AS 2021 342
Vereinbarung vom 19. März 2021 zwischen dem Eidgenössischen Departement des Innern der Schweizerischen Eidgenossenschaft und Robert Koch-Institut, Bundesinstitut im Geschäftsbereich des Bundesministeriums für Gesundheit der Bundesrepublik Deutschland betreffend Corona-Apps (Austausch von Schlüsseln über einen auf schweizerischer Seite betriebenen Gateway Server zur grenzüberschreitenden Interoperabilität)
AS 2021 www.bundesrecht.admin.ch Massgebend ist die signierte elektronische Fassung
Originaltext
Vereinbarung zwischen dem Eidgenössischen Departement des Innern der Schweizerischen Eidgenossenschaft und Robert Koch-Institut, Bundesinstitut im Geschäftsbereich des Bundesministeriums für Gesundheit der Bundesrepublik Deutschland betreffend Corona-Apps (Austausch von Schlüsseln über einen auf schweizerischer Seite betriebenen Gateway Server zur grenzüberschreitenden Interoperabilität)
Abgeschlossen am 19. März 2021 In Kraft getreten durch Notenaustausch am 7. Mai 2021
Das Robert Koch-Institut, Bundesinstitut im Geschäftsbereich des Bundesministeri- ums für Gesundheit der Bundesrepublik Deutschland, als Verantwortlicher im Sinne des Datenschutzrechts für die «Corona-Warn-App», nachfolgend «RKI» genannt und das Eidgenössische Departement des Innern der Schweizerischen Eidgenossenschaft, vertreten durch das Bundesamt für Gesundheit, als Verantwortlicher im Sinne des Da- tenschutzrechts für die «SwissCovid-App», nachfolgend «BAG» und zusammen «Partner» genannt, schliessen die vorliegende Vereinbarung zum Austausch von Schlüsseln ihrer jeweiligen Corona-Apps über einen auf schweizerischer Seite betrie- benen Gateway Server zur grenzüberschreitenden Interoperabilität ab.
§1 Geltungsbereich und Zweck dieser Vereinbarung 1. Diese Vereinbarung beschränkt sich auf die unter § 3 beschriebene Verarbeitung von personenbezogenen Daten durch das Gateway mit dem Ziel, länderübergreifende Warnungen zwischen Corona-positiv getesteten Nutzern der Corona-Warn-App des RKI und Corona-positiv getesteten Nutzern der SwissCovid-App des BAG zu ermög- lichen. Soweit die Partner in Bezug auf diese Verarbeitung datenschutzrechtlich ge- meinsam Verantwortliche im Sinne von Artikel 26 Datenschutz-Grundverordnung (DSGVO) oder äquivalenten nationalen Bestimmungen sind, gelten die folgenden Vereinbarungen.
2. Die Verarbeitung durch das Gateway dient ausschliesslich dem Zweck, das RKI
als Betreiberin der Corona-Warn-App und das BAG als Betreiberin der SwissCovid- App technisch in die Lage zu versetzen, ihre Nutzer effizient zu warnen, wenn diese durch den Aufenthalt in der Nähe eines Nutzers der jeweils anderen nationalen Corona-App, der eine Warnung ausgelöst hat, potenziell SARS-CoV-2 ausgesetzt wa- ren. Der genannte Zweck umfasst auch die nachgelagerte statistische Auswertung der
SR 0.818.104.136.1
2021-0698 AS 2021 342
Corona-Apps (Austausch von Schlüsseln über einen auf AS 2021 342
Protokolldaten, um die Funktionsfähigkeit des Gateways sicherzustellen und dessen Auslastung und allgemeine Nutzung statistisch erfassen zu können.
3. Der Zweck dieser Vereinbarung ist es, die Zwecke und Mittel der gemeinsamen
Verarbeitung festzulegen und die diesbezüglichen Rechte und Pflichten der Partner als gemeinsame Verantwortliche zu regeln. Für Verarbeitungstätigkeiten ausserhalb des Geltungsbereichs dieser Vereinbarung, bei denen keine gemeinsame Festlegung der Zwecke und Mittel der Verarbeitung erfolgt, ist jeder Partner ein eigenständiger Verantwortlicher.
§2 Definitionen 1. «Nutzer» ist eine Person, die eine Corona-App auf einem Mobiltelefon verwendet.
2. «Corona-Apps» sind die von den Partnern unter den Bezeichnungen «Corona-
Warn-App» und «SwissCovid-App» jeweils herausgegebenen Softwareanwendungen für Mobiltelefone (Apps), die Annäherungen zwischen Nutzern aufzeichnen und diese benachrichtigen, wenn sie potenziell dem Coronavirus Sars-CoV-2 ausgesetzt waren. 3. «Back-End-Server» ist ein national betriebenes Serversystem, das der jeweiligen nationalen App (Corona-App oder entsprechende App) seinen Inhalt im Abrufverfah- ren zur Verfügung stellt. Dieser Inhalt besteht namentlich aus den Schlüsseln sowie Metadaten, welche von den «Corona-Apps» übermittelt oder aus dem Gateway her- untergeladen werden.
4. «Gateway» ist ein vom BAG betriebenes Serversystem, an das ein Back-End-Ser-
ver über eine Schnittstelle angeschlossen werden kann, um die Schlüssel seiner nati- onalen App hochladen und die bereitgestellten Schlüssel entsprechender ausländi- scher Apps herunterzuladen. 5. «Schlüssel» sind eindeutige tagesgültige Kennungen, die vom Betriebssystem des Mobiltelefons erzeugt werden, sowie die darauf bezogenen Metadaten, für einen Nut- zer, der über die von ihm verwendete Corona-App meldet, positiv auf eine Infektion mit SARS-CoV-2 getestet worden zu sein. Sie gelten als Gesundheitsdaten im Sinne der DSGVO. 6. «Metadaten» sind mit einem Schlüssel verknüpfte oder darin enthaltene Informa- tionen, die Angaben zum Gültigkeitstag, zur Infektionsverifizierung, zum Ursprungs- land des Schlüssels und weitere aus epidemiologischer Sicht relevante Angaben ent- halten können und die von einer Corona-App für die Bewertung der Infektiosität eines Nutzers, der über die von ihm verwendete Corona-App meldet, positiv auf eine Infek- tion mit SARS-CoV-2 getestet worden zu sein, verwendet werden. 7. «Infektionsverifizierung» ist die zur Bestätigung einer Infektion mit SARS-CoV-
2 verwendete Methode, d. h. die Bestätigung durch eine nationale Gesundheitsbe-
hörde oder einen Labortest.
8. «Protokolldaten» sind eine automatische Aufzeichnung eines Zugriffs im Zusam-
menhang mit der Verarbeitung von Daten über das Gateway, aus der insbesondere die Art der Verarbeitung, das Datum und die Uhrzeit der Verarbeitung hervorgehen.
Corona-Apps (Austausch von Schlüsseln über einen auf AS 2021 342
9. «Personenbezogene Daten» sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person («betroffene Person») innerhalb des Anwen- dungsbereichs dieser Vereinbarung beziehen.
§3 Grenzüberschreitender Datenaustausch zwischen der Corona-Warn-App und der SwissCovid-App durch das Gateway
1. Die gemeinsame Verarbeitungstätigkeit der Partner auf dem Gateway beschränkt
sich auf folgende Prozessschritte: a) Authentifizierung der nationalen Back-End-Server. b) Empfang der Schlüssel über eine bereitgestellte Anwendungsprogrammier- schnittstelle, die es den nationalen Back-End-Servern ermöglicht, diese Daten hochzuladen. c) Speicherung der von den nationalen Back-End-Servern hochgeladenen Schlüssel im Gateway. d) Bereitstellung der gespeicherten Schlüssel, deren Ursprungsland die Bundes- republik Deutschland ist, auf dem Gateway zum Herunterladen durch den schweizerischen Back-End-Server. e) Bereitstellung der gespeicherten Schlüssel, deren Ursprungsland die Schwei- zerische Eidgenossenschaft ist, auf dem Gateway zum Herunterladen durch den deutschen Back-End-Server. f) Prüfen der Vertraulichkeit und Integrität der Schlüssel bei Empfang und Be- reitstellung. g) Unwiederbringliche Löschung bzw. Vernichtung der gespeicherten Schlüssel, sobald der empfangende Back-End-Server sie heruntergeladen und geprüft hat, oder 14 Tage nach ihrem Empfang vom übermittelnden Back-End-Server, wobei der frühere der beiden Zeitpunkte massgebend ist. h) Unwiederbringliche Löschung bzw. Vernichtung aller verbleibenden perso- nenbezogenen Daten nach Einstellung des Betriebs des Gateways oder einsei- tiger, endgültiger Einstellung der Übermittlung der Schlüssel durch einen Partner an das Gateway. 2. Nationale Back-End-Server dürfen an das Gateway ausschliesslich Schlüssel ihrer nationalen App, deren Gültigkeitstag im Zeitpunkt der Übertragung zum Gateway nicht länger als 14 Tage zurückliegt, übermitteln.
3. Die Übermittlung von Schlüsseln an das Gateway darf nur erfolgen, soweit der
Nutzer in die grenzüberschreitende Verarbeitung seiner Daten zu den diesbezüglichen Zwecken dieser Vereinbarung ausdrücklich eingewilligt hat. 4. Die Verarbeitung erfolgt grundsätzlich orientiert an den allgemein öffentlich zu- gänglichen technischen Interoperabilitätsvorgaben im europäischen eHealth Netz- werk, soweit diese Vereinbarung keine anderen Vorgaben macht und soweit dies für
Corona-Apps (Austausch von Schlüsseln über einen auf AS 2021 342
die Partner im Rahmen des nationalen Rechts möglich ist. Diese ergeben sich insbe- sondere aus den Interoperabilitätsspezifikationen für den Abgleich grenzüberschrei- tender Übertragungsketten zwischen zugelassenen Apps vom 16. Juni 2020.1 5. Die Verarbeitung erfolgt unter der beidseitigen Annahme der Partner und nur unter der Bedingung, dass im Land des anderen Partners ein mit dem im eigenen Land äqui- valentes Schutzniveau bei der Verarbeitung personenbezogener Daten gewährleistet ist und sofern ein gültiger Angemessenheitsbeschluss der Europäischen Kommission gemäss Artikel 45 DSGVO oder geeignete Garantien gemäss Artikel 46 DSGVO vor- gesehen sind und sofern den betroffenen Personen durchsetzbare Rechte und wirk- same Rechtsbehelfe zur Verfügung stehen.
§4 Zuständigkeiten und Pflichten des BAG
1. Die Zuständigkeit für die Einrichtung und den Betrieb des Gateways liegt beim
BAG. In dieser Funktion gewährleistet das BAG die Sicherheit und den Schutz der Verarbeitung der ausgetauschten Daten im Gateway, einschliesslich ihrer Übermitt- lung und Bereithaltung und nimmt die in Absatz 3 festgelegten Aufgaben wahr. Das BAG trägt sämtliche hieraus entstehenden Kosten selbst. Die Kosten für die Anpas- sung an den eigenen Corona-Apps werden hingegen durch jeden Partner selbst getra- gen.
2. Die Wirksamkeit der technischen und organisatorischen Massnahmen zur Gewähr-
leistung der Sicherheit der Verarbeitung im Gateway wird vom BAG unter Beteili- gung des Nationalen Zentrums für Cybersicherheit NCSC und des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) regelmässig mindestens jedes halbe Jahr und anlassbezogen geprüft, beurteilt und bewertet. Der Eidgenössische Da- tenschutz- und Öffentlichkeitsbeauftragte (EDÖB) wird vom BAG über die Beurtei- lung und Bewertung informiert.
3. Das BAG:
a) schafft und gewährleistet eine sichere Kommunikationsinfrastruktur, die den Back-End-Servern der Partner den Austausch der in § 3 Absatz 2 genannten Daten nach Massgabe dieser Vereinbarung ermöglicht; b) darf mit Zustimmung des RKI Dritte als Auftragsverarbeiter im Sinne Arti- kel 4 Nr. 8 der DSGVO beiziehen. Die vertragliche Vereinbarung mit dem Auftragsverarbeiter muss den Anforderungen aus Artikel 28 DSGVO entspre- chen. Das BAG stellt sicher, dass im Fall der Beauftragung eines Auftragsver- arbeiters in Bezug auf die Verarbeitung von personenbezogenen Daten von Nutzern der Corona-Warn-App dieselben Datenschutzverpflichtungen, wie sie in dieser Vereinbarung festgelegt sind, auch für diese Auftragsverarbeiter gelten und eingehalten werden. Eine Unterbeauftragung sollte grundsätzlich nur einmal möglich sein, auch dafür hat das RKI seine Zustimmung zu ertei- len. Das RKI hat das Recht, die Zustimmung zur Beauftragung oder Unterbe-
1 abrufbar unter: https://ec.europa.eu/health/ehealth/key_documents_en#anchor0
Corona-Apps (Austausch von Schlüsseln über einen auf AS 2021 342
auftragung bei Vorliegen eines wichtigen Grundes zu verweigern. Ein wich- tiger Grund ist insbesondere dann anzunehmen, wenn durch die Unterbeauf- tragung die Rechtsposition des RKI nach dieser Vereinbarung verschlechtert wird, wenn das RKI begründeten Anlass zu Bedenken hinsichtlich der Ein- haltung der vertraglichen und/oder gesetzlichen Pflichten des Datenschutzes und/oder der Informationssicherheit durch den jeweiligen Unterauftragsver- arbeiter hat oder wenn gewichtige Anhaltspunkte für ein nicht rechtskonfor- mes Verhalten des Unterauftragsverarbeiters vorliegen, das geeignet ist, das Vertrauen in seine generelle Zuverlässigkeit zu erschüttern; c) stellt im Falle der Anbindung weiterer Länder an das Gateway sicher, dass die von dem Back-End-Server der Corona-Warn-App an das Gateway übermit- telten Schlüssel weiterhin nur mit dem Back-End-Server der SwissCovid-App zu den Zwecken dieser Vereinbarung ausgetauscht und insbesondere nicht an die Systeme der anderen Länder übermittelt werden; d) trifft alle organisatorischen, physischen und logischen Sicherheitsmassnah- men auf Grundlage der Vorgaben der Bundesverwaltung der Schweizerischen Eidgenossenschaft für IKT (IKT-Grundschutz in der Bundesverwaltung)2, um den Betrieb des Gateways aufrechtzuerhalten. Zu diesem Zweck wird das BAG: aa) eine für das Sicherheitsmanagement beim Gateway zuständige Stelle be- nennen, dem RKI deren Kontaktdaten mitteilen und deren Verfügbarkeit zur Reaktion auf Sicherheitsbedrohungen gewährleisten, bb) die Verantwortung für die Sicherheit des Gateways übernehmen, cc) sicherstellen, dass alle Personen, denen der Zugriff auf das Gateway ge- währt wird, vertraglichen, beruflichen oder gesetzlichen Vertraulich- keitsverpflichtungen unterliegen, die auch in Bezug auf die Einstufung der Schlüssel als Gesundheitsdaten gemäss Datenschutz-Grundverord- nung oder äquivalenten nationalen Bestimmungen und dieser Vereinba- rung ausreichend sind; e) trifft alle erforderlichen Sicherheitsmassnahmen, damit das reibungslose Funktionieren der Back-End-Server der Partner nicht beeinträchtigt wird. Zu diesem Zweck richtet das BAG besondere Verfahren für den Anschluss der Back-End-Server an das Gateway ein. Dazu gehören: aa) ein Verfahren zur Risikobewertung, um potenzielle Bedrohungen des Systems zu ermitteln und abzuschätzen, bb) ein Audit- und Überprüfungsverfahren:
i. zur Überprüfung der Übereinstimmung der umgesetzten Sicher- heitsmassnahmen mit den für die Verarbeitung – die in Bezug auf
2 Insbesondere Si001 – IKT-Grundschutz in der Bundesverwaltung,
Si003 – Netzwerksicherheit in der Bundesverwaltung, abrufbar unter: www.bk.admin.ch > Digitale Transformation und IKT Lenkung > Vorgaben > Sicherheit
Corona-Apps (Austausch von Schlüsseln über einen auf AS 2021 342
die Schlüssel Gesundheitsdaten umfasst – massgeblichen Sicher- heitsvorgaben gemäss IKT-Grundschutz in der Bundesverwaltung und der schweizerischen Datenschutzgesetzgebung ii. zur regelmässigen Kontrolle der Integrität der Systemdateien, der Sicherheitsparameter und der erteilten Genehmigungen iii. zur Überwachung zwecks Feststellung von Sicherheitsverstössen und von unbefugtem Eindringen iv. zur Umsetzung von Änderungen zur Behebung bestehender Sicher- heitslücken und v. zur Ermöglichung — auch auf Anfrage des RKI— und zur Mitwir- kung an der Durchführung unabhängiger Audits, einschliesslich In- spektionen, sowie von Überprüfungen von Sicherheitsmassnahmen (bspw. BSI-Grundschutz) und Prüfungen der für das RKI zuständi- gen Datenschutzaufsichtsbehörde zur Erfüllung ihrer jeweiligen ge- setzlich zugewiesenen Aufgaben, cc) ein Änderungskontrollverfahren, um die Auswirkungen einer Änderung vor ihrer Umsetzung zu dokumentieren und abzuschätzen und die Ver- antwortlichen über alle Änderungen auf dem Laufenden zu halten, die sich auf die Kommunikation mit ihren Infrastrukturen und/oder deren Si- cherheit auswirken können, dd) die Festlegung eines Wartungs- und Reparaturverfahrens mit Regeln und Bedingungen für die Wartung und/oder Reparatur von Ausrüstungen, ee) die Festlegung eines Verfahrens in Bezug auf Sicherheitsvorfälle (Melde- und Eskalationsprogramm), welches sicherstellt, dass der be- hördliche Datenschutzbeauftrage des RKI unverzüglich über jegliche Verletzung des Schutzes personenbezogener Daten unter Angabe der Art, Umfang und Umstände sowie den wahrscheinlichen Folgen der Ver- letzung und den ergriffenen und geplanten Massnahmen zur Behebung der Verletzung und Abmilderung der möglichen nachteiligen Auswir- kungen unterrichtet wird, ff) Festlegung eines Disziplinarverfahrens, sofern nicht bereits vorhanden, um gegen Sicherheitsverletzungen vorzugehen, gg) ein unabhängig durchgeführter Penetrationstest inklusive einer Quell- textanalyse; f) ergreift physische und/oder logische Sicherheitsmassnahmen auf Grundlage des aktuellen Stands der Technik für die Einrichtungen, in denen die Ausrüs- tung für das Gateway untergebracht ist, und für die Kontrollen der logischen Daten und der Zugriffssicherheit. Als Grundlage wird der IKT-Grundschutz (siehe §3 Abs. 3 Bst. e bb) i.) vereinbart, weitere technisch-organisatorische
Sicherheitsmassnahmen sollen in dem Sicherheitskonzept dokumentiert wer- den; g) ergreift Massnahmen zum Schutz seiner Netzdomäne, einschliesslich der Trennung von Anschlüssen;
Corona-Apps (Austausch von Schlüsseln über einen auf AS 2021 342
h) führt einen Risikomanagementplan in Bezug auf das Gateway; i) überwacht — in Echtzeit — die Leistung aller Dienstkomponenten des Gate- ways, erstellt regelmässige Statistiken und führt Aufzeichnungen über die Ak- tivitäten des Gateways; j) leistet Unterstützung für alle Dienste des Gateways über Telefon, E-Mail und nimmt Anrufe von autorisierten Anrufern entgegen; k) ergreift alle erforderlichen Massnahmen, damit der technische Betreiber des Gateways keinen unbefugten Zugriff auf übermittelte Daten hat; l) ergreift Massnahmen, um die Kommunikation zwischen den Partnern zu er- leichtern; m) führt gemäss Artikel 30 Absatz 1 der Datenschutz-Grundverordnung oder ge- mäss äquivalenten nationalen Bestimmungen und dieser Vereinbarung ein Verzeichnis aller durchgeführten Verarbeitungsvorgänge; n) ergreift Massnahmen, die in regelmässigen Abständen sicherstellen, dass phy- sische und logische Sicherheitsmassnahmen weiterhin dem Stand der Technik entsprechen; o) ermöglicht dem RKI oder vom RKI beteiligte Stellen wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nach Absprache mit dem Bundes- amt für Informatik und Telekommunikation (BIT) eigene sicherheitstechni- sche Untersuchungen des Gateways vorzunehmen und diese bei physischen oder logischen Änderungen des Gateways teilweise oder vollständig zu wie- derholen.
4. Das BAG teilt dem RKI unverzüglich alle wichtigen Vorkommnisse und Änderun-
gen in Bezug auf das Gateway mit, die Auswirkungen auf die Verarbeitung der aus- getauschten Daten im Gateway haben, insbesondere: a) potenzielle oder tatsächliche Risiken für die Verfügbarkeit, Vertraulichkeit und/oder Integrität der im Gateway verarbeiten Daten; b) Sicherheitsvorfälle; c) jede Verletzung des Schutzes personenbezogener Daten, die wahrscheinli- chen Folgen der Verletzung des Schutzes personenbezogener Daten und die Bewertung der Risiken für die Rechte und Freiheiten natürlicher Personen so- wie alle Massnahmen, die ergriffen wurden, um gegen die Verletzung des Schutzes personenbezogener Daten vorzugehen und das Risiko für die Rechte und Freiheiten natürlicher Personen zu mindern; d) jeden Verstoss gegen die gemäss dieser Vereinbarung getroffenen techni- schen und/oder organisatorischen Vorkehrungen für die Verarbeitungsvor- gänge im Gateway; e) jede physische oder logische Änderung des Gateways, welche direkten oder indirekten Einfluss auf die Verfügbarkeit, Vertraulichkeit und/oder Integrität der Daten, die im Gateway verarbeitet werden, hat.
Corona-Apps (Austausch von Schlüsseln über einen auf AS 2021 342
5. Das BAG informiert darüber hinaus in Fällen von Sicherheitsvorfällen unverzüg- lich direkt auch den behördlichen Datenschutzbeauftragen des RKI, um das weitere Vorgehen abzustimmen. Sofern den Partnern infolge eines Sicherheitsvorfalls Melde- und Benachrichtigungspflichten gemäss Artikel 33, 34 DSGVO treffen, stellt das BAG dem RKI und gesondert dem behördlichen Datenschutzbeauftragten des RKI unverzüglich alle zur Prüfung des eventuellen Vorliegens einer Melde- oder Benach- richtigungspflicht notwendigen Informationen zur Verfügung.
6. Sofern den Partnern Benachrichtigungspflichten gemäss Artikel 34 DSGVO oblie-
gen, ist für die Benachrichtigung der von der Verletzung des Schutzes personenbezo- gener Daten betroffenen Personen auf schweizerischer Seite, einschliesslich der Nut- zer der SwissCovid-App, das BAG zuständig.
7. Für die Bearbeitung einschliesslich Beantwortung von Anfragen/Anträgen eines
Nutzers der SwissCovid-App im Zusammenhang mit der Ausübung der Rechte be- troffener Personen im Einklang mit der Datenschutz-Grundverordnung oder gemäss äquivalenten nationalen Bestimmungen und dieser Vereinbarung ist das BAG zustän- dig.
8. Das BAG informiert die Nutzer der SwissCovid-App im Einklang mit den Arti-
keln 13 und 14 sowie 26 Absatz 2 Satz 2 der Datenschutz-Grundverordnung im Rah- men der Datenschutzerklärung der SwissCovid-App über die Verarbeitung ihrer per- sonenbezogenen Daten auf Grundlage dieser Vereinbarung zu Zwecken der länderübergreifenden Warnung.
§5 Zuständigkeiten und Pflichten des RKI
1. Das RKI unterstützt das BAG im Rahmen seiner Möglichkeiten bei der Ermittlung
und Behandlung von Sicherheitsvorfällen, einschliesslich Verletzungen des Schutzes personenbezogener Daten, im Zusammenhang mit der Verarbeitung im Gateway.
2. Insbesondere teilt das RKI dem BAG im Rahmen seiner Kenntnisse und Möglich-
keiten Folgendes mit: a) potenzielle oder tatsächliche Risiken für die Verfügbarkeit, Vertraulichkeit und/oder Integrität der personenbezogenen Daten, die im Gateway verarbeitet werden; b) Sicherheitsvorfälle, die mit der Verarbeitung im Gateway in Verbindung ste- hen; c) jede Verletzung des Schutzes personenbezogener Daten, die wahrscheinli- chen Folgen der Verletzung des Schutzes personenbezogener Daten und die Bewertung der Risiken für die Rechte und Freiheiten natürlicher Personen so- wie alle Massnahmen, die ergriffen wurden, um gegen die Verletzung des Schutzes personenbezogener Daten vorzugehen und das Risiko für die Rechte und Freiheiten natürlicher Personen zu mindern; d) jeden Verstoss gegen die technischen und/oder organisatorischen Vorkehrun- gen für die Verarbeitungsvorgänge im Gateway.
Corona-Apps (Austausch von Schlüsseln über einen auf AS 2021 342
3. Für die Bearbeitung einschliesslich Beantwortung von Anfragen/Anträgen eines
Nutzers der Corona-Warn-App im Zusammenhang mit der Ausübung der Rechte be- troffener Personen im Einklang mit der Datenschutz-Grundverordnung oder gemäss äquivalenten nationalen Bestimmungen und dieser Vereinbarung ist das RKI zustän- dig.
4. Das RKI informiert die Nutzer der Corona-Warn-App im Einklang mit den Arti-
keln 13 und 14 sowie 26 Absatz 2 Satz 2 der Datenschutz-Grundverordnung im Rah- men der Datenschutzerklärung der Corona-Warn-App über die Verarbeitung ihrer personenbezogenen Daten auf Grundlage dieser Vereinbarung.
5. Melde- oder Benachrichtigungspflichten gemäss Artikel 33 und 34 DSGVO, die
den Partnern obliegen, werden federführend durch das RKI bearbeitet. Für die Durch- führung von Meldungen und Benachrichtigungen sowie die Kommunikation mit der zuständigen Aufsichtsbehörde i.S.v. Artikel 33 und 34 DSGVO ist das RKI zuständig.
6. Sofern den Partnern Benachrichtigungspflichten gemäss Artikel 34 DSGVO oblie-
gen, ist für die Benachrichtigung der von der Verletzung des Schutzes personenbezo- gener Daten betroffenen Personen auf deutscher Seite, einschliesslich der Nutzer der Corona-Warn-App, das RKI zuständig.
§6 Zuständigkeiten und Pflichten beider Partner 1. Jeder Partner richtet eine Anlaufstelle mit einem Funktionspostfach ein, das der Kommunikation zwischen den Partnern im Zusammenhang mit dieser Vereinbarung dient. Kenntnisnahme der eingehenden Nachrichten sowie Reaktionen sollten grund- sätzlich in einem sehr kurzen Zeitraum erfolgen. In dringenden Fällen hat auch eine telefonische Kontaktaufnahme des jeweils anderen Partners zu Zwecken der Informa- tion und Abstimmung zu erfolgen. Jeder Partner benennt zu diesem Zweck jeweils einen direkten Ansprechpartner (E-Mail, Telefon).
2. Jeder Partner nimmt die von einem Nutzer bei ihm eingehenden Anfragen/Anträge
im Zusammenhang mit der Ausübung der Rechte betroffener Personen im Einklang mit der Datenschutz-Grundverordnung oder gemäss äquivalenten nationalen Bestim- mungen und dieser Vereinbarung entgegen. Jeder Partner bestimmt eine spezielle An- laufstelle für Anfragen/Anträge von Nutzern. Erhält ein Partner eine Anfrage/einen Antrag eines Nutzers im Zusammenhang mit der Ausübung der Rechte betroffener Personen, die/der nach Massgabe dieser Vereinbarung oder des für den jeweiligen Partner anwendbaren Rechtsvorschriften nicht seiner Zuständigkeit oder Verantwort- lichkeit unterliegt, so leitet er sie/ihn umgehend an den zuständigen Partner weiter. Auf Anfrage unterstützen sich die Partner gegenseitig bei der Bearbeitung von Anfra- gen/Anträgen betroffener Personen im Zusammenhang mit der Ausübung der Rechte betroffener Personen und antworten einander unverzüglich, spätestens jedoch inner- halb von 15 Tagen nach Eingang eines Amtshilfeersuchens.
3. Jeder Partner stellt diese Vereinbarung auf seiner Website zur Verfügung.
Corona-Apps (Austausch von Schlüsseln über einen auf AS 2021 342
4. Benötigt ein Partner zur Erfüllung seiner Pflichten nach den Artikeln 35 und 36 DSGVO oder gemäss äquivalenten nationalen Bestimmungen und dieser Vereinba- rung Informationen von dem anderen Partner, so übermittelt er eine besondere An- frage an das Funktionspostfach des anderen Partners. Letzterer bemüht sich nach bes- ten Kräften, diese Informationen zur Verfügung zu stellen. 5. Jeder Partner ist verpflichtet, auf die Richtigkeit der an das Gateway zu übermit- telnden personenbezogenen Daten zu achten. Erweist sich, dass ein Partner unrichtige personenbezogene Daten oder personenbezogene Daten, die nicht hätten übermittelt werden dürfen, an das Gateway übermittelt hat, so teilt er dies dem anderen Partner unverzüglich mit.
6. Personenbezogene Daten von Nutzern einer Corona-App, die von den Partnern an
das Gateway übermittelt werden, dürfen nur in anonymisierter oder pseudonymisier- ter Form übermittelt werden. Jeder der Partner bestätigt hiermit, dass es ihm nach heutigen Kenntnisstand nicht möglich ist: a) Rückschlüsse auf die Identität von konkreten Nutzern anhand der Schlüssel auf dem eigenen Back-End-Server zu ziehen; und b) Rückschlüsse auf die Identität von konkreten Nutzern anhand der Schlüssel, die er über das Gateway vom anderen Partner erhalten hat, und allfällig wei- teren Datensätzen zu ziehen.
7. Kann ein Partner die Anfragen/Anträge einer betroffenen Person im Zusammen-
hang mit der Ausübung ihrer Rechte aufgrund der bewusst ausgeschalteten Rückführ- barkeit mangels Identifikationsmöglichkeit nicht bearbeiten, so unterrichtet er die be- troffene Person hierüber, sofern dies anhand der vorliegenden Kontaktdaten (z. B. E- Mail-Adresse, Postanschrift) möglich ist. In diesem Fall finden die Rechte betroffener Personen keine Anwendung, es sei denn, die betroffene Person stellt zur Ausübung ihrer gesetzlichen Rechte zusätzliche Informationen bereit, die ihre Identifizierung er- möglichen. 8. Jeder Partner stellt sicher, dass der jeweils andere Partner oder sein Rechtsträger nach Massgabe des innerstaatlichen Rechts demjenigen gegenüber haftet, der auf- grund von Datenübermittlungen nach dieser Vereinbarung rechtswidrig geschädigt wird. Es gelten die Vorgaben der Artikel 82 Absatz 4 und Absatz 5 DSGVO oder äquivalenten nationalen Bestimmungen, wonach die Haftung gemeinsam Verantwort- licher gegenüber Dritten gesamtschuldnerisch erfolgt, im Innenverhältnis wird die Haftung aber nach Anteil der Verantwortung für das schädigende Ereignis aufgeteilt.
§7 Streitbeilegung
1. Streitigkeiten zwischen den Partnern über die Auslegung oder Anwendung dieser
Vereinbarung sollen, soweit möglich, durch die Partner einvernehmlich beigelegt werden. 2. Kann eine Streitigkeit auf diese Weise nicht beigelegt werden, so wird sie auf Ver- langen eines Partners einem Schiedsgericht unterbreitet.
Corona-Apps (Austausch von Schlüsseln über einen auf AS 2021 342
3. Das Schiedsgericht wird von Fall zu Fall gebildet, indem jeder Partner ein Mitglied bestellt und beide Mitglieder sich auf ein drittes Mitglied als Obmann oder Obfrau einigen, der oder die von beiden Partnern bestellt wird. Die Mitglieder werden inner- halb von zwei Wochen bestellt, nachdem der eine Partner dem anderen mitgeteilt hat, dass der die Streitigkeit einem Schiedsgericht unterbreiten will.
4. Das Schiedsgericht entscheidet mit Stimmenmehrheit. Seine Entscheidungen sind
bindend und endgültig. Jeder Partner trägt die Kosten seines Mitglieds sowie seiner Vertretung in dem Verfahren vor dem Schiedsgericht; die Kosten des Obmanns oder der Obfrau sowie die sonstigen Kosten werden von den Partnern zu gleichen Teilen getragen. Das Schiedsgericht kann eine andere Kostenregelung treffen. Im Übrigen regelt das Schiedsgericht sein Verfahren selbst.
§8 Schlussbestimmungen 1. Die Vereinbarung tritt in Kraft, sobald sich die Partner mitgeteilt haben, dass die innerstaatlichen Voraussetzungen dafür erfüllt sind. Der Betrieb des Gateways wird aufgenommen, sobald alle nötigen Einrichtungen gemacht sind. 2. Die Vereinbarung kann jederzeit durch Übereinkunft zwischen den Partnern geän- dert, aufgehoben oder verlängert werden. 3. Die Vereinbarung gilt für die Dauer des Austauschs der Schlüssel beider Partner über das Gateway und solange das Gateway besteht, längstens aber bis zum 30. Juni 2022.
4. Die für den Schutz von personenbezogenen Daten einschlägigen Bestimmungen
dieser Vereinbarung gelten auch bei Aufhebung, Kündigung oder Auslaufen dieser Vereinbarung in Bezug auf die bereits übermittelten Daten fort. 5. Jeder Partner kann die Übermittlung von Schlüsseln von Nutzern der von ihm her- ausgegebenen Corona-App an das Gateway jederzeit einstellen. Eine solche Absicht ist dem anderen Partner, soweit zumutbar, so früh wie möglich im Voraus mitzuteilen, so dass dieser rechtzeitig die erforderlichen Massnahmen, etwa die Anpassung von Datenschutzinformationen für die Nutzer der von ihm herausgegebenen Corona-App, ergreifen kann. 6. Diese Vereinbarung kann von jedem Partner einseitig schriftlich gekündigt wer- den. Die Kündigung wird nach Ablauf eines Monats nach ihrem Eingang beim ande- ren Partner wirksam.
Bern, den 15. März 2021 Berlin, den 19. März 2021
Für das Für das Eidgenössische Departement des Innern: Robert Koch-Institut: Anne Lévy Lars Schaade
Corona-Apps (Austausch von Schlüsseln über einen auf AS 2021 342