Einbindung ausländischer Suchmaschinen auf Webseiten des Bundes

Wer auf einer Webseite des Bundes Informationen sucht, etwa zu bestimmten Politikbereichen oder zu Gesundheitsthemen, darf darauf vertrauen, dass mit den dabei anfallenden Daten über seine Person sehr sorgsam umgegangen wird. Bundesorgane haben besonderes Augenmerk auf die datenschutzrechtlichen Vorgaben zu legen.

Wer Webdienste anbietet, bearbeitet regelmässig Personendaten. So sind bereits die reinen IP-Adressen nach der Rechtsprechung des Bundesgerichts zumindest dann als Personendaten zu qualifizieren, wenn der Aufwand für die Bestimmung der betroffenen Person nicht derart gross ist, dass nach der allgemeinen Lebenserfahrung nicht mehr damit gerechnet werden muss, dass ein Interessent diesen auf sich nehmen wird. Auch durch Techniken wie den Einsatz von Cookies oder die Auswertung der so genannten «Referrer» (Angaben über die Internetadresse der Webseite, von der der Benutzer durch Anklicken eines Links zur aktuellen Seite gekommen ist) lässt sich häufig ein Personenbezug herstellen.

Die meisten Bundesorgane bieten Webdienste an, und wir beraten sie in diesem Zusammenhang öfters. Dabei stellte sich die Frage, ob Bundesorgane von ausländischen Privatunternehmen angebotene Suchmaschinen in ihre Webangebote integrieren dürfen. Als problematisch erwies sich im untersuchten Fall, dass es nicht möglich war, die Suchfunktion zu verwenden, ohne dass detaillierte Informationen darüber, wer was gesucht hat, an das in den Vereinigten Staaten von Amerika domizilierte Privatunternehmen fliessen. Die Suchalgorithmen basieren gerade darauf, dass diese Daten (neben der IP-Adresse auch weitere eindeutige Benutzeridentifikatoren und Angaben zum Suchverhalten, wie Suchanfragen und angeklickte Resultate) aufgezeichnet und ausgewertet werden. Überdies sollten die Daten gemäss Datenschutzerklärung der Privatfirma für weitere Zwecke verwendet werden, insbesondere für die Verfeinerung der unternehmenseigenen Software zur Einblendung personalisierter Werbung. Das betreffende Unternehmen betreibt Rechenzentren rund um den Globus. Wie viele Personen innerhalb der Firma und welche weiteren Stellen (private Drittfirmen, staatliche Behörden) Zugriff auf diese Daten nehmen dürfen oder können ist nicht genau bekannt und kaum kontrollierbar. Wegen der Fülle an dort abrufbaren Daten sind derartige Unternehmen zudem regelmässig Ziel von Hackerangriffen aus der ganzen Welt.

Solche Dienstleistungen mögen auf den ersten Blick günstig erscheinen, haben aber eine Kehrseite: Man erkauft sie sich teuer, indem die Nutzer sie mit der Preisgabe von persönlichen Daten und dem Verlust der Kontrolle darüber «bezahlen» müssen.

Seit dem 1. Dezember 2010 gilt für Bundesbehörden eine umfassende Informationspflicht beim Beschaffen von Personendaten. Weder der Bearbeitungszweck noch die Kategorien der Datenempfänger noch die Modalitäten der Geltendmachung des Auskunftsrechts wären beim Einsatz der von uns untersuchten Suchmaschine des amerikanischen Privatunternehmens auch nur annähernd hinreichend bekannt, um dieser gesetzlichen Informationspflicht zu genügen.

Aus diesen Gründen erscheint uns die Einbindung von Suchfunktionen, wie sie ausländische Unternehmen vermeintlich «gratis» anbieten, auf Webseites der Bundesverwaltung als problematisch und kaum in gesetzeskonformer Weise möglich.

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/aeltere-berichte/19--taetigkeitsbericht-2011-2012/einbindung-auslaendischer-suchmaschinen-auf-webseiten-des-bundes.html