Contact Tracing: Betreiber der App SocialPass setzen Empfehlungen des EDÖB um

Bern, 20.08.2021 - Im Rahmen einer ungewöhnlich langwierigen und zähen Sachverhaltsabklärung empfahl der EDÖB den privaten Betreibern von «SocialPass» u.a., die technische Sicherheit der Applikation zu verbessern und die Abfragemöglichkeiten kantonaler Gesundheitsbehörden auf zentral erfasste Daten verhältnismässig einzugrenzen. Wie aus dem heute publizierten Schlussbericht hervorgeht, haben die Betreiber die zentralen Empfehlungen des EDÖB nach anfänglicher Bestreitung angenommen und umgesetzt.

Im Dezember 2020 hat der EDÖB in Anwendung von Art. 29 DSG eine Sachverhaltsabklärung betreffend die Applikation SocialPass (vgl. Box) eröffnet, die zur Bekämpfung der aktuellen Pandemie schweizweit angewendet wird. Mit dem heute publizierten Schlussbericht schliesst der Beauftragte das ungewöhnlich langwierige und zähe Verfahren ab. Wie aus dem Bericht hervorgeht, hat der EDÖB zahlreiche Mängel festgestellt, die zu insgesamt zehn Empfehlungen führten, welche die Betreiber der Applikation nach mehreren Videokonferenzen u.a. mit Beteiligung der Gesundheitsbehörden der Kantone Waadt und Wallis mehrheitlich akzeptierten.

Zentrale Empfehlungen des EDÖB und deren Umsetzung
Nebst der Feststellung organisatorischer und technischer Mängel zeigte die Sachverhaltsabklärung auf, dass die privaten Betreiber den Gesundheitsbehörden der Kantone Waadt und Wallis einen direkten Zugriff auf die zentrale Datenbank einräumten und trotz fehlender Rechtfertigungsgründe für nahezu beliebige personenbezogene Abfragen zur Verfügung stellten, womit sie auch gegen das Verhältnismässigkeitsprinzip verstiessen. Gemäss Medienberichten sollen die eingeräumten Abfragemöglichkeiten im Kanton Wallis zu zweckwidrigen Bearbeitungen von Personendaten geführt haben. Auf Empfehlung des EDÖB haben die Betreiber diese im April 2021 noch bestrittenen Mängel inzwischen anerkannt und gemäss eigenen Angaben auch behoben. Der EDÖB behält sich vor, die Umsetzung dieser anerkannten Empfehlungen im Rahmen von Nachkontrollen zu überprüfen.
Weitere Empfehlungen betrafen die Vollständigkeit der Informationen gegenüber den Benutzerinnen und Benutzern, den Export von Telefonnummern in die USA im Rahmen der Nummernverifizierung sowie die Konfiguration der Plattform Microsoft Azure, auf der sich die zentrale Datenbank befindet. Diese Empfehlungen wurden nur teilweise anerkannt und erst teilweise umgesetzt. Der EDÖB behält sich vor, im Rahmen von Nachkontrollen auch auf diese teilweise bestrittenen Empfehlungen zurückzukommen und allenfalls mit einer Klage ans Bundesverwaltungsgericht zu gelangen.

Ungewöhnlich langwieriges und zähes Verfahren
Die schweizweit eingesetzte private Applikation SocialPass bearbeitet Personendaten zum Zweck der Pandemiebekämpfung. Vor diesem Hintergrund musste der EDÖB stets die epidemiologische Entwicklung im Auge behalten, um die Sachverhaltsabklärung rechtzeitig zu einem Abschluss zu bringen. Das Verfahren hat sich jedoch als ungewöhnlich langwierig und zäh erwiesen. Bei der Festlegung der Antwortfristen, der Behandlung der zahlreichen Gesuche um Fristverlängerung und sogar um Ablehnung der Mitarbeitenden des EDÖB, die mit dem Dossier betraut waren, musste der Beauftragte in Erwägung ziehen, dass die zweite Welle der Pandemie gegen Beginn des Sommers 2021 abflachte. Dies hatte zur Folge, dass zu jenem Zeitpunkt die Wiedereröffnung der Restaurants absehbar wurde und damit auch die Wiederverwendung der App SocialPass unmittelbar bevorstand.
Aus den obgenannten Gründe hatte der EDÖB im vorliegenden Verfahren darauf zu achten, dass er die Bevölkerung zeitgerecht über die technischen Möglichkeiten von «SocialPass» und die mit deren Ausschöpfung verbundenen Datenschutzrisiken informieren konnte. Deshalb hat der Beauftragte am 31. Mai 2021 – dem Tag der Wiedereröffnung der Innenräume der Restaurants – über die wichtigsten Aspekte der Sachverhaltsabklärung und die bis dahin festgestellten Fakten inklusive der zentralen Empfehlungen informiert (vgl. dazu unsere
Medienmitteilung vom 31. Mai).
Im Anschluss hatten die Betreiber Gelegenheit, sich zur Annahme der Empfehlungen des EDÖB und deren Umsetzung sowie zur Publikation des Schlussberichts auszusprechen, sodass dieser den Bericht nun veröffentlicht.
Die Sachverhaltsabklärung zu «SocialPass» erwies sich als notwendig und nützlich, bot sie dem EDÖB doch Gelegenheit, sich zu Abgrenzungsfragen zwischen den eidgenössischen und kantonalen Aufsichtskompetenzen sowie weiteren datenschutzrechtlichen Fragestellungen zu äussern, die sich wegen ihrer grundlegenden Bedeutung teilweise auch auf weitere Applikationen übertragen lassen, welche Private und Behörden zu Zwecken des «Contact Tracings» einsetzen.

Contact Tracing-App SocialPass
Die Applikation SocialPass wird von Gastbetrieben in der ganzen Schweiz verwendet und dient der Durchführung des zur Covid-19-Bekämpfung obligatorischen «Contact Tracings». Sie besteht aus den drei Systemkomponenten «SocialPass», «SocialScan» und einer zentralen Datenbank: Mit der Mobile App SocialPass (verfügbar für Android und iOS) erfassen Kundinnen und Kunden ihre Kontaktdaten auf ihrem Smartphone. Bei einem Restaurantbesuch scannen sie den QR-Code des Gastbetriebs. Die mit den Angaben des Gastbetriebs angereicherten Kontaktdaten werden anschliessend automatisch an eine zentrale Datenbank geschickt und dort gespeichert. Mit der Mobile App «SocialScan» bearbeiten die Gastwirte die Angaben über ihren Betrieb. Wahlweise können sie auch die Daten der Gäste direkt aus «SocialPass» scannen und übermitteln.
Die zentrale Datenbank befindet sich auf einem Server von Microsoft Azure mit Standort in der Schweiz. Im Rahmen der Erstanmeldung wird die Mobiltelefonnummer der Nutzerinnen und Nutzer durch Twilio, einen in den USA ansässigen Dienst, mittels Versand eines SMS-Codes verifiziert. Damit findet ein Transfer von Daten in einen Drittstaat fest, in dem kein angemessenes Datenschutzniveau besteht.
Betreiber der App sind die SwissHelios GmbH in Oberlunkhofen und die NewCom4U GmbH in Sierre.

Hinweis für Medienschaffende

Der Beauftragte, Adrian Lobsiger, steht den Medienschaffenden von 11 bis 15 Uhr für Interviews zur Verfügung.
Interviewanfragen bitte an die Medienstelle richten: info@edoeb.admin.ch.

Adresse für Rückfragen

Medienstelle des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), Tel. 058 464 94 10, info@edoeb.admin.ch