Der Bund versucht, mit der Zeit zu gehen: Der Bundesrat überträgt seine Pressekonferenzen mithilfe von Googles Videoplattform Youtube, die Bundesräte und zahlreiche Verwaltungszweige äussern sich regelmässig auf dem Nachrichtendienst Twitter. Die meisten behördlichen Verlautbarungen in den sozialen Medien finden ihren Weg auch auf die Website des Bundes – www.admin.ch – und in ihrem Schlepptau eine Armada von Überwachungsdiensten.

Statistiken über Nutzer der Website zeichnet etwa ch.ch auf, eine Stiftung von Bund und Kantonen. Besucher werden aber auch von Googles Werbedienst namens DoubleClick erfasst. Er ist einer der umstrittensten Teile des amerikanischen Internetriesen, weil DoubleClick den Nutzern durch grosse Teile des Internets nachspürt, ihre Bewegungen verfolgen und damit auch Personenprofile erstellen kann. Weiter sammelt der Nachrichtendienst Twitter Daten über Besucher der Admin-Website. Ermöglicht wird das den US-Firmen, weil der Bund dort Videos und Tweets einbindet.

Unwirksame Disclaimer, untaugliche Hinweise

Problematisch ist, dass der Bund nicht einmal auf die Präsenz dieser Datenkraken aufmerksam macht. Darauf hat der Zürcher Rechtsanwalt Martin Steiger jüngst hingewiesen. «Neben unwirksamen Disclaimern und weiteren untauglichen rechtlichen Hinweisen» fand Steiger «fünf magere Absätze» zum Datenschutz. Dies, obwohl der Bund von Gesetzes wegen erstens eine rechtliche Grundlage für das Sammeln von Daten braucht und zweitens die Betroffenen darüber aufklären muss. Steigers Fazit: «Ich empfehle der Bundeskanzlei, beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) eine Beratung in Anspruch zu nehmen.»

Der Datenschützer schreibt auf seiner Website klipp und klar: «Die Besucher einer Website müssen transparent über die Beschaffung personenbezogener Daten, über den Zweck der Bearbeitung und die Datenanalyse informiert werden. Ansonsten liegt üblicherweise ein Verstoss gegen die Grundsätze der Erkennbarkeit und der Zweckbindung der Datenbearbeitung vor.»

Auf Anfrage dieser Redaktion hat der Datenschützer bei der Bundeskanzlei interveniert. Diese räumt ein, dass ihre «Disclaimer» genannten Datenschutzhinweise nicht alle erforderlichen Punkte abdecken. «Wir hatten vom Fehlen dieser umfassenden Information Kenntnis», sagt Ursula Eggenberger von der Bundeskanzlei. «Aus diesem Grund hatte die Bundeskanzlei bereits einen neuen Disclaimer mit einem expliziten Hinweis erarbeitet.» Der Entwurf werde vom Datenschützer noch geprüft und danach übersetzt, verspricht Eggenberger: «Der neue Text wird so schnell wie möglich veröffentlicht und den veralteten ersetzen.»

Das Büro des Datenschützers will dafür sorgen, dass die Benutzer der Bundeswebsite in Zukunft transparent informiert werden. «Der EDÖB ist der Meinung, dass Bund und EDÖB in Sachen Datenschutz eine Vorbildfunktion haben müssen», sagt Silvia Böhlen, Sprecherin des Datenschützers.

Datenschutzgesetz wird überarbeitet

Zahlreiche Schweizer Website-Betreiber haben ihre Datenschutzhinweise überarbeitet, seit im Mai 2018 die neue Datenschutzverordnung der EU in Kraft getreten ist. Die Schweizerische Bankiervereinigung etwa informiert sehr detailliert darüber, in welcher Form Informationen über Benutzer gespeichert werden. Meistens nutzen Websites dafür sogenannte Cookies: Textdateien, die auf dem Computer des Besuchers abgelegt werden und zum Beispiel speichern, wann der letzte Seitenaufruf stattfand, wie lang die Verweildauer war und so weiter.

Cookies erlauben es Dritten auch, einen Benutzer über mehrere verschiedene Websites hinweg zu verfolgen und diese Daten mit Informationen über Social-Media-Konten wie Facebook oder Twitter abzugleichen. Die Bankiervereinigung erklärt sehr genau Namen, Zweck und Speicherdauer der Cookies, welche ihre Website einsetzt, Nutzer können die meisten auch ablehnen. Solche Informationen bieten viele Schweizer Firmen und Organisationen, damit sie keine rechtlichen Risiken eingehen, wenn Internetnutzer aus dem EU-Raum auf ihre Seiten zugreifen.

Das Bundesparlament arbeitet derzeit an einer Revision des Schweizerischen Datenschutzgesetzes. Es soll dem neuen europäischen Recht gleichwertig sein, damit die EU es anerkennt und der Zugang von Schweizer Unternehmen auf den EU-Markt nicht behindert wird. Der Nationalrat wird sich am 24. September als Erstrat damit befassen. In Kraft treten wird es frühestens 2021.