Die Datenschutzerklärung erläutert, welche Daten weshalb erfasst werden und wie Informationen verwendet werden. Die Nutzungsbedingungen informieren über die Regeln, mit denen Sie sich einverstanden erklären, wenn Sie die SwissCovid App nutzen.
Die Datenschutzerklärung erläutert, welche Daten weshalb erfasst werden und wie Informationen verwendet werden. Die Nutzungsbedingungen informieren über die Regeln, mit denen Sie sich einverstanden erklären, wenn Sie die SwissCovid App nutzen.
Stand 24. Juni 2020
Lesen Sie bitte die nachstehende Datenschutzerklärung, wenn Sie die SwissCovid App nutzen.
In dieser Datenschutzerklärung erläutert das Bundesamt für Gesundheit (BAG), inwieweit es hinsichtlich der Nutzung der Applikation «SwissCovid-App» (nachfolgend App) in der Schweiz Personendaten bearbeitet. Das ist keine abschliessende Beschreibung; allenfalls regeln andere Datenschutzerklärungen, ähnliche Dokumente, Nutzungsbedingungen oder Anwendungsprogramme spezifische Sachverhalte.
Das Datenschutzrecht regelt die Bearbeitung von Personendaten. Die Bundesgesetzgebung über den Datenschutz ist auf die Datenbearbeitung anwendbar. Die Datenschutzerklärung steht zudem im Einklang mit dem Epidemiengesetz vom 28. September 2012 (EpG; SR 818.101) und der Verordnung vom 24. Juni 2020 über das Proximity-Tracing-System für das Coronavirus SARS-CoV-2 (VPTS; SR 818.101.25).
Unter Personendaten werden alle Angaben verstanden, die sich auf eine bestimmte oder bestimmbare Person beziehen. Bearbeiten meint jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten der Daten.
Verantwortlich für die Datenbearbeitungen, die hier beschrieben wird, ist das
Bundesamt für Gesundheit BAG
3003 Bern
Schweiz
Tel. +41 58 462 69 98
recht(at)bag.admin.ch
Das gesamte App-System ist darauf ausgerichtet, dass der Benutzer und die Benutzerin der App nicht bestimmbar sind. Die Bearbeitung von Personendaten wird minimiert. So sind keinerlei technische Rückschlüsse auf Personen, Standorte oder Geräte möglich. Ortsangaben werden keine erfasst, sondern lediglich verschlüsselte Daten betreffend die Kontakt-Ereignisse. Diese werden technisch vor Missbrauch geschützt. Das BAG kann keine Rückschlüsse auf die Benutzerinnen und Benutzer der App ziehen. Die App schützt die Daten der Benutzerinnen und Benutzer so, dass über weite Strecken kein Personenbezug hergestellt werden kann. Dennoch ist ein Personenbezug nicht absolut auszuschliessen. So besteht eine gewisse Wahrscheinlichkeit, dass bei der Benachrichtigung einer möglicherweise gefährdeten Person, diese aufgrund ihrer Erinnerung an ihre Sozialkontakte der letzten Tage allenfalls Rückschlüsse auf die Identität der infizierten Person ziehen kann. Diese Benachrichtigung umfasst die Information, dass die Benutzerin oder der Benutzer potenziell dem Coronavirus ausgesetzt war, die Angabe, an welchem Tag dies zum letzten Mal der Fall war, den Hinweis, dass das BAG eine Infoline zur kostenlosen Beratung betreibt und die Verhaltensempfehlungen des BAG. Durch die Benutzung der App können somit potenziell auch Personen identifiziert werden.
Das App-System gliedert sich in zwei Komponenten:
Die beiden Backends unterstehen als zentrale Server direkt der Kontrolle des BAG und werden technisch vom Bundesamt für Informatik und Kommunikation (BIT) betrieben. Die Codeverwaltungs-Frontends laufen auf Geräten der für die Generierung des Freischaltcodes («Covidcodes») berechtigten Fachpersonen.
Auf dem Mobiltelefon werden folgende Daten gespeichert:
Im Falle einer nachgewiesenen Infektion eines Benutzers oder einer Benutzerin werden im Codeverwaltungssystem folgende Daten erfasst:
Das VA-Backend besteht aus einer Liste mit folgenden Daten:
Das vom BAG betriebene App-System stützt sich auf das EpG und die VPTS. Die App und die mit ihr einhergehenden Datenbearbeitungen bezwecken ausschliesslich die Benutzerinnen und Benutzer, die potenziell dem Coronavirus ausgesetzt waren, unter Wahrung des Datenschutzes zu benachrichtigen sowie Statistiken aus Daten der beiden Backends im Zusammenhang mit dem Coronavirus zu erstellen.
Die Liste mit den Daten des VA-Backends wird der App (bzw. Frontend) im Abrufverfahren zur Verfügung gestellt. Soweit das BAG für diesen Service Dritte im In- oder Ausland beauftragt, verpflichten sich diese vertraglich, die Vorgaben nach Artikel 60a EpG und der VPTS einzuhalten. Davon ausgenommen ist die Regelung betreffend den Quellcode nach Artikel 60a Absatz 5 Buchstabe e EpG. Das BAG kontrolliert die Einhaltung der Vorgaben. Bei der Ausführung des Auftrags anfallende Randdaten dürfen die beauftragten Dritten nicht für eigene Zwecke nutzen. Diese Daten werden nur vom BAG bzw. vom BIT ausgewertet (vgl. Ziffer 8).
Das BAG stellt dem Bundesamt für Statistik (BFS) periodisch den aktuellen Bestand der in beiden Backends vorhandenen Daten in anonymisierter Form für statistische Auswertungen zur Verfügung. Das BIT führt im Auftrag des BAG den Betrieb der gesamten Software durch und stellt den notwendigen technischen Support-Service bereit. Das BIT hat lediglich Zugriff auf Daten, soweit dies für die beschriebenen Zwecke und die Tätigkeit der betreffenden Mitarbeiter erforderlich ist. Diese sind im Umgang mit den Daten zu Vertraulichkeit verpflichtet.
Die App verwendet eine Schnittstelle zum Betriebssystem des Mobiltelefons der Benutzerin oder des Benutzers, welche die Bearbeitung von Daten durch Apple oder Google bedingt. Die über die Schnittstelle genutzten Funktionen der Betriebssysteme müssen die Vorgaben von Artikel 60a EpG und der VPTS erfüllen. Davon ausgenommen ist die Regelung betreffend den Quellcode nach Artikel 60a Absatz 5 Buchstabe e EpG. Das BAG vergewissert sich, dass diese Vorgabe eingehalten werden, insbesondere indem es entsprechende Zusicherungen einholt.
Die Daten werden vernichtet, sobald sie für die Benachrichtigung der Benutzerinnen und Benutzer nicht mehr erforderlich sind. Namentlich werden sie wie folgt vernichtet:
In enger Zusammenarbeit mit seinen internen und externen Hosting-Providern und anderen IT-Dienstleistern trifft das BAG zum Schutz der Daten vor unberechtigtem Zugriff, Verlust und Missbrauch angemessene Sicherheitsvorkehrungen technischer Natur (z.B. Verschlüsselungen, Pseudonymisierung, Protokollierung, Zugangskontrollen und -beschränkungen, Datensicherung, IT- und Netzwerksicherheitslösungen etc.) sowie organisatorischer Natur (z.B. Weisungen an die Mitarbeiter, Vertraulichkeitsvereinbarungen, Überprüfungen etc.) gemäss den Vorgaben der Bundesverwaltung und der schweizerischen Datenschutzgesetzgebung.
Sie haben das Recht auf Auskunft, Berichtigung, Löschung, oder Herausgabe Ihrer Daten. Weiter steht Ihnen das Recht auf Einschränkung der Datenbearbeitung und das Recht auf Widerspruch gegen die Datenbearbeitung zu. Sie haben zudem das Recht, Einwilligungen zu widerrufen, ohne dass dadurch die Rechtmässigkeit der bis zum Widerruf erfolgten Datenbearbeitung berührt ist. Diese Rechte greifen, soweit Personendaten vorhanden sind. Das dem App-System zugrundeliegende «privacy by design», welches mit innovativen kryptografischen Methoden und einer dezentralisierten Datenbearbeitung darauf ausgerichtet ist, dass möglichst keine Angaben zu bestimmten oder bestimmbaren Personen (Personendaten) vorhanden sind, verhindert dies jedoch weitestmöglich. Aus diesem Grund ist es dem BAG beispielsweise nicht möglich, Auskunft über die zu einer bestimmten Person erfassten Annährungsereignisse zu erteilen oder diese Daten zu korrigieren. Das BAG kann diese Daten nicht einsehen, da sie lediglich auf den Mobiltelefonen gespeichert werden.
Die Ausübung der Rechte setzt voraus, dass Sie Ihre Identität eindeutig nachweisen (z.B. durch eine Ausweiskopie). Zur Geltendmachung Ihrer Rechte können Sie das BAG unter der in Ziffer 1 angegebenen Adresse kontaktieren.
Im Falle datenschutzrechtlicher Verstösse können Sie sich an die zuständige Datenschutzaufsichtsbehörde wenden oder die Rechtswege nach Datenschutzgesetzgebung beschreiten.
Es werden Protokolle über Zugriffe auf das VA-Backend und das Codeverwaltungssystem zu den in den Artikeln 57l–57o des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 1997 (RVOG; SR 172.010) aufgeführten Zwecken gespeichert. Die Zugriffe können statistisch ausgewertet werden. Es sind die Artikel 57i–57q RVOG und die Verordnung vom 22. Februar 2012 über die Bearbeitung von Personendaten, die bei der Nutzung der elektronischen Infrastruktur des Bundes anfallen (SR 172.010.442), anwendbar.
Die Protokolldaten werden folgendermassen vernichtet:
Das BAG kann diese Datenschutzerklärung jederzeit ohne Vorankündigung anpassen. Es gilt die jeweils aktuelle publizierte Fassung bzw. die für den jeweiligen Zeitraum gültige Fassung. Diese Datenschutzerklärung wurde in mehreren Sprachen verfasst. Bei Divergenzen ist die deutsche Version massgebend. Im Falle einer Aktualisierung wird der Benutzer oder die Benutzerin der App über die Änderung in geeigneter Weise informiert.
1.1 Diese Nutzungsbedingungen regeln den Bezug und die Nutzung der Applikation «SwissCovid-App» (nachfolgend App) durch die Benutzerinnen und Benutzer und gelten als integrierender Bestandteil derselben.
1.2 Die App des Bundesamtes für Gesundheit (BAG) stützt sich auf das Epidemiengesetz vom 28. September 2012 (EpG; SR 818.101) und die Verordnung vom 24. Juni 2020 über das Proximity-Tracing-System für das Coronavirus SARS-CoV-2 (VPTS; SR 818.101.25).
1.3 Die App bezweckt die Benutzer und Benutzerinnen, die potenziell dem Coronavirus ausgesetzt waren, zu benachrichtigen und Statistiken im Zusammenhang mit dem Coronavirus zu erstellen.
2.1 Die Installation der App auf dem Mobiltelefon und deren Einsatz ist für die Benutzerinnen und Benutzer freiwillig.
2.2 Die Anwendung bzw. die Nutzung der App sowie deren in Ziffer 3 beschriebenen Funktionen beschränken sich auf das schweizerische Gebiet.
2.3 Mit dem Zugriff auf die App erklärt der Benutzer oder die Benutzerin die nachfolgenden Bedingungen und rechtlichen Informationen im Zusammenhang mit der App (und den darin enthaltenen Elementen) verstanden zu haben und anerkennt diese. Sollte der Benutzer oder die Benutzerin mit diesen Bedingungen nicht einverstanden sein, ist auf die Nutzung der App zu verzichten.
3.1 Mittels der App werden Benutzerinnen und Benutzer informiert, wenn sie mit mindestens einer nachweislich infizierten Benutzerin oder einem nachweislich infizierten Benutzer in relevantem Kontakt waren.
3.2 Voraussetzung für das Funktionieren der App ist die Aktivierung von Bluetooth.
3.3 Die App erfüllt unter Verwendung einer Schnittstelle zum Betriebssystem des Mobiltelefons der Benutzerin oder des Benutzers folgende Funktionen:
Das Betriebssystem generiert jeden Tag einen neuen privaten Schlüssel, der keine Rückschlüsse auf die App, das Mobiltelefon und die Benutzerinnen und Benutzer ermöglicht. Innerhalb der Reichweite von Bluetooth tauscht das Betriebssystem mit allen kompatiblen und aktiven Apps einen mindestens halbstündlich wechselnden Identifizierungscode («zufällige ID/Zufalls-ID») aus, der aus einem aktuellen privaten Schlüssel abgeleitet wird, aber nicht auf diesen Schlüssel zurückgeführt werden kann und ebenfalls keine Rückschlüsse auf die App, das Mobiltelefon und deren Benutzerinnen und Benutzer ermöglicht.
Das Betriebssystem speichert auf dem Mobiltelefon die empfangenen Identifizierungscodes («zufällige IDs/Zufalls-IDs»), die Signalstärke, das Datum und die geschätzte Dauer der Annäherung.
Die App ruft periodisch eine Liste der privaten Schlüssel der infizierten Benutzerinnen und Benutzer ab und lässt vom Betriebssystem überprüfen, ob mindestens ein lokal gespeicherter Identifizierungscode («zufällige ID/Zufalls-ID») mit einem privaten Schlüssel der Liste generiert wurde. Ist dies der Fall und bestand zu mindestens einem Mobiltelefon einer infizierten Benutzerin oder einem infizierten Benutzer eine Annährung von 1,5 Metern oder weniger und erreicht die Summe der Dauer aller solchen Annäherungen innerhalb eines Tages 15 Minuten, so gibt die App die Benachrichtigung aus. Der Abstand wird anhand der Stärke der empfangenen Signale geschätzt.
3.4 Ist eine Infektion bei einer Benutzerin oder einem Benutzer nachgewiesen, generieren zugriffsberechtigte Fachpersonen (z.B. behandelnde Ärztinnen und Ärzte) einen einmaligen und zeitlich begrenzt gültigen Freischaltcode («Covidcode») und geben diesen der infizierten Benutzerin oder dem infizierten Benutzer bekannt. Dieser oder diese kann den Freischaltcode in ihre oder seine App freiwillig eingeben. Die Benachrichtigung bzw. die Eingabe des Freischaltcodes erfolgt nur mit der ausdrücklichen Einwilligung der infizierten Benutzerin oder des infizierten Benutzers.
Die anderen App-Benutzerinnen und -benutzer, welche in der infektiösen Zeitspanne eine Annährung gemäss Ziffer 3.3 zu der infizierten Benutzerin oder dem infizierten Benutzer hatten, werden durch die eigenen Apps benachrichtigt.
Die benachrichtigten Benutzerinnen und Benutzer erfahren, dass eine Annährung stattgefunden hat bzw. dass sie potenziell dem Coronavirus ausgesetzt waren und an welchem Tag dies zum letzten Mal der Fall war. Sie erfahren nicht, welcher Benutzer oder welche Benutzerin infiziert ist und die Benachrichtigung ausgelöst hat. Die Benachrichtigung umfasst weiter den Hinweis, dass das BAG eine Infoline zur kostenlosen Beratung betreibt und Verhaltensempfehlungen des BAG.
3.5 Ein Benutzer oder eine Benutzerin, die über die eigene App benachrichtigt wurde, dass sie potenziell dem Coronavirus ausgesetzt war, kann gegen Nachweis der Benachrichtigung kostenlos einen Test auf Infizierung mit dem Coronavirus SARS-CoV-2 oder auf Antikörper gegen diesen durchführen lassen.
3.6 Die App kommuniziert zudem Verhaltensempfehlungen des BAG.
3.7 Die App verwendet keine Standortortung oder Geolokalisation.
3.8 Die App kann keine medizinische Einschätzung vornehmen, keine Massnahmen anordnen (wie z.B. eine Quarantäne) und keine Anweisungen erteilen.
4.1 Der technische Zugang zur App ist in der Verantwortung der Benutzerinnen und Benutzer.
4.2 Für die eigenen Geräte sind die Benutzerinnen und Benutzer verpflichtet, die notwendigen Sicherheitsvorkehrungen zu treffen und diese gegen unbefugten Zugriff durch Dritte sowie gegen Schadsoftware zu schützen.
Die Benutzerin und der Benutzer wird hiermit auf Sicherheitsrisiken durch die Nutzung des Internets und von Internet-Techniken hingewiesen.
4.3 Die Benutzerinnen und Benutzer sind verpflichtet, die App auf dem neuesten Stand zu halten und Aktualisierungen («Updates») vorzunehmen. Es bestehen keine Ansprüche auf die Benutzung einer bestimmten Version der Software.
4.4 Die Benutzerinnen und Benutzer sind verpflichtet, von ihr oder ihm eingegebene Daten auf ihre Vollständigkeit und Richtigkeit hin zu überprüfen.
4.5 Die Benutzerinnen und Benutzer sind dafür verantwortlich, dass bei der Nutzung der App anwendbare gesetzliche Bestimmungen und die Nutzungsbedingungen eingehalten werden.
5.1 Obwohl das BAG mit aller Sorgfalt auf die Richtigkeit der veröffentlichten Informationen, Inhalte und Mitteilungen in der App achtet, kann hinsichtlich deren inhaltlichen Richtigkeit, Genauigkeit, Aktualität, Zuverlässigkeit und Vollständigkeit keine Gewährleistung übernommen werden.
Das BAG behält sich ausdrücklich vor, jederzeit Informationen und Inhalte ohne Ankündigung ganz oder teilweise zu ändern, zu löschen oder zeitweise nicht zu veröffentlichen.
5.2 Jegliche Haftungsansprüche gegen das BAG wegen Schäden inkl. Folgeschäden materieller oder immaterieller Art, welche bspw. aus dem Zugriff oder der Nutzung bzw. Nichtnutzung der App und deren Informationen, Inhalte und Mitteilungen, durch Missbrauch der Verbindung, durch technische Störungen oder durch Verletzung der Sorgfaltspflichten der Benutzerinnen und Benutzer, entstanden sind, werden im Rahmen des gesetzlich Zulässigen ausgeschlossen.
Jegliches Handeln bzw. Verhalten, welches aufgrund der Informationen, Inhalte und Mitteilungen der Applikation getroffen wird, wie z.B. die Begebung in Isolation/Quarantäne, erfolgt auf Verantwortung und Risiko der Benutzerin oder des Benutzers. Das BAG übernimmt in keinem Fall Haftung für daraus resultierende Schäden.
5.3 Die Haftung für Hilfspersonen und Dritte wird, soweit gesetzlich zulässig, ausgeschlossen.
5.4 Das BAG übernimmt keine Verantwortung und gibt keine Garantie dafür ab, dass die Funktionen und Nutzung der App dauernd und ununterbrochen zur Verfügung stehen, fehler- und störungsfrei sind oder Fehler behoben werden oder dass die Server frei von Viren oder sonstigen schädlichen Bestandteilen sind.
Das BAG ist jederzeit berechtigt, die Nutzung der App zu unterbrechen oder einzustellen.
5.5 Verweise und Links auf Websites Dritter liegen ausserhalb des Verantwortungsbereichs des BAG. Das BAG übernimmt weder für Bestand noch für den Inhalt noch für die Richtigkeit dieser Informationen eine Haftung. Der Zugriff und die Nutzung solcher Websites erfolgen auf eigene Gefahr der Benutzerin oder des Benutzers. Das BAG erklärt ausdrücklich, dass es keinerlei Einfluss auf die Gestaltung, den Inhalt und die Angebote der verknüpften Seiten haben. Informationen und Dienstleistungen von verknüpften Websites liegen vollumfänglich in der Verantwortung des jeweiligen Dritten.
Es wird jegliche Verantwortung für solche Websites abgelehnt.
6.1 Gestützt auf Artikel 13 der schweizerischen Bundesverfassung und die datenschutzrechtlichen Bestimmungen des Bundes hat jede Person Anspruch auf Schutz ihrer Privatsphäre sowie Schutz vor Missbrauch ihrer persönlichen Daten. Das BAG hält diese Bestimmungen ein. Persönliche Daten werden streng vertraulich behandelt.
6.2 In enger Zusammenarbeit mit seinen Dienstleistern bemüht sich das BAG, die Daten so gut wie möglich vor fremden Zugriffen, Verlusten, Missbrauch oder Fälschungen zu schützen.
6.3 Für die Bearbeitung von Personendaten durch das BAG gilt die Datenschutzerklärung zur App.
7.1 Die Nutzung der App kann von der Benutzerin oder dem Benutzer jederzeit durch Löschung bzw. Deinstallation auf dem Mobiltelefon beendet werden.
7.2 Sobald die App zur Bewältigung der durch das Coronavirus verursachten Epidemie nicht mehr erforderlich ist oder sich als ungenügend erweist, kann der Bundesrat die App einstellen bzw. deaktivieren.
7.3 Spätestens beim Ausserkrafttreten der in Ziffer 1.2. aufgeführten Verordnung deaktiviert das BAG die App und fordert die Benutzerinnen und Benutzer auf, diese auf dem Mobiltelefon zu deinstallieren.
8.1 Copyright, Bundesamt für Gesundheit BAG.
8.2 Die Informationen und Inhalte werden der Öffentlichkeit zugänglich gemacht. Die vom BAG in der App veröffentlichen Inhalte dürfen nur für den Eigengebrauch genutzt werden. Jede darüber hinausgehende Reproduktion und Weitergabe der Inhalte an Dritte ist unzulässig. Durch das Herunterladen oder Kopieren von Inhalten, Bildern, Fotos oder anderen Dateien werden keinerlei Rechte bezüglich der Inhalte übertragen.
Die Urheber- und alle anderen Rechte an Inhalten, Bildern, Fotos oder anderen Dateien dieser App gehören ausschliesslich dem BAG oder den speziell genannten Rechtsinhabern. Für die Reproduktion jeglicher Elemente ist die schriftliche Zustimmung der Urheberrechtsträger im Voraus einzuholen.
9.1 Diese Bestimmungen wurden in mehreren Sprachen verfasst. Bei Divergenzen ist die deutsche Version massgebend.
9.2 Die Nutzung der App ist für die Benutzerinnen und Benutzer kostenlos. Allfällige Kosten für den Netzzugang, um die App nutzen zu können, trägt die Benutzerin oder der Benutzer.
9.3 Das BAG behält sich jederzeitige Änderungen und Ergänzungen der Nutzungsbedingungen vor. Die neuen Bedingungen werden den Benutzerinnen und Benutzern vorab und in geeigneter Weise kommuniziert und gelten ohne Widerspruch innert Monatsfrist als genehmigt.
9.4 Sollte eine Bestimmung in den Nutzungsbedingungen nichtig oder unwirksam sein, werden die Nutzungsbedingungen nicht allgemein berührt.
9.5 Anwendbar ist schweizerisches Recht, unter Vorbehalt abweichender zwingender Bestimmungen. Ausschliesslicher Gerichtsstand für alle Streitigkeiten ist das zuständige schweizerische Gericht.
Technische Informationen und FAQs finden Sie auf der Seite SwissCovid App und Contact Tracing.
Letzte Änderung 24.06.2020