In einem Artikel von «Republik.ch» wurde behauptet, dass 17 Verlage, die ihren Online-Auftritt von LocalPoint beziehen, hochsensible Leserdaten über die Verwendung der Analytics-Software Yandex Metrika an den russischen Geheimdienst FSB übermittelt haben. Wir werden uns im Folgenden mit den falschen Behauptungen auseinandersetzen und diese richtigstellen.
Tatsächlich hatte LocalPoint die Analytics-Software Yandex Metrica im Einsatz. Yandex hatte jedoch niemals Zugang zu personenbezogenen Daten, geschweige denn zu hochsensiblen Personendaten. Um ihre Dienstleistung zu erbringen, hatte Yandex lediglich Zugriff auf IP-Adressen und nicht-personenbezogene Navigationsdaten der Webseitennutzer. Im ersten Teil werden wir erklären, was IP-Adressen sind und warum sie in unserem Fall keine Personendaten darstellen. Im zweiten Teil werden wir auf alle falschen Behauptungen sowie auf Verzerrungen und Dramatisierungen eingehen.
Was sind IP-Adressen?
IP-Adressen sind numerische Kennzeichnungen, die jeder Internetverbindung zugewiesen werden, um ihre Kommunikation im Internet zu ermöglichen. Diese Adressen werden von Internetdienstanbietern (ISP) vergeben. Die meisten privaten Internetanschlüsse nutzen dynamische IP-Adressen, die sich regelmässig ändern. Tatsächlich sind über 90 Prozent der von ISP vergebenen IP-Adressen dynamisch, während statische IP-Adressen hauptsächlich in Geschäftsumgebungen für spezifische Anwendungen wie Server verwendet werden.
Sind IP-Adressen Personendaten?
Es hängt vom Einzelfall ab. Eine abstrakte Feststellung, ob es sich bei IP-Adressen um Personendaten handelt oder nicht, ist nach dem Urteil vom Bundesgericht nicht möglich (Logistep-Urteil von 2010). In vielen Artikeln wird dieses Urteil zitiert, um zu belegen, dass IP-Adressen in der Schweiz als personenbezogen gelten; dies ist aber nicht so. Lukas Bühlmann, Partner bei MLL Legal, erläutert dies hier: https://www.mll-news.com/logistep-urteil-bundesgericht-qualifiziert-ip-adressen-nicht-grundsatzlich-als-personendaten/.
Personendaten gemäss DSG sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen (Art. 3 lit. a DSG). Entscheidend ist, dass diese Angaben einer Person zugeordnet werden können. Dies ist erfüllt, wenn die Information selbst eine eindeutige Identifizierung ermöglicht oder durch zusätzliche Informationen eine Identifizierung möglich ist. Das Bundesgericht betont, dass nicht jede theoretische Möglichkeit der Identifizierung ausreicht. Wenn der Aufwand so gross ist, dass nach allgemeiner Lebenserfahrung niemand ihn auf sich nehmen würde, liegt keine Bestimmbarkeit vor (E. 3.2 Urteil). Diese Frage muss im Einzelfall unter Berücksichtigung der technischen Möglichkeiten beurteilt werden. Das Bundesgericht hebt hervor, dass nicht nur der objektive Aufwand entscheidend ist, sondern auch das Interesse des Datenbearbeiters oder eines Dritten an der Identifizierung, wie hier von Logistep oder den Rechteinhabern. Dies muss im konkreten Fall beurteilt werden.
Sind IP-Adressen bei der Benutzung von Yandex Metrika Personendaten?
Nein. Im Fall der Benutzung von Yandex Metrika ist davon auszugehen, dass IP-Adressen nicht als Personendaten einzustufen sind, da eine IP-Adresse einer bestimmbaren Person nur im Strafverfahren zugeordnet werden kann. Es ist unrealistisch, dass Yandex oder der FSB eine solche Zuordnung beantragen würden oder dass ein Schweizer Richter dem zustimmen würde.
Ursprüngliche Aussage in der «Republik»:
17 Schweizer Lokalmedien schickten hochsensible Leserinnen-Daten an einen Big-Tech-Konzern, der eng mit dem russischen Staat verbandelt ist. Selbst Bewegungsprofile sind nach Moskau geflossen.
Nachträglich revidierte Aussage in der «Republik»:
17 Schweizer Lokalmedien schickten hochsensible Leserinnen-Daten an einen Big-Tech-Konzern, der eng mit dem russischen Staat verbandelt ist. Ganze Nutzungsprofile sind nach Moskau geflossen.
Fehlaussagen:
Wir haben vorhin erläutert, dass IP-Adressen in unserem Fall keine Personendaten sind. Zwar behauptet die «Republik»-Autorin das Gegenteil und definiert IP-Adressen als «Hausadressen des Internets». In jedem Fall sind es aber keine hochsensiblen Leserinnen-Daten. Sensible Daten nach DSG sind klar definiert, und sind:
- Religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten
- Gesundheitsdaten (einschliesslich genetischer und biometrischer Daten, die zur eindeutigen Identifizierung einer natürlichen Person verarbeitet werden)
- Rassische und ethnische Herkunft
- Sozialhilfemassnahmen
- Massnahmen der sozialen Sicherheit
- Daten über administrative oder strafrechtliche Verfolgungen und Sanktionen
- Daten über das Sexualleben oder die sexuelle Orientierung
Auf solche Daten haben weder LocalPoint noch die Verlage Zugriff und konnten daher auch nichtan Yandex weitergeleitet werden.
In der ersten Version des «Republik»-Artikels wurde behauptet, dass Bewegungsprofile weitergeleitet worden seien, obwohl dies technisch gar nicht möglich war. Mittlerweile wurde dies von der «Republik» korrigiert. Statt «Bewegungsprofile» heisst es neu «ganze Nutzungsprofile» , wobei die Wortwahl überdramatisiert ist. Auch die Formulierung «sind nach Moskau geflossen» erweckt den Eindruck, dass Datendirekt an den russischen Staat geschickt worden seien, was nicht der Fall ist.
Aussage in der «Republik»:
Der Werbeexperte Michael Maurantonio erläuterte auf Anfrage der Republik die Fähigkeiten von Metrica. Nicht nur der Medienverlag, der das Tool auf seiner Website eingebettet hat, sondern auch Yandex selbst erfährt so einiges: welche Inhalte eine Leserin beispielsweise beim «Reussboten» anschaut, woher sie kommt – etwa von Facebook, X oder Google – und welche Website sie als Nächstes ansteuert.
Fehlaussagen:
Erstens muss klar sein, dass Yandex nicht weiss, wer die Leserin ist. Yandex sieht nur eine Nummer (IP-Adresse). Zweitens: Welche Webseite als nächstes angesteuert wird, kann eine Analytics-Software nur erfahren, wenn ein vorhandener Link auf der Webseite angeklickt wird, nicht aber, wenn eine Leserin oder ein Leser manuell eine neue Webseite ansteuert.
«Republik»-Aussage:
Das Analysetool Metrica ist zudem im Android-Betriebssystem von 17 Lokalmedien eingebettet (ob das auch für Apple iOS gilt, ist aufgrund des geschlossenen Systems nicht ersichtlich). Damit werden die Standortangaben einer Leserin nach Russland weitergeleitet, sofern sie das Standort-Tracking in ihren Einstellungen nicht manuell deaktiviert hat. Das ist besonders problematisch, weil Metrica invasiver ist als andere Analyseinstrumente, wie die Privacy-Ingenieurin Kaileigh McCrea in einem Vortrag an der IT-Konferenz Black Hat im August 2023 ausführte. So misst die Yandex-Technologie neben dem genauen Aufenthaltsort auch die Aufenthaltshöhe und die Geschwindigkeit eines sich bewegenden Smartphones und kann so ganze Bewegungsmuster eines App-Nutzers nachvollziehen.
Später von der «Republik» revidierte Aussage:
[..unverändert..]
Der für die 17 Lokalmedien verantwortliche Plattformbetreiber sagt, dass die Apps keinen Zugriff auf den Standort gefordert haben. So oder so: Auf die IP-Adressen – die «Hausadressen des Internets» – hatte Yandex jederzeit Zugriff.
Fehlaussagen:
Die LocalPoint Apps hatten nie Zugang zu Standortangaben, Aufenthaltshöhe oder Geschwindigkeit. Dies kann ohne Probleme auf der Google Play Seiten der Apps von jedem verifiziert werden. Es benötigt daher keine Einstellung von Seiten des Lesers, um dies zu deaktivieren. Die Enthüllungen von Kaileigh McCrea, sind korrekt, aber diese im gleichen Absatz zu nennen, in welchem geschrieben wird, dass Yandex Metrika in den Apps von LocalPoint integriert ist, obwohl diese Sachen in unseren Apps klar nicht möglich sind, verzerrt die Realität und manipuliert die Leser, um LocalPoint und die Verlage in einem schlechten Licht dastehen zu lassen. Dass im Schlusssatz IP-Adressen gleichsetzt werden mit Bewegungsmustern, ist unverhältnismässig und unangemessen.
Aussage der «Republik»:
Brisant ist zudem: Bei all diesen 17 Lokalmedien sind die Cookies von Yandex eingebettet. Dabei handelt es sich um sogenannte identifizierende Textdateien, die das Surfverhalten einer Person über den ganzen Browser hinweg verfolgen und ein Nutzungsprofil erstellen. Damit wird beispielsweise nachverfolgbar, ob eine Nutzerin heute Reussbote.ch liest und morgen in einem Onlineshop einkauft. Diese Yandex-Cookies sind zwar heute nicht aktiv geschaltet, allerdings nicht, weil die Schweizer Medien die Yandex-Tracker verbannt hätten. Sondern weil im Gegenteil der russische Big-Tech-Konzern die Schweizer Lokaltitel erst vor kurzem im Zuge des unternehmerischen Trennungsprozesses aus seinem Kundenportfolio entfernt hat. Weshalb genau, bleibt unklar. Was das bedeutet: Ganze Nutzungsprofile zum Surfverhalten von Leserinnen der 17Medientitel inklusive eindeutiger IP-Adressen sind bis Frühjahr 2024 nach Moskau geflossen.
Fehlaussage:
Ob Yandex Cookies für die Ausführung der Analytics gesetzt hatte, können wir nicht überprüfen, da Yandex Metrika entfernt wurde. Bei vielen Browsern ist das gar nicht möglich. In jedem Fall, um den Nutzer wie im Beispiel auf einem Onlineshop zu verfolgen, müsste dieser auch Yandex oder ein Ad Network integriert haben. Dieser würde dann die gleichen Daten an Yandex liefern wie LocalPoint. Warum daher diese Hetze gegen LocalPoint und die Lokalmedien? Im Artikel erwähnt wird auch das Newsportal Watson, aber nur versteckt am Ende. Zwar schicken die grossen Verlage keine Daten mehr zu Yandex nach Russland, aber nach China zu Unternehmen, die offiziell unter staatlichem Einfluss stehen, und nicht nur wie vermutet bei Yandex.
Abschliessend ist festzuhalten, dass die Darstellung von Republik.ch in Bezug auf die Nutzung von Yandex Metrica durch LocalPoint-Verleger verzerrt und ungenau ist. Die genannten Behauptungen über die Weitergabe hochsensibler Daten und Bewegungsprofile sind technisch und rechtlich unhaltbar. LocalPoint und die beteiligten Verleger setzen sich stets für den Schutz der Daten ihrer Leserinnen und Leser ein und arbeiten kontinuierlich daran, ihre Datenschutzpraktiken zu verbessern. Es ist wichtig, sachliche und korrekte Informationen zu verbreiten, um das Vertrauen der Öffentlichkeit zu wahren und zu stärken.