«COVID Certificate Check»-App: Datenschutzerklärung und Nutzungsbedingungen

In dieser Datenschutzerklärung erläutert das Bundesamt für Informatik und Telekommunikation (BIT), inwieweit und unter welchen Bedingungen es hinsichtlich der Nutzung der Applikationen «Aufbewahrungs-App» sowie «Überprüfungs-App» (nachfolgend Apps) und des Betriebs von dazugehörigen Informationssystemen zur Ausstellung und zum Widerruf von Covid-19-Zertifikaten in der Schweiz Personendaten bearbeitet. Neben dieser Datenschutzerklärung sind auch die Nutzungsbedingungen der jeweiligen Apps zu beachten.

Das schweizerische Datenschutzrecht regelt die Bearbeitung von Personendaten durch die Bundesverwaltung. Es ist auf die Datenbearbeitung im Zusammenhang mit den Apps und des Betriebs von dazugehörigen Informationssystemen zur Ausstellung und zum Widerruf von Covid-19-Zertifikaten anwendbar. Die Datenbearbeitungen basieren auf dem Covid-19-Gesetz vom 25. September 2020 (SR 818.102), der Verordnung vom 4. Juni 2021 über Zertifikate zum Nachweis einer Covid-19-Impfung, einer Covid-19-Genesung oder eines Covid-19-Testergebnisses (Covid-19-Verordnung Zertifikate; SR 818.102.2) und dem Bundesgesetz vom 28. September 2012 über die Bekämpfung übertragbarer Krankheiten des Menschen (Epidemiengesetz, EpG; SR 818.101).

Unter «Personendaten» werden alle Angaben verstanden, die sich auf eine bestimmte oder bestimmbare Person beziehen. Vorliegend werden insbesondere Gesundheitsdaten bearbeitet, welche sogenannte besonders schützenswerte Personendaten darstellen. «Bearbeiten» meint jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten der Daten.

Verantwortlich für die Datenbearbeitungen, die hier beschrieben werden, ist das

Bundesamt für Informatik und Telekommunikation BIT
3003 Bern
Schweiz

Tel. +41 58 463 25 11
info@bit.admin.ch

3.1 Informationssystem zur Verwaltung von Signaturzertifikaten

Das BIT betreibt ein Informationssystem, das dazu dient, Signaturzertifikate (kryptographische Schlüssel) zur Überprüfung von elektronischen Signaturen von Covid-19-Zertifikaten auf ihre Authentizität, Integrität und Gültigkeit:

• mit entsprechenden ausländischen Systemen auszutauschen, insbesondere im Rahmen des «EU Digital Covid Certificate» der Europäischen Union;
• Applikationen, welche der Aufbewahrung und der Überprüfung von Zertifikaten dienen, zur Verfügung zu stellen.

Dadurch können in den beteiligten Ländern ausländische interoperable Zertifikate überprüft werden. Die Applikationen zur Aufbewahrung von Covid-19-Zertifikaten benötigen die Liste der Signaturzertifikate, um die in der App gespeicherten Zertifikate auf deren Gültigkeit überprüfen zu können. Die Applikationen zur Überprüfung von Covid-19-Zertifikaten benötigen die Liste der Signaturzertifikate, um die durch sie gescannten Zertifikate auf Gültigkeit überprüfen zu können. Das Informationssystem bearbeitet nur Signaturzertifikate und damit keine Personendaten.

3.2 Informationssystem zur Ausstellung von Covid-19-Zertifikaten

Das BIT betreibt ein Informationssystem, welches die von den Kantonen und dem Oberfeldarzt bezeichneten Gesundheitsfachpersonen (sog. Ausstellerinnen oder Aussteller) nutzen können, um Covid-19-Zertifikate auszustellen und zu widerrufen. Zum Zwecke der Administration und Verwaltung der berechtigten Ausstellerinnen und Aussteller werden folgende Personendaten im Informationssystem bearbeitet:m

• Vorname, Name, Adresse, E-Mail-Adresse und Telefonnummer der Ausstellerinnen und Aussteller;
• Angaben zum verwendeten Identifizierungsanbieter und zur Kennung, unter der dieser die betreffende Person identifiziert;
• Angabe, welche Arten von Zertifikaten von den Ausstellerinnen und Aussteller ausgestellt werden dürfen (Impf-, Genesungs-, Test- und/oder Ausnahme-Zertifikate);
• Datum des Beginns und des Ablaufs der Gültigkeit der Bezeichnung der Ausstellerinnen und Aussteller durch den Kanton und den Oberfeldarzt.

Die Ausstellerinnen und Aussteller übermitteln dem Informationssystem die für die Ausstellung des Covid-19-Zertifikats notwendigen Angaben:

• Name, Vorname und Geburtsdatum der Inhaberin oder des Inhabers des Covid-19-Zertifikats
• Angaben zum Land, in dem der Impfstoff verabreicht oder der Test durchgeführt wurde, oder, falls diese Information nicht vorhanden ist und die Impfung oder der Test von einer internationalen Organisation durchgeführt wurde, ein international anerkannter Code für diese Organisation
• Angaben zum Herausgeber («Bundesamt für Gesundheit»)
• Angaben zur Impfung, zum verabreichten Impfstoff und zur Vollständigkeit der Impfung (im Falle eines Covid-19-Impfzertifikats)
• Angaben zur durchgemachten Krankheit und zum Zeitpunkt des positiven Testergebnisses (im Falle eines Covid-19-Genesungszertifikats)
• Angaben zum durchgeführten Test (im Falle eines Covid-19-Testzertifikats)
• Angaben darüber, dass die Inhaberin oder der Inhaber aus medizinischen Gründen weder geimpft noch getestet werden kann (im Falle eines Covid-19-Ausnahmezertifikats) sowie Angaben zur für die Ausstellung verantwortlichen Stelle

Ausstellerinnen und Aussteller stützen sich bei der Ausstellung der Zertifikate auf die ihnen vorliegenden Dokumente.

Zur Ausstellung von Covid-19-Genesungszertifikaten für in der Schweiz durchgemachte Erkrankungen sowie von Covid-19-Zertifikaten für im Ausland verabreichte Impfungen oder durchgemachte Erkrankungen können die Kantone zusätzlich ein Informationssystem nutzen, dass

• zur Einreichung von Anträgen auf Ausstellung eines Covid-19-Impf- oder Genesungszertifikats und zur Bearbeitung und Erledigung dieser Anträge durch die Ausstellerinnen und Aussteller dient und
• im Falle von in der Schweiz durchgemachten Erkrankungen die Angaben der antragstellenden Person mit dem Informationssystem nach Artikel 60 EpG abgleicht und um die Informationen zum Testergebnis ergänzt.

Für dieses Informationssystem gilt eine separate Datenschutzerklärung sowie separate Allgemeine Nutzungsbedingungen, abrufbar unter www.covidcertificate-form.admin.ch.

Das Informationssystem des BIT generiert aus den übermittelten Angaben ein Covid-19-Zertifikat, das sowohl eine eindeutige Zertifikatskennung als auch einen ISO-genormten Strichcode enthält und mit einem geregelten elektronischen Siegel des BAG (Signaturzertifikat) versehen ist, das zur Überprüfung des Covid-19-Zertifikats auf Authentizität, Integrität und Gültigkeit gebraucht wird. Die eindeutige Zertifikatskennung wird aus den im jeweiligen Covid-19-Zertifikat enthaltenen Informationen durch eine kryptographische Hashfunktion gewonnen (SHA-384-Algorithmus). Bei Hashfunktionen handelt es sich um Einweg- bzw. um eine nicht-invertierbare Funktion. Alleine mit der eindeutigen Zertifikatskennung lassen sich daher keine Rückschlüsse auf den Inhalt eines Covid-19-Zertifikats ziehen.

Das BIT bearbeitet die personenbezogenen Daten von Inhaberinnen und Inhabern von Covid-19-Zertifikaten in dem für die Erstellung, Signierung und Übermittlung der Covid-19-Zertifikate sowie für deren Widerruf zwingend erforderlichen Umfang und vernichtet diese anschliessend vollständig. Darüber hinaus trifft das BIT sämtliche angemessenen technischen und organisatorischen Massnahmen zum Schutz der Personendaten. Dazu gehört unter anderem, dass die Daten ausschliesslich auf geschützten Servern des Bundes gespeichert werden und für die direkte Übermittlung zwischen dem Informationssystem zur Ausstellung von Covid-19-Zertifikaten und den Austellerinnen und Ausstellern oder den Inhaberinnen und Inhabern der Zertifikate verschlüsselte Verbindungen zum Einsatz kommen.

Zur Erkennung und Verhinderung allfälliger missbräuchlicher Nutzung des Informationssystems, infolge Kompromittierung des Systems, der Authentifikationsmittel der Ausstellerinnen und Aussteller usw., sowie zum Zweck des Widerrufs von Zertifikaten werden die Zugriffe auf das Informationssystem inklusive Angabe des relevanten Zeitpunkts sowie die eindeutigen Zertifikatskennungen der generierten Zertifikate aufgezeichnet bzw. gespeichert. Aus dieser Protokollierung ist ausschliesslich ersichtlich, welche Ausstellerin oder welcher Aussteller sich wann am Informationssystem authentifiziert hat und wann welche Zertifikate (eindeutige Zertifikatskennung) im System abgerufen hat. Darüber hinaus werden keine weiteren Personendaten – insbesondere keine Inhaltsdaten der Zertifikate – gespeichert. Die Protokollierung im Rahmen des Authentifizierungsvorgangs stützt sich auf die gesetzlichen Grundlagen der Artikel 25 und 26 der Verordnung vom 19. Oktober 2016 über Identitätsverwaltungssysteme und Verzeichnisdienste des Bundes (IAMV). Die Protokollierung im Rahmen der Nutzung des Informationssystems (Ausstellung der Zertifikate) stützt sich auf die gesetzlichen Grundlagen in den Artikeln 57l-57o des Regierungs- und Verwaltungsorganisationsgesetz vom 21. März 1997 (RVOG).

3.3 Informationssystem zur Abfrage von widerrufenen Zertifikaten

Das BIT betreibt ein Informationssystem, das zur Abfrage von widerrufenen Zertifikaten dient und dazu die eindeutige Zertifikatskennung der widerrufenen Zertifikate enthält. Die Liste der widerrufenen Zertifikatskennungen wird Applikationen, welche der Überprüfung und der Aufbewahrung von Covid-19-Zertifikaten dienen, zur Verfügung gestellt. Die Applikationen zur Aufbewahrung von Covid-19-Zertifikaten benötigen diese Liste, um die in der App gespeicherten Covid-19-Zertifikate auf deren Gültigkeit und den Widerrufstatus überprüfen zu können. Die Applikationen zur Überprüfung von Covid-19-Zertifikaten benötigen die Liste, um die durch sie gescannten Zertifikate auf Gültigkeit und den Widerrufstatus überprüfen zu können. Aus der Zertifikatskennung sind keine Rückschlüsse auf Personen möglich, somit werden in diesem System keine Personendaten bearbeitet.

3.4 Aufbewahrungs-App

3.4.1 Allgemeines

Die Aufbewahrungs-App dient zur gesicherten Übermittlung und Speicherung von Covid-19-Zertifikaten in elektronischer Form und um sie bei Bedarf im In- und Ausland vorweisen zu können. Personen, die ein Zertifikat beantragt und erhalten haben, können dieses auf ihrem Mobiltelefon oder einem ähnlichen Gerät (z.B. einem Tablet) speichern. Es ist möglich, Zertifikate von weiteren Personen zu speichern, damit z.B. Eltern die Zertifikate ihrer minderjährigen Kinder verwalten können. Die App zeigt der Inhaberin oder dem Inhaber ferner an, mit welchen Zugangskategorien nach Anhang 6 der Covid-19-Verordnung Zertifikate ihr oder sein Zertifikat konform ist (3G, 2G, etc., nachfolgend Zugangskategorien genannt) und ob das Zertifikat für die Einreise in bestimmte Zielländer gültig ist. 

Die Installation und der Einsatz dieser Applikation ist freiwillig. Da Covid-19-Zertfikate Gesundheitsdaten und damit besonders schützenswerte Personendaten enthalten, wurde die Software der Aufbewahrungs-App so programmiert, dass Inhalte nur mit Zustimmung der Benutzerin oder des Benutzers weitergegeben werden können. Es werden durch die Aufbewahrungs-App keine personenbezogenen Informationen aus den Covid-19-Zertifikaten an die Informationssysteme des BIT gemäss den Ziffern 3.1 bis 3.3 übermittelt, ausser in den Fällen des willentlichen Abrufs datenminimierter Zertifikate oder der willentlichen Konvertierung von Covid-19-Zertifikaten durch die Benutzerin oder den Benutzer (siehe Ziffern 3.4.2 und 3.4.3 nachfolgend).

Der Abruf zur Aktualisierung der Liste der Signaturzertifikate aus dem Informationssystem gemäss Ziffer 3.1 und der Liste der widerrufenen Zertifikate (bzw. deren Zertifikatskennungen) gemäss Ziffer 3.3 kann auf den Serversystemen des BIT zum Zwecke der Aufrechterhaltung der Informations- und Dienstleistungssicherheit protokolliert werden. Dabei werden bei jedem Abruf technische Daten über das Gerät der Benutzerin oder des Benutzers wie Betriebssystem-Version, App-Version, IP-Adresse usw. übermittelt und gespeichert. Die in der App vorgenommenen Gültigkeitsüberprüfungen lösen keine Server-Anfragen aus, sondern werden anhand der lokal zwischengespeicherten Listen durchgeführt, ohne dass dabei Personendaten übermittelt werden.

Covid-19-Zertifikate können ausserdem durch angemessene Massnahmen vor unberechtigter Kenntnisnahme durch Dritte geschützt werden. Die Verwendung der App, wozu auch die blosse Anzeige von Informationen von Covid-19-Zertifikaten zählt, kann daher von einer Authentifizierung abhängig gemacht werden. Dazu kommen sämtliche Authentifizierungsmittel in Betracht, welche auf dem jeweiligen Mobiltelefon zur Verfügung stehen (PIN, Muster, Passwort, biometrische Authentifizierung usw.).

3.4.2 Abruf datenminimierter Zertifikate («Zertifikat Light»)

Die Aufbewahrungs-App bietet den Inhaberinnen und Inhabern von gültigen Covid-19-Zertifikaten die Möglichkeit, auf Wunsch zusätzlich ein datenminimiertes Zertifikat ohne Gesundheitsdaten (sogenanntes «Zertifikat Light») für die Verwendung in der Schweiz abzurufen. Dazu kann die Inhaberin oder der Inhaber mittels einer in der App implementierten Funktion ein gültiges Covid-19-Zertifikat an das Informationssystem zur Ausstellung von Covid-19-Zertifikaten gemäss Ziffer 3.2 senden. Das System prüft die Signatur und Validität des (Original-)Covid-19-Zertifikats, erstellt und signiert bei erfolgreicher Prüfung ein datenminimiertes Zertifikat (QR-Code) und sendet dieses anschliessend zurück an die Aufbewahrungs-App. Die Übermittlung erfolgt über eine HTTPS-Verbindung direkt zu den Servern des BIT und ist durch eine TLS-Verschlüsselung geschützt.

Das datenminimierte Zertifikat enthält lediglich den Namen, Vornamen und das Geburtsdatum der betreffenden Person, die Kennzeichnung als datenminimiertes schweizerisches Covid-19-Zertifikat («Zertifikat Light») sowie das Ende der Gültigkeit. Die Gültigkeit des datenminimierten Zertifikats ist auf die kürzeste für Covid-19-Zertifikate definierte Gültigkeitsdauer beschränkt. Es kann nach Ablauf der Gültigkeitsdauer erneut abgerufen werden, solange das zugrundeliegende Covid-19-Zertifikat gültig ist. Mit dem datenminimierten Zertifikat kann somit verhindert werden, dass Dritte bei der Überprüfung von Covid-19-Zertifikaten in unberechtigter Weise Gesundheitsdaten bearbeiten («Privacy-by-Design»).

Das BIT bearbeitet die personenbezogenen Daten aus den Covid-19-Zertifikaten der Inhaberinnen und Inhabern in dem für die Erstellung, Signierung und Übermittlung des datenminimierten Zertifikats zwingend erforderlichen Umfang und vernichtet diese anschliessend vollständig. Der Abruf von datenminimierten Zertifikaten aus dem Informationssystem gemäss Ziffer 3.2 kann auf den Serversystemen des BIT zum Zwecke der Aufrechterhaltung der Informations- und Dienstleistungssicherheit protokolliert werden. Dabei werden bei jedem Abruf technische Daten über das Gerät der Benutzerin oder des Benutzers wie Betriebssystem-Version, App-Version, IP-Adresse usw. übermittelt und gespeichert.

3.4.3 Konvertierung von Covid-19-Zertifikaten

Die Aufbewahrungs-App bietet den Benutzerinnen und Benutzern die Möglichkeit, das in der App hinterlegte Covid-19-Zertifikat in bestimmte elektronische Formate (beispielsweise PDF) oder – in den gemäss Covid-19-Verordnung Zertifikate vorgesehenen Fällen – in neue Zertifikate zu konvertieren. Dazu kann die Benutzerin oder der Benutzer mittels einer in der App implementierten Funktion das Zertifikat resp. dessen Inhaltsdaten an das Informationssystem zur Ausstellung von Covid-19-Zertifikaten gemäss Ziffer 3.2 senden. Dieses prüft die Signatur und Validität des (Original-)Zertifikats, wandelt es entsprechend um und schickt das konvertierte Zertifikat anschliessend zurück an die Aufbewahrungs-App. Die Übermittlung erfolgt über eine HTTPS-Verbindung direkt zu den Servern des BIT und ist durch eine TLS-Verschlüsselung geschützt.

Das BIT bearbeitet die personenbezogenen Daten aus den Covid-19-Zertifikaten der Inhaberinnen und Inhabern in dem für die Konvertierung und Übermittlung des Zertifikats zwingend erforderlichen Umfang und vernichtet diese anschliessend vollständig. Die Konvertierung von Covid-19-Zertifikaten im Informationssystem gemäss Ziffer 3.2 kann auf den Serversystemen des BIT zum Zwecke der Aufrechterhaltung der Informations- und Dienstleistungssicherheit protokolliert werden. Dabei werden bei jedem Abruf technische Daten über das Gerät der Benutzerin oder des Benutzers wie Betriebssystem-Version, App-Version, IP-Adresse usw. übermittelt und gespeichert.

3.5 Überprüfungs-App

Das BIT stellt eine Überprüfungs-App zur Verfügung, die auf Mobiltelefonen oder ähnlichen Geräten (z.B. Tablets) installiert wird und die zur elektronischen Überprüfung von Covid-19-Zertifikaten, einschliesslich datenminimierter Zertifikate, sowie anerkannten ausländischen Zertifikaten auf Authentizität, Integrität, Gültigkeit und Konformität mit den Zugangskategorien verwendet werden kann. Bei der Überprüfung werden keine Personendaten übermittelt oder dauerhaft gespeichert.

Die Überprüfungs-App ist ferner nach dem Grundsatz der Datensparsamkeit ausgestaltet. Gemäss diesem Grundsatz erhält die Überprüferin oder der Überprüfer nur Kenntnis von Informationen aus Covid-19-Zertifikaten, die im Rahmen ihrer Prüfungsobliegenheiten erforderlich sind, nämlich:

• Angabe, ob die Verifizierung erfolgreich (grün hinterlegt), nicht erfolgreich (rot hinterlegt) oder nicht möglich (orange hinterlegt) war, sowie gegebenenfalls Informationen über die Gründe einer gescheiterten Verifizierung;
• Name, Vorname und Geburtsdatum der Inhaberin oder des Inhabers;
• Angabe der Konformität des Zertifikats mit den Zugangskategorien

Diese Informationen werden der Überprüferin oder dem Überprüfer zudem nur so lange angezeigt, bis er oder sie die entsprechende Ansicht in der App wieder verlässt (z.B. wenn ein neues Covid-19-Zertifikat eingescannt wird). Danach werden die Informationen wieder gelöscht.

Es werden durch die Überprüfungs-App keine personenbezogenen Informationen aus den Covid-19-Zertifikaten an die Informationssysteme des BIT gemäss den Ziffern 3.1 bis 3.3 übermittelt. Ebenso wird keine lokale Protokollierung der überprüften Zertifikate gemacht. Der Abruf zur Aktualisierung der Liste der Signaturzertifikate aus dem Informationssystem gemäss Ziffer 3.1 und der Liste der widerrufenen Zertifikate (bzw. deren Zertifikatskennungen) gemäss Ziffer 3.3 kann auf den Serversystemen des BIT zum Zwecke der Aufrechterhaltung der Informations- und Dienstleistungssicherheit protokolliert werden. Dabei werden bei jedem Abruf technische Daten über das jeweilige Gerät der Benutzerin oder des Benutzers (wie Betriebssystem-Version, App-Version, IP-Adresse usw.) übermittelt und gespeichert. Die einzelnen mit der App vorgenommenen Gültigkeitsüberprüfungen lösen keine Server-Anfragen aus, sondern werden anhand der lokal zwischengespeicherten Listen durchgeführt, ohne dass dabei Personendaten übermittelt werden.

Überprüferinnen und Überprüfer, die ein Zertifikat zur Überprüfung erhalten, dürfen dieses und die daraus ausgelesenen Informationen nicht aufbewahren oder zu einem anderen Zweck als der Überprüfung verwenden. Ausgenommen ist die Hinterlegung der Gültigkeitsdauer des Zertifikats bei Einrichtungen, zu denen nur Personen Zugang haben, die über eine persönliche Berechtigung für einen wiederholten Zugang verfügen. Die betroffene Person muss vorgängig über die Art und den Umfang der Datenbearbeitung angemessen informiert werden und in diese ausdrücklich einwilligen.

Die vom BIT betriebenen Apps und Informationssysteme stützen sich auf das Covid-19-Gesetz, die Covid-19-Verordnung Zertifikate und das Epidemiengesetz. Die Informationssysteme dienen dazu, Covid-19-Zertifikate zu generieren, zu übermitteln und zu widerrufen. Die Apps und die mit ihnen einhergehenden Datenbearbeitungen haben den ausschliesslichen Zweck, dass Inhaberinnen und Inhaber von Covid-19-Zertifikaten

• diese gesichert aufbewahren und übermitteln können (Aufbewahrungs-App),
• ein datenminimiertes Zertifikat abrufen können (Aufbewahrungs-App),
• Covid-19-Zertifikate in andere elektronische Formate und gegebenenfalls in neue Zertifikate konvertieren können (Aufbewahrungs-App) und 
• die Überprüferinnen und Überprüfer von Covid-19-Zertifikaten diese auf Authentizität, Integrität, Gültigkeit und Konformität mit den Zugangskategorien überprüfen können (Überprüfungs-App).

Soweit das BIT für die Bearbeitung von Personendaten Dritte im In- oder Ausland beauftragt, verpflichten sich diese vertraglich, die Vorgaben nach dem Covid-19-Gesetz, der Covid-19 Verordnung Zertifikate und das Schweizerische Datenschutzrecht einzuhalten. Das BIT kontrolliert die Einhaltung der Vorgaben.

Die Bereitstellung der Listen aus den Informationssystemen gemäss den Ziffern 3.1 und 3.3 (Signaturzertifikate, Widerrufsliste) resp. der Abruf dieser durch die Apps erfolgt über ein Content Delivery Network von Amazon Web Services AWS.

Das BIT stellt dem Bundesamt für Statistik (BFS) periodisch den aktuellen Bestand der in den Informationssystemen gemäss Ziffer 3.1 bis 3.3 vorhandenen Daten in anonymisierter Form für statistische Auswertungen zur Verfügung. Die Daten dieser Informationssysteme können ebenfalls dem Bundesamt für Gesundheit BAG und der zuständigen ausländischen Stelle zu Statistikzwecken in vollständig anonymisierter Form bekanntgegeben werden.

Die Apps verwenden Schnittstellen zum Betriebssystem des Mobiltelefons der Benutzerin oder des Benutzers. Die über die Schnittstellen genutzten Funktionen der Betriebssysteme müssen die Vorgaben der Covid-19-Verordnung Zertifikate erfüllen. Davon ausgenommen ist die Regelung betreffend den Quellcode nach Artikel 28 Absatz 2 Buchstabe c und Artikel 29 Absatz 2 Buchstabe e.

Das BIT darf personenbezogene Daten der Inhaberinnen und Inhaber von Covid-19-Zertifikaten, die den Informationssystemen im Rahmen der Zertifikatserstellung übermittelt werden, nicht länger aufbewahren, als es für die Erstellung, Signierung und Übermittlung des Zertifikats sowie zu dessen Widerruf erforderlich ist.

Die personenbezogenen Daten der Ausstellerinnen und Aussteller, welche das BIT zum Zwecke der Administration und Verwaltung der Berechtigungen bearbeitet, werden so lange aufbewahrt, wie dies für die Ausstellung und einen allfälligen Widerruf von Zertifikaten zwingend erforderlich ist.

Die protokollierten Daten über die Authentifizierung am Informationssystem und die Ausstellung der Zertifikate gemäss Ziffer 3.2 wie auch die Protokolle über den Abruf der aktualisierten Listen der Signaturzertifikate, der widerrufenen Covid-Zertifikate, den Abruf von datenminimierten Zertifikate und die Konvertierung von Zertifikaten gemäss den Ziffern 3.4 und 3.5 werden längstens für zwei Jahre aufbewahrt, gemäss den Vorgaben aus der Verordnung vom 19. Oktober 2016 über Identitätsverwaltungssysteme und Verzeichnisdienste des Bundes (IAMV) und der Verordnung vom 22. Februar 2012 über die Bearbeitung von Personendaten, die bei der Nutzung der elektronischen Infrastruktur des Bundes anfallen.

Das BIT trifft zum Schutz der Daten vor unberechtigtem Zugriff, Verlust und Missbrauch angemessene Sicherheitsvorkehrungen technischer Natur (z.B. Verschlüsselungen, Protokollierung, Zugangskontrollen und -beschränkungen, Datensicherung, IT- und Netzwerksicherheitslösungen etc.) sowie organisatorischer Natur (z.B. Weisungen an Mitarbeitende, Vertraulichkeitsvereinbarungen, Überprüfungen etc.) gemäss den Vorgaben der Bundesverwaltung und der schweizerischen Datenschutzgesetzgebung.

Personen, deren Daten mit den genannten Apps und Informationssystemen bearbeitet werden, haben das Recht auf Auskunft, Berichtigung, Löschung oder Herausgabe ihrer Daten. Weiter steht ihnen das Recht auf Einschränkung der Datenbearbeitung und das Recht auf Widerspruch gegen die Datenbearbeitung zu. Sie haben zudem das Recht, Einwilligungen zu widerrufen, ohne dass dadurch die Rechtmässigkeit der bis zum Widerruf erfolgten Datenbearbeitung berührt ist. Diese Rechte greifen nur, soweit Personendaten betroffen sind. Das den Apps zugrundeliegende Prinzip «privacy by design», welches mit digitalen Signaturen und einer dezentralisierten Datenaufbewahrung darauf ausgerichtet ist, dass möglichst keine Angaben zu bestimmten oder bestimmbaren Personen (Personendaten) vorhanden sind, verhindert dies jedoch weitest möglich. Aus diesem Grund ist es dem BIT beispielsweise nicht möglich, Auskunft über die in den Apps vorhandenen personenbezogenen Zertifikatsinhalte zu erteilen oder diese Daten zu korrigieren. Das BIT kann diese Daten nicht einsehen, da sie lediglich – und nur bei der Aufbewahrungs-App – auf den Mobiltelefonen gespeichert werden.

Die Ausübung der Rechte setzt voraus, dass die betroffenen Personen ihre Identität eindeutig nachweisen (z.B. durch eine Ausweiskopie). Zur Geltendmachung ihrer Rechte können sie das BIT unter der in Ziffer 1 angegebenen Adresse kontaktieren.

Im Falle datenschutzrechtlicher Verstösse können sich die betroffenen Personen an die zuständige Datenschutzaufsichtsbehörde wenden oder die Rechtswege nach Datenschutzgesetzgebung beschreiten.

Der Quellcode und die technischen Spezifikationen der vom BIT zur Verfügung gestellten Aufbewahrungs- und Überprüfungs-App wird veröffentlicht.

Das BIT kann diese Datenschutzerklärung jederzeit ohne Vorankündigung anpassen. Es gilt die jeweils aktuelle publizierte Fassung bzw. die für den jeweiligen Zeitraum gültige Fassung. Diese Datenschutzerklärung wurde in mehreren Sprachen verfasst. Bei Divergenzen ist die deutsche Version massgebend. Im Falle einer Aktualisierung werden die Ausstellerinnen und Aussteller der Zertifikate sowie die Benutzerinnen oder die Benutzer der Apps über die Änderung in geeigneter Weise informiert.

1.1     Diese Nutzungsbedingungen regeln den Bezug und die Nutzung der Applikation «Überprüfungs-App» (nachfolgend App) durch die Benutzerinnen und Benutzer und gelten als integrierender Bestandteil derselben.

1.2     Die App des Bundesamtes für Informatik und Telekommunikation (BIT) stützt sich auf das Covid-19-Gesetz vom 25. September 2020 (SR 818.102) und die Covid-19-Verordnung Zertifikate vom 4. Juni 2021 (SR 818.102.2).

1.3     Die App bezweckt, dass die Benutzerinnen und Benutzer Covid-19-Zertifikate, einschliesslich datenminimierter Zertifikate («Zertifikat Light»), sowie anerkannte ausländische Zertifikate (nachfolgend zusammenfassend als «Covid-19-Zertifikate» bezeichnet) auf Authentizität, Integrität, Gültigkeit und Konformität mit den Zugangskategorien nach Anhang 6 der Covid-19-Verordnung Zertifikate (3G, 2G, etc., nachfolgend Zugangskategorien genannt) überprüfen können.

2.1     Die Installation der App auf dem Mobiltelefon und deren Einsatz ist für die Benutzerinnen und Benutzer freiwillig.

2.2     Die Nutzung der App ist nicht auf ein geografisches Gebiet beschränkt. Das durch die App erzeugte Prüfresultat, sprich die Gültigkeit von Covid-19-Zertifikaten, bezieht sich allerdings nur auf die in der Schweiz geltenden Regeln.

2.3     Mit dem Zugriff auf die App erklärt die Benutzerin oder der Benutzer die nachfolgenden Bedingungen und rechtlichen Informationen im Zusammenhang mit der App (und den darin enthaltenen Elementen) verstanden zu haben und anerkennt diese. Sollte die Benutzerin oder der Benutzer mit diesen Bedingungen nicht einverstanden sein, ist auf die Nutzung der App zu verzichten.

3.1     Mittels der App können Benutzerinnen und Benutzer ein Covid-19-Zertifikat auf Authentizität, Integrität, Gültigkeit, Konformität mit den Zugangskategorien sowie auf Widerruf in der Schweiz überprüfen.

3.2     Zum Scannen von COVID-19-Zertifikaten, die auf mobilen Geräten oder auf Papier angezeigt werden, muss die Kamera aktiviert sein.

3.3     Die App erfüllt unter Verwendung einer Schnittstelle zum Betriebssystem des Mobiltelefons der Benutzerin oder des Benutzers folgende Funktionen:

• Covid-19-Zertifikate (QR-Code) können mit der Kamera gescannt und dabei die Authentizität, Integrität, Gültigkeit, Konformität mit den Zugangskategorien sowie der Widerrufstatus der gescannten Zertifikate gemäss den Schweizer Regeln überprüft werden. Dies bedingt eine Synchronisation bzw. einen Abruf der Signaturzertifikats- und Widerrufslisten sowie der Schweizer Überprüfungsregeln aus den Systemen des BIT übers Internet.
• Nach einer erfolgreichen Synchronisation dieser Listen kann die App während 48h offline (ohne Internetverbindung) weiterhin zur Überprüfung genutzt werden.
• Bei einer Überprüfung eines Covid-19-Zertifikats werden der Benutzerin oder dem Benutzer nach dem Scanvorgang folgende Informationen angezeigt: Name, Vorname und Geburtsdatum der Inhaberin oder des Inhabers des Covid-19-Zertifikats, das Ergebnis der Überprüfung (gültig/ungültig/Verifizierung nicht möglich) sowie die Angabe zur Konformität des Zertifikats mit den Zugangskategorien. Ergibt die Überprüfung, dass das gescannte Zertifikat ungültig oder die Verifizierung nicht möglich ist, werden zudem die Gründe für die gescheiterte Verifizierung angezeigt.

3.4     Die App verwendet keine Standortortung oder Geolokalisation.

3.5     Die App kann keine medizinische Einschätzung vornehmen, keine Massnahmen anordnen (wie z.B. eine Quarantäne) und keine Anweisungen erteilen.

4.1     Der technische Zugang zur App ist in der Verantwortung der Benutzerinnen und Benutzer.

4.2     Für die eigenen Geräte sind die Benutzerinnen und Benutzer verpflichtet, die notwendigen Sicherheitsvorkehrungen zu treffen, um eingelesene Covid-19-Zertifikate gegen unbefugten Zugriff durch Dritte sowie gegen Schadsoftware zu schützen.

Die Benutzerin und der Benutzer werden hiermit auf mögliche Sicherheitsrisiken durch die Nutzung des Internets und von Internet-Techniken hingewiesen.

4.3     Die Benutzerinnen und Benutzer sind verpflichtet, die App auf dem neuesten Stand zu halten und Aktualisierungen («Updates») vorzunehmen. Es bestehen keine Ansprüche auf die Benutzung einer bestimmten Version der Software.

4.4     Die Benutzerinnen und Benutzer sind dafür verantwortlich, dass bei der Nutzung der App die anwendbaren rechtlichen Bestimmungen und die Nutzungsbedingungen eingehalten werden. Insbesondere dürfen die Benutzerinnen und Benutzer, die ein Covid-19-Zertifikat zur Überprüfung erhalten, dieses und die daraus ausgelesenen Informationen nicht aufbewahren oder zu einem anderen Zweck als der Überprüfung verwenden. Ausgenommen ist die Hinterlegung der Gültigkeitsdauer des Zertifikats bei Einrichtungen, zu denen nur Personen Zugang haben, die über eine persönliche Berechtigung für einen wieder-holten Zugang verfügen. Die betroffene Person muss vorgängig über die Art und den Umfang der Datenbearbeitung angemessen informiert werden und in diese ausdrücklich einwilligen.

5.1     Obwohl das BIT mit aller Sorgfalt auf die Richtigkeit der veröffentlichten Informationen, Inhalte und Mitteilungen in der App achtet, kann hinsichtlich deren inhaltlichen Richtigkeit, Genauigkeit, Aktualität, Zuverlässigkeit und Vollständigkeit keine Gewährleistung übernommen werden.

Das BIT behält sich ausdrücklich vor, jederzeit Informationen und Inhalte ohne Ankündigung ganz oder teilweise zu ändern, zu löschen oder zeitweise nicht zu veröffentlichen.

5.2     Jegliche Haftungsansprüche gegen das BIT wegen Schäden inkl. Folgeschäden materieller oder immaterieller Art, welche bspw. aus dem Zugriff oder der Nutzung bzw. Nichtnutzung der App und deren Informationen, Inhalte und Mitteilungen, durch Missbrauch der Verbindung, durch technische Störungen oder durch Verletzung der Sorgfaltspflichten der Benutzerinnen und Benutzer, entstanden sind, werden im Rahmen des gesetzlich Zulässigen ausgeschlossen.

Jegliches Handeln bzw. Verhalten, welches aufgrund der Informationen, Inhalte und Mitteilungen der Applikation getroffen wird, erfolgt auf Verantwortung und Risiko der Benutzerin oder des Benutzers. Das BIT übernimmt in keinem Fall Haftung für daraus resultierende Schäden.

5.3     Die Haftung für Hilfspersonen und Dritte wird, soweit gesetzlich zulässig, ausgeschlossen.

5.4     Das BIT übernimmt keine Verantwortung und gibt keine Garantie dafür ab, dass die Funktionen und Nutzung der App dauernd und ununterbrochen zur Verfügung stehen, fehler- und störungsfrei sind oder Fehler behoben werden oder dass die Server frei von Viren oder sonstigen schädlichen Bestandteilen sind.

Das BIT ist jederzeit berechtigt, die Nutzung der App zu unterbrechen oder einzustellen.

5.5     Verweise und Links auf Websites Dritter liegen ausserhalb des Verantwortungsbereichs des BIT. Das BIT übernimmt weder für Bestand noch für den Inhalt noch für die Richtigkeit dieser Informationen eine Haftung. Der Zugriff und die Nutzung solcher Websites erfolgen auf eigene Gefahr der Benutzerin oder des Benutzers. Das BIT erklärt ausdrücklich, dass es keinerlei Einfluss auf die Gestaltung, den Inhalt und die Angebote der verknüpften Seiten haben. Informationen und Dienstleistungen von verknüpften Websites liegen vollumfänglich in der Verantwortung des jeweiligen Dritten.

Es wird jegliche Verantwortung für solche Websites abgelehnt.

6.1     Gestützt auf Artikel 13 der schweizerischen Bundesverfassung und die datenschutzrechtlichen Bestimmungen des Bundes hat jede Person Anspruch auf Schutz ihrer Privatsphäre sowie Schutz vor Missbrauch ihrer persönlichen Daten. Das BIT hält diese Bestimmungen ein. Persönliche Daten werden streng vertraulich behandelt.

6.2     In enger Zusammenarbeit mit seinen Dienstleistern bemüht sich das BIT, die Daten so gut wie möglich vor fremden Zugriffen, Verlusten, Missbrauch oder Fälschungen zu schützen.

6.3     Für die Bearbeitung von Personendaten durch das BIT gilt die Datenschutzerklärung zur App.

7.1     Die Nutzung der App kann von der Benutzerin oder dem Benutzer jederzeit durch Löschung bzw. Deinstallation auf dem Mobiltelefon beendet werden.

7.2     Spätestens beim Ausserkrafttreten der in Ziffer 1.2. aufgeführten Verordnung deaktiviert das BIT die App und fordert die Benutzerinnen und Benutzer auf, diese auf dem Mobiltelefon zu deinstallieren.

8.1     Das Copyright ist bei der Schweizerischen Eidgenossenschaft, vertreten durch das Bundesamt für Informatik und Telekommunikation BIT.

8.2     Die vom BIT in der App veröffentlichten Inhalte dürfen nur für den Eigengebrauch genutzt werden. Jede darüberhinausgehende Reproduktion und Weitergabe der Inhalte an Dritte ist unzulässig. Durch das Herunterladen oder Kopieren von Inhalten, Bildern, Fotos oder anderen Dateien werden keinerlei Rechte bezüglich der Inhalte übertragen.

Die Urheber- und alle anderen Rechte an Inhalten, Bildern, Fotos oder anderen Dateien dieser App gehören ausschliesslich dem BIT oder den speziell genannten Rechtsinhabern. Für die Reproduktion jeglicher Elemente ist die schriftliche Zustimmung der Urheberrechtsträger im Voraus einzuholen.

9.1     Diese Bestimmungen wurden in mehreren Sprachen verfasst. Bei Divergenzen ist die deutsche Version massgebend.

9.2     Die Nutzung der App ist für die Benutzerinnen und Benutzer kostenlos. Allfällige Kosten für den Netzzugang, um die App nutzen zu können, trägt die Benutzerin oder der Benutzer.

9.3     Das BIT behält sich jederzeitige Änderungen und Ergänzungen der Nutzungsbedingungen vor. Die neuen Bedingungen werden den Benutzerinnen und Benutzern vorab und in geeigneter Weise kommuniziert und gelten bei Weiternutzung der App als genehmigt.

9.4     Sollte eine Bestimmung in den Nutzungsbedingungen nichtig oder unwirksam sein, werden die Nutzungsbedingungen nicht allgemein berührt.

9.5     Anwendbar ist schweizerisches Recht, unter Vorbehalt abweichender zwingender Bestimmungen. Ausschliesslicher Gerichtsstand für alle Streitigkeiten ist das zuständige schweizerische Gericht.