Datenschutzerklärung

Stand: 16.07.2021, App-Version 1.6

Daten­schutz­erklärung CovPass-App

In dieser Datenschutzerklärung erfahren Sie, wie Ihre Daten verarbeitet werden und welche Datenschutzrechte Sie haben, wenn Sie die CovPass-App zur Verwaltung der Nachweise in Form der digitalen COVID-Zertifikate zu Corona-Impfungen, negativen Corona-Testergebnissen oder durchgemachten Corona-Erkrankungen nutzen.

Bitte beachten Sie auch die Datenschutzhinweise, die Sie bei der Ausgabe eines digitalen COVID-Zertifikats (z. B. im Impf-/Testzentrum, in der ärztlichen Praxis oder in der Apotheke) bekommen.

Folgende Themen werden in dieser Datenschutzerklärung behandelt:

  1. Wer ist Herausgeber der CovPass-App?
  2. Was ist das digitale COVID-Zertifikat?
  3. Ist die Nutzung der App freiwillig?
  4. Wofür werden Ihre Daten verarbeitet?
  5. Welche Daten werden verarbeitet?
  6. Auf welcher Rechtsgrundlage werden Ihre Daten verarbeitet?
  7. Welche Berechtigungen benötigt die App?
  8. Wann werden Ihre Daten gelöscht?
  9. An wen werden Ihre personenbezogenen Daten weitergegeben?
  10. Welche Datenschutzrechte haben Sie?
  11. Datenschutzbeauftragte und Kontakt

Sie haben Fragen zur CovPass-App? Antworten auf viele häufige Fragen finden Sie auf der offiziellen CovPass-Website des RKI (www.digitaler-impfnachweis-app.de/faq).

1. Wer ist Herausgeber der CovPass-App?

Diese App wird vom Robert Koch-Institut (RKI) für die deutsche Bundesregierung herausgegeben. Das RKI ist auch dafür verantwortlich, dass Ihre personenbezogenen Daten in Übereinstimmung mit den Vorschriften über den Datenschutz verarbeitet werden.

2. Was ist das digitale COVID-Zertifikat?

Das digitale COVID-Zertifikat ist ein Nachweis dafür, dass eine Person

  • eine Schutzimpfung gegen COVID-19 erhalten hat (Impfzertifikat),
  • negativ auf COVID-19 getestet wurde (Testzertifikat) oder
  • von einer COVID-19-Erkrankung genesen ist (Genesenenzertifikat).

Die digitalen COVID-Zertifikate gelten ab dem 01.07.2021 innerhalb der gesamten Europäischen Union (EU) als Bescheinigung von COVID-19-Impfungen und -Tests sowie der Genesung von einer COVID-19-Erkrankung. Die offizielle Bezeichnung lautet „Digitales COVID-Zertifikat der EU“ (Zertifikat).

Ein Zertifikat erhalten Sie auf Wunsch nach einer Impfung, einem Test oder nach einer durchgemachten COVID-19-Erkrankung von einer zuständigen Einrichtung (Impfzentren, Teststellen, Praxen oder Apotheken).

Sie können das Zertifikat in Papierform oder in elektronischer Form auf Ihrem Smartphone bei sich führen. Jedes Zertifikat enthält einen QR-Code mit einer elektronischen Signatur des RKI zum Schutz vor Fälschungen. Wenn Sie ein Zertifikat auf Ihrem Smartphone speichern möchten, können Sie den QR-Code einfach mit der CovPass-App einscannen. Die App speichert dann eine elektronische Version des Zertifikats sicher auf Ihrem Smartphone.

Weitere Informationen zur Funktionsweise des Zertifikats erhalten Sie auf folgenden Websites:

Bitte beachten Sie, dass die QR-Codes der Zertifikate Gesundheitsdaten (Daten über Corona-Impfungen, Corona-Testergebnisse oder durchgemachte Corona-Erkrankungen) enthalten. Zeigen Sie die Zertifikate und QR-Codes nur vor, wenn Sie einen entsprechenden Nachweis erbringen möchten. Stellen Sie die QR-Codes niemandem zur Verfügung, wenn Sie nicht wollen, dass die Daten ausgelesen werden. Um einen ungewollten Zugriff auf die auf Ihrem Smartphone gespeicherten Zertifikate zu verhindern, sollten Sie auf dem Gerät eine Codesperre einrichten.

3. Ist die Nutzung der App freiwillig?

Ja, die Nutzung der App ist freiwillig. Jedes Zertifikat kann auch in Papierform als Nachweis für eine Impfung, einen Test oder die Genesung verwendet werden. Nachteile entstehen Ihnen dabei nicht, da die Papierversion und die elektronische Version des Zertifikats gleichwertig sind. Sie können jederzeit entscheiden, ob Sie den QR-Code einscannen und das Zertifikat in der App speichern möchten. Ebenso können Sie das Zertifikat jederzeit aus der App löschen.

4. Wofür werden Ihre Daten verarbeitet?

Das RKI verarbeitet kurzfristig die notwendigen personenbezogenen Daten von Zertifikatsinhabern zur technischen Erstellung und Signierung des gewünschten Zertifikats (§ 22 Abs. 5 bis 7 Infektionsschutzgesetz). Nachdem die technische Erstellung des Zertifikats abgeschlossen ist, werden die personenbezogenen Daten beim RKI sofort wieder gelöscht. Es gibt kein zentralverwaltetes Impf- oder Zertifikatsregister.

Mit der CovPass-App können Sie ausgedruckte eigene Zertifikate und Zertifikate von Familienmitgliedern scannen und verschlüsselt auf Ihrem Smartphone speichern.

Um in den gesetzlich vorgesehenen Fällen gegenüber Dritten eine Impfung, ein negatives Testergebnis oder eine durchgemachte COVID-19-Erkrankung nachzuweisen, können Sie das entsprechende Zertifikat der prüfenden Person vorzeigen. Wenn die prüfende Person eine spezielle Prüf-Anwendung (etwa die CovPassCheck-App des RKI) nutzt, genügt es den QR-Code des Zertifikats vorzuzeigen und scannen zu lassen. Tippen Sie hierfür die Schaltfläche „Aktuellen QR-Code anzeigen“ an. In dieser Darstellung werden der QR-Code, Name, Geburtsdatum und die Art des Zertifikats dargestellt. Zudem können Sie eine spezielle Ansicht in der App auswählen, in der nur noch der isolierte QR-Code ohne die weiteren Angaben angezeigt wird (tippen Sie hierfür die Schaltfläche „QR-Code anzeigen“ in der Detailansicht eines Zertifikats an). Der QR-Code stellt das Zertifikat in digitaler Form dar und enthält ausschließlich die für die jeweilige Art des Zertifikats notwendigen Informationen (siehe Abschnitt 5).

Mit der Prüf-Anwendung kann der QR-Code beispielsweise von Behörden, Reiseunternehmen und anderen Dienstleistern in der EU gescannt werden, um die Gültigkeit des vorgezeigten Zertifikats zu überprüfen. Bei der Prüfung werden die im Zertifikat enthaltenen Daten ausgelesen. In der Prüf-Anwendung wird nur angezeigt, ob das vorgelegte Zertifikat gültig ist. Im Falle eines gültigen Zertifikats wird zusätzlich der Name und das Geburtsdatum des Zertifikatsinhabers mitgeteilt und ob es sich um ein Testzertifikat handelt oder nicht. Bei Testzertifikaten wird zudem der Zeitpunkt der Probenahme angezeigt.

Der Name und das Geburtsdatum des Zertifikatsinhabers werden angezeigt, damit die prüfende Person diese Angaben mit einem Identitätsnachweis (z. B. Reisepass oder Personalausweis) abgleichen kann. Die Mitteilung, ob es sich um ein Testzertifikat handelt und der Zeitpunkt der Probenahme sind erforderlich, damit die prüfende Person beurteilen kann, ob das dem Zertifikat zugrunde liegende Testergebnis noch gültig ist.

Zum Schutz vor Fälschungen muss die Echtheit der gespeicherten Zertifikate überprüft werden. Hierzu wird die im QR-Code eines Zertifikats enthaltene elektronische Signatur verwendet. Die elektronische Signatur wird bei der Erstellung des Zertifikats vom RKI auf Basis der im Zertifikat enthaltenen Daten (siehe Abschnitt 5) erzeugt. Bei der Signatur handelt es sich um eine besondere Form der Verschlüsselung, die wie eine elektronische Unterschrift des RKI funktioniert und sicherstellt, dass es sich um ein offiziell vom RKI erstelltes digitales Dokument handelt.

Das RKI stellt zudem die zugehörigen öffentlichen Schlüssel des RKI (sogenannte Public Keys) bereit. Mit diesen öffentlichen Schlüsseln kann geprüft werden, ob die elektronische Signatur des Zertifikats tatsächlich vom RKI stammt und ob das Zertifikat nach der elektronischen Signierung manipuliert worden ist.

Die CovPass-App lädt regelmäßig im Hintergrund die öffentlichen Schlüssel des RKI und speichert diese lokal auf Ihrem Smartphone. So kann die App regelmäßig die Gültigkeit der elektronischen Signatur und damit die Echtheit der gespeicherten Zertifikate überprüfen. Die öffentlichen Schlüssel enthalten keine personenbezogenen Daten.

Sie können mit der App die Gültigkeit der in der App gespeicherten Zertifikate prüfen. Die EU-Länder können eigene Regeln für die Gültigkeit der Zertifikate erlassen. Beispielsweise können Testzertifikate in einigen EU-Ländern längere Gültigkeit aufweisen als in anderen. Die EU-Länder tauschen diese Regeln über einen gemeinsamen Austausch-Server aus. Vor dem Antritt einer Reise können Sie daher mit der App die Gültigkeit der Zertifikate im Reiseland überprüfen.

Wenn Sie die Gültigkeit eines Zertifikats überprüfen möchten, lädt Ihre App die jeweils aktuellen Regeln aller Mitgliedstaaten vom Serversystem der App herunter. Die App überprüft dann anhand der in einem Zertifikat enthaltenen Daten, ob das Zertifikat den Regeln entspricht und zeigt Ihnen das entsprechende Ergebnis an. Die Überprüfung findet ausschließlich offline in der App statt und es werden dabei keine Daten an das RKI oder sonstige Empfänger (andere Gesundheitsbehörden in Deutschland oder anderen Ländern und sonstige Dritte) weitergegeben.

Bitte beachten Sie, dass sich die Einreiseregeln ändern können und sowohl im Reiseland als auch bei der Rückkehr weitere Regeln gelten können. Hinweise auf die Einreisebestimmungen finden Sie auch auf dieser Website der EU: https://reopen.europa.eu/de.

5. Welche Daten werden verarbeitet?

a. Zertifikatsdaten

Die Zertifikate enthalten Gesundheitsdaten und werden in einem gesicherten Bereich auf Ihrem Smartphone gespeichert. Folgende Daten sind in den Zertifikaten enthalten:

  • Daten zum Zertifikatsinhaber (Name, Vorname, Geburtsdatum)
  • Art des Zertifikats (Impfzertifikat, Testzertifikat, Genesenen-Zertifikat),
  • die notwendigen Informationen zur Impfung, dem Test oder der Genesung. Welche Informationen dies im Einzelnen sind, können Sie vollständig den Angaben auf dem jeweiligen Zertifikat (in deutscher und englischer Sprache) entnehmen. Weitere Informationen als die auf dem jeweiligen Zertifikat enthaltenen Angaben werden nicht gespeichert,
  • die elektronische Signatur des RKI und
  • einen QR-Code, der die zuvor genannten Daten in kodierter Form enthält.

Diese Daten werden in der App gespeichert, sobald Sie den QR-Code auf dem ausgedruckten Zertifikat scannen. Diese Daten wurden zuvor von der Stelle, die das Zertifikat ausgegeben hat, erhoben und zur Signierung des Zertifikats an das RKI übermittelt.

b. Zugriffsdaten

Um den öffentlichen Schlüssel des RKI für die Echtheitsprüfung der elektronischen Signatur oder die aktuellen Regeln der Mitgliedstaaten für die Gültigkeit der Zertifikate herunterzuladen wird eine Verbindung zu einem Server des RKI aufgebaut. Dabei werden durch den Server technische Zugriffsdaten verarbeitet. Diese umfassen folgende Daten:

  • IP-Adresse
  • Datum und Uhrzeit des Abrufs
  • übertragene Datenmenge (bzw. Paketlänge)
  • Meldung, ob der Datenaustausch erfolgreich war

Diese Zugriffsdaten werden verarbeitet, um die Verbindung und den Datenaustausch zwischen der App und dem Server zu ermöglichen und abzusichern. Sie werden dabei nicht als Nutzer der App persönlich identifiziert und es wird kein Nutzungsprofil erstellt. Eine Speicherung der IP-Adresse über das Ende des einzelnen Nutzungsvorgangs hinaus erfolgt nicht.

6. Auf welcher Rechtsgrundlage werden Ihre Daten verarbeitet?

Bei der Erstellung verarbeitet das RKI die oben unter Abschnitt 5 a. genannten Zertifikatsdaten auf gesetzlicher Grundlage. Die Rechtsgrundlage ist jeweils Art. 6 Abs. 1 lit. c, Art. 9 Abs. 2 lit. g Datenschutz-Grundverordnung (DSGVO) in Verbindung mit

  • § 22 Abs. 5 Infektionsschutzgesetz (Impfzertifikat),
  • § 22 Abs. 6 Infektionsschutzgesetz (Genesenenzertifikat) oder
  • § 22 Abs. 7 Infektionsschutzgesetz (Testzertifikat).

Die EU erarbeitet derzeit eine europarechtliche Grundlage zum Zertifikat, in der die Datenverarbeitung für die Erstellung und elektronischen Signierung für alle EU-Länder einheitlich geregelt wird. Das RKI behält sich vor, die Datenverarbeitung zukünftig auf Grundlage dieser Regelung durchzuführen.

Die Rechtsgrundlage für die Verarbeitung der oben unter Abschnitt 5 b. genannten Zugriffsdaten ist § 3 Bundesdatenschutzgesetz und Art. 6 Abs. 1 lit. e DSGVO.

7. Welche Berechtigungen benötigt die App?

Die CovPass-App benötigt Zugriff auf die Kamera Ihres Smartphones, wenn Sie den QR-Code scannen, um einen Impfnachweis in der App hinzuzufügen. Außerdem benötigt die App eine Internetverbindung, um von dem Serversystem des RKI das aktuelle Schlüsselmaterial herunterladen zu können. Informationen zu weiteren Berechtigungen, die die App eventuell einholt, finden Sie im Bereich „Häufige Fragen“.

8. Wann werden Ihre Daten gelöscht?

Die Zertifikate werden nur in der App auf Ihrem Smartphone gespeichert. In Ihrer App werden die Zertifikate nicht automatisch gelöscht. Wenn Sie die Löschung wünschen, können Sie das betreffende Zertifikate jederzeit selbst aus der App entfernen oder die App löschen. Um das Zertifikat später wieder hinzuzufügen, müssen Sie den QR-Code des ausgedruckten Zertifikats erneut scannen.

Das RKI speichert keine personenbezogenen Daten zu den Zertifikaten dauerhaft auf dem Serversystem. Unmittelbar nach der Bereitstellung des signierten Zertifikats an die ausgebende Einrichtung werden die Daten beim RKI unwiderruflich gelöscht.

9. An wen werden Ihre personenbezogenen Daten weitergegeben?

Mit dem Betrieb und der Wartung des Serversystems hat das RKI die KDO Service GmbH (KDO) beauftragt. KDO verarbeitet personenbezogene Daten im Auftrag und auf Weisung des RKI (als sog. Auftragsverarbeiter). Die Gewährleistung der datenschutzrechtlichen Anforderungen ist vertraglich sichergestellt.

Wenn Sie anderen Personen oder Einrichtungen in den gesetzlich vorgesehenen Situationen (beispielsweise europäische Grenzbehörden oder Dienstleister) ein Zertifikat vorzeigen, erlangen diese Kenntnis über alle im Zertifikat enthaltenen Daten.

Dies können Sie verhindern, indem Sie nur den QR-Code in der App anzeigen lassen, sodass dieser mit einer Prüf-Anwendung gescannt werden kann. Dann werden die im QR-Code enthaltenen Daten ausgelesen. In der Prüf-Anwendung wird dabei aber nur angezeigt, ob das vorgezeigte Zertifikat gültig ist sowie eine Erläuterung des Ergebnisses. Im Falle eines gültigen Zertifikats werden zusätzlich der Name und das Geburtsdatum des Zertifikatsinhabers in der Prüf-Anwendung angezeigt, damit die prüfende Person diese Angaben mit einem Identitätsnachweis (z. B. Reisepass oder Personalausweis) abgleichen kann. Zusätzlich wird angezeigt, ob es sich um ein Testzertifikat handelt oder nicht. Bei Testzertifikaten wird dann auch der Zeitpunkt der Probenahme angezeigt, damit die prüfende Person beurteilen kann, ob das zugrunde liegende Testergebnis noch gültig ist.

In der Prüf-Anwendung werden die angezeigten Daten nur kurzzeitig verarbeitet. Nach Abschluss der Prüfung werden die angezeigten Daten verworfen, d. h. es erfolgt keine dauerhafte Speicherung der ausgelesenen Daten.

10. Welche Datenschutz­rechte haben Sie?

Soweit das RKI personenbezogene Daten von Ihnen verarbeitet, stehen Ihnen folgende Datenschutzrechte zu:

  • die Rechte aus den Artikeln 15, 16, 17, 18 und 21 DSGVO,
  • das Recht, die behördliche Datenschutzbeauftragte des RKI zu kontaktieren und Ihr Anliegen vorzubringen (Art. 38 Abs. 4 DSGVO) und
  • das Recht, sich bei einer Aufsichtsbehörde für den Datenschutz zu beschweren. Dazu können Sie sich beispielsweise an die zuständige Aufsichtsbehörde an Ihrem Wohnort oder an die für des RKI zuständige Behörde wenden. Die zuständige Aufsichtsbehörde für das RKI ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Graurheindorfer Str. 153, 53117 Bonn.

Bitte beachten Sie, dass die vorgenannten Datenschutzrechte durch das RKI nur erfüllt werden können, wenn Daten, auf die sich die geltend gemachten Ansprüche beziehen, dauerhaft verarbeitet werden. Dies wäre nur möglich, wenn die an den RKI-Server übermittelten Daten zu Ihrer Person gespeichert würden. Dies ist für die Zwecke der App nicht erforderlich. Deshalb werden die vorgenannten Datenschutzrechte aus den Artikeln 15, 16, 17, 18 und 21 DSGVO in der Regel ins Leere laufen.

11. Datenschutz­beauftragter und Kontakt

Fragen und Anliegen zum Datenschutz im Zusammenhang mit der CovPass-App können Sie an die behördliche Datenschutzbeauftragte des RKI senden: Robert Koch-Institut, z. H. der Datenschutzbeauftragten, Nordufer 20, 13353 Berlin oder per E-Mail an: datenschutz@rki.de.