Datenmißbrauch durch Behörden im Wallis
Wenig vertrauenserweckend in punkto Datenschutz: Das Verhalten des privaten Anbieters, der für die „Contact tracing app“ zur Überwachung der Menschen im Zuge der vermeintlichen Corona-Pandemie den Zuschlag erhielt.
In die Kritik des Eidg. Datenschützers geriet eine Firma in Siders, NewCom4U GmbH.
Die Firma, die nicht einmal eine eine Webseite hat, betreibt zusammen mit einer Firma aus Oberlunkhofen die umstrittene Kontaktüberwachungs-Applikation „SocialApp“.
Harsche Kritik des EDÖB
Das Verfahren zog sich bereits seit Mai, kritisiert der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte.
Im Rahmen einer „ungewöhnlich langwierigen und zähen“ Sachverhaltsabklärung empfahl der EDÖB den privaten Betreibern von «SocialPass» u.a., die technische Sicherheit der Applikation zu verbessern und die Abfragemöglichkeiten kantonaler Gesundheitsbehörden auf zentral erfaßte Daten verhältnismäßig einzugrenzen.
Wie aus dem Schlußbericht hervorgeht, haben die Betreiber die zentralen Empfehlungen des EDÖB nach anfänglichem Bestreiten angenommen und umgesetzt.
Im Dezember 2020 hat der EDÖB in Anwendung von Art. 29 DSG eine Sachverhaltsabklärung betreffend die Applikation SocialPass (siehe unten) eröffnet, die zur Bekämpfung der aktuellen Pandemie schweizweit angewendet wird.
Mit dem heute publizierten Schlußbericht schließt der Beauftragte das ungewöhnlich langwierige und zähe Verfahren ab.
Wie aus dem Bericht hervorgeht, hat der EDÖB zahlreiche Mängel festgestellt, die zu insgesamt zehn Empfehlungen führten, welche die Betreiber der Applikation nach mehreren Videokonferenzen u.a. mit Beteiligung der Gesundheitsbehörden der Kantone Waadt und Wallis mehrheitlich akzeptierten.
Zentrale Empfehlungen des EDÖB und deren Umsetzung
Nebst der Feststellung organisatorischer und technischer Mängel zeigte die Sachverhaltsabklärung auf, daß die privaten Betreiber den Gesundheitsbehörden der Kantone Waadt und Wallis einen direkten Zugriff auf die zentrale Datenbank einräumten und trotz fehlender Rechtfertigungsgründe für nahezu beliebige personenbezogene Abfragen zur Verfügung stellten, womit sie auch gegen das Verhältnismäßigkeitsprinzip verstießen.
Gemäß Medienberichten sollen die eingeräumten Abfragemöglichkeiten im Kanton Wallis zu zweckwidrigen Bearbeitungen von Personendaten geführt haben. Auf Empfehlung des EDÖB haben die Betreiber diese im April 2021 noch bestrittenen Mängel inzwischen anerkannt und gemäß eigenen Angaben auch behoben.
Der EDÖB behält sich vor, die Umsetzung dieser anerkannten Empfehlungen im Rahmen von Nachkontrollen zu überprüfen.
Weitere Empfehlungen betrafen die Vollständigkeit der Informationen gegenüber den Benutzern, den Export von Telefonnummern in die USA im Rahmen der Nummernverifizierung sowie die Konfiguration der Plattform Microsoft Azure, auf der sich die zentrale Datenbank befindet.
Diese Empfehlungen wurden nur teilweise anerkannt und erst teilweise umgesetzt.
Der EDÖB behält sich vor, im Rahmen von Nachkontrollen auch auf diese teilweise bestrittenen Empfehlungen zurückzukommen und allenfalls mit einer Klage ans Bundesverwaltungsgericht zu gelangen.
Ungewöhnlich langwieriges und zähes Verfahren
Die schweizweit eingesetzte private Applikation SocialPass bearbeitet Personendaten zum Zweck der Pandemiebekämpfung.
Vor diesem Hintergrund mußte der EDÖB stets die epidemiologische Entwicklung im Auge behalten, um die Sachverhaltsabklärung rechtzeitig zu einem Abschluß zu bringen.
Das Verfahren hat sich jedoch als ungewöhnlich langwierig und zäh erwiesen.
Bei der Festlegung der Antwortfristen, der Behandlung der zahlreichen Gesuche um Fristverlängerung und sogar um Ablehnung der Mitarbeitenden des EDÖB, die mit dem Dossier betraut waren, musste der Beauftragte in Erwägung ziehen, dass die zweite Welle der Pandemie gegen Beginn des Sommers 2021 abflachte. Dies hatte zur Folge, dass zu jenem Zeitpunkt die Wiedereröffnung der Restaurants absehbar wurde und damit auch die Wiederverwendung der App SocialPass unmittelbar bevorstand.
Aus den obgenannten Gründe hatte der EDÖB im vorliegenden Verfahren darauf zu achten, daß er die Bevölkerung zeitgerecht über die technischen Möglichkeiten von «SocialPass» und die mit deren Ausschöpfung verbundenen Datenschutzrisiken informieren konnte.
Deshalb hat der Beauftragte am 31. Mai 2021 – dem Tag der Wiedereröffnung der Innenräume der Restaurants – über die wichtigsten Aspekte der Sachverhaltsabklärung und die bis dahin festgestellten Fakten inklusive der zentralen Empfehlungen informiert (Schweizer Zeitung berichtete).
Im Anschluß hatten die Betreiber Gelegenheit, sich zur Annahme der Empfehlungen des EDÖB und deren Umsetzung sowie zur Publikation des Schlussberichts auszusprechen, sodaß dieser den Bericht nun veröffentlicht.
Die Sachverhaltsabklärung zu «SocialPass» erwies sich als notwendig und nützlich, bot sie dem EDÖB doch Gelegenheit, sich zu Abgrenzungsfragen zwischen den eidgenössischen und kantonalen Aufsichtskompetenzen sowie weiteren datenschutzrechtlichen Fragestellungen zu äußern, die sich wegen ihrer grundlegenden Bedeutung teilweise auch auf weitere Applikationen übertragen lassen, welche Private und Behörden zu Zwecken des «Contact Tracings» einsetzen.
Contact Tracing-App SocialPass
Die Applikation SocialPass wird von Gastbetrieben in der ganzen Schweiz verwendet und dient der Durchführung des zur Covid-19-Bekämpfung obligatorischen «Contact Tracings».
Sie besteht aus den drei Systemkomponenten «SocialPass», «SocialScan» und einer zentralen Datenbank:
Mit der Mobile App SocialPass (verfügbar für Android und iOS) erfassen Kundinnen und Kunden ihre Kontaktdaten auf ihrem Smartphone. Bei einem Restaurantbesuch scannen sie den QR-Code des Gastbetriebs. Die mit den Angaben des Gastbetriebs angereicherten Kontaktdaten werden anschliessend automatisch an eine zentrale Datenbank geschickt und dort gespeichert. Mit der Mobile App «SocialScan» bearbeiten die Gastwirte die Angaben über ihren Betrieb. Wahlweise können sie auch die Daten der Gäste direkt aus «SocialPass» scannen und übermitteln.
Die zentrale Datenbank befindet sich auf einem Server von Microsoft Azure mit Standort in der Schweiz. Im Rahmen der Erstanmeldung wird die Mobiltelefonnummer der Nutzerinnen und Nutzer durch Twilio, einen in den USA ansässigen Dienst, mittels Versand eines SMS-Codes verifiziert. Damit findet ein Transfer von Daten in einen Drittstaat fest, in dem kein angemessenes Datenschutzniveau besteht.
Betreiber der App sind die SwissHelios GmbH in Oberlunkhofen und die NewCom4U GmbH in Siders (Sierre).
- Zuwenig Regen: Waldbrandgefahr im Wallis
Aufruf zur Vorsicht
- Juli 26, 2024 - Gemeinderats-Wahlen Leuk: SVP Leuk mit breit abgestützter 5er-Liste
Patrick Kuonen, Thierry Zwahlen, Bernardo Amacker, Nevio Imhasly und Sascha Gsponer stellen sich zur Wahl
- Juli 26, 2024 - Zurück vor heimischem Publikum
Der FC Sion empfängt Lausanne-Sport
- Juli 26, 2024
