Big Brother Awards 2022: BKA, Bundesdruckerei, Blockchain

Der bei den Ausgezeichneten nicht beliebte Überwachungspreis geht in diesem Jahr an BKA, Bundesdruckerei, Lieferando und Klarna – und ein besonderes Lebenswerk.

Lesezeit: 9 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 28 Beiträge

(Bild: : Whoopee Connections/Ilona Koglin/CC-BY 4.0)

Von
  • Detlef Borchers

Der Verein Digitalcourage vergibt am Abend in Bielefeld die Big Brother Awards 2022. Zu den nicht eben glücklichen Gewinnern zählen erwartbare Kandidaten wie die Bundesdruckerei mit ihrer Idee, digitale Schulzeugnisse mit einer Blockchain zu sichern. Aber es gibt auch Überraschungssieger wie das Bundeskriminalamt, das seit fünf Jahren dank einer "Übergangsvorschrift" beim Aufbau des Projekts "Polizei 2020" die Kennzeichnungspflicht für personenbezogene Informationen ignoriert.

Zwei Preisträger haben gegen die Auszeichnung mit dem Negativpreis Einspruch eingelegt. Ob sie zur Gala-Veranstaltung nach Bielefeld kommen und sich verteidigen, ist eine spannende Frage. Die vergnügliche Gala kann im Stream verfolgt werden.

Der Big Brother Award der Kategorie "Behörden und Verwaltung" geht in diesem Jahr an das Bundeskriminalamt für das Digitalisierungsprojekt "Polizei 2020". Das 2017 erstmals der Öffentlichkeit vorgestellte Projekt gehört zu den wichtigsten des cloudifizierten Staates. Das hochmoderne Vorgangsbearbeitungs- und Fahndungssystem wurde von BKA-Chef Holger Münch als "Digitales Haus der Polizei" bezeichnet.

Eigens für dieses Datenhaus wurde 2017 im BKA-Gesetz ein modernes Datenschutzkonzept entwickelt, das in Paragraph 14 verfassungskonform ausgestaltete Kennzeichnungspflichten für personenbezogene Informationen vorschreibt. Daten wie das Geburtsdatum oder die Staatsangehörigkeit, aber auch Rollen wie Zeuge, Beschuldigter oder Geschädigter sollten so gekennzeichnet werden, dass sie über Filter bei einem Suchlauf im Datenhaus ausgeschlossen werden.

Vor der Verabschiedung des BKA-Gesetzes wurde in letzter Minute ein Paragraph 91 hinzugefügt, der eine zeitlich nicht näher begrenzte "Übergangsvorschrift" enthält, laut der die Kennzeichnungspflicht entfällt. Die Begründung: Altsysteme, in denen solche Kennzeichnungen nicht möglich sind, müssten weiterhin betrieben werden, sonst würde die Funktionsfähigkeit der Polizei beeinträchtigt werden.

Seit fünf Jahren ist die Nicht-Kennzeichnung aktiviert und damit auch Bestandteil von neuen Ansätzen wie VeRA, der ""verfahrensübergreifenden Recherche- und Analyseplattform". VeRA wird federführend vom Land Bayern angeschafft und soll dann allen Polizeien, auch dem Bundeskriminalamt mit seinem gemeinsamen Datenhaus zur Verfügung stehen. In einem Whitepaper zu diesem Datenhaus heißt es dazu entschuldigend:

"Die Daten der Verbundteilnehmer (Bund und Länder) müssen 'umsortiert' und entsprechend markiert werden. Dies trägt im Übrigen zugleich den Entwicklungen im Kriminalitätsgeschehen Rechnung, die zeigen, dass Täter vielfach in unterschiedlichen Kriminalitätsbereichen aktiv sind (z.B. Rauschgift- und Waffendelikte). Die Speicherung erfolgt künftig zentral in einer Datenbank ('gemeinsames Datenhaus der deutschen Polizei')."

"Es ist das BKA, das die Gesamtverantwortung für 'Polizei 2020' trägt", begründet Laudator und Datenschutzexperte Thilo Weichert die Auszeichnung von Deutschlands höchster Polizeibehörde. "Das BKA hat die Gesamtverantwortung für INPOL sowie für viele weitere Systeme, bei denen die Kennzeichnungspflicht nicht umgesetzt ist – und letztlich auch für das Data-Mining-System VeRA." Damit kann das BKA in seiner Pokal-Vitrine in Wiesbaden eine zweite Statue aufstellen: 2002 gewann es einen Big Brother Award für das Anlegen von Präventiv-Dateien möglicher Unruhestifter und Gewalttäter.

In der Kategorie "Technik" hat die Bundesdruckerei den Preis für das Projekt eines digitalen Schulzeugnisses gewonnen, das einfach und fälschungssicher gespeichert werden sollte. Eine nähere Untersuchung des Projekts, insbesondere der Absicherung der Zeugnisse in einer Blockchain gab dem digitalen Zeugnis schlechte Noten. Die von Sicherheitsforschern aufgedeckten handwerklichen Fehler seien aber nicht ausschlaggebend für die Auszeichnung gewesen, weil sie nun einmal in jedem Pilotprojekt passieren können, erklärte Frank Rosengart vom Chaos Computer Club.

"Aber die Verwendung von Blockchain-Technik für die Echtheitsprüfung von Zeugnissen ist vollkommen fehl am Platz: Anstelle von klassischen, digital signierten Dokumenten, die seit vielen Jahren technischer Standard sind und die von allen mit einfacher Software geprüft werden können, drängt sich die Bundesdruckerei mit ihrem System als zentrale Prüfinstanz auf, die immer angefragt werden muss und an der kein Weg vorbeiführt", sagte Rosengart. "Denn die Blockchain mit den Prüfsummen soll nicht öffentlich sein – es kann also niemand außer der Bundesdruckerei die Echtheit der Zeugnisse prüfen." Für diese Verdrehung der Fälschungssicherheit digitaler Dokumente in ein Datenmonopol ist ein Big Brother Award genau der richtige "Stein des Anstoßes" zum Nachdenken darüber, wie man es besser (und ökologischer) machen kann.

Der Preis für das "Lebenswerk" hat eine große Spannbreite. Er wurde an Personen wie dem ehemaligen Innenminister Otto Schily (SPD) verliehen, aber auch an Firmen wie Microsoft. Diesmal darf sich eine europäische Behörde über den Preis freuen: Die irische Datenschutzbehörde "Data Protection Commission" (DPC) erhält den Big Brother Award nicht etwa für das gegen Meta verhängte Bußgeld von 17 Millionen Euro, mit dem sie unlängst für Aufsehen sorgte, sondern für eine ganze Reihe von Tricks, mit denen sie Verfahren verzögert oder Fälle ignoriert, die Datenschützer anderer Länder an sie abtreten müssen. So musste der deutsche Datenschützer Ulrich Kelber 50 Fälle an die DPC abgeben, von denen bislang keiner entschieden ist.

Wie Laudatorin Rena Tangens von Digitalcourage feststellt, ist zudem die Behördenleiterin Helen Dixon ein Bremsklotz. Sie sorge dafür, dass ihre Behörde wie ein schwarzes Loch funktioniere: "Sie nimmt an fast keiner gemeinsamen Sitzung der europäischen Datenschutzbeauftragten teil. Sie schickt meist einen Stellvertreter, der dann aber nichts sagen kann oder darf. Die Kommunikation auf der Leitungsebene ist damit schon mal tot." Damit habe sie sich ebenso wie ihre gesamte Behörde den Preis für das Lebenswerk redlich verdient und bekommt ihn gerade noch rechtzeitig. Denn mit dem gerade verabschiedeten Digital Services Act wird das "One-Stop-Shop-System" der Europäischen Datenschutzgrundverordnung, auf dem Irlands führende Rolle im Datenschutz beruht, weil die großen Player dort ansässig sind, aufgelöst.

Nach dem Comic-Hund Scooby, der überall und nirgends ist, soll die Software Scoober benannt worden sein. Sie überwacht die Rider vom Lieferdienst Lieferando auf Schritt und Tritt. Nach Recherchen des Bayerischen Rundfunks werden bei jeder Hauszustellung 39 Datenpunkte ausgewertet und über Jahre hinweg gespeichert. Gegenüber der Tagesschau sprach der Arbeitsrechtler Peter Wedde von einem gravierenden Verstoß gegen den Datenschutz.

In seiner Laudatio zitiert Wedde die Kurzprüfung von Scoober durch den Landesdatenschützer von Baden-Württemberg, der kurz und bündig erklärte: "Die äußerst engmaschige Überwachung des Nutzers (Übermittlung des GPS-Standorts ca. alle 15 bis 20 Sekunden an Scoober) ist eine nicht erforderliche und damit rechtswidrige Beschäftigtenüberwachung." Ergänzend bemängelt Wedde, dass die Erläuterungen zum Datenschutz der Scoober-App durch die niederländische Mutterfirma "Just Eat Takeaway" auf Englisch verfasst und nur mit guten Sprachkenntnissen verständlich sind. Auch das ist ein Verstoß gegen den deutschen Datenschutz.

Das Fazit des Arbeitsrechtlers: "Bei Lieferando könnte die permanente Standortbestimmung der Fahrerinnen und Fahrer in diesem Sinne ausnahmsweise zulässig sein, wenn ein Kunde für seine Gäste eine größere Lieferung mit Gold beschichteter Steaks anfordert." Da nur vereinzelt Profifußballer solch schräge Ideen haben, bleibe die Erhebung und Verarbeitung dieser Daten aus arbeitsrechtlicher Sicht unzulässig. Den Big Brother Award in der Kategorie "Arbeitswelt" hat sich Lieferando redlich verdient.

In der sehr beliebten Kategorie Verbraucherschutz hat es die Fintech-Firma Klarna geschafft, den Big Brother Awards des Jahres 2022 abzusahnen. Über Klarna gibt es viele unverfängliche Meldungen, etwa die über die Kooperation von Klarna und eBay. Oder die über die ach so praktische Klarna-App. Wer sie nicht nutzt, wird mitunter beim Klicken auf ein Sofort-Kaufen-Button auf Klarna stoßen, weil die Firma in vielen Online-Shops das Factoring übernommen hat und Ahnungslose zu ihren Bank-Konten weiterleitet.

Doch Klarna ist viel mehr als nur ein einfacher Zahlungsdienstleister, wie Laudator padeluun herausfand. Es ist auch ein Inkasso-Unternehmen, eine Endkundenbank, ein Preisvergleichsportal und eine Bonitäts-Prüfstelle, die das Kaufverhalten mit Scoring-Algorithmen erfasst. Das Unternehmen ist das viertgrößte Fintech der Welt und wird mit 10 Milliarden Dollar bewertet.

Besonders auffällig soll sich die Klarna-App verhalten, die padeluun selbst ausprobierte. Sie bleibt nach einem Zahlungsvorgang aktiv und stellt sich wie ein Browser dar. Als der Tester im beliebten Shop von Digitalcourage einkaufen wollte, ploppte die App auf und wollte die Zahlung übernehmen, obwohl Digitalcourage keine Klarna-Zahlung anbietet.

"Klarna drängelt sich ungebeten zwischen die Kundin und den Shop. So hätte Klarna eine Einmal-Kreditkartennummer generieren und für mich im Shop bezahlen können. Ich bin ja schon entsetzt genug, dass wir Paypal im Shop akzeptieren, und deshalb noch im Zahlungsvorgang davon abraten. Aber nun schlängelt sich auch noch Klarna ungebeten von außen rein?", fragt padeluun. Wenn einem so viel Schlechtes widerfährt, ist das einen Big Brother Award wert.

()