Edöb kritisiert mangelnden Datenschutz einer Contact-Tracing-App

Die Applikation SocialPass wird von Gastrobetrieben in der ganzen Schweiz für das Contact-Tracing eingesetzt, wie der Eidg. Datenschutz und Öffentlichkeitsbeauftragte (EDÖB) am Montag mitteilte. Kundinnen und Kunden erfassen damit ihre Kontaktdaten auf ihrem Smartphone.

Bei einem Restaurant-Besuch scannen sie den QR-Code des entsprechenden Betriebes. Zusammen mit den Informationen über das Restaurant werden die Kundendaten dann an eine zentrale Datenbank geschickt.

Eine sogenannte Sachverhaltsklärung durch den Edöb habe nun sowohl organisatorische als auch technische Mängel aufgezeigt. Dazu gehörten unter anderem auch Sicherheitslücken.

Doch vor allem hätten die Betreiber SwissHelios und NewCom4U den Gesundheitsbehörden der Kantone Waadt und Wallis einen direkten Zugang auf die zentrale Datenbank eingeräumt. Damit sei es ihnen möglich, «nahezu beliebige personenbezogene Abfragen» zu stellen.

Weil diese Abfragemöglichkeiten rechtlich und technisch nicht eingegrenzt seien, verstosse das gegen das Verhältnismässigkeitsprinzip. Der Edöb forderte die Betreiber deshalb auf, die Zugriffe und Abfragen von Gesundheitsbehörden auf das Mass einzugrenzen, das für die Kontaktdatenerfassung nötig sei.

Ausserdem empfiehlt er, die Sicherheitslücke zu beheben und alle für die Kundinnen und Kunden notwendigen Informationen auf der Webseite, den App-Stores und der App zu vereinheitlichen. Nur so könne die gesetzlich gebotene Transparenz eingehalten werden.

Die Betreiber wehrten sich gegenüber dem Edöb im April gegen eine Anpassung der Abfragemöglichkeiten durch die Behörden. Sie machten ausserdem geltend, die beanstandeten Mängel inzwischen behoben zu haben. Ausserdem stellten sie einen Befangenheitsantrag gegen das Edöb-Personal, das die Untersuchung durchführte.

Auf das Gesuch seien sie nicht eingegangen, hiess es aus dem Edöb-Büro auf Anfrage. Sie hätten jedoch die Geschäftsprüfungskommission des Parlaments darüber informiert.