Wer in die Schweiz einreisen möchte, muss ein Einreiseformular ausfüllen. Wer das Formular online ausfüllt, informiert nicht nur die schweizerischen Behörden, sondern auch Google in den USA über die Einreise.
Wer das Online-Einreiseformular unter swissplf.admin.ch aufruft, ruft standardmässig auch zwei Schriftarten-Dateien von Google Fonts ab. Damit erfährt Google in den USA von jedem einzelnen Besuch auf der Website, sofern kein Content-Blocker eingesetzt wird.
Das Bundesamt für Gesundheit (BAG) nutzt Google Fonts unter anderem, um die Symbole bei der Auswahl der Verkehrsmittel anzuzeigen:
In der Datenschutzerklärung für das Online-Einreiseformular informiert das BAG nicht über die Verwendung von Google Fonts (Sicherheitskopie).
Wenn man Google Fonts blockiert, wird das Online-Formular fehlerhaft dargestellt, kann aber noch verwendet werden.
Wieso das BAG auf Google Fonts zurückgreift, ist unklar.
Für die Symbole können Bilddateien verwendet werden und auf die Verwendung von speziellen Schriftarten könnte verzichtet werden. Sofern das BAG die speziellen Schriftarten für erforderlich hält, könnten die Dateien genauso von der schweizerischen ti&m gehostet werden wie das übrige Online-Formular.
Bei ti&m gab das BAG unter anderem bereits das Backend für das COVID-Zertifikat und die neue Meldeplattform für Fälle von übertragbaren Krankheiten in Auftrag.
Wer seine Einreise in die Schweiz nicht auch bei Google anmelden möchte, kann die Papierversion verwenden.
Was allenfalls in der Einreiseformular-FAQ über Google Fonts steht, kann ich nicht in Erfahrung bringen. Mein Browser empfiehlt mir aus Sicherheitsgründen, die BAG-FAQ-Website nicht aufzurufen …
Nachtrag vom 15. Oktober 2021
Die Schriftarten-Dateien werden nun bei ti&m gehostet, wie das BAG gegenüber INSIDE IT mitgeteilt hat:
«Am Freitag, 15. Oktober, wird ein Hotfix eingespielt. Die Icons werden ab dann auf den Servern von unserem Partner Ti&m gehostet.»
Bei mehreren (!) externen Überprüfungen seien die Google-Icons nicht als Risiko eingestuft worden, so das BAG gegenüber INSIDE IT. Es habe sich deshalb eine Erwähnung in der Datenschutzerklärung nicht aufgedrängt.
Ein Spezialist für Informationssicherheit, beruflich beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) tätig, warb auf LinkedIn um Verständnis für das BAG:
«Was ich hinzufügen möchte ist, dass gerade während der Pandemie oftmals der Zeitdruck zu weniger Sorgfalt geführt hat und der Einsatz von ‹bewährten Lösungen› zuwenig hinterfragt wurden; was ich vielen Verwaltungseinheiten aber Zugute halten möchte ist – wie das Beispiel hier zeigt – dass sie sich meist auch einsichtig und offen für Verbesserungen geben.»
Bild: Pixabay / myrfa, Public Domain-ähnlich.
Danke für die Recherche. So geht Datenschutz!
Warum werden bei Staatsdienste die Schriften/Icons und alle externen Daten nicht einfach lokal auf den eigenen Webserver abgespeichert?
Die Fonts kommen von gstatic.com, was eine Cookie-freie Domain ist. Somit weiss Google eigentlich nicht, *wer* die Fonts aufruft, sondern weiss nur die IP.
Zudem sollte sich der Browser die Anfrage ganz sparen können, wenn er die Fonts schonmal geladen hat. Das wäre eigentlich die Idee einer Domain für statische Inhalte, soweit ich das verstehe.
@Felix Rauch Valenti:
Genau, es geht um die IP-Adressen. Wer IP-Adressen kennt, kann auch wissen, wer den Aufruf getätigt hat, Google sowieso.