Nico Ebert von der Zürcher Hochschule für Angewandte Wissenschaften (ZHAW) hat untersucht, wie populäre Schweizer Websites ihre Besucherinnen und Besucher überwachen:
Mindestens 23 Prozent der untersuchten Websites nutzen moderne Fingerprinting-Verfahren, darunter Digitec, die Neue Zürcher Zeitung (NZZ), die Fluggesellschaft SWISS und Zalando.
7 Prozent der untersuchten Websites nutzen Session Replay-Verfahren, das heisst sie können jeden Klick, Scroll und Tap sowie alle – auch noch nicht gesendete Eingaben – der Besucher erfassen. Solche Verfahren – mehrheitlich von Hotjar – kommen unter anderem bei Cembra MoneyBank, Doodle, Hostpoint, jobs.ch, beim Migros-Magazin, bei Moneyhouse, bei Siroop, bei der «Tageswoche» und bei der «Weltwoche» zum Einsatz.
Nico Ebert hat eine Liste der untersuchten Websites veröffentlicht. Ein erster Blick auf einige Websites zeigt, dass die meisten Websites ihre Besucherinnen und Besucher nicht oder nicht ausreichend informieren.
Tracking mit Fingerprinting und Session Replay
Beim Tracking sind die Zeiten, als lediglich Cookies verwendet werden, längst vorbei:
Häufig kommt Fingerprinting zum Einsatz. Die entsprechenden «Fingerabdrücke» können von den Besucherinnen und Besuchern – anders als Cookies – nicht selbst gelöscht werden. Gängige Verfahren sind Canvas Fingerprinting, HTML Canvas Fingerprinting und WebRTC Fingerprinting.
Session Replay erklärt Nico Ebert wie folgt:
«Beim Session Replay zeichnet ein JavaScript kontinuierlich die Benutzereingaben im Browser auf. Dazu gehören Mausbewegungen und Formulareingaben. Selbst wenn der Benutzer ein Formular nicht ausdrücklich abschickt, können Eingaben ‹mitgeschnitten› werden und ja nach Scriptanbieter auch live beobachtet werden. Betreiber nutzen Session Replay zur Verbesserung der Benutzbarkeit ihrer Websites. Allerdings können auch ohne explizite Kenntnis der Benutzer sensitive Daten an den Betreiber gelangen. […]»
Datenschutzerklärungen: Keine oder ungenügende Erwähnung
Nico Ebert hat nicht überprüft, ob das Tracking mit Fingerprinting und Session Replay in den jeweiligen Datenschutzerklärungen erwähnt wird. Gemäss Art. 4 Abs. 3 u. 4 DSG muss die Bearbeitung von Personendaten für die betroffenen Personen erkennbar sein, was grundsätzlich eine Erwähnung in der jeweiligen Datenschutzerklärung erfordert.
In gängigen Datenschutzerklärungen werden meist nur Cookies – in allgemeiner Art und Weise – erwähnt, nicht aber Tracking mit Fingerprinting und Session Replay. Den meisten Besucherinnen und Besuchern von Websites dürfte nicht klar sein, dass ihr Verhalten in Echtzeit und vollständig überwacht werden kann.
Medien-Websites als Beispiele: «Republik», «Tageswoche» und «Weltwoche»
Beispiel «Tageswoche»
Der Content-Blocker uBlock Origin meldet für die Website der Basler Zeitung «Tageswoche» (tageswoche.ch) momentan unter anderem folgende Tracker:
- ADITION, nach eigenen Angaben der «führende europäische Anbieter hochwertiger Technologielösungen für ein automatisiertes, datenbasiertes digitales Marketing über alle Kanäle aus einer zentralen Enterprise Plattform heraus.»
- Google Tag Manager für die zentrale Verwaltung von Tracking mit Google Analytics sowie sonstigen Anbietern und Diensten für Tracking.
- Hotjar, unter anderem kann man damit jede einzelne Bewegung von Besucherinnen und Besuchern einer Website aufzeichnen.
- OCTAVIUS, nach eigenen Angaben ein Dienst für die Analyse aller Aspekte einer Website und für Tracking in Echtzeit – angeblich vollständig anonymisiert …
- NET-Metrix Audit (wemfbox.ch) zur Messung der App- und Website-Nutzung von schweizerischen Medien.
Auf Anhieb ist auf der Website der «Tageswoche» keine Datenschutzerklärung zu finden. Auch im Impressum, wo fälschlicherweise in vielen Fällen die Angaben zum Datenschutz veröffentlicht werden, findet sich keine Datenschutzerklärung.
Dafür umfassen die Allgemeinen Geschäftsbedingungen (AGB) ab Ziffer 19 eine Datenschutzerklärung. Aus meiner Sicht erfüllt eine solche Datenschutzerklärung den Grundsatz der Erkennbarkeit nicht.
Auch irrt die Neue Medien Basel AG als Herausgeberin der «Tageswoche», wenn sie in den AGB behauptet, diese würden für «sämtliche Nutzungen der Website» gelten und wer die Website nutze, unterwerfe sich den AGB «vorbehaltlos», denn für einen gültigen Vertrag fehlt die Zustimmung der Besucherinnen und Besucher (Art. 1 OR). Allein durch den Besuch der «TagesWoche»-Website erfolgt keine Zustimmung zu den AGB.
In der Datenschutzerklärung innerhalb der AGB heisst es unter anderem, Personendaten würden nur erhoben, wenn sie für «statistische bzw. analytische Zwecke» notwendig seien – und jede Person werde über den Zweck der Datenbeschaffung vorgängig informiert. Ausdrücklich offengelegt werden Google Analytics und die «Unterstützung von interessenbezogener Displaywerbung» jeweils mit Cookies. Ansonsten werden Cookies in allgemeiner Art und Weise erwähnt.
In Bezug auf die Löschung von Personendaten heisst es in der Datenschutzerklärung, man könne diese als Nutzerin oder Nutzer jederzeit «in der Datenbank der Betreiberin» löschen lassen. Ausgenommen davon ist das «Benutzerprofils das Pseudonym des Nutzers», was keinen Sinn ergibt, denn pseudonyme Daten können mit dem entsprechenden Schlüssel jederzeit wieder zu Personendaten werden.
Das Tracking mit ADITION und NET-Metrix Audit sowie das Session Replay mit Hotjar und OCTAVIUS werden mit keinem Wort erwähnt.
Beispiel «Weltwoche»
Ein ähnliches Bild präsentiert sich beim Besuch der Website der Wochenzeitschrift «Weltwoche» (weltwoche.ch), wobei sich dort aber wenigstens auf Anhieb die Datenschutzerklärung findet.
Auch die «Weltwoche» behauptet fälschlicherweise, man erkläre sich durch den Besuch der Website mit der Bearbeitung von Personendaten gemäss Datenschutzerklärung für einverstanden:
«Mit der Nutzung von Produkten erklärt sich der Nutzer damit einverstanden, dass seine Daten nach Massgabe dieser Datenschutzerklärung und den gesetzlichen Vorgaben bearbeitet werden dürfen. Mit dieser Einwilligung ermächtigt der Nutzer die Anbieterin ausdrücklich, die erhobenen Personendaten im Rahmen des rechtlich Zulässigen zu Werbe-, Marketing- sowie Analysezwecken zu verwenden. Insbesondere stimmt der Nutzer zu, dass er zu diesem Zweck von der Anbieterin kontaktiert werden kann (telefonisch, per Fax, per Brief oder mittels E-Mail).»
Cookies werden in allgemeiner Art und Weise sowie im Zusammenhang mit Google Analytics erwähnt. Hingegen findet sich in der Datenschutzerklärung kein einziges Wort zum Tracking via Facebook, Google Tag Manager und NET-Metrix Audit. Auch das Session Replay mit Mouseflow – Slogan «Want to see how users behave on your site?» – wird nicht erwähnt.
Beispiel «Republik»
Die Website des Onlinemagazins «Republik» (republik.ch) verfügt über Datenschutzbestimmungen, die auf Anhieb auffindbar sind und bereits auf die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) verweisen.
Allerdings unterliegt auch die «Republik» dem Irrtum, mit der Nutzung der Website würden die betroffenen Personen ihr Einverständnis mit den veröffentlichten Datenschutzbestimmungen erklären:
«Mit der Nutzung der Website www.republik.ch […] erklären die betroffenen Personen ihr Einverständnis mit der vorliegenden Datenschutzerklärung.»
Im Hinblick auf die DSGVO fehlen ausserdem die Angaben zur Datenschutz-Vertretung in der EU sowie die Erwähnung der einzelnen Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten, aber für solche Verbesserungen bleibt der «Republik» noch Zeit.
In jedem Fall ist die «Republik» beim Datenschutz – soweit mir bekannt – ein Vorbild unter Medien-Websites in der Schweiz:
- Die Datenschutzbestimmungen enthalten ausführliche Informationen über den Umgang mit Personendaten.
- Tracking wird nicht erwähnt, weil – soweit ersichtlich – gar kein personenbezogenes Tracking durch Drittdienste stattfindet. Die «Republik» verwendet nicht einmal NET-Metrix Audit und verspricht, «Do Not Track» (DNT) zu respektieren.
- Die «Republik» unterwirft sich freiwillig den Rechten sowie Pflichten der DSGVO für Personen in der Schweiz, obwohl diese Rechte und Pflichten – teilweise wesentlich – weiter gehen als das heutige schweizerische Datenschutzrecht.
Für eigenes Tracking setzt die «Republik» die freie Open Source-Software Matomo / Piwik ein. Da dieses Tracking in den Datenschutzbestimmungen nicht erwähnt wird, ist davon auszugehen, dass die Verwendung auf der «Republik»-Website – genauso wie auf der vorliegenden Website – ohne Personenbezug erfolgt, was mit Matomo / Piwik möglich ist.
Medien: Geschäftsmodell der «Personal Data Extraction Industry» unter Druck
Die «Republik» kann weitgehend auf Tracking verzichten, weil sie wirtschaftlich davon leben möchte, dass Leserinnen und Leser («Verlegerinnen und Verleger») für die veröffentlichten Inhalte bezahlen. Ob dieses Geschäftsmodell auf Dauer funktioniert, ist noch offen.
Die «Tageswoche» und die «Weltwoche» hingegen funktionieren nach dem traditionellen Geschäftsmodell von Medien, das heisst ihre Inhalte bilden den Rahmen für den Verkauf von Leser-Aufmerksamkeit an Werbende. Diese «Personal Data Extraction Industry» gerät mit dem neuen EU-Datenschutzrecht, das ab dem 25. Mai 2018 gilt, weiter unter Druck.
Datenschutzrecht: Hausaufgaben für viele Schweizer Websites
Tracking – auch mit Fingerprinting und Session Replay – kommt auf zahlreichen (populären) Websites in der Schweiz zum Einsatz.
Die Besucherinnen und Besucher der meisten solchen Websites werden nicht oder nicht ausreichend informiert. Auf vielen Websites findet sich ausserdem die falsche Behauptung, allein durch die Nutzung einer Website käme ein Vertrag zwischen Besucher und Website-Betreiber zustande, zum Beispiel gemäss den jeweiligen AGB.
Solches Tracking stellt in vielen Fällen bereits heute eine Datenschutzverletzung dar, weil es an der notwendigen Erkennbarkeit fehlt. Die entsprechenden Bestimmungen werden durch die neue Datenschutz-Grundverordnung (DSGVO) und das revidierten Datenschutzgesetz verschärft.
Schweizer Websites, die ihre datenschutzrechtlichen Hausaufgaben nicht bald erledigen, müssen insbesondere im Rahmen der DSGVO mit Sanktionen von Aufsichtsbehörden sowie rechtlichen Schritten von betroffenen Personen rechnen. Gerade auch Websites von Schweizer Medien werden gemäss dem Marktortprinzip fast immer unter die DSGVO fallen, weil sie das Verhalten von Personen in der EU beobachten.
Nutzerinnen und Nutzer können versuchen, sich mit Browser-Erweiterungen wie uBlock Origin und Canvas Defender zu schützen. Leider sind solche Erweiterungen im vollen Funktionsumfang mehrheitlich nicht für Smartphone-Browser erhältlich.
Bild: Pixabay / cocoparisienne, Public Domain.
:-(
Auch diese Seite linkt zu Dritten: google.com und gstatic.com sowie s3-eu-west-1.amazonaws.com und für (ein paar wenig überzeugende) Fonts noch typotheque.com….
Ausserdem nerven die Captchas von Google ganz ungemein!
@H. Trickler:
Wir verwenden auf unserer Website absichtlich kein personenbezogenes Tracking. Informationen über die momentan verwendeten Dienste von Dritten – insbesondere und vorläufig noch Typotheque (auch via Amazon) zum Einbinden von Schriftarten – finden Sie in unserer Datenschutzerklärung. Es ist möglich, dass wir Schriftarten in Zukunft lokal hosten.
Bei (weiteren) Fragen zum Datenschutz können Sie uns jederzeit gerne direkt kontaktieren.
Leider sehe ich keine Alternative zur CAPTCHA-Verwendung um die Formulare auf unserer Website vor Spam zu schützen. Immerhin ist Invisible reCAPTCHA – wie der Name sagt – in den meisten Fällen gar nicht sichtbar. Ich halte Invisible reCAPTCHA momentan für das geringste Übel, obwohl es in den seltenen Fällen, wo man davon betroffen ist, nervt …
Wenn Sie unsere Hausschriftart Fedra Serif A nicht mögen («wenig überzeugend»), empfehle ich Ihnen, unsere Website nicht mehr zu besuchen.