Der der Eidg. Datenschutz und Öffentlichkeitsbeauftragte (Edöb) übt Kritik an der Contact-Tracing-App "Socialpass". Er moniert, dass die Gesundheitsbehörden damit direkt auf die zentrale Datenbank zugreifen und nahezu beliebige Abfragen tätigen könnten. Das sei nicht verhältnismässig, betont der Edöb in einer Aussendung. Darüber hinaus habe er Sicherheitslücken festgestellt.
"Socialpass" wird von Gastrobetrieben in der gesamten Schweiz für das Contact-Tracing genützt, um Kontaktdaten zu speichern. Kunden scannen dabei bei einem Restaurant-Besuch den QR-Code des entsprechenden Betriebes. Zusammen mit den Informationen über das Restaurant werden die Kundendaten dann an eine zentrale Datenbank geschickt.
Eine sogenannte Sachverhaltsklärung durch den Edöb habe nun sowohl organisatorische als auch technische Mängel aufgezeigt. Dazu gehörten unter anderem auch Sicherheitslücken. Doch vor allem hätten die Betreiber Swisshelios und Newcom4U den Gesundheitsbehörden der Kantone Waadt und Wallis einen direkten Zugang auf die zentrale Datenbank eingeräumt. Damit sei es ihnen möglich, "nahezu beliebige personenbezogene Abfragen" zu stellen. Weil diese Abfragemöglichkeiten rechtlich und technisch nicht eingegrenzt seien, verstosse dies gegen das Verhältnismässigkeitsprinzip. Der Edöb forderte die Betreiber deshalb auf, die Zugriffe und Abfragen von Gesundheitsbehörden auf das Mass einzugrenzen, das für die Kontaktdatenerfassung nötig sei.
Ausserdem empfiehlt er, die Sicherheitslücke zu beheben und alle für die Kunden notwendigen Informationen auf der Webseite, den App-Stores und der App zu vereinheitlichen. Nur so könne die gesetzlich gebotene Transparenz eingehalten werden.
Die Betreiber der Applikation sprachen sich im April 2021 gegenüber dem Edöb gegen eine Anpassung der beanstandeten Ausgestaltung der erwähnten Abfragemöglichkeiten aus. Weiter machten sie in pauschaler Weise geltend, gerügte Mängel seien inzwischen behoben worden. Allerdings ohne bis zum Abschluss der Sachverhaltserhebung konkret darzulegen, ob und inwieweit die behaupteten Behebungen erfolgt sind.
Der Beauftragte hat den Betreibern am 28. Mai 2021 eine Frist von 30 Tagen gesetzt, um zu seinem Bericht und zu den darauf gestützten Empfehlungen Stellung zu nehmen und mit Blick auf deren Publikation auf allfällige Persönlichkeits- oder Informationsschutzinteressen hinzuweisen.
Am 27. Mai 2021 liessen die Parteien gegen das mit der Durchführung der Sachverhaltsabklärung betraute Personal des Edöb ein Ablehnungsgesuch stellen, über das der Beauftragte die Geschäftsprüfungskommission der Eidgenössischen Räte seitens der parlamentarischen Oberaufsicht in Kenntnis gesetzt hat.
