Stand: 21.07.2021, App-Version 1.6

Daten­schutz­erklärung CovPassCheck-App

In dieser Datenschutzerklärung erfahren Sie, wie Ihre Daten verarbeitet werden und welche Datenschutzrechte Sie haben, wenn Sie die CovPassCheck-App zur Prüfung von digitalen COVID-Zertifikaten nutzen.

Die digitalen COVID-Zertifikate gelten ab dem 01.07.2021 innerhalb der gesamten Europäischen Union (EU) als Bescheinigung von COVID-19-Impfungen und -Tests sowie der Genesung von einer COVID-19-Erkrankung. Die offizielle Bezeichnung lautet „Digitales COVID-Zertifikat der EU“ (Zertifikat).

Folgende Themen werden in dieser Datenschutzerklärung behandelt:

  1. Wer ist Herausgeber der CovPassCheck-App?
  2. Ist die Nutzung der App freiwillig?
  3. Wofür werden Ihre Daten verarbeitet?
  4. Welche Daten werden verarbeitet?
  5. Auf welcher Rechtsgrundlage werden Ihre Daten verarbeitet?
  6. Welche Berechtigungen benötigt die App?
  7. Wann werden Ihre Daten gelöscht?
  8. An wen werden Ihre Daten weitergegeben?
  9. Welche Datenschutzrechte haben Sie?
  10. Datenschutzbeauftragter und Kontakt

1. Wer ist Herausgeber der CovPassCheck-App?

Diese App wird vom Robert Koch-Institut (RKI) für die deutsche Bundesregierung herausgegeben. Das RKI ist auch dafür verantwortlich, dass Ihre personenbezogenen Daten in Übereinstimmung mit den Vorschriften über den Datenschutz verarbeitet werden.

2. Ist die Nutzung der App freiwillig?

Die Nutzung der App ist freiwillig. Es ist allein Ihre Entscheidung, ob Sie die App installieren und verwenden, um die Gültigkeit von Zertifikaten zu überprüfen. Sie können Impf-, Test-, oder Genesenenzertifikate auch auf andere zulässige Weise prüfen.

3. Wofür werden Ihre Daten verarbeitet?

Die App erlaubt es Ihnen, die Gültigkeit von Zertifikaten von anderen Personen zu prüfen.

Sie können hierfür den auf einem vorgelegten Zertifikat dargestellten QR-Code mit der CovPassCheck-App scannen, um die Gültigkeit des vorgelegten Zertifikats nachzuvollziehen. Der QR-Code enthält eine elektronische Signatur des jeweiligen nationalen Austellers (in Deutschland ist der Austeller das RKI). Die elektronische Signatur wird bei der Erstellung des Zertifikats vom RKI auf Basis der im Zertifikat enthaltenen Daten des Zertifikatsinhabers erzeugt. Bei der Signatur handelt es sich um eine besondere Form der Verschlüsselung, die wie eine elektronische Unterschrift des RKI funktioniert und sicherstellt, dass es sich um ein offiziell vom RKI erstelltes digitales Dokument handelt.

Das RKI stellt zudem die zugehörigen öffentlichen Schlüssel des RKI (sogenannte Public Keys) bereit. Mit diesen öffentlichen Schlüsseln kann geprüft werden, ob die elektronische Signatur des Zertifikats tatsächlich vom RKI stammt und ob das Zertifikat nach der elektronischen Signierung manipuliert worden ist.

Die CovPassCheck-App lädt regelmäßig im Hintergrund die öffentlichen Schlüssel des RKI und speichert diese lokal auf Ihrem Smartphone. So kann die App regelmäßig die Gültigkeit der elektronischen Signatur und damit die Echtheit der gespeicherten Zertifikate überprüfen. Die öffentlichen Schlüssel enthalten keine personenbezogenen Daten.

Die EU-Länder können nunmehr eigene Regeln für die Gültigkeit der Zertifikate erlassen. Beispielsweise können Testzertifikate in einigen EU-Ländern längere Gültigkeit aufweisen als in anderen. Die EU-Länder tauschen diese Regeln über einen gemeinsamen Austausch-Server aus. Die CovPassCheck-App lädt regelmäßig die jeweils aktuellen Regeln aller Mitgliedstaaten vom Serversystem der App herunter.

Die Überprüfung findet ausschließlich offline in der App statt und es werden dabei keine Daten an das RKI oder sonstige Empfänger (andere Gesundheitsbehörden in Deutschland oder anderen Ländern und sonstige Dritte) weitergegeben.

Bitte beachten Sie, dass Sie nur im gesetzlich erlaubten Rahmen befugt sind, sich ein Zertifikat von anderen Personen zur Prüfung vorlegen zu lassen.

Wenn Sie ein Zertifikat scannen und dabei Daten auslesen, sind Sie dabei für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich.

4. Welche Daten werden verarbeitet?

Um die öffentlichen Schlüssel für die Echtheitsprüfung der elektronischen Signatur sowie die aktuellen Regeln für die Gültigkeit der Zertifikate herunterzuladen wird regelmäßig eine Verbindung zu einem Server des RKI aufgebaut. Dabei werden durch den Server technische Zugriffsdaten verarbeitet. Diese umfassen folgende Daten:

  • IP-Adresse
  • Datum und Uhrzeit des Abrufs
  • übertragene Datenmenge (bzw. Paketlänge)
  • Meldung, ob der Datenaustausch erfolgreich war

Diese Zugriffsdaten werden verarbeitet, um die Verbindung und den Datenaustausch zwischen der App und dem Server zu ermöglichen und abzusichern. Sie werden dabei nicht als Nutzer der CovPassCheck-App persönlich identifiziert und es wird kein Nutzungsprofil erstellt. Eine Speicherung der IP-Adresse über das Ende des einzelnen Nutzungsvorgangs hinaus erfolgt nicht.

5. Auf welcher Rechtsgrundlage werden Ihre Daten verarbeitet?

Ihre Daten werden vom RKI nur auf gesetzlicher Grundlage verarbeitet. Die in dieser Datenschutzerklärung beschriebene Verarbeitung Ihrer Zugriffsdaten ist erforderlich, um die Bestätigung der Gültigkeit der Zertifikate technisch umzusetzen. Rechtsgrundlage der Verarbeitung Ihrer Zugriffsdaten ist § 3 BDSG und Art. 6 Abs. 1 lit. e Datenschutz-Grundverordnung (DSGVO).

6. Welche Berechtigungen benötigt die App?

Die CovPassCheck-App benötigt Zugriff auf die Kamera Ihres Smartphones, wenn Sie den QR-Code scannen, um einen Impfnachweis in der App hinzuzufügen. Außerdem benötigt die App eine Internetverbindung, um von dem Serversystem des RKI das aktuelle Schlüsselmaterial herunterladen zu können.

Informationen zu weiteren Berechtigungen, die die App eventuell einholt, finden Sie im Bereich „Häufige Fragen“.

7. Wann werden Ihre Daten gelöscht?

Von Ihnen gescannte QR-Codes sowie die daraus ausgelesenen Informationen werden durch die App nicht dauerhaft auf Ihrem Smartphone gespeichert. Das RKI speichert zudem keine personenbezogenen Daten dauerhaft auf dem Serversystem der App.

8. An wen werden Ihre Daten weitergegeben?

Mit dem Betrieb und der Wartung des Serversystems hat das RKI die KDO Service GmbH (KDO) beauftragt. KDO verarbeitet personenbezogene Daten im Auftrag und auf Weisung des RKI (als sog. Auftragsverarbeiter). Die Gewährleistung der datenschutzrechtlichen Anforderungen ist vertraglich sichergestellt.

9. Welche weiteren Datenschutzrechte haben Sie?

Soweit das RKI personenbezogene Daten von Ihnen verarbeitet, stehen Ihnen folgende Datenschutzrechte zu:

  • die Rechte aus den Artikeln 15, 16, 17, 18 und 21 DSGVO,
  • das Recht, die behördliche Datenschutzbeauftragte des RKI zu kontaktieren und Ihr Anliegen vorzubringen (Art. 38 Abs. 4 DSGVO) und
  • das Recht, sich bei einer Aufsichtsbehörde für den Datenschutz zu beschweren. Dazu können Sie sich entweder an die zuständige Aufsichtsbehörde an Ihrem Wohnort oder an die für des RKI zuständige Behörde wenden. Die zuständige Aufsichtsbehörde für das RKI ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Graurheindorfer Str. 153, 53117 Bonn.

Bitte beachten Sie, dass die vorgenannten Datenschutzrechte durch das RKI nur erfüllt werden können, wenn Daten, auf die sich die geltend gemachten Ansprüche beziehen, dauerhaft verarbeitet werden. Dies wäre nur möglich, wenn die an den RKI-Server übermittelten Daten zu Ihrer Person gespeichert würden. Dies ist für die Zwecke der App nicht erforderlich. Deshalb werden die vorgenannten Datenschutzrechte aus den Artikeln 15, 16, 17, 18 und 21 DSGVO in der Regel ins Leere laufen.

10. Daten­schutz­beauf­tragter und Kontakt

Fragen und Anliegen zum Datenschutz im Zusammenhang mit der CovPassCheck-App können Sie an die behördliche Datenschutzbeauftragte des RKI senden: Robert Koch-Institut, z. H. der Datenschutzbeauftragten, Nordufer 20, 13353 Berlin oder per E-Mail an: datenschutz@rki.de.