SocialPass: Begrenzung der Abfragemöglichkeiten gefordert

Bern, 31.05.2021 - Der EDÖB empfiehlt den privaten Betreibern der Applikation «SocialPass», die Abfragemöglichkeiten kantonaler Gesundheitsbehörden auf zentral erfasste Daten auf ein verhältnismässiges Mass einzugrenzen.

Aufgrund von Medienberichten und Hinweisen aus der Bevölkerung hat der EDÖB im Dezember 2020 in Anwendung von Art. 29 DSG eine Sachverhaltsabklärung betreffend die von der SwissHelios GmbH in Oberlunkhofen und der NewCom4U GmbH in Sierre betriebenen Applikation «SocialPass» eröffnet. Am 28. Mai 2021 hat ihnen der Beauftragte seinen Bericht mit den Resultaten der Abklärung und mehreren Empfehlungen zugestellt. 

Die Applikation wird von Gastbetrieben in der ganzen Schweiz verwendet und dient der Durchführung des zur Covid-19-Bekämpfung obligatorischen «Contact Tracings». Sie besteht aus den drei Systemkomponenten «Social Pass», «Social Scan» und einer zentralen Datenbank: Mit der Mobile App «Social Pass» (verfügbar für Android und iOS) erfassen Kundinnen und Kunden ihre Kontaktdaten auf ihrem Smartphone. Bei einem Restaurantbesuch scannen sie den QR-Code des Gastbetriebs. Die mit den Angaben des Gastbetriebs angereicherten Kontaktdaten werden anschliessend automatisch an eine zentrale Datenbank geschickt und dort gespeichert. Mit der Mobile App «Social Scan» bearbeiten die Gastwirte die Angaben über ihren Betrieb. Wahlweise können sie auch die Daten der Gäste direkt aus «Social Pass» scannen und übermitteln. 

Nebst der Feststellung organisatorischer und technischer Mängel zeigte die Sachverhaltsklärung namentlich auf, dass die Betreibern den Gesundheitsbehörden in den Kantonen Waadt und Wallis einen direkten Zugriff auf die zentrale Datenbank einräumten und für nahezu beliebige personenbezogene Abfragen zur Verfügung stellten. Letzteres verstösst mangels rechtlicher und technischer Eingrenzung der Abfragemöglichkeiten gegen das Verhältnismässigkeitsprinzip. 

Zudem bot die Sachverhaltsklärung zu «SocialPass» dem EDÖB Gelegenheit, sich zu datenschutzrechtlichen Fragestellungen zu äussern, die sich wegen ihrer grundlegenden Bedeutung teilweise auch auf weitere Applikationen übertragen lassen, welche Private und Behörden zu Zwecken des «Contact Tracings» einsetzen. Aufgrund des daraus resultierenden allgemeinen Interesses an seinen Feststellungen sieht sich der Beauftragte veranlasst, die Öffentlichkeit mit Blick auf die vollständige Wiedereröffnung der Gastbetriebe über einen Teil seiner Empfehlungen in Kenntnis zu setzen, die er den Betreibern von «Social Pass» zukommen liess: 

  1. Auf der zentralen Datenbank sind die Zugriffe und Abfragen von Gesundheitsbehörden auf das zur gesetzlichen Kontaktdatenerfassung nötige Mass einzugrenzen, sodass sie verhältnismässig ausfallen.
  2. Die in diversen Auditberichten festgestellten Sicherheitslücken sind zu beheben, soweit dies noch nicht erfolgt ist.
  3. Zwecks Einhaltung der gesetzlich gebotenen Transparenz haben die beiden Betreiber alle für die Kundinnen und Kunden nötigen Informationen (Webseite, App-Stores und App) zu vereinheitlichen. 

Die Betreiber der Applikation sprachen sich im April 2021 gegenüber dem EDÖB gegen eine Anpassung der beanstandeten Ausgestaltung der erwähnten Abfragemöglichkeiten aus. Weiter machten sie in pauschaler Weise geltend, gerügte Mängel seien inzwischen behoben worden. Allerdings ohne bis zum Abschluss der Sachverhaltserhebung konkret darzulegen, ob und inwieweit die behaupteten Behebungen erfolgt sind. 

Der Beauftragte hat den Betreibern am 28. Mai 2021 eine Frist von 30 Tagen gesetzt, um zu seinem Bericht und zu den darauf gestützten Empfehlungen Stellung zu nehmen und mit Blick auf deren Publikation auf allfällige Persönlichkeits- oder Informationsschutzinteressen hinzuweisen.

Am 27. Mai 2021 liessen die Parteien gegen das mit der Durchführung der Sachverhaltsabklärung betraute Personal des EDÖB ein Ablehnungsgesuch stellen, über das der Beauftragte die Geschäftsprüfungskommission der Eidgenössischen Räte seitens der parlamentarischen Oberaufsicht in Kenntnis gesetzt hat.


Adresse für Rückfragen

Medienstelle des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), Tel. 058 464 94 10, info@edoeb.admin.ch


Herausgeber

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
http://www.edoeb.admin.ch/

https://www.admin.ch/content/gov/de/start/dokumentation/medienmitteilungen.msg-id-83750.html