01.Februar 2022 | Team Datenschutz | Thema: Datenschutz

DS-Covid Check App

Schlagwörter: Covid | Tipps

Covid mal anders? Warum es sinnvoll ist, bei den 2G- und 3G-Prüfenden nach der verwendeten PrüfApp zu fragen.

Schon wieder Covid? PrüfApps unter der Lupe

Wir kennen es mittlerweile alle, wenn wir arbeiten und shoppen gehen oder auch ins Café oder Restaurant wollen: Wir müssen vor dem Zutritt einen Impf-, Genesenen- oder Testnachweis vorlegen.

Ob der vorgelegte digitale Nachweis valide ist, wird dabei in der Regel durch eine/n Prüfende/n im Rahmen einer Echtheitsprüfung des QR-Codes sichergestellt. Zusätzlich muss die Zertifikatskette geprüft werden, d. h. ob das Zertifikat echt ist (also ob der QR-Code aus einer vertrauenswürdigen Quelle stammt und nicht selbst generiert oder gekauft ist).

Das bedeutet, dass eine bloße Sichtung des QR-Codes nicht hinreichend ist. Vielmehr muss zur Prüfung ein „technisches Hilfsmittel“ genutzt werden. Darunter fällt das Gerät (Smartphone, Pad), aber auch die geeignete Prüf-Software. Und damit wird es spannend. Denn es sollte eine ganz bestimmte App zur Prüfung genutzt werden, nämlich die CovPassCheck-App des RKI. Die CovPassCheck-App prüft das Zertifikat sowie die Zertifikatskette und speichert bei der Prüfung keine Daten. Wird mit dieser App geprüft, erhält der Prüfer entweder das Ergebnis „Zertifikat gültig“ oder „Zertifikat nicht gültig“.

Bei anderen Apps wie der CoronaWarnApp und auch der CovPass-App werden die Daten der geprüften Person hingegen gespeichert.

Das ist doppelt schwierig, denn zum einen sind es oft Privatgeräte von Aushilfskräften oder Mitarbeitenden, mit denen die Prüfung durchgeführt wird. Das bedeutet die/der Prüfende hat am Ende des Tages viele, viele Daten von fremden Menschen auf dem Prüfgerät gespeichert, und zum anderen wird keine korrekte, d. h. technische Kontrolle der Validität des QR-Codes durchgeführt. Somit werden eventuell gefälschte Zertifikate gar nicht erkannt. Personen, denen eigentlich der Zutritt verweigert werden müsste, wird Einlass gewährt.

Die zu verwendende PrüfApp ist also die CovPassCheck-App des RKI! Sie ist quasi das Pendant zur CovPass-App, mit der der digitale Nachweis der Betroffenen erbracht wird. Die CovPassCheck-App zeigt grundsätzlich nur an, ob und, wenn ja, welches gültige Zertifikat zum Zeitpunkt der Prüfung eines 3G-Status vorliegt. Eine derartige Prüfung ist daher im Ansatz datensparsamer als eine vollständige Prüfung des Zertifikats.

Was ist also zu tun?

Nun, sind Sie ein Verantwortlicher im Sinne der DSGVO, sollten Sie, sofern Sie Ihren Angestellten und Dienstleistern nicht bereits vorab eindeutige Informationen gegeben haben, überprüfen, mit welcher App Ihre Angestellten die Zutrittskontrolle durchführen. Denn nach Art. 25 DSGVO sind Sie – verkürzt gesagt – verpflichtet, geeignete Maßnahmen umzusetzen, um die Vorgaben der Datenschutzgrundverordnung einzuhalten und so auch die Rechte der Betroffenen zu schützen.

Und als Betroffene/r – und das sind wir ja alle, wenn wir zu Geschäften, Restaurants und Arbeitsstätten Zutritt nehmen möchten – schadet es nicht, vor dem Scannvorgang nachzufragen und sich gegebenenfalls zeigen zu lassen, welche Informationen auf dem Prüfgerät angezeigt werden.

Wird Dir die Zertifikatsgültigkeit angezeigt, ist alles schick. Wenn Dir aber „nur“ Dein eigener QR-Code gezeigt wird, weißt Du, dass die Person gegenüber nun Deine sämtlichen Daten des Impfprozesses gespeichert hat.

Und das sind neben Deinem Namen, Vornamen, Deinem Geburtsdatum und dem Typ des Nachweises insbesondere die folgenden Daten:

  • bei einem Impfnachweis: Impfstoff; Impfstoffhersteller; Anzahl der Impfungen; jeweiliges Datum der einzelnen Impfungen; Land, in dem die jeweilige Impfung erfolgte;
  • bei einem Testnachweis: Art des Tests; Herstellerdaten; Datum der Testdurchführung; Ergebnis des Tests; Testzentrum; Land, in dem die Testung stattfand;
  • bei einem Genesenennachweis: Datum des ersten positiven Tests; Land, in dem der Test durchgeführt wurde.

Das ist ja schon einiges, was fremde Personen dann über einen wissen. Manche mag das Geburtsdatum am meisten stören, aber bei den anderen Nachweis-Daten handelt es sich qua Definition der DSGVO immerhin um Gesundheitsdaten, die besonders schützenswert sind.

Man macht sich natürlich nicht beliebt mit solchen Nachfragen am Einlass; und es mag vorkommen, dass man trotz des Wissens um die Nutzung der „falschen“ App Zutritt nehmen möchte. Aber dann weißt Du zumindest, dass Deine Daten unrechtmäßig gespeichert werden und es besteht die Möglichkeit, den Verantwortlichen zu kontaktieren, um einerseits die Daten löschen zu lassen (wenn man denn den Namen der prüfenden Person erfragt) oder man kann die Aufsichtsbehörde einschalten, die dem Verantwortlichen mal „auf die Füße“ treten und dafür sorgen kann, dass die „richtige“ PrüfApp genutzt wird.

In diesem Sinne wünschen wir Euch achtsamen Zutritt!