Digitales COVID-Zertifikat der EU | BMG (2024)

Das digitale COVID-Zertifikat ist ein Nachweis dafür, dass eine Person

• eine Schutzimpfung gegen COVID-19 erhalten hat (Impfzertifikat),
• negativ auf COVID-19 getestet wurde (Testzertifikat) oder
• von einer COVID-19-Erkrankung genesen ist (Genesenenzertifikat).

Ein Zertifikat erhalten Sie auf Wunsch nach einer Impfung, einem Test oder nach einer durchgemachten COVID-19-Erkrankung von einer zuständigen Einrichtung (Impfzentren, Teststellen, Praxen oder Apotheken).

Sie können das Zertifikat in Papierform oder in elektronischer Form auf Ihrem Smartphone bei sich führen. Jedes Zertifikat enthält einen QR-Code mit einer elektronischen Signatur des RKI zum Schutz vor Fälschungen. Wenn Sie ein Zertifikat auf Ihrem Smartphone speichern möchten, können Sie den QR-Code einfach mit der CovPass-App einscannen. Die App speichert dann eine elektronische Version des Zertifikats sicher auf Ihrem Smartphone.

Bitte beachten Sie, dass die QR-Codes der Zertifikate Gesundheitsdaten (Daten über Corona-Impfungen, Corona-Testergebnisse oder durchgemachte Corona-Erkrankungen) enthalten. Zeigen Sie die Zertifikate und QR-Codes nur vor, wenn Sie einen entsprechenden Nachweis erbringen möchten. Stellen Sie die QR-Codes niemandem zur Verfügung, wenn Sie nicht wollen, dass die Daten ausgelesen werden. Um einen ungewollten Zugriff auf die auf Ihrem Smartphone gespeicherten Zertifikate zu verhindern, sollten Sie auf dem Gerät eine Codesperre einrichten.

a) Erstellung der Zertifikate

Das RKI verarbeitet kurzfristig die notwendigen personenbezogenen Daten von Zertifikatsinhabern zur technischen Erstellung und Signierung des gewünschten Zertifikats (§ 22a Abs. 5 bis 7 Infektionsschutzgesetz). Nachdem die technische Erstellung des Zertifikats abgeschlossen ist, werden die personenbezogenen Daten beim RKI sofort wieder gelöscht. Es gibt kein zentralverwaltetes Impf- oder Zertifikatsregister.

b) Verwenden der Zertifikate zum Nachweis

Mit der CovPass-App können Sie ausgedruckte eigene Zertifikate und Zertifikate von Familienmitgliedern scannen und verschlüsselt auf Ihrem Smartphone speichern.

Um in den gesetzlich vorgesehenen Fällen gegenüber Dritten eine Impfung, ein negatives Testergebnis oder eine durchgemachte COVID-19-Erkrankung nachzuweisen, können Sie das entsprechende Zertifikat der prüfenden Person vorzeigen. Wenn die prüfende Person eine spezielle Prüf-Anwendung (etwa die CovPassCheck-App des RKI) nutzt, genügt es den QR-Code des Zertifikats vorzuzeigen und scannen zu lassen. Der QR-Code stellt das Zertifikat in digitaler Form dar und enthält ausschließlich die für die jeweilige Art des Zertifikats notwendigen Informationen (siehe Abschnitt 5).

Mit der Prüf-Anwendung kann der QR-Code beispielsweise von Behörden gescannt werden, um die Gültigkeit eines Impfschutzes anhand der vorgezeigten Zertifikate zu überprüfen. Bei der Prüfung werden die im Zertifikat enthaltenen Daten ausgelesen. Damit das Zertifikat gültig ist, muss es folgende technische und inhaltliche Kriterien erfüllen:

• Das Zertifikat enthält eine gültige elektronische Signatur.
• Das Zertifikat wurde nicht gesperrt.
• Das technische Ablaufdatum des Zertifikats ist noch nicht erreicht.
• Das Zertifikat erfüllt die am Prüfungsort geltenden inhaltlichen Kriterien (zum Beispiel regionale Einreisebestimmungen).

In der Prüf-Anwendung wird angezeigt, ob das vorgelegte Zertifikat gültig ist und gegebenenfalls ob noch ein weiteres Zertifikat gescannt werden muss. Im Falle eines gültigen Zertifikats wird zusätzlich der Name und das Geburtsdatum des Zertifikatsinhabers mitgeteilt und ob es sich um ein Testzertifikat handelt oder nicht. Bei Testzertifikaten wird zudem der Zeitpunkt der Probenahme angezeigt. Der Name und das Geburtsdatum des Zertifikatsinhabers werden angezeigt, damit die prüfende Person diese Angaben mit einem Identitätsnachweis (zum Beispiel Reisepass oder Personalausweis) abgleichen kann. Die Mitteilung, ob es sich um ein Testzertifikat handelt und der Zeitpunkt der Probenahme sind erforderlich, damit die prüfende Person beurteilen kann, ob das dem Zertifikat zugrunde liegende Testergebnis noch gültig ist.

c) Elektronische Signatur der Zertifikate und Sperrung

Zum Schutz vor Fälschungen muss die Echtheit der gespeicherten Zertifikate überprüft werden. Hierzu wird die im QR-Code eines Zertifikats enthaltene elektronische Signatur verwendet. Die elektronische Signatur wird bei der Erstellung des Zertifikats vom RKI auf Basis der im Zertifikat enthaltenen Daten (siehe Abschnitt 5) erzeugt. Bei der Signatur handelt es sich um eine besondere Form der Verschlüsselung, die wie eine elektronische Unterschrift des RKI funktioniert und sicherstellt, dass es sich um ein offiziell vom RKI erstelltes digitales Dokument handelt. Das RKI stellt zudem die zugehörigen öffentlichen Schlüssel des RKI (sogenannte Public Keys) bereit. Mit diesen öffentlichen Schlüsseln kann geprüft werden, ob die elektronische Signatur des Zertifikats tatsächlich vom RKI stammt und ob das Zertifikat nach der elektronischen Signierung manipuliert worden ist.

Zum Gesundheitsschutz von Zertifikatsinhabern und der Bevölkerung können in besonderen Fällen bestimmte Zertifikate gesperrt werden. Das kann beispielsweise dann notwendig sein, wenn eine zuständige Einrichtung (zum Beispiel Apotheke, Impfzentrum oder Praxis) ein falsches Zertifikat ausgestellt hat. Die zuständigen Gefahrenabwehrbehörden entscheiden über eine Sperrung, die anschließend technisch durch das RKI umgesetzt wird (§ 22a Abs. 8 Infektionsschutzgesetz). Die Sperrung führt dazu, dass das Zertifikat ungültig wird und bei Überprüfungen nicht mehr anerkannt wird. Dabei spielt es keine Rolle, ob das Zertifikat bei der Überprüfung in elektronischer Form auf dem Smartphone oder im Papierformat verwendet wird. Wenn Sie ein gesperrtes Zertifikat in der App gespeichert haben, wird es als "ungültig" angezeigt.

Um die Gültigkeit der elektronischen Signatur oder eine Sperrung der gespeicherten Zertifikate feststellen zu können lädt die App regelmäßig im Hintergrund die aktuellen öffentlichen Schlüssel und Zertifikatssperrlisten des RKI und speichert diese lokal auf Ihrem Smartphone. Die öffentlichen Schlüssel enthalten keine personenbezogenen Daten. Die Zertifikatssperrlisten enthalten zu einem gesperrten Zertifikat lediglich eine Sperrkennung in Form einer speziellen Einwegverschlüsselung (sogenannter Hash-Wert). Aus der Sperrkennung kann nicht auf die Zertifikatsdaten oder andere Angaben zu einer bestimmten Person geschlossen werden. Die Sperrkennung eines zu sperrenden Zertifikats erhält das RKI von der zuständigen Gefahrenabwehrbehörde, die diese Kennung aus dem falschen Zertifikat ausgelesen hat. Ist in Ausnahmefällen die Sperrung aller Zertifikate einer zuständigen Einrichtung (zum Beispiel einer bestimmten Apotheke) erforderlich, wird statt der einzelnen Sperrkennungen nur ein kleiner Teilabschnitt aus der eindeutigen Zertifikatskennung der ausgegebenen Zertifikate in die Zertifikatssperrliste übernommen. Dieser Teilabschnitt ist bei allen Zertifikaten, die von der gleichen zuständigen Einrichtung ausgegeben worden sind, identisch. Die CovPass-App gleicht diesen dann mit der eindeutigen Zertifikatskennung der auf dem Smartphone gespeicherten Zertifikate ab. Sofern es eine Übereinstimmung der Kennung der gespeicherten Zertifikate mit den in der Zertifikatssperrliste geführten Zertifikate gibt, wird das betreffende Zertifikat in der CovPass-App als ungültig angezeigt. Sowohl die Prüfung der elektronischen Signatur als auch der Abgleich mit den Zertifikatssperrlisten findet ausschließlich lokal in der App statt und es werden keine Daten über diesen Vorgang an das RKI oder andere Stellen weitergegeben.

d) Erinnerungsfunktion

Die App kann Sie daran erinnern, gespeicherte Impfzertifikate zu überprüfen, sobald die letzte Impfung länger zurückliegt. Dazu lädt die App in regelmäßigen Abständen die aktuellen Regeln für die Empfehlungen der Auffrischungsimpfungen vom Serversystem der App herunter. Die App überprüft dann anhand der in den Zertifikaten enthaltenen Daten, ob eine baldige Auffrischungsimpfung empfohlen ist. Auch diese Überprüfung findet ausschließlich offline in der App statt und es werden keine Daten über die Impfung an das RKI weitergegeben.

e) Exportfunktion (PDF erstellen)

Sie haben die Möglichkeit ein in der CovPass-App gespeichertes Zertifikat zu exportieren, um es auszudrucken und in der Papierversion zu verwenden (zum Beispielauf längeren Reisen) oder das Zertifikat anschließend mit einem neuen Smartphone zu scannen und erneut in der elektronischen Version in der CovPass-App zu speichern (zum Beispiel nach einem Gerätewechsel). Die Funktion "PDF erstellen" verwendet die in der CovPass-App gespeicherten Daten des jeweiligen Zertifikats, um eine PDF-Datei zu erstellen. Diese Verarbeitung erfolgt ausschließlich lokal auf dem Smartphone. Sie haben anschließend die Möglichkeit, diese PDF-Datei zu speichern. Das PDF-Dokument enthält sensible Gesundheitsdaten (Daten über Corona-Impfungen, Tests oder durchgemachte Corona-Erkrankungen). Bitte bewahren Sie das gespeicherte oder ausgedruckte Zertifikat daher sicher auf und veröffentlichen oder teilen Sie das Dokument nicht

f) Zertifikatsprüfung bei Ticketbuchungen

Wenn Sie bei einem Reise- oder Veranstaltungsunternehmen oder einem sonstigen Anbieter eine Ticketbuchung vornehmen, können Sie über die App ein digitales COVID-Zertifikat an den Prüfpartner des Anbieters übermitteln, damit dieser die Gültigkeit des Zertifikats für Ihre Buchung gegenüber dem Reise- oder Veranstaltungsunternehmen bestätigt.

Voraussetzung hierfür ist, dass Sie in der CovPass-App ein digitales COVID-Zertifikat hinzugefügt haben. Die App erfragt beim jeweiligen Anbieter die zur Prüfung zu verwendenden Buchungsdaten und schlägt auf Basis dieser Angaben ein geeignetes Zertifikat vor. Dieses können Sie sodann auswählen und zusammen mit den vom Anbieter bereitgestellten Buchungsdaten (siehe Punkt 5 c.) dem Prüfpartner übermitteln.

Der Prüfpartner überprüft, ob die elektronische Signatur des Zertifikats echt und das technische Ablaufdatum des Zertifikats noch nicht erreicht ist. Der Prüfpartner teilt dem Anbieter sofort das Prüfungsergebnis mit. Es wird nur mitgeteilt, ob die Prüfung erfolgreich war oder nicht. Das Prüfungsergebnis wird Ihnen auch in der CovPass-App angezeigt.

Die vom Anbieter bereitgestellten Buchungsdaten werden nur lokal in der CovPass-App verarbeitet. Das RKI kann daher nicht nachvollziehen, welche Zertifikate Sie ausgewählt und prüfen lassen haben oder welche Reisen oder Veranstaltungen Sie gebucht haben.

Für die Datenverarbeitung durch den Anbieter und den Prüfpartner ist das RKI nicht verantwortlich. Lesen Sie bitte deren Datenschutzhinweise, damit Sie wissen, wozu und wie Ihre Daten verwendet werden.

g) Aktualisierungsfunktion

Es kann vorkommen, dass die App Ihnen die Aktualisierung eines gültigen Zertifikats anbietet.

Die App überprüft anhand der in den Zertifikaten enthaltenen Daten, ob eine Aktualisierung eines Zertifikats über die App möglich ist. Sie werden dann auf eine mögliche Aktualisierung hingewiesen. Für die Aktualisierung wird mit Ihrem Einverständnis das für die Aktualisierung benötigte Zertifikat von der App verschlüsselt an das Serversystem der App übermittelt. Wenn es sich bei dem zu aktualisierenden Zertifikat um ein Impfzertifikat zum Nachweis einer Auffrischungsimpfung handelt, werden dabei auch die Zertifikate zum Nachweis der der Auffrischungsimpfung vorausgegangenen Grundimmunisierung bzw. Genesung an das Serversystem der App übermittelt. Dort wird dann die Gültigkeit der übermittelten Zertifikate geprüft (siehe Abschnitt 4 c.). Anhand der Daten aus den übermittelten Zertifikaten wird eine neue Version des Zertifikats für die Auffrischungsimpfung generiert. Bei der Aktualisierung werden die Inhalte der übermittelten Zertifikate kurzzeitig verarbeitet. Das aktualisierte Zertifikat wird sodann an Ihre App zurückübermittelt.

Um eine missbräuchliche mehrfache Verwendung der Aktualisierungsfunktion verhindern zu können, werden die Signaturen des aktualisierten und des neuen Zertifikats in Form spezieller Einwegverschlüsselungen (sogenannte Hash-Werte) vorübergehend gespeichert. Aus den Hash-Werten kann nicht auf die Zertifikatsdaten oder andere Angaben zu Ihrer Person geschlossen werden. 365 Tage nach der Aktualisierung werden die Hash-Werte wieder gelöscht.

a) Zertifikatsdaten

Die Zertifikate enthalten Gesundheitsdaten und werden in einem gesicherten Bereich auf Ihrem Smartphone gespeichert. Folgende Daten sind in den Zertifikaten enthalten:

• Daten zum Zertifikatsinhaber (Name, Vorname, Geburtsdatum)
• Art des Zertifikats (Impfzertifikat, Testzertifikat, Genesenen-Zertifikat),
• die notwendigen Informationen zur Impfung, dem Test oder der Genesung,
• eine eindeutige Zertifikatskennung,
• die elektronische Signatur des RKI und
• einen QR-Code, der die zuvor genannten Daten in kodierter Form enthält.

Welche konkreten Informationen in einem Zertifikat enthalten sind, können Sie den Angaben auf dem jeweiligen Zertifikat (in deutscher und englischer Sprache) entnehmen. Weitere Informationen als die auf dem jeweiligen Zertifikat angegebenen Daten werden nicht gespeichert.

Diese Daten werden in der App gespeichert, sobald Sie den QR-Code auf dem ausgedruckten Zertifikat scannen. Diese Daten wurden zuvor von der Stelle, die das Zertifikat ausgegeben hat, erhoben und zur Signierung des Zertifikats an das RKI übermittelt.

Anlässlich der Aktualisierung eines Zertifikats werden die Hash-Werte der Signaturen des aktualisierten und des neuen Zertifikats in Form einer speziellen Einwegverschlüsselung vorübergehend auf dem Serversystem der App gespeichert (siehe Abschnitt 4 e.).

b) Zugriffsdaten

Um den öffentlichen Schlüssel des RKI für die Echtheitsprüfung der elektronischen Signatur, die aktuellen Zertifikatssperrlisten und die Regeln für die Empfehlungen von Auffrischungsimpfungen herunterzuladen, wird eine Verbindung zu einem Server des RKI aufgebaut. Dabei werden durch den Server technische Zugriffsdaten verarbeitet. Diese umfassen folgende Daten:

• IP-Adresse
• Datum und Uhrzeit des Abrufs
• übertragene Datenmenge (beziehungsweisePaketlänge)
• Meldung, ob der Datenaustausch erfolgreich war

Diese Zugriffsdaten werden verarbeitet, um die Verbindung und den Datenaustausch zwischen der App und dem Server zu ermöglichen und abzusichern. Sie werden dabei nicht als Nutzer der App persönlich identifiziert und es wird kein Nutzungsprofil erstellt. Eine Speicherung der IP-Adresse über das Ende des einzelnen Nutzungsvorgangs hinaus erfolgt nicht.

c) Buchungsdaten

Wenn Sie über das Internet bei einem Reise- oder Veranstaltungsunternehmen oder einem sonstigen Anbieter eine Buchung vornehmen, können Sie die CovPass-App zum Nachweis eines gültigen digitalen COVID-Zertifikats gegenüber dem jeweiligen Anbieter nutzen (Zertifikat-Prüfung bei Ticketbuchungen). Voraussetzung hierfür ist, dass Sie in der CovPass-App ein digitales COVID-Zertifikat hinzugefügt haben. Zudem muss der jeweilige Anbieter an einen Überprüfungsservice angebunden sein.

Zur Zertifikatsprüfung benötigen Sie einen speziellen QR-Code, den Sie im Rahmen des Buchungsvorgangs von dem jeweiligen Anbieter erhalten. Dieser QR-Code enthält eine eindeutige Transaktions-ID, eine kurze Beschreibung des Buchungsvorgangs (zum Beispiel "Buchungsnummer 1234") und eine Internetadresse (URL).

Die CovPass-App nutzt diese Informationen, um beim Anbieter technische Spezifikationen sowie die folgenden Details zur Buchung abzurufen, die für die Überprüfung des COVID-Zertifikats berücksichtigt werden sollen:

• Ihren Namen
• Ihr Geburtsdatum
• Angaben zum Datum der erforderlichen Gültigkeit des COVID-Zertifikats (Reisedatum oder Veranstaltungsdatum)
• Bei Reisen: Ausgangsland und Zielland
• Nachweisanforderungen, insbesondere also die zum Nachweis geeigneten Zertifikatstypen, wie zum BeispielImpfzertifikat (bei grenzüberschreitenden Reisen auch die Anforderungen des Ziellandes)
• Bei bestimmten Buchungen werden zusätzlich auch Angaben zur Veranstaltungsart mitgeteilt (zum Beispiel Konzert oder Großveranstaltung).

Welche konkreten Informationen für die Überprüfung des COVID-Zertifikats verwendet werden sollen und welche COVID-Zertifikate als Nachweis zugelassen sind, wird vom jeweiligen Anbieter individuell festgelegt.

Das RKI verarbeitet die oben unter Abschnitt 5 a. genannten Zertifikatsdaten im Rahmen der technischen Erstellung und Signierung des gewünschten Zertifikats. Die Rechtsgrundlage für die Verarbeitung ist jeweils Art. 6 Abs. 1 lit. c, Art. 9 Abs. 2 lit. g Datenschutz-Grundverordnung (DSGVO) in Verbindung mit

• § 22a Abs. 5 Infektionsschutzgesetz (Impfzertifikat),
• § 22a Abs. 6 Infektionsschutzgesetz (Genesenenzertifikat) oder
• § 22a Abs. 7 Infektionsschutzgesetz (Testzertifikat).

Nach §§ 22a Abs. 5-7 IfSG ist das RKI zur technischen Erstellung und Signierung des gewünschten Zertifikats verpflichtet, sofern die geimpfte, genesene oder getestete Person die Ausstellung eines entsprechenden Zertifikats wünscht.

Im Zusammenhang mit der Funktion zur Überprüfung von COVID-Zertifikaten bei Ticketbuchungen werden Ihre Daten auf Grundlage Ihres Einverständnisses verarbeitet. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO.

Die Rechtsgrundlage für die Verarbeitung der oben unter Abschnitt 5 b. genannten Zugriffsdaten ist § 3 Bundesdatenschutzgesetz (BDSG) und Art. 6 Abs. 1 lit. e DSGVO.

Bei der Aktualisierung von Zertifikaten (siehe Abschnitt 4 e.) werden die Zertifikatsdaten der für die Aktualisierung übermittelten Zertifikate auf Grundlage Ihres Einverständnisses verarbeitet. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO. Die vorübergehende Speicherung der Hash-Werte der Signaturen des aktualisierten und des neuen Zertifikats erfolgt auf Grundlage von § 22 Abs. 1 lit. c BDSG und Art. 9 Abs. 2 lit. i DSGVO.

Die Rechtsgrundlage für die Datenverarbeitung im Zusammenhang mit Zertifikatssperrungen ist § 22a Abs. 8 Infektionsschutzgesetz.

Die Zertifikate werden nur in der App auf Ihrem Smartphone gespeichert. In Ihrer App werden die Zertifikate nicht automatisch gelöscht. Wenn Sie die Löschung wünschen, können Sie das betreffende Zertifikate jederzeit selbst aus der App entfernen oder die App löschen. Um das Zertifikat später wieder hinzuzufügen, müssen Sie den QR-Code des ausgedruckten Zertifikats erneut scannen.

Die für die Zertifikatsprüfung bei Ticketbuchungen erforderlichen Buchungsdaten werden nach der Prüfung wieder gelöscht.

Bei der Zertifikatserstellung werden die Daten beim RKI unmittelbar nach der Bereitstellung des signierten Zertifikats an die ausgebende Einrichtung unwiderruflich gelöscht.

Im Falle der Aktualisierung eines Zertifikats werden die Daten nach der Übermittlung des aktualisierten Zertifikats an Ihre App beim RKI wieder gelöscht. Lediglich die Hash-Werte der Signaturen des aktualisierten und des neuen Zertifikats werden für 365 Tage auf dem Serversystem des RKI gespeichert.

Die Sperrkennungen gesperrter Zertifikate in den Zertifiktatssperrlisten werden bis zum technischen Ablaufdatum der jeweiligen Zertifikate auf dem Serversystem der App gespeichert.

Mit dem Betrieb und der Wartung des Serversystems hat das RKI die KDO Service GmbH (KDO) beauftragt. KDO verarbeitet personenbezogene Daten im Auftrag und auf Weisung des RKI (als sog. Auftragsverarbeiter). Die Gewährleistung der datenschutzrechtlichen Anforderungen ist vertraglich sichergestellt.

Wenn Sie anderen Personen oder Einrichtungen in den gesetzlich vorgesehenen Situationen ein Zertifikat vorzeigen, erlangen diese Kenntnis über alle im Zertifikat enthaltenen Daten.

Dies können Sie verhindern, indem Sie den QR-Code in der App vorzeigen, sodass dieser mit einer Prüf-Anwendung gescannt werden kann. Dann werden die im QR-Code enthaltenen Daten ausgelesen. In der Prüf-Anwendung wird dabei aber nur angezeigt, ob das vorgezeigte Zertifikat gültig ist, eine Erläuterung des Ergebnisses und gegebenenfalls ob noch ein weiteres Zertifikat gescannt werden muss. Im Falle eines gültigen Zertifikats werden zusätzlich der Name und das Geburtsdatum des Zertifikatsinhabers in der Prüf-Anwendung angezeigt, damit die prüfende Person diese Angaben mit einem Identitätsnachweis (zum Beispiel Reisepass oder Personalausweis) abgleichen kann. Zusätzlich wird angezeigt, ob es sich um ein Testzertifikat handelt oder nicht. Bei Testzertifikaten wird dann auch der Zeitpunkt der Probenahme angezeigt, damit die prüfende Person beurteilen kann, ob das zugrunde liegende Testergebnis noch gültig ist.

In der Prüf-Anwendung werden die angezeigten Daten nur kurzzeitig verarbeitet. Nach Abschluss der Prüfung werden die angezeigten Daten verworfen, das heißt es erfolgt keine dauerhafte Speicherung der ausgelesenen Daten.

Bei der Zertifikatsprüfung für Ticketbuchungen werden Ihre COVID-Zertifikate und die Buchungsdaten an einen Prüfpartner des Anbieters übermittelt. Der konkrete Prüfpartner wird Ihnen vor der Übermittlung in der CovPass-App angezeigt. Zum Abruf der individuellen Buchungsdaten übermittelt die CovPass-App dem Anbieter die im Buchungs-QR-Code des Anbieters enthaltene Buchungskennung.

Soweit das RKI personenbezogene Daten von Ihnen verarbeitet, stehen Ihnen folgende Datenschutzrechte zu:

• die Rechte aus den Artikeln 15, 16, 17, 18 und 21 DSGVO,
• das Recht, die behördliche Datenschutzbeauftragte des RKI zu kontaktieren und Ihr Anliegen vorzubringen (Art. 38 Abs. 4 DSGVO) und
• das Recht, sich bei einer Aufsichtsbehörde für den Datenschutz zu beschweren. Dazu können Sie sich beispielsweise an die zuständige Aufsichtsbehörde an Ihrem Wohnort oder an die für des RKI zuständige Behörde wenden. Die zuständige Aufsichtsbehörde für das RKI ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Graurheindorfer Straße153, 53117 Bonn.

Bitte beachten Sie, dass die vorgenannten Datenschutzrechte durch das RKI nur erfüllt werden können, wenn Daten, auf die sich die geltend gemachten Ansprüche beziehen, dauerhaft verarbeitet werden. Dies wäre nur möglich, wenn die an den RKI-Server übermittelten Daten zu Ihrer Person gespeichert würden. Dies ist für die Zwecke der App grundsätzlich nicht erforderlich. Deshalb werden die vorgenannten Datenschutzrechte aus den Artikeln 15, 16, 17, 18 und 21 DSGVO in der Regel ins Leere laufen. Sofern anlässlich der Aktualisierung eines Zertifikats die Hash-Werte der Signaturen vorübergehend gespeichert werden, ermöglichen es diese dem RKI nicht, die Identität von Zertifikatsinhabern zu ermitteln (siehe Abschnitt 4 e.).