Datenschutzerklärung

Stand: 19.07.2022, App-Version 1.28

Daten­schutz­erklärung CovPassCheck-App

In dieser Datenschutzerklärung erfahren Sie, wie Ihre Daten verarbeitet werden und welche Datenschutzrechte Sie haben, wenn Sie die CovPassCheck-App zur Prüfung von digitalen COVID-Zertifikaten nutzen.

Die digitalen COVID-Zertifikate gelten seit dem 01.07.2021 innerhalb der gesamten Europäischen Union (EU) als Bescheinigung von COVID-19-Impfungen und -Tests sowie der Genesung von einer COVID-19-Erkrankung. Die offizielle Bezeichnung lautet „Digitales COVID-Zertifikat der EU” (Zertifikat).

Folgende Themen werden in dieser Datenschutzerklärung behandelt:

  1. Wer ist Herausgeber der CovPassCheck-App?
  2. Ist die Nutzung der App freiwillig?
  3. Wofür werden Ihre Daten verarbeitet?
  4. Welche Daten werden verarbeitet?
  5. Auf welcher Rechtsgrundlage werden Ihre Daten verarbeitet?
  6. Welche Berechtigungen benötigt die App?
  7. Wann werden Ihre Daten gelöscht?
  8. An wen werden Ihre Daten weitergegeben?
  9. Welche Datenschutzrechte haben Sie?
  10. Datenschutzbeauftragte und Kontakt

1. Wer ist Herausgeber der CovPassCheck-App?

Diese App wird vom Robert Koch-Institut (RKI) für die deutsche Bundesregierung herausgegeben. Das RKI ist auch dafür verantwortlich, dass Ihre personenbezogenen Daten in Übereinstimmung mit den Vorschriften über den Datenschutz verarbeitet werden.

2. Ist die Nutzung der App freiwillig?

Die Nutzung der App ist freiwillig. Sie können Impf-, Test-, oder Genesenenzertifikate auch auf andere zulässige Weise prüfen.

3. Wofür werden Ihre Daten verarbeitet?

Die App erlaubt es Ihnen, die Gültigkeit von Zertifikaten von anderen Personen zu prüfen.

Sie können hierfür den auf einem vorgelegten Zertifikat dargestellten QR-Code mit der CovPassCheck-App scannen, um die Gültigkeit des vorgelegten Zertifikats nachzuvollziehen. Der QR-Code enthält eine elektronische Signatur des jeweiligen nationalen Austellers (in Deutschland ist der Austeller das RKI). Die elektronische Signatur wird bei der Erstellung des Zertifikats vom RKI auf Basis der im Zertifikat enthaltenen Daten des Zertifikatsinhabers erzeugt. Bei der Signatur handelt es sich um eine besondere Form der Verschlüsselung, die wie eine elektronische Unterschrift des RKI funktioniert und sicherstellt, dass es sich um ein offiziell vom RKI erstelltes digitales Dokument handelt.

Das RKI stellt die zugehörigen öffentlichen Schlüssel des RKI (sogenannte Public Keys) sowie Listen mit gesperrten Zertifikaten bereit. Mit diesen öffentlichen Schlüsseln und Zertifikatssperrlisten kann geprüft werden, ob die elektronische Signatur des Zertifikats tatsächlich vom RKI stammt und ob das Zertifikat nach der elektronischen Signierung manipuliert oder gesperrt worden ist.

Die CovPassCheck-App lädt regelmäßig im Hintergrund die öffentlichen Schlüssel des RKI und Zertifikatssperrlisten und speichert diese lokal auf Ihrem Smartphone. So kann die App regelmäßig die Gültigkeit der geprüften Zertifikate überprüfen. Die öffentlichen Schlüssel enthalten keine personenbezogenen Daten. Die Zertifikatssperrlisten enthalten zu einem gesperrten Zertifikat lediglich eine Sperrkennung in Form einer speziellen Einwegverschlüsselung (sog. Hash-Wert). Aus der Sperrkennung kann nicht auf die Zertifikatsdaten oder andere Angaben zu einer bestimmten Person geschlossen werden.

Um Datums-Manipulationen bei zu prüfenden Zertifikaten erkennen zu können, wird die im Smartphone eingestellte Datum und die Uhrzeit mit der Angabe der Echtzeit eines frei verfügbaren Zeitservers abgeglichen.

Die EU-Länder können eigene Regeln für die Gültigkeit der Zertifikate erlassen. Beispielsweise können Testzertifikate in einigen EU-Ländern längere Gültigkeit aufweisen als in anderen. Die EU-Länder tauschen diese Regeln sowie ihre nationalen Zertifikatssperrlisten über einen gemeinsamen Austausch-Server aus. Die CovPassCheck-App lädt regelmäßig die jeweils aktuellen Regeln und Zertifikatssperrlisten aller Mitgliedstaaten vom Serversystem der App herunter.

Die Überprüfung findet ausschließlich offline in der App statt und es werden dabei keine Daten an das RKI oder sonstige Empfänger (andere Gesundheitsbehörden in Deutschland oder anderen Ländern und sonstige Dritte) weitergegeben.

Bitte beachten Sie, dass Sie nur im gesetzlich erlaubten Rahmen befugt sind, sich ein Zertifikat von anderen Personen zur Prüfung vorlegen zu lassen.
Wenn Sie ein Zertifikat scannen und dabei Daten auslesen, sind Sie dabei für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich.

4. Welche Daten werden verarbeitet?

Um die öffentlichen Schlüssel für die Echtheitsprüfung der elektronischen Signatur sowie die aktuellen Regeln für die Gültigkeit der Zertifikate herunterzuladen wird regelmäßig eine Verbindung zu einem Server des RKI aufgebaut. Dabei werden durch den Server technische Zugriffsdaten verarbeitet. Diese umfassen folgende Daten:

  • IP-Adresse
  • Datum und Uhrzeit des Abrufs
  • übertragene Datenmenge (bzw. Paketlänge)
  • Meldung, ob der Datenaustausch erfolgreich war

Diese Zugriffsdaten werden verarbeitet, um die Verbindung und den Datenaustausch zwischen der App und dem Server zu ermöglichen und abzusichern. Sie werden dabei nicht als Nutzer der CovPassCheck-App persönlich identifiziert und es wird kein Nutzungsprofil erstellt. Eine Speicherung der IP-Adresse über das Ende des einzelnen Nutzungsvorgangs hinaus erfolgt nicht.
Zugriffsdaten werden außerdem beim Abgleich des Datums und der Uhrzeit mit dem Zeitserver verarbeitet.

5. Auf welcher Rechtsgrundlage werden Ihre Daten verarbeitet?

Ihre Daten werden vom RKI nur auf gesetzlicher Grundlage verarbeitet. Die in dieser Datenschutzerklärung beschriebene Verarbeitung Ihrer Zugriffsdaten ist erforderlich, um die Bestätigung der Gültigkeit der Zertifikate technisch umzusetzen. Rechtsgrundlage der Verarbeitung Ihrer Zugriffsdaten ist § 3 BDSG und Art. 6 Abs. 1 lit. e Datenschutz-Grundverordnung (DSGVO).

6. Welche Berechtigungen benötigt die App?

Die CovPassCheck-App benötigt Zugriff auf die Kamera Ihres Smartphones, wenn Sie den QR-Code scannen, um einen Impfnachweis in der App hinzuzufügen. Außerdem benötigt die App eine Internetverbindung, um von dem Serversystem des RKI das aktuelle Schlüsselmaterial herunterladen zu können.

Informationen zu weiteren Berechtigungen, die die App eventuell einholt, finden Sie im Bereich „Häufige Fragen”.

7. Wann werden Ihre Daten gelöscht?

Von Ihnen gescannte QR-Codes sowie die daraus ausgelesenen Informationen werden durch die App nicht dauerhaft auf Ihrem Smartphone gespeichert. Das RKI speichert zudem keine personenbezogenen Daten dauerhaft auf dem Serversystem der App.

8. An wen werden Ihre Daten weitergegeben?

Mit dem Betrieb und der Wartung des Serversystems hat das RKI die KDO Service GmbH (KDO) beauftragt. KDO verarbeitet personenbezogene Daten im Auftrag und auf Weisung des RKI (als sog. Auftragsverarbeiter). Die Gewährleistung der datenschutzrechtlichen Anforderungen ist vertraglich sichergestellt.

Um die korrekte Zeiteinstellung sicherzustellen, wird die aktuelle Zeit von einem frei verfügbaren, zufällig gewählten Zeitserver aus dem NTP Pool Projekt bezogen (Region de.pool.ntp.org). Hierbei werden kurzzeitig Zugriffsdaten verarbeitet.

9. Welche weiteren Datenschutzrechte haben Sie?

Soweit das RKI personenbezogene Daten von Ihnen verarbeitet, stehen Ihnen folgende Datenschutzrechte zu:

  • die Rechte aus den Artikeln 15, 16, 17, 18 und 21 DSGVO,
  • das Recht, die behördliche Datenschutzbeauftragte des RKI zu kontaktieren und Ihr Anliegen vorzubringen (Art. 38 Abs. 4 DSGVO) und
  • das Recht, sich bei einer Aufsichtsbehörde für den Datenschutz zu beschweren. Dazu können Sie sich beispielsweise an die zuständige Aufsichtsbehörde an Ihrem Wohnort oder an die für des RKI zuständige Behörde wenden. Die zuständige Aufsichtsbehörde für das RKI ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Graurheindorfer Str. 153, 53117 Bonn.

Bitte beachten Sie, dass die vorgenannten Datenschutzrechte durch das RKI nur erfüllt werden können, wenn Daten, auf die sich die geltend gemachten Ansprüche beziehen, dauerhaft verarbeitet werden. Dies wäre nur möglich, wenn die an den RKI-Server übermittelten Daten zu Ihrer Person gespeichert würden. Dies ist für die Zwecke der App nicht erforderlich. Deshalb werden die vorgenannten Datenschutzrechte aus den Artikeln 15, 16, 17, 18 und 21 DSGVO in der Regel ins Leere laufen.

10. Daten­schutz­beauf­tragter und Kontakt

Fragen und Anliegen zum Datenschutz im Zusammenhang mit der CovPassCheck-App können Sie an die behördliche Datenschutzbeauftragte des RKI senden: Robert Koch-Institut, z. H. der Datenschutzbeauftragten, Nordufer 20, 13353 Berlin oder per E-Mail an: datenschutz@rki.de.