Edöb sieht ernste Mängel in Schweizer Contact-Tracing-App "Socialpass"

1. Juni 2021, 14:25
image

Der Datenschützer kritisiert "erhebliches Missbrauchsrisiko". Die Betreiber wehren sich und monieren Befangenheit. Wir haben nachgefragt.

"Geniessen Sie in Sicherheit mit ruhigem Gewissen", werben die Anbieter der Contact-Tracing-Applikation "Socialpass" angesichts der Öffnung von Restaurants. Kein ruhiges Gewissen bereitet die App, mit der Kontaktdaten von Gästen in Gastbetrieben der ganzen Schweiz gespeichert werden, allerdings dem Eidgenössischen Datenschützer (Edöb). Er hat das System untersucht und kritische Defizite festgestellt.
Die Firma Swisshelios aus dem Aargau, die das System gemeinsam mit dem Walliser Unternehmen Newcom4U betreibt, schreibt auf seiner Website, Socialpass sei über 800'000 Mal heruntergeladen worden. Es sei die am häufigsten für die Erfassung und Verarbeitung von Kontaktdaten genutzte App der Schweiz. Sie kommt in allen Kantonen zum Einsatz. Schwerpunkt seien aber der Waadt und das Wallis, wie Erwin Peter, Managing Partner von Swisshelios, auf Anfrage erklärt.
Kunden von Restaurants, Veranstaltungen und öffentlichen Einrichtung erfassen in der App Telefonnummer, Namen, Vornamen, Wohnadresse und Geburtsdatum. Die Informationen bleiben laut Datenschutzerklärung auf dem Gerät des Users, auf dem ein damit verbundener QR-Code erstellt wird. Dieser wiederum kann von Gastgebern gescannt werden, womit die Daten – verknüpft mit Angaben zu Lokalität und Zeit – an eine zentrale Datenbank auf einem Server von Microsoft in Zürich geschickt wird. Dort werden die Daten während 14 Tagen mit einem 256-Bit-Schlüssel verschlüsselt gespeichert, wie es weiter heisst.
Das System besteht aus drei Komponenten: Dem Socialpass, einer Scanfunktion und einer zentralen Datenbank. Vor allem letztere bemängelt nun der Edöb. Die Gesundheitsbehörden in der Waadt und im Wallis hätten direkten Zugriff auf die Datenbank. Sie könnten nahezu beliebig personenbezogene Abfragen durchführen, heisst es in einer Mitteilung. Dies sei unverhältnismässig.
Auf Anfrage heisst es von der Stelle des Edöb: "Die Kunden der dortigen Gastbetriebe sind somit einem erheblichen Missbrauchsrisiko ausgesetzt." Hinzu kämen organisatorische und technische Mängel, die in Auditberichten festgehalten worden seien. Diese gelte es zu beheben, falls das nicht bereit erfolgt sei.
Der Datenschützer liess den Betreibern von Socialpass Empfehlungen zukommen: Beschränkung der Abfragemöglichkeiten auf den gesetzlich notwendigen Umfang, Behebung von Sicherheitslücken sowie Transparenz gegenüber den Nutzerinnen und Nutzer der App.
Swisshelios und Newcom4U sprachen sich laut Edöb gegen die Einschränkung der Abfragemöglichkeiten aus. Die beanstandeten Mängel seien mittlerweile behoben worden, heisst es von den Firmen, die gegen die Prüfenden einen Befangenheitsantrag eingereicht haben. Swisshelios-Partner Erwin Peter wollte sich auf Anfrage zu möglichen Mängeln und Massnahmen nicht äussern. Er erklärte lediglich, dass man zuerst das Gespräch mit dem Edöb suche.
Dieser erklärt gegenüber inside-it.ch: "Bis anhin ist es nicht gelungen, den Rechtsvertreter der Betreiber dazu zu bewegen, konkret darzulegen, welche Empfehlungen erfüllt wurden. Er war nicht bereit, seine pauschale Behauptung, wonach mehrere Empfehlungen umgesetzt seien, zu präzisieren und zu belegen." Der Edöb räumt den Firmen nun 30 Tage ein, um in einem Bericht Stellung zu nehmen. Vor Ablauf der Frist könne man keine konkreten Angaben zu den Audits machen, heisst es. 

Loading

Mehr zum Thema

image

Angeblicher Datendiebstahl: Unispital Lausanne gibt Entwarnung

Ein Hacker behauptete, im Besitz von 2 Millionen Daten des Spitals zu sein. Doch das Datenpaket stammt offenbar aus Frankreich.

publiziert am 27.1.2023
image

Zwei Wochen nach der Cyberattacke: Britische Post verschickt wieder Päckli

Eine Ransomware-Bande hatte den internationalen Versand der Royal Mail lahmgelegt.

publiziert am 27.1.2023
image

Podcast: Wie fair und objektiv ist künstliche Intelligenz?

Der Bundesrat will, dass KI Behörden effizienter macht. Warum das zu einem Problem werden kann, diskutieren wir in dieser Podcast-Folge.

publiziert am 27.1.2023
image

IT-Fachkräftemangel: Wie Wachstum dennoch gelingt

Der Fachkräftemangel ist akuter denn je, besonders in der IT und Cyber Security. Gleichzeitig steigt die Nachfrage nach entsprechenden Services kontinuierlich. Wie gelingt der Spagat zwischen Wachstum und dem «War of Talents»? Rita Kaspar, Head of HR bei InfoGuard AG, gibt Auskunft.