Wir machen mit!

Kreditwürdigkeits-Prüfer, Adressverkäufer und andere Informationshändler fusionieren zu Mega-Datenbanken und dienen als verlängerter Arm des Gesetzes. Ein Branchenporträt

Der Washington-Post Reporter Robert O’Harrow, Jr. beschreibt, wie es nach dem 11. September zu einem Bündnis zwischen privaten Informationsdiensten und der amerikanischen Regierung kam. Dabei zeigt er auch, wie im Zuge von Übernahmen und Allianzen kaum mehr als eine Handvoll von Datenbank-Betreibern mittlerweile detailgenaue Informationen über sämtliche US-Haushalt bereithält. Was als Jagd auf Terroristen beginnt, endet als Suche nach Kunden und Angestellten, die der Kriminalität nur verdächtigt werden – und keine Chance haben, sich zu wehren.

Da setzt sich ein Typ, zwei Tage nach den Anschlägen des 11. September, zuhause in seinem Schlafzimmer an seinen Computer und fängt an, Daten zu durchforsten. Denkt sich einen speziellen Such-Algorithmus aus, der auf die bekannten Kernelemente zurückgreift: ethnische Zugehörigkeit und Religion. Sein Rechner spuckt eine Liste mit 419 Personen aus – Personen, die als Attentäter in Frage kommen. Mitten in der Nacht, greift unser Mann zum Telefon und ruft einen Freund an. Der hat als Beauftragter der Strafverfolgungsbehörden von Florida ein offenes Ohr für die Nachricht und leitet sie in die richtigen Kanäle.

Binnen Tagen werden an das FBI, Geheimdienste und Polizei Passwörter verteilt, die Zugang zum Computersystem unseres Mannes verschaffen. Sogar einen Extrabüroraum richtet er für die Behörden ein. Jeb Busch, der Bruder des US-Präsidenten, ist bei einer Demonstrationsvorführung so von dem Computersystem angetan, dass er den Mann nach Washington einlädt. Im Oval Office gibt es dann noch eine Vorführung - mit Vizepräsident Dick Cheney, FBI-Direktor Robert Mueller und dem späteren Direktor des Heimatsicherheits-Ministeriums Tom Ridge. Man beschließt, gemeinsam ein System zu bauen mit dem Namen "Multi-State Anti-Terrorism Information Exchange". Der Name ist recht lang. Aber die Abkürzung aus einzelnen Initialen und Buchstaben ist kurz und einprägsam: MATRIX (vgl. Matrix II). Acht Millionen Dollar stellt die Regierung für das Projekt zur Verfügung.

Episoden aus der Welt der Datenhändler

Der amerikanische Journalist Robert O’Harrow, Jr., Reporter der Washington Post und Mitglied des Center for Investigative Reporting, hat in einem umfangreichen Buch zusammengetragen, wie nach den Anschlägen auf das World Trade-Center Adresshändler, Kreditwürdigkeits-Prüfer, Data-Miner und andere im Bereich "Sicherheit" tätige Unternehmen ganz aus eigenem Antrieb heraus sich ihren Datenbanken an der Suche nach den Attentätern beteiligt haben. Es geht um Freundschaften, Lobbyismus und Private-Public-Partnerschaften, um Karrierewege und Unternehmensgeschichten. Viele Einzelepisoden in "No Place to Hide" erzählen von den Verflechtungen der Sicherheitsindustrie mit der Regierung, von informellen Vereinbarungen, von großzügigen Hilfeleistungen – und von den lukrativen Aufträgen, die am Ende für die Sicherheitsindustrie dabei herausgesprungen sind.

Immer die gleiche Geschichte

Viele der Geschichten ähneln sich. Anstelle der Episode von unserem Mann Hank Asher, seinerzeit Chef des Datenbank-Unternehmens Seisint, hätte man ebenso gut auf die Geschichte des Geschäftsführers der Firma Acxiom zurückgreifen können. Auch der nimmt den Hörer zur Hand, um der Regierung die Hilfe seines Unternehmens anzutragen und wählt die Nummer eines Freundes: Bill Clinton. Der wiederum setzt sich umgehend mit dem damaligen Justizminister John Ashcroft in Verbindung. Der Deal ist geritzt.

Die gleiche Geschichte bei Lexis Nexis, dessen Analysten auf eigene Faust ein Haus in Florida ausfindig machten, welches sich mehrere der Entführer geteilt hatten. Auch Lexis Nexis verschenkt man Passwörter an Regierungsbeamte. Eine Downtown Disaster Task Force in Washington, D.C. wird eingerichtet, die Tag und Nacht geöffnet hat.

Datenbank-Betreiber spielen Polizei

Wie sich, von verschiedenen Basispunkten aus, eine riesige Maschinerie an Datenbankdiensten und Sicherheitstechnologie-Firmen in Gang setzt, um gemeinsam mit der US-Regierung die Terroristen des 11. September ausfindig zu machen und, später, Vorsorgemaßnahmen wie etwa das Programm zum Screening von Fluggast-Daten mit dem Namen CAPPS II (vgl. Von den "No Fly"-Listen zu "No Transportation"-Listen?)zu installieren – das alles liest sich schon beeindruckend. Wirklich Schwindel erregend sind aber nicht die Verflechtungen zwischen Industrie und Politik, sondern die Weise, wie private Datenbanken quasi Staatseigentum werden. Polizei und Ermittlungsbehörde können auf private Datenbanken zurückgreifen, die zu ganz anderem Zweck angelegt wurden. Dabei sind sie für die Zuverlässigkeit des Datenmaterials aber nicht verantwortlich und müssen sich auch nicht um die Einhaltung von Datenschutzbestimmungen sorgen.

Dieses Outsourcing geht so weit, dass Informationsdienste zuweilen selbst die Rolle von Strafverfolgern übernehmen. Eines der Beispiele, welches O’Harrow präsentiert, erzählt die Geschichte von jemandem, der sich bei dem privaten Autoverleih Acme Rent-A-Car einen Mietwagen leiht und beim Tanken Probleme mit seiner Kreditkarte bekommt. An Anruf bei der Bank klärt ihn auf. Sein Limit ist überzogen. Drei Mal ist ein Betrag in der Höhe von 450 Dollar eingezogen worden – als Strafe für Geschwindigkeitsüberschreitungen mit dem Mietwagen, zu zahlen an die Mietwagenfirma, welche ihre Fahrzeuge mit GPS ausstattet und Geschwindigkeitsüberschreitungen via Satellit beobachtet. Im Ernstfall können die Wagen sogar per Fernbedienung ausgeschaltet werden.

Choice Points Vorstrafenregister

Ein Unternehmen wie Acme Rent-A-Car ist nur ein kleiner Stein im großen Mosaik der Allianzen und Zusammenschlüsse zwischen Informationsdiensten verschiedenster Art, von denen "No place to Hide" Zeugnis gibt. Ein anderes Beispiel ist Choice Point, einer der größten und auch bekanntesten Anbieter auf dem Markt der Datenbanken. In den ersten sieben Jahren seiner Existenz schluckte Choice Point über fünfzig andere Informationsdienste, darunter die Credit-Reporting Agentur DATEQ, den Adresshändler Customer Development Corporation sowie die National Safety Alliance und die Firma Esteem, beide auf Einstellungschecks und Drogentests von Angestellten spezialisiert.

Später kam noch die Bode Technology Group hinzu, die das größte forensische DNS-Labor der Nation unterhält. Alles in allem, besitzt Choice Point mehr als 17 Milliarden Online-Datensätze. 40.000 kommen täglich hinzu. Auf mehr als 250 Terrabyte werden Daten über mehr als 200 Millionen Menschen gespeichert. Würde man all das ausdrucken, könnte man mit dem Papier eine Strecke pflastern, die so lang ist wie 77mal eine Hin- und Rückreise zum Mond.

Mit dieser immensen Ausstattung, berichtet O’Harrow, hat Choice Point mittlerweile auch ein privates Vorstrafenregister aufbauen können. Über fünf Millionen Einträge in Strafregistern seien durch Choice Point von Kunden im Jahr 2003 nachgefragt worden. Über 400.000 Fälle, wo jemand in den letzten sieben Jahren einen Eintrag in einem Strafregister erhalten habe, seien dabei zu Tage getreten. Eine durch Choice Point durchgeführte Untersuchung von 200.000 Big Brother-Kandidaten erbrachte 38 Mörder und 67 Fälle sexueller Belästigung. In einer anderen Studie zeigte Choice Point, dass einer von vier Pizza-Auslieferern erst vor kurzem im Gefängnis war – und zog das Fazit: "Würden Sie das Risiko eingehen, mit einer Firma Geschäfte abzuschließen die nicht ihre Fahrer eine Screening unterzieht?". Seit 2002 verkauft Choice Point Informationen nicht nur an Unternehmen, sondern auch an Privatpersonen. Ab 25 US-Dollar sind Akten über Einzelpersonen erhältlich.

Digitale Biographien

Unautorisierte "digitale Biographien" nennt der Jurist Daniel Solove die Informationen zu Millionen einzelner Bürger, welche Choice Point und Lexis Nexis, Wiland Services, Acxiom Com, Dennely, Double Click viele andere Unternehmen, in ihren Datenbanken verwalten. Daniel Solove, der als Professor an der George Washington University Law School lehrt, sieht in seinem neuen Buch The digital person die Gefahren von Mega-Datenbanken vor allem darin, dass falsche oder irreführende Angaben zu Personen gespeichert und weitergegeben werden – und dass aufgrund dieser Informationen wichtige Entscheidungen getroffen werden.

So verweigerte zum Beispiel eine Bank routinemäßig Studenten der Fächer Literatur, Geschichte und Kunst die Ausstellung von Kreditkarten – aufgrund der Annahme, dass Absolventen dieser Fächer später nicht in der Lage sein würden, ihre Schulden zurück zu zahlen. Dieses Verfahren war ein gut gehütetes Geschäftsgeheimnis der Bank – bis die Geschichte in die Medien gelangte. Andere Beispiele, von denen sowohl Daniel Solove wich auch Robert O’Harrow, Jr. erzählen, handeln von Menschen, die im Zuge des CAPPS-Programms zur Suche nach verdächtigen Flugpassagieren auf eine schwarze Liste gelangt waren – meist aufgrund von Namensvettern. In keinem der Fälle war es den Betroffenen gelungen, den Fehler zu berichtigen. Immer wieder von neuem mussten und müssen sie bei Reisen Kontrollen über sich ergehen lassen, die oft dazu führen, dass sie ihren Flug verpassen.

Flüchtigkeitsfehler

Daniel Solove fasst dieses mit Mega-Datenbanken verbundene Risiko in einem Zitat seines Kollegen Jeffrey Rosen (The naked crowd) zusammen:

In einer Welt kurzer Aufmerksamkeitsspannen, in welcher Informationen nur allzu leicht mit Wissen verwechselt werden, schützt uns Privatheit davor, falsch eingeschätzt und aus dem Zusammenhang heraus beurteilt zu werden.

Selbst aber, wenn Informationen unverfälscht gespeichert und ohne Missverständnisse verwendet werden, ist die Situation Besorgnis erregend. Robert O’Harrow weist darauf in den Worten von Chris Hoofnagle von der Bürgerrechtsorganisation EPIC hin:

[Megadatenbanken wie Choice Point] ermöglichen eine Effizienz in der Strafverfolgung, die von den Vätern der Verfassung nicht ins Auge gefasst wurde. Das verändert die Balance of Power.

Auch in Deutschland

In Deutschland und auch in den anderen europäischen Ländern stehen Datenschutz-Gesetze Geschäftspraktiken, wie sie bei amerikanischen Informationsdiensten üblich sind, im Wege. Das Gebot der Zweckbindung verbietet den ungehinderten Austausch von Informationen, und im Zuge von Auskunftsrechten haben Betroffene, im Prinzip zumindest, die Chance, zu erfahren, wer was über sie gespeichert hat und falsche Angaben zu ihrer Person zu berichtigen.

Dennoch bietet seit kurzem zumindest ein amerikanischer Informationsdienst seinen Service auch in Deutschland an. Einer Meldung im Handelsblatt zufolge hat die Firma World Compliance bereits einen Vertrag mit der dem Fondsanbieter MPC Capital geschlossen. World Compliance unterhält eine Datenbank aus Fahndungslisten, Berichten von Aufsichtsbehörden, Medienartikeln, Gerichtsurteilen und anderen öffentlichen Quellen. World Compliance bedient Banken, Versicherer, Investmenthäuser und Kanzleien. Für alle jene bietet World Compliance eine Kunden-Untersuchung an. Auch dies ist eine Art privatisierter Strafverfolgung: Mit Hilfe der Datenbanken sollen Kunden ausgesiebt werden, die wegen Korruption, Geldwäsche oder Terrorismus auffällig geworden sind.

Gesucht: Holger Pfahls

Im Muster kann man sich anschauen, wie eine World Compliance-Verbrecherakte aussieht. Unter der Rubrik Gesuchte Personen schaut einem ein bekanntes Gesicht entgegen: Holger Pfahls. "Would you like to accept a client who is wanted by Interpol?" Bei World Compliance hat man davon, dass dieser mittlerweile gefasst sogar und bereits wieder aus der Haft entlassen wurde, offenbar noch wenig mitbekommen. Aber die Strafakte ist ja schließlich auch nur ein Muster.