Man hat sich daran gewöhnt: Beim Aufruf einer Website erscheint am Bildrand ein Fenster, das vor sogenannten «Cookies» warnt. Meist schnell weggeklickt, sagt es uns: Unsere Daten landen nicht nur bei den Betreibern der Website – sondern auch bei Dritten wie Facebook und Google.
Schweizer Parteien, namentlich die CVP, die FDP und die SVP, handhaben das nicht anders. Bei der CVP heisst es zum Beispiel: «Diese Website nutzt Cookies». Gleichzeitig wird dem Besucher die Möglichkeit gegeben, sein Einverständnis zu signalisieren: «Ich stimme zu» oder «Einverstanden» lautet der entsprechende Button.
Nur: Ein Klick darauf bewirkt einzig, dass die Warnung verschwindet. Im Hintergrund passiert nichts. Im Gegenteil: Die persönlichen Daten sind zu diesem Zeitpunkt schon bei Facebook gelandet – ungefragt. Dies zeigt eine Untersuchung von SRF. Nicht betroffen: die SP. Untersucht wurden alle Bundesratsparteien.
Datenschützer: «Gute Gelegenheit, das in Ordnung zu bringen»
Konkret erfährt Facebook damit, welche seiner Nutzer die Parteiwebseiten besuchen. Diese Informationen werden zu Werbezwecken verwendet und können auch von der Partei selber genutzt werden.
Schon vor einem Jahr hat eine Recherche des Online-Magazins «Republik» auf diese Praxis in Zusammenhang mit politischen Kampagnen hingewiesen. Schon damals hiess es von Seiten des Eidgenössischen Datenschützers (EDÖB): «Die blosse Information (...) gilt nicht als ausdrücklich.»
Das heisst: Zum Weitergeben von Daten an Facebook braucht es die ausdrückliche Zustimmung des Besuchers – darf dies erst geschehen, nachdem er seine Einwilligung durch einen Klick auf den Button gegeben hat.
Die Recherche in Bildern
-
Bild 1 von 5. Loggt man sich bei Facebook ein, wird im Browser ein Cookie abgelegt (sichtbar unten rechts). Darin befindet sich eine eindeutige Nutzerkennung (gelb markiert). Bildquelle: SRF (Screenshot: 20.6.2019).
-
Bild 2 von 5. Beim initialen Aufruf der CVP-Website wird die Warnung angezeigt, dass das Tracking-Tool «Google Analytics» eingesetzt wird. Von Facebook ist keine Rede. Trotzdem wird unmittelbar und ungefragt eine Anfrage an den Facebook-Server geschickt. Inhalt: Ein Cookie mit der zuvor gespeicherten Nutzerkennung (gelb markiert). Bildquelle: SRF (Screenshot: 20.6.2019).
-
Bild 3 von 5. Die FDP gibt nur auf bestimmten Unterseiten Daten an Facebook weiter, so zum Beispiel auf der Kampagnenseite zur EU-Waffenrichtlinie. Dort wird explizit darauf hingewiesen – nur erfolgt auch hier die Weitergabe der Daten, bevor man auf «Ich stimme zu» geklickt hat. Bildquelle: SRF (Screenshot: 20.6.2019).
-
Bild 4 von 5. Bei der SVP bietet sich das gleiche Bild: Das Facebook-Cookie, das den Nutzer bei seinem Besuch der Partei-Website verrät, wird ungefragt an Facebook zurückgeschickt. Bildquelle: SRF (Screenshot: 20.6.2019).
-
Bild 5 von 5. Anders bei der vierten Bundesratspartei, der SP: Hier wird nichts an Facebook übermittelt. Bildquelle: SRF (Screenshot: 21.6.2019).
Vor drei Wochen hat der EDÖB die Parteien noch einmal in einer Checkliste an seine Empfehlungen erinnert. Dort wird die Frage gestellt: «Werden (...) Technologien eingesetzt, welche gewährleisten, dass (...) die Datenübermittlung erst nach einer allfälligen Zustimmung erfolgt?»
Die Recherche von SRF zeigt nun: Dieser Aufforderung kamen die drei Parteien CVP, FDP und SVP nicht nach. Es fand ein ungefragter Datentransfer statt, der sich höchstens durch eigene Schutzmassnahmen verhindern liess. Die Cookie-Warnung mit dem Button suggeriert, man müsse tatsächlich zuerst sein Einverständnis geben, bevor etwas an Facebook geht. Eine Alibiübung.
Datenschutzbeauftragter Adrian Lobsiger sagt auf Anfrage, dass er den Parteien generell rate, eine ausdrückliche Einwilligung einzuholen – zumal es um eine weltanschauliche Beeinflussung gehe.
«Wenn das Cookie bereits gesetzt wird, bevor man zugestimmt hat, ist die Frage, ob das wirklich beabsichtigt worden ist vom Webseitenbetreiber.» Technische Versehen müssten behoben werden. «Es wäre eine gute Gelegenheit, das vor der Sommerpause noch in Ordnung zu bringen.»
FDP: «Entspricht nicht unseren Standards»
Auf Anfrage von SRF wollen die drei Parteien CVP, FDP und SVP über die Bücher gehen. Die CVP will den Mangel technisch beheben – in der Zwischenzeit solle man sich von seinem Facebook-Profil abmelden, bevor man auf die CVP-Website gehe, falls man die Datenweitergabe nicht wünsche.
Die FDP wiederum spricht von einer Situation, der sie sich nicht bewusst gewesen sei. «Dies entspricht nicht unseren Standards.» Sie habe das Problem nun behoben. Es seien zwei Kampagnenseiten betroffen gewesen.
Die SVP schliesslich ist ebenfalls bemüht, der «klar formulierten» Checkliste des EDÖB nun nachzukommen: «Wir sind daran, dies zu korrigieren.»