Gestern hab ich auf Republik.ch eine Kurzrecherche über die Schweizer Medienportale und deren Datenweitergabe veröffentlicht. Der Hauptbefund lautet (wenig verwunderlich): NZZ.ch, TX Media und Ringier lassen auch nach dem 1. September 2023 – dem Update des Schweizer Datenschutzgesetzes – kreuz und quer personenbezogene Informationen ihrer Leserschaft nach Westen und Osten schicken (zu Yandex (Russland), Tiktok (China), Liveramp/Xandr/Axciom (USA)).
Auf Hinweis von Leser Samuel Rüegger (der einen sehr interessanten Blogartikel verfasste) hab ich mir srf.ch auch genauer angeschaut. Auch unser öffentlich-rechtliches Medienhaus SRG spielt 3rd-party-Cookies aus, von amerikanischen und chinesischen Big-Tech-Konzernen wie Facebook, Google und TikTok. Mit welchem Zweck? Vermutlich um danach passende Social Media-Kampagnen auszuspielen an die Webseiten-Besucher:innen. Eine Anfrage an die SRG wurde noch nicht beantwortet, und wird hier zur gegebenen Zeit nachgeführt.
EU-User erhalten Möglichkeit „notwendige Cookies“ anzunehmen
Nun hat mich Samuel darauf aufmerksam gemacht dass Besucher:innen von srf.ch in einem EU-Land möglicherweise bevorzugt werden in Sachen Datenverarbeitung. Dies lässt sich mit VPN oder eben einem Aufenthalt in einem EU-Land leicht verifizieren. Und es stimmt: Wer etwa aus Spanien auf srf.ch zugreift, kann unter „individueller Verwaltung“ des Cookie-Banners schnell und einfach die „notwendigen Cookies“ anklicken. Hierbei erteile ich dann die Berechtigung für die funktionalen Textdateien, die den Betrieb und die Performance der Webseite ermöglichen. Nicht mehr und nicht weniger. Abgelehnt wird damit die Berechtigung aller Marketing-Cookies (also der Werbebörsen, die im Echtzeitverfahren Werbung ausspielen)
Zurück in der Schweiz sieht dieses Cookie-Banner dann etwas anders aus. Man erhält lediglich die Optionen „individuell verwalten“ und „alles akzeptieren„.
Als SRF.ch-Leserin muss ich mich mit mühsamer Handarbeit durchklicken um die Verarbeitung für Marketingzwecke zu unterbinden. Kurzum: bei den Schweizer:innen, die die SRG-Gebühren zahlen, werden „dark patterns“ gelegt. Die SRG ist daran interessiert diesen Prozess mühsamer zu gestalten, so dass die Userin genervt oder resigniert aufgibt. Denn: je weniger Leser:innen sich da durchklicken, desto besser. So erhält die SRG die rechtliche Legitimation, die Daten mit den Plattformen zu teilen und dort ihre Leserschaft mit Social Media-Kampagnen anzusprechen.
Fragwürdige Antwort der SRG
Auf Anfrage hat sich die SRG ausführlich verteidigt: Eigentlich müsste man gar kein Cookie-Banner setzen, rechtlich gesehen. Die SRG tue das sinngemäss aus Goodwill. In der Tat gibt es keine rechtliche Pflicht für die Banner, auch nicht nach neuem Datenschutzgesetz. Der Eidgenössische Datenschutzbeauftragte wird hierzu demnächst eine Auslegeordnung veröffentlichen, wie er mir auf Anfrage bestätigte.
Auf meine Nachfrage hin, weshalb – wenn schon alles konfiguriert und aufgesetzt – dasselbe EU-Cookie-Banner nicht auch gleich für den Schweizer IP-Adressen-Raum übernommen wird, antwortet SRF lapidar sinngemäss: Weil wir nicht müssen. Eine Benachteiligung der Schweizer Userschaft sehe die SRG dabei nicht.
In der Schweiz ist ein Cookie-Banner, wie erläutert, keine Pflicht. Es würde lediglich eine entsprechende Information und die Möglichkeit eines «Opt-out» genügen. Wir haben uns dennoch für einen Cookie-Banner bei Zugriffen aus der Schweiz entschieden, um noch transparenter über den Einsatz von Cookies und ähnlichen Technologien zu informieren – diese Information erfolgte bisher nur in der Datenschutzerklärung. Zudem ist unsere Lösung, im Vergleich zur vorherigen Situation, deutlich userfreundlicher. Denn unter «Individuell verwalten» bieten wir die Möglichkeit, die von Ihnen genannten nur notwendigen Cookies zu akzeptieren. Zudem können unter «Datenschutz-Einstellungen» (im Footer der Webseite) die Cookie-Einstellungen jederzeit selbst verwaltet werden.
Webseiten Besucherinnen und Besucher in der Schweiz sind daher nicht schlechter gestellt. Vielmehr haben wir uns für zwei unterschiedliche Cookie-Banner entschieden, um den jeweils anwendbaren rechtlichen Rahmenbedingungen gerecht zu werden. Diese Rahmenbedingungen unterscheiden sich, je nachdem ob unser Online-Angebot aus der Schweiz oder aus dem EU-Raum abgerufen wird.„
SRG-Medienstelle
Die Begründung ist Whataboutism vom Feinsten. Denn von wegen „rechtlichen Rahmenbedingungen gerecht zu werden“: niemand zwingt die SRG rechtlich dazu bei Schweizer User:innen mehr Daten zu sammeln. Und umgekehrt: niemand verbietet der SRG das Prinzip der Datensparsamkeit à la EU auch in der Schweiz anzuwenden. Wie gesagt geht es der SRG dabei (wie auch der NZZ, TX Media, Ringier etc.) sehr wahrscheinlich nur darum, die Datenbearbeitung uneingeschränkt zu ermöglichen und Kampagnen auf den amerikanischen und chinesischen Big Tech-Plattformen durchzuführen.
Das mag aus deren Marketingsicht legitim sein, aber das soll auch so benannt werden. Eine ehrliche Antwort wäre besser gewesen.
Und hier sei nochmals der Hinweis angefügt: Wer den Versand seiner IP-Adresse (der „Hausnummer des Internets“) und weiterer personenbezogenen Informationen vermeiden möchte, dem seien einfache Browser-Erweiterungen wie Tracking-Protection (durch Adblocker wie uBlockOrigin und PrivacyBadger) sowie Tools wie CookieAutoDelete wärmstens empfohlen.
7 Antworten
Hallo Adrienne Fichter
Bezüglich dem Thema „IP Adresse effektiv schützen“ arbeite ich mit den Tools von safing.io Portmaster und SPN mit sehr guten Erfahrungen schon seit über einem Jahr. In dieser Beziehung scheint es einem VPN überlegen zu sein, zumindest auf dem Desktop.
Beste Grüsse
Erwin
Ich sehe das rechtlich durchaus noch etwas enger: Die SRG ist nach überwiegender schweizerischer Rechtsauffassung nach Schweizer Datenschutzrecht tatsächlich nicht verpflichtet, einen Cookie-Banner aufzuschalten. Dennoch ist sie meines Erachtens nicht befugt, für Besucher*innen aus dem EU-Raum und Besucher*innen aus der Schweiz unterschiedliche bzw. unterschiedlich konfigurierte Cookie-Banner zu verwenden:
a) Als Rundfunk-Veranstalterinn miut öffentlichem Grundauftrag (durch Leistungsauftrag) ist die SRG zur rechtsgleichen Behandlung aller Drittpersonen verpflichtet. Sie untersteht – wie die öffentliche Verwealtung – dem Gleichbehandlungssatz voin Art. 8 BV.
b) Wenn die SRG freiwillig Informatik-Anwendungen einsetzt, welche den Personendatenschutz betreffen, so untersteht dies Art. 7 DSG. Mithin ist die SRG auch bei freiwilliger Verwendung eines Cookie-Banners verpflichtet, „mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt.“
Wehen des öffentlichen Leistungsauftrags ist das m.E. ein Fall für eine aufsichtsrechtliche Anzeige ans BAKOM.
Lieber Herr Kettiger. Danke für den interessanten Hinweis! Mir erschien die Antwort der Medienstelle auch zu flapsig (und die Rolle des öffentlich-rechtlichen Rundfunks völlig ausblendend). Falls Sie eine solche Anzeige erwägen, lassen Sie es mich wissen.
Die Vorzugsbehandlung erstreckt sich vermutlich nicht nur auf die EU, sondern generell auf ‚Üsserschwyzer‘.
Jedenfalls habe ich letzten Monat die Option ‚Nur Notwendige‘ auch in Indien erhalten …
Sehr interessant für den Hinweis, danke. Damit konfrontier ich doch gleich mal SRF und schreibe hier ein Update.
Der Unterschied zwischen europäischer und Schweizer Gesetzgebung ist ja, dass ich in der EU zustimmen muss, getrackt zu werden. In der Schweiz muss ich dem Tracking widersprechen. Damit ist der Datenschutz in der Schweiz erst mal schwächer als in der EU (Martin Steiger erklärt es hier: https://www.cyon.ch/blog/Welche-Websites-benoetigen-Cookie-Banner#CH-Recht). Anders gesagt, der Verzicht auf nervige Cookie-Banner (gern als Vorteil gepriesen) ist teuer erkauft.
Der Gesetzgeber könnte aber diesen Nachteil aus meiner Sicht sehr einfach zu einem Vorteil für die Verbraucher umwandeln. Er müsste nur gesetzlich vorschreiben, dass Websitebetreiber in CH die „Do not track“-Funktion (DNT), die in den wichtigsten Browsern eingebaut ist, berücksichtigt werden muss. Mehr dazu hier: https://www.experte.de/it-sicherheit/do-not-track
Dann könnte jeder Schweizer und jede Schweizerin sehr einfach und einmalig über den Browser dem Tracking widersprechen. Aus meiner Sicht gilt das übrigens auch für Tracking-Methoden ohne Cookies.
Hoi Adrienne,
soweit mir bekannt gelten weder Indien noch Australien aktuell als sichere Drittstaaten. Ergo müssten der Transfer von personenbezogenen Daten per anerkannter Standardvertragsklauseln abgesichert werden.
Aber viel schwerwiegender für mich ist, dass dem Transparenz-Gebot des nDSG offensichtlich nicht genügt wird. Aber dies war eh zu erwarten.