Trittbrett für Datenkraken – Mit Fragebögen und RFID-Tickets zum Daten-Weltmeister

von padeluun, FoeBuD e.V.

Was könnte es Besseres geben für die Befürworter eines Überwachungsstaates als ein Riesen-Fußball-Ereignis mit Millionen begeisterter Menschen, die für ihren Fußball wirklich alles tun würden – auch ohne nachzudenken sich freiwillig überwachen zu lassen. Das Ticket-System der WM macht’s möglich.

Zur Weltmeisterschaft wartet das Organisationskomitee der FIFA – sprich der Deutsche Fußballbund (DFB) – mit einem elektronischen Ticketsystem auf. Die Karten sind mit einem RFID-Chip versehen, der beim Eintritt ins Stadion ausgelesen wird und sie eindeutig einer bestimmten Person zuordnet. Die dafür nötigen Daten lieferten die Fans selbst: Sie mussten bei der Kartenbestellung einen umfangreichen Fragebogen ausfüllen. Glaubt man den Fußballfunktionären, dann soll dieses System zwei Funktionen erfüllen: Erstens sicherstellen, dass bekannte „Hooligans“ und Gewalttäter keinen Zugang zu den Stadien erhalten, und zweitens den üblichen Schwarzmarkt ausschalten. Das System bedient jedoch nicht nur den völlig überdrehten Sicherheitswahn, sondern vor allem die Werbeinteressen der Sponsoren, die zumindest einen Teil der Kundendaten erhalten werden.

In ganz besonderer Weise profitiert die Firma Philips, die die RFID-Chips auf den WM-Tickets produziert und ebenfalls zu den WM-Finan­ciers gehört. Für sie ist die Fußball-WM ein ideales Projekt, um die in der hiesigen Bevölkerung nach wie vor herrschenden berechtigten Bedenken gegen die Schnüffelchips zu zerstreuen. Sie kann die Angst vor „Hooligans“ und Terror nutzen, um RFID (Radio Frequency Identification) als „Sicherheitstechnik“ zu verkaufen. Und der Wunsch der „Fans“, live dabei zu sein, wird sicher größer sein als ihre Sorge, ausspioniert zu werden.

Darum aber geht es bei dieser Technik. „Es kommt gar nicht mehr drauf an, wer die Karte hat, die Karte ist nicht das Entscheidende. Welche Person ist im Stadion, das will man damit feststellen können“, sagte Helmut Bäumler, damals Datenschutzbeauftragter von Schleswig-Hol­stein, schon am 9. Februar 2004 in einem ARD-Interview: „Und so sehr ich Verständnis dafür habe, dass man Fußball-Rowdies rechtzeitig abwehren und erkennen möchte, hier sieht man ganz genau, wohin diese Technologie führt, nämlich zur Überwachung von Menschen.“

Welche Daten werden erhoben?

Der Fragebogen zur Ticketbestellung, der entweder per Internet oder per Post eingereicht werden konnte, forderte von den Kaufwilligen nicht nur jene Informationen, die für den eigentlichen Bestellvorgang ausgereicht hätten – nämlich Name, Vorname und genaue Adresse. Einsehbar vermag die Frage erscheinen, welche Mannschaft man unterstützen will. Welcher Fan möchte unter den Anhängern der rivalisierenden Elf sitzen? Hier konnten die KartenbestellerInnen auch „neutral“ eingeben.

Verpflichtend waren allerdings ebenso das Geburtsdatum und die Staatsangehörigkeit. Bei Internet-Buchungen musste die E-Mail-Adresse angegeben werden, die Nennung der Telefonnummer blieb freiwillig. Da die Bezahlung nur per Kreditkarte (nur MasterCard) oder Bankeinzug, nicht aber bar oder wenigstens per Überweisung möglich war, mussten die Interessierten auch diese Daten liefern.

Ein Muss war schließlich ferner die Nummer des Personalausweises oder Reisepasses, da – so der DFB in seinen Antworten auf die „häufig gestellten Fragen“ (FAQ) – „nur so eine eindeutige Identifizierung der Person und ihre Zuordnung zu den Personenangaben der Ticketkäufer möglich“ sei.[1] Renate Hillenbrand-Beck vom Regierungspräsidium Darmstadt, der zuständigen Aufsichtsbehörde, schrieb dazu noch am 25. Januar 2005, sechs Tage vor Beginn der Bestellphase: „Die sicherheitsbehördlich geforderte Erhebung der kompletten Personalausweis- und Passnummern ist mit einem Fragezeichen zu versehen. Hierzu wird der Bundesbeauftragte für den Datenschutz eine Abstimmung mit dem Bundesministerium des Innern herbeiführen.“[2] Im Fragebogen ist die Personalausweisnummer aber keineswegs mit einem Fragezeichen versehen, sondern mit einem Sternchen für „notwendige Angabe“.

Wer für weitere Personen – sog. Besucher – Karten mitbestellte, musste auch für sie sämtliche Pflichtdaten samt einer Vollmacht zu deren Weitergabe mitliefern. Wie das gehen sollte, ohne gleichzeitig einem möglichen (vielleicht sogar gut gemeinten) Missbrauch Vorschub zu leisten, war bisher nicht herauszufinden.

Wer erhält die erhobenen Daten?

Viele der hier geforderten Daten machen für die Ausgabe von Tickets, selbst wenn sie personalisiert sind, keinen Sinn, wohl aber für die Werbewirtschaft und das Marketing der Sponsoren. Die werden sich an den Daten derer gütlich tun, die das Kästchen „werbliche Nutzung“ mit einem bejahenden Häkchen versehen haben. Die Möglichkeit, der werbenden Nutzung der Daten nicht zuzustimmen, wurde erst in den Fragebogen aufgenommen, nachdem FoeBuD und das schleswig-holstei­nische Datenschutzzentrum protestiert hatten und der Verband der Verbraucherzentralen mit Klage drohte.[3]

Herren über die Daten sind die FIFA und der DFB. Das Regierungspräsidium Darmstadt schreibt: „Die FIFA ist der eigentliche Hauptveranstalter der WM, aber der Ticketverkauf erfolgt durch den DFB (durch das bei ihm angesiedelte Organisationskomitee). Der DFB ist also der verantwortliche Vertragspartner.“ Welche Verträge über Weitergabe der Daten aus der Ticket-Datenbank FIFA und DFB geschlossen haben, ist nicht bekannt. Zugriff auf die Daten dürften auf jeden Fall diejenigen Firmen erhalten, die im Auftrag des DFB handeln: das Unternehmen, welches das Ticketing Center betreibt, und die privaten Sicherheitsdienste, die im Auftrag des Organisationskomitees für Ordnung in den Stadien sorgen sollen und u.a. die Einlasskontrollen vornehmen.

Sicher ist auch, dass der DFB die Bestellerdaten mit denen seiner Stadionverbote (und denen der anderen Fußballverbände) abgleicht. In den FAQ heißt es dazu, dass Bestellungen abgelehnt würden, „wenn sie von einer oder für eine Person getätigt werden, die von einem nationalen Verband oder einer anderen Behörde vom Besuch von Fußballspielen ausgeschlossen wurde oder wenn Bestellungen von Personen getätigt werden, von denen bekannt ist, dass sie in der Vergangenheit die sichere Austragung eines Fußballspiels gestört haben.“[4]

Daten über letzteren Personenkreis führt aber vor allem die Polizei, insbesondere in der Datei „Gewalttäter Sport“. In den Datenschutzerklärung auf der Ticket-Homepage zur WM heißt es denn auch: „Der DFB (OK) ist berechtigt, diese Daten an Sicherheitsbehörden zu übermitteln, soweit dies im Einklang mit den gesetzlichen Bestimmungen erforderlich ist.“[5] Im Nebelkerzenspiel um die Daten vermutet der FoeBuD daher, dass auch ein Abgleich mit den Daten der Polizei erfolgt. Die Polizei wird auch während der WM ihren Datenbestand laufend um Fans erweitern, die ihr bei und im Umfeld der Spiele im Zusammenhang mit Gewalttätigkeiten auffallen. Anzunehmen ist daher, dass sie den Stadionsicherheitsdiensten auch diese neuen Daten weiterliefern wird, um den Zugang registrierter Personen zu weiteren Spielen zu stoppen.

Unklar bleibt, ob und an welche anderen Behörden oder ausländische staatliche Stellen Daten übermittelt werden. Der Pressesprecher des Organisationskomitees, Gerd Graus, erklärte nur[6]: „Daten werden nur an staatliche Organisationen weitergegeben, sofern die gesetzliche Grundlage dafür vorhanden ist. Weitergehende Weiterleitungen dürfen selbstverständlich nur mit ausdrücklicher Zustimmung des Kartenkäufers erfolgen.“

Welche Daten sind auf dem Chip?

Hartnäckig kursiert das Gerücht, dass auf den Chips wahrscheinlich doch die Personalausweisnummer des Ticket-Eigentümers gespeichert wird. Die beteiligten Datenschutzbehörden haben das mittlerweile dementiert. Dass dieses Datum zumindest lange im Gespräch war, belegt eine Aussage von Peter Büttgen, dem Sprecher des Bundesdatenschutzbeauftragten. Im Januar 2005 sagte er gegenüber ddp, dass „die letzten vier Ziffern (der Ausweisnummer) auf der Karte … vollkommen ausreichen“ würden.[7]

Auch ohne die Speicherung der Personalausweis- oder Passnummer sind die Angaben des DFB pure Augenwischerei. In seiner Antwort auf die FAQ Nr. 45 behauptet der Verband: „Auf dem Chip werden keine personenbezogenen Daten gespeichert. Lediglich eindeutige Angaben zur Registrierung beim Ticketkauf und die Spielinformationen sind auf dem Chip vorhanden. Der Chip ist der Schlüssel für den Zugang zum Stadion.“

Die Speicherung von Namen und anderen Angaben aus der Ticketdatenbank auf dem Chip ist gar nicht nötig, denn die Kennnummer des Tickets ist nicht nur der „Schlüssel“ zum Stadion, sondern auch der Schlüssel zu den in der Datenbank gespeicherten weiteren Informationen zur Person, die damit online abrufbar sind. Wenn Letzteres nicht möglich wäre, dann wären auch die zumindest stichprobenartigen Überprüfungen der Personalausweise oder Pässe bei den Einlasskontrollen nicht durchführbar. Nach Angaben des Regierungspräsidiums Darmstadt können die Lesegeräte auch so eingestellt werden, „dass das vom DFB, bzw. dessen Dienstleister eingesetzte Personal zugleich die Personalien der betreffenden Person lesen und mit dem vorzulegenden Personalausweis abgleichen kann.“[8]

Wie kann der RFID-Chip bei der WM eingesetzt werden?

Bei den RFID-Chips auf den Tickets handelt es sich um solche mit dem Standard ISO 14443. Aus welcher Entfernung diese Chips gelesen werden können, hängt von der Antennenstärke ab. Um die Gefahr, ausspioniert zu werden, herunterzuspielen, behaupten auch offizielle Stellen immer wieder, dass die Lese-Entfernung nur 10-15 Zentimeter betrage. Das ist falsch! Bei Chips nach ISO 14443 spricht die Fachliteratur von maximal möglichen 1,7 Metern Lese-Entfernung (Stand 2004).[9] Das Bundesinstitut für Sicherheit in der Informationstechnik hat experimentell herausgefunden, dass der Lesevorgang mit einfachem Funkamateur-Equipment selbst aus einer Entfernung von acht bis zehn Metern abgehört werden kann.[10] Ein Mitarbeiter des Chip-Herstellers Philips sagte einer Mitarbeiterin des FoeBuD im persönlichen Gespräch, man sei erstaunt gewesen, „was amerikanische Geheimdienste durch das Abschalten von Sicherheitsfeatures aus den Chips herausholen könnten“.

Laut DFB wird der Chip nur bei der Zugangskontrolle eingesetzt: „Sobald der Ticketinhaber die Drehsperre passiert hat, wird auf dem Chip der Zutritt registriert. Damit wird gewährleistet, dass auch bei Ausfall des Netzwerkes die sogenannte ‚Anti-Pass-Back-Funktion‘ (Ver­meidung von unberechtigten Doppeleintritten) funktioniert.“[11]

Aufgrund der Reichweite des Chips können die Daten aber nicht nur ausgelesen werden, wenn das Ticket unmittelbar vor das Lesegerät gehalten wird, wie das vielfach behauptet wird. Das heißt jedoch auch, dass das Ticket und sein Chip nicht nur für die Einlasskontrollen taugen, sondern grundsätzlich überall dort, wo ein Lesegerät in der erforderlichen Nähe ist. Ob auch an anderen Stellen in den Stadien (z.B. vor jedem einzelnen Block) solche Geräte aufgestellt oder sogar die Sicherheitsdienste und Ordner mit mobilen Hand-Lesegeräten ausgestattet werden, wissen zur Zeit wahrscheinlich nur das WM-Organisationsko­mitee oder das Innenministerium. Je mehr Lesegeräte da sind, desto detaillierter werden die Personenprofile. Während die Zoom-Videoka­meras in den Stadien das Fehlverhalten von Zuschauern nur bildlich dokumentieren können, wäre über die Tickets zumindest theoretisch auch die Identifikation der Übeltäter möglich.

Wie wird es nach der WM weitergehen?

„Die Daten für die Zugangskontrolle werden nach der FIFA Fußball Weltmeisterschaft Deutschland TM (im Oktober 2006) gelöscht.“ Das bekundet der DFB in seinen FAQ (Nr. 49). Damit ist der Spuk aber noch nicht vorbei, denn gleich im nächsten Satz heißt es, dass „die Daten der Bestellung entsprechend den gesetzlichen Aufbewahrungsfristen für solche Papiere gespeichert“ bleiben. Das Steuerrecht bewirkt in diesem Fall jahrelange Aufbewahrungsfristen, die allerdings nicht für jene Besteller gelten, die gar keine Tickets erhalten haben. Zumindest diese Daten kann und muss der DFB unmittelbar nach dem Ende des Ticket-Verkaufs löschen.

Eine „nachhaltige“ Wirkung werden aber nicht nur die erhobenen Daten, sondern auch die RFID-Überwachungstechniken selbst haben. Die WM und der Fußball insgesamt setzen damit Maßstäbe, die demnächst auch auf andere Publikumsveranstaltungen Anwendung finden könnten. Das Organisationskomitee hat angekündigt, das Ticketing-System nach der WM an den DFB zu übergeben. Peter Büttgen vom Bundesdatenschutzbeauftragten bezweifelte die Verhältnismäßigkeit von RFID-Tickets für normale Bundesligaspiele. „Wenn man die Bedeutung des WM-Turniers berücksichtigt, dürfte die Verhältnismäßigkeit wohl gewahrt sein. Bei regulären Bundesligaspielen sollte diese Technik aber nicht angewandt werden.“[12]

WM-Spiele und damit „RFID-Erstausstattungen“ gibt es in insgesamt zwölf Stadien. Einige haben das neue Kartensystem bereits vor der WM eingeführt, darunter die Arena „Auf Schalke“ in Gelsenkirchen, das „Gottlieb-Daimler-Stadion“ in Stuttgart, das „Fritz-Walter-Stadion“ in Kaiserslautern sowie das Berliner Olympiastadion, das laut Netzeitung bereits in der Sommersaison 2005 mit den nötigen Drehkreuzen und Lesegeräten ausgestattet wurde. Auf den Zuschauerrängen sollte das Sicherheitspersonal auch mit Handlesegeräten durch die Ränge laufen, so Hertha-Geschäftsführer Ingo Schiller. Man werde sie aber „nur bedingt zur Überwachung einsetzen“.[13] In die schöne neue RFID-Welt steigen aber auch Stadien ein, die wie die Volkswagen-Arena in Wolfsburg nicht an der WM beteiligt sind. Uwe Kämpfe, Leiter des Ticketing beim VfL Wolfsburg, schwärmt laut Netzeitung von „vollständiger Kontrolle vom Verkauf bis ins Stadion.“ Der Stadionbetreiber könne genau sehen, wann wer durch welches Drehkreuz gehe. Außerdem sei geplant, dass Fans mit den RFID-Tickets auch bargeldlos bezahlen könnten, das Geld werde dann einfach vom Konto abgebucht.[14]

Der Chip im Fußball-Ticket bleibt ein teurer Werbegag für Totalüberwachung per RFID. Die Eintrittskartenbranche ist da mittlerweile schon ein Stück weiter. Statt mit RFID-Chips liebäugelt sie mit der Versendung der Eintrittskarte aufs Handy. Bei der Handy-Eintrittskarte ist die Überwachung allerdings noch ein bisschen totaler.

Mit zum Spaß gehört beim Fußballbesuch im Stadion, dass man viele Teile des eigenen Gehirns schlafen schickt und sich von der Begeisterung mitreißen lässt. Dieser Zustand sollte aber nicht länger als die neunzig Minuten des Spiels plus anschließenden Kneipenbesuch anhalten. Das Gehirn des Fußballfans sollte das Drumherum mitbekommen, und nach Einleiten des notwendigen Erkenntnisprozesses sollte mündiges Handeln folgen. Keinen Fußbreit dem Fußballismus!

[1] http://fifaworldcup.yahoo.com/06/de/tickets/faq.html
[2] Pressemitteilung des RP Darmstadt v. 25.1.2005, Az.: II21.4-3v 04/03 – 017/05
[3] Heise-News v. 18.2.2005
[4] FAQ Nr. 19, http://fifaworldcup.yahoo.com/06/de/tickets/faq.html
[5] http://fifaworldcup.yahoo.com/06/de/tickets/dpr.html
[6] silicon.de v. 10.5.2004, www01.silicon.de/cpo/_cfg/print.php?nr=14566
[7] Rheinische Post v. 25.1.2005
[8] Vortrag bei der Euroforum-Konferenz am Flughafen Frankfurt/M., 22.-24.11.2004
[9] Finkenzeller, K.: RFID-Handbuch, 3. Aufl., München 2002
[10] www.bsi.bund.de/fachthem/rfid/RIKCHA.pdf, vgl. c’t 2004, H. 25, S. 48
[11] http://fifaworldcup.yahoo.com/06/de/tickets/dpr.html
[12] Rheinische Post v. 25.1.2005
[13] Netzeitung v. 21.1.2005
[14] ebd.