Die Gesundheitsbehörden können bei der Contact-Tracing-App SocialPass direkt auf die zentrale Datenbank zugreifen und nahezu beliebige Abfragen tätigen.
Zwei Frauen füllen die Informationen für das Contact Tracing in einem Restaurant noch schriftlich aus. SocialPass bietet dafür die digitale Lösung. Doch damit erhalten die Gesundheitsbehörden fast beliebigen Zugang zu den Daten, kritisiert der Datenschutzbeauftragte.
Zwei Frauen füllen die Informationen für das Contact Tracing in einem Restaurant noch schriftlich aus. SocialPass bietet dafür die digitale Lösung. Doch damit erhalten die Gesundheitsbehörden fast beliebigen Zugang zu den Daten, kritisiert der Datenschutzbeauftragte. - sda - KEYSTONE/ALEXANDRA WEY

Das Wichtigste in Kürze

  • Der Eidg. Datenschutz und Öffentlichkeitsbeauftragte kritisiert die App SocialPass.
  • Die Anwendung verstosse das gegen das Verhältnismässigkeitsprinzip.

Die Applikation SocialPass wird von Gastrobetrieben in der ganzen Schweiz für das Contact-Tracing eingesetzt, wie der Eidg. Datenschutz und Öffentlichkeitsbeauftragte (EDÖB) am Montag mitteilte. Kundinnen und Kunden erfassen damit ihre Kontaktdaten auf ihrem Smartphone.

Bei einem Restaurant-Besuch scannen sie den QR-Code des entsprechenden Betriebes. Zusammen mit den Informationen über das Restaurant werden die Kundendaten dann an eine zentrale Datenbank geschickt.

Eine sogenannte Sachverhaltsklärung durch den Edöb habe nun sowohl organisatorische als auch technische Mängel aufgezeigt. Dazu gehörten unter anderem auch Sicherheitslücken.

QR Registrierung Restaurant
Mit einem QR-Code sollen sich Gäste eines Restaurants in Zürich registrieren. - Keystone

Doch vor allem hätten die Betreiber SwissHelios und NewCom4U den Gesundheitsbehörden der Kantone Waadt und Wallis einen direkten Zugang auf die zentrale Datenbank eingeräumt. Damit sei es ihnen möglich, «nahezu beliebige personenbezogene Abfragen» zu stellen.

Weil diese Abfragemöglichkeiten rechtlich und technisch nicht eingegrenzt seien, verstosse das gegen das Verhältnismässigkeitsprinzip. Der Edöb forderte die Betreiber deshalb auf, die Zugriffe und Abfragen von Gesundheitsbehörden auf das Mass einzugrenzen, das für die Kontaktdatenerfassung nötig sei.

Sicherheitslücke soll behoben werden

Ausserdem empfiehlt er, die Sicherheitslücke zu beheben und alle für die Kundinnen und Kunden notwendigen Informationen auf der Webseite, den App-Stores und der App zu vereinheitlichen. Nur so könne die gesetzlich gebotene Transparenz eingehalten werden.

Die Betreiber wehrten sich gegenüber dem Edöb im April gegen eine Anpassung der Abfragemöglichkeiten durch die Behörden. Sie machten ausserdem geltend, die beanstandeten Mängel inzwischen behoben zu haben. Ausserdem stellten sie einen Befangenheitsantrag gegen das Edöb-Personal, das die Untersuchung durchführte.

Auf das Gesuch seien sie nicht eingegangen, hiess es aus dem Edöb-Büro auf Anfrage. Sie hätten jedoch die Geschäftsprüfungskommission des Parlaments darüber informiert.

Mehr zum Thema:

Smartphone