Der BigBrotherAward in der Kategorie „Technik“ geht an die Gamma Group, in Deutschland vertreten durch die Gamma International in München, namentlich den Prokuristen Stephan Oelkers, für ihre Software „FinFisher“.

FinFisher dient Behörden zum Eindringen in Computersysteme, um dort Überwachungssoftware zu installieren.

Zitat aus dem Werbetext der Firma: „Die Produkte aus dem Bereich Fernüberwachung und Software-Installation ermöglichen aktiven Zugriff auf Zielsysteme (Computer und Telefon), wobei diese ferngesteuert, Daten analysiert sowie verschlüsselte Kommunikation und Daten gesammelt werden können. … “

Erschreckend unverblümt bietet Gamma International diese Dienste auf ihrer deutschen Homepage an – obwohl die Entwicklung und der Vertrieb von Schnüffel-Software dieser Art laut §202c StGB in Deutschland unter Strafe verboten ist. Dieses Verbot gilt allerdings nur für den Handel mit Privatleuten und Unternehmen, nicht für den Verkauf solcher Software an staatliche Einrichtungen in Deutschland oder an die Geheimpolizei von Diktaturen im Ausland. Die Staatsanwaltschaft München hat jedenfalls mit dieser Begründung ein Strafverfahren gegen Gamma gar nicht erst eröffnet.

Der Bundestrojaner ist in Deutschland eines der umstrittensten Ermittlungswerkzeuge für Polizei und Geheimdienste. Einmal auf einem PC installiert, können die Behörden den Rechner damit online und unbemerkt durchsuchen, in E-Mails herumschnüffeln, Passwörter aufzeichnen. Sogar das Mikrofon und die Webcam können zur Raumüberwachung aktiviert werden. In Deutschland ist der Einsatz solcher Programme vom Bundesverfassungsgericht stark reglementiert worden. In anderen Ländern ist man da weniger zimperlich: In Syrien, Turkmenistan oder dem Oman ist es an der Tagesordnung, dass die Geheimpolizei die Computer von Oppositionellen ausspäht und sie verfolgt, weil sie sich für mehr Demokratie einsetzen.

Die Aktivitäten der Demokratiebewegung verlagern sich zunehmend ins Netz – und darum möchten die Behörden gern auch das „elektronische Leben“ der Zielpersonen überwachen. Großflächige Internetkontrolle kommt ebenso zum Einsatz wie das gezielte Durchsuchen von privaten PCs und E-Mail- oder Facebook-Accounts.

Unterlagen, die bei der Erstürmung der Zentrale der ägyptischen Staatssicherheit gefunden wurden, belegen, dass die dortige Geheimpolizei mit Hilfe eines Trojaners der Gamma Group auf die Jagd nach Oppositionellen gehen wollte. Der Behörde testete ausgiebig auf einem Laptop von Gamma und beurteilte das FinFisher-Softwarepaket sehr positiv.

Zusammen mit der Firma Dreamlabs aus der Schweiz hat Gamma einen sogenannten „Infiltration-Proxy“ aus der FinFisher-Produktfamilie Ländern wie dem Oman oder Turkmenistan angeboten. Damit können massenhaft tausende von PCs mit der Schnüffelsoftware ausgestattet werden.

In Deutschland wurde viel darüber diskutiert, wie die Ausspähsoftware auf den Rechner eines Verdächtigen kommt. Aus aktuellen Fällen wissen wir, dass die Behörden meist den physischen Zugriff auf den Computer gewählt haben: Ein fingierter Einbruch zum Beispiel, bei dem nachts der PC „verwanzt“ wurde, oder eine Sicherheitskontrolle am Flughafen, bei der die Behörden unter einem Vorwand den Laptop für einige Minuten in die Hände bekamen. Es gibt aber auch elegantere Wege: Über Sicherheitslücken in Software oder Betriebssystemen können die Behörden mit einem sogenannten „Man-in-the-middle“-Angriff die Schnüffelsoftware auf den PC aufspielen. Bei diesem Verfahren besorgt sich der Hersteller der Schnüffelsoftware Kenntnisse über Sicherheitslücken von Software auf dem Schwarzmarkt – und bietet als Dienstleistung an, sich in die Internetverbindung des Nutzers einzuklinken, meist unter Mithilfe des Internetproviders. Wenn nun der Benutzer eine Software mit Sicherheitslücke startet, zum Beispiel den Musikshop iTunes von Apple, bekommt er den Schnüffeltrojaner auf seinem Rechner installiert. iTunes von Apple wird in einer Präsentation von Gamma ausdrücklich als Einfallstor für ihre Software genannt.

In diesem speziellen Bereich (unter Experten: „Remote Intrusion“ genannt), bietet die Gamma Group ihre Dienste an. Ihr Produkt „FinFisher“ ermöglicht es den Behörden auf bequeme Art und Weise, in den Rechner der Zielperson einzudringen und die Schnüffelsoftware dort zu platzieren.

Auf internationalen Messen für Sicherheitstechnik wie der ISS in Dubai, tritt die Firma Gamma International als einer der Haupt-Sponsoren auf und bietet dort ihre Software „FinFisher“ auch den Behörden von Ländern an, bei denen die Menschenrechte weitaus weniger wert sind als bei uns.

Auch das Bundeskriminalamt in Deutschland zeigte Interesse an „FinFisher“ von Gamma. und hat zur Evaluation eine Testlizenz erworben, wie aus einer Antwort der Bundesregierung auf eine parlamentarische Anfrage hervorgeht.

Die Strukturen hinter der international verzweigen Gamma Group sind alles andere als durchsichtig. Die Exporte werden über weitere Firmen abgewickelt. Daher wissen wir nicht, ob der Empfänger unseres Preises formal korrekt ist, wer also wirklich hinter Gamma Deutschland steckt. Wir haben uns für Herrn Stephan Oelkers entschieden, da er in Präsentationen immer wieder auftaucht und auch im Handelsregister mit Prokura registriert ist.

Herzlichen Glückwunsch, Herr Oelkers von der Gamma Group.

Der BigBrotherAward 2012 in der Kategorie „Verbraucherschutz“ geht an die Firma Blizzard Entertainment, eine Abteilung der Firma Activision Blizzard, die aus einer spielerischen Freizeitbeschäftigung am Computer eine Schlacht mit einem siebenköpfigen Drachen um die Privatsphäre gemacht hat. Ein erster Sieg ging an die Online-Rollenspielerinnen und -spieler, aber der Drache ist nur leicht verwundet und rüstet nach.

Wer sich mit Sagengestalten und Fantasy-Literatur beschäftigt hat, weiß: Drachen, vor allem mehrköpfige Drachen, werden oft als ein Sinnbild für „Das Böse“ benutzt. So wie Herakles in der griechischen Mythologie als zweite von insgesamt Zwölf Aufgaben die Hydra besiegen musste, bekommen auch Online-Spieler die Macht dieser Drachen zu spüren. Und das nicht nur im Rahmen der zu lösenden, sogenannten „Quests“.

Es gibt einen Drachen, der die Spieler ständig begleitet, ohne dass ihnen seine Gegenwart bewusst wird, weil er nicht sichtbar ist. Er versteckt sich nämlich in den Nutzungsbedingungen, erfolgreich getarnt in seitenlangen Texten, die erfahrungsgemäß einfach weggeklickt werden, damit man endlich ins Spiel kommen kann.

Deswegen möchten wir Ihnen einmal zeigen, wie so ein Drache aussieht und welche Bedeutung er für die Spieler hat. Eine Hydra besitzt zum Beispiel neun Köpfe, acht sterbliche und einen unsterblichen. Wenn man einen Kopf abschlägt, wachsen gleich zwei neue Köpfe nach. Der Drache bei Blizzard Entertainment und anderen Online-Rollenspiel-Anbietern, wie zum Beispiel vom zweiten Marktführer Electronic Arts, hat da ganz ähnliche Eigenschaften.

Es war einmal eine Zeit, um das Jahr 2004/2005 herum, als Online-Rollenspieler sich einen coolen Phantasie-Namen ausdachten und ein verwunschenes Passwort, damit sich die Tore zu den Dungeons der virtuellen Welten für sie öffneten. Das reichte dem heute prämierten Blizzard-Drachen im Jahre 2009 nicht mehr: Er wollte alle Spieler in seinem gleich für mehrere Spielsysteme einheitlich gültigen Account-System erfassen. Seit diesem Zeitpunkt sind die Spieler gezwungen, sich mit einer existierenden E-Mail-Adresse anzumelden. Andere Spielsysteme folgten diesem Beispiel. Die Waffe des Drachen für diesen Schlag gegen die Privatsphäre war der erste seiner sieben Köpfe: Die Änderung der Nutzungsbedingungen.

Die Nutzungsbedingungen

sind quasi das unsterbliche „Oberhaupt“ der Spiele. Sie zwingen den Nutzer eines Spieles, alle vorgegebenen Bedingungen ausnahmslos zu akzeptieren. Ohne einen Klick auf den „Accept“-Button erhalten sie keinen Zugang zur so genannten „World of Warcraft“ und andere virtuelle Spielwelten. Damit verzichten die Spieler auf „alle Persönlichkeitsrechte, die Sie ggf. in Bezug auf Nutzerinhalte haben“, so steht es wörtlich in Blizzards Bedingungen, und räumen dem Spielehersteller sehr weit gehende Eingriffe in ihre Privatsphäre ein.

Zum Beispiel muss jeder Nutzer einem permanenten

Arbeitsspeicherscanning

während der Laufzeit des Spiels durch die herstellereigene Software (bei Blizzard heißt sie „Warden“, bei Electronic Arts „Origin“) zustimmen. Hierbei wird auch die gesamte Prozessor-Aktivität erfasst. Entwickelt wurden diese Programme, weil viele Spieler mit so genannten „Bot“-Programmen über Nacht Gold gesammelt oder ihre Spielstärke erhöht haben. Das hat einen Großteil der Spieler verärgert, und die Hersteller wurden aufgefordert, zu reagieren. Mit dem Arbeitsspeicherscan sollen diese Schadprogramme nun aufgespürt und Schummeleien beim Spiel verhindert werden. Was mit den dabei gesammelten – auch spielfremden – Informationen beim Hersteller passiert, ist völlig unklar. Das veranlasste die Electronic Frontier Foundation und andere Bürgerrechtsgruppen, diese Technologie als „Spyware“ einzustufen.

Der nächste Drachenkopf mit der Lizenz zum Spionieren ist die Erlaubnis zur

Chataufzeichnung.

Das betrifft die gesamte in kleine Chat-Fenster eingetippte Textkommunikation im Spiel. Immerhin: Bei Blizzard zumindest werden Audiochats nicht gespeichert, da die automatisierte Auswertung wegen der zahlreichen Dialekte technisch zu aufwändig wäre. Zumindest im Augenblick noch.

Sehr ergiebig für die Schnüffeleien unseres Daten-Drachen ist dagegen die

Spielverlaufsprotokollierung.

Dabei werden alle Handlungen des Spielers chronologisch erfasst. Damit man aber nicht so direkt merkt, dass hier eine Vorratsdatenspeicherung mit Anlage von Bewegungsprofilen stattfindet, hat man die

Erfolgsstatistik

eingeführt. Lobende Einträge gibt es zum Beispiel für Kämpfe, für „Spieler gegen Spieler“-Aktionen, für das Absolvieren von „Dungeons & Schlachtzügen“, für von der Spielfigur erlernte Berufe, für den erworbenen Ruf der Spielfigur und die Teilnahme an so genannten „Weltevents“. Nicht nur Spieler können die eigenen Ergebnisse betrachten, im Prinzip kann jeder, der den Spielewelt- und Charakternamen kennt, über das sogenannte „Arsenal“ Informationen im Internet abrufen. Dort kann dann ermittelt werden, wer wann, wie lange und wie oft gespielt hat.

An Hand der über eine längere Zeit beobachteten Spielweise lassen sich für jeden Spieler

Persönlichkeitsprofile

ableiten. Im 2005 eingereichten und 2007 veröffentlichten US Patent 20070072676 – eingetragen auf einen wissenschaftlichen Mitarbeiter von Google – wird detailliert beschrieben, wie die aufgezeichneten Spieleigenschaften, die im Chat verbrachte Zeit, das Verhalten beim Tauschhandel, die Erforschung von Gebieten, die Entscheidung bei Konfliktsiutationen, eine ruhige oder aggressive Spielweise und die Risikobereitschaft eines Spielers für gezielte Werbung ausgewertet werden können.

Psychologen können daraus durchaus ablesen, wer eine militärische Laufbahn einschlagen könnte, wer in der Bankbonität herabgestuft werden sollte, wer über Führungsqualitäten verfügt, wer wegen seines rüpelhaften Verhaltens gemieden werden sollte, wer potenziell spielsüchtig oder wahrscheinlich arbeitslos ist. Einzelne Spielaufgaben wirken, als wären sie speziell für das Casting von Rekruten in Spezialeinheiten vorgesehen. Hier müssen die Spieler zum Beispiel gezielt Zivilisten töten oder Geständnisse per Elektroschock-Folter erzwingen. Solche Aufgaben erinnern stark an das Milgram-Experiment von 1961. Hierbei wurde die Bereitschaft durchschnittlicher Menschen getestet, autoritären Anweisungen auch dann Folge zu leisten, wenn sie in direktem Widerspruch zu ihrem Gewissen stehen.

Das Feldversuchslabor unseres „Drachenschöpfers“ Blizzard Entertainment zeichnet alles auf. Man braucht nicht viel Phantasie, um sich Organisationen auszudenken, die an solchen Spieler-Profilen großes Interesse haben dürften.

„So lange ich mit meinem Avatar anonym unterwegs bin, macht mir das alles nichts aus“ mag mancher Spieler gedacht haben – bis die

Freundeslisten

eingeführt werden sollten. Mit dem „Real ID“ genannten Freundschaftsystem wären die Nutzerinnen und Nutzer von Diskussionsforen gezwungen gewesen, ihren echten Namen öffentlich anzugeben, anstatt mit einem Pseudonym spielen zu können. Hintergrund auch hier: Die Spieler forderten, dass der Hersteller gegen pöbelnde Mitspieler vorging. Blizzards Antwort: „Dann personalisieren wir unser Angebot, und wo wir gerade dabei sind, beziehen wir doch auch gleich die Facebook-Accounts und dortigen Freundeslisten mit ein.“ Das Unternehmen teilte mit, damit werde „ein verbesserter sozialer Aspekt in der Spielerfahrung“ ermöglicht. Immerhin ist die Funktion optional: Die Spieler müssen den Zugriff auf die Facebook-Freundesliste aus dem Blizzard-Spiel „Starcraft II“ heraus aktiv erlauben.

Ein Firmenmitbegründer lobte das Vorhaben mit folgenden Worten: „Wenn der für Onlineunterhaltungen typische Schleier der Anonymität gelüftet ist, wird dies zu einer besseren Umgebung in den Foren führen, konstruktive Unterhaltungen fördern und die Community auf eine Art und Weise zusammenbringen, wie sie bisher nicht verbunden war.“ Den Spielern gefiel es allerdings gar nicht, plötzlich womöglich von Arbeitgebern oder Nachbarn als regelmäßige Online-Spieler identifiziert werden zu können. Innerhalb kürzester Zeit sammelten sich allein in den deutschsprachigen Foren über 12.000 Beschwerdebeiträge. Ein „Shitstorm“ brach über den Drachen, über Blizzard und sein „Battlenet“ herein.

In den USA wollte daraufhin der Community-Manager mit gutem Beispiel vorangehen und veröffentlichte unbekümmert seinen Klarnamen. Das hatte Folgen: Rasend schnell verbreiteten sich Adresse, Telefonnummer, Alter, Namen und Alter der Familienmitglieder, persönliche Vorlieben und weitere Details in den Internetforen. Nach zwei Tagen kam die Kapitulation. Man erklärte, „dass es nicht nötig sein wird, reale Namen für das Verfassen von Beiträgen in den offiziellen Foren zu nutzen.“ Die Spieler mit ihrem in den letzten Jahren immer mehr gewachsenen Wunsch nach Schutz ihrer Persönlichkeitsrechte und ihrer Daten haben hier immerhin einen Teilsieg errungen.

Blizzard erhielt im Jahr 2005 bereits den österreichischen BigBrotherAward in der Kategorie „Kommunikation und Marketing“ für das Ausspionieren von Arbeitsspeichern und Rechnerdaten.

Wir verleihen den BigBrotherAward heute für das ganze Zusammenspiel verschiedener Komponenten unter dem Stichwort Real ID. Wenn sich die Spieler heute mit der gleichen E-Mail-Adresse z.B. in „World of Warcraft“ und „Starcraft II“ einloggen, sind sie damit auf Blizzards Battle-Net-Server und können sehen, ob ihre Freunde bei den anderen Blizzard-Spielen online sind. Und sie werden natürlich auch gesehen. Durch Real ID müssen die Spieler sich sehr gut informieren,mit mehreren Mailadressen arbeiten und ihre Spiele penibel voneinander trennen, wenn sie keinen Charakter-Fingerabdruck im Netz hinterlassen, sondern einfach nur ein bisschen in bunten, spielerischen Welten abschalten wollen.

Mit der gescheiterten Einführung von Klarnamen über die Real ID hat der Drache zwar einen Kopf verloren, aber welche zwei werden bald nachwachsen? Denn nicht Einsicht und Spielerkomfort waren der Grund für diesen Teil-Rückzug, sondern massive Proteste und ein blauäugiger Marketing-Fehler. Mit ausgiebigen Protokollen von Spieleraktionen und Verhaltensmustern ebnen Blizzard und andere Online-Spieleanbieter den Weg für personenbezogene In-Game-Werbung und Charakterprofile, die mit einer unbemerkt eingeführten Änderung der Nutzungsbedingungen problemlos Dritten zugänglich gemacht werden könnten.

Damit uns keiner falsch versteht: Wir halten Online-Spiele nicht für ein generelles Übel. Gerade die Firma Blizzard hat mehrere sehr kreative Spiele im Programm. Wir wünschen uns durch die Verleihung der BigBrotherAwards und die damit verbundene Publizität, dass Blizzard seine Privatsphäre-Einstellungen überdenkt und die Spieler sich die Mühe machen, die Nutzungsbedingungen wirklich durchzulesen. Wir hoffen, dass von unserem Preis eine Signalwirkung für die ganze Branche zum Vorteil der Verbraucher ausgeht.

In diesem Sinne:

Herzlichen Glückwunsch, Blizzard Entertainment, zum BigBrotherAward 2012.

Der BigBrotherAward 2012 in der Kategorie „Politik“ geht an Bundesinnenminister Dr. Hans-Peter Friedrich (CSU).

Der Innenminister erhält den Preis

1. für die Einrichtung eines Cyber-Abwehrzentrums ohne Legitimation durch den Bundestag,

2. für die Einrichtung eines Gemeinsamen Abwehrzentrums gegen Rechtsextremismus (GAR), ebenfalls am Parlament vorbei,

3. für den Plan, alsbald eine gemeinsame zentrale Verbunddatei gewaltbezogener Rechtsextremismus zu errichten.

Mit der geplanten Verbunddatei und den neuen Abwehrzentren werden Polizei, Geheimdienste und teilweise das Militär auf problematische Weise verzahnt – unter Missachtung des Verfassungsgebots einer strikten Trennung dieser Sicherheitsbehörden.

Was will Innenminister Dr. Friedrich mit diesen drei Projekten bezwecken und wo liegen die Probleme?

1. Das Nationale Cyber-Abwehrzentrum (NCAZ)

ist eine Kooperationseinrichtung deutscher Sicherheitsbehörden auf Bundesebene zur Abwehr elektronischer (Hacker-)Angriffe auf kritische IT-Infrastrukturen der Bundesrepublik und ihrer Wirtschaft. Das vernünftig klingende Ziel: Prävention, Information und Frühwarnung vor so genannten Cyber-Angriffen. Das Abwehrzentrum wurde im Februar 2011 ohne Beteiligung des Bundestages gegründet und am 16. Juni 2011 von Bundesinnenminister Dr. Friedrich offiziell eröffnet. Es ist beim Bundesamt für Sicherheit in der Informationstechnik (BSI) angesiedelt und hat seinen Sitz im Bonner Stadtteil Mehlem. In dieser Cyber-Wacht am Rhein kooperieren unter anderem das BSI, das Bundeskriminalamt (BKA), der Bundesnachrichtendienst (BND), das Bundesamt für Verfassungsschutz (BfV), das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe sowie die Bundespolizei, das Zollkriminalamt und nicht zuletzt die Bundeswehr.

Im Kampf gegen das Böse und Subversive müssen alle staatlichen Kräfte gebündelt werden – das ist die gängige Begründung der Bundesregierung für solch problematische Ämterverquickung. Operative Abwehr von Cyber-Attacken also auf „Teufel komm raus“ und ohne Rücksicht auf verfassungs- und datenschutzrechtliche Machtbegrenzungen.

2. Das Gemeinsame Abwehrzentrum gegen Rechtsextremismus (GAR)

ist eine Reaktion auf die bekannt gewordene Neonazi-Mordserie und auf das skandalöse Versagen der Sicherheitsbehörden. Im GAR arbeiten – dem Vorbild des Gemeinsamen Terrorismus-Abwehrzentrums zur Bekämpfung des „islamistischen Terrorismus“ in Berlin-Treptow folgend – die Bundes- und Landeskriminalämter, die Verfassungsschutzbehörden des Bundes und der Länder, BND und Militärischer Abschirmdienst MAD sowie die Bundesanwaltschaft und Europol zusammen – insgesamt 40 Behörden mit bis zu 140 Behördenvertretern, davon jeweils mindestens 50 Kräfte vom BKA und Verfassungsschutz.

Das GAR soll die Kooperation und Koordination der Sicherheitsbehörden bei der Bekämpfung von Rechtsextremismus und -terrorismus verbessern sowie den Informationsaustausch zwischen den polizeilichen und nachrichtendienstlichen Sicherheitsstellen aus Bund und Ländern bündeln. Die so gewonnenen und zusammengeführten Informationen sollen „schnell und ausgerichtet auf die Umsetzung von operativen Maßnahmen“ aufbereitet werden (BMI 6.02.12) – das bedeutet, dass dann auf dieser Grundlage gegen Verdächtige mit geheimdienstlichen oder polizeilich-repressiven Maßnahmen vorgegangen werden kann. Damit soll ein „permanenter Fahndungs- und Verfolgungsdruck auf die rechtsextreme Szene“ ausgeübt werden, so BKA-Chef Jörg Ziercke (taz 17./18.12.2011).

3. Eine Gemeinsame zentrale Verbunddatei gewaltbezogener Rechtsextremismus

von Polizei und Verfassungsschutz soll demnächst eingerichtet werden – parallel zu der bereits seit 2007 bestehenden gemeinsamen Antiterror-Verbunddatei „islamistischer Terrorismus“, gegen die eine Verfassungsbeschwerde läuft und für die bereits 2006 die Innenministerkonferenz einen präventiv verliehenen BigBrotherAward erhalten hat. Die neue Verbunddatei soll von allen bundesdeutschen Polizeien und Geheimdiensten des Bundes – mit Ausnahme des BND – und der Länder bestückt und genutzt werden.

Bundesjustizministerin Sabine Leutheusser-Schnarrenberger hat die geplante Verbunddatei gegen den Vorwurf verteidigt, es handele sich um eine Gesinnungsdatei – schließlich würden dort lediglich Rechtsextremisten eingetragen, die einen klaren Gewaltbezug aufweisen. In der Datei werden allerdings nicht etwa nur rechtskräftig verurteilte Gewalttäter gespeichert, sondern auch mutmaßlich Rechtsextreme, die lediglich aufgrund geheimdienstlicher Vorfelderkenntnisse als gewalttätig oder gewaltbereit eingestuft werden. Es handelt sich also im Kern um eine Präventivdatei mit Daten von Verdächtigen. Erfasst werden sollen dabei auch Kontaktpersonen, die (nicht nur flüchtige) Kontakte zu gewaltbereiten Neonazis halten. Insgesamt sollen etwa 10.000 Datenprofile zusammengeführt und in die Verbunddatei eingestellt werden.

Staatsgewaltige Entgrenzung

Mit all diesen neuen Instrumenten erfährt die exekutive Staatsgewalt eine weitere problematische Entgrenzung. Polizeiliche und geheimdienstliche Kompetenzen werden zentralisiert und zusammen geführt. Beim Cyber-Abwehrzentrum kommt sogar noch die unmittelbare Kooperation von Sicherheitsbehörden und Militär hinzu und damit die Verwischung der Grenzen zwischen innerer und äußerer Sicherheit.

Was aber ist so problematisch an dieser verstärkten Ämterverquickung und an gemeinsamen Datenpools von Polizei und Geheimdiensten? Eine solche Zusammenführung bedeutet – trotz anders lautender Beteuerungen, trotz eingebauter Hürden – die Aufhebung der verfassungsgemäßen Trennung von Polizei und Geheimdiensten. Immerhin handelt es sich dabei um eine historisch bedeutsame Konsequenz aus den bitteren Erfahrungen mit Reichssicherheitshauptamt und Gestapo der Nazizeit, die sowohl geheimdienstlich als auch exekutiv-vollziehend tätig waren. Mit der strikten Trennung sollten ursprünglich in Westdeutschland eine unkontrollierbare und damit undemokratische Machtkonzentration der Sicherheitsapparate sowie eine neue politische Geheimpolizei verhindert werden. Mit den neuen Abwehrzentren und der Verbunddatei entsteht die Gefahr, dass Geheimdienste tendenziell zum verlängerten nachrichtendienstlichen Arm der Polizei mutieren und diese zum verlängerten Exekutiv-Arm der Geheimdienste.

Aufrüstungs- und Überwachungsreflexe

Gerade im Fall der Neonazi-Mordserie und der offensichtlichen Nichtermittlung ihres rassistischen Hintergrunds durch die Sicherheitsbehörden kann man – nach allem, was man weiß – nicht etwa von Unfähigkeit, Pannen oder Konfusion des polizeilichen Staats- und geheimdienstlichen Verfassungsschutzes sprechen, vielmehr in hohem Maße von ideologischen Scheuklappen der Sicherheitsorgane, von Ignoranz und systematischer Verharmlosung des neonazistischen Spektrums – begünstigt auch durch eine jahrzehntelang einseitig ausgerichtete Politik der „Inneren Sicherheit“ auf den so genannten Linksextremismus und Islamismus. Jedenfalls wurde im Fall der Nazi-Mordserie der rassistische Hintergrund nie ernsthaft ausgeleuchtet.

Es ist wirklich absurd, wie selbst dieses ideologisch bedingte Versagen der Staats- und Verfassungsschutzbehörden von Sicherheitspolitikern wie Innenminister Dr. Friedrich, der bislang nicht als Hardliner aufgefallen ist, reflexartig und populistisch dazu genutzt wird, weitere sicherheitsstaatliche Nachrüstungsmaßnahmen für die Versagerbehörden durchzusetzen – und damit auch noch demokratie-unverträgliche Strukturen auszubauen, die aufgrund der Erfahrungen mit der Nazizeit hierzulande gerade verhindert werden sollten.

Bundesinnenminister Dr. Friedrich suggeriert mit seinen negativpreiswürdigen Projekten, dass die skandalöse Nichtermittlung der Mordserie und ihres rassistischen Hintergrundes an fehlenden Befugnissen gelegen habe, die man den Sicherheitsorganen jetzt endlich zugestehen müsse. Doch Befugnisse, Ermittlungs- und Kooperationsmöglichkeiten gab es bislang schon mehr als genug – nach jahrelanger Aufrüstung im Zuge staatlicher „Antiterrorbekämpfung“ und wie zum Beispiel im Rahmen der „Informationsgruppe zur Beobachtung und Bekämpfung rechtsextremistischer/-terroristischer, insbesondere fremdenfeindlicher Gewaltakte“ (IGR). Ja, solche ressortübergreifenden Kooperationsprojekte gibt es bereits seit Beginn der 90er Jahre – und wir fragen uns, was diese eigentlich die ganze Zeit mit welchen Resultaten getrieben haben.

Der tödlichen Bedrohung durch Neonazis kann auch mit weiterer technischer Aufrüstung und institutioneller Verquickung kaum wirksam begegnet werden, schon gar nicht, solange die Sicherheitsbehörden des Bundes und der Länder ihre ideologischen Scheuklappen nicht ablegen, das neonazistische Spektrum verharmlosen und den rassistischen Hintergrund von schweren Straftaten nicht zur Kenntnis nehmen wollen; solange der Verfassungsschutz bundesweit mit seinem dubiosen und kriminellen V-Leute-System heillos in Neonazi-Szenen verstrickt ist, sie mitfinanziert und Erkenntnisse über mögliche Verbrechen für sich behält; und solange die Tatsache ignoriert wird, dass Rassismus und Fremdenfeindlichkeit weit in die Mitte der Gesellschaft reichen und eben auch weit hinein in staatliche Institutionen wie Polizei und Verfassungsschutz.

Nicht alternativlos: Mehr Demokratie, mehr Offenheit, mehr Humanität

Mit den Gemeinsamen Abwehrzentren der Polizei, Geheimdienste und des Militärs wächst weiter zusammen, was nicht zusammen gehört, wird eine wichtige demokratische Lehre aus der deutschen Geschichte weitgehend entsorgt, werden rechtsstaatliche Begrenzungen letztlich einer grenzenlosen Prävention geopfert – mit der Folge einer fatalen Machtkonzentration der Sicherheitsbehörden, die sich immer schwerer demokratisch kontrollieren lassen.

Herzlichen Glückwunsch zu diesem wohlverdienten BigBrotherAward, Herr Bundesinnenminister, und lassen Sie sich abschließend sagen: Ihre gefährliche Symbolpolitik ist keineswegs alternativlos. Es war der norwegische Ministerpräsident Jens Stoltenberg, der in seiner bemerkenswerten Trauerrede für die Opfer des Massakers in Oslo und Utoya 2011 die weitsichtige Antwort auf die entsetzlichen Taten fand: „Wir sind erschüttert von dem, was uns getroffen hat. Aber wir geben nie unsere Werte auf. Unsere Antwort ist mehr Demokratie, mehr Offenheit und mehr Humanität.“

Der BigBrotherAward 2012 in der Kategorie „Behörden und Verwaltung“ geht an den Sächsischen Staatsminister des Inneren, Herrn Markus Ulbig, für 28 Funkzellenabfragen im Raum Dresden.

Der ursprüngliche Anlass für diesen Preis liegt über ein Jahr zurück, und hätten wir im vergangenen Jahr schon davon gewußt, stünde die schöne Preisfigur schon seit einem Jahr im schönen Dresden. Aber der Skandal aus dem Februar 2011 sickerte erst ab dem Sommer vergangenen Jahres tröpfchenweise durch an die Öffentlichkeit.

Aber beginnen wir mit dem Anfang: Am 19. Februar 2011 demonstrierten 20.000 Menschen in Dresden gegen den jährlichen Nazi-Aufmarsch. Die Polizei unseres Preisträgers ermittelte nach dieser Demonstration wegen 23 zeitlich eingrenzbarer Straftaten an 14 genau lokalisierten Tatorten.

Auf Anregung der Kriminalpolizei und des sächsischen Landeskriminalamtes beantragte die Staatsanwaltschaft Dresden bei dem zuständigen Amtsgericht daraufhin die Herausgabe von Mobilfunk-Verbindungsdaten. Bald darauf geriet ein ganzer Datenberg ins Rutschen. Für das sächsische Landeskriminalamt wurden die Funkzelldaten für drei Standorte im Raum Dresden gleich für mehrere Stunden angefordert. Dazu wollte man für das gesamte Gebiet der südlichen Dresdener Innenstadt, in dem die Demonstrationen stattgefunden hatten, die Verbindungsdaten für ganze 12 Stunden und schließlich für die Umgebung eines Hauses, in dem sich ein Jugendzentrum, Parteibüros und eine Rechtsanwaltskanzlei befanden, die Verbindungsdaten sogar für satte 48 Stunden. Bald darauf übermittelten die Mobilfunkprovider sage und schreibe 1.007.702 Datensätze zu 323.503 Rufnummern an die Ermittlungsbehörden.

Das Ganze blieb nicht lange verborgen, denn schon im Sommer 2011 tauchten die erhobenen Daten dort auf, wo sie gar nicht hingehörten, nämlich in Ermittlungen, für die man sicher keine Funkzellenabfrage genehmigt bekommen hätte. Erstaunte Betroffene bekamen nun zu lesen, dass sie auf der Demonstration zu einer bestimmten Zeit an einem bestimmten Ort telefoniert hatten. Das warf Fragen auf.

Die hektisch um Antwort ringende Staatsregierung mochte zunächst nur zu zugeben, dass ca. 460 Bestandsdaten ermittelt worden seien, aber spätestens im Juli 2011 waren schon 40.732 der betroffenen Anschlussinhaberinnen und Anschlussinhaber identifiziert worden. Bis zum Jahresende war sogar von über 55.000 Identifizierungen die Rede. Immer weiter wuchs auch die Zahl der zugegebenen Verbindungsdatensätze: auf dem Stand vom 23. November 2011 waren es bereits  derer 1.067.433.

Diese Daten sind allergrößten Teils am 19. Februar 2011 von 07.00 Uhr morgens bis 07.00 Uhr abends in einem Gebiet erhoben worden, in dem sich hunderttausende Einwohnerinnen und Einwohner, nach polizeilicher Schätzung etwa 20.000 Demonstrantinnen und Demonstranten und außerdem 6.642 Polizeibeamtinnen und -beamte aufgehalten haben. So etwas nennt man einen Daten-Tsunami, und nicht umsonst war anschließend von einem „sächsischen Fukushima“ die Rede.

Was sollte das Ganze? Der kleinste Teil der betroffenen Daten wurde angefordert, um konkrete Straftaten aufzuklären. Die ganz große Masse der Daten sollte vielmehr genutzt werden, um gegen mutmaßliche Mitglieder einer zahlenmäßig wohl eher überschaubaren mutmaßlich kriminellen Vereinigung zu ermitteln. Welchen Sinn macht es, eine vielleicht ein oder zwei Dutzend Leute große Gruppe aus mehr als einer Millionen Datensätzen herausfiltern zu wollen? Die sächsische Polizei, deren oberster Dienstherr der Preisträger Innenminister Markus Ulbig ist, hatte offenbar den Ehrgeiz, die sprichwörtliche Nadel im Heuhaufen zu suchen. Doch leider, Herr Ulbig, suchen Ihre Kriminalisten nicht im Heuhaufen, sondern in der durch das Telekommunikationsgeheimnis besonders geschützten privaten Kommunikationssphäre zigtausender Bürgerinnen und Bürger. Und die hielten sich überwiegend nicht zum Spaß in der Dresdner Innenstadt auf, sondern weil sie dort leben und arbeiten. Besonders pikant ist die Sache, weil daneben zigtausende ein ganz besonderes Anliegen hatten, nämlich von ihrem Grundrecht auf Versammlungsfreiheit Gebrauch zu machen, um damit ein zentrales gesellschaftliches Anliegen zur Geltung zu bringen und ihrer Abscheu vor frei herumlaufenden Neonazis Ausdruck zu verleihen. Die sächsische Polizei des Preisträgers hat sich im Vorbeigehen die Mobilfunkdaten einer ganzen Großdemonstration verschafft und kann jetzt auswerten: Wer war dabei? Von wann bis wann? Mit wem hat wer telefoniert? Wie und in welchen Gruppen haben sie sich bewegt?

Das, was die sächsische Polizei mit den Funkzellenabfragen erreicht hat, ist nichts anderes als eine „spontane Vorratsdatenspeicherung“. Hatte das Bundesverfassungsgericht nicht gerade ein Jahr zuvor die gesetzliche Regelung der Vorratsdatenspeicherung verworfen?

Der sächsische Datenschutzbeauftragte – so etwas wie die Stimme der Vernunft im Lande – musste dazu erschüttert feststellen, dass man sich über die Verhältnismäßigkeit der Maßnahme offenbar keine Gedanken gemacht hatte.

Unser Preisträger ist kein Mann aus dem Sicherheitsapparat, sondern ein Mann der Verwaltung. Er schmückt sich auf seiner Ministeriumswebsite damit, dass er aus der Region stammt und Oberbürgermeister einer örtlichen Kreisstadt war: „Mit dem Ohr nah am Herz der Menschen in dieser Region“ – Gleichwohl ließ er es an Bodenständigkeit und Augenmaß leider fehlen und verteidigte zäh die Maßnahme seiner Beamten. Damit bescherte er dem Freistaat eine unwürdige Debatte, in der sich auch erwies, dass der Datenwahnsinn Komplizen hat. So meinte der Preisträger, dass seinen Beamten kein Vorwurf zu machen sei, da die Funkzellenabfragen ja von Staatsanwälten beantragt und von Richtern angeordnet worden seien. Die Richter und Staatsanwälte, auf die so die Verantwortung abgeschoben war, meinten ihrerseits, dass sie sich von Datenschützern keine Kritik gefallen lassen müssten. So wurde der schwarze Peter zum Wanderpokal – und die Daten sind bis heute nicht gelöscht.

Zu Lasten unseres Preisträgers geht daher auch, dass er und seine Komplizen es in den letzten vierzehn Monaten an jeglicher Einsicht haben fehlen lassen. Bis zuletzt werden weiter Anschlussinhaber ermittelt, während die Masse der Betroffenen davon, dass sie in den großen Fahndungsstaubsauger geraten sind, nie erfahren soll.

Herzlichen Glückwunsch, Herr Staatsminister Markus Ulbig!

Tadelnde Erwähnung: HP

Die Firma HP ist zu tadeln, da sie für die Rücksendung der Tonerkartuschen kein Rücksendeetikett mehr beilegt, sondern  weil sie – um ein solches online ausdrucken zu können – eine vorherige umfassende Dateneingabe verlangt. Dabei ist nicht nur die Anschrift, sondern es sind auch Telefonnummer und E-Mail-Adresse als Pflichtfelder gekennzeichnet. Abgesehen davon, dass der neue Prozess sehr umständlich ist, verletzt er auch den Grundsatz der Datensparsamkeit

Tadelnde Erwähnung: DAK

Aus ihrem BigBrotherAward 2008 für die unzulässige Weitergabe von Patientendaten von 200.000 chronisch kranken Versicherten an eine Privatfirma hat die DAK leider nichts gelernt. So verlangt sie rechtswidrig und unter Androhung von finanziellen Nachteilen von ihren Mitgliedern, dass diese nach einem Klinikaufenthalt ihre ÄrztInnen von der ärztlichen Schweigepflicht befreien, damit die DAK den Entlassungsbericht direkt bekommt. Dabei geht der Entlassungsbericht die Krankenkasse gar nichts an. Bei Zweifeln an der Abrechnung oder dem Gesundheits- bzw. Krankheitszustand des Mitglieds ist einzig und allein der Medizinische Dienst der Krankenkassen (MDK) berechtigt, in ärztliche Unterlagen Einsicht zu nehmen. Daher sind Entlassungsberichte ausschließlich direkt an den jeweiligen MDK zu senden! Für dieses datenschutzwidrige Verlangen ist die DAK zu tadeln!

Trends: DATEV

In Service- und Callcentern ist derzeit der Trend zu beobachten, dass zur lückenlosen Überwachung und detaillierten Leistungskontrolle der Telefonsupport- und Callcenter-MitarbeiterInnen immer mehr Daten zum Telelefonierverhalten erfasst, ausgewertet und jahrelang gespeichert werden soll. So verlangte ein Telekommunikationsdienstleister von einem Callcenter, dass die Bewertungsbögen, die im Rahmen der Auswertung der aufgezeichneten Gespräche zur Qualitätssicherung erstellt wurden, erst drei Monate nach Beschäftigungs-Ende des jeweiligen Callcentermitarbeiters (nicht nach Projekt-Ende!) gelöscht werden. Erst durch den energischen Widerspruch des Datenschutzbeauftragten des Callcenters konnte der Auftraggeber bewegt werden, sich mit einer maximalen Aufbewahrungsdauer von maximal 12 Monaten zu begnügen, unabhängig von der Beschäftigungsdauer. Dies ist nur eines von vielen Beispielen. Auch bei internen Telefonsupportabteilungen werden in vielen Unternehmen wesentlich mehr Daten über das Telefonierverhalten gespeichert als erforderlich. So plant beispielsweise die DATEV die Einführung von SAM, eines „Informationssystems zur Servicesteuerung“, das unter anderem pro Mitarbeiter 13 personenbezogene Kennzahlen und Präsenzinformationen zur Verfügung stellt.

Der BigBrotherAward 2011 in der Sonder-Kategorie „Neusprech“ geht an das Wort Mindestspeicherdauer.

"Was jemand willentlich verbergen will, sei es vor anderen, sei es vor sich selber, auch was er unbewusst in sich trägt: Die Sprache bringt es an den Tag. Die Aussagen eines Menschen mögen verlogen sein – im Stil seiner Sprache liegt sein Wesen hüllenlos offen."

Diese Sätze schrieb der Sprachwissenschaftler Victor Klemperer vor 64 Jahren. Sie sind heute so aktuell wie damals.

Das harmlos daherkommende Wort "Mindestspeicherdauer". Ein deutscher Innenminister schlug vor, dieses Wort als Synonym des schönfärbenden Ausdrucks "Vorratsdatenspeicherung" zu verwenden. Weil es so schön sachlich klinge.

Ihm war dabei sicher nicht bewusst, dass sich in eben dieser Sachlichkeit vor allem eines zeigt: Verachtung. Verachtung für die Menschen und für ihre Rechte.

Wer ein solches Wort verwendet, um eine grundlose, immerwährende und vollständige Überwachung und Bespitzelung jeder elektronischen Kontaktaufnahme zu beschreiben, der hat offensichtlich nichts übrig für demokratische Ideale wie Menschenwürde, Redefreiheit und Unschuldsvermutung.

Und er hält eben diese Menschen noch dazu für dumm. Denn er versucht, eine von vielen abgelehnte Praxis mit einer neuen Verpackung zu versehen in der Hoffnung, die Bürger werden das vergammelte Fleisch schon essen, wenn es nur hübsch umwickelt ist.

Das alles zeigt sich an dieser harmlos wirkenden und doch so technokratischen Umschreibung der Hortung von Verbindungsdaten.

Sprache bringt es an den Tag.

Sprache ist ein Machtinstrument. Wenn wir frei über unsere Zukunft entscheiden wollen, wenn wir eine Wahl haben wollen, was wir tun und was wir lassen, müssen wir uns solcher Machtinstrumente und ihrer Wirkungen bewusst sein. Wir müssen uns klar machen, was ein Sprecher tatsächlich beabsichtigt.

Ein BigBrotherAward für Wörter wie "Mindestspeicherdauer" kann dabei helfen. Er kann uns aufmerksam machen, uns sensibilisieren, uns zum Nachdenken anregen. Gegen die Verachtung wird er nicht viel ausrichten. Eines aber kann er bewirken: das wir uns nicht für dumm verkaufen lassen.

Herzlichen Glückwunsch, Ihr Sprachschöpfer, damit beim BigBrotherAward erwähnt zu werden.

Der BigBrotherAward 2011 in der Kategorie „Kommunikation“ geht an die Apple GmbH in München für die Geiselnahme ihrer Kunden mittels teurer Hardware und darauf folgende Erpressung, den firmeneigenen zweifelhaften Datenschutzbedingungen zuzustimmen.

Ein iPhone ist ein schickes Teil und kostet einige Hundert Euro. Natürlich möchte man das iPhone auch für alles Mögliche nutzen. Dafür hat man es gekauft. Nach dem ersten Einschalten begrüßt einen das Gerät mit der Aufforderung, seine „Apple-ID“ einzugeben. Oder wenigstens sein Benutzerkonto für iTunes (Apples Online-Shop für Musik, Filme und Software) bekannt zu geben. Ohne diese Angaben kann man mit dem Gerät gerade noch so telefonieren. Mehr aber auch nicht. Jedenfalls nicht die ganzen Funktionen nutzen, wegen derer man sich ein iPhone gekauft hat. Da die Vorfreude auf das Gerät groß ist, will man sich als Käufer nicht lange mit dem Kleingedruckten - immerhin 117 Seiten auf dem kleinen Display - beschäftigen. Sollte man aber. Vor allem mit dem Kapitel „Datenschutzrichtlinie“.

Dort erlaubt sich das Unternehmen, die Daten des Kunden mit „[mit Apple] verbundenen Unternehmen […] aus[zu]tauschen und sie nach Maßgabe dieser Datenschutzrichtlinie [zu] nutzen“. Dabei geht es nicht nur um eine Kreditkartennummer, um eventuelle Kaufvorgänge von Musik abzuwickeln, sondern um „[…] Daten wie namentlich Beruf, Sprache, Postleitzahl, Vorwahl, individuelle Geräteidentifizierungsmerkmale sowie Ort und Zeitzone, wo Apple Produkte verwendet werden“. Apple möchte damit „das Verhalten [seiner] Kunden besser verstehen und [seine] Produkte, Dienste und Werbung verbessern“.

Darüber hinaus kann Apple „präzise Standortdaten erheben, nutzen und weitergeben, einschließlich des geographischen Standorts Ihres Apple-Computers oder Geräts in Echtzeit.“

Wenn eine Firma solche Daten speichern möchte, dann erfordert das Bundesdatenschutzgesetz dafür eine ausdrückliche Einwilligung des Nutzers. Ein einfaches „ich stimme zu“-Häkchen während des Update-Vorgangs des Telefons dürfte dafür nicht reichen. Völlig unklar ist auch, wie man einen Widerspruch gegen die Datenweitergabe erklären kann. Das Bundesdatenschutzgesetz sieht in §4a ausdrücklich eine Freiwilligkeit bei der Einwilligung vor. Wenn man sich vorstellt, dass man gerade ein Gerät für mehrere hundert Euro gekauft hat und dieses vielleicht gar nicht nutzen kann, wenn man mit den „Datenschutz“-Bedingungen nicht einverstanden ist, dann ist die Freiwilligkeit der Einwilligung sehr fraglich.

Grundsätzlich stellt sich die Frage, was man eigentlich kauft, wenn man sich ein solches Technik-“Gadget“ zulegt. Welche Rechte hat man als Käufer? Kann man es als einen „Defekt“ reklamieren, wenn unter Umständen sogar nachträglich die Geschäftsbedingungen zu ungunsten des Kunden geändert werden? Apple scheint sich seiner Sache sicher zu sein – und die meisten Kunden werden es mit einem Grummeln schlucken.

Andere Hersteller zeigen, dass man ein solches Produkt auch ohne die zwangsweise Einvernahme der Kundendaten anbieten kann. Bei Apple hat man als Kunde jedoch keine Wahl. Man ist gezwungen, Software über iTunes bzw. den AppStore zu installieren und damit dessen Bedingungen anzuerkennen. Friss oder stirb.

Apples Firmenstrategie scheint darauf ausgelegt zu sein, möglichst viele Daten der Nutzer zu erfassen, ähnlich wie es soziale Netzwerke auch tun. Werbepartner freuen sich darauf, mit Hilfe von Apple möglichst zielgruppengerechte und standortbezogene Werbung auf dem Telefon anzeigen zu können.

Da sich offenbar nicht genug Kunden bei Apple über die Praxis bei der Verwendung der Kundendaten beschwert haben, tun wir dies hiermit und verleihen den BigBrotherAward in der Kategorie Kommunikation an die Apple GmbH in München.

Der Big Brother Award 2011 in der Kategorie „Verbraucherschutz“ geht an den Verlag für Wissen und Innovation, Herrn Horst Müller (Starnberg), für das Abschöpfen von Adressdaten von Schülern und Eltern als Gegenleistung für Büchergutscheine.

Meine Damen und Herren,

Sie wissen es alle: Schülerdaten sind in Deutschland gesetzlich geschützt. Und dies aus gutem Grund: Die Schule ist kein Tummelplatz für den Kommerz und Eltern sollen ihre Kinder der Schule anvertrauen können, ohne dass sie nachher nicht mehr wissen können, wer was über sie und ihre Kinder weiß. Bei Werbe- und Finanzdienstleistern aber sind die Namen und Adressen von Schülern und ihren Eltern heiß begehrt, denn welches werbende Unternehmen möchte nicht die Verbraucher von morgen schon heute am Schultor abholen können? Zumal, wenn die Daten der Eltern gleich mitgeliefert werden. Nun, wir hoffen, dass tatsächlich viele Unternehmen dieser Verlockung widerstehen.

Nicht so aber unser Preisträger, der Verlag für Wissen und Innovation in Starnberg. Dieser arbeitet mit einem höchst unerfreulichen Datensammlungsmodell: Er verschickt an Schulen Gutscheine für Bücher angesehener Kinder- und Jugendbuchverlage mit der freundlichen Bitte, diese Gutscheine doch in den Schulklassen zu verteilen. Als kleine Draufgabe gibt es für die Schule gleich auch ein Buchgeschenk und die Teilnahme an einer Verlosung. Auch die kooperativen Lehrer bekommen ein Buch geschenkt. Für die Schüler und ihre Eltern hat das Geschenk aber einen klitzekleinen Haken: Geschenkt bekommt nur, wer Namen und Anschrift des Kindes und mindestens eines Elternteils dem großzügigen Spender mitgeteilt hat.

Bis hierhin passiert nichts im Geheimen, und sogar der Anruf für ein Telefoninterview zum Thema „Lernen-Gesundheit-Zukunft“ wird nicht nur im Kleingedruckten angekündigt. Was die Eltern aber nicht erkennen können: Der spendable Verlag vertreibt selbst gar keine eigenen Bücher, dafür kooperiert er aber mit Anlageberatern und einem Hersteller von Vitaminpillen. Und da sind sie auch gleich wieder, die drei Sorgenkinder junger Eltern: schulische Lernleistung, Gesundheit und die – finanzielle – Zukunft. Dahinter steht, frei nach Amazon, der Gedanke: „Menschen, die Schulbücher kaufen, kaufen auch Versicherungspolicen und Gesundheitsartikel“.

Legal? Illegal? Wer Eltern von Grundschulkindern mit Sachbüchern lockt, um damit an die Daten der kleinen Konsumenten von morgen und ihrer Eltern zu kommen, hat sich – so oder so – einen Big Brother Award in der Kategorie „Verbraucherschutz“ verdient.

Warum vergeben wir heute gleich den Höchstpreis für eine Geschäftspraxis, die man im Internet millionenfach als „Honeypot“ kennt? Wir haben uns entschieden, dafür einen Hauptpreis zu vergeben, weil wir in Erinnerung rufen müssen, dass der Big Brother Award in der Kategorie „Regional“ im Jahr 2005 nicht aus Spaß vergeben wurde. Damals wurden die Grundschule Bünde-Ennigloh und die Volksbank und die Sparkasse Herford prämiert. Dafür, dass die Banken sich von der Schule die Schülerdaten übermitteln ließen. Und auch damals waren schon Buchgeschenke an Lehrer und Eltern ein probates Zugmittel.

Es ist der Jury übrigens nicht bekannt geworden, dass sich beispielsweise die Schulaufsicht damals der Sache angenommen hätte. Wir wiederholen uns nur ungern und auch nur, wenn es pädagogisch unbedingt notwendig ist. Also aufgepasst, Aufsichtsbehörden, Schulleitungen, Schülervertretungen und Eltern: Achten sie auf unseren diesjährigen Preisträger und die, die es ihm gleichtun. Fangen sie am besten gleich morgen damit an.

Herzlichen Glückwunsch an Herrn Horst Müller mit seinem Verlag für Wissenschaft und Innovation in Starnberg!

Der BigBrotherAward 2011 in der Kategorie „Technik“ geht an die Modemarke Peuterey, vertreten durch den deutschen Vertreiber, die Düsseldorfer Modeagentur „Torsten Müller“.

Er erhält diese Negativ-Auszeichnung, weil seine Agentur die Kleidung der italienischen Modemarke Peuterey mit einem verdeckt integrierten RFID-Funkchip in Verkehr bringt, der berührungslos auslesbar ist, ohne dass die Kunden das bemerken können. Der Aufnäher, der diesen „Schnüffelchip“ enthält, wird – ohne Hinweis auf den verborgenen Chip – mit dem Satz „Don’t remove this label“ bedruckt. Damit greifen die Agentur und der Hersteller massiv in die informationelle Selbstbestimmung der Kundinnen und Kunden ein.

Angenommen, ich schaue mir hier im Raum eine Person aus. Sie zum Beispiel. Ich gebe Ihnen den Namen 27BStrich6. Und ich installiere in Ihrer Kleidung eine kleine Abhörwanze, die mir in unregelmäßigen Abständen Ihren Aufenthaltsort zusendet. Dann weiß ich, wo Sie sich, also die Person, der ich die Nummer 27BStrich6 gegeben habe, tagsüber und nächstens aufhalten.

Ich glaube, wenn Sie das wüssten, hätten Sie ein ganz komisches Gefühl in der Magengrube. Und da wäre Ihnen auch egal, ob ich nun weiß, dass Sie Hans oder Gabi heißen. Und es ist Ihnen auch egal, ob ich persönlich das weiß, oder nur meine riesige Datenbank. Es ist Ihnen auch egal, ob ich beteuere, Ihnen mein Ehrenwort gebe, diese Informationen gar nicht auszuwerten. Ich KÖNNTE diese Informationen auswerten. DAS zählt: Sie wollen nicht, dass ich Sie mit einer Wanze ausstaffiere und ich Ihnen einen Namen gebe, der nicht Ihr Name ist, sondern meine Bezeichnung für Sie. Es ist eine Bezeichnung, die ICH Ihnen gegeben habe, um Macht über Sie auszuüben, und gleichzeitig will ich Sie glauben machen, dass sie nichts von mir zu befürchten haben.

Warum erzähle ich Ihnen das? Weil eine junge Frau, ich nenne sie mal Jana Sorglos, in Bielefeld einkaufen gegangen ist. Sie kauft in einem Laden namens „Brooks“ in Bielefeld eine Jacke der Marke Peuterey. Die Jacke ist nicht besonders schön, aber dafür auch nicht billig, was es wieder ausgleicht. Sie bezahlt die Jacke. An der Kasse wird eine Diebstahlsicherung entfernt. Jana Sorglos geht nach Hause. Sie ist eine sehr sorgfältige Frau. Später auf dem Sofa betrachtet sie ihre Einkaufsbeute, genießt die Glückshormone und entfernt anhängende Etiketten – weil das immer komisch aussieht, wenn so ein Etikett beim Tragen noch aus dem Kragen heraushängt. Außerdem hat sie mal mitbekommen, dass in solchen Etiketten Schnüffelchips drinstecken können, die irgendwie Daten raussenden und mit denen man ihr auf Schritt und Tritt folgen könne. So genau kann sie sich nicht dran erinnern. Aber da gab’s schon mal einen BigBrotherAward, im Jahr 2003 …

Was Jana nicht ahnt: Flach im Rückenteil der Jacke ist ein viereckiges Stoffetikett fest eingenäht. Es sagt uns nochmal, wie toll diese großartige Jacke ist, dass die Jacke eigentlich für Seefahrer ist und dass sie eine Seriennummer hat. Zum Beispiel: 27BStrich6. Und es steht noch was drauf: „Don’t remove this label“ („Auf keinen Fall entfernen!“). Was nicht drauf steht – Sie ahnen es schon – ist, dass dieses Etikett einen Schnüffelchip enthält.

Einen Schnüffelchip. Deutsch ausgesprochen RFID oder amerikanisch RFID, wir können auch Funkchip sagen. Er ist z.B. in Universitätsausweise integriert (und wird dort Mifare genannt), in vielen Bibliotheken verbreitet, ins Hotelzimmerschlüsselkärtchen eingebaut, wird uns mit der Bahncard100 untergeschoben und heißt im Smartphone NFC (Near Field Communication). Das Problem: Diese Schnüffelchips bestehen grob gesagt aus drei Teilen: Dem eigentlichen Chip, dieser enthält eine fest ab Fabrik eingebaute Seriennummer, und an das Ganze ist dann noch eine kleine Antenne angelötet. Und Dank internationaler Standardisierung muss jedes Lesegerät, an dem ich vorbei komme, die Nummer des Chips auslesen, auswerten, wegwerfen – oder abspeichern. Wo ich gehe und stehe – überall da, wo solche Lesegeräte installiert sind (und es werden immer mehr) – hinterlasse ich meine Nummer: 27BStrich6 … 27BStrich6 … 27BStrich6 … Und diese Nummer gehört nur mir, nur in dieser einen Jacke. Die Jacke daneben hatte schon eine andere Nummer bekommen. Das nennt man „Item-Level-Tagging“, also die Praxis, jedem Produkt eine ganz individuelle Nummer zu geben. Dadurch werde genau ich durch meine Jacke eindeutig identifizierbar.

Eine Firma, die so etwas versteckt in Verkehr bringt und nicht einmal durch Aufdruck darauf hinweist, sondern stattdessen auch noch „Don’t remove this label“ auf das Etikett schreibt: Dieser Firma gebührt auf jeden Fall ein BigBrotherAward.

Was da momentan passiert, ist schlimm. Jana Sorglos hat Recht. Es gab bereits einen BigBrotherAward zum Thema RFID. Die Metro AG hatte den 2003 bekommen, und in der Laudatio damals beschrieben wir ein ausgedachtes Szenario:

„Die Supermarkt-Fachkraft Gerd J. ist begeistert von der neuen Technik. Das lästige An-der-Kasse-Sitzen fällt weg, die Regale sind leichter befüllbar, die Lager effektiver genutzt. Als er abends nach Hause kommt, liegt dort ein Brief seiner Geschäftsleitung mit einer Abmahnung. Er sei in den vergangenen Wochen durchschnittlich 9 Mal auf der Toilette gewesen und habe dort pro Tag ca. 72 Minuten zugebracht. Das liege 27 Minuten über dem Soll und diese Zeit werde ihm zukünftig von seinem Arbeitszeitkonto abgezogen. Entsetzt sucht er seinen Supermarkt-Kittel ab und findet einen RFID im Kragensaum.“

Das hatten wir gar nicht erfunden. Chips im Kragen gab’s damals schon. Aber mittlerweile ist die Technik fortgeschritten. Nehmen Sie mal ein 1-Cent-Stück in die Hand. Schauen Sie auf die Vorderseite – also da, wo die Zahl drauf steht – wenn Sie genau gucken, sehen Sie auf der rechten Seite der Münze die Abbildung einer kleinen Weltkugel. Das ist etwa die Größe eines Chips, den die Firma Deister Elektronic in Wäscheetiketten klebt. Der besondere Clou: Die notwendige Antenne, die eine gewisse Größe haben muss, ist bereits Teil des Wäschetikett-Gewebes. Dieser Chip ist so klein, den finden Sie quasi nur noch per Zufall, wenn man Ihnen ein solches Kleidungsstück unterjubelt. 2003 waren die kleinsten experimentellen Chips mindestens Reiskorn-groß oder z.B. bei der Metro-AG so groß wie ein Fingernagel.

RFID-Chips sind auch nicht mehr so schwach wie damals, 2003, als die Metro AG mit Chips experimentierte, die auf der Frequenz 13,56 MHz funkten. Seitdem sind Reichweite und Zuverlässigkeit der Schnüffelchips immens gewachsen. Machten wir uns früher lustig über die Technik, die weder hinten noch vorne funktionierte, so bleibt uns das Lachen heute im Halse stecken. Denn heute kann ich mit einem Handlesegerät an einem Kleiderständer im Laden entlangstreifen und das Gerät erfasst im Vorübergehen sämtliche Kleidungsstücke.

Peuterey ist ein kleines Label – andere arbeiten damit im großen Stil. Die Firma Gerry Weber führt dieses System gerade in ihren Läden ein. Alle Kleidungsstücke werden in den Waschinformationsetiketten mit RFID-Chips versehen und kommen so ausgestattet in die Läden. Das diene dem Diebstahlschutz, sagte uns die Firma. Und in jedem Laden kann abends schnell Inventur gemacht, der Soll-Bestand mit dem Ist-Bestand abgeglichen werden. Anders als die Firma Peuterey hat Gerry Weber sich allerdings Gedanken um den Datenschutz gemacht. Sie haben sich mit Experten des FoeBuD getroffen und ihr Konzept offen gelegt. Einige Vorschläge des FoeBuD haben sie auch gleich umgesetzt. Aber an der wichtigsten Stelle sind sich Gerry Weber und wir vom FoeBuD nicht näher gekommen: Schnüffelchips fest eingenäht in Kleidung sind ein so genanntes No Go. Die Gefahr, die wir sehen, ist die zunehmende Kontaminierung der Welt mit Seriennummern. Die 27BStrich6 wird da und dort auftauchen. Vielleicht erst einmal nur unbeabsichtigt. Aber je mehr Daten sich anhäufen, desto mehr werden die Begehrlichkeiten geweckt, aus diesen Daten Informationen zu schürfen und zu verwerten. Wir bleiben bei unserer Forderung: RFID-Chips von der Herstellung bis zum Lager des Ladens sind Ok. Aber im Verkaufsraum selbst darf kein Chip mehr drin sein.

Die Metro gaukelte uns 2003 zum Beispiel vor, die Chips seien elektronisch abschaltbar. Das war in der uns damals präsentierten Umsetzung reine Augenwischerei, reicht aber auch nicht aus. Welcher Kunde kann schon nachprüfen, ob eine Abschaltung wirklich funktioniert? Woher soll ich wissen, ob man den kleinen Schnüffler nicht genauso elektronisch und heimlich wieder einschalten kann? Bislang hat auch kein Hersteller ein Konzept vorgelegt, bei dem die gechippten Etiketten außen angebracht sind und nicht nur auf Wunsch der Kundin, sondern IMMER entfernt werden. Modebranche aufgemerkt! – Lesen Sie es von meinen Lippen ab: Wenn schon Funkchips an der Kleidung (oder anderen Waren) angebracht sind, dann MÜSSEN diese an der Kasse oder vor dem Versand entfernt werden.

Hier hat auch Gerry Weber sich noch nicht bewegt. Deshalb werden wir wohl Druck machen müssen, vor Gerry-Weber-Läden Mahnwachen aufstellen und die Öffentlichkeit auf diese Art auf diese Herausforderung aufmerksam machen.

Ich halte Gerry Weber für eine nach guter ostwestfälischer Tradition mittelständisch seriös geführte und kritikfähige Firma. Ich glaube Gerry Weber, dass sie nicht vorhaben, „Böses“ mit den ganzen gesammelten Nummern zu machen. Aber es ist nur 7 Jahre her, dass mir der damalige EDV-Leiter der Firma versicherte, dass sie unser internationales Positionspapier kannten und sie deswegen nur recyclebare Anhänger mit Schnüffelchip an die Kleidung anbringen würden. Nun ist da ein neuer EDV-Leiter, jetzt sind es doch nicht mehr die Anhänger, sondern eingenähte Waschetiketten mit RFID. Was wird der nächste EDV-Leiter beschließen?

Und wenn Gerry Weber noch so seriös ist: Wenn das Konzept, das die Firma eingeführt hat, technisch und finanziell funktioniert, dann werden die ganzen unseriösen, gierigen und verantwortungslos handelnden Unternehmen auch nach diesen Chips geifern. Diese werden die Chips einsetzen, ihre Kunden nicht informieren und die Chips an der Kasse nicht herausschneiden. So breitet sich dann immer mehr eine zur Ausforschung und Überwachung nutzbare Struktur aus. Wenn Sie, die Inhaberin der Nummer 27BStrich6 durch eine Innenstadt gehen, wird Ihr Weg nachverfolgbar sein. Die Leute, die die Macht, also den Datenbestand besitzen, den die Lesegeräte eingesammelt haben, diese Leute werden Ihnen wie perfekte Stalker hinterherschnüffeln. Irgendjemand wird diese Daten kaufen und irgendwas damit machen. Irgendwas, was ich mir heute noch gar nicht ausdenken kann, was mir aber bereits jetzt ein heftiges mulmiges Gefühl in der Magengrube verschafft.

Deshalb brauchen wir Gesetze. Wir brauchen Gesetze, die die Peutereys, die Kicks, die Lidls, die Ernstings Families, und, ja, auch die Gerry Webers dazu zwingt, ihre Anwendungen so zu gestalten, dass von ihnen keine Gefahr für das Menschsein ausgeht.

Sie fragen sich sicher, warum wir Gerry Weber nicht den BigBrotherAward verleihen. Nun, sie hatten das Glück, dass jemand die Modefirma Peuterey nominiert hat. Und wir finden es weitaus schlimmer, dass so eine Firma quasi Spionagewanzen in Umlauf bringt. Und der deutsche Hauptvertrieb der italienischen Modefirma sitzt in Düsseldorf, eben jene Modeagentur Torsten Müller, die für die Verbreitung in Deutschland verantwortlich ist und sich dafür nun über den BigBrotherAward freuen darf.

Die Arbeit für eine überwachungsfreie Welt geht weiter. Für heute aber bleibt mir erst mal nur noch zu sagen:

Herzlichen Glückwunsch zum BigBrotherAward 2011 der Kategorie Technik, Herr Müller.