Stadt Würzburg versendet problematische Tracking-Postkarten an Familien und Jugendliche
Update vom 15. Dezember 2023: Ich bin über die Thematik mit der Stadt und allen Beteiligten im Gespräch und freue mich, dass meine Kritik so positiv und konstruktiv aufgenommen wurde.
Was ist passiert? Am 6. Dezember erreicht mich eine Postkarte der Stadt Würzburg mit der Bitte an einer Umfrage teilzunehmen. Auf der Karte ist zu lesen: "Umfrage für Familien, Kinder & Jugendliche". Es geht um die Planung von Angeboten für Familien, Kinder und Jugendliche 2024 am Würzburger Hubland. Die Umfrage ist laut Postkarte "vertraulich und anonym".
Grundsätzlich eine gute Sache und ich bin gerne bereit zu helfen. Allerdings machen mich die QR-Codes auf der Rückseite und die zu lesenden Shortlink auf bit.ly schon etwas stutzig. Denn bit.ly ist ein US-Unternehmen mit Sitz in New York. Die Auflösung der bit.ly-Domain verweist auf die IP-Adresse 67.199.248.10. Dieser Server steht mit hoher Wahrscheinlichkeit in den Vereinigten Staaten.
Was mich also daran stört ist, dass ich beim Aufruf der Domain oder des QR-Codes ohne mein Wissen an einen US-Server weitergeleitet werde. Das war Grund genug mir die Sache doch noch mal genauer anzusehen und einen Blick in die Netzwerkanalyse zu werfen.
Nutzung von bit.ly
Allein der Aufruf des bit.ly-Links führt zum Übertragen zahlreicher Daten mit denen ein Fingerprinting bzw. eine Wiedererkennung des Browsers möglich wird. So wird neben diversen IDs zum Beispiel die Bildschirmauflösung, die Ladegeschwindigkeiten, die Quelle "QRCode" sowie die Ziel-URL an Microsoft (browser.events.data.microsoft.com) übertragen. Bit.ly setzt zudem ungefragt ein Cookie mit dem Namen "_bit", welches scheinbar eine eindeutige ID enthält. Erst danach erfolgt eine Weiterleitung an Microsoft Forms (forms.office.com). Das problematische daran ist, dass der Aufruf früherer bit.ly-Links mit diesem und zukünftigen Aufrufen zusammengeführt werden kann. So können Interessen wie "Kinder und Familie" mit anderen Themen in Werbenetzwerken genutzt werden.
Weiterleitung auf Microsoft Forms
Personen, die sich etwas mit Shortlinks auskennen wissen, dass diese auf eine andere URL bzw. Domain weiter leiten. Das problematische daran: Das Ziel ist durch die Nutzer*innen im Link bzw. in der QR-Code-App nicht mehr erkennbar. Im Fall der Postkarte weiß ich vorher nicht, dass der Aufruf zu Microsoft weitergeleitet wird. Auch der Microsoft-Forms-Server mit der IP 13.107.6.194 steht mit hoher Wahrscheinlichkeit in den USA. Es werden also wieder ungefragt Daten in die USA übertragen. Dies ist mit Blick auf die geltende DSGVO als problematisch zu betrachten.
Noch mehr Cookies und Analysetools
Auf der Seite von Microsoft Forms angekommen warten die nächsten Überraschungen. In meinem Browser tummeln sich inzwischen 7 Cookies von Microsoft, die ich ungefragt bekommen habe:
- __RequestVerificationToken
- ai_session
- FormsWebSessionId
- MicrosoftApplicationsTelemetryDeviceId
- MSFPC
- MUID
- RpsAuthNonce
Bei fünf dieser Cookies scheint es sich um eindeutige IDs zu handeln.
Auch auffällig sind leider die ungefragte Einbindung von Google Analytics sowie ein Pixel der Suchmaschine "Bing" von Microsoft. Spätestens jetzt hat auch Google Kenntnis von der Thematik und kann die Menschen in die entsprechenden Schubladen sortieren.
Die Formulare
Es gibt zwei verschiedene Fragebögen. Einen für Familien und einen für Kinder, Jugendliche und junge Erwachsene ab 12 Jahren. Zu diesen beiden Formularen lösen jeweils die beiden QR-Codes bzw. die bit.ly-Links auf.
Der Fragebogen für Familien besteht aus 8 Fragen mit diversen Antwort-Kategorien und ist im Folgenden hier kurz abfotografiert dargestellt. Stellen mit persönlichen Informationen über Ansprechpersonen sind geschwärzt.
Zu beachten ist der einleitende Satz jeweils ganz am Anfang: "Die für die Umfrage erhobenen Daten werden anonym erhoben und gespeichert. Es werden keine personenbezogenen Daten gespeichert." Ich habe da wirklich erhebliche Zweifel.
Das zweite Formular richtet sich an Kinder, Jugendliche und junge Erwachsene ab 12 Jahren und enthält ebenfalls eine aus meiner Sicht problematische Einleitung: "Die für die Umfrage erhobenen Daten werden anonym erhoben und gespeichert. Es werden keine personenbezogenen Daten gespeichert".
Verhalten und Speicherung der Formulare
Bei jedem Klick auf eine Antwort werden sofort Daten an Microsoft (browser.events.data.microsoft.com) übertragen. Darunter auch die genaue Klick-Position auf der Website. Daraus lassen sich zumindest theoretisch frühere Antworten rekonstruieren. Ich finde einiger dieser Daten schon sehr persönlich. Sie lassen Rückschlüsse auf Familiensituation, Wohnort, Gewohnheiten, Hobbys und meinen Tagesablauf zu. Problematisch ist dies auch für alle, die den Fragebogen überhaupt nicht final gesendet haben, weil sie es sich im Verlauf doch anders überlegt haben.
Die eigentlichen Antworten auf die Fragen werden erst beim Klick auf "Absenden" an forms.office.com übertragen. Was danach mit den Daten auf US-Servern passiert entzieht sich jedoch leider unserer Kenntnis.
Fazit
Ich finde diese Sache besonders tragisch, da die Postkarte erstens von einer vertrauenswürdigen kommunalen Einrichtung mit offiziellem Logo versendet wurde. Zweitens finde ich den Hinweis auf "vertraulich und anonym" in diesem Kontext besonders irreführend.
Ich bin persönlich kein Fan davon einzelnen Personen oder Einrichtungen die Verantwortung dafür in die Schuhe zu schieben. Ich möchte vielmehr einen Lernprozess anregen und für dieses Thema sensibilisieren. Das hier ist ein gesellschaftliches Problem, das noch immer viel zu wenig Beachtung bzw. lediglich ein Schulterzucken hervorruft. Täglich nutzen sicherlich viele staatliche oder kommunale Stellen fragwürdige Services wie bit.ly oder Microsoft Forms.
Ich habe auch kein Interesse daran engagierte Menschen in ihrer wertvollen Arbeit für Familien und Soziales zu bremsen. Ich bin aber davon überzeugt, dass Datenschutz und Privatsphäre dabei nicht unter den Tisch fallen dürfen. Insbesondere, wenn es sich um offizielle Schreiben einer staatlichen Einrichtung handelt.
Dabei wäre es einfach Alternativen zu finden und zu bieten.
Alternativen
Ich würde mir von allen, die ähnliche Projekte betreuen, folgendes wünschen:
- Schreibt auf die Postkarten / in die Briefe, was die Leute erwartet, wenn sie dem Link / QR-Code folgen. Lasst sie nicht im Unklaren darüber, dass ihr Microsoft-Forms oder Bit.ly nutzt und möglicherweise Daten ins Ausland übertragen werden. Dann können die Menschen eine informierte Wahl treffen.
- Sucht Forms-Alternativen und Shortlink-Services innerhalb der EU! Ein Beispiel wäre z.B. https://t1p.de/ zum Kürzen von URLs.
- Regt an, entsprechende Umfrage- oder Link-Services dezentral in den Städten und Gemeinden selbst zu hosten und zu verwalten. Nextcloud bietet zum Beispiel einen Forms-Service zum selbst hosten an: https://apps.nextcloud.com/apps/forms
- Wendet euch vertrauensvoll an die Datenschutzbeauftragten der Städte und Gemeinden, wenn ihr euch unsicher seid.
Titelbild: https://pixabay.com/de/photos/postkasten-briefkasten-metall-4518825/