Mängel in Contact Tracing-App "SocialPass" werden behoben

Am Freitag, 20.08.2021, gab der EDÖB in einer Medienmitteilung bekannt, dass die Betreiber der Contact Tracing App «SocialPass» die empfohlenen Massnahmen für die Datenbearbeitung grösstenteils umsetzen werden.

Was ist Social Pass?

Die Applikation SocialPass bearbeitet schweizweit Personendaten zum Zweck der Bekämpfung der Covid-Pandemie. Auf der App werden in Restaurants, Bars, usw. die Kontaktdaten der Besucherinnen und Besucher registriert. Die Kundinnen und Kunden scannen dazu den QR-Code des jeweiligen Gastbetriebs.

Gemäss der Betreiberseite speichert SocialPass die Informationen über den Besuch 14 Tage lang auf einem Server in Zürich. Danach werden die Daten automatisch gelöscht. SocialPass versichert: «Nur der Kantonsarzt kann die Daten einsehen oder verlangen, dass sie ihm übermittelt werden, wenn er dies für notwendig erachtet.» (vgl. FAQ der Betreiberseite von SocialPass).

Was hat der EDÖB beanstandet?

In Anwendung von Art. 29 DSG klärt der EDÖB ab, wenn Systemfehler von Methoden der Bearbeitung von Personendaten die Persönlichkeit einer grossen Anzahl von Personen zu verletzen droht.

Eine solche «Sachverhaltsabklärung» zu SocialPass eröffnete der EDÖB im Dezember 2020. Diese «ungewöhnlich langwierige und zähe» Abklärung ist nun abgeschlossen. Darin stellt er bezüglich der App «SocialPass» zahlreiche technische und organisatorische Mängel fest:

• Die privaten Betreiber von SocialPass gewährten den Gesundheitsbehörden Waadt und Wallis einen direkten Zugriff auf die zentrale Datenbank. Die Datenbank sei fast für jede beliebige Abfrage durch die Gesundheitsbehörden verfügbar gewesen. Gemäss Medienberichten sind daher die Abfragen auch in der Tat teilweise zweckwidrig erfolgt.

• Die bei einem Restaurantbesuch erhobenen Daten werden auf die zentrale Microsoft Azure-Datenbank mit Standort in der Schweiz geladen. Für die Erstanmeldung wird mittels SMS-Code via Twilio (ein in der USA ansässiger Dienst) die Telefonnummer verifiziert. Mit diesem Verifizierungsvorgang habe ein Transfer der Daten in die USA stattgefunden. Die USA gilt in der EU und der Schweiz als Lanz mit ungenügendem Datenschutzniveau.

• SocialPass hat die Besucherinnen und Besucher ungenügend darüber informiert, dass Ihre Daten im Rahmen der Verifizierung in die USA übermittelt werden.

Was wird SocialPass nun unternehmen?

Am heutigen 20. August 2021 publizierte der EDÖB seinen Schlussbericht. Demgemäss hätten die Betreiber von SocialPass die zentralsten Empfehlungen des EDÖB nach anfänglicher Bestreitung angenommen. Die Umsetzung werde nun erfolgen.

Der EDÖB behält sich vor, im Rahmen von Nachkontrollen auf die teilweise noch bestrittenen Empfehlungen (z.B. bzgl. den vorgeworfenen Datenexport in die USA) zurückzukommen und allenfalls eine Klage ans Bundesverwaltungsgericht einzureichen.