Covpass-App: Die wichtigsten Antworten zum digitalen Impfnachweis
In Deutschland ist in dieser Woche die Infrastruktur für den digitalen Impfnachweis an den Start gegangen. Damit sollen alle geimpften Personen in den kommenden Wochen ihre Covid19-Impfung auf digitale Weise nachweisen können. Wir beantworten dazu die wichtigsten Fragen.
Wie komme ich an den digitalen Impfnachweis?
Das ist unterschiedlich und hängt davon ab, ob die vollständige Impfung schon erfolgt ist oder erst in den kommenden Wochen und Monaten vorgesehen ist.
Laut Robert-Koch-Institut (RKI)(öffnet im neuen Fenster) werden die Impfzertifikate als QR-Code von nun an schrittweise von den Impfzentren, Ärzten und Apotheken ausgestellt. Für jede einzelne Impfung gibt es einen QR-Code.
Den bereits vollständig in den Impfzentren der Bundesländer Geimpften werden die QR-Codes in der überwiegenden Zahl der Bundesländer per Post nachversandt oder durch Online-Portale zur Verfügung gestellt. Wer in einer Arztpraxis geimpft wurde oder wird, kann vom impfenden Arzt das Impfzertifikat erhalten.
Ebenfalls ist möglich, sich den QR-Code von einem Hausarzt oder in der Apotheke aushändigen zulassen. Dies ist aber nur dann möglich, wenn die vollständige Impfung beispielsweise über den gelben Impfpass oder andere Bescheinigungen nachgewiesen werden kann. Die Apotheken sollen die Echtheit des Nachweises dann überprüfen.
Es ist kein Problem, wenn zwei unterschiedliche Impfstoffe verimpft worden sind. Jedoch müssen die Impfstoffe innerhalb der EU anerkannt sein.
Kann ich die QR-Codes importieren, die ich bisher bei den Impfungen erhalten habe?
Nein, die bisherigen QR-Codes sind noch nicht für den digitalen Impfnachweis geeignet.
Wo finde ich ausstellende Apotheken?
Auf dem Portal mein-apothekenmanager.de(öffnet im neuen Fenster) kann man nach Apotheken in der Nähe suchen, die digitale Impfnachweise ausstellen. Der Deutsche Apotheker-Verband (DAV) geht davon aus, dass von den 19.000 Apotheken in Deutschland sehr schnell etliche das Angebot aufbauen und bald eine Zahl "im vierstelligen Bereich" erreicht wird.
Kann ich das Zertifikat online erhalten?
Inzwischen lässt sich über das Hamburger Portal Panex-impfzertifikat.de/(öffnet im neuen Fenster) auf einfache Weise ein erforderliches Zertifikat erstellen. Laut RKI soll es in den Bundesländern noch weitere Online-Portale geben.
Wie kann ich den QR-Code importieren?
Für das Einlesen des digitalen Impfnachweises wurde eine neue App entwickelt, die sogenannte Covpass-App. Diese steht seit dem 10. Juni 2021 in den Appstores von Apple(öffnet im neuen Fenster) , Google(öffnet im neuen Fenster) und Huawei(öffnet im neuen Fenster) zur Verfügung.
Die App verspricht "absolute Sicherheit" der gespeicherten Daten. Es können mehrere Impfzertifikate importiert werden. Die Daten werden lediglich lokal gespeichert.
Die Impfnachweise lassen sich zudem über die Corona-Warn-App der Bundesregierung importieren . Auch diese App kann mehrere Zertifikate verwalten.
Welche Daten speichert der QR-Code?
Welche Daten speichert der QR-Code?
Die Daten werden in einem sogenannten CBOR-Webtoken (CWT) gespeichert, das als QR-Code dargestellt wird. Darin gespeichert sind Vor- und Nachname der geimpften Person, deren Geburtsdatum sowie das Datum der zweiten Impfung. Ebenfalls enthalten sind Impfstoff, Hersteller, Impfstoffart, Aussteller, Land und die Zertifikatsnummer. Die Art des Impfschutzes (Sars-CoV-2) wird ebenfalls gespeichert.
Reicht das Smartphone als Impfnachweis aus?
Nein. Die im Zertifikat angezeigten Personendaten müssen anhand amtlicher Dokumente wie Personalausweis oder Reisepass überprüft werden. Der gelbe Impfpass muss jedoch nicht als Nachweis mitgeführt werden.
Mit welchen Telefonen ist die Nutzung möglich?
Voraussetzung für die Nutzung der Apps sind die Android-Version 6.0 und die iOS-Version 12.1. Auf einem Mac ist mindestens MacOS 11.0 und ein Mac mit Apple M1-Chip erforderlich.
Wie wird der digitale Impfnachweis überprüft?
Parallel zur Covpass-App wurde eine Covpass-Check-App entwickelt. Auch diese lässt sich in den Appstores von Apple(öffnet im neuen Fenster) , Google (öffnet im neuen Fenster) und Huawei (öffnet im neuen Fenster) herunterladen. Um Integrität und Authentizität der Daten sicherzustellen, setzen die Entwickler von IBM und Ubirch auf eine Public-Key-Infrastruktur. Diese verwendet ein asymmetrisches Verfahren zur Schlüsselgenerierung. Die von der EU vorgegebenen Datenfelder(öffnet im neuen Fenster) werden zunächst gehasht. Dieser Wert wird mit dem privaten Schlüssel des Ausstellers in eine Signatur umgewandelt. Zu den Ausstellern gehören Impfzentren, Arztpraxen oder Apotheken.
Der öffentliche Schlüssel wird auf Server in Deutschland und ein europäisches Gateway in Luxemburg hochgeladen. Das Gateway wurde bereits in Betrieb genommen .
Der QR-Code der Geimpften kann von der Prüf-App gelesen werden. Die Daten sind digital signiert. Die App lädt regelmäßig alle öffentlichen Schlüssel herunter und prüft die digitale Signatur der im QR-Code gespeicherten Daten. Dabei wird nicht unterschieden, ob es sich um eine Impfung, einen negativen Test oder die Bestätigung einer überstandenen Infektion handelt. Die Prüf-App darf die Daten der Geimpften nicht speichern.
Wer darf die Impfnachweise überprüfen?
Der digitale Impfnachweis dient eigentlich dazu, das EU-weite Reisen im Sommer zu ermöglichen. Daher können Grenzbeamte beispielsweise beim Einreisen in einen EU-Staat mit der Prüf-App feststellen, ob eine Person geimpft oder negativ getestet wurde oder von einer Covid19-Erkrankung genesen ist.
Es gibt jedoch keine Einschränkung, was die Nutzung der Prüf-App betrifft. Daher könnte jeder Restaurant- oder Kino-Betreiber die App nutzen und seine Gäste damit überprüfen.
Brauche ich jetzt immer mein Smartphone?
Nein. Man kann die Impfung auch weiterhin mit dem gelben Impfnachweis belegen. Außerdem reicht es aus, den QR-Code in ausgedruckter Form vorweisen zu können. Auch dieser Ausdruck kann von der Prüf-App eingelesen werden.
Welche App ist sinnvoller: die Covpass- oder Corona-Warn-App?
Wer schon die Corona-Warn-App installiert hat, braucht die Covpass-App nicht zusätzlich zu installieren. Die Covpass-App ist für solche Nutzer eine Alternative, die die Corona-Warn-App zur Kontaktnachverfolgung nicht nutzen wollen. Die technischen Voraussetzungen für die Geräte sind leider dieselben. Auch die Covpass-App erfordert mindestens die Android-Version 6.0 und die iOS-Version 12.1. Auf einem Mac ist mindestens MacOS 11.0 und ein Mac mit Apple M1-Chip erforderlich.
Was kostet die App oder das Impfzertifikat?
Sowohl die Apps als auch das Impfzertifikat sind kostenlos. Jede Apotheke erhält für jedes Zertifikat hingegen eine Vergütung in Höhe von 18 Euro.
Wie lange ist der Impfnachweis gültig?
Die Impfzertifikate werden erst zwei Wochen nach der zweiten Impfung gültig. Danach können sie ein Jahr lang verwendet werden.
Wie sicher ist das ganze Konzept?
Die Sicherheit der digitalen Impfnachweise hängt von mehreren Faktoren ab: Zum einen von der Frage, ob nicht geimpfte Personen ihre Einträge im gelbem Impfausweis fälschen und damit eine nicht erfolgte Impfung über das digitale Zertifikat dauerhaft bestätigen können. Zum anderen stellt sich die Frage, wie konsequent tatsächlich die Personendaten im Zertifikat mit Personalausweis und Reisepass überprüft werden.
Noch einfacher wäre der Betrug, wenn Gäste oder Einreisende lediglich das Zertifikat vorzeigen müssten und es gar nicht per Prüfapp gecheckt würde. Denn so lässt es sich einfach per Photoshop manipulieren und beispielsweise als Bilddatei anzeigen.
Ebenfalls denkbar ist, dass unbefugte Personen Zugang zum Zertifizierungssystem erlangen und unberechtigte Zertifikate ausstellen. Oder dass berechtigte Personen das System missbrauchen, um aus Gefälligkeitsgründen oder gegen Bestechung solche QR-Codes zu generieren.
Nach Ansicht des Chaos Computer Club (CCC) sprechen mehrere Punkte gegen die Einführung digitaler Impfnachweise. "Wichtiger wäre es, keine Anreize zum Fälschen von Impfnachweisen zu schaffen. Erst mit zusätzlichen Privilegien Geimpfter gegenüber Nicht-Geimpften, während sich viele noch gar nicht impfen lassen können, könnte die einfache Fälschbarkeit von Impfnachweisen zu einem epidemiologischen Problem werden" , warnte der Hackerclub in einer Stellungnahme für den Bundestag (PDF)(öffnet im neuen Fenster) .
Nachtrag vom 11. Juni 2021, 10:43 Uhr
Wir haben eine Frage zur Sicherheit des Konzeptes ergänzt.
Wir haben den Hinweis ergänzt, dass inzwischen auch Online-Portale für den Impfnachweis gestartet sind.