SRF im Gestrüpp des Datenschutzes
Play Suisse, aber mit Deinen Daten spielt Microsoft.
Die neue Chefin Nathalie Wappler will umstrukturieren, digitalisieren, nur zu Analog-Linearem fähige Mitarbeiter raushauen, Digital Natives einstellen. Sind nicht nur jünger, sondern auch billiger.
Eine erste Konkretisierung ist «Play Suisse». Ein – das Wort hallte in Leutschenbach zuerst in viele erstaunt geöffnete Münder – Streamingangebot. «Entdecken Sie die neue Art des Fernsehens», lockt SRF. Obwohl die 1,8 Millionen Schweizer, die bereits Netflix abonniert haben, nur müde gähnen können.
Aber gut, auch ein Milliardenbetrieb wie SRF muss mal klein anfangen. Das Angebot ist überschaubar, aber es gibt ein kitzliges Problem. SRF hat beschlossen, dass der Zugang natürlich gratis ist. Man ihn sich aber nur über ein Login verschaffen kann. Obwohl das der Bundesrat gar nicht lustig findet; wir berichteten. «Mehrwert, Zusatzdienste, personalisierte Empfehlungen», dadurch sei ein Login erlaubt, meint SRF.
Hinter der Oberfläche lauert das Word Wide Web
Lassen wir das mal auf sich beruhen. Aber es gibt noch ein zweites, doch eher kitzliges Problem. So ein Login sieht für den Besucher recht harmlos aus. Korrekt mit Begründung, mit Einverständniserklärung, Link zur Datenschutzerklärung, Nutzungsbedingungen, was will man mehr.
Hier scheint alles mit rechten Dingen zuzugehen.
Nun ist es auch hier so, dass an der Oberfläche alles möglichst schlank, nutzerfreundlich und easy ablaufen soll. Dahinter steht aber doch etwas Maschinerie, in diesem Fall ein Login-Verwaltungsprogramm – und ein Server, auf dem die Daten gespeichert werden. Wie jeder nachprüfen kann, führt der Login-Button zu einer ellenlangen Adresse. Wichtig an ihr ist: Die Daten werden an die Domain b2clogin.com geschickt.
Diese gehört Microsoft und wird für «Azure Active Directoy» verwendet, einer Art Verzeichnisdienst für User Logins. Nun mag der Laie sagen: Schön, dass dem jemand so genau nachgeht, aber was soll’s?
Kurz zusammengefasst: Ich meine, mich in der Schweiz beim Schweizer Fernsehen auf dessen Webseite einzuloggen und rechne nicht damit, dass meine Daten bei der Datenkrake Microsoft in den USA landen. Wer die «Privacy Policy» liest, was natürlich jeder der bislang rund 190’000 registrierten Nutzer auch getan hat, wird sogar korrekterweise darüber informiert:
«Wir geben Personendaten auch an Dritte beziehungsweise Auftragsbearbeiter weiter, die ihren Sitz nicht in der Schweiz und in Nicht-EU/EWR-Ländern haben. In diesem Fall stellen wir vor der Weitergabe sicher, dass beim Empfänger entweder ein angemessenes Datenschutzniveau besteht oder eine Einwilligung unserer Nutzer und Nutzerinnen vorliegt.»
Wie sieht das denn SRF selbst? Nun, zunächst «verweist der Link auf einen Server in der EU, nicht in den USA». Wo dieser Server genau steht, kann SRF natürlich nicht sagen, das enthüllt Microsoft nicht. Ebenso wenig, ob diese Daten – was schwer anzunehmen ist – aus irgendwelchen Gründen in die Cloud hochgeladen werden, womit sie dann endgültig (wie übrigens der EU-Server auch schon) auch US-Recht unterstehen.
Die USA mit ihrem lausigen Datenschutz
Wie halten es denn die USA mit dem Datenschutz? Nun, da genügt vielleicht ein Urteil des obersten europäischen Gerichtshofs EuGH: Es hielt letztinstanzlich fest, dass in den USA die Anforderungen an den Datenschutz nicht gewährleistet sind. SRF: Dazu gibt es eine Stellungnahme des EDÖB (Eidg. Datenschutzbeauftragter); «wonach zu den Standardvertragsklauseln ggf. zusätzliche Massnahmen nötig sind, um Datenschutzkonformität zu erreichen. Diese sind die SRG am Verhandeln und hat für den laufenden Einsatz von Azure den ausdrücklichen Vorbehalt der Datenschutzkonformität angebracht.»
So ausdrücklich auch wieder nicht, weder das Wort Azure noch in diesem Zusammenhang Vorbehalt kommen in der Datenschutzerklärung vor. Nun gäbe es theoretisch noch das «Einholen einer Einwilligung». Aber das widerspräche auch den Vorgaben des Bundesrats.
Was wäre wohl ein berechtigtes Interesse?
Da wäre dann noch dieser Satz in der SRG-Erklärung:
«Ihre Personendaten werden von uns grundsätzlich nur dann an Dritte weitergegeben, soweit Ihrerseits eine Einwilligung vorliegt oder unsererseits ein berechtigtes Interesse besteht.»
Da die Einwilligung einwandfrei nicht vorliegt, die Daten an Dritte weitergeben werden, sogar an die USA mit mangelhaftem Datenschutz, könnte es also nur noch ein «berechtigtes Interesse» des Schweizer Farbfernsehens geben.
Welches wäre das? Anders kriegen wir ein Login nicht hin? Das ist ja lachhaft. Also bleibt die Frage doch eher unbeantwortet: Wenn ich mich in der Schweiz auf das Streamingangebot von SRF einlogge, wieso müssen dann meine Daten auf einem Server von Microsoft landen, weil dessen Login-Software verwendet wird? Und wenn mir das nicht egal sein sollte; wieso braucht es dann ein paar Fachkenntnisse, die Bereitschaft, sich durch das berüchtigte Kleingedruckte zu arbeiten, durch die Manuals von Microsoft für Azure, und mir wird sogar vorenthalten, dass die SRG selbst einen «Vorbehalt» angemeldet hat?
Macht bloss keinen Scheiss mit den Daten, bitte
Der ja nur bedeutet: Okay, wir wissen, dass die Amis alles ausschnüffeln, was nicht dreifach geschützt in Panzerschränken aufbewahrt wird. Das finden wir nicht nett. Aber gut, vielleicht ändert ihr das mal, dann können wir auch unseren Vorbehalt zurückziehen. Aber bis dahin bitte keinen Unfug mit unseren Daten treiben, ja?