Von Wettervorhersagen über dynamische Karten bis zu Zugriffsstatistiken: Dritte bieten im Internet kostenlos oder gegen Gebühr unzählige Dienste an, die in Websites integriert werden können. Nutzende, die diese Dienste auf einer Website anwählen, geben ihre IP-Adresse nicht nur dem Betreiber der Website an, sondern auch dem Anbieter des jeweiligen Dienstes.

Gemäss einem Entscheid des Bundesverwaltungsgerichts (A-3144/2008 vom 27. Mai 2009) ist die IP-Adresse ein Personendatum, weil es eine eindeutige Identifizierung eines Rechners zulässt. Mittels IP-Adresse ist somit auch die Person bestimmbar, die eine Website abgerufen hat. Meistens erhält der Anbieter eines Internetdienstes zusätzlich zur IP-Adresse Angaben zum verwendeten Browser und Betriebssystem sowie weitere Informationen, die sich anhand der IP-Adresse einer bestimmten Person zuordnen lassen. 

Ein öffentliches Organ darf solche Dienste Dritter grundsätzlich in seine Website integrieren. Es bleibt jedoch auch für den integrierten Teil und die damit verbundene Datenbearbeitung verantwortlich. Da die IP-Adressen der Nutzenden an Dritte übertragen werden, muss das öffentliche Organ die entsprechenden Vorschriften ("Outsourcing") beachten. Das öffentliche Organ muss einen schriftlichen Vertrag mit dem Dritten abschliessen, der insbesondere Folgendes regelt: Gegenstand und Umfang der übertragenen Aufgaben, Umgang mit Personendaten, Geheimhaltungsverpflichtungen, Behandlung von Informationszugangsgesuchen, erforderliche Massnahmen zum Schutz der Information, Kontrolle der Auftragserfüllung, vorgesehene Sanktionen bei Vertragsverletzung sowie Vertragsdauer und die Voraussetzungen der Vertragsauflösung. Verwendet der Dritte die Personendaten nicht vertragsgemäss, droht ihm eine Busse. Zusätzliche Rahmenbedingungen gelten, wenn ein öffentliches Organ die Dienste von einem im Ausland domizilierten Anbieter oder Server bezieht.

Weil die Übertragung der Datenbearbeitung an Dritte gesetzlich zulässig ist, sofern die genannten Bedingungen eingehalten werden, müssen und können Benutzende der Website nicht einwilligen. Das öffentliche Organ muss jedoch Transparenz schaffen über die Angebote Dritter auf der eigenen Website und über die damit verbundenen Datenbearbeitungen.

Ein Beispiel: Eine im Ausland domizilierte Firma bietet Statistiken über den Zugriff auf eine Website an. Wer diesen Dienst auf seiner Website anbieten will, integriert auf jeder Seite einen Programmcode ein, der jeden Besuch der Seite – inklusive IP-Adresse der Nutzenden – dem Server des Anbieters meldet. Dort werden diese Daten aufgezeichnet und ausgewertet.

Ein öffentliches Organ, das einen solchen Dienst in die Website integrieren will, muss mit dem Anbieter einen schriftlichen Vertrag schliessen, der den geschilderten Anforderungen genügt. Es hat sicherzustellen, dass der Anbieter die Daten ausschliesslich zu dem Zweck und nur solange bearbeitet, wie es auch das öffentliche Organ darf. Der Statistikanbieter darf die erhaltenen Personendaten somit nur für die Erstellung der Webstatistik des beauftragenden öffentlichen Organs verwenden. Auf keinen Fall darf er die Personendaten für eigene Zwecke verwenden oder mit Daten aus anderen Quellen vermischen. Zudem muss er die Personendaten anonymisieren, in der Regel spätestens nach Erstellung der Zugriffsstatistik über die letzten zwölf Monate. Bearbeitet der Anbieter die Daten in einem Staat, der nicht dem Europaratsübereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten untersteht, muss der geforderte angemessene Schutz anderweitig gewährleistet sein.

Will ein öffentliches Organ auf ein nicht in seinen Aufgabenkreis gehörendes und nicht unter seiner Verantwortung stehendes Angebot eines Dritten, beispielsweise auf eine lokale Wettervorhersage, hinweisen, hat es auf seiner Website einen entsprechenden Link zu setzen und diesen aussagekräftig zu beschriften (z.B. "Wetter, zur Verfügung gestellt von xy"). Aus einem Link mit der blossen Bezeichnung "Wetter" darf geschlossen werden, es handle sich um ein Angebot der Gemeinde, für welches diese die Verantwortung trage.