Man hat sich daran gewöhnt: Beim Aufruf einer Website erscheint am Bildrand ein Fenster, das vor sogenannten «Cookies» warnt. Meist schnell weggeklickt, sagt es uns: Unsere Daten landen nicht nur bei den Betreibern der Website – sondern auch bei Dritten wie Facebook und Google.
Schweizer Parteien, namentlich die CVP, die FDP und die SVP, handhaben das nicht anders. Bei der CVP heisst es zum Beispiel: «Diese Website nutzt Cookies». Gleichzeitig wird dem Besucher die Möglichkeit gegeben, sein Einverständnis zu signalisieren: «Ich stimme zu» oder «Einverstanden» lautet der entsprechende Button.
Nur: Ein Klick darauf bewirkt einzig, dass die Warnung verschwindet. Im Hintergrund passiert nichts. Im Gegenteil: Die persönlichen Daten sind zu diesem Zeitpunkt schon bei Facebook gelandet – ungefragt. Dies zeigt eine Untersuchung von SRF. Nicht betroffen: die SP. Untersucht wurden alle Bundesratsparteien.
Datenschützer: «Gute Gelegenheit, das in Ordnung zu bringen»
Konkret erfährt Facebook damit, welche seiner Nutzer die Parteiwebseiten besuchen. Diese Informationen werden zu Werbezwecken verwendet und können auch von der Partei selber genutzt werden.
Schon vor einem Jahr hat eine Recherche des Online-Magazins «Republik» auf diese Praxis in Zusammenhang mit politischen Kampagnen hingewiesen. Schon damals hiess es von Seiten des Eidgenössischen Datenschützers (EDÖB): «Die blosse Information (...) gilt nicht als ausdrücklich.»
Das heisst: Zum Weitergeben von Daten an Facebook braucht es die ausdrückliche Zustimmung des Besuchers – darf dies erst geschehen, nachdem er seine Einwilligung durch einen Klick auf den Button gegeben hat.
Die Recherche in Bildern
Vor drei Wochen hat der EDÖB die Parteien noch einmal in einer Checkliste an seine Empfehlungen erinnert. Dort wird die Frage gestellt: «Werden (...) Technologien eingesetzt, welche gewährleisten, dass (...) die Datenübermittlung erst nach einer allfälligen Zustimmung erfolgt?»
Die Recherche von SRF zeigt nun: Dieser Aufforderung kamen die drei Parteien CVP, FDP und SVP nicht nach. Es fand ein ungefragter Datentransfer statt, der sich höchstens durch eigene Schutzmassnahmen verhindern liess. Die Cookie-Warnung mit dem Button suggeriert, man müsse tatsächlich zuerst sein Einverständnis geben, bevor etwas an Facebook geht. Eine Alibiübung.
Datenschutzbeauftragter Adrian Lobsiger sagt auf Anfrage, dass er den Parteien generell rate, eine ausdrückliche Einwilligung einzuholen – zumal es um eine weltanschauliche Beeinflussung gehe.
«Wenn das Cookie bereits gesetzt wird, bevor man zugestimmt hat, ist die Frage, ob das wirklich beabsichtigt worden ist vom Webseitenbetreiber.» Technische Versehen müssten behoben werden. «Es wäre eine gute Gelegenheit, das vor der Sommerpause noch in Ordnung zu bringen.»
FDP: «Entspricht nicht unseren Standards»
Auf Anfrage von SRF wollen die drei Parteien CVP, FDP und SVP über die Bücher gehen. Die CVP will den Mangel technisch beheben – in der Zwischenzeit solle man sich von seinem Facebook-Profil abmelden, bevor man auf die CVP-Website gehe, falls man die Datenweitergabe nicht wünsche.
Die FDP wiederum spricht von einer Situation, der sie sich nicht bewusst gewesen sei. «Dies entspricht nicht unseren Standards.» Sie habe das Problem nun behoben. Es seien zwei Kampagnenseiten betroffen gewesen.
Die SVP schliesslich ist ebenfalls bemüht, der «klar formulierten» Checkliste des EDÖB nun nachzukommen: «Wir sind daran, dies zu korrigieren.»