Datenschutzhinweise zum digitalen COVID-Zertifikat
In aller Kürze: Was ist das digitale COVID-Zertifikat?
Für Personen mit vollständigem Corona-Impfschutz, negativ getestete Personen und Personen, die nach- weisbar von einer COVID-19-Erkrankung genesen sind, gelten Ausnahmen von bestimmten Corona-Schutz- maßnahmen und diese Personen können wieder freier in der Europäischen Union (EU) reisen. Um den Nachweis für die Impfung, das Testergebnis oder die Genesung jederzeit einfach bei sich tragen zu können, können Sie ein digitales COVID-Zertifikat erhalten. Das digitale COVID-Zertifikat wird bei Reisen innerhalb der EU als Nachweis anerkannt.
- Das digitale COVID-Zertifikat wird Ihnen auf Wunsch
- Sie erhalten dann ein ausgedrucktes Dokument mit einem QR-Code. Der QR-Code enthält in kodierter Form Ihr digitales COVID-Zertifikat mit den Daten zu Ihrer Corona-Impfung, Ihrem Testergebnis oder Ihrer Genesung. Den QR-Code können Sie bei Bedarf vorzeigen, um in den gesetzlich vorgesehenen Fällen nachzuweisen, dass bei Ihnen eine Schutzimpfung gegen Corona oder ein Test mit negativem Ergebnis durchgeführt wurde oder dass Sie von einer COVID-19-Erkrankung genesen
Zum Schutz vor Fälschungen wird jedes digitale COVID-Zertifikat vom Robert Koch-Institut (RKI) elektronisch signiert. Hierfür werden die Daten zu Ihrer Corona-Impfung, Ihrem Test oder Ihrer Gene- sung von der Stelle, von der Sie das COVID-Zertifikat erhalten, an einen Server des RKI übermittelt, dort elektronisch signiert und anschließend sofort wieder gelöscht. Die elektronische Signatur ist ebenfalls im QR-Code enthalten. Anhand der elektronischen Signatur kann bei einer Prüfung die Echtheit und Gültigkeit des COVID-Zertifikats bestätigt werden.
Bei der Prüfung des digitalen COVID-Zertifikats werden Ihre Daten und die elektronische Signatur aus dem QR-Code ausgelesen. Der prüfenden Person werden dabei nur die unbedingt notwendigen Daten angezeigt. Dies sind Ihr Name, Ihr Geburtsdatum und ob es sich um ein Testzertifikat handelt oder nicht. Bei Testzertifikaten werden zudem die Art des Tests und der Zeitpunkt der Probenahme angezeigt, damit die prüfende Person nachvollziehen kann, wie lange der Test zurückliegt.
- Sie können das digitale COVID-Zertifikat auch auf Ihrem Smartphone bei sich führen. Dazu können Sie den ausgedruckten QR-Code mit einer App (CovPass-App oder Corona-Warn-App) scannen, um die Daten zu Ihrer Corona-Impfung, Ihrem Test oder Ihrer Genesung auf Ihrem Smartphone zu Sie können den QR-Code in der App dann genauso wie den ausgedruckten QR-Code als Nachweis nutzen.
Bitte bewahren Sie das ausgedruckte COVID-Zertifikat mit dem QR-Code an einem sicheren Ort auf, um den QR-Code bei Bedarf später erneut einscannen zu können (z. B. nach einem Gerätewechsel). Wenn Sie das ausgedruckte COVID-Zertifikat entsorgen, achten Sie bitte auf eine sichere Zerstörung des aufgedruckten QR-Codes, damit niemand anderes diesen verwenden kann.
Bitte kontrollieren Sie bei Erhalt des ausgedruckten COVID-Zertifikats, ob der aufgedruckte Name der Schreibweise in Ihrem Ausweisdokument entspricht.
Details zur Datenverarbeitung
1. Wer ist für die Datenverarbeitung verantwortlich?
Für die Verarbeitung in Zusammenhang mit der technischen Erstellung der COVID-Zertifikate ist das Robert Koch-Institut (RKI) verantwortlich. Das RKI ist auch dafür verantwortlich, dass Ihre personen- bezogenen Daten hierbei in Übereinstimmung mit den Vorschriften über den Datenschutz verarbeitet werden. Fragen und Anliegen zum Datenschutz können Sie an die behördliche Datenschutzbeauftragte des RKI senden: Robert Koch-Institut, z. H. der Datenschutzbeauftragten, Nordufer 20, 13353 Berlin oder per E-Mail an: datenschutz@rki.de.
Für die Erhebung und Übermittlung Ihrer Daten an das RKI zur Erstellung eines COVID-Zertifikats ist die Stelle verantwortlich, von der Sie Ihr COVID-Zertifikat erhalten (z. B. Impfzentrum, Arztpraxis, Test- stelle, Apotheke).
2. Ist die Nutzung des COVID-Zertifikats freiwillig?
Die Nutzung des COVID-Zertifikats ist freiwillig. Es ist allein Ihre Entscheidung, ob Sie ein COVID- Zertifikat nach einer Impfung, einem Test oder im Zusammenhang mit Ihrer Genesung erstellen lassen, Sie ein Zertifikat in einer App hinzufügen oder dieses gegenüber Dritten vorzeigen, um in den gesetzlich vorgesehenen Fällen nachzuweisen, dass eine Schutzimpfung gegen Corona durchgeführt wurde, ein negatives Testergebnis vorliegt oder Sie bereits von einer COVID-19-Erkrankung genesen sind.
COVID-Zertifikate können sowohl in Deutschland als auch bei Reisen in der EU als Nachweis für durch- geführte Schutzimpfungen, negative Testergebnisse und Genesungen verwendet werden.
Rechtsgrundlage der Verarbeitung für die Erstellung eines COVID-Zertifikats ist Art. 6 Abs. 1 lit. c, Art. 9 Abs. 2 lit. g Datenschutz-Grundverordnung (DSGVO) in Verbindung mit § 22 Abs. 5 S. 4 Infektionsschutz- gesetz sowie ab dem 01.07.2021 in Verbindung mit Art. 4 Abs. 1 (Impfzertifikate), Art. 5 Abs. 1 (Test- zertifikate) bzw. Art. 6 Abs. 1 (Genesenenzertifikate) der Verordnung zum digitalen COVID-Zertifikat der EU (DCC-VO).
3. Wofür werden meine Daten verarbeitet?
Um ein digitales COVID-Zertifikat zu erstellen, ist es erforderlich, dass Ihre Daten zur Ihrer Corona- Impfung, dem Test oder Ihrer Genesung durch das RKI mit einer sogenannten elektronischen Signatur versehen werden. Dabei handelt es sich um eine besondere Form der Verschlüsselung, die wie eine elektronische Unterschrift des RKI funktioniert und sicherstellt, dass es sich um ein offiziell vom RKI erstelltes digitales Dokument handelt.
Die zuständige Einrichtung, von der Sie Ihr COVID-Zertifikat erhalten (z.B. Impfzentren, Ärztinnen und Ärzte sowie Apotheken und im Fall von Testzertifikaten auch Teststellen) erfasst für die Signatur je nach Art des Zertifikats Ihre Impfdaten, Testdaten oder Daten zur Genesung und übermittelt diese sicher verschlüsselt an das RKI. Das RKI signiert die Daten elektronisch und sendet sie an die Einrichtung zurück. Anschließend wird Ihnen das COVID-Zertifikat in Form des ausgedruckten QR-Codes übergeben.
Sie können den ausgedruckten QR-Code scannen, um Ihr COVID-Zertifikat in einer geeigneten App hinzuzufügen. Die Daten werden dabei direkt aus dem QR-Code ausgelesen und nur auf Ihrem Smartphone gespeichert.
4. Welche Daten werden verarbeitet?
Zur technischen Erstellung eines digitalen COVID-Zertifikats verarbeitet das RKI nur die unbedingt notwendigen Daten, um das COVID-Zertifikat auszustellen und elektronisch zu signieren. Alle Daten werden auch auf dem ausgedruckten und dem in der CovPass-App oder der Corona-Warn-App gespeicherten digitalen COVID-Zertifikat in deutscher und englischer Sprache angegeben.
a. Allgemeine Angaben
Alle COVID-Zertifikate enthalten die folgenden Daten:
- Name, Vorname und Geburtsdatum des Zertifikatsinhabers
- Elektronische Signatur des RKI
- Eindeutige Kennung des jeweiligen COVID-Zertifikats.
Die eindeutige Kennung eines COVID-Zertifikats enthält keine Angaben zur Person des Zertifikatsinhabers.
b. Daten zu Ihrer Corona-Impfung
In einem Impf-Zertifikat sind die allgemeinen Angaben und die folgenden Daten zu Ihrer Corona- Impfung enthalten:
- Informationen zum Impfstoff (Krankheit, Impfstoff, Produkt, Hersteller)
- Informationen zur Impfung (Dosennummer, Gesamtdosen, Impfdatum, Land, Aussteller)
c. Daten zu Ihrem Testergebnis
In einem Test-Zertifikat sind die allgemeinen Angaben und die folgenden Daten zu Ihrem Testergebnis enthalten:
- Informationen zum Test (Krankheit, die getestet wurde, Art des Tests, Produkt, Hersteller)
- Informationen zur Testdurchführung (Datum und Uhrzeit des Tests, Ort an dem sich das Testzentrum befindet)
- Negatives Testergebnis
d. Daten zu Ihrer Genesung
Auf die Genesung wird aufgrund eines zuvor nachgewiesenen positiven Testergebnisses geschlossen. In einem Genesenen-Zertifikat sind die allgemeinen Angaben und die folgenden Daten zu Ihrer Genesung enthalten:
- Informationen zum Test (Krankheit, die getestet wurde, Art des Tests, Produkt, Hersteller)
- Informationen zur Testdurchführung (Datum und Uhrzeit des Tests, Ort an dem sich das Testzentrum befindet)
- Positives Testergebnis
5. Wann werden Ihre Daten gelöscht?
Das RKI speichert Daten zu Ihrer Corona-Impfung, einem Test oder der Genesung nicht dauerhaft. Alle Daten zu Impfungen, Daten zu Tests und Daten zur Genesung werden beim RKI unverzüglich nach der Erstellung des jeweiligen COVID-Zertifikats gelöscht.
6. An wen werden Ihre Daten weitergegeben?
Wenn andere Personen oder Einrichtungen in den gesetzlich vorgesehenen Situationen ein COVID- Zertifikat in Form eines QR-Codes mit einer offiziellen Prüf-Anwendung scannen und auslesen (z.B. als Nachweis der Schutzimpfung, eines negativen Tests oder der Genesung im Rahmen einer Ausnahme von Schutzmaßnahmen gegen das Coronavirus oder bei Auslandsreisen in der EU), wird in der Prüf- Anwendung angezeigt, ob das vorgelegte COVID-Zertifikat gültig ist. Im Falle eines gültigen Zertifikats werden zusätzlich der Name und das Geburtsdatum des Zertifikatsinhabers mitgeteilt und ob es sich um ein Testzertifikat handelt oder nicht. Bei Testzertifikaten wird zudem der Zeitpunkt der Probenahme angezeigt, damit die prüfende Person nachvollziehen kann, wie lange der Test zurückliegt. Der Name und das Geburtsdatum des Zertifikatsinhabers werden angezeigt, damit die prüfende Person diese Angaben mit einem Identitätsnachweis (z. B. Reisepass oder Personalausweis) abgleichen kann. In der Prüf-Anwendung werden Ihre Angaben nicht gespeichert.
Mit dem Betrieb und der Wartung des Serversystems für die technische Erstellung der COVID- Zertifikate hat das RKI die KDO Service GmbH (KDO) beauftragt. KDO verarbeitet personenbezogene Daten im Auftrag und auf Weisung des RKI (als sog. Auftragsverarbeiter). Zur Gewährleistung der datenschutzrechtlichen Anforderungen hat das RKI mit KDO einen entsprechenden Vertrag abgeschlossen.
7. Welche weiteren Datenschutzrechte haben Sie?
Soweit das RKI personenbezogene Daten von Ihnen verarbeitet, stehen Ihnen außerdem folgende Datenschutzrechte zu:
- die Rechte aus den Artikeln 15, 16, 17 und 18 DSGVO,
- das Recht, den behördlichen Datenschutzbeauftragten des RKI zu kontaktieren und Ihr Anliegen vor- zubringen (Art. 38 4 DSGVO) und
- das Recht, sich bei einer Aufsichtsbehörde für den Datenschutz zu beschweren. Die zuständige Aufsichtsbehörde für das RKI ist der Bundesbeauftragte für den Datenschutz und die Informations- freiheit, Graurheindorfer 153, 53117 Bonn.
Bitte beachten Sie, dass die vorgenannten Datenschutzrechte durch das RKI nur erfüllt werden können, wenn Daten, auf die sich die geltend gemachten Ansprüche beziehen, dauerhaft verarbeitet werden. Dies wäre nur möglich, wenn an das Serversystem des RKI übermittelte Daten zu Ihrer Person gespeichert würden. Dies ist für die Erstellung der COVID-Zertifikate nicht erforderlich. Deshalb werden die vor- genannten Datenschutzrechte aus den Artikeln 15, 16, 17 und 18 DSGVO in der Regel ins Leere laufen.
Stand: 21.06.2021