Contact Tracing: Betreiber der App Social Pass setzen Empfehlungen des Edoeb um
Die Betreiber der Contact-Tracing-App «Social Pass» setzen – nach zähen Verhandlungen – die zentralen Empfehlungen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (Edoeb) um.
Die Applikation Social Pass wird von Gastbetrieben in der ganzen Schweiz verwendet und dient der Durchführung des zur Covid-19-Bekämpfung obligatorischen «Contact Tracings». Sie besteht aus den drei Systemkomponenten «Social Pass», «Social Scan» und einer zentralen Datenbank: Mit der Mobile App Social Pass (verfügbar für Android und iOS) erfassen Kundinnen und Kunden ihre Kontaktdaten auf ihrem Smartphone. Bei einem Restaurantbesuch scannen sie den QR-Code des Gastbetriebs. Die mit den Angaben des Gastbetriebs angereicherten Kontaktdaten werden anschliessend automatisch an eine zentrale Datenbank geschickt und dort gespeichert.
Ungewöhnlich langwierige Verhandlungen
Nebst der Feststellung organisatorischer und technischer Mängel zeigte eine Sachverhaltsabklärung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (Edoeb) auf, dass die privaten Betreiber den Gesundheitsbehörden der Kantone Waadt und Wallis einen direkten Zugriff auf die zentrale Datenbank einräumten und trotz fehlender Rechtfertigungsgründe für nahezu beliebige personenbezogene Abfragen zur Verfügung stellten, womit sie auch gegen das Verhältnismässigkeitsprinzip verstiessen. Gemäss Medienberichten sollen die eingeräumten Abfragemöglichkeiten im Kanton Wallis zu zweckwidrigen Bearbeitungen von Personendaten geführt haben. Auf Empfehlung des Edoeb haben die Betreiber diese im April 2021 noch bestrittenen Mängel inzwischen anerkannt und gemäss eigenen Angaben auch behoben.
Weitere Empfehlungen betrafen die Vollständigkeit der Informationen gegenüber den Benutzerinnen und Benutzern, den Export von Telefonnummern in die USA im Rahmen der Nummernverifizierung sowie die Konfiguration der Plattform Microsoft Azure, auf der sich die zentrale Datenbank befindet. Diese Empfehlungen wurden nur teilweise anerkannt und erst teilweise umgesetzt. Der Edoeb behält sich vor, nachzukontrollieren und allenfalls mit einer Klage ans Bundesverwaltungsgericht zu gelangen.
Quelle: Edoeb
