Datenschutzerklärung der swiyu Check

1. Einleitung

In dieser Datenschutzerklärung erläutert das Bundesamt für Justiz (BJ), inwieweit, zu welchem Zweck und unter welchen Bedingungen es im Zusammenhang mit der Nutzung der Anwendung zur Prüfung von elektronischen Nachweisen der Vertrauensinfrastruktur Bund (nachfolgend «swiyu Check») Personendaten bearbeitet. Neben dieser Datenschutzerklärung sind auch die Nutzungsbedingungen der swiyu Check zu beachten. Werden mit der swiyu Check Nachweise anderer Personen überprüft, sind zusätzlich die Datenschutzerklärungen der jeweiligen Ausstellerinnen und Aussteller dieser Nachweise zu beachten.

Das schweizerische Datenschutzrecht regelt die Bearbeitung von Personendaten durch die Bundesverwaltung. Es ist auf die Datenbearbeitung im Zusammenhang mit der swiyu Check und dem Betrieb der dazugehörigen Informationssysteme der Vertrauensinfrastruktur Bund anwendbar. Die Datenbearbeitungen stützen sich auf das Bundesgesetz über den elektronischen Identitätsnachweis und andere elektronische Nachweise (E-ID-Gesetz, BGEID), insbesondere die Bestimmungen über das Vorweisen und Prüfen von Nachweisen (namentlich Art. 9 und 10 BGEID), sowie die zugehörige Verordnung (VEID). Bis zum Inkrafttreten dieser Regelungen erfolgt die Datenbearbeitung nach den allgemeinen Bestimmungen des Datenschutzrechts.

2. Verantwortlicher

Verantwortlich für die Datenbearbeitungen, die hier beschrieben werden, ist das

Bundesamt für Justiz BJ
3003 Bern
Schweiz
info@swiyu.admin.ch

3. Datenbearbeitung

Die swiyu Check dient der elektronischen Überprüfung digitaler Nachweise aus der Vertrauensinfrastruktur (vgl. Art. 9 und 10 BGEID), die von nachweisinhabenden Personen vorgewiesen werden. Die Installation und der Einsatz dieser Applikation sind freiwillig.

Im Rahmen der Nutzung der swiyu Check werden folgende Personendaten bearbeitet:

• die von der nachweisinhabenden Person für den jeweiligen Anwendungsfall selektiv freigegebenen Attribute (z. B. die Angabe, ob eine Altersgrenze erreicht ist, und das Lichtbild; bei einer Identitätsprüfung zusätzlich Name, Geburtsdatum, Gültigkeit und Nummer der e-ID sowie Ausstellerin oder Aussteller);
• die IP-Adresse sowie Systemdaten (Betriebssystem-Version, App-Version) beim Verbindungsaufbau zu den Servern und Registern der Vertrauensinfrastruktur Bund

3.1 swiyu Check sieht im Einzelnen folgende Bearbeitungsvorgänge vor:

3.1.1. Einleiten einer Überprüfung und Verbindungsaufbau
Die Benutzerin oder der Benutzer wählt in der Applikation einen konkreten Anwendungsfall (z. B. eine Alters- oder eine Identitätsprüfung) und scannt den von der nachweisinhabenden Person in deren Wallet erzeugten QR-Code. Auf Grundlage der darin enthaltenen Verbindungsinformationen (u. a. öffentlicher Schlüssel und Bluetooth-Service-ID) wird über Bluetooth Low Energy eine gesicherte Verbindung zwischen der swiyu Check und dem Wallet der nachweisinhabenden Person aufgebaut. Hierfür sind die Berechtigungen zur Verwendung der Kamera und von Bluetooth erforderlich.

3.1.2. Anfrage und selektive Freigabe der Attribute
Die im Rahmen einer Verifikation angefragte Personendaten werden der prüfenden Verifikatorin unimttelbar angezeigt. Sie fragt bei der nachweisinhabenden Person ausschliesslich die für den gewählten Anwendungsfall erforderlichen Attribute an (Grundsatz der Datensparsamkeit). Die nachweisinhabende Person entscheidet selbst, ob sie die angefragten Attribute freigibt oder die Anfrage ablehnt. Nur bei einer Freigabe werden die selektiv freigegebenen Daten an die swiyu Check und somit der Verifikatorin übermittelt.

3.1.3. Überprüfung des Nachweises
Die swiyu Check prüft die kryptographische Echtheit und Herkunft des übermittelten Nachweises, dessen aktuellen Status (insbesondere ob er gültig oder widerrufen ist) sowie die Integrität der enthaltenen Angaben. Die Prüfung erfolgt über einen Abgleich mit den Basis-, Status- und Vertrauensregistern der Vertrauensinfrastruktur Bund, ohne dass diese zentralen Stellen Zugriff auf die vorgewiesenen Personendaten erhalten.

3.1.4. Keine Speicherung und keine Protokollierung der Prüfdaten
Die freigegebenen Attribute werden ausschliesslich während des laufenden Prüfvorgangs im Arbeitsspeicher des Geräts bearbeitet und nach Abschluss der Überprüfung gelöscht. Es erfolgt keine dauerhafte Speicherung. Insbesondere werden keine Prüfprotokolle, keine Historisierung der vorgewiesenen Attribute und keine Zeitstempel gespeichert.

3.1.5. Versionsprüfung
Die Benutzung der Applikation auf dem lokalen Endgerät kann mit einer Aufforderung verbunden sein, die aktuellste Version zu verwenden bzw. herunterzuladen. Dazu wird bei jedem Start eine Anfrage an die Server des Bundes übermittelt, welche die aktuelle App-Version zurückliefern.

3.1.6. Logging / Crash-Logs
Damit die Funktionsweise der swiyu Check überprüft und Fehler behoben werden können, kann ein Zugriff auf «Crash-Logs» erforderlich sein. Darin enthalten sind Daten über die verwendete Betriebssystem-Version, App-Version, den Gerätetyp sowie die IP-Adresse. Die Übermittlung der Crash-Logs erfolgt nur nach Zustimmung der Benutzerin oder des Benutzers.

3.2. Schutzmassnahmen

Die im Rahmen einer Überprüfung verarbeiteten Daten werden durch angemessene Massnahmen vor unberechtigter Kenntnisnahme durch Dritte geschützt. Die Verwendung der swiyu Check kann von einer Authentifizierung auf dem Mobiltelefon abhängig gemacht werden. Dazu kommen sämtliche Authentifizierungsmittel in Betracht, welche auf dem jeweiligen Mobiltelefon zur Verfügung stehen (z. B. PIN, Muster, Passwort, biometrische Authentifizierung usw.).

4. Zwecke

swiyu Check und die mit ihr einhergehenden Datenbearbeitungen haben den ausschliesslichen Zweck, dass Benutzerinnen und Benutzer:

• von nachweisinhabenden Personen vorgewiesene verifizierbare Nachweise im Rahmen eines konkreten Anwendungsfalls entgegennehmen können;
• die Echtheit, den Status (Gültigkeit bzw. Widerruf) und die Integrität dieser Nachweise überprüfen können;
• das auf den Anwendungsfall beschränkte Prüfergebnis angezeigt erhalten.

5. Datenweitergabe

Der Abruf von Meldungen aus den Informationssystemen bzw. den Registern durch die swiyu Check erfolgt über Server der Bundesverwaltung.

Aus gesetzlichen Gründen kann es notwendig sein, dass die vom BJ bearbeiteten Personendaten (insb. IP-Adresse) an Behörden und Gerichte weitergegeben werden müssen.

6. Ort der Datenbearbeitung

Soweit im Zusammenhang mit der swiyu Check Personendaten durch das BJ bearbeitet werden, erfolgt dies in der Schweiz.

7. Dauer der Aufbewahrung

Die im Rahmen einer Überprüfung freigegebenen Attribute werden nicht dauerhaft aufbewahrt, sondern nach Abschluss des Prüfvorgangs gelöscht (vgl. Ziff. 3.1.4). Im Übrigen speichert das BJ personenbezogene Daten nur so lange, wie es erforderlich ist,

• um die oben genannten Zwecke zu erfüllen;
• um den gesetzlichen Verpflichtungen nachzukommen.

8. Datensicherheit

Das BJ trifft zum Schutz der Daten vor unberechtigtem Zugriff, Verlust und Missbrauch angemessene Sicherheitsvorkehrungen technischer Natur (z. B. Verschlüsselungen, Protokollierung, Zugangskontrollen und -beschränkungen, Datensicherung, IT- und Netzwerksicherheitslösungen etc.) sowie organisatorischer Natur (z. B. Weisungen an Mitarbeitende, Vertraulichkeitsvereinbarungen, Überprüfungen etc.).

9. Ihre Rechte in Bezug auf Ihre Personendaten

Betroffene Personen haben die folgenden Rechte in Bezug auf die sie betreffenden Personendaten:

• das Recht, Auskunft darüber zu erhalten, welche Personendaten über sie bearbeitet werden und wie diese bearbeitet werden;
• das Recht auf Herausgabe oder Übertragung einer Kopie ihrer Personendaten in einem gängigen Format;
• das Recht auf Berichtigung ihrer Personendaten;
• das Recht auf Löschung ihrer Personendaten;
• sowie das Recht, Bearbeitungen ihrer Personendaten zu widersprechen.

Für diese Rechte gelten gesetzliche Voraussetzungen und Ausnahmen. Soweit rechtlich zulässig, kann das BJ ein Gesuch um Ausübung dieser Rechte ablehnen. Betroffene Personen haben ausserdem das Recht, bei der zuständigen Datenschutzaufsichtsbehörde eine Beschwerde einzureichen.

10. Änderungen

Das BJ kann diese Datenschutzerklärung jederzeit ohne Vorankündigung anpassen. Es gilt die jeweils aktuelle publizierte Fassung bzw. die für den jeweiligen Zeitraum gültige Fassung.