SocialPass leistet Datenschützer nach zähem Verfahren Folge

Die privaten Betreiber der SocialPass-App haben die Sicherheit ihrer Anwendung angepasst. Der Datenschutzbeauftragte hatte zuvor mehrere Kritikpunkte geäussert.

Zwei Frauen füllen die Informationen für das Contact Tracing in einem Restaurant noch schriftlich aus. SocialPass bietet dafür die digitale Lösung. Doch damit erhalten die Gesundheitsbehörden fast beliebigen Zugang zu den Daten, kritisiert der Datenschutzbeauftragte. - Keystone

Das Wichtigste in Kürze

  • SocialPass wurde vom Eidgenössischen Datenschutzbeauftragten kritisiert.
  • Die Contact-Tracing-App soll mehrere Sicherheitslücken aufgewiesen haben.
  • Nun haben die Betreiber reagiert und die Anwendung entsprechend geändert.

Nach zähem und langwierigem Verfahren haben die privaten Betreiber der Kontaktverfolgungs-App SocialPass den Bedenken des Datenschützers Folge geleistet. Sie passten die Sicherheit an und grenzten den direkten Zugriff kantonaler Gesundheitsbehörden ein.

Das schreibt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) zu seinem am Freitag veröffentlichten Schlussbericht. Die Abklärungen hatte der Edöb im Dezember 2020 aufgenommen. Dabei stellte er zahlreiche Mängel fest.

Aufgrund dessen gab er zehn Empfehlungen ab. Diese akzeptierten die Betreiber der Applikation nach mehreren Videokonferenzen auch unter Einbezug der Gesundheitsbehörden der Kantone Waadt und Wallis.

Wallis soll Daten zweckwidrig bearbeitet haben

Neben den sicherheitsrelevanten Befunden ergaben die Abklärungen: Die Behörden der Waadt und des Wallis hatten direkten Zugriff auf die zentrale Datenbank. Dort konnten sie nahezu beliebige Personenabfragen durchführen. Das verstiess gemäss dem Datenschützer gegen das Verhältnismässigkeitsprinzip.

Contact-Tracer in Zürich, Schwyz und Thurgau müssen sich eine neue Stelle suchen. (Symbolbild) - Keystone

Nach Medienberichten soll der Kanton Wallis in der Folge Personendaten zweckwidrig bearbeitet haben. Die Betreiber anerkannten die im April noch bestrittenen Mängel und behoben sie. Der Datenschutz behält sich Nachkontrollen vor.

Weitere Empfehlungen betrafen die Informationen gegenüber den Benutzerinnen und Benutzern. Auch die Weitergabe von Telefonnummern in die USA zur Überprüfung ihrer Richtigkeit wurde kritisiert. Ein anderer Punkt war die Konfiguration der Plattform von Microsoft, auf welcher sich die zentrale Datenbank befindet.

SocialPass wird in Gastronomie für Contact-Tracing eingesetzt

Diese Empfehlungen akzeptierten die Betreiber nur teilweise und setzten sie erst zum Teil um. Der Edöb will bei möglichen Nachkontrollen darauf zurückkommen und allenfalls beim Bundesverwaltungsgericht eine Klage einreichen.

Die Applikation SocialPass wird von Gastrobetrieben in der ganzen Schweiz für das Contact-Tracing eingesetzt. Kundinnen und Kunden erfassen damit ihre Kontaktdaten auf ihrem Smartphone.

Bei einem Restaurant-Besuch scannen sie den QR-Code des entsprechenden Betriebes. Zusammen mit den Informationen über das Restaurant werden die Kundendaten dann an eine zentrale Datenbank geschickt. Betreiber der App sind SwissHelios in Oberlunkhofen AG und die NewCom4U in Siders VS.