig, um diesen blinden Fleck sichtbar zu machen. Er entsteht durch in der Gesellschaft verankerten Rassismus.

Wir dürfen unsere Menschlichkeit nicht aufgeben!

Die schwache Stellung der Geflüchteten wird durch die zynische Technik noch mehr geschwächt und ausgenutzt für politische Zwecke.

Überwachungsmaßnahmen zuerst an Menschen zu „testen“, die schon derartig „gebeutelt“ sind, sollte uns höchst misstrauisch machen gegenüber denjenigen, die diese Mittel anwenden!

Menschen, die bei uns Zuflucht suchen, sind keine lästigen, potentiell gefährlichen Wesen, die man kontrollieren, kategorisieren und abstempeln müsste. Die Menschenwürde ist unantastbar!

Verbraucherschutz

Alexa wäre nur der Anfang – siehe Richtung China.

Noch ist es Zeit, selbstgewählter Überwachung und Kontrolle zu entgehen. Action gegen Alexa!

Die Verletzung des Selbstbestimmungsrechts findet – weitgehend unbemerkt – in der eigenen Wohnung statt.

Es wirkt so harmlos, wie ein Spielzeug.

Politik

Die Grundrechte, die der Staat besonders zu schützen hat, sind die Basis für alles andere!

Totale Überwachung dank vager Formulierung des Gesetzes praktisch beliebig begründen zu können, öffnet der Versklavung der Menschheit durch den Staat und sicher auch durch die Wirtschaft Tür und Tor.

Die Politk sollte uns Bürger schützen und nicht ausspionieren.

Staatstrojaner – kompletter Eingriff in alle Grundrechte.

Ich finde es schlimm, dass die Politik die Bürger nicht schützt, sondern kriminalisiert!

Die Unwissenheit, mit der die Politik an dieses Gesetz herangeht, ist absolut niederschmetternd. Entgegen jeglicher Empfehlungen von Expert.innen versuchen die Fraktionen CDU und Grüne, wieder einmal ein Überwachungsgesetz durchzupeitschen.

Die Diagnose, dass sich die Grünen von ihrem Status als Bürgerrechtspartei in den Bundesländern verabschieden, ist nicht von der Hand zu weisen. (Hessen, Bremen, Baden-Württemberg)

Schade, dass es den Grünen so leicht fällt, die Ideale der Freiheits- und Bürgerrechtsbewegung für etwas politische Macht zu opfern.

Sonstiges

Toller Abend, vielen Dank! ♡

Der BigBrotherAward 2018 in der Kategorie Politik geht an die Fraktionen von CDU und Bündnis90/Die Grünen im hessischen Landtag.

Die beiden Regierungsfraktionen erhalten den Negativpreis für ihr geplantes neues Verfassungsschutzgesetz und für die geplante Novellierung des hessischen Polizeigesetzes. Ihre Gesetzesinitiative enthält eine gefährliche Ansammlung gravierender Überwachungsermächtigungen, die tief in Grundrechte eingreifen und den demokratischen Rechtsstaat bedrohen. Die schlimmsten Regelungen im Überblick:

1. Der Inlandsgeheimdienst „Verfassungsschutz“ soll auch vorbestrafte V-Leute rekrutieren und kriminell gewordene Verfassungsschutz-Mitarbeiter.innen weiter einsetzen und abschöpfen können. Das tut er zwar schon heute, wie die Praxis zeigt; neu aber ist, dass dies erstmals gesetzlich abgesichert werden soll und kriminelle V-Leute ganz legal der strafrechtlichen Verfolgung entzogen werden können – anstatt solche V-Leute unverzüglich abzuschalten. Ein rechtsstaatswidriger Freibrief für kriminelles Handeln in staatlicher Mission. Diese Regelung legalisiert praktisch die bisherigen Skandale und mit ihnen die obszönen Verflechtungen des Verfassungsschutzes in rassistische, kriminelle und gewalttätige Neonaziszenen.

2. Erlaubt werden soll auch, Berufsgeheimnisträger wie Ärzte, Anwälte oder Journalisten als V-Leute anzuheuern oder V-Leute in deren beruflichem Umfeld zu platzieren. Damit werden die Verschwiegenheitspflichten und zu schützenden Vertrauensverhältnisse zu ihren Mandanten, Patienten oder Informanten verletzt. Nur Abgeordnete und ihre Mitarbeiter.innen sollen vor dieser geheimdienstlichen Instrumentalisierung und Ausforschung ausdrücklich geschützt werden.

3. Selbst Daten über Minderjährige unter 14 Jahren, also von Kindern, sollen in Dateien und Akten des Verfassungsschutzes erfasst und gespeichert werden dürfen. Diese frühzeitige geheimdienstliche Stigmatisierung kann fatale Folgen für die weitere Entwicklung der Betroffenen haben – etwa bei der späteren Berufswahl, Lehrstellen- oder Jobsuche.

4. Der Verfassungsschutz soll ermächtigt werden, personenbezogene Überwachungsdaten an öffentliche Stellen zu übermitteln – und zwar zur „Überprüfung der Verfassungstreue von Personen, die sich um Einstellung in den öffentlichen Dienst bewerben“. Das erinnert fatal an die menschenrechtswidrige Berufsverbotspraxis früherer Zeiten. Auch Organisationen und künftigen Mitarbeiter.innen staatlich geförderter Demokratie- und Präventionsprojekte, etwa gegen Rechtsextremismus oder Salafismus, drohen anlasslose geheimdienstliche Überprüfungen – womit sie pauschal zu Sicherheitsrisiken erklärt und unter Generalverdacht gestellt werden. Dieses gesetzliche Misstrauensvotum untergräbt Akzeptanz und Vertrauen, die für eine erfolgreiche Arbeit solcher zivilgesellschaftlichen Projekte unerlässlich sind.

5. Spionage-Programme, also sog. Staatstrojaner, sollen künftig über gefundene oder aufgekaufte Sicherheitslücken in Computern oder Smartphones Verdächtigter eingeschleust werden, um sie präventiv per Onlinedurchsuchung oder Quellen-Telekommunikationsüberwachung (TKÜ) umfassend ausforschen zu können.

6. Und die Polizei soll künftig u.a. ermächtigt werden, sogenannte „Gefährder“ vorsorglich in elektronische Fußfesseln zu legen, um ihren Aufenthalt, ihre Bewegungen und Kontakte über Wochen und Monate lückenlos kontrollieren zu können. Das sind Menschen, die keine Straftaten begangen haben, sondern denen die Polizei aufgrund bestimmter Anhaltspunkte künftige Straftaten zutraut.

Auf dem Weg in den präventiv-autoritären Sicherheitsstaat

Mit dieser Gesetzesinitiative geht die schwarz-grüne Regierungskoalition in Hessen einen großen Schritt in Richtung präventiv-autoritärer Sicherheitsstaat. Mit besonders prekären Regelungen reiht sie sich damit in die bundesweiten Reformen ein, mit denen u.a. der Staatstrojaner zur Quellen-TKÜ und Online-Durchsuchung sowie die elektronische Fußfessel für „Gefährder“ legalisiert werden. So etwa im BKA-Gesetz (2017), in der Strafprozessordnung (2017), in den Geheimdienstgesetzen Baden-Württembergs (2017) und Bayerns (2016). Interessanterweise klagt die grüne Oppositionsfraktion im bayerischen Landtag gegen das dortige Verfassungsschutzgesetz¹ – ausgerechnet gegen ein Gesetz, das sich das hessische Regierungsbündnis unter Mitwirkung der Grünen zum Vorbild genommen hat.

Ursprünglich sollten die Verfassungsschutzgesetze in Bund und Ländern novelliert werden, um überfällige Konsequenzen zu ziehen aus den zahlreichen Missständen, Pannen und Skandalen im Zusammenhang mit der NSU-Mordserie und NSA-Massenüberwachung. Primäre Ziele müssten demnach sein, den Verfassungsschutz und seine Befugnisse wirksam rechtsstaatlich zu zähmen und die Kontrolle über ihn erheblich zu stärken. Doch stattdessen erhalten ausgerechnet diese demokratisch kaum kontrollierbaren Geheimbehörden des Bundes und der Länder – geschichtsvergessen muss man sagen – wieder unverdienten Auftrieb, werden abermals aufgerüstet und massenüberwachungstauglicher gemacht, anstatt die Bevölkerung endlich vor ihren klandestinen Machenschaften und Skandalen wirksam zu schützen. Das heißt: Der Verfassungsschutz geht gestärkt aus dem Desaster und seiner Skandalgeschichte hervor. Und auch die Polizei wird weiter hochgerüstet.

Was bedeutet das für unmittelbar Betroffene und für uns alle? Zwei Beispiele:

1. Heimlicher Angriff auf Computer und Smartphones mit Staatstrojanern

Der hessische Verfassungsschutz soll unter bestimmten Bedingungen erstmals mit technischen Mitteln heimlich „informationstechnische Systeme“ angreifen dürfen – bei „Gefahr im Verzug“ zunächst sogar ohne richterliche Anordnung. Das heißt im Klartext: Dieser Inlandsgeheimdienst darf zur verdeckten Informationsgewinnung Computersysteme mit Hilfe von Spionage-Programmen hacken – und zwar mit Hilfe der berüchtigten „Staatstrojaner“, die im Land der Hessen auch „Hessentrojaner“ heißen². Diese Überwachungssoftware wird heimlich in Computer, Tablets oder Smartphones von Verdächtigten eingeschleust, um diese unter Ausnutzung von Sicherheitslücken zu infiltrieren. So können dann Quellen-Telekommunikationsüberwachungen oder Online-Durchsuchungen durchgeführt werden.

Mit diesen Methoden, die der Abwehr einer „dringenden Gefahr“ dienen sollen, bricht der Staat massiv in Privatsphäre und Persönlichkeitsrechte, in Informationelle Selbstbestimmung und Meinungsfreiheit der Betroffenen ein: Denn damit können PC-Mikrofone und Webcams eingeschaltet sowie sämtliche laufenden Kommunikationsinhalte vor ihrer Verschlüsselung überwacht werden – inklusive SMS, Mails, Chats und Messenger-Dienste. Mit Hilfe der Trojaner kann der Geheimdienst auf sämtliche Datenbewegungen, auf alle gespeicherten Festplatten-Inhalte, auf Textdokumente, Gesundheits- und Finanzdaten, auf intimste Informationen, Fotos und Filme zugreifen – letztlich auf das gesamte digitale und vernetzte Leben der Betroffenen. Angesichts der hieraus entstehenden Persönlichkeits-, Kontakt- und Bewegungsprofile ist an den verfassungsrechtlich gebotenen Schutz des Kernbereichs persönlicher Lebensgestaltung praktisch nicht mehr zu denken – ganz abgesehen davon, dass solche Geheimmethoden weder gerichtlich noch parlamentarisch wirksam kontrollierbar sind. Es handelt sich um einen der schwersten staatlichen Grundrechtseingriffe mit totalitärem Potential – um einen Einbruch in alle Lebensbereiche bis hinein in die Gedanken- und Gefühlswelt der Betroffenen.

Diese digitale Waffe unterminiert darüber hinaus das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme³: Denn der Verfassungsschutz muss Software-Sicherheitslücken ausfindig machen, um einen Staatstrojaner auf dem Gerät installieren und aktivieren zu können. Er wird versuchen, solche Schwachstellen für eigene Zwecke künftig weiter offenzuhalten – anstatt sie sofort schließen zu lassen, um Attacken Dritter abzuwehren, das IT-System insgesamt zu schützen und damit die Allgemeinheit. Stattdessen werden also mutwillig Sicherheitslecks als Einfallstore aufrechterhalten, über die auch andere Geheimdienste, Cyber-Kriminelle, Betrüger, Erpresser und Terroristen gefährliche Angriffe auf private, betriebliche oder staatliche Computersysteme ausführen können oder auf die kritische Infrastruktur insgesamt (etwa von Strom- und Wasserversorgern, des Krankenhaus-, Gesundheits- oder Verkehrswesens).

Dieses unverantwortliche Staatsverhalten öffnet Missbrauch und gefährlichen Cyberattacken Tür und Tor. Abschreckendes Beispiel: der Erpressungs-Trojaner „Wannacry“, der im Mai 2017 neben Privat-PCs auch Automobilkonzerne, Bahnunternehmen und Krankenhäuser lahmlegte und Schäden in Milliardenhöhe verursachte. Die dabei genutzte Sicherheitslücke war dem US-Auslandsgeheimdienst NSA bereits seit Jahren bekannt. Verantwortungsvolle Sicherheitspolitik, die diese Bezeichnung verdient, sieht anders aus. Denn es gehört zum Auftrag des Staates, seine Bürger zu schützen und Sicherheitslücken zu schließen, und nicht, sie mutwillig für eigene Trojaner sperrangelweit offenzuhalten – und damit auch für andere Cyberangreifer.

2. Beispiel: Elektronische Fußfesseln zur Aufenthaltskontrolle von Gefährdern

Die hessische Polizei soll künftig – wie seit 2017 das BKA auf Bundesebene – so genannte „terroristische Gefährder“ präventiv in elektronische Fußfesseln legen sowie Meldepflichten, Aufenthaltsbeschränkungen, Hausarrest und Kontaktverbote verhängen können. Nach einer gerichtlichen Anordnung sollen diese Freiheitsbeschränkungen mit einer elektronischen Fußfessel über GPS lückenlos überwacht werden, selbst innerhalb von Wohnungen. Zulässig soll dies dann sein, so heißt es im schwarz-grünen Gesetzentwurf wörtlich, „wenn bestimmte Tatsachen die Annahme rechtfertigen“, dass die betreffende Person „innerhalb eines übersehbaren Zeitraums auf eine zumindest ihrer Art nach konkretisierte Weise“ eine Straftat begehen wird, „oder deren individuelles Verhalten eine konkrete Wahrscheinlichkeit dafür begründet, dass sie innerhalb eines übersehbaren Zeitraums“ eine Straftat begehen wird.

Die elektronische Überwachungsmaßnahme, mit der u.a. terroristische Straftaten verhütet werden sollen, ist auf höchstens drei Monate zu befristen, kann aber um jeweils drei Monate verlängert werden – das heißt im Zweifel: unbeschränkt. Weigern sich Betroffene gegen die Maßnahme, können sie mit richterlicher Entscheidung bis zu zehn Tage lang in Polizeigewahrsam gesteckt werden.

Solche eingriffsintensiven Polizeimaßnahmen, die lückenlose Bewegungsprofile liefern und Rückschlüsse auf die persönliche Lebensführung zulassen, sollen gegen sogenannte Gefährder verhängt werden – also gegen Menschen, die bislang nicht straffällig geworden sind, denen dies aber in Zukunft aufgrund bloßer Indizien und Annahmen oder unterstellter Absichten und Gesinnung polizeilicherseits zugetraut wird. Solche Prognosen für künftiges Verhalten können entweder aus polizeilichen oder geheimdienstlichen Persönlichkeits- und Kontaktprofilen oder auch aus Risikobewertungen per Computeranalyse (zB. Precrime-Programm „Radar-iTE“) resultieren. Doch wie lässt sich dabei verhindern, dass institutioneller Rassismus und Islamophobie zu folgenschweren Einschätzungen führen?

Derart gravierende Grundrechtseingriffe auf mehr oder weniger vage Mutmaßungen zu stützen, dürfte den Verfassungsgrundsatz der Verhältnismäßigkeit verletzen. Denn rund um die Uhr und in Echtzeit überwachte Aufenthalts- und Kontaktverbote schränken die Betroffenen, die ja als unschuldig zu gelten haben, unmittelbar in ihrer Handlungs- und Bewegungsfreiheit ein und verletzen ihre Privatsphäre und Persönlichkeitsrechte – und letztlich auch ihre Menschenwürde. Solche verhaltenssteuernden und freiheitsberaubenden Präventionsmaßnahmen gleichen letztlich einer vorweggenommenen Verdachtsstrafe – also einer rechtsstaatswidrigen Strafe ohne Tat.

Im Übrigen dürfte die elektronische Fußfessel, die ohnehin relativ leicht manipulierbar und entfernbar ist, im Ernstfall auch ungeeignet zur Verhinderung terroristischer Straftaten sein – besonders wenn es sich um potentielle Täter handelt, die zu allem entschlossen sind: So trug etwa einer der beiden Täter, die 2016 einem katholischen Pfarrer in der Normandie die Kehle durchtrennten, eine elektronische Fußfessel; und auch das Berliner Attentat auf dem Weihnachtsmarkt im Dezember 2016 hätte damit wohl kaum verhindert werden können – wohl aber mit anderen, längst gesetzlich erlaubten Polizeibefugnissen, die aber, wie sich herausgestellt hat, nicht genutzt worden sind.

Zivilgesellschaftliche Proteste und innergrüner Streit um „Hessentrojaner“

Gegen die hessische Gesetzesinitiative regt sich heftiger Protest und Widerstand: Ein breites Bündnis von Demokratieprojekten sowie Bürgerrechts- und Datenschutz-Organisationen unterstützen eine gemeinsame Erklärung, in der sie die geplanten Verschärfungen ablehnen, weil sie Demokratie und Grundrechte schädigen⁴. Während einer Anhörung im Hessischen Landtag hat die überwiegende Mehrzahl der Sachverständigen die Gesetzespläne heftig kritisiert und erhebliche Änderungen angemahnt⁵.

Auch die grüne Basis in Hessen votierte schon Ende 2017 gegen die schwarz-grünen Pläne, speziell gegen die Legalisierung des „Hessentrojaners“. Damit verweigerte sie der grünen Landtagsfraktion ihre Unterstützung⁶. Vollkommen zu Recht, lehnen doch die Grünen die Staatstrojaner generell ab und hatten doch die hessischen Grünen im letzten Wahlkampf versprochen, keine Online-Durchsuchung zur Gefahrenabwehr zuzulassen⁷. Doch die Landtagsfraktion bleibt stur und begründet ihr gebrochenes Versprechen mit „terroristischen Bedrohungen“, die es nötig machten, die digitale Kommunikation weitgehender als bisher zu überwachen. Das miese Spiel mit der Angst vor Terror zur Beschränkung der Freiheitsrechte, um angeblich mehr Sicherheit zu erlangen, das haben die Grünen bislang eher gemieden und anderen überlassen, wie etwa der CDU/CSU oder auch der Großen Koalition. Die grüne Fraktion in Hessen aber spielt nun selbst beim Überwachungspoker mit, beteiligt sich am sicherheitspolitischen Überbietungswettbewerb und behauptet noch dreist, ihr Gesetzentwurf trage eine „grüne Handschrift“.

Mit solchen Geheimdienst- und Polizeigesetzen, wie im schwarz-grün regierten Hessen geplant oder im grün-schwarz regierten Baden-Württemberg teilweise schon umgesetzt, können die Grünen ihr Selbstverständnis als Bürgerrechtspartei allmählich begraben.

Ich bringe die Kritik an der hessischen Gesetzesinitiative noch einmal auf den Punkt:

1. Die künftig gesetzlich abgesicherte Zusammenarbeit mit vorbestraften und kriminell gewordenen V-Leuten widerspricht rechtsstaatlichen Grundsätzen.

2. Die geplante geheimdienstliche Regelüberprüfung künftiger Mitarbeiter.innen von Demokratieprojekten bedeutet Gesinnungsschnüffelei und erinnert an unselige Zeiten grundrechtswidriger Berufsverbote.

3. Verhaltenssteuernde und freiheitsberaubende elektronische Fußfesseln verletzen Privatsphäre und Persönlichkeitsrechte – und letztlich auch die Menschenwürde.

4. Und Staatstrojaner bedrohen den Kernbereich privater Lebensführung und gefährden Sicherheit und Vertraulichkeit des IT-Systems.

Das ist „digitale Inquisition“, so Heribert Prantl von der Süddeutschen Zeitung. Und er fragt erstaunt, weshalb die allermeisten Bürger*innen sich das gefallen lassen⁸. Und liefert drei Antworten gleich mit: 1. wegen der Politik mit der Angst vor Terror, die die Wähler.innen selbst maßlose Freiheitsbeschränkungen schlucken lässt, wenn sie angeblich mehr Sicherheit versprechen; 2. weil die meisten Freiheitsbeschränkungen nicht zu spüren sind, da sie heimlich stattfinden, und 3. weil die Bürger.innen letztlich darauf vertrauten, dass das Bundesverfassungsgericht es wieder richten möge.

Apropos Bundesverfassungsgericht: Es gibt bereits Initiativen für Verfassungsbeschwerden, so u.a. von Digitalcourage, um etwa Staatstrojaner stoppen zu lassen. Und so mündet diese Laudatio in einen öffentlichen Appell, solche Verfassungsbeschwerden kräftig und massenhaft zu unterstützen – als Akt bürgerrechtlicher Notwehr.

Herzlichen Glückwunsch, CDU- und grüne Fraktion im hessischen Landtag, zum Big-BrotherAward 2018.

„Alexa, an wen geht der BigBrotherAward 2018 in der Kategorie Verbraucherschutz?“

Alexa-Stimme: „Der BigBrotherAward 2018 in der Kategorie Verbraucherschutz geht an die Firma Amazon, für ihren Sprachassistenten Alexa“.

Ich ahne, dass es für diese Art Preisträger viel Beifall geben würde, dabei habe ich Apple Siri, Google Assistant, Microsoft Cortana, Samsung Bixby und Nuance noch gar nicht erwähnt, die wir im Großen und Ganzen mit auszeichnen könnten. Aber von allen diesen Anwendungen ist Amazon-„Alexa“ die preiswürdigste. Das Gerät lauscht 24 Stunden am Tag in meiner Wohnung, weil es darauf lauert, dass ich das Wort „Alexa“ sage. Sobald es dieses Wort ‚hört‘, zeichnet es die nachfolgenden Sätze auf und sendet diese zur Analyse zu den Rechnern in der Amazon-Cloud. Dort wird mein Text übersetzt, analysiert und dann werden Aktionen fernausgelöst. Zum Beispiel wird ein Timer oder Wecker gestellt, Musik, meiner Stimmung entsprechend – oder was das Gerät dafür hält – abgespielt, ein Trommelwirbel gestartet oder auf Amazon ein neuer Goldhamster bestellt. Mit diesem „Alexa“ will Amazon noch mehr Macht im Onlineversandhandel kriegen. Damit wird Amazon noch weiter zu dem, was Marc-Uwe Kling in seinem Buch „Qualityland“ ‚The Shop‘ nennt. Zeichnen wir damit ‚wirtschaftliche Cleverness‘ und ‚Erfolg‘ mit unserem Negativpreis aus? Nein. Zu groß zu werden und Hybris anzustreben (und damit gefährlich zu sein) ist verwerflich.

Muss ich mehr sagen? Muss ich wirklich begründen, warum eine Abhörschnittstelle, die sich zum Beispiel als Wecker tarnt, aber ein allwissender Butler in fremden Diensten ist, der sich von mir höchstpersönlich ins Schlafzimmer tragen und an das weltweite Überwachungsnetz anschließen lässt, einen BigBrotherAward bekommen soll? Nein, muss ich nicht. Oder?

Herzlichen Glückwunsch an Amazon „Alexa“. Und gut. [Abtritt, Herr Liebold, übernehmen Sie.] Halt, bleiben Sie noch sitzen. Natürlich habe ich noch mehr zu sagen!

Rena Tangens hat in ihrer Laudatio zur Smart City von der „perfekten Verbindung des totalitären Überwachungsstaates aus George Orwells ‚1984‘ und den normierten, nur scheinbar freien Konsumenten in Aldous Huxleys ‚Schöne Neue Welt‘“ gesprochen. Die sogenannten „Sprachassistenten“ sind die lästige Ergänzung zum totalen Überwachungssystem, das sich ‚smart‘ nennt, aber teuflisch ist. Skylla und Charybdis in einem, das Private (Alexa) und das Öffentliche (‚Smarte‘ Straßenlaternen) wenden sich gegen mich. Es geht gegen meine Freiheit, gegen meine freie Entfaltung, gegen meine Würde. Bald wird es so sein, dass ich, wenn ich auf der Straße spreche, von der Straßenlaterne an der Stimme erkannt werde. Wer ich bin, hat das Gerät „Alexa“ verraten, das mein Stimmprofil aufgesaugt und der großen Big-Data-Krake zum Verdauen vorgeworfen hat. Diese imaginäre Datenkrake weiß dann nicht nur, wen ich besuche, sondern auch, welchen Weg ich nehme, um den Besuch abzustatten.

Heute, wo die Einführung gerade erst begonnen wird, habe ich mir angewöhnt, in einer fremden Wohnung erst einmal „Alexa, bestelle 100 große Dosen Ravioli“ zu rufen. Wenn die Wohnungsinhaber nervös reagieren, weiß ich, dass ich mich in einem verwanzten Haushalt befinde.

Und wenn es da draußen wirklich Leute gibt, die das Gerät – mit dem Gefühl, nun einen Butler zu haben – bei sich zu Hause installieren, denken Sie daran, dass derjenige, der das „Alexa“-Gerät installiert, die Möglichkeit hat, alles, was sie diesem „Alexa“ zu Gehör bringen, über seine Handy-App wieder abzuhören. Wer das Gerät einrichtet, kann auch noch Monate später alle Sprachfetzen, die Alexa aufgeschnappt hat, in einer langen Liste mit Datum und Uhrzeit verschriftlicht sehen und auf Klick auch neu abspielen. Das sollten z.B. auch Beratungsstellen für Stalkingopfer im Blick behalten.

Ich habe einige Tage mit diesem Gerät herumgespielt. Es ist schön, beim Nudelkochen einfach in den Raum zu rufen „Alexa, Timer 8 Minuten“. Auch beim morgendlichen Wecken, ohne sich umzudrehen, „Alexa, noch 10 Minuten“ knurren zu können, ist schön. Aber wenn das bedeutet, dass die Aufzeichnung im Internet bei Amazon gespeichert wird, und der Konzern damit weiß, wann ich aufstehe, dann sollte ich doch besser auf diesen Komfortgewinn verzichten. Denn mit „Alexa“ ist mein Wecker-Stellen keine lokale Aktion innerhalb meines Smartphones mehr, sondern wird zu einem Stück Big Data im Besitz von Amazon.

Ich werde immer wieder gefragt, ob Amazon mit „Alexa“ denn irgendetwas besonders Böses macht. Ob der Konzern nicht vielleicht doch heimlich ALLES aufzeichnet, was im Raum gesagt wird und das weiter schickt, auch wenn nicht vorher „Alexa“ gesagt wurde. Die Wochenzeitung „Die Zeit“ hat einen Techniker von Tactical Tech nachgucken lassen. Und der sagt: „Naja, könnte sein. Das Gerät verschlüsselt Daten, die es sendet, da kann man nicht herausbekommen, ob es nur ‚gewünschte‘ Aussagen sendet oder mehr.“

Wir schätzen das mal so ein: Amazon wird sich da schon möglichst sauber halten. Das, was das Gerät ohnehin tut, ist schon schlimm genug. Und noch schlimmer ist, was da in Planung ist.

Wir haben nachgeschaut, was für Patente es gibt, die sich Amazon, Google und Co. gesichert haben und die sehr schön zeigen, wohin die Reise in die ‚Bedenken-Second-Zukunft‘ gehen soll: Die Konzerne halten nicht nur Patente dafür, zu erkennen, WER spricht, sondern auch, aus der Stimme zu erkennen, in welcher Stimmung man gerade gerade ist. Von einer App, die das nutzt, haben wir ja eben schon von Peter Wedde gehört. Wenn Mama vormittags verzweifelt weint, wird gleich Klosterfrau Melissengeist geliefert. Der Ruf „Alexa, Musik“ spielt dann entsprechend des Psychogramms, das dem Konzern geläufig ist, Punkrock oder Gregorianische Choräle ein. Oder Amazon ruft präventiv die Polizei, die die Wohnung ‚swattet‘, wenn die Algorithmen aus der Stimme den Eindruck gewinnen, dass jemand vielleicht gleich ein Attentat verüben will. Es gibt Patente dafür, mehrere Stimmen zu unterscheiden und Personen zuordnen zu können. Da kann dann Klein-Bubi noch so oft mit tiefer Stimme „Alexa zeig Porno“ rufen, die Kindersicherung würde das verhindern. Die Nebenwirkung: Noch mehr manipulationsrelevante Informationen über die Privatsphäre und das Familienleben gehen an den Konzern. Und dass das „Alexa“ nur auf sein Schlüsselwort reagiert, ist auch bald Makulatur: Es gibt Patente, die den kompletten Audiostream nach bestimmten Keywörtern abfragen – und dann Werbung abspielen. Auf die Frage „Schatz, wollen wir heute Essen gehen?“ empfiehlt Alexa dann vorlaut das Sonderangebot bei „Little Italy“ und reserviert gleich einen Tisch auf der Terrasse.

Wie ein junger Hund versucht das „Alexa“ alles über uns zu lernen, indem es dauerhaft auf unsere Stimme, Intonation, bestimmte Wörter wie ‚mögen‘ oder ‚gekauft‘ hört, um das Aufgeschnappte wie alte gammelige Knochen im großen Datengarten von Amazon zu verbuddeln. Und Amazon belohnt mit Gollum‑Stimme: „Mein Schatz!“

Auch können die Kinder im Kinderzimmer automatisch verwarnt werden, wenn sie zu laut streiten, oder die Eltern werden gewarnt, wenn die Kinder im Flüsterton gemeinsam etwas aushecken.

Jetzt sagen die Konzerne wieder, dass das ja alles nur Features sind, die sie nur ‚mal so‘ angemeldet hätte, das würden sie doch gar nicht einbauen wollen. Aber erstens, höre ich sowas seit dreißig Jahren – und sehe, dass alles, was ‚niemals umgesetzt würde‘, heute Normalzustand ist. Und zweitens können wir niemals wissen, ob solche Features mehr oder weniger heimlich oder auch offen implementiert und freigeschaltet werden – oder es bereits schon sind.

Es geht nicht um ‚Missbrauch‘. Es geht um das Potential, das dieses Gerät hat. Und das Potential, das die Firma Amazon hat, um genau das erbarmungslos auszunutzen. Zumal das Alexa (wie ein Smartphone) nichts anderes als ein Computer ist, für den alle möglichen Firmen jetzt sogenannte Skills – also Apps – programmieren, die wir auf dem „Alexa“-System installieren sollen und die alle wieder für sich irgendwie Daten aus dem Haus ins Netz schaufeln werden. Da gibt es den „Furz-Skill“ (ja, der tut genau das, was Sie jetzt denken – allerdings noch ohne Duftnote), den FoxNews-TV-Skill (der steht auf Platz 1 der beliebtesten Skills), den Abfallkalender-Skill (der in Bielefeld nicht funktioniert) und hunderte oder tausende mehr. Hinterher will es wieder niemand gewesen sein – wie bei Facebook, die vorgeben, fassungslos zu sein, was Cambridge Analytica mit ihren Daten gemacht haben. Dabei ist genau das Ausforschen von Menschen und ihren Angewohnheiten, ihren geheimsten Wünschen, ihren Freundschaften, ihren politischen Überzeugungen bis hin zu ihren Gesundheitsproblemen das Geschäftsmodell dieser Konzerne. So auch bei Amazon.

Ich möchte den schwarzen Peter aber auch an die Menschen weiter reichen, die solche Spielzeuge in ihr Leben lassen und damit skrupellose Kaufleute dazu bringen, Instrumente herzustellen und zu verkaufen, die unsere Zivilisation gefährden. Das können wir an der just (Frühjahr 2018) laufenden Debatte zu Facebook¹ sehen.

Liebe Menschen. Seid vernünftig. Sabine Leutheusser-Schnarrenberger ist 1996 als Justizministerin zurückgetreten, weil ihre Partei den großen Lauschangriff beschließen wollte. Heute stellen wir uns einen riesengroßen Lauschangriff freiwillig in unsere intimsten Lebensbereiche. Liefert Euch nicht aus, behaltet Eure Widerstrebsamkeit, ohne die Zivilisation und Demokratie nicht lebendig existieren können. Ja, das bedeutet, dass wir den Wecker noch ein paar Jahre von Hand stellen müssen. Aber wenn das alle tun, können wir unsere Kinder und Enkel darum beneiden, dass sie Technik komfortabel nutzen können, ohne die Angst, Opfer von Manipulation und Machtinteressen zu werden. Denn es ist unsere Aufgabe, jetzt dafür zu sorgen, dass wir datenschutz- und freiheitsfördernde Technik bekommen. Das ist möglich! Doch dafür müssen wir hartnäckig und widerständig bleiben – auch gegenüber unseren Freundinnen und Freunden und gegenüber uns selbst – und wir dürfen weder der Technikgläubigkeit, noch dem Kontroll- oder Spieltrieb, der Bequemlichkeit oder dem Überwachungswahn nachgeben.

Herzlichen Glückwunsch, Amazon, zum inzwischen dritten BigBrotherAward².

Der BigBrotherAward 2018 in der Kategorie Verwaltung geht an die Cevisio Software und Systeme GmbH aus Torgau für ihre Software „Cevisio QMM“ (Quartiermanagement), die in Zusammenarbeit mit dem Deutschen Roten Kreuz speziell für Flüchtlingsunterkünfte entwickelt wurde. Mit dieser Software werden Bewegungen zum und auf dem Gelände, Essenausgaben, medizinische Checks wie durchgeführte Röntgen-, Blut- und Stuhluntersuchungen, Verwandtschaftsverhältnisse, Religions- und Volkszugehörigkeiten und vieles mehr erfasst und gespeichert. Die Daten ermöglichen eine Totalkontrolle der Flüchtlinge und zeigen anschaulich, auf wie vielen Ebenen Privatsphäre verletzt werden kann.

Die Software ist nicht nur preiswürdig wegen der mit ihr möglichen Datenschutzverstöße, sondern vor allem wegen des Menschenbildes, das dahinter steht. Flüchtlinge sind Menschen, keine Sachen. Sie liegen nicht in einem Regal zur späteren Abholung und Verwendung, sie sind keine Gefangenen und bedürfen keiner verschärften Beobachtung. Sie suchen Schutz bei uns und haben Rechte – Menschenrechte und Grundrechte, die für Cevisio keine Rede wert sind.

Als 2015 viele Flüchtlinge nach Deutschland kamen, war das Chaos bei Behörden groß. Die Erhebung von Daten sowie die Organisation von Unterbringung und Versorgung stellten die Beteiligten vor große Herausforderungen. Der Mittelständler Cevisio erarbeitete mit dem Deutschen Roten Kreuz Landesverband Sachsen e.V. die Lösung. Das Unternehmen wirbt für seine Software auf seiner Homepage damit, dass sie in über 280 Aufnahmeeinrichtungen eingesetzt wird. Insgesamt würden „bereits mehr als 380.000 Flüchtlinge verwaltet.“

Über all diese Menschen liegen demnach in der Cevisio Quartiersmanagement-Software erfasste Daten vor. Basis für die Erfassung ist eine Ausweiskarte mit RFID-Chip oder Barcode. Mit dieser Karte bewegen sich die Bewohner.innen in ihrer Unterkunft und – so der Plan der Software-Macher – halten sie an verschiedenen Stellen vor ein Lesegerät: Am Ein- und Ausgang, bei der Essensausgabe, bei der Wäschestelle, wenn sie Taschengeld bekommen, beim Ausleihen von Büchern oder Videofilmen, bei medizinischen Untersuchungen oder bei ehrenamtlicher Arbeit.

Diese in den Unterkünften erfassten sogenannten „Aktionen“ führt die Software über Schnittstellen zusammen mit den Daten des Bundesamtes für Migration und Flüchtlinge – dem BAMF – und mit den Dateien der Ausländerbehörden. Erfasst werden u. a. Angaben zu bestehender Schwangerschaft, zu den verwandten Personen, medizinische Daten mit „Erst- und Folgeuntersuchungen inkl. Befund“. Gewährleistet wird auch die Erfassung „sämtlicher Dokumente“. Die Software ermöglicht damit nicht nur die „Verwaltung“, sondern auch die (Zitat) „Abrechnung der Flüchtlinge“. Sie erlaubt die „Erfassung sämtlicher Daten zum Asylverfahren, wie EASY-Optimierung und BAMF-Daten“.

Das ist Totalkontrolle. Tagesabläufe, Gewohnheiten, Kontakte, Verwandtschaft, Gesundheitszustand, Asylstatus – alles an einem Ort. Verknüpft und auswertbar.

Manches ist sicher sinnvoll, z. B. Hinweise auf Allergien, oder ob spezielle Ramadan-Verpflegung gewünscht wird. Die Cevisio-Software geht aber deutlich weiter: In der Broschüre zum Funktionsumfang ist z. B. die Rede von der „Erfassung aller an eine Person ausgegebenen Mahlzeiten“ sowie „Hinweis bei Mehrfachausgabe einer Mahlzeit an eine Person“. Wofür braucht man das?

Ist es nötig, jede Bewegung ins Haus oder aus dem Haus heraus minutiös zu erfassen und zu speichern? Ja, sagt die besagte Broschüre (Zitat): „Über die integrierte Anwesenheitsübersicht ist immer sekundenaktuell erkennbar, welche Flüchtlinge und Helfer/Mitarbeiter sich aktuell in einer Unterkunft befinden. Neben einer reinen Kontrollfunktion ist diese Übersicht insbesondere im Katastrophenfall (Brand etc.) unverzichtbar.“

„Unverzichtbar!“ Es kommt einem fast seltsam vor, dass hunderttausende von Schulen, Kaufhäusern oder Jugendherbergen noch ohne eine solche sekundenaktuelle Übersicht auskommen. Sind die alle verantwortungslos?

Nein, das ist Leben. Inklusive einem gewissen Lebensrisiko. Die Datensammlung von Cevisio hingegen ist ein feuchter Traum für Überwachungs-Fanatiker. Wir sehen hier keinerlei Empathie mit Menschen, die auch wegen eines Lebens in Freiheit nach Deutschland geflüchtet sind.

Vielleicht ist es also Pragmatismus nach dem Motto „interessiert doch keinen“, wenn das Wort „Datenschutz“ in der 15-seitigen Systemdarstellung nicht ein einziges Mal vorkommt. Technische Datensicherheitsvorkehrungen verbergen sich hinter dem Begriff „Administration“. Funktionalitäten zu den Betroffenenrechten, z. B. für eine Auskunftserteilung oder Transparenz für die Flüchtlinge, konnte ich nicht finden.

Auch in der Praxis gibt es Mängel: Die Datenschutzbeauftragte in Bremen äußert in ihrem aktuellen Jahresbericht¹ „erhebliche datenschutzrechtliche Bedenken“. Speicherfristen waren viel zu lang. Weshalb jede Essensausgabe kontrolliert werden muss, erschloss sich ihr nicht. Die Speicherung der Gesundheitsdaten musste auf ihre Veranlassung massiv zurückgefahren werden. Bei Verwandtschaftsangaben wurde den Betroffenen keine Optionen eröffnet. Viele Fragen sind bis heute offen.

Die bremische Datenschutzkontrolle bezog sich nur auf wenige der Einrichtungen. Es besteht keine Gewähr und Kontrollmöglichkeit, dass in den anderen über 270 Einrichtungen rechtswidrige Überwachungsmöglichkeiten abgestellt werden. Die Rechtslage ist überall gleich und könnte, z. B. mit automatischen Löschfristen, in der Software voreingestellt sein. Cevisio könnte den Betreibern Hilfen und Hinweise zur Wahrung des Datenschutzes geben.

Wir fragen: Hat diese Softwaregestaltung damit zu tun, dass hier Flüchtlinge die Betroffenen sind? Sicher – Flüchtlingsunterkünfte sind logistisch komplexe Systeme und die Betreiber wie das DRK und andere können digitale Unterstützung gut gebrauchen. Doch wie sollen Flüchtlinge sich bei uns integrieren, wenn ihnen dabei die Werte unserer gern beschworenen Leitkultur vorenthalten werden, also die Werte unseres Grundgesetzes? Zu diesen Werten gehört Selbstbestimmung, das Recht auf informationelle Selbstbestimmung.

Die Cevisio Software „Quartiersmanagement“ steht nur exemplarisch für einen bevormundenden, intransparenten und überwachungsgierigen Umgang mit Flüchtlingen generell. Da gibt es Schweigepflichtentbindungen der Bundesagentur für Arbeit, die alle und jeden von der Vertraulichkeit entbinden, einschließlich Sozialämter und Migrationsberatungsstellen. In einem sog. Datenaustauschverbesserungsgesetz wurde 2016 festgelegt, dass praktisch jede Stelle jede andere über Flüchtlinge unterrichten darf, wenn es erforderlich erscheint. Um die Herkunft von Flüchtlingen bestimmen zu können, ließ sich das BAMF den Zugriff auf die Smartphones der Flüchtlinge genehmigen, auf denen sämtliche Kommunikationen und viel Privates gespeichert sind.

Gleichzeitig berichten unabhängige Flüchtlingsberatungen, dass ihnen manche Behörden mit dem Verweis auf den Datenschutz Informationen verweigern, die für Beratung und Hilfestellung wichtig wären. Hier wird der Datenschutz als falscher Vorwand missbraucht, um soziale Arbeit zu behindern.

Beim Umgang mit den Daten von Flüchtlingen müssen wir besonders umsichtig sein. Sowohl die Nationalsozialisten als auch das DDR-Regime haben mit Informationen und Datenerfassung ihre Bevölkerung kontrolliert und malträtiert. Die Regierungen der Länder, aus denen Menschen zu uns flüchten, quälen ihre Bevölkerung nicht selten durch Kontrolle, Willkür und Verwendung von dem, was sie über diese Menschen wissen. Die Gefahr, dass wir bei der Datenverwaltung à la Cevisio bestehende Traumata vertiefen, und auch die Gefahr, dass unsere Datensammlungen in falsche Hände geraten, etwa von Geheimdiensten des Heimatlandes, ist groß. Auch Software-Unternehmen haben eine Verantwortung dafür, dass solche Gefahren gebannt werden. Wir sollten uns bewusst machen: Was heute an Flüchtlingen praktiziert wird, wird morgen vielleicht schon auf uns angewendet.

Herzlichen Glückwunsch zum BigBrotherAward 2018 in der Kategorie Verwaltung, Cevisio.

Der BigBrotherAward in der Kategorie „PR & Marketing“ geht an das Konzept der „Smart City“!

Das „Smart City“-Konzept propagiert die „Safe City“: die mit Sensoren gepflasterte, total überwachte, ferngesteuerte und kommerzialisierte Stadt. „Smart Cities“ reduzieren Bürger auf ihre Eigenschaft als Konsumenten, machen Konsumenten zu datenliefernden Objekten und unsere Demokratie zu einer privatisierten Dienstleistung.

Eine „Smart City“ ist die perfekte Verbindung des totalitären Überwachungsstaates aus George Orwells „1984“ und den normierten, nur scheinbar freien Konsumenten in Aldous Huxleys „Schöne Neue Welt“.

Der Begriff „Smart City“ ist eine schillernd-bunte Wundertüte – er verspricht allen das, was sie hören wollen: Innovation und modernes Stadtmarketing, effiziente Verwaltung und Bürgerbeteiligung, Nachhaltigkeit und Klimaschutz, Sicherheit und Bequemlichkeit, für Autos grüne Welle und immer einen freier Parkplatz. Angefangen hat das 2008 mit IBM und ihrem Werbeslogan vom „Smarter Planet“, mit dem sie sagen wollten, dass sie unseren Planeten „schlauer“ machen können. Im Business tummeln sich inzwischen eine Menge weiterer Firmen, die ihre Dienstleistungen an Städte verkaufen wollen, zum Beispiel Siemens, Microsoft, Cisco, Huawei, Hitachi und Osram.

Doch wie sieht so eine „Smart City“ konkret aus?

Als große Errungenschaft für eine „Smart City“ wird zum Beispiel ein neuer Typ Straßenlaterne angepriesen. Die leuchtet nicht nur, sondern enthält auch gleich Videoüberwachung, Fußgänger-Erkennung, Kfz-Kennzeichenleser, Umweltsensoren, ein Mikrophon mit Schuss-Detektor und einen Location-Beacon zum Erfassen der Position. Stellen wir uns dies noch kombiniert mit WLAN vor, mit dem die Position von Smartphones ermittelt werden kann, Gesichtserkennung und Bewegungsanalyse, dann ist klar: Wenn diese Technik in unsere Stadt kommt, werden wir keinen Schritt mehr unbeobachtet tun.

„Mit der heutigen Technologie (…) können vollkommen sichere Städte gestaltet werden. Die neue Gesichtserkennungstechnologie ermöglicht es Regierungen und privaten Unternehmen, alle Gesichter zu erkennen und zu archivieren, während dies zuvor auf eingetragene Straftäter beschränkt war,“ schwärmt der türkische Überwachungstechnik-Anbieter Ekin in einer Pressemeldung über die „Safe City“. Das Gesichtserkennungssystem ordnet den Merkmalen jedes Gesichts eine ID zu, mit der eine Person später wiedererkannt werden kann, auch wenn ihr Name nicht bekannt ist, und analysiert außerdem Alter, Geschlecht und Ethnie.

Während in Deutschland noch mit Begriffen wie Nachhaltigkeit, Umweltschutz, Effizienz und Bequemlichkeit für die „Smart City“ geworben wird, sprechen die Technologiefirmen in China, Dubai und der Türkei offen aus, um was es geht: Lückenlose Überwachung und Kontrolle der Bevölkerung.

In China boomt die Kombination von Videoüberwachung und Künstlicher Intelligenz. Der chinesische Marktführer für Gesichtserkennungssoftware, SenseTime, freut sich über „die hohe Nachfrage, die von Smart Cities und Überwachung angetrieben wird“¹.

In Shenzhen, der südchinesischen Sonderwirtschaftszone in unmittelbarer Nachbarschaft zu Hongkong, werden Menschen, die bei Rot über die Straße gehen, identifiziert und sogleich auf großen Monitoren mit Angabe ihrer Personalien an den Pranger gestellt, es wird ein Bußgeld berechnet und der Arbeitgeber benachrichtigt. Außerdem gibt es Punktabzug bei ihrem „Social Score“, der darüber entscheidet, ob sie eine Wohnung, einen Job, einen Studienplatz bekommen.

Die ganze Provinz Xinjiang im Nordwesten Chinas ist inzwischen ein Echtzeit-Labor für Massenüberwachung. Dort werden von der gesamten Bevölkerung zwischen 12 und 65 Jahren DNS und Blutgruppe getestet, Iris-Scans, Fingerabdrücke und 3D-Bilder erstellt – im Rahmen einer sogenannten „kostenlosen Gesundheitsuntersuchung“². Dazu hat die chinesische Regierung 2017 in Xinjiang ein Überwachungssystem installiert, das die Polizei automatisch informiert, wenn ein Verdächtiger sich mehr als 300 Meter von seiner Wohnung oder seinem Arbeitsplatz entfernt³. Verdächtig sind nicht nur Kriminelle, sondern auch Angehörige der muslimischen Minderheit oder Personen, die sich für Menschenrechte einsetzen.

Sie meinen, China ist weit weg?

Nun, am Bahnhof Südkreuz in Berlin testet die Bundespolizei seit August 2017 intelligente Videoüberwachung mit Gesichtserkennung. Das ist der Anfang. Denn völlig egal, wie der „Test“ ausgeht – Ex-Innenminister Thomas de Mazière hat schon zu Beginn dieses Freilandversuchs betont, dass Gesichtserkennung bundesweit an möglichst vielen öffentlichen Orten eingeführt werden soll. Und der neue Innenminister Horst Seehofer hat längst bestätigt, dass er das auch so sieht. Mehr noch: Die neue Bundesregierung hat in ihrem Koalitionsvertrag bereits eine Weiterentwicklung zu einer „intelligenten“ Videoüberwachung vorgemerkt. Geschmackvolle Straßenlaternen mit Überwachungskameras und Sensoren können Sie übrigens auch bereits in „Arcadia“, einer Gated Community in Potsdam, besichtigen.

Oder schauen wir mal in unser direktes Nachbarland, nach Holland, wo die „Smart Cities“ wie Tulpen aus dem Boden sprießen: Die Stadt Enschede will wissen, wer sich wie oft wo lang bewegt und trackt dafür alle Menschen, die ein Smartphone mit aktiviertem WLAN bei sich tragen, mit Hilfe der eindeutigen MAC-Adresse. Die Traffic-App von Enschede belohnt Menschen für gutes Verhalten – zu Fuß gehen, Fahrrad fahren, öffentliche Verkehrsmittel nutzen – ironischerweise mit einem Tag freiem Parken in der Stadt. Was man erst im Kleingedruckten der App findet: Die gesammelten persönlichen Bewegungsprofile gehen an eine Firma namens Mobidot.

In Eindhoven ist die Partymeile Stratumseind zu einem Überwachungslabor geworden: Dort gibt es Straßenlaternen mit WLAN-Tracking, Kameras und Mikrophonen, mit denen aggressives Verhalten erkannt werden soll. Ab Frühjahr 2018 soll bei Bedarf Orangenduft versprüht werden, um die Menschen zu beruhigen.

Utrecht schließlich überwacht die Jugendlichen der Stadt, wenn sie sich in den Straßen bewegen: Wie viele sind es? Welche Altersgruppe? Kennen sie sich? Wie gehen sie miteinander um? Und machen sie Ärger oder nicht? Seit 2014 hat Utrecht 80 „smarte“ Projekte in der Stadt und den Überblick verloren, was wo läuft, denn das meiste davon liegt in den Händen von Firmen⁴.

„Smart City“-Firmen sammeln Daten und weigern sich, darüber Auskunft zu geben. Sie geben oft auch den Städten selbst keinen Zugriff auf die Daten – denn die sind Firmengeheimnis! Der Eindruck drängt sich auf, dass sich die Städte von den Firmen über den Tisch ziehen lassen. Doch das können weder Bürgerinnen und Bürger noch Presse überprüfen, denn die Verträge, die die Städte mit den „Smart City“-Dienstleistern abschließen, dürfen zumeist nicht eingesehen werden – aus Wettbewerbsgründen.

Ja, „smarte“ Technik ist teuer. Wo soll das Geld herkommen? Städte lassen sich von günstigen Einstiegsangeboten locken und von den Landes- und EU-Fördermitteln.

Städte werden wieder einmal verlockt, ihre Infrastruktur in kommerzielle Hände abzugeben – wie in den 90er-Jahren beim Cross-Border-Leasing⁵. Das ist weder clever noch smart, sondern kurzsichtig und gefährlich.

Und es droht mehr als das billige Verscherbeln städtischer Infrastruktur: Städte verkaufen hier leichtfertig etwas, was ihnen gar nicht gehört, nämlich die Daten der Bürgerinnen und Bürger – und damit deren Privatsphäre, deren Autonomie und deren Freiheit.

Die Bürger werden nicht gefragt. Denn die Tech-Firmen wollen doch nur spielen – das kann man denen doch nicht übel nehmen! Bei innovativen Tech-Projekten müssen alle anderen Interessen schweigen: „Digital first, Bedenken second“. Das amerikanische Original heißt „Permissionless Innovation“⁶, also „Innovation ohne Erlaubnis“. Das bedeutet: Das Vorsorgeprinzip wird außer Kraft gesetzt – wer behauptet, innovativ zu sein, muss sich nicht an lästige Regeln halten.

Den Firmen ist klar: Nicht der Service, sondern die Daten der Bürgerinnen und Bürger sind die eigentliche Cash Cow. Wer wüsste das besser als Alphabet, Googles Mutterfirma. Die hat sich gerade im kanadischen Toronto eingekauft, um das dortige Waterfront Viertel als „Smart City“ zu entwickeln. Name des Projektes: Sidewalk Labs, also „Bürgersteig-Labor“. Google hat sich wohl nicht träumen lassen, wie viel Kritik und konkrete Nachfragen zu Datenschutz aus der kanadischen Bevölkerung kommen würden⁷. Sidewalk Labs hat mittlerweile die ehemalige Datenschutzbeauftragte von Kanada, Ann Cavoukian, eingestellt. Smart Move. Ann Cavoukian hat 2009 das Konzept der „Privacy by Design“ entwickelt (also so etwas wie „eingebaute Privatsphäre“). „Smart Cities“ aber sind eher „Surveillance by Design“ (eingebaute Überwachung). Wir sind ehrlich gespannt, wie sie das Eine in das Andere bringen will, ohne das Geschäftsmodell von Google komplett umzukrempeln.

Doch wir wollen ja gar nicht so negativ sein. Denn eigentlich mögen wir Technik. Wir nehmen jetzt einfach mal an, dass die Hack-Sicherheit der vernetzten Systeme kein Problem wäre. Dass der Staat mit der Komplett-Überwachung ausschließlich unser Wohl im Auge hätte. Und dass die Tech-Firmen nur Gutes mit unseren Daten tun würden. Und jetzt stellen wir uns diese freundliche „Smart City“ vor, deren Sensoren uns ständig begleiten, die uns sagen, was wir als Nächstes tun sollen und deren Algorithmen aus unserem Profil in Echtzeit unsere Wünsche errechnen, bevor wir sie selber kennen. Immer grüne Welle, immer sofort einen Parkplatz finden und stets die aktuellen Stickoxid-Werte der Umgebung auf meinem Handy – klingt das nicht verlockend?

Im Märchen vom Schlaraffenland fliegen den Menschen die gebratenen Gänse essfertig in den Mund. Aber: Das Schlaraffenland ist nicht das Paradies. Es macht satt, aber nicht glücklich. Bequemlichkeit macht träge und dumm. Wir brauchen das Beinahe-Stolpern, um unseren Gleichgewichtssinn zu trainieren. Wir brauchen die Anstrengung, um uns über das aus eigener Kraft Erreichte zu freuen. Wir brauchen den Zufall, das Andere, das Unbekannte, die Überraschung, die Herausforderung, um zu lernen und uns weiterzuentwickeln. Wir müssen uns als Menschen frei entscheiden können und es muss uns möglich sein, Fehler zu machen. Wie anders sollten wir unseren „Moral-Muskel“ trainieren?

Auch deshalb müssen wir uns wehren gegen die Bevormundung durch Technik und Technik-Paternalismus.

Eine Stadt ist nicht „smart“ – klug sind die Menschen, die darin leben.

Wir haben die Wahl: Wollen wir in einer post-demokratischen Konsumwelt leben, in der andere für uns entscheiden und die einzig mögliche Antwort „ok“ ist⁸? Oder wählen wir die Freiheit?

Albus Dumbledore sagt in Harry Potter Band 4:

„Es wird die Zeit kommen, da ihr euch entscheiden müsst zwischen dem, was richtig ist und dem, was bequem ist.“

Die Zeit ist jetzt.

Herzlichen Glückwunsch zum BigBrotherAward, „Smart City“!

Der BigBrotherAward 2018 in der Kategorie Technik geht an Microsoft Deutschland, vertreten durch die Vorsitzende der Geschäftsführung, Sabine Bendiek, für die kaum deaktivierbare Telemetrie (das ist die Übermittlung von Diagnose-Daten) in „Windows 10“. Selbst versierten Nutzerinnen und Nutzern ist es kaum möglich, die Übermittlung dieser Daten zu stoppen.

Mit der Einführung von Office 365 und Windows 10 ist Microsoft einem allgemeinen Trend gefolgt: Viele Daten werden jetzt in der Cloud gespeichert, die Software wird abonniert, anstatt einmalig gekauft und Microsoft als Konzern ist sehr neugierig, was die Nutzerinnen und Nutzer so treiben. Allein schon für die Lizenzaktivierung ist eine Online-Verbindung erforderlich. Möchte ich aus gutem Grund auf eine Internet-Verbindung verzichten, ist das mit Windows 10 praktisch nicht mehr möglich.

Wenig dramatisch klingt es erst mal, wenn z. B. mein Betriebssystem Windows 10 einmal täglich Informationen über die Größe des Arbeitsspeichers an Microsoft übermittelt. Leider ist es heutzutage fast normal, dass Geräte oder Programme „nach Hause telefonieren“, um statistische Daten zu übermitteln. Nicht mehr so belanglos werden es die meisten Menschen finden, wenn eine Liste der auf ihrem Computer installierten Programme übermittelt wird. Was geht es Microsoft an, ob Sie Ihren Computer eher als Schreibmaschine, als Spielzeug, als Fernseher oder für Bildbearbeitung benutzen? Und was macht die Firma mit dieser Information? Wir wissen es nicht.

Laut Microsoft übermittelt Windows 10 aber auch scheinbar ganz banale Informationen: Wie oft wird z.B. die Tastenkombination Alt+Tab benutzt, um schnell zwischen Programmen umzuschalten? „Stört mich doch nicht, wenn der Hersteller das erfährt“, mag die eine Hälfte der Nutzer.innen sagen. „Das geht Microsoft doch nichts an!“ sagt die andere Hälfte.

Wer zu zweiten Gruppe gehört, möchte die Datenübermittlung sicher gern unterbinden. Dafür gibt's doch bestimmt irgendwo einen Schalter?! Wer unter Einstellungen/Datenschutz nachschaut, wird mit Schaltern und Auswahllisten erschlagen. Dutzende Dinge sind hier zu aktivieren und zu deaktivieren, und bei den meisten ist nicht klar, welche Konsequenzen die eine oder andere Einstellung hat.

Spätestens mit der Einführung der Europäischen Datenschutz-Grundverordnung Ende Mai 2018 sollten alle Schalter grundsätzlich auf „Keine Übermittlung“ gestellt sein und aktiv eingeschaltet werden müssen - Privatsphäre und Datensparsamkeit sind Grundidee der DSGVO. Wir alle - Sie alle - sollten ein Auge darauf haben, ob sich Microsoft daran hält.

Es gibt in Windows 10 tatsächlich auch Einstellungen zum Datenschutz. Die befinden sich „nur“ hinter einer Barriere von fünf Klicks hinter dem üblichen Arbeitsbildschirm, also nicht an einem Ort, wo man „zufällig“ mal drüber stolpert. Und selbst wenn wir dort hingelangt sind, haben wir nur die Wahl zwischen „einfacher“ und „vollständiger“ Übermittlung. „Übermittle bitte nichts, gar nichts“ fehlt als Option.

Und diese komplizierten Einstellungen betreffen ohnehin nur die Daten, die das Windows 10 Betriebssystem von Microsoft über den Computer sammelt. Dass Daten vom Browser,  von den App-Kacheln oder vom Antivirus-„Defender“ übermittelt werden, lässt sich nirgendwo abschalten. Und dann gibt's da noch die Spracherkennung, die Suche im Startmenü und und und ...

Wie mühsam bis unmöglich es ist, Windows zum Schweigen zu bringen, dokumentiert der Bericht des Bayerischen Beauftragten für den Datenschutz in seinem „Windows 10 Investigation Report“. Selbst wenn sämtliche Telemetrie-Einstellungen über knapp 50 Änderungen in der sogenannten Registry verändert werden (die ausdrücklich nur für Expert.innen gedacht ist und die das Potential hat, den Rechner durch einen unbedachten Eingriff unbrauchbar zu machen), senden Windows 10-Rechner immer noch jede Menge Anfragen an Internet-Dienste für Kacheln, Updates oder Empfehlungsdienste. Dort wird mindestens die IP-Adresse des Nutzers registriert, bereits ohne dass man bewusst eine Webseite aufgerufen hätte. Möglich ist eine Änderung der Registry überhaupt nur in der „Enterprise“-Variante von Microsoft, also für Geschäftskunden.

Wir wollen Sie gar nicht damit langweilen, die (Un-)rechtmäßigkeit jeder einzelnen Datenübermittlung juristisch zu bewerten. Aus Nutzer.innensicht ist es einfach eine Sauerei, dass sich die Übermittlung praktisch nicht deaktivieren lässt - zumal es für viele Menschen zu Windows als Betriebssystem aus Kompatibilitätsgründen keine gangbare Alternative gibt.

Die Firma Microsoft hat im Jahre 2002 den „Lifetime“-BigBrotherAward erhalten¹. Damals hat der Datenschutzbeauftragte von Microsoft, Sascha Hanke, den BigBrotherAward sogar persönlich abgeholt und gesagt, die Firma würde unsere Kritik ernst nehmen. Spätestens mit der Einführung von Office 365 hat Microsoft viele Anwendungen und damit Ihre Daten, sehr geehrte Damen und Herren, in die Cloud übergeben. Allein das wäre schon einen Preis wert gewesen. Schon 2011 - zwei Jahre vor Edward Snowden - hat der damalige Datenschutzberater von Microsoft, Caspar Bowden, vor den Zugriffsmöglichkeiten durch Geheimdienste auf die Cloud-Daten gewarnt. Er hat eindringlich erklärt, dass Microsoft damit die Inhalte seiner Kunden an NSA, CIA & Co preisgibt, denn die US-Geheimdienste dürfen durch den FISA Act (Foreign Intelligence Surveillance Act) von 2008 auf alle Clouddaten zugreifen - und Nicht-US-Bürger haben keine Rechtsmittel dagegen. Caspar Bowden ist für diese deutlichen Worte von 2011 von Microsoft gefeuert worden. Es wäre besser gewesen, sie hätten auf ihn gehört!

Dadurch, dass Windows 10 nun auch noch ständig „nach Hause telefoniert“, werden Microsoft-Produkte zu einem nicht mehr tragbaren Problem!

Herzlichen Glückwunsch, Microsoft, zum inzwischen zweiten BigBrotherAward.

Der BigBrotherAward 2018 in der Kategorie „Arbeitswelt“ geht an die Soma Analytics UG aus Bruckmühl bei München, vertreten durch ihren Geschäftsführer Johann Huber, für ihre Bemühungen, die Gesundheits-App „Kelaa“ bei Beschäftigten und das zugehörige Kelaa Dashboard in Personalabteilungen von Firmen zu platzieren. Gesundheitsdaten von Beschäftigten in die Hände von Arbeitgebern zu legen, ist ein Tabubruch. Aber der Reihe nach:

Die Kelaa-App überwacht, wie viele andere Gesundheitsapps, die Vital-Daten der Nutzerinnen und Nutzer.

Vor Gesundheitsapps warnen wir seit Jahren. Soma Analytics führt unsere Kritik aber in eine neue Dimension. Die von dieser Firma entwickelte Kelaa App kann zwar jeder auf sein Mobiltelefon laden. Sie funktioniert aber nur, wenn der Arbeitgeber über die Software „Kelaa Dashboard“ verfügt. Mit dieser Software können sich die Arbeitgeber die aktuellen Stress- und Vitalwerte ihrer Beschäftigten in (Zitat) „aggregierter und anonymisierter Form“ anzeigen lassen. Die entsprechenden Auswertungen stellt Soma Analytics bereit.

Dieses Dreieck dient „natürlich“ nur der besseren Gesundheit: Beschäftigte, die die Kelaa App auf ihrem Smartphone installiert haben, bekommen z. B. Hinweise für Entspannungstechniken, wenn die App Anzeichen für Stress wahrnimmt. Und Arbeitgeber erfahren, wie gestresst ihre Mitarbeiter sind. Ob sie das nutzen, um Arbeitsbedingungen zu verbessern, oder um Mitarbeiter.innen mit „schwachen Nerven“ einfach zu entlassen, darüber kann nur spekuliert werden.

Die Funktionsweise

Erfasst werden die sensitiven personenbezogenen Daten über das Smartphone, das zentrales Arbeitsmittel und Tagesbegleitung ist. Von vielen Menschen wird dieses Gerät von morgens zum Aufwecken bis abends zum Einschlafen verwendet. Wer die dort vorhandenen Gesundheitsdaten oder „Stressinformationen“ auslesen und auswerten kann, der weiß mit hoher Wahrscheinlichkeit mehr über den psychischen und physischen Zustand des Besitzers als dieser selbst.

Aber das reicht Soma Analytics nicht: Die Firma weitet den Sammelzeitraum für sensitive Daten durch die Aufforderung aus, das Gerät zur Erfassung von Bewegungen während des Schlafs direkt mit ins Bett zu nehmen. Damit kann das Unternehmen nicht nur Erkenntnisse zum Schlafverhalten sammeln, sondern nebenbei auch noch zum Beischlafverhalten. Ob Partner von Beschäftigten dies mögen und erlauben, mag an dieser Stelle dahingestellt sein.

Weiterhin werden Gefühlsregungen der Stimme beim Telefonieren ausgewertet. Ergänzt wird das Ganze durch Antworten auf Fragen, die Beschäftigten gestellt werden (“Self-assessment-Fragebogen”).

In Veröffentlichungen zur Kelaa-App ist davon die Rede, dass die Soma-Software auch das Schreib- bzw. Tippverhalten sowie die Nutzung des Smartphones selbst auswertet. Dabei wird etwa die Häufigkeit des Griffs zum Gerät durch Beschäftigte ebenso erfasst wie die Dauer des Blicks auf den Bildschirm.

Ob darüber hinaus auch andere Datenquellen genutzt werden wie etwa der Schrittzähler in einer anderen Gesundheits-App oder ob Gespräche auch außerhalb von Telefonaten abgehört und ausgewertet werden, ist nicht bekannt. Aufgrund der rechtlichen Hinweise auf der Website wären auch solche Datensammlungen grundsätzlich nicht ausgeschlossen. Und uns würde es eher überraschen, wenn Soma dieses Informationspotential nicht berücksichtigen würde.

Der Effekt für Arbeitnehmer.innen …

Dafür verspricht Soma Analytics den Beschäftigten viel. Kelaa wird wie eine „gesundheitsfördernde Wunderwaffe“ angepriesen: „Wenn ihr die Kelaa-Apps einsetzt, werdet ihr leistungsfähiger als je zuvor und macht dabei euren Arbeitgeber auch noch durch eine erhöhte Produktivität glücklich!“ Da fehlt eigentlich nur noch das Versprechen von besserem Haarwuchs.

Nicht erwähnt werden von Soma Analytics mögliche Risiken und Nebenwirkungen für die Beschäftigten, weil sie – zu Recht – das Gefühl haben, dass ihr Arbeitgeber sie permanent beobachtet, sogar zu Hause und im Schlaf. Nach dem Motto: Feierabend ist ein völlig veraltetes Konzept.

… und Arbeitgeber.innen

Soma verspricht auch den Arbeitgeberinnen und Arbeitgebern viel: Der Einsatz des Kelaa Dashboards soll ihre Entscheidungsfindung stärken. Sie sollen mit den Soma-Daten die Bereiche identifizieren, in denen Verbesserungsbedarf besteht, um mit der Gesundheit der Beschäftigten auch deren Produktivität zu verbessern.

Wir sagen: Soma Analytics versucht, Arbeitgebern die Rundumkontrolle des physischen und psychischen Befindens ihrer Beschäftigten zu ermöglichen. Dass dieses Angebot Arbeitgeber begeistert und auf neue Ideen bringt, zeigen erste Erfahrungen aus Großbritannien, wo Kelaa in einer großen Anwaltskanzlei mit über tausend Mitarbeitern eingesetzt wird. Dort hat der für die Nutzung der Kelaa-App zuständige Mitarbeiter festgestellt: „Die App zeigt uns die Potentiale auf, die wir realisieren können, wenn wir mit unseren Mitarbeitern zusammen an ihrem Schlaf arbeiten“. Derartiges möglich zu machen, ist ohne Einschränkung auszeichnungswürdig.

Soma Analytics verwendet nach eigenen Angaben Big Data und anspruchsvolle Algorithmen.

Außerdem führt Soma Analytics an, dass sie durch weltweit führende Forscher aus den Bereichen Psychologie, medizinische Schlafforschung und Informatik unterstützt wird. Die Namen dieser renommierten Forscher werden allerdings diskret verschwiegen. Und natürlich wird auch der Aufbau des für die Auswertungen verwendeten Algorithmus nicht erläutert.

Firmengeheimnisse

Vielleicht sind das Firmengeheimnisse, genau wie die Art der Aggregierung und Anonymisierung der von den Smartphones der Beschäftigten gesammelten Daten für die Ausgabe im Dashboard. Wie anonymisiert wird und wie sicher das hierfür verwendete Verfahren ist, darüber gibt es auf der Webseite keine Informationen. Wir werden aber misstrauisch, wenn Soma Analytics gleichzeitig die Möglichkeit anpreist, besonders stressige Abteilungen in ihren Betrieben zu identifizieren. Daraus lässt sich folgern, dass Informationen sich auf kleinere Einheiten, Abteilungen oder Personengruppen einer Firma beziehen lassen. Und dann ist unter Umständen der Weg zur Identifikation eines bestimmten Mitarbeiters oder einer bestimmten Mitarbeiterin nicht mehr weit.

Eindeutige datenschutzrechtliche Grundlagen für die Auswertungen sind nicht erkennbar. Soma Analytics räumt sich durch die Rechtshinweise auf seiner Website zwar weitgehende Verarbeitungsbefugnisse ein. Im deutschen Rechtsraum wäre aber erforderlich, dass die Beschäftigten dieser Verarbeitung auch zustimmen. Dies fordert das (gerade) noch geltende Bundesdatenschutzgesetz. Auch aus dem Disclaimer zur Kelaa-App folgt keine datenschutzrechtlich wirksame Einwilligung von Beschäftigten in die Verarbeitung sensitiver personenbezogener Daten. Aber auch mit Blick auf die ab dem 25. Mai 2018 anwendbare Europäische Datenschutzgrundverordnung (DSGVO) und die hierin enthaltenen Wirksamkeitsanforderungen einer Einwilligung ist die Situation nicht anders zu bewerten. Im Gegenteil: sowohl das alte wie auch das neue Datenschutzrecht schützen die Verarbeitung von Gesundheitsdaten ganz besonders. Und noch einmal höher ist dieser Schutz bezogen auf Beschäftigungsverhältnisse.

Verbreitung

Wir wissen nicht, wie erfolgreich das Geschäftsmodell von Soma Analytics ist. Berichte über die praktischen Erfahrungen beziehen sich auf Beispiele aus Großbritannien und Italien, obwohl der Hauptsitz der Firma in Bruckmühl bei München ist. Über die Verbreitung bei deutschen Arbeitgebern ist uns nichts bekannt – darum geht es uns aber auch nicht.

Unabhängig vom Standort, unabhängig von der Marktmacht, unabhängig von der Größe der Firma ist es der Gedanke hinter der Kelaa App, der den Tabubruch darstellt. Warum entwickeln Menschen solche Software? Weil sie kein Gespür für moralische Grenzen haben. Weil „Digital first, Bedenken second“ als Werbeslogan der FDP im vergangenen Herbst genutzt wurde und in gewissen Kreisen gesellschaftsfähig ist. Weil Datenschutz nicht als deutsche Tugend und als deutscher Exportschlager angesehen wird, sondern als Behinderung von Geschäftsmodellen. Und weil viele kleine Start-Ups davon träumen, von einem Weltkonzern aufgekauft zu werden, wenn sie aus Big Data so viel wie möglich herausholen können. Da werden laufend rote Linien überschritten – und das muss aufhören!

Denn die Debatte um Kelaa trifft zusammen mit der um den Einsatz von Anwendungen aus dem Bereich „Predictive Analytics“. Diese zielen ebenfalls darauf ab, aus der Stimme oder aus dem sonstigen Umgang von Beschäftigten mit technischen Anwendungen Hinweise auf sich anbahnende Probleme oder auf das Vorliegen eines arbeitsrechtlichen Fehlverhaltens abzuleiten. Werden derartige Konzepte der permanenten und verdeckten automatisierten Ausforschung von Beschäftigten Praxis, schafft dies Erkenntnis- und Handlungsmöglichkeiten für Arbeitgeber, von denen Big Brother bisher nur träumen konnte.

Wenn Sie als Beschäftigte meinen, dass es Ihrer Gesundheit förderlich ist, auf Ihrem Smartphone eine App zur Stresserkennung und Stressreduzierung zu installieren, dann steht es Ihnen natürlich frei, dies zu tun. Aber achten Sie darauf, dass es keine Software ist, die ihrem Arbeitgeber gehört. Wer diese simple Grundregel beachtet, der muss auch keinen Ausschlag des „Stress-O-Meters“ in seiner App befürchten, wenn der Arbeitgeber wieder einmal davon redet, dass er olympiareife Mannschaften braucht und dass deshalb die nicht so leistungsfähigen Beschäftigten das Boot verlassen müssen.

In diesem Sinne: Herzlichen Glückwunsch zum BigBrotherAward Soma, Analytics UG.