Update: SBB liefern nur anonymisierte Daten an Tech-Konzerne
Das russische Tech-Unternehmen Yandex taucht in der Lieferantenliste des zur SBB-Website gehörenden Cookie-Banners auf. Dies sei ein Fehler, schreibt das Bahnunternehmen und bekräftigt, dass es an keine der dort aufgelisteten Firmen Personendaten liefere.
Update vom 29.8.2023 (Nachmittag): Die Schweizerischen Bundesbahnen (SBB) haben sich in einer ausführlichen Stellungnahme zu möglichen Datenlieferungen an Yandex und weiteren Tech-Konzernen geäussert: "Die SBB liefert weder Yandex noch anderen aufgelisteten Firmen Personendaten", stellt das Unternehmen klar. "Die SBB stellt Google AdServer nur anonymisierte Daten zur Verfügung, sofern eine Kundeneinwilligung vorliegt. Auf unserem AdServer war Yandex immer blockiert und konnte somit keine Werbung schalten. Zudem ist Yandex mittlerweile nicht mehr offiziell als IAB-Vendor gelistet. Daher ist es ein Fehler, dass dies noch aufgeführt wird."
Zum von Rechtsanwalt Martin Steiger vorgebrachten Vorwand, wonach Cookie-Banner und dessen Einstellungen nicht datenschutzfreundlich seien, schreibt der Konzern: "Die Einwilligung über einen Button ist gängige Praxis bei der Akzeptanz von Cookies und ist rechtskonform. Bei Kundinnen und Kunden, die die Cookies nicht akzeptieren, werden auch keine Cookies gesetzt. Die SBB hält sich im Bereich des Consent Managements an die Regeln und das Verfahren, welche die IAB Europe, der europäische Verband für digitales Marketing und Werbung, herausgegeben hat." Man plane keine Änderungen an den Cookie-Grundeinstellungen im Zusammenhang mit dem neuen Datenschutzgesetz, heisst es zum Schluss.
Originalmeldung vom 29.8.2023 (Vormittags):
SBB teilen Website-Daten mit russischem Tech-Konzern – oder auch nicht
Die Schweizerischen Bundesbahnen (SBB) liefern Personendaten an den russischen Tech-Konzern Yandex. Zu dieser Erkenntnis kam zumindest unlängst Martin Steiger, Anwalt und Unternehmer für Recht im digitalen Raum. Wie er in einem Blogbeitrag ausführt, entdeckte er den Namen des Konzerns in der "Lieferantenliste", die sich via Cookie-einstellungen anzeigen lässt. Demnach erstelle Yandex von den Besucherinnen der SBB-Website ein "personalisiertes Anzeigen-Profil", verwende "genaue Standortdaten" und verknüpfe "verschiedene Geräte", fasst Steiger zusammen. Die Daten würden 121 Monate - mehr als 5 Jahre lang gespeichert.
Wer will, kann diese Datenbearbeitung durch Yandex abwählen. Dazu muss man im Cookie-Banner "Zwecke anzeigen" anklicken und dann in den entsprechenden Kategorien Yandex abwählen. Wer aber auf die Website der SBB surft und dort schlicht auf "Akzeptieren" klickt, der stimme theoretisch der Bearbeitung zu – und damit auch der Übermittlung seiner Daten nach Russland, wie Steiger anmerkt.
Die Rechtsgültigkeit dieser Einwilligung sei zweifelhaft, schreibt der Anwalt weiter, da es an der erforderlichen Ausdrücklichkeit fehle: "Besucherinnen der SBB-Website müssen nicht damit rechnen, dass ihre Daten nach Russland fliessen und dort während Jahren gespeichert werden."
SBB: "Daten sind anonymisiert"
Grundsätzlich, konstatiert Steiger, wirkten die Cookie-Voreinstellungen auf der SBB-Website nicht datenschutzfreundlich. Er weist darauf hin, dass das am 1. September 2023 in Kraft tretende neue Datenschutzgesetz den Grundsatz "Privacy by Default" anordnet.
Via X (ehemals Twitter) haben die SBB ein Statement abgegeben: "SBB liefert weder Yandex noch anderen aufgelisteten Firmen Personendaten. SBB stellt Google AdServer wie viele Firmen anonymisierte Daten zur Verfügung, sofern Kunden-Einwilligung vorliegt. Auf unserem AdServer war Yandex immer blockiert und konnte keine Werbung schalten", schreibt der Konzern.
Diese Stellungnahme findet Steiger wiederum "unglaubwürdig", zumal sie den Angaben auf der Website widerspreche. "Wieso informieren die SBB ausdrücklich über die Bearbeitung von Personendaten von Website-Besuchern durch Yandex und ersuchen um eine entsprechende Einwilligung, wenn eine solche Bearbeitung durch Yandex infolge Sperrung gar nicht stattfinden soll?", fragt er dazu. Er fügt an, dass für die Lieferung anonymisierter Daten gar keine Einwilligung erforderlich wäre.
Die SBB haben bislang noch nicht auf eine Anfrage der Redaktion reagiert.
Übrigens ist das Bahnunternehmen weitaus nicht das einzige, welches Yandex als Partner aufführt. Auch "blick.ch" oder "20minuten.ch" täten dies, merkt ein Kommentarschreiber auf Steigers Blog an. Auch da dürfe man hinschauen, antwortet der Anwalt und fügt hinzu: "Die meisten Menschen in der Schweiz dürften an die staatlichen SBB allerdings höhere Anforderungen haben als an Medienkonzerne."
Anfang 2023 sorgten die SBB mit ihren Plänen für ein Videosystem für Datenschutzbedenken. Mehr dazu lesen Sie hier.
HPE und Bosch bringen Lösungen zusammen für Digital Twins
Schweden seit Nato-Beitritt verstärkt im DDoS-Visier
Red Hat stellt neue Lösungen für Entwickler vor
SAP würdigt seine Schweizer Lieblingskunden
Wieso man nicht ziellos herumirren sollte beim Telefonieren
KI bei Cyberangriffen: Zukunftsmusik oder reale Bedrohung?
Scammer kommen via Phishing-Mail an Facebook-Bezahldaten
Wie der IT-Arbeitsplatz von morgen gemäss ADN aussieht
Schweizer Strafverfolger überwachen etwas weniger, holen aber mehr Auskünfte ein
