«Sehr problematisch und grundsätzlich nicht zulässig»

18. Oktober 2022, Sharon Saameli

Der Kanton hat nicht bemerkt, dass er Einfallstore für Facebook und Twitter in seine Website eingebaut hat. Damit ist er schweizweit einzigartig.

«Mangelhaft», «ein Debakel», «gescheitert»: Über die Website des Kantons lesen Sie in der AZ nicht zum ersten Mal. Seit dem Launch der Seite im Frühling 2019 wuchs die Liste an Mängeln stetig an.

Einst wollten Kanton und Stadt ihre Seiten zu einer einheitlichen, nutzerinnenfreundlichen Plattform fusionieren. Der Regierungsrat beauftragte das Informatikunternehmen  von Stadt und Kanton, die KSD, mit der Umsetzung. Kaum war die Seite des Kantons ­online, wurde sie zum Ärgernis – und wuchs in den Folgejahren zu einem mittelgrossen Skandal an. Die Stadt zog sich zurück, der KSD-Chef ging, die Finanzkontrolle deckte eine ganze Reihe von Mängeln auf, der Regierungsrat gestand Fehler ein (unter anderem, dass er vorsätzlich einen Gesetzesverstoss bewilligt hatte). Die Stadt blieb auf ihrer hölzernen Website von 2009 sitzen.

Neue Recherchen der AZ ergänzen nun diese Mängelliste – und zwar im Bereich des Datenschutzes. Knapp zusammenfassen lassen sich diese Recherchen so: Wer sich auf der kantonalen Website bewegt, wird von den beiden Social-­Media-Giganten Facebook und Twitter beobachtet. Informiert wird die Bevölkerung darüber nicht. Zudem liest auf der Hälfte der Websites der Schaffhauser Gemeinden der Tech-Riese Google mit. Nur die Webauftritte dreier Gemeinden kommen gut weg (zur Methode mehr in der Infobox unten).

Schweizweit einzigartig

Dass man Spuren im Netz hinterlässt, die mitunter für Konzerne interessant sind, ist weder neu noch ungewöhnlich. Fast jede Firma analysiert das Nutzungsverhalten auf ihrer Website, um diese attraktiver zu machen und beispielsweise Produkte besser zu platzieren. Betreiberinnen von Websites erhalten die für sie relevanten Informationen über sogenannte Tracking-Cookies. Diese speichern ab, wonach jemand im Internet sucht oder welche Produkte ihm gefallen. Isoliert sind diese Informationen so gut wie wertlos; im Kontext von Big Data werden sie jedoch zu Profilen zusammengefügt und so interpretiert, dass sie gezieltes Marketing unterstützen. Und dies nicht nur für Produkte. Beispielsweise wurde 2017 bekannt, dass die Consulting-Firma Cambridge Analytica in der Wahlkampagne von Donald Trump auf Millionen Facebook-Profile zurückgegriffen hatte.

In jüngerer Zeit gibt es bezüglich dieser Tracking-Funktionen Regulationsbestrebungen. Unter anderem tritt in der Schweiz Ende dieses Jahres ein neues Datenschutzgesetz in Kraft. 

Dass staatliche, kantonale oder kommunale Behörden ebenfalls Web-Auftritte gestalten, ist als Dienstleistung zu verstehen: Das Leben und die Kommunikation aller Beteiligten – namentlich der Bürgerinnen, der Bevölkerung, der Unternehmen und nicht zuletzt der Verwaltung selbst – soll einfacher werden. Der bestechende Vorteil für die Bevölkerung: Alle sie betreffenden kantonalen Dienstleistungen sind auf einer einzigen Seite zusammengefasst. Wer sich also für eine Covid-19-Impfung registrieren, eine Ordnungsbusse der Polizei bezahlen, eine Firma ins Handelsregister eintragen, Sozialhilfeleistungen beantragen oder sich gerichtlich trennen oder scheiden lassen will, findet hier die entsprechenden Informationen und Formulare.

Aber: Bei Websites von Behörden gelten deutlich strengere Datenschutzregeln als bei Konzernen. Denn die öffentliche Hand ist zum Schutz der Personendaten ihrer Bevölkerung verpflichtet, auch wenn sie die Dienste Dritter (wie etwa Google) einbezieht. Und das tut der Kanton Schaffhausen auf verschiedene Art und Weise. Ein harmloseres Beispiel: Das aktuelle Wetter wird über den eingebetteten Drittanbieter Openweathermap dargestellt.

Schaffhausen sieht sich in der Schweiz in Sachen eGovernment als Vorreiter. Dies nicht zuletzt, weil er sich dadurch Standort- und Wettbewerbsvorteile verspricht. Im Wortlaut des eGovernment-Teams: Die «Offenheit und Aufgeschlossenheit gegenüber neuen Informations- und Kommunikationstechnologien stärken die Region und die Wahrnehmung als zukunftsfähigen, flexiblen und modernen Kanton.»

Schaffhausen ist auch nicht der einzige Kanton der Schweiz, der Drittdienste eingebunden hat; Tracking-Funktionen haben auch Webseiten der meisten anderen Kantone: Google analysiert das Nutzungsverhalten in den meisten Kantonen, unter anderem in Zug, Luzern, den beiden Basel, Bern, im Thurgau und Aargau. Im Kanton Zürich wird der Datenschutz höher gewichtet: Hier ist kein Tracking in die Seite eingebaut. 

Schaffhausen ist aber der einzige Kanton der Schweiz, der auch Social Media-Giganten mitlesen lässt.

Dazu kommt: Stand heute haben zehn Gemeinden das System des Kantons übernommen, nämlich Bargen, Gächlingen, Hallau, Hemishofen, Merishausen, Oberhallau, Rüdlingen, Siblingen, Thayngen und Wilchingen. In 13 weiteren Gemeinden sind Google-Tracker am Werk. Nur drei Seiten fallen positiv auf: jene der Stadt Schaffhausen sowie jene der beiden Gemeinden Ramsen und Schleitheim.

Über das Tracking informiert wird man als Nutzerin der Kantons-Website nicht. Die Logos von Facebook und Twitter tauchen lediglich als Dienstleistung auf den Unterseiten von sh.ch auf: Per Mausklick auf runde Symbole können Nutzer die jeweilige Unterseite auf Facebook, Twitter oder auch auf LinkedIn teilen. Ob diese «Share»-Buttons allein dafür verantwortlich sind, dass Informationen an die Grosskonzerne weitergegeben werden, konnte die KSD bis Redaktionsschluss nicht abschliessend klären. Auch ist bis jetzt unklar, ob das Leck von Anfang an in die Seite eingebaut war.

Was wichtig festzuhalten ist: Persönlich in Formulare eingegebene Informationen – beispielsweise bei der Registration zur ­Covid-Impfung oder beim Bezahlen einer Ordnungsbusse – sind explizit nicht Gegenstand des Trackings, weil man dafür auf eine andere, geschützte Seite verwiesen wird. Sichtbar ist gemäss der KSD die IP-Adresse des Nutzers – eine Nummer, die jedem Gerät einmalig zugewiesen wird – sowie die Tatsache, dass diese ­IP-Adresse die Seite sh.ch besucht hat. Daten an die Tech-Giganten verschenkt man also trotzdem.

Grundsätzlich liegt die Website in der Zuständigkeit der Staatskanzlei und des Regierungsrates. Ob sie datenschutztechnisch auf dem neusten Stand ist, könnte vom obersten Datenschutzbeauftragten des Kantons, Christoph Storrer, überprüft werden. Doch der sagt, eine solche formelle Überprüfung sei in den drei Jahren seit der Inbetriebnahme der Website von der verantwortlichen Stelle nie verlangt worden.

Storrer findet deutliche Worte zu den in die Seite eingebauten Einfallstoren: «Das Tracking im Bereich staatlichen Handelns ist sehr problematisch und datenschutzrechtlich grundsätzlich nicht zulässig, da in der Regel dafür keine genügende gesetzliche Grundlage besteht.» Geschehen dürfe die Datenweitergabe nur in pseudonymisierter – also nicht personenbezogener – Form. Höchstens könne das Tracking dann als zulässig erachtet werden, «wenn der Nutzer, welcher mit dem Staat kommuniziert, zweifelsfrei damit einverstanden ist. Dieses Einverständnis kann aber nicht vermutet werden, sondern ist in jedem Einzelfall abzuholen, beispielsweise durch eine Zustimmungserklärung.»

Kommt die Lösung von der Stadt?

Nachdem die AZ die KSD mit der Recherche konfrontiert hatte, versprach diese vertiefte Abklärungen. Heute Donnerstag will sie sich nochmals mit dem Geschäftspartner zusammensetzen mit dem Ziel, das Einfallstor zu schliessen. «Zu betonen ist aber, dass die Daten, welche Nutzer und Nutzerinnen eingeben, von Beginn weg komplett von der Website getrennt waren», so Marco Schirru, Geschäftsleitungsmitglied der KSD und Leiter der eGovernment Services. «Die eingegebenen und persönlichen Informationen werden über ein gesichertes System übertragen.»

Dieses Problem dürfte also demnächst behoben werden. Wie es mit der Kantonswebsite weitergeht, steht indes ganz generell noch nicht fest. Im September letzten Jahres überwies der Kantonsrat ein Postulat von Matthias Frick (damals AL, heute SP), das «so schnell wie möglich» eine neue Website für den Kanton verlangt. Passiert ist seither auf kantonaler Seite wenig – dafür auf städtischer. 

Denn die Stadt Schaffhausen vergab, ebenfalls letztes Jahr, den Auftrag für einen neuen Internetauftritt an die Innovative Web AG, kurz i-web. Sie dürfte damit nicht nur eine «Standardlösung» ausgewählt haben, wie Stadtrat Daniel Preisig damals sagte – sondern auch eine, die datenschutztechnisch sensibel vorgeht. i-web gilt in der Schweiz als die Adresse für behördliche Online-Auftritte, Stand heute hat die Firma rund 650 Städte, Gemeinden und Kantone dabei begleitet – unter anderem die kleinen Schaffhauser Gemeinden Ramsen und Schleitheim, die dadurch auffallen, dass sie keine Tracking-Cookies auf ihren Portalen zulassen. «Insgesamt profitieren über drei Millionen Einwohnerinnen und Einwohner von unseren Lösungen – aus diesem Grund unterstehen wir und unsere Kunden regelmässigen Kontrollen durch kantonale Datenschützer», erklärt der i-web-Marketingleiter Lester Thompson auf Anfrage.

Einst wollten die Stadt und der Kanton Schaffhausen eine gemeinsame Website betreiben. Vielleicht kommt es mittelfristig ja tatsächlich noch dazu.

Schutz vor Tracking – so geht’s
 Je nach Webbrowser – wie etwa Mozilla Firefox, Chrome oder Safari – gibt es verschiedene Möglichkeiten, um sich gegen Überwachung zu schützen.
Manche Sicherheits-Tools sind in den gängigen Browsern bereits integriert. Ein Beispiel dafür ist das Surfen im Privat-Modus (umgangssprachlich auch als «Porno-Modus» bekannt); dieses verhindert aber nur das Speichern des Surf-Verlaufs, nicht aber Tracking von externen Big-Data-Firmen. Firefox und Chrome haben ausserdem einen «Do Not Track»-Modus, der sich in den Einstellungen aktivieren lässt; der Erfolg dieser Modi ist indes mässig, da sie die Website-Betreiber nur darum bitten, nicht zu tracken. 
Nützlicher ist es, für den Browser zusätzlich kleine Software-Pakete, sogenannte Add-Ons, herunterzuladen; diese zeigen an, welche Tracker auf der Website installiert sind, und hindern sie daran, die Surf-Aktivitäten aufzuzeichnen (mit dieser Methode hat die AZ auch die Websites der Schaffhauser Gemeinden und des Kantons überprüft). Schliesslich gibt es die – meistens kostenpflichtige – ­Option, den vollständigen Internet-Datenverkehr über ein VPN-Tunnel zu verschlüsseln; dies bietet auch Schutz vor Hacks und anderweitigem Datenklau.

Update: Der Kanton versprach, das «Einfallstor» zu schliessen – und das ging erfreulich schnell. Bereits am Tag des Erscheinen unseres Artikels waren die Tracker von Facebook und Twitter nicht mehr auf sh.ch aktiv.