Auf dem Weg aus der Corona-Pandemie zurück zur Normalität kommt man an der 2G-Regel (geimpft oder genesen) oder 3G-Regel (getestet, geimpft oder genesen) nicht vorbei.
Zutritt, bspw. zu Veranstaltungen, Museen und Schwimmbädern, wird nach diesem Prinzip nur gewährt, wenn nachgewiesen werden kann, dass eine der zwei bzw. drei Anforderungen vorliegt. Jedenfalls beim digitalen Impfnachweis ist das mit der CovPassCheck-App, einer Prüf-App, relativ einfach möglich:
Der geimpfte Gast nutzt z. B. die CovPass-App oder die Corona-Warn-App, in der die Impfzertifikate als QR-Code hinterlegt sind.
Die kontrollierende Person benutzt ein mobiles Endgerät mit der CovPassCheck-App. Über diese kann der QR-Code des Impfzertifikates gescannt werden. Anschließend wird angezeigt:
- Zertifikat gültig / ungültig
- Name des Zertifikatinhabers
- Geburtsdatum des Zertifikatinhabers
Name und Geburtsdatum dienen dem Abgleich mit einem Ausweisdokument, um festzustellen, ob Gast und Zertifikatsinhaber*in identisch sind.
Datenschutz anwendbar?
Name und Geburtsdatum sind personenbezogene Daten, der Impfstatus als Gesundheitsdatum sogar eine besondere Kategorie personenbezogener Daten. Der Anwendungsbereich der DSGVO ist auch eröffnet, da mit dem Einscannen des Impfzertifikates (QR-Code) und der Umwandlung in die oben genannten Daten eine automatisierte Verarbeitung personenbezogener Daten erfolgt.
Aufgrund dessen bedarf es einer (bzw. zweier) Rechtsgrundlage(n) für die Verarbeitung der Daten:
- Name und Geburtsdatum: Art. 6 Abs. 1 S. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt) i. V. m. Art. 10 Abs. 2 EU Digital COVID Certificate VO
- Gesundheitsdatum zur Impfung bzw. Genesung: Art. 9 Abs. 2 lit. g DSGVO (Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats erforderlich) i. V. m. Art. 10 Abs. 2 EU Digital COVID Certificate VO
Geburtsdatum notwendig? Missbrauchsgefahr?
Zu der Thematik erreichte uns eine Anfrage über den Blog. In der Abfrage der Daten, bspw. durch den oder die Türsteher*in einer Disko werde ein erhebliches Missbrauchsrisiko gesehen. Zudem wurde die Frage aufgeworfen, ob die Abfrage des Geburtsdatums wirklich erforderlich, und der Name nicht ausreichend sei.
Die zusätzliche Abfrage des Geburtsdatums ist erforderlich, denn andernfalls ist eine Identitätsprüfung kaum möglich: Man könnte das Zertifikat einer Person gleichen Namens als eigenes ausgeben und sich dadurch den Zutritt zu einer Veranstaltung oder einem Gebäude verschaffen, der eigentlich nicht zu gewähren wäre. Somit dient das Geburtsdatum der zusätzlichen Absicherung durch den Abgleich mit dem Ausweisdokument.
Wie sieht es mit der Missbrauchsgefahr aus? Bleiben wir beim Türsteher bzw. bei der Türsteherin. Es gibt viele Konstellationen, bei denen diesen Personen eine Vielzahl an Daten bereitgestellt werden, wenn man Zutritt zum Club oder in die Disko begehrt:
Über den „Mutti- oder Partyzettel“, ohne den Minderjährige nicht in die Disko kommen, werden viele Daten bereitgestellt, die zudem langfristig (drei Jahre) aufbewahrt werden müssen. Im Einzelnen sind dies: Name des/der Sorgeberechtigen, Anschrift, Geburtsdatum und Telefonnummer; Name des/der Minderjährigen und dessen/deren Geburtsdatum; Name der Begleitperson, dessen/deren Anschrift, Geburtsdatum und Telefonnummer.
Bereits über die Sichtung des Personalausweises, wenn die Türsteher*innen Zweifel an der Volljährigkeit haben, können diese eine Vielzahl an Daten erheben. Diese müssen sie sich allerdings merken. Es wird wohl kaum Gelegenheiten geben, die gesehenen Daten direkt zu dokumentieren.
Auch bei der Nutzung der CovPassCheck-App und dem damit verbundenen Abgleich mit dem Ausweisdokument können entsprechende Daten durch Sichtung erhoben werden. Die CovPassCheck-App hilft dem Dokumentationswilligen nicht weiter. Zwar werden die Daten angezeigt, sie werden aber mit dem Scan des nächsten Zertifikates unwiderruflich überschrieben. Sicherlich könnte man einen Screenshot des Zertifikates machen, um Name, Geburtsdatum und Status des Zertifikates dauerhaft zu speichern. Das ist aber auch nicht ohne Weiteres nebenbei und unbemerkt möglich. Selbst wenn dies gelingen sollte, erscheint die Missbrauchsgefahr, da es gerade an weiteren Informationen zur betroffenen Person mangelt, eher gering.
Fazit
Die CovPassCheck-App erscheint datensparsam programmiert, sodass der Grundsatz privacy by design erfüllt scheint. Das Risiko eines Missbrauchs der Daten bei der Überprüfung des Zertifikates erscheint marginal und unterscheidet sich kaum von den Missbrauchsmöglichkeiten, die auch vor der Corona-Pandemie bestanden.
Alternativ kann der „analoge“ Impfpass als Nachweis genutzt werden: Neben dem Impfausweis in Papierform (meist das gelbe Impfheft) muss natürlich auch in diesem Fall ein Ausweisdokument zum Abgleich vorlegt werden. Hier bestünde ebenfalls die Möglichkeit, dass sich die kontrollierende Person die Daten im Kopf merkt. Zudem sind auf dem Impfheft unter dem Namen auch die Adressdaten eingetragen, die ggf. noch aktuell sein könnten. Doch auch bei diesem Nachweis ist die Gefahr eines Missbrauchs der personenbezogenen Daten gering, denn diese im Gedächtnis zu behalten und später zu notieren – gerade bei einer Vielzahl von Kontrollen hintereinander – ist eher unwahrscheinlich.
1. September 2022 @ 22:18
An unserer Hochschule wurden durch eine Security Firma der Impfstatus vom Handy eingescannt.
Soweit so gut. Als ich fragte ob es sich um dabei um ein datenschutzsicheres Endgerät handle oder er sein privates Handy zum Scannen nutzt, sagte die Security das es sein privates Handy sei.
Wer garantiert mir, das dieses Endgerät nicht Trojaner verseucht etc. ist?
Dürfen für den Abgleich private Endgeräte genutzt werden?
23. Januar 2022 @ 12:21
Mein Kommentar ist wohl nicht angekommen?
24. Januar 2022 @ 7:29
Liebe Leser,
alle Kommentare werden bei uns händisch freigegeben, was leider dazu führt, dass eine Veröffentlichung rund ums Wochenende etwas länger dauern kann.
Mit freundlichen Grüßen
Ihre Blogredaktion
21. Januar 2022 @ 23:51
Ich wollte heute zu Takko ist ein Bekleidungsgeschäft,sie wollten heute neue Daten einscannen. Wer sagt mir das diese nicht anderweitig verwendet werden. Es reicht doch den Ausweis zu zeigen bzw. die App. Wer sollte den mein Habdy benutzen ausser ich. Im Discounter kann ich ohne diese App einkaufen gehen warum muss ich beim Friseur usw. meine Daten preis geben. In meinen Augen eine totale Volksüberwachung. Hier muss schnellstens eine andere Lösung her.
20. Januar 2022 @ 13:47
Eine Verkäuferin will in meiner Covid App mein dritte Infung einsehen nur weil die nicht die Möglichkeit (wird dem Personal nicht zu Verfügung gestellt)haben den Code einzuscannen. In der App steht groß u breit das man diese Daten nicht anderen zeigen soll.
Ich finde das man diese Fa. verpflichte sollt aus Datenschutz Gründen ihrem Personal Scanner hier für zur Verfügung zu stellen.
Es ist langsam ein Überwachungsstaat geworden wo jede Verkäufer/in jemand so ausspähen kann.
18. Januar 2022 @ 20:46
hallo, ich war heute in der Filiale Tchibo in Viernheim ca 17.00 Uhr. Da stand eine hinter dem Tresen und hat von mir im „Kasernenton“ mein Geburtsdatum im Abgleich verlangt. Wenn ich sie dies nicht abgleichen kann kann ich sofort wieder gehen. Meine Güte, das macht Spaß, tolle Atmosphäre. Habe dann auch ein gewisses Mißtrauen in mir verspürt. Ich gehe dort nicht mehr hin. Werde meine Einkäufe stark reduzieren. Ein gewisser Mißbrauch ist eben nicht ausgeschlossen.Es geht ja um personenbezogene „geschützte Daten“
8. Januar 2022 @ 11:09
Muss das Ausweis Dokument im Original mitgeführt werden also die Karte oder Pass um das Impfzertifikat zu verifizieren oder reicht ein Foto vom Ausweis auf dem Handy?
10. Januar 2022 @ 11:23
Hallo Sonny,
vielen Dank für diese wichtige Frage.
Die Kontrolle soll vor allem sicherstellen, dass nicht Nachweise von anderen Personen vorgezeigt werden. Wenn nur ein Foto des Ausweises gezeigt wird besteht aber die Gefahr, dass nicht nur der Nachweis sondern auch der Ausweis einer anderen Person (mit ausgetauschtem Bildnis) verwendet wird. Mit einem Ausweisfoto kann also nicht zweifelsfrei nachgewiesen werden, dass das G-Zertifikat, Ausweisfoto und vorstellige Person zusammengehören, zumal auch nicht auf dich Sicherheitsmerkmale des Ausweisdokumentes zurückgegriffen werden kann.
11. Dezember 2021 @ 13:21
Ich arbeite in der Gesundheitsbranche. Dort dreht sich alles um Daten, Daten, Daten. Sie glauben nicht was alles getan werden muss, um die Vorgaben des Datenschutzes anzuwenden. Gerade Gesundheitsdaten sind besonders schützenswerte Daten und diese werden auch i.d.R. sehr gut geschützt, z.B. durch Verblindung etc. Alle paar Monate muss ich eine Schulung durchführen, um den korrekten Umgang mit personenbezogenen Daten nicht nur zu lernen sondern auch zu bestätigen. Eine Impfung ist für mich eine besondere personenbezogene und schützenswerte Information. Somit kann ich die Offenlegung solcher Daten grundsätzlich nicht unterstützen. Welche Daten werden wir als nächstes offen legen müssen???
24. November 2021 @ 16:07
..wie schwer ist es wohl für einen Fachkundigen ein Script zu verfassen, dass eben diese Screenshots der personenbezogenen Daten automatisch im Hintergrund anfertigt? Ist den Verfassern des Artikels nicht klar was auf digitaler Ebene alles möglich ist?
23. November 2021 @ 11:07
Ich habe feststellen können das bei 3 Stellen, meine Daten nach dem Scan sorgfältig in eine Liste übertragen wurden. Meine Anfrage nach dem Datenschutzbeauftragten wurde verneint und ich bekam 2 mal die lapidare Antwort „Das geht Sie nichts an“. Diese Check App ist aus meiner Sicht „Datenschutzrechtlich bedenklich“ genauso wie die anderen im Artikel benannten Vorgehensweisen. Wir werden mit Covid in eine ganz gefährliche Zeit katapultiert, die ich so nicht akzeptieren werde. Die Totalüberwachung des Staates kennt kaum noch Grenzen und die Luft die man hier atmet wird sehr dünn. Warum bloß nur? Dazu noch die Frage über die Unzulänglichkeit der Politik, die diese Situation erst heraufbeschworen hat. Wir haben eine Polizei, die ist legitmiert diese Aufgaben durchzuführen, ein Verkäufer oder ein Türsteher eben nicht.
17. November 2021 @ 15:43
Sehr interessant, aber aus meiner Sicht irgendwie Unstimmig. Mein Arbeitgeber darf den Impfstatus wegen Datenschutzbestimmung etc nicht erfragen. Der Friseur, Kneiper ja quassi jeder der von der 2G Regel betroffen ist kann diese Daten abfragen? Ist schon sehr komisch.
1. Oktober 2021 @ 14:04
Was ist eigentlich, wenn der Arbeitgeber (nicht aus dem Gesundheitsbereich) nur speichert, dass der Mitarbeiter eines der drei Gs erfüllt aber nicht welches G. Sind das dann trotzdem besonders schützenswerte Gesundheitsdaten oder wäre eine solche Speicherung möglich?
10. September 2021 @ 10:43
Was des Impfpass noch viel kritischer als die Corona-App oder CovPassmacht, ist dass dort nicht nur Infos zur Corona Impfung, sondern im Zweifel ALLE jemals erhaltenen Impfungen drin stehen. Auch hier ist wieder die Frage, ob sich das irgendjemand merken kann, aber theoretisch ist die verfügbare Datenmenge deutlich größer.
9. September 2021 @ 15:41
Danke für diesen erklärenden Artikel. Ich habe die Rechtslage in der Vergangenheit genauso eingeschätzt und habe unser Personal angehalten, genauso zu verfahren (Einscannen des QR-Codes und Überprüfung der Identität durch Einsicht in ein Ausweisdokument). Jegliche Form von Dokumentation – z.B. festhalten des Status in einer Liste – habe ich untersagt.
Es ist wie so oft beim Thema Datenschutz. Auf der einen Seite ist es ungemein wichtig die Vorgaben des Datenschutzes einzuhalten. Auf der andren Seite müssen aber auch immer Lösungen gefunden werden, um datenschutzkonforme Regeln zu finden. Das scheint mir bei der Anwendung der CovPassCheck-App gelungen zu sein.