Wer im Ausland geimpft wurde oder als «genesen» von COVID-19 gilt, kann online ein schweizerisches COVID-Zertifikat bei der Nationalen Antragsstelle beantragen – und einmal mehr ist Google an Bord …
«Einmal mehr», weil bereits beim Online-Einreiseformular des Bundesamtes für Gesundheit (BAG) ursprünglich Google Fonts verwendet worden war.
Beim Online-Formular für das COVID-Zertifikat wird neben Google Fonts auch Google reCAPTCHA verwendet, wie beispielsweise Privacy Badger und uBlock Origin zeigen.
Mit Google reCAPTCHA wird versucht, Bots von Menschen zu unterscheiden. Dafür wird JavaScript in die Website eingebunden. Als Nutzerin oder Nutzer kennen wir Google reCAPTCHA meist aufgrund von nervigen Bilderrätseln.
Datensparsamkeit bei Verwendung von Google-Diensten?
Auf der Website mit dem Online-Formular erscheint der Google-eigene Hinweise auf Google CAPTCHA, aber es ist keine Datenschutzerklärung verlinkt. Um die Datenschutzerklärung zu finden, muss man auf «Rechtliche Grundlagen» klicken und dort auf «Datenschutzerklärung».
In der Datenschutzerklärung heisst es an erster Stelle:
«Ihre Daten sind für uns Vertrauenssache. Es ist selbstverständlich, dass die Bundesverwaltung nur Personendaten erhebt, die zur Erfüllung ihrer Aufgaben unbedingt erforderlich sind (Datensparsamkeit).»
Immerhin wird Google reCAPTCHA in der Datenschutzerklärung ausdrücklich erwähnt, wenn auch ohne Hinweis auf den Daten-Export in die USA:
«Google reCaptcha: Unter dem Namen reCaptcha betreibt Google LLC Dienste, welche automatisierte Handlungen auf Webseiten erkennen und verhindern können. Datenschutzerklärung und Nutzungsbedingungen von Google.»
Es kann gute Gründe geben, Dienste wie Google Fonts und Google reCAPTCHA zu verwenden. Allerdings ist fraglich, ob die Verwendung solcher Dienste und die damit verbundene Bearbeitung von Personendaten für Website der Bundesverwaltung «unbedingt erforderlich» ist.
Unabhängig vom Einzelfall stellt sich die Frage, wieso schweizerische Behörden nicht in der Lage zu sein scheinen, Formulare mit eigener Infrastruktur zu betreiben. Es wäre naheliegend, Schriftarten für Websites der Bundesverwaltung selbst und zentral zu hosten sowie einen eigenen CAPTCHA-Dienst zu betreiben bzw. hosten und betreiben zu lassen.
(Vielen Dank an einen aufmerksamen Leser für seinen Hinweis!)
Erstaunt das beim BAG noch?
Insgesamt bei der Eidgenossenschaft?
Stichwort Datensparsamkeit und Privacy beim Einreiseformular.