Inhaltsverzeichnis
Deutscher (digitaler) Impfnachweis für Covid-19
Der digitale Impfnachweis gilt nur für die Covid-19-Impfung.
Der offizielle in den Gesetzestexten verwendete Name für den digitalen Impfnachweis ist COVID-19-Impfzertifikat.
Der deutsche COVID-19-Impfzertifikat ist kompatibel zum COVID-19-Zertifikat (grünes Zertifikat) der EU.
Zusätzlich zum Impfzertifikat sind nun auch COVID-19-Testzertifikate und COVID-19-Genesenenzertifikate vorgesehen, die nachweisen, dass eine Person negativ auf Erreger des Coronavirus SARS-CoV-2 gestestet wurde oder bereits von einer Cornavirus-Erkrankung genesen ist.
Eine Integration in die für die elektronische Patientenakte zum 1.1.2022 einzuführende 1) elektronische Impfdokumentation gem. § 341 Abs. 2 Nr. 5. SGB V ist geplant. 2) Die Kassenärztliche Bundesvereinigung (KBV) hat die Covid-19-Impfung bereits in das entsprechende strukturierte Medizinische Informationsobjekt integriert.
Der digitale Impfnachweis ist ein freiwilliges und ergänzendes Angebot zur verpflichtenden Impfdokumentation nach § 22 Abs. 1 Infektionsschutzgesetz (IfSG) . Bürger, die kein Smartphone besitzen bzw. es verloren haben, können weiterhin den analogen (gelben) Impfausweis der WHO zum Nachweis einer Covid-19-Impfung verwenden.3) Nur dieser gilt zudem weltweit, so dass der digitale Impfnachweis den gelben Impfpass auch nicht ganz ersetzen wird.
Die Festlegung der Gültigkeitsdauer der COVID-19-Zertifikate obliegt den Mitgliedstaaten. Für Genesenenzertifikate ist im Anhang der EU-Verordnung (EU) 2021/953 eine Höchstdauer von 180 Tage festgelegt. Die Gültigkeitsdauer wird auch im Zertifikat eingetragen. Eine Geltungsdauer für Testzertifikate ist nicht vorgesehen. Für die Impfzertifikate wird nicht die Gültigkeitsdauer ins Zertifikat eingetragen, sondern nur das Datum der Impfung. Ob das Zertifikat nach den nationalen Regelungen noch gültig ist, muss dann bei der Prüfung festgestellt werden. In Deutschland beträgt die Gültigkeitsdauer des COVID-19-Impfzertifikats derzeit ein Jahr ab Ausstellungsdatum, ab 1.2.2022 wird das Impfzertifikat ohne Booster-Impfung lediglich noch neun Monate gültig sein.4)
⇒ Die neue EU-VO ist mittlerweile in Kraft getreten.6)
Ziel der digitalen COVID-19-Zertifikate
- Stärkung der Reisefreizügigkeit
- Beleg, dass eine Person
- gegen Covid-19 geimpft wurde (COVID-19-Impfzertifikat)
- negativ auf das Coronavirus getestet wurde (COVID-19-Testzertifikat)
- bereits von einer Covid-19-Erkrankung genesen ist (COVID-19-Genesenenzertifikat)
- Soll benutzerfreundlicher und fälschungssicherer7) als analoger Impfpass sein.
Chronologie
- 22.02.2021: Corona-Kabinett der Bundesregierung beschließt die Beschaffung einer digitalen Impfbescheinigung im Rahmen einer kurzfristigen dringlichen Vergabe.8)
- 25.02.2021 Einleitung der Dringlichkeitsvergabe9)
- 19.03.2021 Vergabe des Auftrags an die IBM Deutschland GmbH10)
- 27.05.2021 Pressekonferenz zur Vorstellung des digitalen Impfpasses „CovPass“
- 27.05.2021 Beginn eines kontrollierten Feldtests in allen Bundesländern mit je einem Impfzentrum.
- 08.06.2021 Impfzertifikatsmodul für Corona-Warn-App steht zur Verfügung.
- 09.06.2021 CovPass-App steht zur Verfügung (ohne Genesenen-Zertifikate).11)
- 14.06.2021 Ab heute können Apotheken Impfzertifikate ausstellen.12)
- 09.07.2021 Apotheken können seit heute auch Genesenen-Zertifikate ausstellen.13)
Status
27.08.2021
- Apotheken können Impf- und Genesenenzertifikate ausstellen.
- Ärzte können Impfzertifikate ausstellen.
- Impfzentren versenden Impfzertifikate bzw. stellen Sie - je nach Bundesland - über Online-Portale zum Abruf bereitzustellen.
Gesetzliche Grundlagen
Grundlage ist die am 14.06.2021 unterzeichnete europäische Verordnung über einen Rahmen für die Ausstellung, Überprüfung und Anerkennung interoperabler Zertifikate zur Bescheinigung von Impfungen, Tests und der Genesung mit der Zielsetzung der Erleichterung der Freizügigkeit während der COVID-19-Pandemie (digitaler grüner Pass), die derzeit erst als Beschlussfassung vorliegt.
Nationale Regelungen zu den COVID-19-Zertifikaten wurden mit dem Zweiten Gesetz zur Änderung des Infektionsschutzgesetzes und weiterer Gesetze gesetzlich verankert. Regelungen im Infektionsschutzgesetz (IfSG) bzgl. der Inhalte des Impfzertifikats richten sich nach den europäischen Vorgaben. Durch die „doppelte“ nationale Regelung wird „sichergestellt, dass eine Ausstellung des entsprechenden Zertifikates auch bereits vor Inkrafttreten der maßgeblichen europäischen Rechtsakte erfolgen kann“.15) Im IfSG wird ebenfalls die datenschutzrechtliche Grundlage für die Datenübertragung an das Robert Koch-Institut (RKI), das technisch die Zertifikate erzeugt. Zudem wird das Eintragen falscher Angaben in Impf-, Genesenen- und Testdokumenten sowie deren Nutzung unter Strafe gestellt.
Relevant ist zudem die Verordnung zur Regelung von Erleichterungen und Ausnahmen von Schutzmaßnahmen zur Verhinderung der Verbreitung von COVID-19 (COVID-19-Schutzmaßnahmen-Ausnahmenverordnung – SchAusnahmV). Dort ist beispielsweise geregelt, wer eigentlich als Geimpfter, negativ Getesteter, Genesener gilt (§ 2).16)
Einen guten Überblick über das vergangene und weitere Gesetzgebungsverfahren bietet Sebastian Etzel (Stand: 21.05.2021).
Anspruch auf Ausstellung
- § 22 Abs. 5 S.2 IfSG regelt den Anspruch einer geimpften Person auf (auch nachträgliche Ausstellung) eines COVID-19-Impfzertifikats. Da von „Person“ die Rede ist, gilt das wohl auch für Privatversicherte.
- § 1 Abs. 1 (der am 23. Juni 2021 erlassenden) Corona-Testverordnung17) regelt den Anspruch der Versicherten auf eine Testung im Rahmen der Verfügbarkeit von Testkapazitäten in Bezug auf einen direkten Erregernachweis des Coronavirus SARS-CoV-2. Dieser Anspruch umfasst auch die Erstellung eines COVID-19-Genesenenzertifikats nach § 22 Abs. 6 IfSG und eines COVID-19-Testzertifikats nach § 22 Abs. 7 IfSG. Abs. 2 legt dabei explizit fest, dass der Anspruch auch für Personen besteht, die nicht in der gesetzlichen Krankenversicherung versichert sind.
Apotheker dürfen Impfung nachdokumentieren
§ 22 Abs. 5 Infektionsschutzgesetzes (IfSG): „Zusätzlich zu der Impfdokumentation ist auf Wunsch der geimpften Person die Schutzimpfung (…) in einem digitalen Zertifikat (COVID-19-Impfzertifikat) (…) zu bescheinigen durch die zur Durchführung der Schutzimpfung berechtigte Person oder nachträglich von jedem Arzt oder Apotheker. Die Verpflichtung (…) besteht nur, wenn eine Impfdokumentation vorgelegt wird und er sich zum Nachtrag (…) bereit erklärt hat. (…)“
Eine Nachdokumentation von bereits erfolgten Impfungen ist deshalb notwendig, weil die Impfungen in Deutschland bisher nicht regelhaft unmittelbar und zentral digital erfasst werden.
Strafrahmen für Fälschung
Der Strafrahmen für die Fälschung von Gesundheitszeugnissen wird in § 277 Strafgesetzbuch (StGB) geregelt. Es drohen Freiheitsstrafe bis zu einem Jahr und eine Geldstrafe. Im Vergleich zur Fälschung von Urkunden gem. § 267 StGB ist diese Strafe (weitaus) geringer.
Zur aufkommenden Forderung einer Verschärfung des Strafmaßes vgl. bspw. „Justizminister für Strafverschärfung bei gefälschten Impfpässen“, ÄrzteZeitung, 17.06.2021 (abgerufen am 17.06.2021).
Anfragen an Bundesregierung
- Kleine Anfrage Fraktion der AfD, Medizinisches Informationsobjekt Impfpass - Digitaler Corona-Impfnachweis (BT-Drs. 19/30034) / Antwort der Bundesregierung (BT-Drs. 19/30774).
Technische Architektur
Komponenten
- eine Prüf-App (CovPass CheckApp) und
- ein Impfzertifikatsservice mit
- Backend zur Erzeugung der Impfzertifikate
- Frontend zur Dateneingabe. Das Frontend ist integrierbar in bzw. ansprechbar aus bswp. Praxisverwaltungssystemen von Ärzt:innen.
CovPass-App
Technische Voraussetzungen
Die CovPass-App läuft auf Android-Smartphones ab Android Version 6 („Marshmellow“), die im Herbst 2015 auf den Markt kam,20) und iPhones ab iOS 12.121), so dass alle Apple-Smartphones ab dem iPhone 5s kompatibel sind. Für Menschen, die kein Smartphone besitzen, gibt es einen Nachweis auf Papier mit einem QR-Code, der an Prüfstellen digital eingelesen werden kann.22)
Planung Weiterentwicklung
Geplant ist die Funktionalität für Genesenen-Zertifikate für Ende Juni 2021.23)
Integration in die Corona-Warn-App
Seit 8.6.2021 ist der digitale Impfnachweis auch in die Corona-Warn-App (Version 2.3.2) integriert. Genesenen- und Testzertifikate können noch nicht erfasst werden.25) Geplant ist die Funktionalität für Genesenen-Zertifikate für Ende Juni 2021.26) Auch zusätzliche Zertifikate für Kinder oder Eltern lassen sich noch nicht erfassen.
24.6.2021 Corona-Warn-App Version 2.4 unterstützt nun auch Testzertifikate.27) Zusätzliche Zertifikate für Kinder oder Eltern lassen sich noch immer nicht erfassen, sind aber für die nächste Version geplant.
12.7.2021 Die Cornoa-Warn-App in der Version 2.5 unterstützt nun auch Genesenenzertifikate und ermöglicht die zusätzliche Ablage von COVID-19-Zertifikaten für Familienmitglieder. Damit wird auch die Corona-Warn-App zu einem COVID-19-Zertifikats-Wallet.28)
28.7.2021 Mit der Version 2.6 der Corona-Warn-App können Nutzer*innen vor einer Reise überprüfen, ob ihre COVID-19-Zertifikate in dem Zielland gültig sind.29)
16.8.2021 Die Version 2.7 der Corona-Warn-App überprüft nun die Signatur von COVID-19-Zertifikaten auf Echtheit. Zudem zeigt sie das technische Ablaufdatum der Zertifikate an und benachrichtigt die Nutzer:innen vor dem Ablauf von Impf- und Genesenenzertifikaten.30)
25.8.2021 Die Version 2.8 der Corona-Warn-App passt die (mit Version 2.6 eingeführte) EU-Zertifikatsprüfung an. Hat ein Land keine Einreiseregeln zur Verfügung gestellt, die die Corona-Warn-App zur Überprüfung heranziehen kann, heißt es in der Zertifikatsprüfung nun „Zertifikat nicht prüfbar“. Zuvor hat die App in diesem Fall angezeigt, dass das Zertifikat im gewählten Land gültig sei. Im Text darunter wies sie aber darauf hin, dass für das Zertifikat derzeit keine Einreiseregeln für das gewählte Land vorhanden sind. 31)
8.9.2021 In Version 2.9 der Corona-Warn-App wird für Genesene künftig bereits nach der ersten Impfung den vollständige Impfschutz angezeigt. Weiterhin können Nutzer, die eine Auffrischungsimpfung erhalten haben, diese ab sofort in die Corona-Warn-App übertragen.
20.12.2021 Die Version 2.15 der Corona-Warn-App unterstützt sog. Onlineverifikationsdienste. Sie erlaubt dann die Übermittlung des COVID-19-Zertifikats bereits bei der Buchung von Dienstleistungen wie bspw. Tickets bzw. Reservierungen. Derzeit sind aber in Deutschland solche Dienste noch nicht zugelassen und somit noch nicht verfügbar. 32)
Integration in die Luca-App
Seit dem 18. Juni integriert auch die Luca-App das Impfzertifikat.33)
Integration in die TK-App
Seit 21.7.2021 integriert auch die TK-App, die Service-App für Versicherte der TK, ebenfalls dass Impfzertifikat.35)
Integration in Verimi-Wallett
Auch das Verimi-Wallet unterstützt die COVID-19-Zertifikate. Seit 2.9.2021 ist dabei auch die digitale Verknüpfung mit dem Personalausweis möglich.36)
Andere Impfpass-Apps
Es gibt zahlreich weitere Impfpass-Apps, die i.d.R. nicht kompatibel mit dem QR-Code des COVID-19-Zertifikats sind und bspw. kostenlos von große Krankenkassen wie AOK, Barmer oder Techniker Krankenkasse angeboten werden. Zudem gibt es - ebenfalls nicht kompatible - Angebote wie impfpass.de, das von der in Berlin ansässigen Gesellschaft zur Förderung der Impfmedizin mbH vertrieben wird und von der Jenaer Zollsoft GmbH entwickelt wurde.37)
Google plant die Bereitstellung (zunächst in den USA) einer Schnittstelle über die Android-eigene „Passes API“, mittels derer Impfnachweise direkt bereitgestellt werden können.38)
Prüf-App (CovPass-Check-App)
Es bestehen keine Einschränkungen in Bezug auf die Installation der Prüf-App. Jeder Bürger ist somit berechtigt sie zur Prüfung von Zertifikaten zu installieren.39)
Impfzertifikatsservice
Die Schnittstelle des Internetportals werden von mindestens zwei Betriebssystemen genutzt.41)
Technischer Ablauf Zertifikatserstellung (am Beispiel Impfzertifikat)
- Erfassung der Impfdaten über das Web-Frontend des Impfzertifikatsservice (des RKI) bzw. im Praxisverwaltungssystem, der die Impfdaten an das Frontend des Impfzertifikatsservice überträgt.42)
- Authentisierung mittels SMC-B im Zusammenspiel mit dem Konnektor (Arztpraxis) oder per (starker) Client-Server-Authentisierung (Impfzentrum/Apotheke) gegenüber dem Backend des Impfzertifikatsservice.
- Übertragung der Impfdaten vom Frontend an das Backend des Impfzertifikatsservice
- Erzeugung des Impfzertifikats durch Backend des Impfzertifikatsservice
- Übertragung des Impfzertifikats an Frontend des Impfzertifikatsservice
- Ausstellung des Impfzertifikats als PDF inkl. QR-Code (2D-Barcode)
- Druck des Impfzertifikats (und Anzeigemöglichkeit im Frontend, PVS)
Das Backend des Zertifikatsservice bietet die Zertifikatserstellung über die REST-basierte Certification-API an. Grundlage für die Certification-API sind die Festlegungen der EU zum Digital Green Certificate Schema (DCG-Schema)44). Das technische Infomodell ist in JSON definiert.45)
Weitere Eckpunkte
- Ausschließlich lokale Speicherung der COVID-19-Zertifikate auf dem Smartphone des Nutzers.
- Die Nachweis-App kann nicht nur eigene COVID-19-Zertifikate, sondern auch den von Kindern speichern.
- Prüf-App überprüft das COVID-19-Zertifikat für Dienstleister. Dazu ist nicht zwingend eine Internet-Verbindung notwendig.
- Die Nachweis-App kann als Modul in andere Apps (zB die Cornona-Warn-App) eingebaut werden.
Entgegen den ursprünglich diskutierten Konzepten soll bei der Lösung nicht auf die Verschlüsselungstechnik von Blockchains gesetzt werden, sondern auf „traditionelle“ Verschlüsselungstechnik (Public Key Infrastruktur). Die technische Architektur passt sich damit den europäischen Rahmenvorgaben an, so dass die generierten Codes in allen angeschlossenen europäischen Ländern prüfbar sind. Das Design des digitalen Zertifikats und der Apps kann länderspezifisch variieren.
Eckpunkte der Sicherheitsarchitektur
- Der digitale Impfnachweis darf nur von autorisierten Personen in Impfzentren, Arztpraxen und Krankenhäusern ausgestellt werden. Auch Apotheker können eintragen.49).
- Authentisierung in Arztpraxen und inzwischen auch Apotheken erfolgt über die SMC-B (im Zusammenspiel mit dem Konnektor)
- Prüfung des Impfzertifikats (QR-Code) auch offline ohne Internetverbindung möglich.
- Bei der Überprüfung von digitalen Impfnachweisen ist – wie in der analogen Welt auch – ergänzend ein Lichtbildausweis vorzulegen.
- Der digitale Impfnachweis ist kryptographisch vor Veränderungen geschützt und gleichzeitig an ein Smartphone gebunden, sodass auch ein möglichst umfassender Schutz vor Vervielfältigung besteht.
- Die Signaturerstellung erfolgt zentral, die Daten der Impfnachweise sind nirgends zentral gespeichert.
- Vertrauensmodell ist eine zweistufige Public Key Infrastructure (PKI): Jedes EU-kompatible COVID-19-Zertifikat trägt als eindeutige Kennung einen sog. Unique Certificate Identifier (UCI oder CI). Dieser wird in jedem EU-Staat von einer zentralen Country Signing Certificate Authority (CSCA) vergeben. In Deutschland ist diese CSCA das Robert-Koch-Institut (RKI). Über den CI lässt dich zurückverfolgen, welche Institution ein Zertifikat ausgestellt hat. Illegale/ungültige Zertifikate bzw. deren CI können in Sperrlisten eingetragen werden und auf diese Weise ein eigentlich nicht vorgesehener Sperrmechanismus implementiert werden 50) Die CSCA signiert nationale Digital Signer Certificates (DSC), mit denen die COVID-19-Zertifikate signiert werden. Diese DSC werden von den Mitgliedsländern an das europäische Digital Green Certificate Gateway (DGCG) übermittelt, das die notwendigen Funktionen für das Key Management bereitstellt.51)
Kritik an Sicherheitsarchitektur
- Daten der Impfnachweise werden nicht zentral gespeichert, aber die Signaturen für die Echtheit der Zertifikate werden zentral erstellt. Die sieht der CCC als potentiellen Angriffspunkt. Besser sei ein dezentrales Offline-System, bei dem die Signaturen durch die Arztpraxen bzw. Impfzentren aufgebracht werden.
- Es gibt keine Sperrfunktion für einzelne falsche oder erschlichene Zertifikate. Auch abgelaufene Zertifikate können nicht zurückgezogen werden, lediglich alle Zertifikate einer ausstellenden Institution/Person zurückgenommen werden. Grund sind die europäischen Vorgaben, die auf diese Funktionalität aus Gründen der Schnelligkeit und Vereinfachung verzichteten52) Offensichtlich werden aber viele Millionen Zertifikate mit einem Schlüssel (eines sog. Digital Signer Certificates) erstellt, bspw. nutzen alle Apotheken denselben Schlüssel. Eine Entwertung dieses Schlüssels würde alle über Apotheken ausgegebene Zertifikate sperren. Somit ist lediglich über nationale Sperrlisten eine Einzelsperrung von Zertifikaten nach deren Identifikation möglich.53)
Sicherheitslücken/-risiken/-vorfälle
- Die Sicherheit nachträglich ausgestellter digitaler Impfzertifikate basiert auf der Sicherheit des vorgelegten Nachweises einer bereits durchgeführten Impfung. In der Regel wird dieser Nachweis der gelbe Impfpass sein bzgl. dessen Fälschungssicherheit Bedenken bestehen.54)
- Der QR-Code kann technisch einfach in ein anderes Smartphone übertragen werden, bspw. durch abfotografieren und importieren. Da er nicht mit der Identität des Benutzers verknüpft ist, müsste im Prinzip neben dem QR-Code immer auch ein Abgleich mit dem Personalausweis vorgenommen werden, was vermutlich in der Praxis nicht immer geschehen wird. Insbesondere könnten nicht vertrauenswürdige Dienstleister statt einer Kontrolle massenhaft QR-Codes abscannen und wiederverwenden. Die Fälschung eines digitalen Impfausweises gilt allerdings als Straftat.55)
- Es ist aktuell (16.06.2021) leicht möglich, die vorgeschriebene 14-tägige Wartezeit zwischen zweiter Impfung und vollständigem Impfschutz mit einem simplen Trick (Verstellung Systemdatum) am Smartphone zu umgehen.56)
- Eine Analyse ergab „gravierende Mängel“ bei der Ausstellung von Impfzertifikaten in Apotheken.57) Nach der Aufdeckung einer Sicherheitslücke des DAV-Portals wurde die Ausgabe der digitalen Zertifikate durch Apotheken am 22.07.2021 bundesweit gestoppt. Die IT-Sicherheitsspezialisten André Zilch und Martin Tschirsich war es gelungen, über den im Prinzip gänzlich ungesicherte Gästezugang des DAV-Portal als Fake-Apotheke vollen Zugriff auf die Services zur Erzeugung von Impfzertifikaten zu erhalten.58). Erst nach Anbindung an die TI wurde das neue Portal ab 29.7.2021 wieder freigegeben. Es ist nun nur noch über die TI erreichbar. Eine Überprüfung aller Gastzugänge auf weitere Fake-Apotheken förderte keine weiteren zu Tage. Die vorher aufgetauchten Fake-Zertifikate müssen also eine andere Herkunft haben. Das BMG hat inzwischen das Bundeskriminalamt eingeschaltet.59)
- Fälschung von hunderten Impfzertifikaten in München durch Apothekenmitarbeiter:innen.60)
Sicherheit der Nachweis-Apps
Fazit des Tests des Verbraucherportals IMTEST zu den drei Apps (CovPass-, Corona-Warn- und Luca-App):
Datenschutz
Bei der Überprüfung des Status wird der Prüfstelle, also beispielsweise den Mitarbeitern an Flughäfen, in Restaurants oder Hotels, nur ein Signal „grün“ oder „rot“ mit dem dazugehörigen Namen und Geburtsdatum angezeigt. Ob die Freischaltung durch eine vollständige Impfung, einen negativen Coronatest oder eine überstandene Coronaerkrankung erfolgt, sieht die Prüfstelle nicht. Name und Geburtsdatum dienen dem Abgleich mit einem Lichtbildausweis, der zur Identifizierung ebenfalls vorgelegt werden soll.61) ⇒ Datensparsamkeit
Die Quellcodes sowohl der CovApp als auch der Prüf-App werden veröffentlicht, so dass nachprüfbar wäre, ob nicht doch Daten gesammelt werden. Vertrauen ist jedoch in die das Impfzertifikat prüfenden Dienstleister nötig, ob diese nicht illegalerweise doch eine Prüf-App einsetzen, die Daten sammelt.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, kritisiert eine zu späte Beteiligung seiner Behörde an der Entwicklung des digitalen deutschen Impfnachweises. Obwohl immer auch eine Papiervariante als Nachweis möglich sein müsse, sehe er die digitale Variante, welche nur die notwendigen Daten beinhalte als grundsätzlich datenschutzfreundlicher an.62)
Der postalische Versand der Impfzertifikate durch die Impfzentren ist mit dem BfDI abgestimmt. Andere denkbare Lösungen - bspw. der Abruf über Portale - müssen jeweils von den Ländern mit dem Landesdatenschützern abgestimmt werden.63)
Funktionsweise
- Generierung eines Impfzertifikats als QR-Code auf Papier in der Arztpraxis oder dem Impfzentrum
- direkt im Rahmen des Impfprozesses,
- nachträglich
- auf Vorlage eines Nachweises der Genesung, Testung, Impfung in einer Arztpraxis oder einer Apotheke,
- im Impfzentrum mit anschließender postalischer Nachsendung oder Abruf über ein Online-Portal
- Einscannen des QR-Codes mit der CovPass-App.
- Prüfung des Impfzertifikats auf Papier oder des digitalen Impfzertifikats in der CovPass App mit der CovPass CheckApp durch einen Dienstleister.
QR-Code des digitalen Impfnachweises in der CovPass-App 64)
Prüfergebnis in der CovPass CheckApp65)
Generierung Impfzertifikat in einem Impfzentrum
Die Anbindung der Impfzentren erfolgt über die Bundesländer,66)
Die Generierung im Impfzentrum erfolgt über eine Webanwendung des RKI (Portallösung) als Frontend des Impfzertifikatsservice.67)
Die Authentifizierung bzw. Anbindung der Impfzentren erfolgt nicht über die Telematikinfrastruktur, sondern alternative Sicherungsmechanismen. Soweit Geräte (bspw. Hardwaretoken) für die Authentifizierung notwendig sind, so werden diese vom Auftragnehmer des BMG zur Verfügung gestellt.68)
Die Impfzertifikate werden je Bundesland unterschiedlich an die Impflinge verteilt. Einige Impfzentren versenden das generierte COVID-19-Zertifikat per Post, andere fordern die Impflinge auf, den Impfnachweis über ein Portal unter Angabe von Kriterien (bspw. Chargennummer) herunterzuladen.69)
Generierung Zertifikate in einer Praxis
Für die Generierung von Zertifikaten in der Arztpraxis stehen
- eine Integrationslösung in die Praxisverwaltungssysteme (PVS-Modul) oder
- ein Internetportal des RKI70)
- seit Oktober 2021 ein Desktop-Client von IBM71) zur Verfügung.
Die benötigten PVS-Module für die Integrationslösung stehen seit 12.07.2021 kostenlos - finanziert durch das BMG - zur Verfügung. Stand Oktober 2021: fast alle Softwarehersteller, die an der Ausschreibung teilgenommen haben, stellen mittlerweile ein Update bereit, mit dem auch Zertifikate für Auffrischungsimpfungen ausgestellt werden können.72)
Die Portallösung ist nutzbar über eine Webanwendung des RKI als Frontend des Impfzertifikatsservice73), mit Anmeldung mittels
- Browser im KV SafeNet74) oder
- (auf dem Arbeitsplatzrechner) zu installierenden Komfort-Client über den Konnektor der TI.
Praxishinweis für Nutzung der Webanwendungen des RKI über KV-SafeNet
Bei der Anmeldung über die TI muss das Routing zu den entsprechenden Fachdiensten der TI am Endgerät (Arbeitsplatzrechner) konfiguriert werden analog zur Route für KV Safenet, wenn der Konnektor nicht als Default Gateway eingerichtet worden ist. Durch Eingabe aller folgender Routen ist man „auf der sicheren“ Seite auch wenn in einigen Szenarien nicht alle Routen nötig wären
route add -p 100.102.0.0 MASK 255.255.128.0 konnektor
100.103.0.0 MASK 255.255.0.0
100.102.128.0 MASK 255.255.128.0
161.156.128.32 MASK 255.255.255.240
100.102.17.10 MASK 255.255.255.255
188.144.0.0 MASK 255.254.0.0
Im Router der Praxis hinterlegen: https://web.impfnachweis.info
Generierung COVID-19-Zertifikate in einer Apotheke
Die Apotheker können seit 14. Juni COVID-19-ImpfZertifikate nachtragen. Ab 9. Juni können sich Apotheker im Verbändeportal des DAV für das Portal www.mein-apothekenmanager.de registrieren, über das Bürgerinnen und Bürger dann bundesweit Apotheken in ihrer Nähe finden können, die digitale Impfnachweise kostenlos ausstellen. Das Verbändeportal ist für den Service der Digitalisierung der Impfnachweise an den zentralen Server des vom Bundesministerium für Gesundheit (BMG) beauftragten Dienstleisters IBM angebunden. 75)
Die Erzeugung der COVID-19-Zertifikate in der Apotheke erfolgt bundeseinheitlich über das DAV-Verbändeportal (http://www.mein-apothekenportal.de).76) Hierfür müssen sich die Apotheken registrieren, die Telematik-ID wird zudem benötigt. Nach der Anmeldung kann im Portal die Nutzung des Moduls »Digitales Impfzertifikat« freigeschalten werden.77) Der Weg über das Verbändeportal ist zudem der einzige Weg für Apotheken, über die Webanwendung des Impfzertifikatsservice vom RKI direkt ist eine Erzeugung nicht möglich.78) Auch eine Nutzung der SMC-B einer Apotheke zum Login im Impfzertifikatsservice über den Konnektor - analog zur Arztpraxis - war bis zum 29.7.2021 nicht möglich, da die API des Impfzertifikatsservice nur Arzt-SMC-Bs akzeptierte.79). Technisch band die DAV-Portallösung sich natürlich ebenfalls im Hintergrund an den Impfzertifikatsservice an und agierte faktisch ein eigenes Frontend dafür darstellen. Nach der Aufdeckung einer Sicherheitslücke im DAV-Portal ist nun die Anbindung nur noch über die TI möglich!
Seit 9.7.2021 werden in Apotheken auch Impfnachweise für Genesene ausgestellt.80)
Seit 25.8.2021 stellen Apotheken Genesenenzertifikate aus.81)
Zur Sicherheitslücke und vorübergehendem Ausgabestopp der Zertifikatsausgabe in Apotheken s. hier.
Überprüfung der Zertifikate
Erfolgt über die CovPass-App, mit der prinzipiell auch Bürger ihre Partygäste auf Impfschutz überprüfen könnten.
Gültig ist das digitale Zertifikat allerdings nur im Verbund mit einem amtlichen Ausweisdokument.
Bei der Überprüfung der Zertifikate wird nur ein Signal „grün“ oder „rot“ mit dem dazugehörigen Namen und Geburtsdatum angezeigt. Ob die Freischaltung durch eine vollständige Impfung, einen negativen Coronatest oder eine überstandene Coronaerkrankung erfolgt, sieht die Prüfstelle nicht. Name und Geburtsdatum dienen dem Abgleich mit einem Lichtbildausweis, der zur Identifizierung ebenfalls vorgelegt werden soll.82) ⇒ Datensparsamkeit
Details zur Prüfung mit der CovPass-Check-App auf den Seiten des RKI.
Informationen des Impfnachweises
Der verschlüsselte und signierte QR-Code enthält den minimalen Datensatz nach EU-Vorgaben.
- Name
- Geburtsdatum
- Ausweisnummer
- Impfstelle
- Impfstoff-Charge
- Datum der Impfung beziehungsweise Datum und Ergebnis des Tests.
(Quelle: CovPass: Digitaler Impfnachweis per Post, abgerufen am 22.05.2021)
Betrieb
- Es steht eine telefonisch erreichbare Hotline von 25 Personen bereit (Stand: 28.06.2021). Diese kann bei hohem Aufkommen von Anfragen auf bis zu 100 Personen bedarfsgerecht ausgebaut werden.83)
Beteiligte Unternehmen
CovPass-App, CovPass-CheckApp, Impfzertifikatsservice
Die technischen Komponenten werden von einem Unternehmenskonsortium der Firmen UBIRCH, IBM Deutschland, govdigital und Bechtle im Auftrag des BMG entwickelt und zur Verfügung gestellt. Für Impfzentren und Arztpraxen wurden nur das Internetportal und Schnittstellen zur Integration beauftragt. Das Gateway über das die öffentlichen Schlüssel in die Prüf-App geladen werden, wird von der EU zur Verfügung gestellt. Das Robert Koch-Institut ist als Herausgeber verantwortlich für die Prüfung der Datenschutz- und Sicherheitsanforderungen.84)
Die Erfassung von Testergebnissen sowie einer ausgeheilten Covid-19-Erkrankung war im ursprünglichen Entwicklungsauftrag des BMG für den digitalen Impfnachweis nicht enthalten. Dies beschloss die EU erst später.
Frontends für Impfzertifikatsservice
- Die Incentergy GmbH hat ein Open-Source-Frontend entwickelt, das sich auch in ein PVS integrieren ließe.85)
Frontend zur Zertifikatserzeugung im PVS (PVS-Modul)
- Die Auftragsbekanntmachung (Open-House-Verfahren) zur Bereitstellung der Lösung zur Erstellung von COVID-19 Zertifikaten in Form von Impfzertifikaten und Zertifikaten für Genesene aus dem Praxisverwaltungssystem heraus wurde am 21.05.2021 im EU-Amtsblatt veröffentlicht.
- Zudem gibt es Ausschreibungsunterlagen des BMG für dieses Zertifikatmoduls für Primärsysteme zur Ausstellung von COVID-19 Zertifikaten.
- Angebot an Praxen muss stehen bis Ende Juni, spätestens jedoch bis 12.7.2021
- Vergütung beträgt 105 € pro Lizenz (unabhängig von tatsächlicher Nutzung)
- Zulassung durch BMG
Stand der Umsetzung bei einigen PVS-Herstellern
Kosten und Aufwand
- Gemäßder Planung wird mit Kosten von 2,7 Mio Euro (netto) für die technischen Komponenten gerechnet.88).
- Zusätzliche europäische Anforderungen können den Kostenrahmen noch verändern.89)
- Im Rahmen der parlamentarischen Beratungen zum Zweiten Gesetz zur Änderung des IfSG und weiterer Gesetze v. 28.5.201 (BGBl. I S. 1174) wurde für die Ermöglichung der Ausstellung der COVID-19-Zertifikate ein Wert von 20 Millionen Euro veranschlagt.90)
- In der Pressekonferenz zur Vorstellung des digitalen Impfpasses „CovPass“ war von einem bisher angefallenen „einstelligen Millionenbetrag“ für das Gesamtprojekt die Rede.
- Ärzt:innen sollen das Zertifikatsmodul für ihr Praxisverwaltungssystem kostenlos von den Herstellern erhalten. Die Hersteller erhalten 105 € pro Modul91)
- Die Impfnachweis-Apps und Prüf-Apps sind kostenfrei.
- Für die Authentifizierung in Impfzentren benötigte Hardwaretoken werden vom Auftragnehmer des BMG zur Verfügung gestellt.92)
- Die tatsächlichen Kosten sind inzwischen fünf mal so hoch wie veranschlagt93)
Vergütung für Ausstellung
Vergütung für Ärzte
Impfzertifikate
Quelle: Coronaimpfzertifikate: 18 Euro für das nachträgliche Ausstellen vorgesehen, aerztelblatt.de, abgerufen am 25.05.2021.
Festlegungen zur Höhe der ärztlichen Vergütung erfolgen im § 6 der Verordnung zum Anspruch auf Schutzimpfung gegen das Coronavirus SARS-CoV-2 (Coronavirus-Impfverordnung - CoronaImpfV), die am 07.06.2021 in Kraft tritt.
Neben der Abrechnung mit der jeweiligen Kassenärztlichen Vereinigung (KV) sollen Privatarztpraxen auch Verrechnungsstellen einbinden können.
Vertragsärzten stehen die folgenden Pseudo-Gebührenordnungspositionen (Pseudo-GOP) zur Verfügung94):
Pseudo-GOP | Leistung gemäß Corona-Impfverordnung | Vergütung |
---|---|---|
Impfzertifikat für Personen, die in der eigenen Praxis geimpft wurden | ||
88350 | Ausstellung eines Impfzertifikats | 6 € |
88351 | Ausstellung eines Impfzertifikats automatisiert mithilfe des PVS-Systems | 2 € |
Impfzertifikat für Personen, die nicht in der eigenen Praxis geimpft wurden | ||
88352 | Ausstellung eines Impfzertifikats | 18 € |
88353 | Ausstellung eines Impfzertifikats für die Zweitimpfung, wenn dieselbe Praxis in einem unmittelbaren zeitlichen Zusammenhang das Zertifikat für die Erstimpfung erstellt hat | 6 € |
- Ärzt:innen, die nachträglich digitale Impfnachweise ausstellen, sollen dafür 18 € erhalten, wenn sie die Impfung selbst nicht vorgenommen haben.
- Für die Zertifikatsausstellung nach einer Erst- und Zweitimpfung erhalten impfende Ärzt:innen jeweils 6 € zusätzlich zu den 20 € je Impfung.
- Die Vergütung pro Impfung wird allerdings jeweils um 4 € gemindert, wenn „die Erstellung unter Einsatz informationstechnischer Systeme erfolgt, die in der allgemeinen ärztlichen Versorgung zur Verarbeitung von Patientendaten eingesetzt werden“.
Genesenenzertifikate
Die Vergütung für die Ausstellung von Genesenenzertifikaten erfolgt (seit 1.7.2021) analog zu den Impfzertifikaten.
Festlegungen zur Höhe der ärztlichen Vergütung für Genesenzertifikate erfolgen im § 12 Abs. 6 der Verordnung zum Anspruch auf Testung in Bezug auf einen direkten Erregernachweis des Coronavirus SARS-CoV-2 (Coronavirus-Testverordnung – TestV), die am 1.7.2021 in Kraft trat.
Vertragsärzten stehen die folgenden Pseudo-Gebührenordnungspositionen (Pseudo-GOP) zur Verfügung95):
Pseudo-GOP | Leistung gemäß Corona-Impfverordnung | Vergütung |
---|---|---|
COVID-19-Genesenenzertifikate gemäß § 22 Absatz 6 des Infektionsschutzgesetzes | ||
88370 | Ausstellung eines COVID-19-Genesenenzertifikats | 6 € |
88371 | Ausstellung eines COVID-19-Genesenenzertifikats automatisiert mithilfe des PVS-Systems | 2 € |
Antigen-Test zur Eigenanwendung | ||
88314 | Überwachung eines Antigen-Tests zur Eigenanwendung | 5 € |
Die TestV passt zudem die Vergütung für den Antigen-Test an: Für den Abstrich (Pseudo-GOP 88310) werden 8 Euro gezahlt. Die Sachkosten (Pseudo-GOP 88312) werden pauschal mit 3,50 Euro vergütet.
Vergütung für Apotheken
Impfzertifikate
Äpotheker:innen, die nachträglich digitale Impfnachweise ausstellen, erhalten
Die Vergütung für die Ausstellung von Impfzertifikaten für Genesene erfolgt (seit 1.7.2021) analog.
Ausgezahlte Beträge
Stand 15.07.2021: vgl. dazu im Detail COVID-19: 35,68 Millionen Euro für digitale Impfzertifikate ausgezahlt, aerzeblatt.de, 15.7.2021 (abgerufen am 18.7.2021).
Finanzierung für PVS-Module der Arzt- und Apothekersysteme
Das PVS-Modul zur Erzeugung von Zertifikaten wird den Arztpraxen kostenfrei zur bestehenden Lizenz im Rahmen des PVS-Vertrages zur Verfügung gestellt. Die Finanzierung übernimmt der Bund. Die PVS-Hersteller haben zudem die Aufgabe, die Praxen über die Anwendung zu informieren.98)
Testung
- Ende Mai lief ein „kontrollierter Feldtest“ 99) beginnend in Brandenburg (Potsdam) in jedem Bundesland jeweils in einem ausgewählten Testzentrum.
- In jedem Impfzentrum durften gemäß BSI- und BfDI-Vorgabe 30 Zertifikate erzeugt werden.
- Teilnehmer waren Bürger:innen, die zuvor eingewilligt hatten.
Akzeptanz
- ca. die Hälfte aller Deutschen wollen das digitale Impfzertifikat nutzen.100)
- Gemäß einer Bitkom-Umfrage ist das Interesse der Deutschen am digitalen Impfnachweis groß.