Web Services of the Swiss Parliament

• Home
• Affairs
  • Types
  • States
  • Keywords
  • Descriptors
• Affair summaries
• Committees
• Cantons
• Councillors
  • Basic Details
  • Historic
• Councils
• Departments
  • Historic
• Factions
  • Historic
• Legislative periods
• Parties
  • Historic
• Sessions
• Votes
  • Affairs
  • Councillors

QR-Code. Welchen Stellenwert hat dabei der Datenschutz?

ShortId

21.4087

Id

20214087

Updated

28.07.2023 00:05

Language

de

Title

QR-Code. Welchen Stellenwert hat dabei der Datenschutz?

AdditionalIndexing

1236;2841;04;34

1

PriorityCouncil1

Ständerat

Texts

• <p>1. und 3. Die Entwicklung des Covid-Zertifikat-Systems wurde vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) sowie den kantonalen Stellen für Datenschutz eng begleitet. Die für die Planung von Impfterminen benötigten personenbezogenen Angaben werden in einem kantonalen System erfasst und gemäss kantonalen Vorgaben gespeichert. Bei der Zertifikatsausstellung werden diese Angaben mit den Daten zum verwendeten Impfstoff in einem vom Bundesamt für Informatik und Telekommunikation (BIT) bereitgestellten Zertifikat-System kombiniert und signiert. Diese Signierung muss aus Sicherheitsgründen auf den Systemen des Bundes durchgeführt werden. Die Datenbearbeitung findet auf Systemen statt, die sich in der Schweiz befinden und unterstehen Schweizer Recht. Nach der Generierung und Übermittlung des Covid-Zertifikats an die Antragstellerin werden die Angaben wieder vom Zertifikat-System gelöscht. Das System speichert nur die für die Verhinderung von Missbräuchen notwendigen anonymen Informationen, die es erlauben, Covid-19-Zertifikate zu widerrufen. Das Covid-Zertifikat wird bei der Erstellung vor Ort ausgedruckt oder in der "COVID Certificate"-App auf dem Mobiltelefon der Person gespeichert. Für die Generierung des Zertifikats Light, wird das Covid-Zertifikat aus der App gesichert an das Zertifikats-System übermittelt, welches das Light Zertifikat generiert, signiert und anschliessend dieses gesichert an die App übermittelt und die Daten im Zertifikats-System gelöscht. Das Bundesamt für Gesundheit hat zu keiner Zeit Zugriff auf die bearbeiteten Daten.</p><p>2. Die "COVID Certificate Check"-App nutzt die aus dem QR-Code ausgelesenen Daten nur zur lokalen Prüfung. Dazu wird das Zertifikat ausgelesen, um einerseits die Gültigkeit der elektronischen Signatur, andererseits die Angaben zur Testung, Genesung oder Impfung gegen die geltenden Regeln zu prüfen (z.B. ob das Testzertifikat abgelaufen ist). Die Daten werden nicht gespeichert und nicht weitergeleitet. Die Identitätsüberprüfung legitimiert sich aus den Bestimmungen zu den Schutzkonzept-Massnahmen nach Anhang 2 der Covid-19-Verordnung besondere Lage (SR 818.101.26). Bei der Prüfung mit der "COVID Certificate Check"-App werden lediglich die folgenden Angaben zum Identitätsabgleich auf der Prüf-App angezeigt: Nachname, Vorname, Geburtsdatum sowie das Ergebnis der Prüfung ("grün" oder "rot"). Nicht angezeigt wird, um welche Art von Zertifikat (Impf-, Test- oder Genesungszertifikat) es sich handelt. Die im Light Zertifikat enthaltenen personenbezogenen Informationen wurden zusätzlich auf die für den Identitätsabgleich notwendigen Daten reduziert, so dass niemand mehr Daten auslesen kann. Der Programmcode aller Systemteile (Halter-App für geimpfte, genesene und negativ getestete Personen, Prüf-App und Systeme des BIT) sind quelloffen und es wurden öffentliche Sicherheitstests durchgeführt. Das Nationale Center für Cybersecurity (NCSC) führt zusätzliche regelmässige Sicherheitstests durch.</p><p>4. Die bisherigen Datenbearbeitungen und Datenübertragungen sind bereits unter hohen Datenschutz- und Datensicherheits-Ansprüchen entwickelt worden. Es wird auch Verwendung des Light Zertifikates in der Schweiz empfohlen, da dieses die unberechtigte Auslesung und Speicherung von Gesundheitsdaten wirksam verhindert. Die verbleibenden Restrisiken sind jeweils in Abwägung zwischen Praktikabilität und Sicherheit analysiert und unter Einbezug der interessierten Kreise (insbes. EDÖB und NCSC) als verhältnismässig akzeptiert worden.</p> Antwort des Bundesrates.
• <p>Jede Person, die am gesellschaftlichen Leben teilnehmen muss oder teilnehmen will, braucht heutzutage ein Covid-Zertifikat.</p><p>Jede Person, die eine öffentliche Einrichtung betreibt oder eine Veranstaltung an einem öffentlichen Ort organisiert, hat die App heruntergeladen, mit der Covid-Zertifikate überprüft werden können.</p><p>Angesichts dieser neuen Realität stellen sich beim Covid-Zertifikat und seiner Kontrolle Fragen der Cybersicherheit und des Schutzes personenbezogener Daten sowie der Verantwortung der beteiligten Akteure.</p><p>Bei den übermittelten Informationen handelt es sich um Personendaten (Name, Vorname, Geburtsdatum) sowie um besonders schützenswerte Daten, nämlich um Daten über den Gesundheitszustand der Person (geimpft, genesen, Impfdatum, Testdatum usw.).</p><p>Der Einsatz des "Zertifikats Light" kommt dem Schutzbedürfnis teilweise entgegen. Dieses Zertifikat kann man aber nur verwenden, wenn man es vorher bei einem BAG-Server beantragt hat. Nur so bekommt man für einen Zeitraum von 48 Stunden ein Zertifikat mit limitierten Daten. Auf diese Weise erhält das BAG theoretisch das vollständige Zertifikat der Person, das Datum des Antrags und den Ort.</p><p>Ich unterstütze zwar die Bemühungen zur Bekämpfung der Pandemie, bestehe aber darauf, dass die eingesetzten Mittel den Grundsatz des Datenschutzes respektieren.</p><p>Zur Klärung der Sachlage bitte ich um Antworten auf die folgenden Fragen:</p><p>1. Welche Daten werden erfasst, aufbewahrt, geschützt und verwendet? Auf welche Server, betrieben von welchen Dienstleistern, und in welche Länder werden die Daten für den Erhalt des Zertifikats übertragen?</p><p>2. Welches Sicherheitsniveau haben die Programme, die zum Kontrollieren der QR-Codes verwendet werden? Wer sind die dazu befugten Personen (welche Fähigkeiten und Verantwortlichkeiten haben sie und was machen sie mit den gesammelten Daten)? Was legitimiert sie dazu, die Identität von Personen zu überprüfen und das Arztgeheimsgeheimnis zu umgehen?</p><p>3. Bei den Diskussionen über das Covid-Zertifikat wurde gefordert, die Datenverwaltung zu dezentralisieren, um zu verhindern, dass das BAG über die Daten der gesamten Bevölkerung verfügt. Was ist daraus geworden?</p><p>4. Welche Massnahmen gedenkt der Bundesrat zu ergreifen, um den Datenschutz zu stärken und die Übermittlung von personenbezogenen und besonders schützenswerten Daten an Dritte zu minimieren?</p>
• QR-Code. Welchen Stellenwert hat dabei der Datenschutz?

State

Erledigt

Related Affairs

Drafts

• Index

  0

  Texts

  • <p>1. und 3. Die Entwicklung des Covid-Zertifikat-Systems wurde vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) sowie den kantonalen Stellen für Datenschutz eng begleitet. Die für die Planung von Impfterminen benötigten personenbezogenen Angaben werden in einem kantonalen System erfasst und gemäss kantonalen Vorgaben gespeichert. Bei der Zertifikatsausstellung werden diese Angaben mit den Daten zum verwendeten Impfstoff in einem vom Bundesamt für Informatik und Telekommunikation (BIT) bereitgestellten Zertifikat-System kombiniert und signiert. Diese Signierung muss aus Sicherheitsgründen auf den Systemen des Bundes durchgeführt werden. Die Datenbearbeitung findet auf Systemen statt, die sich in der Schweiz befinden und unterstehen Schweizer Recht. Nach der Generierung und Übermittlung des Covid-Zertifikats an die Antragstellerin werden die Angaben wieder vom Zertifikat-System gelöscht. Das System speichert nur die für die Verhinderung von Missbräuchen notwendigen anonymen Informationen, die es erlauben, Covid-19-Zertifikate zu widerrufen. Das Covid-Zertifikat wird bei der Erstellung vor Ort ausgedruckt oder in der "COVID Certificate"-App auf dem Mobiltelefon der Person gespeichert. Für die Generierung des Zertifikats Light, wird das Covid-Zertifikat aus der App gesichert an das Zertifikats-System übermittelt, welches das Light Zertifikat generiert, signiert und anschliessend dieses gesichert an die App übermittelt und die Daten im Zertifikats-System gelöscht. Das Bundesamt für Gesundheit hat zu keiner Zeit Zugriff auf die bearbeiteten Daten.</p><p>2. Die "COVID Certificate Check"-App nutzt die aus dem QR-Code ausgelesenen Daten nur zur lokalen Prüfung. Dazu wird das Zertifikat ausgelesen, um einerseits die Gültigkeit der elektronischen Signatur, andererseits die Angaben zur Testung, Genesung oder Impfung gegen die geltenden Regeln zu prüfen (z.B. ob das Testzertifikat abgelaufen ist). Die Daten werden nicht gespeichert und nicht weitergeleitet. Die Identitätsüberprüfung legitimiert sich aus den Bestimmungen zu den Schutzkonzept-Massnahmen nach Anhang 2 der Covid-19-Verordnung besondere Lage (SR 818.101.26). Bei der Prüfung mit der "COVID Certificate Check"-App werden lediglich die folgenden Angaben zum Identitätsabgleich auf der Prüf-App angezeigt: Nachname, Vorname, Geburtsdatum sowie das Ergebnis der Prüfung ("grün" oder "rot"). Nicht angezeigt wird, um welche Art von Zertifikat (Impf-, Test- oder Genesungszertifikat) es sich handelt. Die im Light Zertifikat enthaltenen personenbezogenen Informationen wurden zusätzlich auf die für den Identitätsabgleich notwendigen Daten reduziert, so dass niemand mehr Daten auslesen kann. Der Programmcode aller Systemteile (Halter-App für geimpfte, genesene und negativ getestete Personen, Prüf-App und Systeme des BIT) sind quelloffen und es wurden öffentliche Sicherheitstests durchgeführt. Das Nationale Center für Cybersecurity (NCSC) führt zusätzliche regelmässige Sicherheitstests durch.</p><p>4. Die bisherigen Datenbearbeitungen und Datenübertragungen sind bereits unter hohen Datenschutz- und Datensicherheits-Ansprüchen entwickelt worden. Es wird auch Verwendung des Light Zertifikates in der Schweiz empfohlen, da dieses die unberechtigte Auslesung und Speicherung von Gesundheitsdaten wirksam verhindert. Die verbleibenden Restrisiken sind jeweils in Abwägung zwischen Praktikabilität und Sicherheit analysiert und unter Einbezug der interessierten Kreise (insbes. EDÖB und NCSC) als verhältnismässig akzeptiert worden.</p> Antwort des Bundesrates.
  • <p>Jede Person, die am gesellschaftlichen Leben teilnehmen muss oder teilnehmen will, braucht heutzutage ein Covid-Zertifikat.</p><p>Jede Person, die eine öffentliche Einrichtung betreibt oder eine Veranstaltung an einem öffentlichen Ort organisiert, hat die App heruntergeladen, mit der Covid-Zertifikate überprüft werden können.</p><p>Angesichts dieser neuen Realität stellen sich beim Covid-Zertifikat und seiner Kontrolle Fragen der Cybersicherheit und des Schutzes personenbezogener Daten sowie der Verantwortung der beteiligten Akteure.</p><p>Bei den übermittelten Informationen handelt es sich um Personendaten (Name, Vorname, Geburtsdatum) sowie um besonders schützenswerte Daten, nämlich um Daten über den Gesundheitszustand der Person (geimpft, genesen, Impfdatum, Testdatum usw.).</p><p>Der Einsatz des "Zertifikats Light" kommt dem Schutzbedürfnis teilweise entgegen. Dieses Zertifikat kann man aber nur verwenden, wenn man es vorher bei einem BAG-Server beantragt hat. Nur so bekommt man für einen Zeitraum von 48 Stunden ein Zertifikat mit limitierten Daten. Auf diese Weise erhält das BAG theoretisch das vollständige Zertifikat der Person, das Datum des Antrags und den Ort.</p><p>Ich unterstütze zwar die Bemühungen zur Bekämpfung der Pandemie, bestehe aber darauf, dass die eingesetzten Mittel den Grundsatz des Datenschutzes respektieren.</p><p>Zur Klärung der Sachlage bitte ich um Antworten auf die folgenden Fragen:</p><p>1. Welche Daten werden erfasst, aufbewahrt, geschützt und verwendet? Auf welche Server, betrieben von welchen Dienstleistern, und in welche Länder werden die Daten für den Erhalt des Zertifikats übertragen?</p><p>2. Welches Sicherheitsniveau haben die Programme, die zum Kontrollieren der QR-Codes verwendet werden? Wer sind die dazu befugten Personen (welche Fähigkeiten und Verantwortlichkeiten haben sie und was machen sie mit den gesammelten Daten)? Was legitimiert sie dazu, die Identität von Personen zu überprüfen und das Arztgeheimsgeheimnis zu umgehen?</p><p>3. Bei den Diskussionen über das Covid-Zertifikat wurde gefordert, die Datenverwaltung zu dezentralisieren, um zu verhindern, dass das BAG über die Daten der gesamten Bevölkerung verfügt. Was ist daraus geworden?</p><p>4. Welche Massnahmen gedenkt der Bundesrat zu ergreifen, um den Datenschutz zu stärken und die Übermittlung von personenbezogenen und besonders schützenswerten Daten an Dritte zu minimieren?</p>
  • QR-Code. Welchen Stellenwert hat dabei der Datenschutz?

Back to List