Hintergründe de en Datenschutzkonzept Verschlüsselungsdetails Häufig gestellte Fragen Entstehungsgeschichte Impressum Datenschutz Kontakt

Datenschutz

Unsere Leitgedanken

Wir nehmen die Verpflichtung zum Datenschutz sehr ernst. Ohne eine ausdrückliche und zeit/ortsbezogene Einwilligung des Nutzers werden keine personenbezogenen Daten erhoben. Generell werden nur so wenige personenbezogene Daten erfasst, wie zur Bewältigung der Corona-Krise unbedingt erforderlich. Eine Verarbeitung und Weitergabe von personenbezogenen Daten erfolgt ausschließlich im Rahmen dieses expliziten gesellschaftlichen Zwecks und unter Einhaltung aller geltenden gesetzlichen Bestimmungen. Unter keinen Umständen werden personenbezogene Daten an unberechtigte Dritte, d.h. an Dritte außerhalb der Verantwortlichkeit des Betreibers oder des Gesundheitssystems, weitergegeben. Weitere Information über verantwortliche Stellen und Rechte von Nutzern und Betroffenen finden sich in der → Datenschutzerklärung.

Die nachstehende Beschreibung des zugrunde liegenden Datenschutzkonzepts ist wie folgt gegliedert:

(1) Erhebung von Daten
(2) Speicherung von Daten
(3) Verarbeitung von Daten

Erhebung von Daten

Personenbezogene Daten Im Zuge der Erstbenutzung wird die Telefonnummer des Nutzers und dessen Name abgefragt oder – falls von der Einrichtung gewünscht – mit dessen Nutzerkennung über einen externen Login-Mechanismus verknüpft. Aus den angegebenen Daten wird ein Nutzerschlüssel für die Verschlüsselung von Kontakt-Scans abgeleitet, der im Infektionsfall von Gesundheitsbehörden oder der Einrichtung rekonstruiert und als Einstiegspunkt für die Kontaktnachverfolgung herangezogen werden kann. Zum Zwecke der Auswahl zuständiger Gesundheitsbehörden wird vom Nutzer dessen Postleitzahl und für eine Risikobewertung – stets auf freiwilliger Basis – auch dessen Geburtsjahr abgefragt. Alle personenbezogenen Daten werden unmittelbar auf dem Gerät bzw. im Browser des Nutzers verschlüsselt und hernach an die Infrastruktur des Betreibers übertragen. Auf Nutzerwunsch lassen sich Registrierungsdaten darüber hinaus mit einem PIN-Code gegen Missbrauch absichern.

Zu statistisch-epidemiologischen Zwecken und zur Verbesserung des Dienstes werden Postleitzahl und/oder Geburtsjahr (sofern angegeben) für den Betreiber zugänglich mit übertragen. Alle weiteren erhobenen Datenpunkte können nur durch den Schlüssel der Gesundheitsbehörden oder Einrichtung entschlüsselt werden und bleiben für den Betreiber dauerhaft unzugänglich. Jedem Nutzer steht zudem die Möglichkeit zur Offline-Teilnahme mittels Erzeugung eines ausdruckbaren personalisierten QR-Codes frei. Über die Web-Anwendung können auch digitale QR-Codes für spontane Zusammenkünfte mit einer Gültigkeit von 24 Stunden erzeugt werden. In beiden Varianten werden die verschlüsselt übertragenen Registrierungsdaten des Nutzers mit den Daten des jeweiligen QR-Codes ohne Rückbezugsmöglichkeit für den Betreiber, d.h. ebenfalls verschlüsselt, miteinander verknüpft.

Standortbezogene DatenFür eine durch – ggf. durch die Einrichtung autorisierte – Nutzergruppe steht weiterhin auch die Erzeugung von standortbezogenen QR-Codes offen. Im Zuge dessen werden standorttypische Daten, wie Postleitzahl, Gebäude und Beschreibung, abgefragt. Standortbezogene QR-Codes beinhalten in der darin eingebetteten Web-URL die angegebenen Standortdaten zur Anzeige bei Scan-Vorgängen. Entsprechende Daten werden bei der Erzeugung von QR-Codes analog zu personenbezogenen Daten unmittelbar auf dem Gerät des Nutzers verschlüsselt und ohne Personenbezug an die Infrastruktur des Betreibers übertragen. Zu statistisch-epidemiologischen Zwecken und zur Verbesserung des Dienstes wird die Postleitzahl des Standortes dem Betreiber zugänglich gemacht. Rückschlüsse auf Personen oder konkrete Gebäude bleiben für den Betreiber ausgeschlossen.

Kontakterfassung durch ScansDurch Scannen eines QR-Codes werden die personenbezogenen Daten des jeweiligen Nutzers mit den personen- oder standortbezogenen Daten des gescannten QR-Codes verknüpft. Im Zuge dessen wird ein sekundengenauer Zeitstempel erzeugt und die voraussichtliche Dauer und Intensität des Kontakts über eine Auswahlliste abgefragt. Im resultierenden Datensatz werden für den Betreiber unzugängliche Verweise auf die verschlüsselten Kontaktdaten des scannenden Nutzers und die verschlüsselten Standortdaten des QR-Codes übertragen. Diese Verweise werden mit dem Behörden-/Einrichtungsschlüssel und zusätzlich mit einem 30 Minuten gültigen Zeit/Ort-abhängigen Schlüssel gesichert, der selbst wiederum mit dem Nutzerschlüssel verschlüsselt ebenfalls mit übertragen wird. Zu statistisch-epidemiologischen Zwecken werden anonyme Scan-Informationen, d.h. Kontaktdauer und Kontaktintensität sowie die Postleitzahl des Standortes, für den Betreiber zugänglich mit übertragen.

Verknüpfung von Kontakt-ScansMehrere Nutzer zur selben Zeit am selben Ort verwenden denselben Zeit/Ort-abhängigen Schlüssel zur Verschlüsselung von Scan-Daten und hinterlegen diesen mit ihrem Nutzerschlüssel gesichert in den resultierenden Datensätzen. Nach Rekonstruktion eines Nutzerschlüssels im Infektionsfall durch die Gesundheitsbehörde oder Einrichtung werden alle vom betroffenen Nutzer verwendeten Zeit/Ort-abhängigen Schlüssel und darüber die Scan-Daten unmittelbarer Kontaktpersonen mit gemeinsamen Aufenthalten zugänglich. Die darin enthaltenen Verweise auf verschlüsselte Nutzer- und Standortdaten lassen sich in einem weiteren Schritt mit Hilfe des Behörden-/Einrichtungsschlüssels rekonstruieren. Weitere Aufenthalte betroffener Nutzer, die nicht in Verbindung mit dem Infektionsfall stehen, bleiben dagegen unzugänglich, da diese mit anderen, nicht bekannten Zeit/Ort-abhängigen Schlüsseln erhoben wurden.

Speicherung von Daten

Vorhaltung auf NutzergerätenAuf dem Endgerät des Nutzers, d.h. in dessen persistentem Browser-Speicher, werden von der Web-Anwendung benötigte Schlüssel- und Steuerungsdaten ohne Personenbezug vorgehalten. Sofern angegeben wird auch die Postleitzahl des Nutzers mit abgelegt, um die erhobenen Datensätze neben dem Behörden-/Einrichtungsschlüssel auch mit dem Schlüssel der für den Wohnort des Nutzers zuständigen Gesundheitsbehörde verschlüsseln zu können. Darüber hinaus werden Informationen zum zuletzt gescannten QR-Code als Scan-Nachweis vorgehalten. Zu informativen Zwecken werden ferner auch die Gesamtzahl aller gescannten QR-Codes sowie Durchschnittswerte über 14 Tage für die Zahl an Kontaktpersonen und Kontaktstunden auf dem Gerät des Nutzers gespeichert und kontinuierlich aktualisiert. Eine Übertragung dieser Informationen an den Betreiber erfolgt nicht, ebenso ist daraus kein Rückschluss auf frühere besuchte Standorte möglich. Auf Nutzerwunsch lassen sich die gespeicherten Statistikdaten jederzeit zurücksetzen oder vollständig deaktivieren.

Übertragung an die Infrastruktur des BetreibersJeder an die Infrastruktur des Betreibers übertragene Datensatz wird neben der Verschlüsselung mit dem Behörden-/Einrichtungsschlüssel und etwaigen weiteren Zeit/Ort-abhängigen Schlüsseln grundsätzlich auch mit einem zusätzlichen Schlüssel des Betreibers gesichert, so dass ausschließlich nicht unterscheidbare Datensätze übertragen und somit der Einsatz eines Cloud-Anbieters zur Annahme der Daten ohne Risiko möglich ist. Die Teilentschlüsselung der Datensätze durch den Betreiber erfolgt dabei erst in dessen eigener Infrastruktur auf speziell gesicherten Systemen. Jede Form der Datenübertragung wird darüber hinaus auch mit einer zusätzlichen Transportverschlüsselung abgesichert. Die Vorhaltung von personenbezogenen Scan-Daten in der IT-Infrastruktur des Betreibers ist grundsätzlich auf 28 Tage begrenzt, ältere Kontakt-Scans werden kontinuierlich gelöscht.

Datenvorhaltung ohne eindeutige IdentifikatorenIn den übertragenen Datensätzen finden sich keinerlei für den Betreiber zugängliche Identifikatoren oder anderweitig gleichbleibende Merkmale, aus denen sich ein Bewegungsprofil – auch nicht in pseudonymer Form – ableiten ließe. Dies wird durch eine konsequente Entkoppelung registrierter Nutzer- und Standortdaten von kontinuierlich erhobenen Scan-Daten über verschlüsselte Verweise sowie durch eine fortwährende Zeit/Ort-abhängige Neuverschlüsselung entsprechender Scan-Daten vor jeder Übertragung gewährleistet. Durch einen in die Verschlüsselungstechnik eingebetteten Zufallsanteil sind auch aufeinanderfolgende Scans einzelner Nutzer diesen nicht zuordenbar.

Einwilligung zur DatenerhebungBei Aufruf der Web-Anwendung werden ohne Zustimmung des Nutzers keinerlei personenbezogene Daten generiert oder erhoben. Es werden insbesondere keine Server-Logs vorgehalten oder IP-Adressen des Aufrufers protokolliert. Auf den Einsatz von Web-Analysediensten Dritter, auf Werbemittel oder andere Formen der besucherbasierten Monetarisierung wird dabei ebenso wie auf die Einbindung von externem Quellmaterial gänzlich verzichtet. Eine Erhebung von personenbezogenen Daten erfolgt nur mit ausdrücklicher Einwilligung des Nutzers im Rahmen der Registrierung. Mit jedem vom Nutzer durchgeführten Scan-Vorgang wird eine Zeit/Ort-beschränkte Einwilligung zur Nutzung der personenbezogenen Daten im Infektionsfall abgegeben, die gemäß Infektionsschutzgesetz mit einer Frist von vier Wochen durch Aufruf einer entsprechenden Funktion in der Web- Anwendung widerrufen werden kann. Der Betreiber verpflichtet sich zudem, alle erhobenen Scan-Daten kontinuierlich nach 4 Wochen zu löschen. Lokal im Browser-Speicher vorgehaltene Daten können auf Wunsch des Nutzers jederzeit über die entsprechende Funktion in der Web-Anwendung oder durch Leeren des Browser-Storage gelöscht werden.

Verarbeitung von Daten

BetreiberDie Erzeugung von anonymen QR-Code-URLs sowie von zeitabhängigen Schlüsselkomponenten erfolgt zentralisiert auf speziell dafür vorgesehenen Server-Systemen, während standortabhängige Schlüsselkomponenten zur Hinterlegung in den QR-Code-URLs lokal auf den Geräten der jeweiligen Nutzer generiert werden. Eine Speicherung bzw. Protokollierung von Informationen auf diesen Schlüssel-Servern, insbesondere von Identifikatoren, Schlüsselkomponenten, IP-Adressen oder auch konkreten Zeitpunkten der Schlüsselerzeugung, wird nicht vorgenommen. Alle verarbeiteten Daten werden ausschließlich flüchtig im Arbeitsspeicher der Server-Systeme vorgehalten und nicht mit den verschlüsselt erhobenen Nutzer- oder Standortdaten korreliert. Der Betreiber verpflichtet sich, diese Maßnahmen dauerhaft umzusetzen. Ungeachtet dessen würde eine unbefugte Erhebung entsprechender Server-Protokolle aufgrund der konsequenten Verwendung weiterer, für den Betreiber stets unzugänglicher, Schlüsselanteile zu keiner Schwächung des Datenschutzkonzepts führen. Vertrauen in die Integrität der Betreiberinfrastruktur ist daher generell nicht erforderlich. Die Entgegennahme von verschlüsselten personen- und standortbezogenen Daten sowie von Scan-basierten Kontaktverknüpfungen wird über davon unabhängige Server-Systeme des Betreibers realisiert, die über keine Kommunikationskanäle zu den Schlüssel-Servern verfügen. Da im vorliegenden Datenschutzkonzept ausschließlich eine Übertragung von mehrfach verschlüsselten Datensätzen vorgesehen ist, die sich zudem nur punktuell im Infektionsfall und unter Kooperation von Gesundheitsbehörde bzw. Einrichtung und Betreiber entschlüsseln lassen, ergeben sich für die Server-Infrastruktur des Betreibers keinerlei sicherheitsrelevante Bedenken. Die Verwendung eines in Deutschland ansässigen Cloud-Anbieters ist für diese Zwecke daher unkritisch. Die Erstentschlüsselung der entgegengenommen Datensätze durch den Betreiber, d.h. die Generierung und Aufbereitung von statistischen Informationen, erfolgt dagegen ausschließlich auf Betreiber-internen Systemen in dessen eigener Infrastruktur, die sich in einem zugangsgesicherten Rechenzentrum in Frankfurt befindet. Gleiches gilt für die Auslieferung der (nach wie vor mit dem Behörden-/Einrichtungsschlüssel verschlüsselten) Datensätze an den Verantwortlichen im Rahmen einer Kontaktnachverfolgung im Infektionsfall.

EinrichtungVerantwortliche der Gesundheitsbehörden oder Einrichtung können anhand der Telefonnummer oder Campus-Kennung einer infizierten Person deren Nutzerschlüssel rekonstruieren und darüber die Infektionsnachverfolgung auslösen. In der Folge werden vom Betreiber die mit dem Behörden-/Einrichtungsschlüssel verschlüsselten Registrierungsdaten an den Browser des Verantwortlichen zurückgeliefert und dort entschlüsselt. Die Korrektheit der für den Nutzerschlüssel hinterlegten Kontaktdaten ist durch den Verantwortlichen zu prüfen und zu bestätigen. Über die im Anschluss identifizierten Scan-Schlüssel des betroffenen Nutzers werden hernach alle Kontakt-Scans von Personen zur selben Zeit am selben Ort aufgefunden, zurückgeliefert und ebenfalls im Browser des Verantwortlichen entschlüsselt. In einem letzten Schritt erfolgt die Auslieferung und Entschlüsselung der Registrierungsdaten aller so identifizierten Kontaktpersonen. Um Missbrauch vorzubeugen, kann aus diesen Daten ein eindeutiger, für jeden Nutzer individueller Autorisierungs-Code abgeleitet werden, der den betroffenen Nutzern in der Web-Anwendung ebenfalls zur Verfügung steht. Über einen Abgleich des Autorisierungs-Codes kann der betroffene Nutzer somit die Kontaktaufnahme des Verantwortlichen legitimieren. Darüber hinaus stehen dem Verantwortlichen selbst Prüfsummen über die registrierten Nutzer- und Standortdaten sowie über die von den Nutzern bei Registrierung und Scan-Vorgängen eingegebenen PIN- Codes (falls vergeben) zur Verfügung, worüber ein Missbrauch der Kontakterfassung seitens Dritter zuverlässig erkannt werden kann. Der Betreiber erlangt dabei zu keinem Zeitpunkt Einsicht in entschlüsselte Datensätze, gleich welcher Art, protokolliert aber den Zeitpunkt jeder Nachverfolgungsanfrage, um Missbrauch seitens der Behörden oder Einrichtung vorzubeugen.

GesundheitsbehördenDie aus der Nachverfolgung resultierenden Kontaktdaten direkt betroffener Nutzer sind naturgemäß zur Weitergabe an die zuständigen Gesundheitsbehörden bestimmt. Anhand der Postleitzahl der jeweiligen Nutzer (sofern angegeben) lassen sich die Kontaktdaten zielgerichtet verteilen, andernfalls erfolgt eine Weitergabe an die am Standort der Einrichtung zuständige Behörde. Darüber hinaus besteht auch die Möglichkeit für einen Direktzugriff für Gesundheitsbehörden. Dazu werden alle erhobenen Daten, d.h. Registrierungsinformationen für Nutzer und Standorte sowie Kontakt-Scans, neben dem Schlüssel der Einrichtung auch mit dem Schlüssel der zuständigen Behörde gesichert. Dieser Schlüssel wird anhand der Postleitzahl ermittelt, so dass angeschlossene Behörden ausschließlich Datensätze in ihrem Zuständigkeitsbereich entschlüsseln können. Alle Sicherheitsgarantien, insbesondere hinsichtlich des rein fallbezogenen Datenzugriffs zum Schutz unbeteiligter Nutzer und Nutzeraufenthalte bleiben weiterhin gültig.

EpidemiologenZu statistischen Zwecken, insbesondere zur Beobachtung der Effektivität von Eindämmungsmaßnahmen, sowie zum Zwecke weiterführender Forschungsarbeiten über die Ausbreitung des Corona-Virus werden vollständig anonymisierte, d.h. standortbezogen aggregierte Datensätze ohne jedweden Personenbezug erzeugt. Diese Datensätze werden vom Betreiber zur Verbesserung des Dienstes herangezogen sowie an berechtigte Stellen, z.B. vom Robert Koch Institut ausgewiesene Epidemiologen oder Forschungseinrichtungen, weitergegeben. Entsprechend weitergegebene Daten beinhalten ausschließlich aggregierte Informationen nach Postleitzahl. Mit Hilfe dieser Forschungsdaten ist eine anonyme Auswertung von Kontakt-Clustern, regionalen Häufungen, Ausbreitungsmustern etc. ohne Rückschluss auf einzelne Nutzer und damit eine Verbesserung der Pandemiebekämpfung möglich.

Impressum | Datenschutz | Kontakt