Mike Kuketz
11. Juni 2021 | 18:30 Uhr

Corona-Impfnachweis: Lieber per App oder analog per Impfass/QR-Code?

Ab Montag (14. Juni) soll es in ausgewählten Apotheken das sog. Corona-Impfzertifikat geben. Hausärzte folgen frühestens Ende Juni und Impfzentren nach und nach. Aber was ist dieser digitale Impfnachweis eigentlich, den man sich ausstellen lassen kann?

Der digitale Impfnachweis ist eine zusätzliche Möglichkeit, um Corona-Impfungen zu dokumentieren. Geimpfte sollen damit Informationen wie Impfzeitpunkt und Impfstoff künftig auch personalisiert bequem auf ihren Smartphones digital speichern können. Zukünftig lassen sich auf dem Smartphone auch Nachweise über die Genesung von einer Corona-Infektion oder über einen negativen Corona-Test anzeigen.

Quelle: Allgemeine Fragen CovPass-App RKI.

Soweit ich das verstanden habe, funktioniert das nun so: Die Apotheke kontrolliert den Impfnachweis, den man in Papierform (gelber Impfpass) mitbringt und den Personalausweis. Die folgenden Daten werden dann von der Apotheke erhoben und an das RKI übermittelt:

  • Name
  • Vorname
  • Geburtsdatum
  • Krankheit (gegen die geimpft wird)
  • Impfstoff
  • Produkt
  • Hersteller
  • Dosennummer
  • Gesamtdosen
  • Impfdatum
  • Land

Das RKI signiert diese Daten, erzeugt einen QR-Code und übermittelt diesen dann wieder an die Apotheke. Laut RKI werden die Daten nach der Ausstellung wieder gelöscht und sind später nur noch lokal auf dem Smartphone bzw. in Papierform als QR-Code existent.

Fälschungssicher ist der Vorgang allerdings nicht. Das liegt insbesondere am gelben Impfpass. Niemand kann mit Sicherheit sagen, ob dieser tatsächlich demjenigen gehört, der sich einen QR-Code generieren lassen möchte.

Aber nochmal zurück zum QR-Code, den das RKI ausgestellt hat. Dieser wird dann wohl von der Apotheke ausgedruckt und stellt das Corona-Impfzertifikat dar. Um anschließend den eigenen Impfstatus nachzuweisen, hat man folgende Möglichkeiten:

  • Digital: Überführung des QR-Codes (mittels Smartphone-Kamera) in die CovPass-App des RKI, die ausschließlich für Android uns iOS verfügbar ist. Es handelt sich um eine quelloffene Lösung, die ohne Internetanbindung auskommt und nur für diesen Zweck entwickelt wurde. Der Quellcode ist allerdings bis dato noch nicht einsehbar.
  • Digital: Überführung des QR-Codes (mittels Smartphone-Kamera) in die Corona-Warn-App des RKI, die ausschließlich für Android uns iOS verfügbar ist. Es handelt sich um eine quelloffene Lösung, deren Hauptfunktionalität in der Kontaktverfolgung liegt. Die App soll den Benutzer alarmieren, wenn wahrscheinlich ist, dass er in gefährdendem Umfang Kontakt mit einer infektiösen Person hatte. Hinweis: Für Android wird inoffiziell eine App-Variante (Corona Contact Tracing Germany) angeboten, die ohne Abhängigkeiten zu Google auskommt und sich auf googlefreien Geräten installierten bzw. nutzen lässt.
  • Analog: Das ausgedruckte Corona-Impfzertifikat bzw. der darauf befindliche QR-Code kann bei Bedarf ebenfalls vorgezeigt werden.
  • Analog: Wer keine Lust hat, sich ein Corona-Impfzertifikat zu besorgen oder einen QR-Code zu benutzen, der kann auch weiterhin einfach sein gelbes Impfheft nutzen, da dieser weiterhin als Impfnachweis seine Gültigkeit behält.

Die digitale Variante ist so gesehen reine Bequemlichkeit, weil man sein Smartphone ja sowieso »immer dabei hat«. Es genügt allerdings auch, einfach den ausgedruckten QR-Code in den Geldbeutel zu legen. Der ist schließlich auch fast immer dabei. Egal für welche Variante man sich entscheidet: Der Nachweis ist nur in Verbindung mit dem Personalausweis gültig – den in der Praxis aber (vermutlich) niemand kontrollieren wird.

Und nun? Abgesehen von der Fälschungsmöglichkeit (die es aber immer in irgendeiner Art geben wird), stellt sich nun die Frage, welche Variante man bevorzugen sollte. Das muss letztendlich jeder für sich selbst entscheiden. Aktuell bin ich mir noch unschlüssig. Das liegt insbesondere an der Prüfung des QR-Codes durch sog. Scanner-Apps. Irgendwie muss ein Veranstalter ja prüfen, ob jemand bereits geimpft ist oder einen anderen Nachweis (bspw. negativer Test) vorlegen muss, um Einlass zu erhalten. Diese Scanner-Apps sind in meinen Augen das große Fragezeichen. Im Grunde sollen diese ja nur signalisieren, ob jemand bereits geimpft ist oder eben nicht. Das erfolgt mit einem grünen oder eben roten Licht nach dem Scan. Was passiert aber nun, wenn jemand die Scanner-Apps modifiziert? Welche Daten wären aus dem QR-Code auslesbar? Es wäre zu prüfen, wie hoch hier das Missbrauchspotenzial sein kann.

Es geht also, wie fast immer in der IT bzw. wenn etwas digitalisiert wird, um Vertrauen. Der Apotheker muss darauf vertrauen, dass der gelbe Impfass zur Person gehört, die sich ausweist. Als Geimpfter muss man darauf vertrauen, dass die Apotheke die personenbezogenen Daten sicher an das RKI übermittelt, das RKI diese nicht dauerhaft speichert und sofort wieder »vergisst«, sobald der QR-Code übermittelt wurde. Und letztendlich muss man als Geimpfter wiederum vertrauen, dass ein Veranstalter nur jene Informationen aus dem QR-Code ausliest, die tatsächlich relevant sind. Also: Geimpft bzw. ungeimpft.

Das ist eine Vertrauenskette, die aufgrund der Digitalisierung entsteht. So gesehen bleibe ich vorerst bei meinem »gelben Lappen«. ;-)

Du kannst den Blog aktiv unterstützen! Mitmachen ➡
Ähnliche Beiträge
Microblog
18. Juni 2021

Digitaler Impfausweis: Einfache QR-App reicht aus

Bereits im Beitrag »Corona-Impfnachweis: Lieber per App oder analog per Impfass/QR-Code?« hatte ich angedeutet, dass es nicht notwendig ist, den…
South Korea Corona
30. August 2021

Das in der Corona-Pandemie viel zitierte Beispiel Südkorea – eine Datenschutz-Analyse

Eine Datenschutz-Analyse: Wer wird nach der Pandemie auf die äußerst sensiblen Gesundheitsdaten in Südkorea aufpassen, die im Zuge der Pandemiebekämpfung angehäuft wurden?
Microblog
20. April 2020

CCC deckt auf: Datenspende-App des RKI mit schweren Mängeln

Der CCC hat einen umfassenden Prüfbericht vorgelegt, der schwere Mängel in der RKI Datenspende-App aufdeckt. Bei der vom CCC durchgeführten…
Elektroauto-Ladeapp-Test
10. September 2023

Klimaschutz mit Datenschutz? Der große Elektroauto-Ladeapp-Test

Manche Ladeapps sind eine Datenschutzkatastrophe. Wir haben 41 Apps getestet und geben Tipps für datensparsames Laden.
Datenpolitik CDU/CSU
12. April 2021

Die deutsche Datenpolitik der CDU/CSU Teil 2: »Jeder ist auf sich gestellt«

Die CDU/CSU zeigt allenfalls ein oberflächliches Verständnis für Datenverarbeitungen und deren Zusammenhänge. Die Aufforderung an die CDU/CSU muss daher lauten: »Denken first, Digitalisieren second!«
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.