Der gläserne Gast

Man kann an der Schweizer Pandemie­politik vieles aussetzen: Den Daten­schutz aber hat sie vorbildlich respektiert. Bis jetzt.

Erinnern Sie sich, wie zu Beginn der Pandemie heftig über die Contact-Tracing-App diskutiert wurde? Sie solle daten­sparsam, freiwillig und dezentral funktionieren: Die Daten darüber, wer wen wo getroffen hat, sollten verschlüsselt auf den Smart­phones bleiben, weder das Bundesamt für Gesundheit noch die Kantone sollten Zugriff darauf haben. Dies wurde sogar eigens im angepassten Epidemien­gesetz festgehalten, das die Grund­lage für die App bildet.

Ein Jahr später werden diese hehren Grund­sätze über Bord geworfen.

So entschied der Berner Regierungs­rat letzte Woche, dass Restaurants, Bars und Clubs ab dem 10. Mai ihre Besucher­daten mit Check-in-Apps erfassen sollen. Und dass diese Daten permanent an eine zentrale Daten­bank des Kantons übertragen werden sollen.

Bern schafft damit als erster Kanton eine gesetzliche Grund­lage für die zentrale Speicherung von Kontakt­daten. Weitere Kantone sind kurz davor: In der Waadt und im Wallis gibt es zwar noch keine gesetzliche Regelung, doch die dortigen Gastro­verbände schreiben die Nutzung von Apps wie «Social Pass» für den Restaurant­besuch vor.

Das Berner Modell

Wer ein Berner Restaurant besucht, muss nun also ab dem 10. Mai zwingend seine Kontakt­daten digital angeben. Eine analoge Variante auf Papier gibt es bald nur noch in Ausnahme­fällen. Die Gastro­betriebe sollen die Daten der Besucherinnen täglich ans Gesundheits­amt des Kantons liefern, wo diese zentral gespeichert werden. Der Regierungsrat begründet dies damit, dass zuverlässige Kontakt­daten «aus epidemiologischer Sicht erforderlich» seien.

Vergangenes Jahr war mit «Lunchgate» bereits einmal eine Check-in-App mit einer sehr laschen Daten­schutz­praxis aufgefallen. Warum nun der neue Fokus auf zentralisierte Daten­banken – und ausgerechnet in der Gastronomie?

Zum einen sind die Restaurant­besuche schlecht dokumentiert: viele Gäste hinterlassen Fantasie­namen oder gar keine Kontakt­daten. Auch gehen Listen verloren, oder sie sind unleserlich. Die Effektivität der Swiss-Covid-App ist zwar belegt, doch es harzt bei der Daten­übertragung vor allem beim Faktor Mensch: Wenn die Gesundheits­ämter mit der Ausstellung der Aktivierungs­codes nicht nach­kommen, wird niemand rechtzeitig gewarnt.

Zum anderen haben neuere Erkenntnisse zur Aerosol-Übertragung gezeigt, dass die 2-Meter-Regel nicht greift: Alle Personen, die sich in einem ungelüfteten Raum aufhalten, müssen benachrichtigt werden.

Deshalb ruhen die Hoffnungen beim Contact-Tracing also auf Check-in-Apps. In Bern können sich die Restaurants dabei aus einem bunten Strauss von Applikationen bedienen: «Social Pass», «Lunchgate», «Mindful» oder «Get-Entry» – der Branchen­verband Gastro Suisse allein führt 16 verschiedene Apps auf seiner Website auf. Sie wurden allesamt weder öffentlichen Sicherheits­tests unterzogen noch unabhängig auf Daten­schutz­risiken überprüft, geschweige denn wurde der Quellcode publiziert. In der angepassten Berner Verordnung wird auch nichts dergleichen verlangt. Wie die Daten gesammelt und übertragen werden, ist Sache der Betriebe, solange sie täglich auf den Servern des Kantons landen.

Zum Vergleich: In Deutschland haben die Betreiber des dortigen Pendants – der viel kritisierten Luca-App – den Code publiziert. Prompt haben Security-Expertinnen entsprechende Sicherheits­lücken entdeckt.

Diverse Kantone interessieren sich für das Berner Modell, bei dem der Kanton selbst eine Daten­bank betreibt. Werden Restaurant­besucher damit zu gläsernen Bürgern? Nein, versichert der Sprecher des Berner Gesundheits­amts, Gundekar Giebel. «Es wird nur nach Betrieben, nicht nach Personen­namen gesucht.» Doch eine technische Sicherheits­hürde für personen­bezogene Abfragen existiert nicht.

Sprich: Das Gesundheitsamt könnte also persönliche Bewegungs­profile erstellen – wenn es denn wollte.

Eine private Konkurrenz­datenbank

Als weitere Alternative zur daten­sparsamen offiziellen App des Bundes wird das Contact-Tracing seit Oktober auch von einer privaten Initiative voran­getrieben. Eine Gruppe von Gastro­verbänden und App-Anbietern hat unter der Feder­führung von Jean-Paul Saija – Co-Chef der Firma Mindnow, deren Check-in-App «Mindful» bei über 6000 Gastro­betrieben im Einsatz ist – eine private Daten­bank entwickelt: die «Swiss Contact Tracing Database».

Gemäss der Republik vorliegenden Dokumenten und öffentlich verfügbaren Informationen wäre diese Daten­bank ein veritabler Datenschutz­albtraum: Besuchs­daten aus den führenden Schweizer Check-in-Apps flössen darin zusammen und liessen sich verschiedentlich analysieren: Es gäbe etwa eine Check-in-Historie der Besucherinnen, um Forward Tracing, Backward Tracing und Cluster-Erkennung zu ermöglichen. «Jeder Kanton könnte aus den Funktionen aussuchen und das verwenden, was für ihn Sinn ergibt», sagt Saija. Und er betont: Man lege hohen Wert auf Datenschutz und habe die Datenbank von externen Sicherheits­experten prüfen lassen.

Bundesverwaltung und diverse Kantone haben Interesse an der Datenbank signalisiert. Das geht aus mehreren E-Mails und internen Dokumenten hervor, die der Republik vorliegen. Auch die Lobby­agentur Furrerhugi wirft sich dafür ins Zeug. Profitieren von einer Verbreitung würde unter anderem die Firma Ticket­corner, die grösste Event­veranstalterin der Schweiz. Ihr gehört seit Dezember 2020 die App «Mindful».

Untersuchung gegen App-Anbieter Social Pass

Egal, ob sich die private Gastro-Lösung oder das Berner Modell durchsetzt: Mit der zentralen Daten­speicherung vollzieht sich ein Paradigmenwechsel.

Anders als beim Proximity-Tracing – das die Infektions­wahrscheinlichkeit anhand von Distanzen misst – findet dazu aber keine politische Debatte statt. Reaktionen der netz­politischen Zivil­gesellschaft bleiben aus. Der Bundesrat gibt die Verantwortung an die Daten­schutz­behörden ab: Diese sollen klären, ob die jeweiligen Apps die Privat­sphäre achten oder nicht.

Mindestens bei einem Anbieter ist dies nicht der Fall. Die App «Social Pass», die bereits eine halbe Million Downloads verzeichnet, ist seit Dezember 2020 im Visier des eidgenössischen Daten­schützers. Zurzeit findet eine «formelle Sachverhalts­abklärung» statt, wie Edöb-Sprecherin Silvia Böhlen bestätigt. Man untersuche Nutzungs­bedingungen, die technische Sicherheit sowie die zentrale Daten­haltung. Die Ergebnisse dürften Signal­wirkung haben.

Jean-Paul Saija, Co-Chef von Mindnow, sagt, eine dezentrale Lösung sei nicht automatisch besser als eine zentrale, insbesondere wenn Menschen­leben und eine sichere Öffnung der Wirtschaft auf dem Spiel stünden. «Wir müssen solche Fragen ohne vereinfachende Schlag­wörter sinnvoll abwägen. Es ist schade, dass wir diese Diskussion nicht sachlich führen können.»

Gefährliche Entwicklungen

Anders sieht dies Carmela Troncoso, Professorin an der Eidgenössischen Technischen Hochschule in Lausanne und Entwicklerin der Swiss-Covid-App. Sie ruft in einem Interview dazu auf, keine Infra­strukturen zur digitalen Über­wachung aufzubauen, die womöglich unnötig und zeitlich nicht begrenzt sind sowie zweck­entfremdet werden können.

Hintergrund von Troncosos Aufruf: Solche Strukturen wecken Begehrlichkeiten. Wie wird etwa sicher­gestellt, dass keine anderen Departemente und Behörden die Contact-Tracing-Daten für andere Zwecke nutzen – etwa für Ermittlungen der Polizei, wie bereits in Deutschland geschehen? De facto reicht ein Regierungs­beschluss, und die Daten werden plötzlich ganz anders als ursprünglich vorgesehen genutzt: zur Analyse, Prävention, Bestrafung.

Die Befürchtung, dass diese Daten auch in der Schweiz zweck­entfremdet werden könnten, kommt nicht von ungefähr: In der Berner Verordnung steht nichts von der Vernichtung der Datenbank nach Pandemie­ende, ganz im Gegensatz zur Bundes­verordnung zur Swiss-Covid-App.

Digitale Infra­strukturen sind wie Strassen, sagt die Datenschutz­expertin. Einmal gebaut, verschwinden sie nicht mehr.