Wer gegen das Corona-Virus SARS-CoV-2 geimpft ist, kann seit dem 14. Juni 2021 kostenfrei einen digitalen Impfnachweis erhalten. Dieser bietet Geimpften die Möglichkeit, ihren Impfstatus bequem nachzuweisen, ohne das gelbe Impfheft mit sich zu tragen.
Die digitalen Impfnachweise enthalten neben Informationen zum Impfzeitpunkt und Impfstoff den vollständigen Namen und das Geburtsdatum der Geimpften. Der Impfnachweis wird in Form eines ausgedruckten QR-Codes an dem Ort bereitgestellt, an dem die Impfung verabreicht wurde. Anschließend können die Geimpften den ausgestellten QR-Code mit der CovPass- oder der Corona-Warn-App scannen und als digitalen Impfpass nutzen.
Mit der Einführung des digitalen Impfnachweises atmeten viele Bürger:innen zunächst erleichtert auf. Doch jetzt tauchen die ersten Befürchtungen auf: Wie sicher sind die Daten der Nutzer:innen in den Impfzertifikat-Apps? mediaTest digital hat den Test gemacht und die beiden Impfpass-Apps CovPass und Corona-Warn-App datenschutztechnisch unter die Lupe genommen.
CovPass-App
Die CovPass-App des Robert-Koch-Instituts ist für Android (v 0.160.7) und iOS (v 1.3.0) in den gängigen App Stores kostenlos verfügbar. Mit ihr können geimpfte Bürger:innen bei Bedarf ihren digitalen Impfnachweis vorzeigen. Die Sicherheitsexperten von mediaTest digital konnten erfreulicherweise feststellen, dass die App keine Tracker oder Analyse-Tools zur Untersuchung des Nutzerverhaltens verwendet. Eine Übertragung von Nutzerdaten an Dritte konnten die Prüfer ebenfalls nicht ermitteln – die App baut ausschließlich Verbindungen zum App-Anbieter auf. Eine Man in the Middle-Attacke war erfolgreich, die Anwendung nimmt jedoch ausreichende Gegenmaßnahmen vor. Es besteht somit keine Gefahr des Datenmissbrauchs.
Die Nutzer:innen sollten jedoch vorsichtig mit ihrem QR-Code umgehen und ihn für sich behalten, da jede:r sich die CovPassCheck-App downloaden und diese nutzen kann. Scannt ein:e User:in ein beliebiges Impfzertifikat (QR-Code) mit dieser App, zeigt diese Informationen wie den Vor- und Nachnamen, das Geburtsdatum sowie den Impfstoff und -status der Person hinter dem QR-Code an. Es handelt sich dabei aber nicht um einen Fehler in der App, sondern vielmehr des dahinter stehenden Systems.
Corona-Warn-App
Die offizielle Corona-Warn-App des Robert-Koch-Instituts begleitet deutsche Bürger:innen bereits seit über einem Jahr durch die Pandemie und steht ihnen für Android (v 2.3.4) und iOS (v 2.3.3) in den App Stores zur Verfügung. Sie informiert Nutzer:innen nicht nur über potenzielle Risikobegegnungen und stellt die Funktion eines Kontakttagebuchs und einer Event-Registrierung bereit. Seit kurzem zeigt sie auch den digitalen Impfnachweis an. Die Prüfer konnten feststellen, dass die App erfreulicherweise keine Analyse- und Tracking-Tools nutzt. Weiterhin verarbeitet die Anwendung gesammelte Daten wahrscheinlich nur lokal und übermittelt diese nicht an Dritte. Da den Prüfern während des Testlaufs jedoch nicht die volle Funktionsweise der App zur Verfügung stand (kein QR-Code), handelt es sich dabei zunächst nur um eine Vermutung. Auf Wunsch des Users können Daten verschlüsselt an das Gesundheitsamt gesendet werden, um die zuständigen Mitarbeiter:innen im Falle einer Infektion bei der Nachverfolgung der Kontaktkette zu unterstützen. Es ist nicht absehbar, was mit den gespeicherten Daten passiert, da die jeweiligen Systemhersteller (Apple und Google) die Kernfunktion der Anwendung zur Verfügung stellt.
Das Fazit der Sicherheitsexperten zum digitalen Impfnachweis
Die Datenschützer von mediaTest digital empfehlen die Nutzung der digitalen Impfzertifikate in der CovPass- und der Corona-Warn-App nicht nur aufgrund ihres Nutzens für die Bekämpfung der Pandemie weiter. Auch aus datenschutzrechtlichen Gründen können User:innen sie mit gutem Gewissen nutzen. Bürger:innen sollten ihren ausgehändigten QR-Code jedoch sehr vertraulich behandeln und ihn nicht abfotografieren oder ähnliches, da die Covid-Zertifikate mithilfe der CovPassCheck-App von beliebigen Personen gescannt und ausgelesen werden können.