ULD-SH
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
www.datenschutzzentrum.de/

Dies ist unser Webangebot mit Stand 27.10.2014. Neuere Artikel finden Sie auf der ├╝berarbeiteten Webseite unter www.datenschutzzentrum.de.

Die Fußball-WM als Überwachungs-Großprojekt

Thilo Weichert
Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD)

 

"Die Weltmeisterschaft wird von Sponsoren und Überwachungsindustrie missbraucht, um Schnüffeltechnik einzuführen und die Fans auszuspionieren". Diese Vermutung von Rena Tangens vom FoeBud e.V. in Bielefeld wird vom Bündnis Aktiver Fußball-Fans (BAFF) geteilt. Deren Sprecher Jörg Höfer meint: "Wenn Fußballfans nur die Wahl haben, teilweise sehr persönliche Daten preiszugeben, ohne zu wissen, wer darauf Zugriff hat, oder eben keine Tickets zu bekommen, wird die Verhältnismäßigkeit der Mittel nicht gewahrt und das Grundrecht auf informationelle Selbstbestimmung verletzt".   Und aktuell wird wieder der frühere Leiter des ULD in der Presse zitiert, der schon vor einigen Monaten in einem ARD-Interview meinte, an der Fußball-WM entlarve sich, dass die RFID-Technik nur ein Ziel habe: Das Tracking von Menschen, also das Verfolgen und Erstellen von Bewegungsprofilen (zit. nach www.foebud.org).

Im Folgenden wird näher untersucht, ob diese kritischen Stimmen zum Ticketverkauf für die Fußballweltmeisterschaft 2006 zutreffen.

 

I. Das Konzept

Vom 01.02.2005 an können Tickets für die Fußball-Weltmeisterschaft in Deutschland im Jahr 2006 bestellt werden. Damit beginnt die erste von vier Verkaufsphasen, deren letzte am 15.04.2006 beendet sein soll. Kurz vor dem Bestellbeginn veröffentlichte das Organisationskomitee Deutschland FIFA Fussball-Weltmeisterschaft Deutschland 2006 (OK) die Allgemeinen Vertragsbedingungen sowie die gesamte Verkaufs- und Kontrollstrategie. Diese ist von zwei Zielsetzungen beseelt: Die größtmögliche Sicherheit soll in den Stadien gewährleistet werden. Außerdem soll der Schwarzhandel mit den Tickets ausgeschlossen werden. Um diese Ziele zu erreichen, setzt das Organisationskomitee, das rechtlich Teil des Deutschen Fußballbundes (DFB, Otto-Fleck-Schneise 6, 60526 Frankfurt am Main) ist, auf die Personalisierung der Tickets: Bei der Bestellung der Tickets müssen die Interessentinnen und Interessenten Identifizierungsdaten angeben. Die Tickets erhalten einen RFID-Chip, über den eine eindeutige Zuordnung zu der durch das Ticket berechtigten Person hergestellt werden kann, da sämtliche Berechtigte in einer DFB-Datenbank gespeichert werden. Die Ticket-Kontrolle erfolgt per RFID-Leser an den Eingangsschleusen der Stadien. Möglich sind auch im Vorfeld von Spielen außerhalb der Stadien Kontrollen, bei denen die in der DFB-Datenbank gespeicherten Angaben mit denen auf möglichst mitzuführenden Personalausweisen oder Reisepässen abgeglichen werden sollen.

Schon das Grundkonzept muss aus Datenschutzsicht hinterfragt werden. Es ist nicht nachvollziehbar, weshalb eine vollständige Personalisierung sämtlicher Stadionbesucher erfolgen muss. Die Zielsetzung, Schwarzhandel zu verhindern, erscheint insofern nur vorgeschoben. Hierfür wäre die umfassende Personalisierung auch unverhältnismäßig. Tatsächlich scheinen zwei Gründe im Vordergrund zu stehen:

Zum einen ist die Personalisierung der RFID-Tickets ein Großprojekt zur Förderung dieser Technologie im Konsumentenbereich. So sinnvoll die RFID-Technologie in vielen Wirtschaftssektoren sein mag, z.B. bei der Logistik, so gefährlich ist sie bei der Personalisierung, insbesondere wenn dadurch im weitesten Sinn allgemein Verbraucherinnen und Verbraucher betroffen sind. Die Personalisierung verfolgt unzweifelhaft das Ziel der Manipulation und der Kontrolle der Verbraucherverhaltens, zielt also letztendlich statt des selbstbestimmten anonymen Konsums auf den fremdbestimmten Konsum. Die RFID-Technologie, eingesetzt in Produkten, auf Kundenkarten oder eben auf personalisierten Tickets, ist wie keine andere geeignet, diese Konsumentenkontrolle zu verwirklichen.

Mit der Personalisierung der Tickets soll der "gläserne Fußballfan" mit dem Ziel erhöhter Sicherheit in den Stadien Realität werden. Stadienverbote sollen dadurch effektiv umgesetzt werden; durch die Möglichkeit des Abgleichs mit Gewalttäter- und Hooligan-Dateien meint man, mehr Sicherheit zu schaffen. Überwachung ist nicht mit Sicherheit gleichzusetzen. Diese Vorstellung wäre eine gefährliche Illusion. Im Vorfeld des Stadionbesuchs besteht keine Vorlagepflicht des Tickets. Kontrollen können hier problemlos allein über Ausweiskontrollen realisiert werden. Wegen des Massenandrangs an den Nadelöhren der Ticketprüfung an den Stadioneingängen können dort keine Personenkontrollen durchgeführt werden. Allenfalls Stichprobenkontrollen sind möglich. Dies bedeutet: Hooligans können sich problemlos Tickets dadurch beschaffen, dass sie sich durch nicht vorbelastete Personen bestellte Karten weitergeben lassen, ohne dass ein großes Entdeckungsrisiko besteht. Statt der trügerischen Sicherheit durch Totalpersonalisierung sollten von Veranstaltern und Polizei die klassischen Sicherheitsmaßnahmen ergriffen werden: Erkennbare Präsenz von Sicherheitspersonal, das deeskalierend interveniert.

Ergebnis ist, dass schon das Gesamtkonzept der Ticketvergabe mit dem Datenschutz nicht vereinbar ist. Verletzt wird insbesondere der Grundsatz der Datenvermeidung und Datensparsamkeit (§ 3a BDSG). Dieser verlangt, dass bei unterschiedlichen Konzeptalternativen jeweils die gewählt werden muss, bei der am wenigsten personenbezogene Daten erhoben werden und dadurch die geringstmögliche Überwachung der Menschen stattfindet.

 

II. Der Bestellvorgang

Die Bestellung der Tickets wird über Formulare ermöglicht, die verschickt werden und im Internet verfügbar sind und ausgefüllt per Post verschickt werden können. Möglich ist auch die Online-Bestellung über Internet oder die Bestellung per Fax. Die Zusendung der Bestätigung der Berücksichtigung bei der Kartenverteilung erfolgt entweder per Email oder per Post. Über Internet wird auch die Möglichkeit eröffnet, jederzeit den Status der eigenen Bestellung festzustellen und zu verfolgen. Die Bezahlung soll in jedem Fall bargeldlos erfolgen, wobei es drei Alternativen gibt. Erste Priorität hat das Bezahlen mit einer bestimmten Kreditkarte, der MasterCard. Ist eine solche nicht vorhanden, so können Bestellungen in Deutschland nur über ein Banken-Lastschriftverfahren vorgenommen werden. Lediglich für Bestellungen aus dem Ausland wird auch die Bezahlung per Überweisung akzeptiert.

Aus Datenschutzsicht ist das Bestellformular zu kritisieren: Selbst wenn eine personalisierte Bestellung akzeptiert würde, so wird ein Übermaß an Daten erhoben. Es ist überhaupt nicht erkennbar, weshalb das genaue Geburtsdatum angegeben werden muss. Dieses Datum ist für die Werbebranche von goßem Wert, weil hierüber Datenbanken miteinander verknüpft werden können. Für die Kartenbestellung ist es überflüssig. Hier würde die Feststellung der vollen Geschäftsfähigkeit, also die Angabe "älter als 18 Jahre" ausreichen.

Ebenso nicht erforderlich erscheint die Angabe der Personalausweis- oder Passnummer mit genauen Angaben zur Nationalität, zur ausstellenden Behörde und zum Ausstellungsdatum. Das Organisationskomitee erklärte, dass es diese Nummer nicht als Ordnungsmerkmal nutzen werde. Deren Verwendung zum Erschließen von Dateien wäre unzulässig (§§ 3 Abs. 4, 4 Abs. 2 PAuswG). Die Polizei dürfte zwar die Ausweisnummer überprüfen. Dieser gegenüber besteht aber außerhalb des Stadions keine Pflicht zur Vorlage des Tickets. Auch für Zwecke der Polizei macht die Nummer keinen rechten Sinn. Bisher ist nicht bekannt, dass geplant ist, dass die Daten (sämtlicher?) Ticketbewerber präventiv an die Polizei übermittelt werden, um an Hand dieser Datenbestände Hooligans herausfiltern. Ein solches Vorgehen wäre auch unzulässig: Da die dateimäßige Erfassung der Ausweisnummer zunächst durch das Organisationskomitee erfolgt, wäre schon ein Verstoß gegen § 4 Abs. 2 PAuswG gegeben, da der Zweck der Speicherung die Verknüpfung mit Polizeidateien ist. Aber auch diese Verknüpfung wäre unzulässig, da die Daten auf Grund eines Vertrages bzw. per Einwilligung erhoben werden. Nicht einmal im Kleingedruckten der Vertragsformulare ist aber ein Passus zu entnehmen, dass (sämtliche ?) Ticket-Bewerber polizeilich gegengecheckt würden bzw. werden dürften. Die in den Datenschutzbestimmungen enthaltetene Formulierung ("Der DFB (OK) ist berechtigt, diese Daten an Sicherheitsbehörden zu übermitteln, soweit dies im Einklang mit den gesetzlichen Vorschriften erforderlich ist") gibt für einen Abgleich nichts her. Eine anlasslose Übermittlung an die Polizei ist eben weder erforderlich noch gesetzlich vorgesehen. Eine solche Rasterfahndungsmaßnahme wäre von Polizeiseite nach dem jeweiligen Polizeirecht zu beurteilen. Danach, z.B. in Schleswig-Holstein (vgl. § 195 LVwG SH), wäre der Datenabgleich i.d.R. nicht zu rechtfertigen. Hinzu kommt, dass in den einschlägigen Polizeidateien, z.B. über Hooligans, die Personalausweisnummer überhaupt nicht vermerkt sind.

Korrekt ist auf dem Formular der Hinweis, dass die Angabe von Telefonnummer, Faxnummer und Email-Adresse freiwillig ist. Weshalb diese Daten (außer Email-Adresse) nötig oder zumindest sinnvoll sein könnten, ist aber nicht erkennbar. Die für die Online-Kommunikation genutzte Email-Adresse bietet eventuell einen Komfortvorteil (vgl. FAQ Nr. 15 u. 33, abrufbar unter www.fifaworldcup.yahoo.com/o6/de/tickets/faq.html). Deren Nutzung zwecks Unterrichtung von Nachrückern bei der Vergabe von Ticketrückläufen entspräche dem vertraglichen Zweck und ist datenschutzrechtlich unproblematisch. Doch für Telefon- und Faxnummerangaben besteht zudem eine eher gefährliche Nutzungsoption: deren Verwendung für Werbezwecke, nachdem die Daten an interessierte Firmen weitergegeben wurden. Den Ticket-Bestellern ist im Zweifel zu raten, hier keine Angaben zu machen.

Als Pflichtfeld vorgesehen ist die Angabe, für welche Nationalmannschaft man "Fan" ist. Auch diese Angabe ist im Grunde nicht nötig. Zweck der Angabe ist offensichtlich, Tickets bestimmten Fan-Blocks zuzuordnen. Dies kann, auch aus Sicherheitsgründen, sinnvoll sein. Wer nicht möchte, dass seine Sympathien für eine bestimmte Mannschaft bekannt werden, der kann und der sollte das Kästchen "neutral" ankreuzen.

Folgt man der Logik, dass sämtliche WM-Besucher eindeutig identifiziert sein müssen, so ist es logisch, dass nicht nur der Besteller seine Personalien angeben muss, sondern dass auch diese Daten von weiteren Besuchern erhoben werden. Konsequent ist weiterhin, dass im Formular folgende Erklärung abverlangt wird: "Sofern meine Ticketbestellung auch Tickets für Dritte beinhaltet, erkläre ich, dass mich diese Personen ausdrücklich ermächtigt haben, die vorgenannten Bedingungen und Richtlinien auch in deren Namen anzuerkennen und diesen Personen vollständig zur Kenntnis zu bringen werden". Papier ist geduldig. Da ohne diese Erklärung keine Tickets für Dritte bestellt werden können, werden alle diese unterschrieben. Ebenso sicher ist, dass diese Erklärung von den meisten Bestellern nicht beachtet werden wird. Da dies der DFB weiß bzw. wissen muss, muss er sich Mängel bei der Einbeziehung der Dritten zurechnen lassen. Dies gilt in jedem Fall für die Werbenutzung der Drittdaten (dazu näher unten).

Nicht mit den Regelungen zur Datensparsamkeit (§ 3a BDSG) vereinbar ist die vorgesehene elektronische Zahlungsart. Deren Konsequenz ist, dass in jedem Fall sensible Bankdaten offenbart werden müssen. Inwieweit der vorrangige und ausschließliche Einsatz einer Kreditkarte (MasterCard) rechtlich zulässig ist, ist weniger eine datenschutz- als eine wettbewerbsrechtliche Frage. Der Umstand, dass keine anonyme Art der Bezahlung (Bargeld oder Prepaid-Geldkarte) zugelassen wird, ist ein eindeutiger Verstoß gegen den Grundsatz der Datensparsamkeit. Gerade bei einem Monopol-Marktangebot, wie es der DFB-Ticket-Verkauf darstellt, müssen anonyme Zahlalternativen angeboten werden. Zusätzlich nicht einsehbar ist, weshalb das die Selbstbestimmung der Betroffenen stärker einschränkende Lastschriftverfahren gegenüber dem datensparsameren Überweisungsverfahren vollständig vorgezogen wird. Den Betroffenen wird die Wahlfreiheit zwischen Lastschrift oder Überweisung genommen. Die vorgesehene Hierarchie der Zahlungsarten mag für den DFB am praktischsten sein, für den Betroffenen bedeutet dies, dass er solche Verfahren nutzen muss, bei denen am wenigsten seine informationelle Selbstbestimmung beachtet werden.

Die Einwilligungserklärung zur Nutzung der Daten für Werbezwecke dürfte aus mehreren Gründen unwirksam sein, mit der Folge, dass eine Werbenutzung der Daten aus Datenschutzsicht zu beanstanden wäre. Zwar hat der DFB richtig erkannt, dass überhaupt eine Einwilligung erforderlich ist und dass eine Widerspruchslösung nicht ausreichend gewesen wäre. Doch leidet die genutzte Einwilligungserklärung an rechtlichen Mängeln.

Der erste Mangel besteht darin, dass keine Wahlmöglichkeit besteht zwischen reinen DFB-Informationen und der Übermittlung der Daten "für Werbezwecke an Offzielle Partner/Nationale Förderer und an die FIFA".

Der zweite Mangel besteht darin, dass an dieser Stelle nicht erkennbar ist, wer die Sponsoren sind und man hierfür auf die Homepage der FIFAworldcup.com verwiesen wird. Da viele Fußballfans kein Internet haben dürften, sind diese von einer eigenen Informationsmöglichkeit völlig abgeschnitten. Ebenso unklar ist für den normalen Fußballfan, wer sich genau hinter der "FIFA" verbirgt. Problematisch ist weiterhin, dass keine abschließende Datenübermittlung zugesichert wird. Es ist nicht ausgeschlossen, dass die Empfänger die Werbedaten an weitere Dritte weitergeben. Der Verweis auf die "anwendbaren Datenschutzbestimmungen" hat keinerlei Aussagekraft geschweige denn eine eingrenzende Wirkung.

Der dritte und wesentlichste Mangel der Einwilligungserklärung besteht darin, dass direkt unter dem Kästchen, das man ankreuzen soll, wenn man "mit der werblichen Nutzung der Daten einverstanden" ist, folgender Text vor der abschließenden Unterschrift des Bestellers abgedruckt ist: "Zustimmung und Unterschrift - Bitte beachten Sie dass für eine Bestellung die Zustimmung zur Speicherung der persönlichen Daten und zu den ATGBs/Verkaufsrichtlinien unbedingt notwendig ist". Dieser Text ist insofern falsch, als für die zur Abwicklung des Ticket-Vertrages eine separate Zustimmung überhaupt nicht erforderlich ist. Der Vertragsabschluss legitimiert eigenständig die hierfür nötige Datenverarbeitung (§ 28 Abs. 1 Satz 1 Nr. 1 BDSG). Diese falsche Darstellung wäre unschädlich, wenn sie nicht direkt über dem Feld zur Einwilligung in die Werbenutzung stehen würde. Selbst ein kritischer Ticketbesteller kann durch diese Formulierung nur den - falschen - Eindruck haben, "unbedingte" Voraussetzung für die Ticketbestellung wäre das Ankreuzen der Einwilligung für die Werbenutzung. Jedenfalls entstehen durch die Formulierung Zweifel. Um nicht Gefahr zu laufen, bei der Ticketvergabe unberücksichtigt zu bleiben, werden selbst Menschen, die keine Werbung haben wollen, hier ein Kreuz setzen. Dem Besteller hätte zumindest unmissverständlich mitgeteilt werden müssen, dass der Ausschluss von Werbung keinerlei Nachteile bei der Ticketbestellung zur Folge hat.

Der vierte Mangel der Einwilligung in die Werbung besteht darin, dass die Einbeziehung Dritter in die Werbenutzung ungenügend ist. Zwar bezieht sich das Einverständnis auf die Datenangaben der Dritten. Eine Wahlmöglichkeit ist aber insofern nicht vorgesehen. Diese wäre aber dringend nötig gewesen, da davon auszugehen ist, dass nicht alle von einer Bestellung zugleich erfassten Personen einen einheitlichen Willen bzgl. der Werbezusendung haben. Hinzu kommt, dass der Besteller bei einem Ankreuzen zur Werbenutzung allenfalls seine eigenen Daten im Blick hat. Ihm wird nicht bewusst sein, dass er insofern auch eine Einwilligungserklärung für Dritte abgibt. Hieran ändert auch die Erklärung nichts, dass diese Personen ihn "ausdrücklich ermächtigt haben". Dies kann sich nur auf die Ticketbestellung, nicht aber auf die Einwilligung zur Werbenutzung beziehen. Konsequenz des vierten Mangels ist, dass in keinem Fall die Daten der Besucher für Werbezwecke genutzt werden dürfen.

 

III. Die weitere Datenverarbeitung

Als Datenverarbeiter im Auftrag des DFB (OK) wird - soweit aus der Presse bekannt - die Firma CTS EVENTIM AG tätig. Diese hat eigene Allgemeine Geschäftsbedingungen, die teilweise weiter gefasst sind als die des DFB (OK) (abrufbar unter www.eventim.de). In den   AGB zum Datenschutz VII.2. wird die Nutzung von Kundendaten für Werbezwecke generell erlaubt, "solange der Kunde nicht widerspricht". Weiter heißt es dort: "Diese Einwilligung kann von Ihnen jederzeit ohne Angaben von Gründen widerrufen werden." Es ist äußerst fraglich, ob diese AGB wegen ihrer rechtlichen Fehlerhaftigkeit (z.B. die Formulierung "Diese Einwilligung...") aus materiellrechtlichen Gründen überhaupt Wirksamkeit entfalten kann. Die AGB werden, soweit bisher erkennbar, nicht wirksam in die WM-Ticket-Kunden-Verträge einbezogen. Wegen ihrer Widersprüche zu den AGB des DFB wären sie insofern auch unwirksam.

In den "Datenschutzbestimmungen FIFA Fussball-Weltmeisterschaft 2006" ist die falsche Information enthalten, der RFID-Chip enthalte keine personenbezogene Daten (ebenso Nr. 47 FAQ). Auf dem Chip werden zwar weder Name noch sonstige Identitätsdaten gespeichert, doch handelt es sich bei der Kennnummer des Chips um ein personenbeziehbares Datum. Durch die Darstellung des DFB kann leicht der Eindruck entstehen, dass auf den Einsatz des RFID-Chips das Datenschutzrecht überhaupt keine Anwendung findet. Dieser Eindruck ist nicht richtig. Über die eindeutige Kennnummer auf dem RFID-Chip werden sämtliche in einer Datenbank des DFB erfassten Antragsdaten erschlossen und sind online abrufbar.

In der Öffentlichkeit wurde vom DFB (OK) die Behauptung verbreitet, die Tickets seien nicht fälschbar, weil jeder Chip weltweit eine fortlaufende Nummer bekommt und deshalb einmalig sei (so z.B. SZ 25.01.2005, 33). Diese technische Aussage kann vom ULD derzeit nicht verifiziert werden. Falsch ist aber, dass wegen der Einmaligkeit der RFID-Nummer eine Fälschung nicht möglich sei. Mit Hilfe einer Chipkopie ist es in jedem Fall möglich, vor dem tatsächlich Berechtigten das Stadion zu betreten. Es bedarf weiterer Untersuchungen, inwieweit durch zusätzliche Datensicherheitsmaßnahmen Vorkehrungen gegen Fälschungen, also das Kopieren der RFID-Chip-Nummern getroffen wurden.

Die Problematik der RFID-Technologie besteht darin, dass die Transponder-Chips, so die Angaben des DFB, noch aus einer Entfernung von 10 cm unbemerkt ausgelesen werden können. Wer also Zugriff auf die DFB-Ticket-Datenbank hat und die Chips ausliest, kann genau zuordnen, wer der Berechtigte für die Karte ist und wo sich der jeweilige Mensch gerade aufhält. Wäre an jedem Sitzplatz im Stadion ein RFID-Leser angebracht, so könnte präzise lokalisiert werden, welcher Fußball-Fan auf welchem Platz sitzt und auch, wann er - z.B. aus Begeisterung - von seinem Platz aufgesprungen ist. Technisch überprüft werden sollte, ob durch leistungsfähigere Lesegeräte ein Auslesen auch aus einer größeren Entfernung möglich ist.  

Gemäß Nr. 51 der FAQ werden die Daten für die Zugangskontrolle im Oktober 2006 nach der Weltmeisterschaft gelöscht. Die Bestellungsdaten richten sich nach den gesetzlichen Aufbewahrungsfristen für solche Papiere (nach Steuerrecht bzw. Handelsgesetzbuch). Keine Angaben machen die vorliegenden Unterlagen zu der Löschung der Daten von denjenigen Ticket-Bestellern, die beim Verkauf nicht berücksichtigt wurden. Diese Daten müssten nach Datenschutzrecht nach Ende der jeweiligen Verkaufsphase gelöscht werden, soweit die Daten nicht mehr für die Vergabe von Tickets benötigt werden (§ 35 Abs. 2 BDSG). Hieran ändert auch die Einwilligung zur Nutzung der Daten für Werbezwecke nichts, da gemäß den obigen Ausführungen diese Einwilligungserklärungen rechtswidrig und daher unwirksam sind.

Eine geradezu satirefähige Formulierung enthält schließlich Nr. 8 der Allgemeinen Ticket-Geschäftsbedingungen. Dort heißt es: "Jeder Ticketinhaber willigt unwiderruflich und für alle gegenwärtigen und zukünftigen Medien ein in die unentgeltliche Verwendung seines Bildes und seiner Stimme für Fotografien, Live-Übertragungen, Sendungen und/oder Aufzeichnungen von Bild und/oder Ton, die vom OK oder dessen Beauftragten in Zusammenhang mit der Veranstaltung erstellt werden". Die AGB dürfte aus mehreren Gründen unwirksam sein. Dies dürfte aber keine Rolle spielen, da auch bei Unwirksamkeit dieser Klausel praktisch keine Einschränkungen für die Presse-, Funk- und Fernsehberichterstattung entstehen. Insofern haben die Medien aus eigenem Recht die notwendigen Befugnisse. Es ist nicht zu vermuten, dass an jedem Platz eine Kamera und ein Mikrophon installiert wird, mit denen der Zuschauer für mediale Zwecke überwacht wird. Die AGB würden dies erlauben. Was die darin verwendete Formel zeigt, ist etwas anderes: Die kommerzielle Vermarktung scheint dem DFB (OK) wichtiger zu sein als die Rechte seiner Kundinnen und Kunden.