Sehr
Antragsteller/in
wir nehmen Bezug auf Ihren o.g. Antrag nach dem Informationsfreiheitsgesetz vom 12.04.2021 sowie Ihre Nachricht vom 09.06.2021 und bitten um Entschuldigung und Verständnis für unsere verspätete Rückmeldung.
Zu Ihrem Antrag teilen wir Ihnen Folgendes mit:
Die Bearbeitung Ihres Antrags zu 8), welcher die „Einsicht bzgl. sämtlicher Emails, Texte, oder anderem Schriftverkehr mit Agenturen, Verkäufern, anderen Organisationen, die Zugang zur Corona-Warn-App haben“ zum Gegenstand hat, stellen wir zurück, bis Sie diesen gemäß § 7 Abs. 1 Satz 3 Informationsfreiheitsgesetz (IFG) begründet haben.
Im Folgenden werden Ihre übrigen Anträge zu 1) bis 7) und 9) bis 13) beantwortet.
Frage 1: „Der Anzahl der Geräte, auf welche die Corona-Warn-App bislang heruntergeladen wurde“
Übersichten zu aktuellen und früheren Daten und Fakten zur Corona-Warn-App sind unter folgender Webseite öffentlich zugänglich:
https://www.rki.de/DE/Content/InfAZ/N...
Nach dem Bericht vom 05.08.2021 wurde die Corona-Warn-App bisher 31,7 Millionen-mal heruntergeladen.
Frage 2: „Die Arten und Bereiche von Daten, Datenschemata, die von Benutzern auf der Corona-Warn-App gesammelt werden“
Wir verweisen hierzu auf die öffentlich zugängliche Datenschutzfolgeabschätzung zur Corona-Warn-App, welcher sich entnehmen lässt, welche Daten erhoben und auf welche Weise diese verarbeitet werden:
https://www.coronawarn.app/assets/documents/cwa-datenschutz-folgenabschaetzung.pdf
Zusätzlich wird auf die Datenschutzerklärung des RKI für die Corona-Warn-App verwiesen, welche ebenfalls öffentlich zugänglich ist:
c<https://www.coronawarn.app/assets/documents/cwa-privacy-notice-de.pdf>
Frage 3: „Die Länge der Zeit, in welcher die Daten von Nutzern auf der Corona-Warn-App gespeichert werden“
Die festgelegte maximale Speicherdauer richtet sich nach den epidemiologischen Erfordernissen, die auf Basis der aktuellen Erkenntnisse zur Dauer der Inkubationszeit und der anschließenden Dauer der Ansteckungsfähigkeit festgelegt worden sind. Für die Einzelheiten wird auf Ziffer 5.8 „Löschung der Daten“ der Datenschutzfolgeabschätzung, S. 118 ff. sowie auf Ziffer 9 der Datenschutzerklärung des RKI verwiesen.
Frage 4: „Die Agenturen, Verkäufer oder Organisationen, die Zugang zu den Daten haben, die auf der Corona-Warn-App gespeichert/gesammelt werden“
Für die Akteure, welche an der Datenverarbeitung beteiligt sind und in diesem Rahmen einen (bestimmten) Zugriff auf die Daten der Corona-Warn-App haben, verweisen wir auf Ziffer 5.9 der Datenschutzfolgeabschätzung, S. 122 ff.
Ferner verweisen wir auf Ziffer 10 „An wen werden Ihre Daten weitergegeben?“ der Datenschutzerklärung des RKI, der sich Folgendes entnehmen lässt:
Wenn Sie andere Nutzer aufgrund eines positiven PCR-Tests über die App warnen, werden Ihr Testergebnis (in Form Ihrer Zufalls-IDs der letzten 14 Tage) sowie optionale Angaben zum Symptombeginn an die jeweils verantwortlichen Gesundheitsbehörden der an den Austausch-Servern teilnehmenden Länder und von dort an die Serversysteme der an den länderübergreifenden Warnungen teilnehmenden Corona-Apps weitergegeben. Die Serversysteme der nationalen Corona-Apps verteilen diese Informationen dann als Bestandteil der Positiv-Listen an ihre jeweiligen eigenen Nutzer. Event-IDs werden nur über das Serversystem des RKI an Nutzer der Corona-Warn-App verteilt. Im Fall einer Warnung aufgrund eines positiven Antigen-Schnelltests erfolgt keine Weitergabe Ihrer Daten an die Austausch-Server.
Mit dem Betrieb und der Wartung des gemeinsam betriebenen Austausch-Servers der teilnehmenden EU-Länderhaben die jeweils zuständigen nationalen Gesundheitsbehörden die EU-Kommission als Auftragsverarbeiter beauftragt. Der Austausch-Server für länderübergreifende Warnungen zwischen der Corona-Warn-App und der schweizerischen Corona-App wird vom Bundesamt für Gesundheit der Schweizerischen Eidgenossenschaft in Abstimmung mit dem RKI betrieben und gewartet. Mit dem Betrieb und der Wartung eines Teils der technischen Infrastruktur der App (z. B. Serversysteme, Hotline) hat das RKI die T-Systems International GmbH und die SAP Deutschland SE & Co. KG beauftragt, die als Auftragsverarbeiter des RKI tätig werden. Diese Unternehmen sind von der EU-Kommission zudem als Unterauftragsverarbeiter mit der technischen Bereitstellung und Verwaltung des gemeinsam betriebenen Warnsystems der teilnehmenden Länder beauftragt. Im Übrigen gibt das RKI Ihre Daten, die im Zusammenhang mit der Nutzung der App erhoben werden, nur an Dritte weiter, soweit das RKI rechtlich dazu verpflichtet ist oder die Weitergabe im Falle von Angriffen auf die technische Infrastruktur der App zur Rechts- oder Strafverfolgung erforderlich ist. Eine Weitergabe durch das RKI in anderen Fällen erfolgt grundsätzlich nicht.
Wenn Sie anderen Personen oder Einrichtungen in den gesetzlich vorgesehenen Situationen (beispielsweise europäische Grenzbehörden oder Dienstleister) ein COVID-Zertifikat vorzeigen, erlangen diese Kenntnis über alle im Zertifikat enthaltenen Daten.
Dies können Sie verhindern, indem Sie nur den QR-Code des COVID-Zertifikats in der App vorzeigen, sodass dieser mit einer Prüf-App gescannt werden kann (z.B. als Nachweis der Schutzimpfung im Rahmen einer Ausnahme von Schutzmaßnahmen gegen das Coronavirus). Dann werden nur die im QR-Code enthaltenen Daten ausgelesen. In der Prüf-App wird dabei nur angezeigt, ob das vorgezeigte Zertifikat gültig ist sowie eine Erläuterung des Ergebnisses. Im Falle eines gültigen Zertifikats werden zusätzlich der Name und das Geburtsdatum des Zertifikatsinhabers in der Prüf-App angezeigt, damit die prüfende Person diese Angaben mit einem Identitätsnachweis (z.B. Reisepass oder Personalausweis) abgleichen kann. Zusätzlich wird angezeigt, ob es sich um ein Testzertifikat handelt oder nicht. Bei Testzertifikaten wird dann auch der Zeitpunkt der Probenahme angezeigt, damit die prüfende Person beurteilen kann, ob das zugrunde liegende Testergebnis noch gültig ist.“
Eine Liste der EU-Mitgliedstaaten, die mit ihren Apps neben Deutschland am Austausch-Server für länderübergreifende Warnungen („Interoperability Gateway“) beteiligt sind, findet sich hier unter dem Punkt „Mit welchen Warn-Apps aus europäischen Ländern die Corona-Warn-App Daten austauscht“:
https://www.rki.de/SharedDocs/FAQ/NCO...
Und hier:
https://ec.europa.eu/info/live-work-t...
Weitergehende Informationen zum Austausch-Server für länderübergreifende Warnungen sind unter folgendem Link öffentlich zugänglich:
https://ec.europa.eu/commission/press...
Abschließend ist anzumerken, dass, wie sich den obigen Verweisen und Erläuterungen entnehmen lässt, nur die jeweils zuständigen nationalen Gesundheitsbehörden sowie die mit dem Betrieb und der Wartung eines Teils der technischen Infrastruktur der App beauftragten Unternehmen Datenzugriff haben – jeweils nur im für ihre Aufgabenerfüllung begrenzten Umfang. Die nationalen Gesundheitsbehörden und die mit der Wartung eines Teils der technischen Infrastruktur der App beauftragten Unternehmen dürfen die Daten ihrerseits nur insofern weitergeben, als dies zu ihrer Aufgabenerfüllung erforderlich ist. Eine Weitergabe der Daten an sonstige Dritte, insbesondere zu kommerziellen Zwecken, erfolgt nicht.
Frage 5: „Die Strafverfolgungsbehörden, die Zugang zu den auf der Corona-Warn-App gespeicherten Daten haben“
Die übertragenen Daten werden ausschließlich zum Zweck der Nachvollziehbarkeit der Virus-Verbreitung dezentral, pseudonymisiert und temporär gespeichert. Damit ist zum einen eine personengebundene Nachverfolgung ausgeschlossen. Zum anderen haben Behörden inklusive Strafverfolgungsbehörden grundsätzlich keinen Zugriff auf die App, sondern gibt das RKI die Daten nur an Dritte weiter, soweit es rechtlich dazu verpflichtet ist oder die Weitergabe im Falle von Angriffen auf die technische Infrastruktur der App zur Rechts- oder Strafverfolgung erforderlich ist. Die Regelungen zur Auskunftserteilungen gegenüber Strafverfolgungsbehörden sind insbesondere in §§ 160, 161 Abs. 1 S. 1, 163 Abs. 1 S. 2 Strafprozessordnung (StPO) normiert (siehe zur StPO hier
https://www.gesetze-im-internet.de/stpo/ und sowie zu den vorstehenden Informationen im Allgemeinen hier
https://www.bundesregierung.de/breg-d...).
Frage 6: „Ist es Organisationen, die Zugang zu den auf der Corona-Warn-App gespeicherten Daten haben, erlaubt, diese Daten zu teilen? Wenn ja, was sind die Parameter bzgl. der Teilung dieser Daten?“
Wir verweisen hierzu auf unsere Verweise und Erläuterungen zur Frage 4 sowie auch auf die Verträge und Vereinbarungen, auf welche zur Frage 9 Bezug genommen wird.
Frage 7: „Erfragt die Corona-Warn-App von den Nutzern, ob sie geimpft wurden? Wenn ja, wie müssen die Nutzer ihre Impfung authentisieren? Wenn ja, mit welchen anderen Organisationen werden diese Daten geteilt?“
Die Corona-Warn-App erfragt diese Daten nicht aus sich heraus. Die Version 2.3. der Corona-Warn-App ermöglicht es jedoch, den digitalen Impfnachweis freiwillig in der App hinzuzufügen. Um ein solches Impfzertifikat in der App hinzuzufügen, muss der QR-Code, welchen der/die Betroffene bei der Impfung erhalten hat, gescannt werden. Die App liest die Informationen aus dem QR-Code aus und speichert diese in einem sicheren Bereich des Smartphones. Sobald der Impfschutz des Betroffenen/der Betroffenen vollständig ist, kann er/sie den QR-Code in der App vorzeigen, um den Impfschutz nachzuweisen. Auch diese Daten werden ausschließlich auf dem jeweiligen Endgerät gespeichert und nicht zentral erfasst. Eine Übertragung an andere Personen findet nur statt, wenn diesen das Impfzertifikat zur Überprüfung vorzeigt wird. Im Übrigen wird auf unsere Verweise und Erläuterungen zu den Fragen 4 und 6 verwiesen.
Einen Überblick über die Version 2.3. mit dem digitalen Impfnachweis sowie weitere neue und geplante Funktionalitäten zur Corona-Warn-App – insbesondere zur Version 2.4 mit dem digitalen EU-Testzertifikat, die Version 2.5 mit Genesenenzertifikat als Teil der Zertifikats-Wallet, Familienfunktion & Kennzahlen zu Impfstatistiken sowie zur Version 2.6 mit Zusatz zu Lokalen 7-Tage-Inzidenzen und Gültigkeit von Zertifikaten für Reisende – findet sich überdies hier:
https://www.rki.de/DE/Content/InfAZ/N... Details zu den Updates können jeweils nach Veröffentlichung auf dem Blog des Entwicklungsteams der Corona-Warn-App nachgelesen werden, siehe:
https://www.coronawarn.app/de/blog/2021-03-19-risk-calculation-improvement/.
Frage 8: „Wir bitten um Einsicht bzgl. sämtlicher Emails, Texte, oder anderem Schriftverkehr mit Agenturen, Verkäufern, anderen Organisationen, die Zugang zur Corona-Warn-App haben“
Wie oben erläutert wird die Bearbeitung dieser Frage bis zum Eingang Ihrer Begründung gemäß § 7 Abs. 1 Satz 3 zurückgestellt.
Frage 9: „Beschreibung der Anzahl, Art und Daten bzgl. Datenschutzverletzungen die im Zusammenhang mit der Corona-Warn-App stattgefunden haben“
Es kam im Zusammenhang mit der Corona-Warn-App zu keinen Verletzungen des Schutzes personenbezogener Daten im Sinne von Art. 33 Datenschutz-Grundverordnung (DSGVO).
Frage 10: „Sämtliche Verträge und Schulungsaufzeichnungen des Robert-Koch-Instituts bzgl. der Corona-Warn-App“
Die Verträge über die Entwicklung und den Betrieb der Corona-Warn-App mit der T-Systems International GmbH (Telekom) und der SAP Deutschland SE & Co. KG wurden bereits im Rahmen eines IFG-Antrags am 18. August 2020, inklusive der zugehörigen Datenauftragsverarbeitungsvereinbarungen, veröffentlicht (siehe
https://fragdenstaat.de/anfrage/zusam...) und sind weiterhin unter folgenden Links allgemein abrufbar:
*
https://fragdenstaat.de/dokumente/725...
*
https://fragdenstaat.de/dokumente/725...
Zur Datenauftragsverarbeitungsvereinbarung ab S. 91 ff.
*
https://fragdenstaat.de/dokumente/725...
Zur Datenauftragsverarbeitungsvereinbarung ab S. 75 ff.
Der Austausch-Server für länderübergreifende Warnungen innerhalb der EU bzw. die Gestaltung des Abgleichsdienstes stützt sich auf die Interoperabilitätsleitlinien<
https://ec.europa.eu/health/sites/hea...>, die zwischen den Mitgliedstaaten und der Kommission vereinbarten technischen Spezifikationen, die im EU-Instrumentarium<
https://ec.europa.eu/commission/press...> festgelegten Grundsätze und die Leitlinien der Kommission<
https://eur-lex.europa.eu/legal-conte...> und des Europäischen Datenschutzausschusses<
https://edpb.europa.eu/news/news/2020...> zum Datenschutz in Kontaktnachverfolgungs- und Warn-Apps.
Die Behördenvereinbarung zwischen dem RKI und dem vom Bundesamt für Gesundheit der Schweizerischen Eidgenossenschaft zur grenzüberschreitenden Interoperabilität von Corona-Apps ist unter folgendem Link öffentlich zugänglich:
https://www.rki.de/DE/Content/InfAZ/N...
Schulungsaufzeichnungen und Informationsmaterialien zur Corona-Warn-App sind insbesondere unter folgenden Links oder über weiterführende Links auf den entsprechenden Webseiten öffentlich zugänglich:
*
https://www.rki.de/DE/Content/InfAZ/N...
*
https://www.rki.de/DE/Content/InfAZ/N...
*
https://www.rki.de/DE/Content/InfAZ/N...
*
https://www.rki.de/DE/Content/InfAZ/N...
*
https://www.rki.de/DE/Content/InfAZ/N...
*
https://www.rki.de/DE/Content/InfAZ/N...
* https://www.coronawarn.app/de/faq/
*
https://www.bundesregierung.de/breg-d...
Darüber hinaus liegt hier zu diesem Antragsgegenstand ein Vertrag mit der T-Systems International GmbH über die Laboranbindung des Robert Koch-Instituts (RKI) via BS Labortool im Projekt Corona-Warn-App vor. Die diesbezügliche Entscheidung ergeht in einem gesonderten Bescheid, den wir Ihnen per Post zukommen lassen werden.
Frage 11: „Alle Datenteilungsabmachungen zwischen dem Robert-Koch-Institut und anderen Organisationen bzgl. der Daten die auf der Corona-Warn-App gesammelt wurden“
Wir verweisen hierzu auf unsere Verweise und Erläuterungen zur Frage 4 sowie auch auf die Verträge und Vereinbarungen, auf welche zur Frage 9 Bezug genommen wird.
Frage 12: „Alle Dokumente, die zeigen, welche anderen Organisationen, die nicht in den Datenteilungsabmachungen erwähnt werden, Zugang zur den auf der Corona-Warn-App gespeicherten Daten haben oder diese kaufen können“
Wir verweisen hierzu auf unsere Verweise und Erläuterungen zur Frage 4 sowie auch auf die Verträge und Vereinbarungen, auf welche zur Frage 9 Bezug genommen wird.
Frage 13: „Auskunft darüber, wo und wann die Daten, die auf der Corona-Warn-App gesammelt werden, gespeichert werden und wer der rechtmäßige Besitzer der Daten ist, einschließlich, aber nicht begrenzt auf, der Datenvorratsspeicherung oder Dokumente, die anzeigen, unter welchen Umständen Daten gelöscht oder entfernt“
Wir verweisen hierzu auf unsere obigen Erläuterungen, insbesondere zu den Fragen 2 bis 4, sowie auf die
* Datenschutzfolgeabschätzung zur Corona-Warn-App: (https://www.coronawarn.app/assets/documents/cwa-datenschutz-folgenabschaetzung.pdf);
* Datenschutzerklärung des RKI: https://www.coronawarn.app/assets/documents/cwa-privacy-notice-de.pdf;
* Verträge und Vereinbarungen unter Ziffer 9.
Abschließend wird darauf hingewiesen, dass sich z.B. unter folgenden Links umfassende öffentlich zugängliche Informationen zur Corona-Warn-App finden:
*
https://www.rki.de/DE/Content/InfAZ/N...
*
https://www.zusammengegencorona.de/in...
*
https://www.bundesregierung.de/breg-d...
Mit freundlichen Grüßen