motivation

Ich möchte hiermit eine Änderung bezüglich des QR Code handlings hinweisen. Insbesondere sehe ich das es hier ein nicht unerhebliches Datenschutzproblem gibt welches aus meiner Sicht die Benutzer der CWA App nicht realisieren. Ich möchte also sensibilisieren.

problem

Dadurch das auf den QRCodes des Impfzertifikats Name und Geburtsdatum gespeichert ist bekomme ich als Wirt einen super Überblick über meine Gäste. Ich als Gast sehe nicht durch welche app meine Daten verarbeitet werden. Es gibt zwar die covpasscheck app, die ist datensparsam aber für mich als Wirt auch ohne Benefiz. Durch die (ich nenne sie mal Check+ App) die anders als covpasscheck nicht nur die Daten anzeigen sondern auch in eine Datenbank ablegen, kann ich sehen
-wer bei mir Gast war (mit vollem Namen)
-wann
-Alter
Ich kann sogar wiederkehrende Besucher identifizieren.
Zusätzlich habe ich eine exakte Anzahl der Gäste plus einen Altersschnitt.
die Auswertungsmöglichkeiten sind grandios und besser als das was man sich vor der Pandemie gewünscht hat.

Leider (oder auch gut?) gibt es diese check+ Apps noch nicht mit zentraler Datenhaltung so dass man zusätzlich die Besucherströme verfolgen kann. (derzeit wollen sicher die anderen Wirte das wohl nicht da man dadurch die fremde Auslastung sehen kann (Wettbewerb und so) aber ggfs wird es sowas mal anonymisiert geben. Über die Vernetzung sehe ich von wo die Gäste kamen und wann die wohin abwandern. Ich denke das ist nur eine Frage der Zeit bis das kommt.

Grundproblem: Ich als Gast sehe nicht mit welcher app meine Daten verarbeitet werden! Und schon garnicht was mit den Daten passiert und wie lange diese gespeichert werden. Selbst wenn diese check+ Apps auf der Oberfläche optisch wie die covpasscheck App aussehen sehe ich nicht ob es diese wirklich ist. Mir als Gast fehlt eine gegen Verifizierung der Prüf app.

So jetzt genug vorgeplänkel. Problem sollte klar sein.

Feature description

Lösungsmöglichkeiten sind leider nicht einfach. (politisch zb den scan des QR Codes verbieten lasse ich mal außen vor)
Was kann die cwa app tun?

1 Option. Ein Zertifikatscheck screen zusätzlich ohne QR Code. Dort steht Name, Geburtsdatum, impfstatus, wie lange her und 2g oder 3g der Einfachheit mit einer entsprechenden Farbe hinterlegt. Das verhindert aus meiner Sicht die massenweise digitale Erfassung der Benutzerdaten, denn merken können sie die Prüfer das alles nicht. Und eine Prüfung gegen Ausweisdokumente ist somit immerhin möglich.

2.Option. auf dem screen mit den QR Code wird beim Öffnen ein popup vor geblendet. Welches ich als Nutzer aktiv schließen muss. Auf diesem popup steht sinngemäß: bitte beachten Sie das folgende Daten: "Name, Alter" durch den Prüfer automatisch verarbeitet und gespeichert werden. Prüfen Sie deren dsgvo aushänge usw. (sollte einfach aber verständlich sein) ich als App Anwender muss das dann aktiv jedes Mal weg klicken. Ähnliches machen viele Internetseiten, die auch jedesmal die Erlaubnis zum verarbeiten einholen. Eine generalvollmacht beim installieren der App einzuholen ist aus meiner Sicht nicht ausreichend.

3 Option. Die cwa generiert ein QR Code welches zwar den impfstatus enthält aber kein Name und Geburtsdatum, so hat der Wirt keine Chance beim scannen diese Daten zu erheben. Kann aber immer noch den impfstatus prüfen.

Mir ist klar das dieses eher ein Designproblem als Gesamtes, als ein reines cwa Problem ist. Aber die cwa hat sich als Ziel gesetzt Datensparsam zu sein, also sollte sie auch mindestens vor den Datenabzug warnen oder Sensibilisieren.

I think it would be good to also report this issue here: https://github.com/ehn-dcc-development/hcert-spec

Also wenn ich mir das Bild unter den link so angucke sieht es so aus, als hätten die developer auf der ausstellenden Seite alles richtig gemacht (Signatur /Fälschungssichere Zertifikate) aber die Datenverarbeitende einlesende Seite komplett vergessen. Also da fehlt wirklich jegliche security zum Schutz der Personenbezogenen Daten (schlimmer noch hier werden zusätzlich Gesundheitsdaten gehandelt die noch Schutzwürdiger sind) das Problem ist doch aus meiner Sicht wesentlich! (PS Luca stand für zentrale datenhaltung in der Kritik und hier wird genau das gefördert) - Luca.. Gute Idee... vllt können die Jungs von Luca ja eine check app programmieren mit zentraler datenhaltung wo ich die Besucherströme verfolgen kann, die haben ja damit etwas Erfahrung...)
Und wenn die gleich dabei sind können die doch ebenfalls gleich ein zentrales impfregister aufbauen, die Daten sammeln sich ja von selbst (bei jeden Checkin)

Nichts desto trotz wird die cwa als Datensparsam beworben und ebenfalls wird immer gesagt die Daten bleiben auf den Smartphone. Das glaubt doch auch jeder. Es sollte daher durch die cwa auf diesen massenhaften automatisierten Datenabfluss mindestens hingewiesen werden (ich bleibe bei meinem Beispiel, das jede Webseite dieses Anzeigen muss (cookiebanner))
Und das zum Sensibilisieren muss vor jedem scann erfolgen.
Ebenfalls sollte mindestens geprüft werden ob eine "impfstatuscheck" seite bereitgestellt werden kann die ohne Maschinenlesbaren Teil auskommt!
Oder aber die Personenbezogenen Daten aus dem Maschinenlesbaren Teil entfernt (oder anonymisiert)

In der cwa steht: Sie MÜSSEN in Deutschland die covpasscheck app nutzen in anderen Ländern sind andere erlaubt. Wie stellt die cwa also sicher das der validator in Deutschland auch wirklich die covpasscheck app ist? (geht hier by Design vermutlich nicht, also bleibt nur eine der o.g. Varianten)

Also wenn ich mir das Bild unter den link so angucke sieht es so aus, als hätten die developer auf der ausstellenden Seite alles richtig gemacht (Signatur /Fälschungssichere Zertifikate) aber die Datenverarbeitende einlesende Seite komplett vergessen.

Genau, deshalb empfehle ich, dort einen Issue zu öffnen.

Nichts desto trotz wird die cwa als Datensparsam beworben und ebenfalls wird immer gesagt die Daten bleiben auf den Smartphone. Das glaubt doch auch jeder. Es sollte daher durch die cwa auf diesen massenhaften automatisierten Datenabfluss mindestens hingewiesen werden

Dafür bräuchte es mMn erstmal Belege dafür, dass es eine solche zentrale Speicherung aktuell gibt.
Es gibt viele verschiedene CheckApps/Websites, ich kenne aber nur DigitalKeyCheck, die anbieten, lokal eine Liste mit Namen zu führen, wer alles überprüft war.
Wenn diese Funktion aktiviert wird, erscheint ein Pop-Up, das darüber informiert, dass die Funktion in fast allen Fällen nicht DSGVO-Konform ist.

Und das bringt mich zu meinem nächsten Punkt: DSGVO-Konformität. Was du beschreibst wäre nicht nur in Deutschland, sondern in ganz Europa, illegal, ganz besonders dann, wenn nicht erst explizit auf die Sammlung der Daten aufmerksam gemacht wird.

Oder aber die Personenbezogenen Daten aus dem Maschinenlesbaren Teil entfernt (oder anonymisiert)

Wie soll dann überprüft werden, dass das vorgezeigte Zertifikat auch wirklich der Person gehört, die es vorzeigt?

Sie MÜSSEN in Deutschland die covpasscheck app nutzen in anderen Ländern sind andere erlaubt.

Für eine solche Aussage bräuchte es sicherlich eine rechtliche Basis (Gesetz, Verordnung, etc.).

1 Option. Ein Zertifikatscheck screen zusätzlich ohne QR Code. Dort steht Name, Geburtsdatum, impfstatus, wie lange her und 2g oder 3g der Einfachheit mit einer entsprechenden Farbe hinterlegt.

Wir wird sichergestellt, dass der angezeigte Screen nicht manipuliert ist. Die CWA & CovPass sind Open-Source, alle können den Quellcode sehen und auch verändern.
Das scheint keine wirklich sichere Lösung.

2.Option. auf dem screen mit den QR Code wird beim Öffnen ein popup vor geblendet. Welches ich als Nutzer aktiv schließen muss. Auf diesem popup steht sinngemäß: bitte beachten Sie das folgende Daten: "Name, Alter" durch den Prüfer automatisch verarbeitet und gespeichert werden. Prüfen Sie deren dsgvo aushänge usw. (sollte einfach aber verständlich sein) ich als App Anwender muss das dann aktiv jedes Mal weg klicken.

Das klingt besser, aber mit einem anderen Wording. Denn das klingt schon wieder so, als wäre es in Stein gemeißelt, dass die Prüfende Stelle die Daten speichert.

Aber wann soll dieses Pop-Up angezeigt werden? Jedes mal wenn in der App der "Zertifikate"-Reiter geöffnet wird?

3 Option. Die cwa generiert ein QR Code welches zwar den impfstatus enthält aber kein Name und Geburtsdatum, so hat der Wirt keine Chance beim scannen diese Daten zu erheben. Kann aber immer noch den impfstatus prüfen

Wie soll dann die Identität geprüft werden (siehe auch 1.)?

1 Option. Ein Zertifikatscheck screen zusätzlich ohne QR Code. Dort steht Name, Geburtsdatum, impfstatus, wie lange her und 2g oder 3g der Einfachheit mit einer entsprechenden Farbe hinterlegt.

Wir wird sichergestellt, dass der angezeigte Screen nicht manipuliert ist. Die CWA & CovPass sind Open-Source, alle können den Quellcode sehen und auch verändern. Das scheint keine wirklich sichere Lösung.

Manipulieren kann ich doch derzeit ganz einfach indem ich einfach ein Zertifikat von jemanden anderen in der app hinterlege. Das ist einfacher als einen fork der cwa zu erstellen.
Das kann doch nur geprüft werden wenn ich bei der Zertifikatskontrolle mir auch den Ausweis zeigen lasse. Das machen hier auch sehr viele. Also diese Verifizierung gegen den Ausweis funktioniert ebenso ohne QR Code.

2.Option. auf dem screen mit den QR Code wird beim Öffnen ein popup vor geblendet. Welches ich als Nutzer aktiv schließen muss. Auf diesem popup steht sinngemäß: bitte beachten Sie das folgende Daten: "Name, Alter" durch den Prüfer automatisch verarbeitet und gespeichert werden. Prüfen Sie deren dsgvo aushänge usw. (sollte einfach aber verständlich sein) ich als App Anwender muss das dann aktiv jedes Mal weg klicken.

Das klingt besser, aber mit einem anderen Wording. Denn das klingt schon wieder so, als wäre es in Stein gemeißelt, dass die Prüfende Stelle die Daten speichert.

Aber wann soll dieses Pop-Up angezeigt werden? Jedes mal wenn in der App der "Zertifikate"-Reiter geöffnet wird?

Ja das sollte natürlich anders und schöner formuliert sein. Aber es sollte auf der QR scan Seite angezeigt werden was der Prüfer für Daten bekommt und verarbeiten könnte. (eigentlich strikt nach dsgvo verarbeitet der Prüfer meine Personenbezogenen Daten. Auch wenn covpasscheck diese nicht speichert.)

3 Option. Die cwa generiert ein QR Code welches zwar den impfstatus enthält aber kein Name und Geburtsdatum, so hat der Wirt keine Chance beim scannen diese Daten zu erheben. Kann aber immer noch den impfstatus prüfen

Wie soll dann die Identität geprüft werden (siehe auch 1.)?

Mit dem Ausweis, wie jetzt auch schon. Siehe auch scan eines Zertifikates eines fremden.

Ich möchte drauf hinweisen das hier immer davon ausgegangen wird das man verhindern muss gefälschte zertifikate zu benutzen. Natürlich muss es das. Aber es es wird gleichzeitig davon ausgegangen das die verarbeiteten Apps nichts böses machen. Sorry aber es gibt sowohl auf der einen Seite Fälscher wie auch auf der anderen Seite.
Und das Argument mit den open source ist ja eigentlich auch gegenläufig zu benutzen. Wer garantiert mir das der Prüfer keinen eigenen fork mit "illegaler" Speicherung nutzt?

Wie gesagt Zertifikat fälschen = illegal logisch und hier wird alles dafür getan das das nicht geht. Personenbezogene Daten ohne Info sammeln ist genauso illegal, es wird aber nichts getan das dieses überhaupt möglich ist.

PS ich kenne auch derzeit keine apps mit zentraler Speicherung, aber ist die lokale Datenspeicherung und Auswertung nicht schon schlimm genug?

Manipulieren kann ich doch derzeit ganz einfach indem ich einfach ein Zertifikat von jemanden anderen in der app hinterlege. Das ist einfacher als einen fork der cwa zu erstellen.
Das kann doch nur geprüft werden wenn ich bei der Zertifikatskontrolle mir auch den Ausweis zeigen lasse. Das machen hier auch sehr viele. Also diese Verifizierung gegen den Ausweis funktioniert ebenso ohne QR Code.

Naja, aber wie wird bestätigt, dass die angezeigte Information in der App nicht manipuliert ist?
Beim QR-Code läuft das ja eben über die unveränderbare Signatur.

Ja das sollte natürlich anders und schöner formuliert sein. Aber es sollte auf der QR scan Seite angezeigt werden was der Prüfer für Daten bekommt und verarbeiten könnte. (eigentlich strikt nach dsgvo verarbeitet der Prüfer meine Personenbezogenen Daten. Auch wenn covpasscheck diese nicht speichert.)

Klar, rechtlich gesehen handelt es sich um eine Datenverarbeitung, wenn ich nicht falsch liege.

Aber ich frage mich halt: Müsste ich dann jedes mal, wenn ich auf "Zertifikate" klicke, ein Pop-Up wegdrücken? Hat das wirklich irgendeinen Effekt oder nervt es nicht nur?

Mit dem Ausweis, wie jetzt auch schon. Siehe auch scan eines Zertifikates eines fremden.

Aber mit welchen Daten soll ich denn dann den Ausweis abgleichen?

Und das Argument mit den open source ist ja eigentlich auch gegenläufig zu benutzen. Wer garantiert mir das der Prüfer keinen eigenen fork mit "illegaler" Speicherung nutzt?

Klar, dieses Problem sehe ich auch, ich als Endnutzer kann nicht sehen, welche App zum Prüfen verwendet wird und selbst wenn es nach der CovPassCheck-App aussieht, habe ich keinen Weg das zu verifizieren.

PS ich kenne auch derzeit keine apps mit zentraler Speicherung, aber ist die lokale Datenspeicherung und Auswertung nicht schon schlimm genug?

Es werden ja keine Daten langfristig gespeichert, klar muss sich, rein technisch gesehen, dass gesamte Zertifikate zumindest vorübergehend für einige Augenblicke im Arbeitsspeicher des Gerätes mit CovPassCheck befinden. Aber von dort wird es ja direkt wieder gelöscht.

Es ist ein Grundsatzproblem dessen beste Lösung gerade die CWA bietet.
Der Gast muss sich gegenüber dem Gastgeber als 2G (oder ähnlichem) verifizieren. Dies ist nur mit 2FA möglich. 1. Ist eine Person geimpft und 2. Ist diese geimpfte Person auch vor mir.
Es gibt andere Möglichkeiten als den vollen Namen zu benutzen. So könnte man auch die Ausweis ID benutzen. Oder einen hash aus dem Namen generieren etc. Im Endeffekt MUSS der QR Code einer Person zugeordnet werden können. Jede Software kann nun diesen Faktor speichern und ihn weiterhin einer Person zuordnen, so ähnlich wie dies tracking ID's seit Jahren bewerkstelligen.
Eine Implementierung die nur einen verschlüsselten QR code bereitstellt und in Kombination mit eine zentralen CWA Server der diesen nur für 1st party apps entschlüsselt wäre möglich, doch unpraktikabel.
Unter anderem bräuchte jeder Scanner immer einen Zugang zu dem Internet. Weiterhin bietet ein zentraler Server einen erheblichen Angriffspunkt.

Fazit: Die Implementierung ist nicht perfekt, aber das beste was möglich ist.

@dsarkar This issue is stale & should be closed.

Agreed, thanks for letting us know. If you see any need to discuss this further, feel free to reopen or create a new issue, please.