Update: EDÖB ist (fast) zufrieden mit Gäste-Erfassungstool Socialpass
Die Anwendung Socialpass, mit der viele Schweizer Restaurants ihre Gäste registrieren, ist ins Visier des Datenschutzbeauftragten geraten. Nach längerem Hin und Her haben die Betreiber die Mängel der Behörde behoben – oder zumindest die meisten.
Update vom 20.08.2021: Nach anfänglichem Bestreiten haben die Entwickler des Gäste-Erfassungstools Socialpass die zentralen Empfehlungen des eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) angenommen und umgesetzt, wie dieser in einer Mitteilung schreibt. Es sei ein "ungewöhnlich langwieriges und zähes Verfahren" gewesen, schreibt die Behörde weiter, und erwähnt Mehrere "Videokonferenzen unter anderem mit Beteiligung der Gesundheitsbehörden der Kantone Waadt und Wallis".
Der EDÖB hatte unter anderem gerügt, dass Socialpass den beiden Kantonen "direkten Zugriff auf die zentrale Datenbank einräumte und trotz fehlender Rechtfertigungsgründe für nahezu beliebige personenbezogene Abfragen zur Verfügung stellte". Gemäss eigenen Angaben sei dies inzwischen behoben.
Doch vollends zufrieden ist die Behörde noch nicht. Noch immer gebe es Empfehlungen, die nur teilweise umgesetzt und teilweise bestritten würden. Diese Empfehlungen betreffen die Vollständigkeit der Informationen gegenüber den Benutzerinnen und Benutzern, den Export von Telefonnummern in die USA im Rahmen der Nummernverifizierung sowie die Konfiguration der Plattform Microsoft Azure, auf der sich die zentrale Datenbank befindet.
Er behalte sich vor, "im Rahmen von Nachkontrollen auch auf diese teilweise bestrittenen Empfehlungen zurückzukommen und allenfalls mit einer Klage ans Bundesverwaltungsgericht zu gelangen", schliesst der EDÖB.
Originalmeldung vom 02.06.2021: Datenschutzbeauftragter findet Mängel in Gäste-Erfassungstool Socialpass
Wer die Tage ein Restaurant besucht, muss seine Kontaktdaten hinterlassen, um den Kantonen das Corona-Tracing zu ermöglichen. Nun hat sich der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) das Tool Socialpass angeschaut, mit dem sich Gäste in vielen Restaurants registrieren müssen. Sein Befund ist nicht zufriedenstellend.
Abfragemöglichkeit für Kantone einschränken
Nach einer seit vergangenem Dezember laufenden und unterdessen abgeschlossenen Untersuchung erklärt der EDÖB in einer Medienmitteilung, er habe organisatorische und technische Mängel festgestellt. Vor allem ein Punkt ist problematisch und verstösst gegen den Grundsatz der Verhältnismässigkeit: Gemäss der Mitteilung gewähren die Betreiber den Gesundheitsbehörden der Kantone Waadt und Wallis einen direkten Zugriff auf die zentrale Datenbank, und stellten diese für nahezu beliebig viele gezielte Suchmöglichkeiten zur Verfügung. Das bedeutet, dass eine unbegrenzte Anzahl von Personen durchsucht werden kann, während im Kontext des Contact Tracings eine begrenzte Anzahl von Abfragen ausreicht.
Der EDÖB schickte seinen Bericht an die Betreiber der Socialpass-App, die Firmen SwissHelios in Oberlunkhofen und NewCom4U in Sierre. In den Empfehlungen, die er in der öffentlichen Mitteilung teilweise zitiert, schreibt der Beauftragte: "Auf der zentralen Datenbank sind die Zugriffe und Abfragen von Gesundheitsbehörden auf das zur gesetzlichen Kontaktdatenerfassung nötige Mass einzugrenzen, sodass sie verhältnismässig ausfallen." Weiter fordert er die Unternehmen auf, Sicherheitslücken zu schliessen und die Kundeninformationen via App, Website und anderer Kanäle zu vereinheitlichen.
Betreiber stellen Ablehnungsgesuch
Wie der EDÖB weiter schreibt, habe er den Socialpass-Betreibern am 28. Mai eine Frist von 30 Tagen gesetzt, "um zu seinem Bericht und zu den darauf gestützten Empfehlungen Stellung zu nehmen." Bereits im April hätten die Betreiber pauschal geltend gemacht, gerügte Mängel behoben zu haben, Allerdings ohne konkret darzulegen, ob und inwieweit dies erfolgt sei.
Die Betreiber wehren sich jedoch gegen das Verfahren: Am 27. Mai stellten sie ein Ablehnungsgesuch gegen das mit der Durchführung der Sachverhaltsabklärung betraute Personal, wie es in der Mitteilung heisst. Wie "Watson" berichtet, ist der EDÖB nicht auf das Gesuch eingegangen. Er habe jedoch die Geschäftsprüfungskommission des Parlaments darüber informiert.
Seit Mai sammelt der Kanton Bern sämtliche Kontaktdaten von Restaurant-Besucherinnen und -besuchern in einer zentralen Datenbank. Dies soll das Contact Tracing effizienter machen, wie Sie hier lesen können.
Unabhängige Schweizer IT-Fachleute warnen schon seit längerem, beim digitalen Contact Tracing drohe "ein kantonales App-Chaos" und ein "Datenschutzdebakel". Damit wächst auch der Druck auf das Bundesamt für Gesundheit (BAG). Die wichtigsten Fragen und Antworten dazu lesen Sie hier.