Urlaub, Reise – Reiseimpfung! Statt den unhandlichen, gelben Impfpass ständig mit sich tragen zu müssen, haben Geimpfte auch die Möglichkeit, ihre Immunisierung per Smartphone-App nachzuweisen. Das Versprechen: Einfach App starten, QR-Code präsentieren – fertig. So weit so einfach. Bleibt nur noch die Frage: Welche Impfpass-App darf es denn sein? Insbesondere auch: Welche bietet den besten Datenschutz?
Urlaubsapps: Reiseplanung, Sicherheit & Restaurants
Diese Apps gehören auf die Urlaubspackliste.
Impfpass für den Urlaub: Das sollten Sie wissen
Spätestens seit Corona weiß Deutschland: Ein Impfpass, der kann schon wichtig sein. Und das nicht nur während einer Pandemie. Gerade bei Fernreisen ist es mitunter zwingend notwendig, bestimmte Schutzimpfungen nachzuweisen, um ins Restaurant, in Nationalparks oder überhaupt ins Land zu dürfen.
Die einfachste Variante, den Impfpass mit sich zu führen, ist wohl eine Impfpass-App. Aber wie sicher sind die Daten in einer solchen App? Und wie sinnvoll ist der digitale Impfpass überhaupt? IMTEST hat AV-Test, ein renommiertes Labor für Sicherheitsdienstleistungen, beauftragt, dem nachzugehen. Dafür haben die Experten diese drei Apps geprüft: Die Corona-Warn-App (CWA), CovPass (beide vom RKI) und die luca-App von Culture4Life.
Wohnmobil-Ratgeber 2024: Preise und Tipps für Kauf & Miete
Welches Wohnmobil für wen in Frage kommt, was sie kosten und wo man sie mieten kann.
Einiges hat sich seit der Pandemie geändert: Luca wurde vielfach aufgrund mangelnden Datenschutzes kritisiert und hat sich aus dem “Corona-Geschäft” zurückgezogen. Die App ist nach wie vor existent, soll jedoch zur “digitalen Gestaltung deines gesellschaftlichen Lebens” beitragen, indem man dort Reservierungen in Restaurants vornehmen und auch über die App dort bezahlen kann.
Was ist mit den anderen beiden Apps – der CovPass-App und der Corona-Warn-App passiert? Diese gibt es nach wie vor, doch ihre Funktion hat sich grundlegend verändert, beziehungsweise wird diese sich in den kommenden Monaten verändern. Denn die Kontaktverfolgung, eine der Hauptfunktionen der getesteten Apps, ist aufgrund niedriger Inzidenzen obsolet geworden und wurde in eine Art Ruhemodus versetzt. Lediglich für die Speicherung des digitalen Impfstatus kann die App noch genutzt werden.
So funktioniert der digitale Impfpass per App
Wie funktioniert denn nun eigentlich ein digitaler Impfpass? Wer geimpft wurde und keinen QR- oder Barcode zum direkten Einscannen für die App bekommen hat, fragt am besten noch direkt in der Praxis danach. Auch in einigen Apotheken ist es möglich, sich mit Hilfe eines analogen Impfnachweises (gelbes Heftchen) den Code ausstellen zu lassen.
Anschließend wird der Code eingescannt und die Daten zu Impfung, Dosis und Datum automatisch in die App übertragen. Die Sicherheitsexperten von AV-TEST haben diesen Prozess genau unter die Lupe genommen. Dabei wurden die ein- und ausgehenden Verbindungen zu und von den Apps analysiert und auf potenzielle Schwachstellen untersucht. Zudem überprüfte das Labor die App-Quellcodes und die Datenschutzerklärungen.
Berechtigte Kritik an luca-App
Bereits seit ihrer Veröffentlichung ist die luca-App dauerhaft unter Beschuss. Dabei steht allerdings weniger die App selbst im Zentrum der Kritik, sondern der zugrundeliegende Gesamtansatz. So lassen sich beispielsweise bei der Registrierung vollständig frei erfundene Daten oder Namen, Adressen und Telefonnummern von anderen Personen angeben.
Dazu kommt, dass die persönlichen Daten nicht auf dem Smartphone selbst, sondern auf den Servern des Betreibers gespeichert werden. Wie sicher sie dort sind, weiß nur der deutsche Anbieter Culture4Life selbst. Theoretisch wäre es möglich, dass das Unternehmen die Daten auswertet oder verkauft.
Undurchsichtige Datenschutzerklärung
Obendrein ist die luca-App in der Lage die Standortinformationen vom Smartphone zu erfassen. Wie lange diese Standortdaten gespeichert werden, erwähnt der Betreiber in der Datenschutzerklärung allerdings nicht. AV-Test bemängelt daher dieses Konzept zur Datenspeicherung. Sowohl als generelle Applikation wie auch als Impfpass-App überzeugt luca daher nicht.
Corona-Warn-App punktet mit Anonymität
Die durch den deutschen Softwarekonzern SAP und die Deutsche Telekom AG entwickelte Corona-Warn-App (CWA) kommt ohne Registrierung aus und sammelt oder versendet damit keine direkt persönlichen Informationen wie Name, Adresse oder Telefonnummer. Die Nutzung ist somit vollständig anonym und ohne Registrierung möglich. Darüber hinaus bietet die App gemäß den AV-TEST-Analysen einen hohen Sicherheitsstandard. Die Kommunikation über das Internet erfolgt zum Beispiel stets sicher und nach aktuellem Stand der Technik verschlüsselt. Auch die auf dem Smartphone gespeicherten Daten sind gut geschützt.
Impfpass-App CWA mit kleinen Schwächen
Fragwürdig bei der CWA als Impfpass-App ist allerdings die Abhängigkeit der Android-App von bestimmten Google-Services, deren volle Funktionalität und Implementierung Googles Geheimnis bleibt. Zudem verzichtet die Corona-Warn-App laut dem Sicherheitsunternehmen GDATA auf die Überprüfung der Signaturen für den digitalen Impfnachweis. So kann prinzipiell jeder einen auf den ersten Blick echt aussehenden Nachweis fälschen.
Außerdem ergibt sich bei der CWA von Haus aus eine größere Angriffsfläche, da sie mehrere Funktionen bietet wie die Grundfunktion der Kontaktzurückverfolgung, der Check-In für Geschäfte und Restaurants und das Teilen positiver Schnelltest-Ergebnisse. Zu guter Letzt gehen zwar beide RKI-Apps pfleglich mit den Nutzerdaten um, trotzdem ist Datenklau möglich: Wer bei der Kontrolle etwa den QR-Codes abfotografiert, kann die darin enthalten Namen wie Name und Geburtsdatum später in aller Ruhe auswerten
CovPass-App rundum sicher
Bei der ebenfalls vom RKI veröffentlichten CovPass-Applikation handelt es sich im Grunde um eine abgespeckte Variante der Corona-Warn-App. Da sie sich allein auf die Impfzertifikat-Funktionalität beschränkt, ist sie eine reine Impfpass-App. Aus Sicherheits- und Datenschutzsicht ist das positiv, schließlich ergeben sich dadurch weniger Sende- und Datenerfassungs-Möglichkeiten. Darüber hinaus ist die CovPass-App nicht von Google Diensten abhängig. Wer also allein seinen Impfpass digital sichern will, lädt am besten die CovPass-App. Wie Sie Ihren Impfnachweis ganz einfach in die CovPass-App übertragen, erklären wir an dieser Stelle.
Impfpass-App eigentlich ganz praktisch
Mit der CovPass- und der Corona-Warn-App hat Deutschland das europäische Zertifikat umgesetzt und ist an den sogenannten europäischen Gateway-Server angeschlossen. Der digitale Impfpass lässt sich daher grenzüberschreitend nutzen. Um aber auf Nummer sicher zu gehen mit einer Impfpass-App nicht abgewiesen zu werden, sollte bei Reisen vorsichtshalber das gelbe Impfbuch in Papierform mitgenommen werden. Der Personalausweis oder ein Reisepass zur Identifikation müssen sowieso mitgeführt werden.
Fazit
Die Impfpass-App vom RKI bietet hohe Sicherheitsstandards. Ebenso wie die Corona-Warn-App. Allerdings lassen sich sowohl bei der CovPass- als auch bei der Corona-Warn-App Nutzerdaten aus abfotografierten QR-Codes auslesen. Unbefugte sollten daher keinen Blick darauf erhalten. Zur Speicherung des digitalen Impfpasses eignet sich die luca-App nicht – das Datenschutzkonzept lässt zu viele Fragen offen. Da sie ohnehin nicht mehr länger als digitaler Impfpass genutzt wird, besteht dahingehend auch kein Risiko mehr. Die anderen beiden Apps können jedoch getrost als digitaler Impfpass für den Urlaub gedownloadet werden.