Anzeige

digitaler Impfnachweis

Wer gegen das Corona-Virus SARS-CoV-2 geimpft ist, kann seit dem 14. Juni 2021 kostenfrei einen digitalen Impfnachweis erhalten. Dieser bietet Geimpften die Möglichkeit, ihren Impfstatus bequem nachzuweisen, ohne das gelbe Impfheft mit sich zu tragen.

Die digitalen Impfnachweise enthalten neben Informationen zum Impfzeitpunkt und Impfstoff den vollständigen Namen und das Geburtsdatum der Geimpften. Der Impfnachweis wird in Form eines ausgedruckten QR-Codes an dem Ort bereitgestellt, an dem die Impfung verabreicht wurde. Anschließend können die Geimpften den ausgestellten QR-Code mit der CovPass- oder der Corona-Warn-App scannen und als digitalen Impfpass nutzen.
Mit der Einführung des digitalen Impfnachweises atmeten viele Bürger:innen zunächst erleichtert auf. Doch jetzt tauchen die ersten Befürchtungen auf: Wie sicher sind die Daten der Nutzer:innen in den Impfzertifikat-Apps? mediaTest digital hat den Test gemacht und die beiden Impfpass-Apps CovPass und Corona-Warn-App datenschutztechnisch unter die Lupe genommen.

CovPass-App

Die CovPass-App des Robert-Koch-Instituts ist für Android (v 0.160.7) und iOS (v 1.3.0) in den gängigen App Stores kostenlos verfügbar. Mit ihr können geimpfte Bürger:innen bei Bedarf ihren digitalen Impfnachweis vorzeigen. Die Sicherheitsexperten von mediaTest digital konnten erfreulicherweise feststellen, dass die App keine Tracker oder Analyse-Tools zur Untersuchung des Nutzerverhaltens verwendet. Eine Übertragung von Nutzerdaten an Dritte konnten die Prüfer ebenfalls nicht ermitteln – die App baut ausschließlich Verbindungen zum App-Anbieter auf. Eine Man in the Middle-Attacke war erfolgreich, die Anwendung nimmt jedoch ausreichende Gegenmaßnahmen vor. Es besteht somit keine Gefahr des Datenmissbrauchs.
Die Nutzer:innen sollten jedoch vorsichtig mit ihrem QR-Code umgehen und ihn für sich behalten, da jede:r sich die CovPassCheck-App downloaden und diese nutzen kann. Scannt ein:e User:in ein beliebiges Impfzertifikat (QR-Code) mit dieser App, zeigt diese Informationen wie den Vor- und Nachnamen, das Geburtsdatum sowie den Impfstoff und -status der Person hinter dem QR-Code an. Es handelt sich dabei aber nicht um einen Fehler in der App, sondern vielmehr des dahinter stehenden Systems.

Corona-Warn-App

Die offizielle Corona-Warn-App des Robert-Koch-Instituts begleitet deutsche Bürger:innen bereits seit über einem Jahr durch die Pandemie und steht ihnen für Android (v 2.3.4) und iOS (v 2.3.3) in den App Stores zur Verfügung. Sie informiert Nutzer:innen nicht nur über potenzielle Risikobegegnungen und stellt die Funktion eines Kontakttagebuchs und einer Event-Registrierung bereit. Seit kurzem zeigt sie auch den digitalen Impfnachweis an. Die Prüfer konnten feststellen, dass die App erfreulicherweise keine Analyse- und Tracking-Tools nutzt. Weiterhin verarbeitet die Anwendung gesammelte Daten wahrscheinlich nur lokal und übermittelt diese nicht an Dritte. Da den Prüfern während des Testlaufs jedoch nicht die volle Funktionsweise der App zur Verfügung stand (kein QR-Code), handelt es sich dabei zunächst nur um eine Vermutung. Auf Wunsch des Users können Daten verschlüsselt an das Gesundheitsamt gesendet werden, um die zuständigen Mitarbeiter:innen im Falle einer Infektion bei der Nachverfolgung der Kontaktkette zu unterstützen. Es ist nicht absehbar, was mit den gespeicherten Daten passiert, da die jeweiligen Systemhersteller (Apple und Google) die Kernfunktion der Anwendung zur Verfügung stellt.

Das Fazit der Sicherheitsexperten zum digitalen Impfnachweis

Die Datenschützer von mediaTest digital empfehlen die Nutzung der digitalen Impfzertifikate in der CovPass- und der Corona-Warn-App nicht nur aufgrund ihres Nutzens für die Bekämpfung der Pandemie weiter. Auch aus datenschutzrechtlichen Gründen können User:innen sie mit gutem Gewissen nutzen. Bürger:innen sollten ihren ausgehändigten QR-Code jedoch sehr vertraulich behandeln und ihn nicht abfotografieren oder ähnliches, da die Covid-Zertifikate mithilfe der CovPassCheck-App von beliebigen Personen gescannt und ausgelesen werden können.

https://appvisory.com/


Artikel zu diesem Thema

Corona-Warn-App
Jun 14, 2021

Ein Jahr Corona-Warn-App: Vertrauen der Bevölkerung steigt

Ein Jahr nach der Vorstellung der Corona-Warn-App können sich immer mehr Menschen in…
CoronaWarnApp
Mai 29, 2021

QR-Codes und Urlaub mit der Corona-Warn-App

Die Corona-Warn-App der Bundesregierung ist seit mehr als einem Jahr verfügbar.…

Weitere Artikel

Cloud Computing

Eine Frage der Prioritäten: Datenschutz in Cloud-Umgebungen

In Folge der Pandemiebestimmungen scheint sich der Homeoffice-Betrieb zu einer festen organisatorischen Säule in Unternehmen zu etablieren.
Datensicherheit

Immer mehr Meetings: Deshalb ist Datensicherheit wichtig

Zoom, Teams, Skype und Co. – Videokonferenzen sind spätestens seit 2020 integraler Bestandteil des Berufsalltags geworden. Doch bereits vor Ausbruch der Pandemie waren virtuelle Meetings beliebt.
EMail

BIMI-Standard: Entrust kündigt Verfügbarkeit von Verified Mark-Zertifikaten an

Entrust, Anbieter im Bereich vertrauenswürdige Identitäten, Zahlungen und Datenschutz, gibt die allgemeine Verfügbarkeit seiner Verified Mark Zertifikate (VMCs) zur Unterstützung des „Brand Indicators for Message Identification (BIMI)“-Standards für starke…

Privacy by Design einmal ganz konkret

Die DSGVO schreibt Privacy by Design für die Software-Entwicklung vor. Sie ist jedoch bei der Konkretisierung dessen, was Privacy by Design denn nun genau bedeutet, sehr vage.
Datenschutz

Ein Jahr Ende des Privacy Shields – Wie geht es jetzt weiter?

Ein Jahr ist es her, dass der Europäische Gerichtshof den sogenannten EU-US-Privacy Shield (auch EU-US-Datenschutzschild) für ungültig erklärte. Die Absprache war 2016 ausgehandelt worden und diente als Grundlage für den kommerziellen Datenaustausch…
Microsoft Office

Microsoft Office datenschutzkonform nutzen

Es ist kein Geheimnis: Bei der Nutzung von Microsoft Office werden die Daten in der Cloud gespeichert. Das ist wegen US Cloud Act und Schrems-II-Urteil datenschutzrechtlich problematisch. ownCloud erläutert, wie es eingesetzt werden kann, ohne gegen…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.