Digitales Impfzertifikat

Datenschutz
1

Hallo zusammen,

jetzt soll ja das digitale Impfzertifikat als QR-Code starten, das wir in die Corona-Warn-App und eine spezielle Impfpass-App einlesen sollen. In diesem Zusammenhang würde mich interessieren, welche Daten über COVID-19-Impfungen von wem (welcher Stelle) bereits gespeichert werden und wie diese Daten in den QR-Code gelangen, den wir einlesen sollen.

Kann jemand - ggf. vom freundlichen BfDI-Team - diese Frage beantworten?

Viele Grüße

Alterego

2

Hallo Alterego,

zur Frage welche Daten im Impfzertifikat enthalten sind und wer den QR-Code erstellt (und noch ein paar Fragen mehr) hat unser Fachreferat ein FAQ herausgebracht:
https://www.bfdi.bund.de/DE/Buerger/Inhalte/GesundheitSoziales/Allgemein/FAQ-Impfnachweis.html

3 „Gefällt mir“
3

Vielen Dank für die aussagekräftigen FAQs. Habe ich das richtig verstanden, dass ausschließlich die impfenden Stellen (und ggf. Apotheken) die personenbezogenen Daten kennen, die in das Impfzertifikat einfließen und dass es (jedenfalls in De) keine zentralen oder dezentralen Impfdatenbanken gibt (etwa im RKI oder in den Gesundheitsämtern)?

4

Ja, das ist korrekt. Die Daten liegen nur dezentral auf den jeweiligen Endgeräten.

6

Interessante Übersicht, Danke :+1:

1 „Gefällt mir“
7

Da könnten natürlich jetzt dann auch durch den Arbeitgeber Begehrlichkeiten aufkommen, nur noch Beschäftigte ins Unternehmen (zurück) zu lassen, wenn die Beschäftigten geimpft sind und dies dann auch mit der App nachweisen können.
Ich denke jetzt an den “normalen” Beschäftigten und nicht an evtl. Ausnahmen, die der § 23a Infektionsschutzgesetz (IfSG) ggf. hergeben könnte. Da könnte ich mir ja noch eine Rechtsgrundlage basteln.

Und mit der CovPass Check App könnte der Werkschutz eine “Eingangskontrolle” durchführen.

Bin gespannt, wann die ersten Anfragen in diese Richtung aufkommen.
Hat schon jemand Erfahrungen oder Anfragen in dieser Richtung? Muss ja auch nicht direkt die digitale App-Variante sein.

1 „Gefällt mir“
8

Die Nutzung des Zertifikats, egal über welche App, ist freiwillig. Da die europäische Verordnung noch nicht verabschiedet ist, müssten sich Arbeitgeber aber auch Unternehmen (Kino, Disco, etc.) auf die (Bundes-)Länderverordnungen zum Infektionsschutzgesetz berufen.

Darin ist allerdings sehr eindeutig geregelt, unter welchen Umständen (Inzidenzwerte) überhaupt Nachweise verlangt werden können. Arbeitgeber könnten den Nachweis unter Umständen dort verlangen, wo die Arbeitsbedingungen so sind, dass es keine niedrigschwelligeren Eingriffe gibt (z.B. Masken tragen). Und selbst dann hat der gelbe Impfpass den gleichen Wert.

3 „Gefällt mir“
10

Aber im Grunde ist es doch so, dass man in die Apotheke geht und um die Ausstellung eines Impfzertifikats bittet. Der Mitarbeiter/in der Apotheke fragt dann nach dem Impfnachweis (Impfausweis oder Ersatzbescheinigung) und gibt dann die Daten in die Eingabemaske zur Übermittlung an das RKI ein um diese prüfen zu lassen. Es erfolgt (soweit ich das gesehen habe) kein gesonderter Hinweis “Sind Sie damit einverstanden, dass diese Daten an das RKI übermittelt und dort gespeichert werden”. Was mit den Daten in der Eingabemaske passiert erfährt man nicht wirklich und ich bezweifle, dass die Apothekenmitarbeiter/innen dazu Informationen haben.

Nachtrag: auf dieser Seite: BfDI - Gesundheit und Soziales - FAQ zum Digitalen Impfnachweis
befindet sich ein Hinweis, dass das RKI die Daten für die Ausstellung des Impfzertifikats prüft, aber nicht speichert. Der Ablauf ist also OK so wie er ist. Es bedarf keines Hinweises.

12

Da hast Du vollkommen recht! Ich werde heute versuchen mein Impfzertifikat zu bekommen und dann ein paar Fragen stellen, wie das ganze funktioniert.

Edit: Fragen wurden nicht beantwortet. Ich war in einer Kreuz Apotheke. Der Rechner stand in einem Hinterzimmer und entsprechend nicht sichtbar. Auf meine Fragen wurde nur auf die Seiten des RKI verwiesen. Das ganze ging erstaunlich schnell (knapp 2 Minuten) dann war alles erledigt. Ich frage mich nur, wie die freundliche Apothekerin, mich hinter der FFP2 Maske erkennen konnte. Ich bin da kein Stammkunde.
Es bleiben viele Fragen offen!

1 „Gefällt mir“
13

Hallo @Alterego,
ich habe mal in meine CWA geschaut. Dort sehe ich wann ich geimpft wurde und wie lange diese Impfung „gültig“ ist. Zusätzlich finde ich dort meinen (vollständigen) Namen 7nd mein Geburtsdatum. Zu jeder Impfung werden weitere Angaben gespeichert.

14

Sorry, wer lesen kann…
Ich hätte vielleicht vorher mal die anderen Beiträge lesen sollen :pensive:
Neben den bisher geäußerten Bedenken / Fragen stellen sich mir weitere Fragen (diesmal habe ich die FAQs gelesen):

  • Gibt es eine „App“ in der die Eingaben der Apotheker*innen erfolgt?
  • Wie sind die Apothekenrechner angebunden (normaler DSL Anschluß, VPN, HTTPS-Verbindung)?
  • wie autorisieren sich die Apotheker*innen?
  • können die Zertifikate widerrufen werden?
  • was passiert, wenn in der Apotheke versehentlich die falschen Angaben zur Person eingegeben wurden?

Last but not least: hat jemand Informationen zur (technischen) Ausstattung des RKI?

  • Wurde dieses Verfahren und die Teilnehmer auditiert, beraten (bspw. durch CCC) usw.

Herliche Grüße
b.

Disclaimer: Security by obscurity ist nie eine schlaue Idee
[und NEIN, ich will diese Infrastruktur nicht ausnutzen]

15

Ich habe mir mein Zertifikat mit der CovPass Check- App auf einem anderen Smartphone angeschaut und bekomme angezeigt:

  • meinen vollständigen Namen
  • mein Geburtsdatum
    Dies funktioniert auch ohne Internet-Verbindung. Screenshots sind machbar, voraussichtlich auch mittels Screenrecording-Software beim Konzerteingang :neutral_face:

@Salus Der Rechner, auf dem „mein“ Impfzertifikat erstellt wurde, stand ebenfalls im hinteren Bereich der Apotheke. Daher keine Infos zu OS und Aktualität auf Rechner.
Beim „graben“ habe ich wenigstens weitere Informationen zum UCVI gefunden

https://ec.europa.eu/health/sites/default/files/ehealth/docs/vaccination-proof_interoperability-guidelines_en.pdf

und noch eine super Adresse mit einer Fülle an Informationen
https://ec.europa.eu/health/ehealth/covid-19_en

Nun fehlt m.E. „nur“ noch eine Beschreibung der Apotheken-Ausstattung und eine konkrete Beschreibung zur Infrastruktur beim RKI, auch wenn sich dies theoretisch voraussichtlich ergibt (voraussichtlich, weil ich ja noch nicht alles gelesen habe)

hier noch ein interessantes Interview, welches mich weitergeleitet hat
https://www.deutsche-apotheker-zeitung.de/news/artikel/2021/06/08/apotheken-koennen-ab-14-juni-digitale-impfnachweise-ausstellen

und ich bin beim Impfzertifikatsservice des RKI gelandet
https://digitaler-impfnachweis-app.de/impfzertifikat-ausstellen/

wo sich auch gleich bspw. eine Nutzungsanleitung für Arztpraxen anbot
https://digitaler-impfnachweis-app.de/pdf/Impfzertifikatsservice_Informationsblatt_fuer_Arztpraxen_V1.01.pdf

Diese ganzen Kette wirft allerdings immer weitere Fragen auf; was ist bspw. ein TI-Netz?

1 „Gefällt mir“
17

@anon52331922
Danke für die interessanten Links. Die beiden Folgen des „Streitgesprächs“ der Herren Gerlach & Kelber fand ich aufschlußreich. Die Darstellung der TI in den Artikeln haben mir in der Tat nicht gefallen. Ich bin wieder mal von der Realität erschrocken worden. Aber das zeigt mir, dass eine wachsame Begleitung der Entwicklung absolut notwendig ist.

19

Moin, heute ist ebenfalls ein interessanter Artikel zum digitalen Impfzertifikat erschienen, in dem die meisten der hier genannten Denkanstösse zusammengefasst werden, angereichert mit etwas Hintergrundinfos https://cdnpcf.heise.de/ct1521_impfzertifikat.pdf

21

Hi @anon52331922, danke für den Link zum Artikel. Die „Liste der Mängel“ offenbart m. E. eine Berufsauffassung, die ich in den IHK Abschlußprüfungen immer kritisiere. Verantwortliches Handeln und Implementieren setzt neben einer reinen Funktion auch einen Blick über den Tellerrand hinaus voraus. Nur so wäre eine ganzheitliche Folgenabschätzung möglich.
PS. ich schätze deine Info-Links sehr und freue mich darüber.

23

Möchten spielt hier keine Rolle. Die Informationen zur Impfung gehen ans RKI für Impfmonitoring (und sicherlich auch Impfsurveillance) und ans jeweilige Sozial-, Gesundheits- und/oder Innenministerium des Landes, das QR-Code und eindeutige Zertifikatskennung auf Anfrage oder automatisch per Post schickt. Für mich ist überhaupt nicht nachvollziehbar, wer welche Daten verarbeitet. Und von der Illusion der Nichtexistenz irgendwelcher Impfregister man sich vollends verabschieden. Denn ohne diese wäre die Ausstellung des Zertifikats nicht möglich.

RKI:
https://www.rki.de/DE/Content/InfAZ/N/Neuartiges_Coronavirus/Daten/Impfquoten-Tab.html
https://www.rki.de/DE/Content/Infekt/Impfen/Impfstatus/kv-impfsurveillance/kvis_node.html

Beispiele Länder:
https://sozialministerium.baden-wuerttemberg.de/de/service/presse/pressemitteilung/pid/baden-wuerttemberg-startet-am-montag-mit-digitalem-impfnachweis/
https://www.hessen.de/presse/pressemitteilung/digitaler-impfnachweis-kommt-per-post-0
https://www.ms.niedersachsen.de/startseite/aktuelles/presseinformationen/impfzentren-des-landes-stellen-seit-heute-digitales-impfzertifikat-aus-ab-sofort-auch-online-abrufbar-201688.html
https://msgiv.brandenburg.de/msgiv/de/presse/pressemitteilungen/detail/~10-06-2021-digitaler-impfnachweis-startet

24

Theoretisch dürfen weder Arzt noch Apotheke die Daten der Impfung speichern. Beim RKI liegen jedoch die Daten, die bei der Anforderung des digitalen Impfzertifikats abgeglichen werden.
Erfahrung: wenn bei der Erfassung ein Fehler gemacht wird und die Daten nicht übereinstimmen, wird kein digitales Impfzertifikat vom RKI ausgeworfen. (Hürden: Tippfehler oder mehrere Vornamen)
Ein digitales Impfzertifikat kann jederzeit mit Impfpass und Ausweis nachträglich erstellt werden, sowohl von der Apotheke als auch von der Arztpraxis. Also auf ausdrücklichen Wunsch des Geimpften, nicht auf Wunsch des Arztes!