Der Gewinner der Europameisterschaft steht bereits fest: Es ist die UEFA. Denn die hat das Fußballfieber von Hunderttausenden Menschen ausgenutzt, um sie digital zu überwachen. Immerhin sind die Tickets für die Spiele ausschließlich digital nutzbar. Und um ein Ticket aufzurufen, muss sich ein Fußballfan die App „UEFA Mobile Tickets“ herunterladen.
Das ist ein Volltreffer der UEFA: Somit erhält der Dachverband des Fußballs in Europa eine ganze Bandbreite an personenbezogenen Daten über die Stadionbesucher, wenn sie sich in der App registrieren: Neben den ‚üblichen‘ Daten wie Name, E-Mail-Adresse und Telefonnummer erfasst die App auch das Ausstellerland des Reisepasses beziehungsweise des Personalausweises und die entsprechende Pass- oder Perso-Nummer.
Und diese Daten darf die UEFA dann „verarbeiten“: Dem hat jeder zugestimmt, der beim Ticketkauf den Allgemeinen Geschäftsbedingungen zugestimmt und sich die App heruntergeladen hat, wie die UEFA in ihren Hinweisen zum Datenschutz schreibt. Die Daten verarbeitet die UEFA dann „zusammen mit allen anderen Informationen“ (?), damit der Fußballfan sein Ticket nutzen könne.
Neben den personenbezogenen Daten sammelt die UEFA auch Standortdaten der Ticketinhaber und vermittelt diese an die Polizei: In einer Reportage der BR-Sendung „Kontrovers“ sagte Brigitte Rottberg, Leiterin des Lagezentrums für die Europameisterschaft in München: „Wir haben ein Auge und Ohr zu den Fans und können dann auch entsprechend schnell reagieren.“ Auf Rottbergs Bildschirm ist eine digitale Landkarte zu sehen, auf der sie verfolgen kann, in welchen Mengen sich Fans an welcher Stelle befinden. Das Münchener Lagezentrum trackt also die Fans in der Stadt. Das ist also das „Auge zu den Fans“. Und wo ist das Ohr? Haben die Fans etwa auch zugestimmt, dass die UEFA sie abhören darf?
Die Standortdaten kommen allerdings nicht aus der App „UEFA Mobile Tickets“, sondern der App „UEFA EURO 2024“, die den Fans mit dem Kauf eines Tickets per Mail angeboten wird, wie die Sportschau von der UEFA erfahren hat. Aber diese App braucht ein Fußballfan, um ein für Stadionbesucher kostenloses Ticket für die öffentlichen Verkehrsmittel zu erhalten.
Über die App „UEFA Mobile Tickets“ liefert die UEFA den Behörden also angeblich keine Standortdaten über die Fußballfans. Aber die Daten, die sie sammelt, also beispielsweise die Passnummern, kann sie an die Behörden weitergeben: Laut der Datenschutzbestimmung dieser App ist es der UEFA nämlich „vorbehalten“, die personenbezogenen Daten „auf der Grundlage rechtlicher Bestimmungen und Verpflichtungen“ an die zuständigen Behörden weiterzugeben. Warum? „(Um) im Rahmen der Spiele Sicherheits- und Hygienemaßnahmen zu ergreifen sowie den Gesetzesvollzug zu gewährleisten“. Sicherheit. Hygiene. Und noch mehr Sicherheit. Amen.
Die Daten werden allerdings nicht nur an die Behörden in Deutschland, dem Austragungsort der aktuellen Europameisterschaft, vermittelt. Die UEFA kann die Daten an alle Länder des Europäischen Wirtschaftsraumes (EWR) weitergeben. Denn in der Datenschutzbestimmung schließt die UEFA nur aus, die Daten in Länder außerhalb dieses Raumes weiterzugeben:
„Die UEFA-Parteien geben Ihre personenbezogenen Daten grundsätzlich nicht in Länder außerhalb des europäischen Wirtschaftsraums (EWR) weiter.“
Die App wird laut der Datenschutzbestimmung der UEFA von der Schweizer Firma „Secutix“ verwaltet. „Secutix“ speichert die persönlichen Daten der Nutzer dann in der App, heißt es in den Hinweisen zum Datenschutz. Aber „nicht länger als erforderlich“. Es sei denn, die Daten „werden weiterhin für administrative oder juristische Vorgänge im Zusammenhang mit einem Spiel oder gegebenenfalls zur Prävention (beziehungsweise) Aufdeckung unrechtmäßiger Handlungen benötigt.“ Also auf Deutsch: Ob und wann die Daten der Stadionbesucher gelöscht werden, entscheidet die UEFA. Inwiefern sich daran etwas ändert, wenn der Nutzer sein Recht auf Löschung der personengebundenen Daten geltend macht, sei mal so dahingestellt.
Aber die UEFA ist nachsichtig: In der Datenschutzbestimmung schreibt sie, dass sich niemand in der App registrieren und somit seine Daten zur Verfügung stellen muss. Aber wenn man das nicht tut, kann man seine Tickets nicht registrieren. Und dann kann man sein Ticket nicht nutzen. Das bedeutet dann eben, dass man sich das Fußballspiel im Fernsehen ansehen muss. Doof gelaufen.
Der Dachverband der Fanhilfen in Deutschland kritisiert die Vorgehensweise der UEFA. „Gegenüber anderen Menschen sind solche Überwachungsmaßnahmen nahezu unvorstellbar“, sagt Verbandssprecher Oliver Wiebe im Gespräch mit der Sportschau. Wiebe befürchtet, dass solche Maßnahmen bald auch im Ligaalltag in Deutschland eingesetzt würden. Denn auch in Deutschland vertreiben die meisten Profifußballvereine ihre Eintrittskarten digital über PDF-Dokumente oder Wallet-Dateien für die Smartphone-Betriebssysteme Android und iOS. Die Deutsche Fußballliga (DFL) antwortete auf eine Anfrage der Sportschau: „Pläne für eine ligaweite, einheitliche Ticketinglösung gibt es nicht. Die Art und Weise, wie Tickets vertrieben und verteilt werden, liegt in der Autonomie der Klubs.“
Der Dachverband der Fanhilfen will wissen, auf welcher gesetzlichen Grundlage die Daten aus der UEFA-App an die Polizei weitergegeben werden, so die Sportschau weiter. „Es gibt keinen gesetzlichen Auftrag von einem Landtag oder vom Bundestag für so eine Maßnahme“, sagt Wiebe. Ganz im Gegenteil: Die Behörde „Bundesbeauftragte für Datenschutz und Informationsfreiheit“ teilte der Sportschau mit, dass die UEFA „im Rahmen der Besprechungen des nationalen Sicherheitskonzepts“ zu der Europameisterschaft keine App vorgelegt habe, zuständig seien Schweizer Behörden.
Logisch: Dort sitzen schließlich sowohl die UEFA als auch die Firma „Secutix“, die die UEFA-App verwaltet. Die Beauftragte für Datenschutz in Deutschland hat daher „keine datenschutzrechtliche Beratung vorgenommen und kann auch nicht bewerten, ob es sich wirklich um anonyme Standortdaten handelt“. Das hatte die UEFA nach der „Kontrovers“-Reportage gegenüber der Sportschau behauptet.
Allgemein teilte ein Sprecher der Bundesbehörde für Datenschutz mit: „Die Erhebung der Ansammlung großer anonymisierter Menschenmengen – vergleichbar mit Staumeldungen in Anwendungen von Anbietern digitaler Karten – ist datenschutzrechtlich zumindest kein intensiver Grundrechtseingriff.“ Also erteilt die Bundesbehörde der UEFA offenbar keine rote Karte dafür, dass sie Hunderttausende Fußballfans digital überwacht: ein Sieg für die UEFA. Aber eine bittere Niederlage für den Datenschutz und die Privatsphäre.