Heute Vormittag war die admin.ch-Website der Schweizerischen Eidgenossenschaft offline. Als die Website wieder online war, fiel mir auf, dass mein Content-Blocker zahlreiche blockierte Dienste von Dritten meldete:
Gemäss uBlock Origin sind Google Ads, Google YouTube und Twitter bei admin.ch eingebunden. Wenn jemand die offizielle Präsenz der Schweiz im Internet besucht, erfahren auch Google und Twitter davon.
In der Folge war ich neugierig, wie der Bund in seiner Datenschutzerklärung über diese Dienste sowie über Widerspruchsmöglichkeiten informiert. Bundesorgane, die Personendaten bearbeiten oder bearbeiten lassen, benötigen nicht nur eine gesetzliche Grundlage (Art. 17 Abs. 1 DSG), sondern unterliegen auch einer Informationspflicht gegenüber den betroffenen Personen (Art. 18a DSG).
Auf den ersten Blick fand ich allerdings am erwarteten Ort – im Footer beziehungsweise in der Fusszeile – keine verlinkte Website-Datenschutzerklärung.
Hingegen gelangte ich über den Weblink «Rechtliches» auf die gleichnamige Seite, wo sich – neben unwirksamen Disclaimern und weiteren untauglichen rechtlichen Hinweisen – fünf magere Absätze mit dem «Datenschutz» befassen. Hinweise auf Dienste von Dritten, die Datenbearbeitung im Ausland oder vorhandene Widerspruchsmöglichkeiten sind nicht zu finden. Google und Twitter werden mit keinem Wort erwähnt.
Dafür erklärt die Bundeskanzlei, welche für die admin.ch-Website verantwortlich ist, die Bundesbehörden hielten das schweizerische Datenschutz ein. Man behandle Personendaten streng vertraulich und gebe diese weder an Dritte weiter noch verkaufe man sie.
Weiter wird erklärt, dass man sich «so gut wie möglich» um die Datensicherheit von «Datenbanken» bemühe und Server-Logdateien speichere, um die entsprechenden Nutzungsdaten als «Basis für statistische, anonyme Auswertungen» zu verwenden. Die «Verbindungsdaten» müssten gemäss dem Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) während sechs Monaten gespeichert werden (Vorratsdatenspeicherung).
Schliesslich erklärt die Bundeskanzlei, bei der freiwilligen Kontaktaufnahme würden E-Mail-Adressen in eine separate Datenbank aufgenommen, die aber nicht mit den «anonymen Logfiles» verknüpft werde. Man habe jederzeit die Möglichkeit, die «Registrierung» rückgängig zu machen.
Die Datenschutzerklärung von admin.ch sollte Vorbildcharakter haben. Der aktuelle Text unter «Rechtliches» ist definitiv kein Vorbild für andere Behörden und ihre Websites.
Ich empfehle der Bundeskanzlei, beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) eine Beratung in Anspruch zu nehmen.
Interessanter Hinweis.
Spannend wie die meisten damit straucheln sich wirklich die Zeit rauszunehmen um das Thema Datenschutz sorgfältig zu behandeln – sogar grosse Bundesbehörden.
Gut wenn wir uns alle angewöhnen genauer hinzuschauen und Datenschutz als Dienst, Privileg und nicht als unnötig auferlegte Einschränkung anzusehen.
Ich denke wir als Europäer könnten hier eine Vorreiterrolle einnehmen.
In der digma Ausgabe von diesem September (noch nicht publiziert) erscheint ein Artikel, der u.A. das Tracking durch Apps des Bundes untersucht. Auch dort ergibt sich leider mehr oder weniger das gleiche Bild.
@Y:
Vielen Dank für den Hinweis. Ich hoffe, der Artikel zählt nicht zu jenen digma-Inhalten, die infolge Paywall kaum jemand zu Gesicht bekommt …
Die Erkenntnisse werden zusätzlich auf dem Blog der ZHAW (https://blog.zhaw.ch/winsights/) publiziert. Die zugrundeliegenden Master- und Bachelorarbeiten werden unter Umständen ebenfalls in der digitalcollection der ZHAW (https://digitalcollection.zhaw.ch/handle/11475/22) aufgeschaltet.
@Y:
Grossartig, vielen Dank für diesen weiteren Hinweis!
Der Beitrag wurde heute online gestellt:
https://blog.zhaw.ch/winsights/2019/09/10/wie-verbreitet-ist-das-benutzer-tracking-in-apps-in-der-schweiz/
Bei der Swisscom, Bluewin, SBB, sieht es genau gleich aus, bei der Post weniger… bei der Swisscom gar wenn man sich eingeloggt hat… die Swisscom erklärt gar, das geänderte Adressdaten per OptOut nicht weiter gegeben werden. Die zu Beginn der Vertragsdauer erfassten Daten aber schon… man hat von Beginn an keine Möglichkeit OptIn festzulegen. Ausserdem ändern sich die Datenschutzbedingungen und die eingestellten Optionen laufend. ..
Die Bundesverwaltung sollte sich an das Informatiksteuerungsorgan des Bundes wenden, so dass das Leaking-Disaster grundsätzlich und verwaltungsübergreifend gelöst wird. Als Vorbild das tapfere Schneiderlein und seine Mücken.