SBB liefern Daten von Website-Besuchern an den russischen Tech-Konzern Yandex

Wer die Website der Schweizerischen Bundesbahnen (SBB) aufruft, erhält ein ausgewachsenes Cookie-Banner angezeigt. Den staatlichen SBB ist die Privatsphäre ihrer Kunden derart wichtig, dass man der «Verwendung aller SBB Cookies sowie derjenigen [ihrer] Partner» standardmässig nur zustimmen, nicht aber direkt widersprechen kann.

Hinter dem Button «Zwecke anzeigen», der als einzige Alternative zum Button «Akzeptieren» angezeigt wird, versteckt sich ein Pop-up-Fenster mit dem Titel «Ihre Privatsphäre».

In diesem Pop-up-Fenster soll man «Einwilligungspräferenzen verwalten» verwalten können. Als Buttons stehen «Alle zulassen», «Alle ablehnen» und «Meine Auswahl bestätigen» zur Verfügung.

Die Auswahl bedeutet, dass man Cookies und sonstige Bearbeitungsvorgänge in einigen Kategorien akzeptieren oder ablehnen kann. Was der jeweils angezeigte Schieberegler bedeutet, ist allerdings für mich unklar.

Standardmässig erscheint ein Schieberegler mit einem weissen Knopf und grauem Hintergrund. Wenn man ihn anklickt, erscheint im nach rechts verschobenen weissen Knopf ein roter Haken und der Hintergrund wird rot.

Ist das nun eine Ablehnung (rote Farbe) oder eine Zustimmung (Haken)?

Bei verschiedenen Kategorien hat man als Website-Besucher keine Wahl, denn sie sind «Immer aktiv».

Die betreffenden Bearbeitungsvorgänge betreffen jeweils Tracking und Werbung, wie der verlinkte Hinweis auf die «Liste der IAB-Lieferanten» zeigt. Die IAB, ausgeschrieben Interactive Advertising Bureau, ist ein internationaler Wirtschaftsverband für Online-Werbung.

Datenschutzfreundlich, wie es das neue Datenschutzgesetz in der Schweiz gemäss dem «Privacy by Default»-Grundsatz ab dem 1. September 2023 verlangt, wirken diese Voreinstellungen nicht.

Der einschlägige Art. 7 Abs. 3 nDSG lautet wie folgt:

«Der Verantwortliche ist verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt.»

Im Onlinekommentar zu Art. 7 nDSG beschreibt Samuel Klaus den Grundsatz «Privacy by Default» unter anderem wie folgt:

«Die Pflicht nach Art. 7 Abs. 3 DSG bezieht sich nur [aber immerhin] darauf, für den Fall, dass mehrere Einstellungsmöglichkeiten bestehen, bei diesen die Voreinstellungen so zu setzen, dass die datenschutzrechtlich ‹minimalinvasivste› Datenbearbeitung umgesetzt wird.»

Wenn man sich die «Liste der IAB-Lieferanten» anzeigen lässt, gelangt man auf eine lange Liste mit «IAB-Anbietern» und «Google-Anbietern», denen man einzelnen zustimmen kann.

Ergänzend zur erwähnten «Liste der IAB-Lieferanten» kann man sich den «vollständigen Rechtstext» anzeigen lassen.

Damit landet man auf der «Cookiepedia»-Website, wo erst einmal ein weiteres Cookie-Banner überwunden werden muss. Der «Rechtstext», der danach angezeigt wird, ist generisch und hat keinen erkennbaren Zusammenhang mit einzelnen «Lieferanten».

Die «Liste der IAB-Lieferanten» ist auch direkt im ursprünglichen Cookie-Banner verlinkt, heisst dort aber «Liste der Partner (Lieferanten)». Die SBB beschreiben den datenschutzrechtlichen Zweck wie folgt:

«Wir und unsere Partner verarbeiten Daten, um Folgendes bereitzustellen:

Genaue Standortdaten verwenden. Geräteeigenschaften zur Identifikation aktiv abfragen. Informationen auf einem Gerät speichern und/oder abrufen. Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.»

SBB liefern Personendaten an Tech-Konzern Yandex in Russland

Ein für mich überraschender «Partner» der SBB ist der russische Tech-Konzern Yandex. Man könnte Yandex als das russische Google bezeichnen.

Gemäss Angaben in der «Lieferantenliste» erstellt Yandex von den Besucherinnen der SBB-Website ein «personalisiertes Anzeigen-Profil», verwendet «genaue Standortdaten» und verknüpft «verschiedene Geräte». Die Speicherdauer soll 121 Monate, also mehr als fünf Jahre betragen.

Wer die verlinkte Datenschutzerklärung von Yandex aufruft, begegnet nicht nur einem weiteren Cookie-Banner, sondern stellt auch fest, dass die SBB die Daten ihrer Website-Besucher via Yandex nach Russland liefern können:

«To provide you with access to the Sites and Services, your Personal information is collected and used by Yandex which may include YANDEX LLC, a company incorporated under Russian law, with a head office registered at 16 Lva Tolstogo St., Moscow 119021, Russia (‹YANDEX› LLC), or its affiliates for particular Services or in specific jurisdictions. You can find information about the entity, which provides the particular Service in the relevant Service’s terms of use.»

Das heutige Russland ist kein Rechtsstaat und datenschutzrechtlich gesehen ein unsicherer Drittstaat.

Wie kommt ein schweizerischer Monopol- und Staatsbetrieb wie die SBB dazu, die Daten mindestens seiner Website-Besucherinnen an einen russischen Tech-Konzern weiterzugeben?

Wer beim Besuch der SBB-Website direkt auf «Akzeptieren» klickt, stimmt theoretisch der Übermittlung seiner Daten nach Russland zu. Die Rechtsgültigkeit dieser Einwilligung ist allerdings zweifelhaft, denn es fehlt an der erforderlichen Ausdrücklichkeit (Art. 17 Abs. 1 lit. a nDSG).

Besucherinnen der SBB-Website sollten nicht damit rechnen müssen, dass ihre Daten nach Russland fliessen und dort während Jahren gespeichert werden. Die automatisierte Bearbeitung könnte sogar ein Profiling mit hohem Risiko darstellen (Art. 5 lit. g nDSG).

Der fragwürdige Daten-Export an Yandex in Russland könnte ein Grund sein, wieso die SBB im Rahmen von Auskunftsbegehren auf eine widerrechtlich persönlichkeitsverletzende Bearbeitung von Personendaten hinweisen, die sie zu rechtfertigen versuchen.

In Finnland und Norwegen haben die Datenschutz-Aufsichtsbehörde gerade erst die Bekanntgabe von Personendaten an Yandex in Russland vorläufig verboten:

«Finnish and Norwegian regulators said on Tuesday they had banned Russian tech group Yandex (YNDX.O) and its Netherlands-based partner Ridetech International from transferring to Russia any personal data of customers of Yandex’s Yango ride-hailing app.»

Und:

«‹There is an acute risk to privacy as Russian authorities could potentially monitor the movements of Norwegian citizens via ‹Yango› the Norwegian Data Protection Authority said in a separate statement.»

Und auch:

«Last August Finnish authorities confiscated Yandex’s assets in Finland, including what is believed to be the company’s only data centre outside Russia, after the company’s founder and former chief executive Arkadi Volozh was put on a European Union list of sanctions.»

Nachtrag: Erste Stellungnahme der SBB

Die Medienstelle der SBB hat bei Twitter / X inzwischen folgende kurze Stellungnahme veröffentlicht (Screenshot):

«SBB liefert weder Yandex noch anderen aufgelisteten Firmen Personendaten. SBB stellt Google AdServer wie viele Firmen anonymisierte Daten zur Verfügung, sofern Kunden-Einwilligung vorliegt. Auf unserem AdServer war Yandex immer blockiert und konnte keine Werbung schalten.»

Die Stellungnahme der SBB ist unglaubwürdig, denn sie widerspricht der SBB-eigenen Darstellung auf ihrer Website.

Wer die SBB-Website besucht, wird mittels Cookie-Banner aufgefordert, die Bearbeitung der eigenen Personendaten für allerlei Zwecke zu akzeptieren. Die SBB schreiben unter anderem:

«Wir, d.h. die SBB und ihre Partner, bearbeiten Ihre personenbezogenen Daten, um Erkenntnisse über die Besuche unserer Website zu gewinnen, um Ihnen personalisierte Werbung anzuzeigen sowie um die Webseite für Sie optimal zu gestalten und fortlaufend zu verbessern. […] Durch Klicken des ‹Akzeptieren›-Buttons stimmen Sie der Verwendung aller SBB Cookies sowie derjenigen unserer Partner zu. […].»

Und:

«Wir und unsere Partner verarbeiten Daten, um Folgendes bereitzustellen: Genaue Standortdaten verwenden. Geräteeigenschaften zur Identifikation aktiv abfragen. Informationen auf einem Gerät speichern und/oder abrufen. Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.»

Auf der verlinkten «Liste der Partner (Lieferanten)» ist Yandex zu finden – auch heute noch. Yandex ist damit einer der «Partner» der SBB, welche die Personendaten von Besuchern der SBB-Website bearbeiten können und für deren Cookies die SBB die Einwilligung der Website-Besucher verlangen.

Die Daten von Besuchern der SBB-Website kann Yandex nur bearbeiten, wenn solche Daten von den SBB geliefert werden. Dabei wird Yandex in der «Liste der Partner (Lieferanten)» der SBB nicht als «Google-Anbieter», sondern als «IAB-Anbieter» aufgeführt.

Widersprüchlich ist auch, wenn die SBB bestätigen, sie würden Daten von Besuchern ihrer Website an Dritte wie Google liefern, aber behaupten, es handle sich nicht um Personendaten, sondern um «anonymisierte Daten». Für die Lieferung von Daten, die keine Personendaten mehr darstellen, wäre keine Einwilligung erforderlich, denn die Lieferung nicht unter das Datenschutzrecht fallen.

Die Stellungnahme der SBB ist alles in allem unglaubwürdig. Wieso informieren die SBB ausdrücklich über die Bearbeitung von Personendaten von Website-Besuchern durch Yandex und ersuchen um eine entsprechende Einwilligung, wenn eine solche Bearbeitung durch Yandex infolge Sperrung gar nicht stattfinden soll?

Diese Einwilligung ist den SBB wie erwähnt derart wichtig, dass sie direkt nur den Button «Akzeptieren» anbieten. Eine gleichwertige Möglichkeit für Ablehnung oder Widerspruch steht nucht zur Verfügung.

Nachtrag II: Weitere Stellungnahme der SBB

In einer weiteren Stellungnahme – dieses Mal gegenüber der «Netzwoche» – erklären die SBB, Yandex sei «mittlerweile nicht mehr offiziell als IAB-Vendor gelistet» und es sei «daher […] ein Fehler, dass dies noch aufgeführt» werde.

Ferner erklären die SBB erneut, sie würden keine Personendaten an «aufgelistete Firmen» liefern, sondern stellten lediglich Google «anonymisierte Daten zur Verfügung, sofern eine Kundeneinwilligung» vorliege. Diese Erklärung widerspricht weiterhin der SBB-eigenen Darstellung auf ihrer Website.

Schliesslich reagieren die SBB auf meinen Hinweis, das Cookie-Banner mit seinen Voreinstellungen wirke nicht datenschutzfreundlich im Sinn von «Privacy by Default» gemäss dem neuen Datenschutzgesetz:

«‹Die Einwilligung über einen Button ist gängige Praxis bei der Akzeptanz von Cookies und ist rechtskonform. Bei Kundinnen und Kunden, die die Cookies nicht akzeptieren, werden auch keine Cookies gesetzt. Die SBB hält sich im Bereich des Consent Managements an die Regeln und das Verfahren, welche die IAB Europe, der europäische Verband für digitales Marketing und Werbung, herausgegeben hat.› Man plane keine Änderungen an den Cookie-Grundeinstellungen im Zusammenhang mit dem neuen Datenschutzgesetz, heisst es zum Schluss.»

Die Gestaltung mit nur einem Button für die Einwilligung statt mit gleichwertigen Buttons für Einwilligung und Widerspruch mag ein häufiger «Dark Pattern» sein, ist aber im Anwendungsbereich der europäischen Cookie-Richtlinie meines Erachtens nicht rechtskonform. Datenschutzrechtlich gesehen gehe ich im Übrigen davon aus, dass Personendaten vorliegen – so wie es die SBB auf ihrer Website selbst darstellen.

Die IAB Europe wird denn auch immer wieder für ihr «Transparency and Consent Framework», kurz TCF, heftig kritisiert, zum Beispiel in Belgien:

«Einer der wichtigsten Standards des Ökosystems für Online-Werbung verstößt in einer Vielzahl von Punkten gegen die Datenschutzgrundverordnung. […] Vereinfacht gesagt funktioniert das System von zielgerichteter Werbung im Netz heute so: Jeder Besuch bei einer teilnehmenden Website löst eine Auktion unter den Anbietern von Werbeanzeigen aus. […] Damit dieses Real-Time-Bidding (RTB) […] funktioniert, müssen die Werbefirmen wissen, mit wem sie es zu tun haben: Alter, Geschlecht, Interessen, besuchte Websites, Wohnort, Kaufkraft und so weiter sind wichtige Kriterien, nach denen die Zielgruppen für Anzeigen zusammengestellt werden.

Hier kommt das Transparency and Consent Framework von IAB Europe ins Spiel. Wenn Nutzer:innen auf ‹Cookies akzeptieren› klicken oder nicht widersprechen, dass die Nutzung ihrer Daten im legitimen Interesse des Anbieters ist, erzeugt das TCF einen sogenannten TC-String. Dieser Identifier bildet die Grundlage für die Erstellung von individuellen Profilen und für die Auktionen, in denen Werbeplätze und mit ihnen die Aufmerksamkeit der gewünschten Zielgruppe versteigert werden, und wird an aberhunderte Partner in dem OpenRTB-System weitergeleitet.»

Und:

«Den belgischen Datenschützer:innen zufolge sind es vor allem zwei Probleme, die das Consent Framework in seiner heutigen Form praktisch unbenutzbar machen. Zum einen hält die Behörde fest, dass bereits die TC-Strings personenbezogene Daten darstellen. Gemeinsam mit der IP-Adresse und den vom TCF gesetzen Cookies ermöglichen sie es nämlich, Nutzer:innen genau zu identifizieren. Zum anderen ist der Werbeverband IAB Europe nach Ansicht der Datenschutzaufsicht für jede Datenverarbeitung über das Framework rechtlich mitverantwortlich.

Bislang hatte der Verband sich als neutraler Anbieter eines technischen Standards inszeniert und eine Rolle als Datenverarbeiter stets von sich gewiesen – und damit auch die Verantwortung dafür, dass die Prozesse auch wirklich DSGVO-konform sind. Dass Werbetreibende sich in ihren Cookie-Bannern auf ein ‹legitimes Interesse› an der Datensammlung berufen, statt um Einwilligung zu bitten, müsste das Framework zum Beispiel grundsätzlich untersagen, um rechtskonform zu sein.

Auch darüber hinaus verstoße der TCF-Mechanismus gegen diverse Vorgaben der DSGVO, zum Beispiel gegen die Grundsätze von Privacy by Design und by Default […].»

Und auch:

«Datenschützer:innen bezweifeln seit langem, dass es überhaupt möglich ist, dass System des Targeted Advertising und des Real-Time-Biddings datenschutzkonform zu betreiben. Die Datenflüsse zwischen den hunderten Playern des Systems sind für Nutzer:innen weder nachvollziehbar, noch können sie sinnvoll intervenieren und Einwilligungen zurückziehen – von den unlauteren Design-Tricks, um sich die Einwilligung zu erschleichen, mal ganz abgesehen.»

Bild: Pixabay / MabelAmber, Public Domain-ähnlich.