Kategorie: COVID-19-Virus

Corona-Nachverfolgungsapp Luca löscht Nutzerdaten

4. Mai 2022

Die Entwickler der Luca-App haben nach eigenen Angaben sämtliche Daten, die seit dem Start der App erhoben und gespeichert wurden, von Ihren Servern gelöscht. Die Luca-App war zur Kontaktnachverfolgung in der Covid-Pandemie entwickelt worden. Sie speicherte Daten zwar verschlüsselt, wurde aber von Datenschützern immer wieder kritisiert.

Nach der Löschaktion der Entwickler seien die Daten jetzt nur noch lokal auf den jeweiligen Smartphones vorhanden, Luca selbst habe darauf keinen Zugriff mehr. Der Hamburger Datenschutzbeauftragte Thomas Fuchs hatte bereits empfohlen, bei der Deinstallation der Luca-App zuerst den eigenen Account zu löschen und dann die App selbst. Dadurch soll sichergestellt werden, dass auch alle Daten vollumfänglich gelöscht werden.

Die Luca-App selbst soll neu ausgerichtet und in Zukunft als Digitalisierungsservice und Bezahlanwendung für die Gastronomie verwendet werden können. Zukünftig soll sie ‚LucaPay‘ heißen.

Aus für Corona-Datenerfassung auch in Hamburg

28. April 2022

Nachdem bereits in der letzten Woche die Landesbeauftragte für den Datenschutz Niedersachsen Unternehmen und öffentliche Stellen zur Löschung von Corona-Daten aufgefordert hatte (wir berichteten), werden nun auch Arbeitgeber in Hamburg zur Löschung dieser Daten aufgefordert.

In einer entsprechenden Pressemitteilung teilte der Hamburgische Beauftragte für Datenschutz und Informationssicherheit (HmbBfDI) Thomas Fuchs mit, dass ab dem 1. Mai 2022 aufgrund des Wegfalls der Hotspot-Regelungen in Hamburg viele gesetzliche Grundlagen für die Verarbeitung von Corona-Daten wegfielen. Die Unternehmen und öffentlichen Stellen sollten diese neue Phase der Pandemie zum Anlass nehmen, eine Inventur der Corona-Datenbestände durchzuführen. Vorhandene Datenbestände müssten daher überprüft und nicht mehr erforderliche Daten gelöscht werden.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit kündigte nun an, aktiv auf Kammern und Verbände zuzugehen und diese darüber zu informieren, was im Rahmen des „digitalen Frühjahrsputzes“ zu tun sei.

Corona-Daten von Mitarbeitern sollen spätestens jetzt gelöscht werden

21. April 2022

In einer Pressemitteilung hat die Landesbeauftragte für den Datenschutz Niedersachsen Barbara Thiel Unternehmen und öffentliche Stellen aufgefordert die aufgrund der Maßnahmen zur Pandemiebekämpfung verarbeiteten Corona-Daten dringend zu löschen.

Die Unternehmen und öffentlichen Stellen sollten in einem ersten Schritt prüfen, ob und welche personenbezogenen Daten sie im Zusammenhang mit Maßnahmen zur Pandemiebekämpfung erhoben und gespeichert haben. Sollten diese Maßnahmen und damit der Zweck der Corona-Datenverarbeitung weggefallen sein, müssten diese Daten dringend gelöscht werden.

Als Beispiel nannte die Landesbeauftragte Corona-Daten, welche im Rahmen der Zutrittskontrolle zum Arbeitsplatz mit 3G-Kontrolle verarbeitet wurden. „Die in diesem Rahmen verarbeiteten Daten hätten bereits mit dem Ende der gesetzlichen Pflichten sofort gelöscht werden müssen. Wer sich noch nicht darum gekümmert hat, sollte das spätestens jetzt tun, um keine rechtswidrigen Datenfriedhöfe anzulegen.“ teilte Thiel mit.

Weiterhin kündigte die Landesbeauftragte an, die Einhaltung des Datenschutzes durch unangekündigte Kontrollen bei den Verantwortlichen zu überprüfen.

3G- Nachweispflicht entfällt – Was passiert mit den Gesundheitsdaten?

24. März 2022

In ihrer Stellungnahme vom 23.März 2022 äußert sich die Datenschutzbeauftragte des Landes NRW zu den datenschutzrechtlichen Folgen des ab dem 20. März 2022 entfallenen 3G- Nachweises am Arbeitsplatz.

Zuvor galt nach § 28 b Abs. 3 S. 1 IfSG a.F. die Pflicht des Arbeitsgebers, den sog. 3G-Nachweis über eine bestehende Impfung, Genesung oder Negativtestung zu überwachen und zu dokumentieren. Den Arbeitgebern wurde es nach § 28 b Abs. 3 IfSG a.F. ausdrücklich gestattet personenbezogene Daten zu verarbeiten, um sicherzustellen, dass, wie in § 28 b Abs. 1 S. 1 IfSG a.F. vorgesehen, nur Personen mit 3G-Nachweis die Arbeitsstätte betreten. Die Änderung des Infektionsschutzgesetzes  mit Wirkung zum 20. März 2022 hat zur Folge, dass § 28 b IfSG keinen 3G-Nachweis am Arbeitsplatz mehr verlangt.

Demnach entfällt auch die Rechtsgrundlage zur Verarbeitung von Gesundheitsdaten, die besondere personenbezogene Daten iSd Art. 9 Abs. 1 DSGVO darstellen. Vor diesem Hintergrund weist die Datenschutzbeauftragte des Landes NRW darauf hin, dass gesammelte Daten 6 Monaten nach Erhebung zu löschen seien. Außerdem geht sie davon aus, dass bereits jetzt Gesundheitsdaten zu löschen sein könnten, weil die entsprechende Rechtsgrundlage aufgehoben wurde.

In der Praxis sind beispielsweise Vermerke des Arbeitsgebers über den Impfstatus seiner Angestellten umgehend bzw. spätestens in sechs Monaten zu löschen. Die Datenschutzbeauftragte des Landes NRW weist insbesondere darauf hin, dass ein Arbeitsgeber, der den Impfausweis der Angestellten kopiert oder gescannt hat, diesen Nachweis spätestens jetzt löschen sollte. Dies gelte umso mehr, als das diese Vorgehensweise bereits nach alter Rechtslage untersagt war.

Zur Löschung der Gesundheitsdaten müssen diese „ ‚(…) vollständig und unwiderruflich vernichtet werden.‘ “ Laut der Datenschutzbeauftragten des Landes NRW soll bei der Löschung von Daten in Papierform ein geeigneter Aktenvernichter verwendet werden. Es reiche nicht aus, diese einfach zu zerreißen. 

Corona-Testseite des EU-Parlaments nicht datenschutzkonform

11. Januar 2022

Das Europäische Parlament verstößt mit seiner Corona-Testseite gegen das europäische Datenschutzrecht. Diese Entscheidung wurde vom Europäischen Datenschutzbeauftragten Wojciech Wiewiorowski (EDSB) bestätigt.

Der Entscheidung vorausgegangen war eine Beschwerde der Datenschutzorganisation „noyb (None of Your Business)“ um den österreichischen Datenschutz-Aktivisten Max Schrems. Diese wurde im Namen von sechs Mitgliedern des Europäischen Parlaments eingereicht. Die Gründe für die Beschwerde waren unter anderem ein irreführender Cookie-Banner und die illegale Übermittlung von Daten in die USA.

Insbesondere zu dem letzten Beschwerdegrund stellte der EDSB fest, dass das Parlament keine Nachweise erbringe, welche die Gewährleistung eines dem europäischen Recht äquivalenten Datenschutzstandard im Rahmen der Übermittlung an die USA zusichern konnten. Auch stellte der EDSB fest, dass die Differenzen der Cookie-Banner, die sich je nach gewählter Sprache ergeben, gegen das geltende Datenschutzrecht verstoßen.

Die Beschwerdegründe stellen einen Verstoß gegen die „DSGVO für EU-Institutionen“ fest (Verordnung (EU) 2018/1725) die nur für EU-Einrichtungen gilt und der DSGVO nachempfunden ist. Der EDSB erteilte aufgrund dieser Verstöße eine Unterlassungsanordnung mit einer Frist von einem Monat.

Datenschutz in Coronazeiten – eine Zusammenfassung

30. Dezember 2021

Seit Anbeginn der Coronapandemie wurde vielfach darüber diskutiert, ob und wie vonseiten der Arbeitgeber Gesundheitsdaten verarbeitet werden dürfen. Seit der nun bestehenden Präventionsmöglichkeit durch einen Impfschutz, konkretisiert sich die Diskussion hin zur Abfrage des Impfstatus durch den Arbeitgeber im Betrieb.

1. Verarbeitung von Gesundheitsdaten im Betrieb

Die Verarbeitung von Gesundheitsdaten im Beschäftigtenverhältnis kann mit Blick auf die arbeitgeberseitige Fürsorgepflicht gemäß §§ 611 a, 241 II BGB und nach § 167 II SGB IX  geboten und erforderlich sein. Ferner ist für Beschäftigte eine Verpflichtung vorgesehen, welche besagt, dass diese bei „begründeter Veranlassung“ zu einer ärztlichen Untersuchung der Arbeitsfähigkeit verpflichtet werden können.

2. Besondere Kategorien personenbezogener Daten nach der DSGVO

Art. 9 Abs. 1 DSGVO stuft Gesundheitsdaten als besondere Kategorie personenbezogener Daten und damit als besonders schützenswert ein. Art. 9 Abs. 1 DSGVO normiert für diese sensiblen Daten ein restriktives Verarbeitungsverbot, wonach diese nur in den abschließend geregelten Ausnahmefällen des Art. 9 Abs. 2 DSGVO verarbeitet werden dürfen. Bei der Verarbeitung von Gesundheitsdaten im Betrieb ist stets eine besondere Vorsicht geboten, da diese oftmals das Risiko mit sich bringt, dass einmal zugänglich gemachte Informationen zur Begründung einer negativen Gesundheitsprognose im Rahmen einer krankheitsbedingten Kündigung zweckentfremdend genutzt werden können.  

3. Präventionsmaßnahmen während der Pandemie

Den Arbeitgebern standen mehrere optionale Präventionsmaßnahmen zur Verfügung. So hatten zu Beginn der Pandemie Arbeitgeber gegenüber den Beschäftigten ein Fragerecht bei Rückkehr aus dem Urlaub hinsichtlich des Aufenthaltorts und, ob es sich bei diesem um ein Risikogebiet handelte. Außerdem stand dem Arbeitgeber auch zu, von dem Beschäftigten die Information zu erlangen, ob dieser in einer ebenfalls näher durch das RKI beschriebenen Weise, in direktem und ansteckungsrelevanten Kontakt mit einer infizierten Person stand. Ferner wurde auch über die Anwendung von Wärmebildkameras diskutiert, mit Hilfe derer man die Körpertemperatur eines Beschäftigten ermitteln wollte. Jedoch hielt die DSK den Einsatz vor dem Hintergrund des Erforderlichkeitsvorbehalts überwiegend für ungeeignet, da „eine erhöhte Körpertemperatur nicht zwangsläufig als symptomatisch für eine SARS-CoV-2-Infektion angesehen werden kann“.

4. Verarbeitung des Impfstatus im Betrieb

Grundrechte wurden in der Krisenzeit eingeschränkt und auch vorbehaltslos gewährleistete Grundrechte fanden im kollidierenden Verfassungsrecht eine Schranke. Diese Beschränkungen finden ihre Grundlage aber nicht in betrieblichen Regelungen oder Weisungen der Arbeitgeberseite, sondern bedürfen einer normklaren gesetzlichen Rechtsgrundlage, etwa durch den Bundesgesetzgeber im IfSG.

a. Rechtsgrundlage für Datenverarbeitung

Im Zuge der Entwicklung von Impfstoffen wurde die Debatte darüber, inwiefern der Impfstatus im Beschäftigtenkontext erhoben und verarbeitet, insbesondere gespeichert werden darf, immer lauter. Letztendlich hat sich ein gewisser Konsens dahingehend gebildet, dass eine Verarbeitung des Impfstatus an sich ausgeschlossen ist und nur in besonders vulnerablen Branchen, namentlich bei Heil-/Pflegeberufen erforderlich ist. Hintergrund ist auch, dass zumindest nach dem Leitbild des Gesetzgebers in §§ 23, 23 a des Infektionsschutzgesetzes eine Befugnisnorm für dort näher bezeichnete Arbeitgeber der Heil- und Pflegebranche normiert ist, den Impfstatus der Beschäftigten zu verarbeiten. Darüber hinaus bestehen in den deutschen Ländern Sonderregelungen, in Baden-Württemberg etwa die „CoronaVO Krankenhäuser und Pflegeeinrichtungen“, welche ebenfalls nähere Regelungen zur Abfrage des Immunisierungsstatus enthalten. Eine generelle Verarbeitungsgrundlage für die Abfrage des Impfstatus durch den Arbeitgeber ist bisher gesetzlich jedenfalls nicht normiert.

b. Lohnfortzahlung nach § 56 I IfSG

Auf Grund des jüngsten Beschlusses der Gesundheitsministerkonferenz vom 22.9.2021 wird zunehmend diskutiert, ob zumindest in den Fällen, in denen Beschäftigte gegenüber ihrem Arbeitgeber einen Anspruch auf Geldentschädigung nach § 56 I IfSG geltend machen, eine Abfrage des Impfstatus zulässig erfolgen kann. Kommt es zu einer so genannten Absonderungsverpflichtung eines Beschäftigten und zahlt der Arbeitgeber den Lohn des Beschäftigten weiter, so kann er sich den für die Dauer dieser Absonderung ansonsten entstandenen Verdienstausfall bei der zuständigen Behörde erstatten lassen. Der Arbeitgeber geht insoweit in Vorleistung und übernimmt die Auszahlung zunächst „stellvertretend als Zahlstelle für die zuständige Behörde“. Zu einer derartigen Erstattung kommt es jedoch nicht in Fällen, in denen die Quarantäne durch „Inanspruchnahme einer Schutzimpfung“ hätte vermieden werden können. Hierzu wird nun vertreten, dass in diesen Konstellationen die Abfrage und Nutzung des Impfstatus in Einklang mit 26 III BDSG, Art. 9 II Buchst. b DS-GVO erfolgt.

c. Keine Auskunftspflicht des Beschäftigten

Der Arbeitgeber darf den Impfstatus des Beschäftigten zwar durchaus erfragen, wenn er „stellvertretend“ die Entschädigung nach § 56 I IfSG für die zuständige Behörde ausbezahlt. Allerdings trifft den Beschäftigten insoweit keine Verpflichtung, dem Arbeitgeber den Impfstatus oder andere Gesundheitsdaten, etwa chronische Vorerkrankungen oder Umstände wie eine Schwangerschaft, zu offenbaren. Eine solche Verpflichtung ergibt sich weder aus dem IfSG noch aus dem BDSG, als grundrechtsrelevante und damit wesentliche Pflicht des Beschäftigten hätte insoweit eine normenklare, eindeutige Gesetzesgrundlage geschaffen werden müssen. Auch lässt sich eine vertragliche Pflicht des Beschäftigten, den Arbeitgeber im Rahmen seiner Bemühungen um eine Erstattung der verauslagten Lohnkosten zu unterstützen schon deswegen nicht begründen, weil mit Blick auf die Sensibilität der hierzu benötigten Daten eine solche Verpflichtung ihm nicht zumutbar wäre. Somit ist vielmehr von einer bloßen Obliegenheit des Beschäftigten auszugehen, wonach dieser ohne Auskunftserteilung zwar keine Rechtspflicht verletzt, aber möglicherweise tatsächliche Nachteile (wie eine Beendigung der Lohnweiterzahlung) zu erwarten hätte.

Fazit

Hinzuweisen ist hierbei noch auf den § 28b Abs. 1 IfSG. Nach dem § 28b Abs.1 IfSG dürfen Arbeitgeber und Beschäftigte in Arbeitsstätten, in denen physische Kontakte von Arbeitgebern und Beschäftigten untereinander oder zu Dritten nicht ausgeschlossen werden können, nur betreten, wenn sie geimpfte, genesene oder getestete Personen sind und einen Impf-, Genesenen- oder Testnachweis mit sich führen, zur Kontrolle verfügbar halten oder bei dem Arbeitgeber hinterlegt haben.

Die Debatte um die Geltendmachung der Entschädigungsansprüche nach § 56 IfSG zeigt offensichtlich, warum die Verarbeitung von sensiblen Gesundheitsdaten außerhalb der betrieblichen Sphäre liegen sollte. Auch in der Praxis der Aufsichtsbehörde wird deutlich: Viele Beschäftigte und Betriebe sind verunsichert, die Rechtslage ist unklar und umstritten. Von Seiten der Aufsichtsbehörden werden ebenfalls unterschiedliche Ansichten vertreten, eine einheitlich Linie gemeinsam mit dem Bundesgesundheitsministerium, wäre wünschenswert. Es liegt nun also am Gesetzgeber, in diesem sensiblen Feld für Klarheit und Rechtsfrieden zu sorgen.

Schulen dürfen den Impfstatus von Schülerinnen und Schülern häufig nicht erheben

9. Dezember 2021

Seit den Änderungen des Infektionsschutzgesetzes (IfSG), die seit dem 24. November deutschlandweit gelten, dürfen Arbeitgeberinnen und Arbeitgeber den Impfstatus ihrer Beschäftigten abfragen und sind zur Kontrolle und Dokumentation des jeweiligen „G-Status“ ihrer Mitarbeitenden verpflichtet. Mit der Aktualisierung des IfSG hat der Gesetzgeber die von Arbeitgeberinnen und Arbeitgebern lang ersehnte Rechtsgrundlage für eine solche Abfrage und Dokumentation geschaffen.

Eine bundesweit einheitliche Rechtsgrundlage für die Abfrage und Dokumentation des Impfstatus von Schülerinnen und Schülern fehlt jedoch auch nach den Neuerungen des IfSG. Zwar dürfen Schulen den Impf-, Genesenen- oder Teststatus ihrer Lehrkräfte und Beschäftigten abfragen und dokumentieren. Den „G-Status“ von Schülerinnen und Schülern dürfen Schulen hingegen nur dann erheben, wenn die jeweiligen landesrechtlichen Regelungen eine entsprechende Rechtsgrundlage dafür vorsehen. Dies ist in einigen Bundesländern bereits der Fall und die Landesverordnungen sehen solche Regelungen grundsätzlich vor, so z.B. in NRW. In Hessen hingegen fehlt eine solche Rechtsgrundlage.

Die hessischen Corona-Schutzverordnung, die zwar explizit die Abfrage dieser Gesundheitsdaten vorsieht, enthält keine Rechtsgrundlage für die Dokumentation, d.h. Speicherung dieser Daten in einer Liste oder digitalen Datei. Die damit einhergehenden Probleme hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) in einer Stellungnahme vom 30.11.2021 verdeutlicht. Diese ergeben sich, so der Hessische Datenschutzbeauftragte insbesondere daraus, dass an den Schulen nach der Landesverordnung einerseits eine Testpflicht bestehe, um am Unterricht teilnehmen zu können, andererseits viele Schülerinnen und Schüler aber bereits über einen Impfnachweis verfügten, seitdem die STIKO im Sommer ihre Impfempfehlung für Kinder und Jugendliche ab 12 Jahren ausgesprochen hat. In diesen Fällen bestehe nach der derzeitigen Regelung in Hessen nicht die Möglichkeit, einen von den Schülerinnen und Schülern freiwillig vorgezeigten Impfausweis zu dokumentieren. Damit müssten die Schulen, sollte ein Impfausweis beispielsweise vergessen werden, auch trotz Impfung einen Test bei den betroffenen Schülern durchführen. Eine Möglichkeit für Schulen, die erneute Vorlage des Impfausweises zu vermeiden, besteht nach derzeitigen Regelungen in Hessen somit nicht.

Der HBDI ist bereits an das Hessische Kultusministerium herangetreten und hat empfohlen, eine entsprechende Lösung für dieses Problem zu finden. Es bleibt daher abzuwarten, wann diese umgesetzt wird und ob auch hier eine bundeseinheitliche Regelung getroffen wird.

Höchstes Bußgeld in der Geschichte der Datenschutzgrundverordnung geht an Amazon

24. August 2021

Medienberichten zufolge sieht sich der Digitalkonzern Amazon mit dem höchsten Bußgeld in der Geschichte der Datenschutzgrundverordnung konfrontiert. Wie die Nachrichtenagentur Bloomberg berichtete, hat die Luxemburger Datenschutzbehörde Commission nationale pour la protection des données (CNPD) dem Konzern ein Bußgeld in Höhe von 746 Millionen Euro auferlegt. Dies geht auch aus dem Quartalsbericht des Unternehmens hervor.

Dem Beschluss vorangegangen war eine Beschwerde der französischen Bürgerrechtsorganisation La Quadrature du Net und mehr als zehntausend Unterstützerinnen und Unterstützern aus Mai 2018. In dieser beanstandet die Organisation, dass Nutzerinnen und Nutzer den Einsatz personalisierter Werbung auf der Webseite des Online-Marktplatzes nicht ablehnen könnten. Dabei sähe die Datenschutzgrundverordnung eine freie Wahl diesbezüglich vor. Auch die Luxemburger Datenschutzbehörde sah den freien Willen der Nutzerinnen und Nutzer und damit das Recht auf informationelle Selbstbestimmung derer verletzt. Durch das von der Einverständniserklärung der Nutzerinnen und Nutzer losgelöste Werbe-Targeting durch den Konzern könnten Grundprinzipien der Datenschutzgrundverordnung verletzt worden sein.

Amazon hingegen wies den Vorwurf zurück und kündigte Berufung an. Laut einem Sprecher des Unternehmens gab es „keine Verletzung des Schutzes personenbezogener Daten, und es wurden keine Kundendaten an Dritte preisgegeben“. Weiterhin führte er aus, dass es im Hinblick darauf, wie Amazon Kundinnen und Kunden relevante Werbung anzeige, die Entscheidung der CNDP auf subjektiven und ungeprüften Auslegungen des europäischen Datenschutzes beruhe und die beabsichtigte Geldbuße selbst bei dieser Auslegung in keinem Verhältnis stünde. Als Reaktion auf diese Stellungnahme konterte La Quadrature de Net in seinem Beitrag über den Beschluss, dass Amazon insofern Recht habe, als dass die Entscheidung nicht Datenpannen zum Gegenstand hatte. Vielmehr ginge es um das Target-Advertising selbst und damit um ein Herzstück der Big-Tech-Unternehmen.

Nach der angekündigten Berufung werden die Gerichte entscheiden. Diese hatten in der Vergangenheit bei hohen Bußgeldern zumeist zugunsten der angeklagten Unternehmen mildere Strafen erlassen, als die Datenschutzbehörden. So musste die Fluggesellschaft British Airways wegen einer Datenschutzpanne 22 Millionen Euro Bußgeld bezahlen – statt zunächst verhängten 204 Millionen Euro. Diese Herabsetzung war jedoch insbesondere mit den wirtschaftlichen Einbußen des Unternehmens in der Corona-Pandemie begründet. Eine ähnliche Begründung würde aufgrund des enormen Zuwachses des Online-Händlers, insbesondere zu Beginn der Corona-Pandemie, jedoch nicht zu erwarten sein.

Zoom will Sammelklage mit Millionenzahlung beilegen

4. August 2021

In mehreren Klagen sieht sich der Videokonferenzanbieter Zoom Vorwürfen ausgesetzt, einerseits gegen Datenschutzvorgaben zu verstoßen und andererseits nicht genug gegen sog. „Zoombombing“ unternommen zu haben. Mit der Zahlung von 85 Millionen Dollar will Zoom diese Sammelklagen jetzt außergerichtlich erledigen. Aus Gerichtsdokumenten geht hervor, dass Zoom kein Fehlverhalten eingesteht. Der Vergleich muss noch von der zuständigen US-Bezirksrichterin angenommen werden.

Der Vorwurf, gegen Datenschutzvorgaben verstoßen zu haben, beruht auf der Weitergabe von personenbezogenen Daten der Nutzer an Facebook, LinkedIn und Google. Unter „Zoombombing“, dem anderen Vorwurf, versteht man das Zuschalten von fremden Personen mit dem Ziel, die Videokonferenz zu stören. Nutzer sind hierbei zum Teil schwer beleidigt worden. Um diese Störungen zu vermeiden, hat Zoom bereits im vergangenen Jahr mit Codes das zufällige Zuschalten zu fremden Videokonferenzen erheblich erschwert.

Ursprünglich war Zoom eine Anwendung, die hauptsächlich von Unternehmen genutzt wurde. Im Rahmen der Corona-Pandemie vergrößerte sich der Nutzerkreis stetig, sodass auch Home Office und Home Schooling über Zoom organisiert wurde bzw. wird.

Digitales EU-COVID-Zertifikat auf der Zielgeraden – ein Überblick zum „CovPass“

7. Juni 2021

Die EU-Kommission veröffentlichte Anfang Juni Neuigkeiten zum länger geplanten, digitalen Zertifikat: Die Technik für das Zertifikat ist offiziell online. Mit Bulgarien, Dänemark, Griechenland, Kroatien, Tschechien und Polen haben die ersten Länder den digitalen Nachweis bereits offiziell eingeführt und teilen Zertifikate aus. Auch Deutschland hat sich bereits an das sogenannte EU-Gateway angeschlossen, auch wenn das Zertifikat noch in der Testphase ist. Das kommende Zertifikat nennt sich „CovPass“ und ist ein Projekt des Robert-Koch-Instituts. Dieses präsentiert die App bereits im Internet. Sie soll spätestens bis Ende Juni für alle Bürger nutzbar sein.

Das digitale EU-COVID-Zertifikat beruht auf einer EU-Verordnung, die ab dem 1. Juli in Kraft tritt. Den Mitgliedsstaaten bleibt es aber freigestellt, das Zertifikat auch vorher schon zu verwenden, vorausgesetzt die nationale Variante besteht die technischen Tests. Es werden drei Zertifikate umfasst: ein Impfzertifikat, ein Testzertifikat und ein Genesungszertifikat. Es soll im Sommer ein unkompliziertes Reisen und einheitliche Sicherheitsstandards innerhalb Europas gewährleisten, es ist jedoch keine notwendige Voraussetzung für eine Reise.

Wem steht das Zertifikat zu?

Alle EU-Bürger können ein solches Zertifikat erhalten. Es gilt für Geimpfte, Genesene oder negativ Getestete. Als geimpft gilt jeder, der die entsprechenden Schutzimpfungen von Moderna, Astrazeneca, BioNTech oder Johnson & Johnson erhalten hat. Die letzte Impfung muss dabei mindestens 14 Tage her sein. Genesen ist der, der einen nachweislich positiven PCR-Test hatte, dieser darf nicht älter als 6 Monate sein. Für diejenigen, die weder geimpft noch genesen sind, gibt es die Möglichkeit, ein Zertifikat als negativ-getestete Person zu bekommen. Dafür muss ein aktueller Antigen-Test vorliegen oder ein PCR-Test, der nicht älter ist als 72 Stunden.

Wo bekomme ich das Zertifikat?

Ausstellen sollen das Zertifikat zunächst Impfzentren, Hausärzte und Krankenhäuser. Ob auch Apotheken bei Vorlage eines Impfausweises ein Zertifikat ausstellen dürfen, wird zur Zeit noch diskutiert. Das Zertifikat wird in digitalem Format ausgestellt, kann aber auf einem Smartphone und auf Papier vorgelegt werden. Es wird unentgeltlich ausgestellt.

Wie funktioniert das Zertifikat und was ist mit meinen Daten?

Das Zertifikat wurde während seiner Planungsphase u.a. aufgrund datenschutzrechtlicher Bedenken kritisiert. Mittlerweile hat sich die EU geeinigt. Das Zertifikat soll einen QR-Code und eine Signatur enthalten. Angezeigt werden Name und Geburtsdatum des Inhabers. Im QR-Code selbst verbergen sich Informationen zur Impfung oder zu Testergebnissen. Gespeichert werden konkret beim Impfzertifikat Impfstoff und Hersteller, Anzahl der verabreichten Dosen und Datum der Impfung; beim Testzertifikat die Art des Tests, Datum und Uhrzeit des Tests, Testzentrum und Ergebnis; und beim Genesungszertifikat Datum des positiven Testergebnisses und Geltungsdauer. Die EU-Kommission betont, dass alle persönlichen Daten allein auf dem mobilen Endgerät gespeichert werden. Entgegen der Befürchtung von Datenschützern gibt es also keine zentrale Stelle, die diese Daten speichert.

Jede ausstellende Stelle (bspw. ein Impfzentrum) hat zusätzlich eine eigene Signatur, welche in dem Zertifikat gespeichert wird. Diese Signatur wird zu Kontrollzwecken in einer EU-weiten Datenbank gespeichert und kann über das Gateway überprüft werden. Dies betrifft den einzelnen Bürger aber nicht in seinen Daten.

Das Zertifikat kann bei Bedarf vorgelegt und gescannt werden, bspw. am Flughafen. Wird das Zertifikat erkannt, soll ein grünes Licht bei dem Scanner leuchten, die Person darf passieren. Dabei soll nicht ersichtlich sein, weswegen das Zertifikat ausgestellt wurde. Umstehende (auch bspw. Mitarbeiter am Flughafen) wissen also nicht, ob die Person geimpft, genesen oder negativ getestet ist. Leuchtet das Licht rot, ist das Zertifikat nicht gültig. Bei diesem Vorgang werden keine personenbezogenen Daten an andere EU-Staaten weitergegeben.

Weitere Antworten zu Detailfragen, sowie eine aktuelle Übersicht aller Länder die bereits Zertifikate ausstellen, sind auf den Seiten der europäischen Kommission zu finden.

1 2 3 5