Symbolbild für Datensicherheit vom SRF auf einem Smartphone

SRF und Datenschutz: Bedenken bezüglich Cookies, KI und grenzüberschreitender Datenübertragung

Das SRF (Schweizer Radio und Fernsehen) ist die öffentlich-rechtliche Rundfunkanstalt der Schweiz für den deutschsprachigen Teil des Landes. Es ist Teil der SRG SSR (Schweizerische Radio- und Fernsehgesellschaft), die in der ganzen Schweiz tätig ist und Programme in den vier Amtssprachen des Landes (Deutsch, Französisch, Italienisch und Rätoromanisch) produziert.

In der Schweiz gilt seit Kurzem ein neues Datenschutzgesetz. Viele Webseiten der Schweiz mussten da einige Anpassungen vornehmen und teilweise auch Cookie Banners einrichten.

Cookie-Banner auf SRF

Dank eines Trööts auf Mastodon wurde ich darauf aufmerksam, dass der neu eingeführte Cookie Banner bei SRF extrem fragwürdig ist.

Manipulatives SRF Cookie-Banner.

Es fehlt eine direkte Möglichkeit, alles abzulehnen, man kann nur alle Cookies akzeptieren, oder danach Optionen einzeln anpassen. Ein klassisches Dark Pattern, das man so nicht verwenden sollte.

Damit arbeitet die gebührenfinanzierte Webseite klar gegen die Interessen ihrer Besucher und Gebührenzahler.

Befremdlicher Datenschutz

Nach der Entdeckung des Cookie-Banners war ich neugierig, und habe einen Blick in die Datenschutzerklärung vom SRF geworfen.

Nachdem ich die überflogen habe, war mir klar, dass ich darüber schreiben muss.

Das SRF sammelt eine Vielzahl von Personendaten von den Nutzern ihrer Online-Angebote. Dazu gehören Stammdaten wie Name, Adresse und E-Mail-Adresse, Vertragsdaten, Kommunikationsdaten, Nutzungsdaten und technische Daten.

Diese Daten werden für verschiedene Zwecke verwendet, wie die Bereitstellung und Optimierung ihrer Online-Angebote, die Information der Nutzer über ihre Programme, die Durchführung von Forschung und Analysen, rechtliche Verpflichtungen, den Schutz ihrer Systeme und Nutzer und die Entwicklung und Nutzung von künstlicher Intelligenz.

Fahrlässiger Umgang mit Nutzerdaten

Das Schweizer Radio und Fernsehen (SRF) ist ein zentrales Medium für viele in der deutschsprachigen Schweiz. Als öffentlich-rechtliche Rundfunkanstalt nimmt es eine besondere Rolle in der Informationsversorgung und Unterhaltung der Bevölkerung ein.

Doch mit der fortgeschrittenen Digitalisierung und der Integration neuer Technologien wie der künstlichen Intelligenz (KI) in ihre Dienstleistungen tauchen auch neue Fragen und Herausforderungen in Bezug auf Datenschutz und Ethik auf.

Insbesondere im Kontext der KI, einer Technologie, die immer öfter in den Mittelpunkt von Debatten über Datenmanagement und -sicherheit rückt.

SRF und die KI

Besonders leer geschluckt habe ich bei folgendem Abschnitt der Datenschutzerklärung:

Künstliche Intelligenz 
Wir können zur Bearbeitung von Personendaten auch künstliche Intelligenz verwenden. Die Bearbeitung dient dem Zweck, künstliche Intelligenz besser verstehen zu lernen und sachgerecht verwenden zu können. Wir haben dabei stets eine menschliche Kontrolle vorgesehen und achten selbstverständlich auf den Schutz Ihrer Daten. Uns ist bewusst, dass die Verwendung von künstlicher Intelligenz bei der Datenverarbeitung gewisse Risiken und Unsicherheiten mit sich bringen kann. Deshalb haben wir interne Vorgaben, die einen rechtlich und ethisch verantwortungsvollen Umgang mit KI gewährleisten.

SRF Datenschutzerklärung (Stand 31. August 2023)

Hier erfahren wir, dass unsere Personendaten mit KI-Systemen bearbeitet werden. Welche KI? Welche Daten genau? Was für interne Vorgaben? Dazu erfährt man nicht mehr. Als Nutzer kann man diese Verarbeitung von Daten auch nicht widersprechen.

Alle KI-Systeme die heute auf dem Markt sind, stammen von US Unternehmen und verarbeiten ihre Daten in den USA.

Das bedeutet, dass hier das SRF persönliche Daten ihrer Besucher an US Firmen weitergeben und die Daten auf Servern die in den USA stehen gespeichert und weiter ausgewertet – und für alles mögliche gebraucht werden können.

Der Besuch der SRF Webseite wird in Indien analysiert

Dass das SRF Personendaten in die USA und in anderen Länder ausserhalb der EU/EFTA weitergibt wird auch nicht geheimgehalten.

Ein paar Absätze nach dem KI Absatz findet man folgenden Satz:

Wir geben Personendaten auch an Dritte, beziehungsweise an Auftragsbearbeiter weiter, die ihren Sitz nicht in der Schweiz oder EU/EFTA/EWR-Ländern haben.

Derzeit werden Personendaten, zusätzlich zu möglichen Übermittlungen in EU/EFTA/EWR-Länder, in folgende Länder übermittelt: Australien, Indien und USA.

SRF Datenschutzerklärung (Stand 31. August 2023)

Wieder bleibt es ein reines Rätselraten welche Daten in Indien oder Australien ausgewertet werden. Und ganz grundsätzlich die Frage? Wozu werden meine persönlichen Daten in Indien oder Australien verarbeitet?
Und selbstverständlich – der Weitergabe dieser Daten in diese Länder kann man nicht widersprechen.

Extremer Wilder Westen bei den SRF Apps

Wer die Apps von SRF nutzt macht sich gegenüber dem SRF komplett Gläsern. Dieser Horrorabschnitt befindet sich ebenfalls in den Datenschutzbedingungen.

Weiterhin benötigen wir zur Erbringung der Leistungen der App Ihre Gerätekennzeichnung, die eindeutige Nummer des Endgerätes (IMEI = International Mobile Equipment Identity), die eindeutige Nummer des Netzteilnehmers (IMSI = International Mobile Subscriber Identity), die Mobilfunknummer (MSISDN), die MAC-Adresse für WLAN-Nutzung, den Namen Ihres mobilen Endgerätes sowie Ihre E-Mail-Adresse.

SRF Datenschutzerklärung (Stand 31. August 2023)

Neben den Online-Diensten sammelt das SRF auch eine beträchtliche Menge an Daten. Laut ihren Datenschutzbestimmungen werden diverse technische Informationen erfasst, darunter die IMEI und IMSI-Nummern, die MAC-Adresse für WLAN-Nutzung und viele andere. Diese Sammlung von Daten birgt erhebliche Risiken:

  • Persönliche Identifizierung und Verfolgung: Die Kombination von IMEI, IMSI, und Mobilfunknummer ermöglicht eine eindeutige Identifizierung und Zuordnung eines Nutzers zu einem bestimmten Gerät. Dies könnte in den falschen Händen den Weg für gezielte Angriffe oder Missbrauch ebnen.
  • Standortverfolgung: Die Sammlung von IMSI- und IMEI-Daten kann, in Verbindung mit anderen Daten, zur Standortverfolgung eines Nutzers verwendet werden, was die Privatsphäre erheblich beeinträchtigt.
  • Sicherheitsverletzungen: Wenn diese Daten durch einen Sicherheitsvorfall kompromittiert werden, könnten Angreifer Zugriff auf hochsensible Informationen erhalten, die für kriminelle Aktivitäten, wie beispielsweise Identitätsdiebstahl, ausgenutzt werden könnten.
  • Unautorisierte Datenzugriffe: Sollten diese Daten, insbesondere MAC-Adressen, in Kombination mit anderen Informationen verfügbar gemacht werden, könnten Dritte potenziell Netzwerke infiltrieren oder Nutzeraktivitäten überwachen.
  • Eingeschränkte Kontrolle durch den Nutzer: Durch das Sammeln einer solchen Vielzahl von Daten entzieht man den Nutzern die Kontrolle über ihre eigenen Informationen. Selbst wenn sie bestimmte Funktionen der App nicht nutzen wollen, könnten ihre Daten dennoch gesammelt und verarbeitet werden.

Die Hauptfrage, die sich hier stellt, ist: Ist diese Datensammlung wirklich notwendig? Ein Grossteil dieser Daten scheint über das hinaus zu gehen, was für die Funktion einer Medien-App erforderlich ist. Diese umfangreiche Datenerfassung birgt erhebliche Risiken in Bezug auf Datenschutz und -sicherheit.

Fragen an das SRF

Update
Inzwischen sind die Antworten vom SRF eingetroffen. Die können hier gelesen werden.

Beim lesen der SRF Datenschutzbedingungen sind mir einige Fragen aufgekommen. Konkret habe ich folgende 13 Fragen formuliert und beim SRF nach der Publikation dieses Artikels eingereicht.

Sobald ich hier eine Antwort bekomme, werde ich dieser als Nachfolgebeitrag im Blog veröffentlichen.

  1. Manipulativer Cookie-Banner: Warum wurde der Cookie-Banner so gestaltet, dass er Nutzer in eine bestimmte Richtung lenkt, anstatt ihnen eine klare und einfache Wahl zwischen Zustimmung und Ablehnung zu bieten? Glauben Sie nicht, dass ein transparenterer Ansatz das Vertrauen der Nutzer stärken würde?
  2. KI-Systeme: Welche KI-Systeme setzen Sie genau ein? Handelt es sich dabei um Eigenentwicklungen oder nutzen Sie Drittanbietersysteme? Wenn ja, welche?
  3. Verantwortung für KI-Entscheidungen: Wer übernimmt die Verantwortung, wenn die von Ihnen eingesetzte KI fälschlicherweise Entscheidungen trifft oder Daten missbraucht? Wie können Nutzer solche Entscheidungen anfechten?
  4. Datentransparenz: Können Sie konkretisieren, welche personenbezogenen Daten an Länder wie die USA, Australien und Indien übermittelt werden? Welche Firmen oder Institutionen in diesen Ländern haben Zugriff darauf?
  5. Datenzugriff: Wer innerhalb des SRF und bei Ihren Partnern hat Zugriff auf die gesammelten Daten?
  6. Zweck der App-Datensammlung: Für welchen konkreten Zweck benötigen Sie detaillierte technische Informationen wie IMEI, IMSI und MAC-Adresse von Nutzern Ihrer Apps?
  7. Notwendigkeit von Daten: Wie tragen diese spezifischen Daten (IMEI, IMSI, MAC-Adresse usw.) zur Funktionalität oder Verbesserung der App bei? Sind sie für den Betrieb der App unerlässlich?
  8. Standortdaten: Werden durch das Sammeln von IMSI und IMEI auch Standortdaten erfasst? Wenn ja, wie werden diese genutzt?
  9. Transparenz und Aufklärung: Wie informieren Sie Ihre App-Nutzer über die Art der gesammelten Daten und deren Nutzung? Gibt es eine einfache Möglichkeit für Nutzer, eine vollständige Liste der von der App erfassten Daten anzufordern?
  10. Verwendung von Drittanbieter-SDKs: Nutzen Ihre Apps Software Development Kits (SDKs) von Drittanbietern, die möglicherweise auch Zugriff auf diese technischen Daten haben könnten?
  11. Opt-Out Möglichkeit: Gibt es eine Möglichkeit für Nutzer, bestimmte Datenerfassungen oder -übertragungen abzulehnen oder sich dagegen zu entscheiden, ohne die Dienste des SRF vollständig meiden zu müssen?
  12. Datenminimierung: In Anbetracht der Datensparsamkeit, einem Grundprinzip des Datenschutzes: Warum sammeln Sie mehr Daten als offensichtlich für die Funktion Ihrer Dienste erforderlich? Haben Sie Massnahmen zur Datenminimierung in Erwägung gezogen?
  13. Klarheit über Dritte: Können Sie eine Liste der Drittanbieter bereitstellen, mit denen Sie zusammenarbeiten, insbesondere jener, die Zugriff auf die Nutzerdaten haben?

Fazit

Im Zeitalter der digitalen Transformation und des exponentiellen Wachstums von Daten liegt es in der Verantwortung aller Organisationen, insbesondere öffentlicher und gebührenfinanzierter Institutionen wie dem SRF, sorgfältig und transparent mit den Daten ihrer Nutzer umzugehen. Es ist enttäuschend zu sehen, dass das SRF, eine Institution, die von der Öffentlichkeit finanziert wird und der sie dient, nicht in der Lage ist, sich voll und ganz für die Interessen ihrer Nutzer und Gebührenzahler einzusetzen, insbesondere in Bezug auf den Datenschutz.

Die genannten Punkte in Bezug auf Cookies, KI und Datenübertragungen ausserhalb der EU/EFTA, sowie die tiefgreifenden Informationen, die von den SRF-Apps gesammelt werden, sind besorgniserregend. Nutzer sollten sich ihrer digitalen Rechte bewusst sein und die Freiheit haben, informierte Entscheidungen über die Nutzung ihrer Daten zu treffen.

Das SRF und ähnliche Organisationen sollten diese Kritik als Chance sehen, ihre Praktiken zu überdenken und ihre Datenschutzmassnahmen zu verbessern. In einer Zeit, in der Vertrauen und Transparenz entscheidend sind, sollte die Wahrung der Privatsphäre der Nutzer an vorderster Front stehen. Es bleibt zu hoffen, dass das SRF diese Bedenken ernst nimmt und in der Zukunft eine vorbildliche Rolle im Bereich des Datenschutzes einnimmt.


Beitrag veröffentlicht

in

von

Schlagwörter:

Kommentare

2 Antworten zu «SRF und Datenschutz: Bedenken bezüglich Cookies, KI und grenzüberschreitender Datenübertragung»

  1. Avatar von Thrawnium
    Thrawnium

    WOW, Krass!
    Ich benutze SRF praktisch täglich (Mobile App so wie im Browser). Muss mir allerdings wohl eine «alternative» suchen, denn so was hätte ich niemals gedacht, dass SRF so dreist ist, und solche Daten erhebt (und sie so weiter gibt)
    Was gibt es eigentlich sonst, für Alternativen bezüglich den aktuellen Nachrichten?
    Sollte nicht so was das neue Datenschutzgesetz der Schweiz verhindern? Oder zumindest dafür sogen, dass die Nutzer aktiver auf dies hingewiesen werden?

    Vielen Dank für diesen Tollen Blogartikel!

    1. Avatar von Samuel

      Ich denke du kannst problemlos weiterhin Nachrichten vom SRF konsumieren. Das grösste Problem aus meiner Sicht sind die Apps, aber du kannst ja auch problemlos mit dem Browser «srf.ch» aufrufen und dort die Nachrichten lesen / hören und sehen.

      Ich möchte hier nur ungern Empfehlungen für einzelne Medien ausgeben. Ich kann nur empfehlen möglichst die Nachrichten immer breit und über verschiedene Medien zu konsumieren.

      Ich selber lese gerne die NZZ (Abo), Watson und PrimeNews (lokale Nachrichten für den Raum Basel ebenfalls Abo) für meinen täglichen Überblick.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Einträge