Einreise in die Schweiz? Bitte bei Google anmelden!

Foto: Zwei Papierstapel

Wer in die Schweiz einreisen möchte, muss ein Einreiseformular ausfüllen. Wer das Formular online ausfüllt, informiert nicht nur die schweizerischen Behörden, sondern auch Google in den USA über die Einreise.

Wer das Online-Einreiseformular unter swissplf.admin.ch aufruft, ruft standardmässig auch zwei Schriftarten-Dateien von Google Fonts ab. Damit erfährt Google in den USA von jedem einzelnen Besuch auf der Website, sofern kein Content-Blocker eingesetzt wird.

Das Bundesamt für Gesundheit (BAG) nutzt Google Fonts unter anderem, um die Symbole bei der Auswahl der Verkehrsmittel anzuzeigen:

Screenshot: Einreiseformular des Bundesamtes für Gesundheit (BAG) mit Google Fonts-Icons

In der Datenschutzerklärung für das Online-Einreiseformular informiert das BAG nicht über die Verwendung von Google Fonts (Sicherheitskopie).

Wenn man Google Fonts blockiert, wird das Online-Formular fehlerhaft dargestellt, kann aber noch verwendet werden.

Wieso das BAG auf Google Fonts zurückgreift, ist unklar.

Für die Symbole können Bilddateien verwendet werden und auf die Verwendung von speziellen Schriftarten könnte verzichtet werden. Sofern das BAG die speziellen Schriftarten für erforderlich hält, könnten die Dateien genauso von der schweizerischen ti&m gehostet werden wie das übrige Online-Formular.

Bei ti&m gab das BAG unter anderem bereits das Backend für das COVID-Zertifikat und die neue Meldeplattform für Fälle von übertragbaren Krankheiten in Auftrag.

Wer seine Einreise in die Schweiz nicht auch bei Google anmelden möchte, kann die Papierversion verwenden.

Was allenfalls in der Einreiseformular-FAQ über Google Fonts steht, kann ich nicht in Erfahrung bringen. Mein Browser empfiehlt mir aus Sicherheitsgründen, die BAG-FAQ-Website nicht aufzurufen …

Screenshot: Browser-Warnmeldung für FAQ-Website des Bundesamtes für Gesundheit (BAG)


Nachtrag vom 15. Oktober 2021

Die Schriftarten-Dateien werden nun bei ti&m gehostet, wie das BAG gegenüber INSIDE IT mitgeteilt hat:

«Am Freitag, 15. Oktober, wird ein Hotfix eingespielt. Die Icons werden ab dann auf den Servern von unserem Partner Ti&m gehostet.»

Bei mehreren (!) externen Überprüfungen seien die Google-Icons nicht als Risiko eingestuft worden, so das BAG gegenüber INSIDE IT. Es habe sich deshalb eine Erwähnung in der Datenschutzerklärung nicht aufgedrängt.

Ein Spezialist für Informationssicherheit, beruflich beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) tätig, warb auf LinkedIn um Verständnis für das BAG:

«Was ich hinzufügen möchte ist, dass gerade während der Pandemie oftmals der Zeitdruck zu weniger Sorgfalt geführt hat und der Einsatz von ‹bewährten Lösungen› zuwenig hinterfragt wurden; was ich vielen Verwaltungseinheiten aber Zugute halten möchte ist – wie das Beispiel hier zeigt – dass sie sich meist auch einsichtig und offen für Verbesserungen geben.»

Bild: Pixabay / myrfa, Public Domain-ähnlich.

4 Kommentare

  1. Die Fonts kommen von gstatic.com, was eine Cookie-freie Domain ist. Somit weiss Google eigentlich nicht, *wer* die Fonts aufruft, sondern weiss nur die IP.

    Zudem sollte sich der Browser die Anfrage ganz sparen können, wenn er die Fonts schonmal geladen hat. Das wäre eigentlich die Idee einer Domain für statische Inhalte, soweit ich das verstehe.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Felder mit * sind Pflichtfelder.