Datenschutzkonformes Auslesen und Prüfen digitaler Impfnachweise
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat die Nr. 40 seiner sog. “Aktuelle Kurz-Information (AKI)” dem datenschutzkonformen Auslesen und Prüfen digitaler Impfnachweise gewidmet.
Ein digitales Zertifikat enthält neben den Grunddaten (Name und Vornamen, Geburtsdatum und Typ des Nachweises) insbesondere folgende Daten:
- bei einem Impfnachweis: Impfstoff; Impfstoffhersteller; Anzahl der Impfungen; jeweiliges Datum der einzelnen Impfungen; Land, in dem die jeweilige Impfung erfolgte;
- bei einem Testnachweis: Art des Tests; Herstellerdaten; Datum der Testdurchführung; Ergebnis des Tests; Testzentrum; Land, in dem die Testung stattfand;
- bei einem Genesenennachweis: Datum des ersten positiven Tests; Land, in dem der Test durchgeführt wurde.
Der BayLfD schildert fasst die Kernaussagen der AKI 40 wie folgt zusammen:
- Ein gesicherter digitaler Impfnachweis ist nur im QR-Code enthalten und kann zuverlässig mit technischen Hilfsmitteln geprüft werden.
- Zur Prüfung kann die CovPassCheck-App verwendet werden. Die CovPass-App oder die Corona-WarnApp darf dafür nicht verwendet werden.
- Bei der Prüfung muss der Grundsatz der Datenminimierung beachtet werden.
Nach Auffassung des BayLfD ist für eine Prüfung ausschließlich eine Prüf-App zu nutzen (CovPassCheck) und nicht eine App, die zum Speichern der Zertifikate verwendet wird (CovPass- oder CoronaWarn-App), da ansonsten die Zertifikate nicht geprüft, sondern auf dem Mobiltelefon der prüfenden Person dauerhaft gespeichert würden.
Wichtige Hinweise erfolgen auch unter dem Aspekt der Datensparsamkeit gem. Art. 5 Abs. 1 lit. c) DS-GVO .
Danach müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Möchte ein Verantwortlicher beispielsweise den 3G-Status einer Person prüfen, so sieht der BayLfD es nicht als nicht notwendig an, den verwendeten Impfstoff zu erheben. Grundsätzlich sei es im Rahmen von 3G-Zutrittsregeln nicht einmal nötig, zwischen Impf-, Genesenen- und Testnachweis zu unterscheiden.
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)
(Foto: lettas – stock.adobe.com)
Das könnte Sie auch interessieren
-
Folge 38: EuGH erleichtert Massenklagen – Die Voraussetzungen des immateriellen Schadensersatzes nach Art. 82 DS-GVO
Verfahren wegen des Ersatzes immaterieller Schäden nach Art. 82 DSGVO werden ständig mehr. Typische Anlässe sind Datenpannen, sonstige Datenschutzverstöße durch Unternehmen wie eine Werbemail ohne Einwilligung oder ein nicht rechtzeitig erfüllter Auskunftsanspruch. Deutsche Gerichte legen Art. 82 DSGVO bislang unterschiedlich weit und uneinheitlich aus. Der EuGH hat sich am 4. Mai 2023 in der Rs.
Mehr erfahren -
IT-Grundschutz in der Microsoft-Cloud
Microsoft hat in Zusammenarbeit mit der HiSolutions AG drei kostenlose IT-Grundschutz-Handbücher entwickelt, die auf der aktuellen Edition des IT-Grundschutz-Kompendiums des Bundesamts für Sicherheit in der Informationstechnik (BSI) basieren. Die Handbücher sollen Microsoft-Kunden helfen, die Nutzung von Cloud-Diensten wie Microsoft Azure, Microsoft 365 oder Dynamics 365 unter Berücksichtigung des IT-Grundschutzes sicher und erfolgreich zu gestalten. Dabei
Mehr erfahren -
EuGH urteilt zum Begriff “Recht auf Kopie”
Einige von der Datenschutzwelt mit Spannung erwartete Urteile des Europäischen Gerichtshofes wurden am 04. Mai 2023 veröffentlicht. 2. Urteil des Gerichtshofs in der Rechtssache C-487/21 | Österreichische Datenschutzbehörde und CRIF Der Hintergrund des zweiten mit Spannung erwartete Urteils des EuGH war ein Vorabentscheidungsersuchen nach Art. 267 AEUV, welches vom Bundesverwaltungsgericht (Österreich) eingereicht wurde. Das Bundesverwaltungsgericht in
Mehr erfahren
