Digitales Impfzertifikat

Hallo zusammen,

jetzt soll ja das digitale Impfzertifikat als QR-Code starten, das wir in die Corona-Warn-App und eine spezielle Impfpass-App einlesen sollen. In diesem Zusammenhang würde mich interessieren, welche Daten über COVID-19-Impfungen von wem (welcher Stelle) bereits gespeichert werden und wie diese Daten in den QR-Code gelangen, den wir einlesen sollen.

Kann jemand - ggf. vom freundlichen BfDI-Team - diese Frage beantworten?

Viele Grüße

Alterego

Hallo Alterego,

zur Frage welche Daten im Impfzertifikat enthalten sind und wer den QR-Code erstellt (und noch ein paar Fragen mehr) hat unser Fachreferat ein FAQ herausgebracht:
https://www.bfdi.bund.de/DE/Buerger/Inhalte/GesundheitSoziales/Allgemein/FAQ-Impfnachweis.html

3 Likes

Vielen Dank für die aussagekräftigen FAQs. Habe ich das richtig verstanden, dass ausschließlich die impfenden Stellen (und ggf. Apotheken) die personenbezogenen Daten kennen, die in das Impfzertifikat einfließen und dass es (jedenfalls in De) keine zentralen oder dezentralen Impfdatenbanken gibt (etwa im RKI oder in den Gesundheitsämtern)?

Ja, das ist korrekt. Die Daten liegen nur dezentral auf den jeweiligen Endgeräten.

Lese ich in dem Angebot richtig heraus, dass wenn man sich bei einem Arzt impfen lässt und das Zertifikat in Papierform bekommen möchte, der Arzt einen beim Robert-Koch-Institut anlegt? Dort wird dann irgendwo ein Profil angelegt (auch wenn man diesen nur auf Papier möchte) und dann das PDF vom Arzt für den Patienten ausgedruckt? Somit gibt es doch bei Impfung bei einem Arzt keine dezentrale Speicherung?

Oder kann jeder Arzt ungenormt irgendwie ein Zertifikat auf Papier erstellen? Dafür muss es doch irgendeine Einheit geben?

Und wenn auch die Informationen vom Arzt an das Robert-Koch-Institut übermittelt werden, wie lange werden denn diese Informationen gespeichert? Dazu steht nichts in den FAQ. Rein Interessehalber frage ich mich auch wie viele Patienten der Datenübermittlung an das RKI widersprechen konnten bzw. darauf hingewiesen worden sind?

  • Name: Nachname(n) und Vorname(n) (in dieser Reihenfolge);
    
  • Geburtsdatum;
    
  • Zielkrankheit oder -erreger;
    
  • Impfstoff/Prophylaxe;
    
  • Impfarzneimittel;
    
  • Zulassungsinhaber oder Hersteller des Impfstoffs;
    
  • Erstimpfung/Wiederimpfung Nr. (bei Mehrfachdosen/Auffrischungsimpfungen);
    
  • Datum der Impfung (unter Angabe des Datums der letzten Wiederimpfung);
    
  • Mitgliedstaat der Impfung;
    
  • Zertifikataussteller;
    
  • eindeutige Zertifikatkennung
    

sind ja doch einiges an sensiblen Gesundheitsdaten.

3 Likes

Interessante Übersicht, Danke :+1:

1 Like

Da könnten natürlich jetzt dann auch durch den Arbeitgeber Begehrlichkeiten aufkommen, nur noch Beschäftigte ins Unternehmen (zurück) zu lassen, wenn die Beschäftigten geimpft sind und dies dann auch mit der App nachweisen können.
Ich denke jetzt an den “normalen” Beschäftigten und nicht an evtl. Ausnahmen, die der § 23a Infektionsschutzgesetz (IfSG) ggf. hergeben könnte. Da könnte ich mir ja noch eine Rechtsgrundlage basteln.

Und mit der CovPass Check App könnte der Werkschutz eine “Eingangskontrolle” durchführen.

Bin gespannt, wann die ersten Anfragen in diese Richtung aufkommen.
Hat schon jemand Erfahrungen oder Anfragen in dieser Richtung? Muss ja auch nicht direkt die digitale App-Variante sein.

1 Like

Die Nutzung des Zertifikats, egal über welche App, ist freiwillig. Da die europäische Verordnung noch nicht verabschiedet ist, müssten sich Arbeitgeber aber auch Unternehmen (Kino, Disco, etc.) auf die (Bundes-)Länderverordnungen zum Infektionsschutzgesetz berufen.

Darin ist allerdings sehr eindeutig geregelt, unter welchen Umständen (Inzidenzwerte) überhaupt Nachweise verlangt werden können. Arbeitgeber könnten den Nachweis unter Umständen dort verlangen, wo die Arbeitsbedingungen so sind, dass es keine niedrigschwelligeren Eingriffe gibt (z.B. Masken tragen). Und selbst dann hat der gelbe Impfpass den gleichen Wert.

3 Likes

Die Antwort, dass das Zertifikat freiwillig ist beantwortet aber nicht die offenen Fragen, die ich oben gestellt habe, welche sich aus den FAQ ergeben, die für die Sicherheit aber erheblich wichtig sind.

1 Like

Aber im Grunde ist es doch so, dass man in die Apotheke geht und um die Ausstellung eines Impfzertifikats bittet. Der Mitarbeiter/in der Apotheke fragt dann nach dem Impfnachweis (Impfausweis oder Ersatzbescheinigung) und gibt dann die Daten in die Eingabemaske zur Übermittlung an das RKI ein um diese prüfen zu lassen. Es erfolgt (soweit ich das gesehen habe) kein gesonderter Hinweis “Sind Sie damit einverstanden, dass diese Daten an das RKI übermittelt und dort gespeichert werden”. Was mit den Daten in der Eingabemaske passiert erfährt man nicht wirklich und ich bezweifle, dass die Apothekenmitarbeiter/innen dazu Informationen haben.

Nachtrag: auf dieser Seite: BfDI - Gesundheit und Soziales - FAQ zum Digitalen Impfnachweis
befindet sich ein Hinweis, dass das RKI die Daten für die Ausstellung des Impfzertifikats prüft, aber nicht speichert. Der Ablauf ist also OK so wie er ist. Es bedarf keines Hinweises.

Das würde ich nicht sagen, wenn du die Eingabemaske nicht kennst und die Apotheker oder Ärzte das Fachwissen dazu nicht haben, woher willst du wissen, dass da nicht gerade Google APIs oder ähnliches verwendet werden? Das die Maske nicht komplett über Cloudflare als Man-in-the-Middle geht?
Das sind Hinweise, die gerade für Gesundheitsdaten sehr wichtig wären, da beide aus Datenschutzsicht gravierend sind und man leider auch nicht mehr im Gesundheitswesen wg. der Desinformation der Branche davor geschützt ist.

Woher weiß man, dass die Apotheke überhaupt einen aktuellen Browser verwendet oder diesen abgesichert hat? Bestes Beispiel wie viele Google Chrome nehmen. Weiß ich als User, wer z. B. “Rechtschreibfehler mithilfe eines Webdienstes korrigieren” aus hat (wobei ich niemals die Verwendung von Chrome empfehlen würde)?

Damit gehen alle Textfeldangaben ergo auch alles was da gerade für das RKI eingetippt wird an Google.
:face_vomiting:

An solche Dinge denken aber die wenigsten, weil niemand nach links oder rechts sieht. Dazu kommt, das du dann wohl ein PDF bekommst:

  • wird das bei der Apotheke/Arzt gelöscht?
  • Denkst du die löschen bei Downloads den Cache?
  • Was wenn das auf deren Servern auf langzeit schlummert?
  • An diesen Zuständen hat sich seit Jahren nichts geändert:

https://www.gesundheitsdaten-in-gefahr.de/2019/10/03/roentgenbilder-im-netz-wie-sicher-sind-meine-gesundheitsdaten/

Wer öfter mal beim CCC vorbeischaut sieht, das viele Arztserver nicht mal einen Passwortschutz haben. Das wird auch bei Apotheken ohne groß eigene Informatiker nicht anders sein. Daher finde ich die Frage, wird das bei denen gespeichert und wie lange sowie sind sie überhaupt fit das zu machen eine sehr berechtigte Frage, die nicht ganz unwichtig ist.

2 Likes

Da hast Du vollkommen recht! Ich werde heute versuchen mein Impfzertifikat zu bekommen und dann ein paar Fragen stellen, wie das ganze funktioniert.

Edit: Fragen wurden nicht beantwortet. Ich war in einer Kreuz Apotheke. Der Rechner stand in einem Hinterzimmer und entsprechend nicht sichtbar. Auf meine Fragen wurde nur auf die Seiten des RKI verwiesen. Das ganze ging erstaunlich schnell (knapp 2 Minuten) dann war alles erledigt. Ich frage mich nur, wie die freundliche Apothekerin, mich hinter der FFP2 Maske erkennen konnte. Ich bin da kein Stammkunde.
Es bleiben viele Fragen offen!

1 Like

Hallo @Alterego,
ich habe mal in meine CWA geschaut. Dort sehe ich wann ich geimpft wurde und wie lange diese Impfung „gültig“ ist. Zusätzlich finde ich dort meinen (vollständigen) Namen 7nd mein Geburtsdatum. Zu jeder Impfung werden weitere Angaben gespeichert.

Sorry, wer lesen kann…
Ich hätte vielleicht vorher mal die anderen Beiträge lesen sollen :pensive:
Neben den bisher geäußerten Bedenken / Fragen stellen sich mir weitere Fragen (diesmal habe ich die FAQs gelesen):

  • Gibt es eine „App“ in der die Eingaben der Apotheker*innen erfolgt?
  • Wie sind die Apothekenrechner angebunden (normaler DSL Anschluß, VPN, HTTPS-Verbindung)?
  • wie autorisieren sich die Apotheker*innen?
  • können die Zertifikate widerrufen werden?
  • was passiert, wenn in der Apotheke versehentlich die falschen Angaben zur Person eingegeben wurden?

Last but not least: hat jemand Informationen zur (technischen) Ausstattung des RKI?

  • Wurde dieses Verfahren und die Teilnehmer auditiert, beraten (bspw. durch CCC) usw.

Herliche Grüße
b.

Disclaimer: Security by obscurity ist nie eine schlaue Idee
[und NEIN, ich will diese Infrastruktur nicht ausnutzen]

Ich habe mir mein Zertifikat mit der CovPass Check- App auf einem anderen Smartphone angeschaut und bekomme angezeigt:

  • meinen vollständigen Namen
  • mein Geburtsdatum
    Dies funktioniert auch ohne Internet-Verbindung. Screenshots sind machbar, voraussichtlich auch mittels Screenrecording-Software beim Konzerteingang :neutral_face:

@Salus Der Rechner, auf dem „mein“ Impfzertifikat erstellt wurde, stand ebenfalls im hinteren Bereich der Apotheke. Daher keine Infos zu OS und Aktualität auf Rechner.
Beim „graben“ habe ich wenigstens weitere Informationen zum UCVI gefunden

https://ec.europa.eu/health/sites/default/files/ehealth/docs/vaccination-proof_interoperability-guidelines_en.pdf

und noch eine super Adresse mit einer Fülle an Informationen
https://ec.europa.eu/health/ehealth/covid-19_en

Nun fehlt m.E. „nur“ noch eine Beschreibung der Apotheken-Ausstattung und eine konkrete Beschreibung zur Infrastruktur beim RKI, auch wenn sich dies theoretisch voraussichtlich ergibt (voraussichtlich, weil ich ja noch nicht alles gelesen habe)

hier noch ein interessantes Interview, welches mich weitergeleitet hat
https://www.deutsche-apotheker-zeitung.de/news/artikel/2021/06/08/apotheken-koennen-ab-14-juni-digitale-impfnachweise-ausstellen

und ich bin beim Impfzertifikatsservice des RKI gelandet
https://digitaler-impfnachweis-app.de/impfzertifikat-ausstellen/

wo sich auch gleich bspw. eine Nutzungsanleitung für Arztpraxen anbot
https://digitaler-impfnachweis-app.de/pdf/Impfzertifikatsservice_Informationsblatt_fuer_Arztpraxen_V1.01.pdf

Diese ganzen Kette wirft allerdings immer weitere Fragen auf; was ist bspw. ein TI-Netz?

1 Like

Erstmal Danke für deine Mühe. Ich werde mir das ansehen.
Das TI-Netz kann ich dir beantworten, aber es wird dir wohl auch eher weniger gefallen.
Das TI-Netz ist die Telematik-Infrastruktur in Arztpraxen und ja, dass ist genauso übel wie es klingt.
Das war schon löchrig bevor es an den Start ging und ist es immer noch…und hat zudem noch Windows/Microsoft.

https://www.ccc.de/de/updates/2019/neue-schwachstellen-gesundheitsnetzwerk

https://www.aerztezeitung.de/Wirtschaft/IT-Experten-entdecken-Sicherheitsluecken-im-Konnektor-Anschluss-415639.html

https://media.ccc.de/v/c4.openchaos.2018.07.telematik-und-dsgvo-in-der-artzpraxis

2 Likes

@citizenK4te
Danke für die interessanten Links. Die beiden Folgen des „Streitgesprächs“ der Herren Gerlach & Kelber fand ich aufschlußreich. Die Darstellung der TI in den Artikeln haben mir in der Tat nicht gefallen. Ich bin wieder mal von der Realität erschrocken worden. Aber das zeigt mir, dass eine wachsame Begleitung der Entwicklung absolut notwendig ist.

Dann ließ gerne auch nochmal das: https://www.kuketz-blog.de/digitalisierung-des-gesundheitswesens-datenschutz-ist-was-doc/

Eine wachsame Begleitung ist absolut notwendig, gerade weil Mitarbeiter so schlecht in Datenschutz und IT-
Sicherheit geschult sind und selbst die “Dozenten” meist überhaupt keine Ahnung haben. Traurige Wahrheit.
Mein Arzt kennt nicht den Unterschied zwischen verschlüsseln und anonymisieren. Es ist nicht sein Fachgebiet, umso wichtiger dass sich um die IT gut gekümmert wird, daher wenn noch ein paar Menschen sich schlau machen können, wie das in den Apotheken und Arztpraxen abläuft beim digitalen Impfzertifikat umso besser.

Einfach mal direkt Fragen stellen, denn dann muss man sich damit beschäftigen.

Moin, heute ist ebenfalls ein interessanter Artikel zum digitalen Impfzertifikat erschienen, in dem die meisten der hier genannten Denkanstösse zusammengefasst werden, angereichert mit etwas Hintergrundinfos https://cdnpcf.heise.de/ct1521_impfzertifikat.pdf

Gerade gelesen und auch zum Thema interessant: https://www.dw.com/de/digitaler-impfnachweis-mit-sicherheitslücken/a-58118607

Man muss Prioritäten setzen…schneller Urlaub oder langsamer Impfpass…
und irgendwie entscheiden wir uns immer für das Falsche.

1 Like