Veröffentlicht inRatgeber

Impfpass für den Urlaub: Welche App ist notwendig?

Nils Matthiesenvon Nils Matthiesen

IMTEST hat untersucht, welche Apps wirklich sicher sind.

In der Hand gehaltenes Smartphone mit verschwommenen Booten und Wasser im Hintergrund.
Bereit für den Urlaub - doch wie sieht es mit dem Impfstatus aus? © Image Hunter / Pexels

Statt den unhandlichen, gelben Impfpass ständig mit sich tragen zu müssen, haben Geimpfte seit 2021 die Möglichkeit, ihre Immunisierung per Smartphone-App nachzuweisen – etwa bei Reisen, in Restaurants, beim Friseur oder im Museum. Das Versprechen: Einfach App starten, QR-Code präsentieren – fertig. Inzwischen, nach drei Jahren Pandemie, wird das Vorzeigen des Impfstatus immer seltener. Doch sei es für die Auslandsreise oder eine andere Gelegenheit – es bleibt wichtig zu wissen, welche Impfpass-App auch einen guten Datenschutz bietet.

Update vom 20. April 2023: Nur noch zwei von drei Apps

Aktuell sind etwa 64,9 Millionen Menschen in Deutschland vollständig geimpft und haben damit auch die Möglichkeit, einen digitalen Impfnachweis zu beantragen. Das notwendige Zertifikat gibt es in Apotheken, Arztpraxen und Impfzentren sowie die erforderlichen Kontroll-Apps gratis in den gängigen App-Stores. Aber wie sicher die Daten in einer solchen Impfpass-App? Und wie sinnvoll ist der digitale Impfpass überhaupt? IMTEST hat vor etwa zwei Jahren AV-Test, ein renommiertes Labor für Sicherheitsdienstleistungen, beauftragt, dem nachzugehen. Dafür haben die Experten diese drei Apps geprüft: Die Corona-Warn-App (CWA), CovPass (beide vom RKI) und die luca-App von Culture4Life.

Nun ist inzwischen viel Zeit vergangen, die Pandemie hat sich nahezu aus dem alltäglichen Leben verabschiedet. Braucht man also die Impfpass-Apps überhaupt noch? Fakt ist, es gibt sie alle drei gar nicht mehr. Luca wurde vielfach aufgrund mangelnden Datenschutzes kritisiert und hat sich aus dem “Corona-Geschäft” zurückgezogen. Die App ist nach wie vor existent, soll jedoch zur “digitalen Gestaltung deines gesellschaftlichen Lebens” beitragen, indem man dort Reservierungen in Restaurants vornehmen und auch über die App dort bezahlen kann.

Was ist aus den anderen beiden Apps – der CovPass-App und der Corona-Warn-App passiert? Diese gibt es nach wie vor, doch ihre Funktion hat sich grundlegend verändert, beziehungsweise wird diese sich in den kommenden Monaten verändern. Denn die Kontaktverfolgung, einer der Hauptfunktionen der getesteten Apps, ist aufgrund niedriger Inzidenzen obsolet geworden. Diese Funktion wird beispielsweise in der Corona-Warn-App ab Juni in eine Art Ruhemodus versetzt. Lediglich für die Speicherung des digitalen Impfstatus kann die App dann noch genutzt werden.

Und was ist mit Urlaub?

Eine weitere wichtige Funktion stellten die Impfpass-Apps dar, wenn man ins Ausland oder von dort aus nach Deutschland zurückreisen wollte. Je nach Inzidenz-Lage in dem betreffenden Land – in dem Fall Virusvariantengebiet genannt – konnte man in den Apps prüfen, ob eine Gültigkeit des eigenen Impfstatus vorliegt. Die gute Nachricht: Das geht immer noch. Die noch bessere Nachricht: Derzeit gibt es laut Auswärtigem Amt kein einziges Virusvariantengebiet, einzig die Volksrepublik China wird als “Virusvariantengebiet, in dem eine besonders besorgniserregende Virusvariante aufzutreten droht” gelistet.

So funktioniert der digitale Impfpass per App

Nach der zweiten Impfung erhält jede Person vom impfenden Haus- oder Facharzt oder über das jeweilige Impfzentrum ein Impfzertifikat. Darauf befindet sich ein sogenannter QR-Code. Die quadratischen Strichcodes sind ideal, um schnell und unkompliziert eine kleine Menge Daten zu übertragen. Konkret handelt es sich in diesem Fall um alle Daten, die bei der Erstellung des Impfzertifikats erfasst wurden:

  • Impfstatus
  • Datum und Dosis der Impfungen
  • Nachname und Vorname
  • Geburtsdatum

Die QR-Codes lassen sich aktuell mit lediglich drei Apps einscannen. Anschließend kann der so erzeugte digitalen Impfpass dann in den Apps aufbewahrt werden.

Die Sicherheitsexperten von AV-TEST nahmen alle drei Angebote genau unter die Lupe. Dabei wurden die ein- und ausgehenden Verbindungen zu und von den Apps analysiert und auf potenzielle Schwachstellen untersucht. Zudem überprüfte das Labor die App-Quellcodes und die Datenschutzerklärungen.

Berechtigte Kritik an luca-App

Bereits seit ihrer Veröffentlichung ist die luca-App dauerhaft unter Beschuss. Dabei steht allerdings weniger die App selbst im Zentrum der Kritik, sondern der zugrundeliegende Gesamtansatz. So lassen sich beispielsweise bei der Registrierung vollständig frei erfundene Daten oder Namen, Adressen und Telefonnummern von anderen Personen angeben. Das ist für die in vielen Bundesländern vorgeschriebene Datenerfassung bei Restaurantbesuchen und Co. natürlich wenig zielführend.

Dazu kommt, dass die persönlichen Daten nicht auf dem Smartphone selbst, sondern auf den Servern des Betreibers gespeichert werden. Wie sicher sie dort sind, weiß nur der deutsche Anbieter Culture4Life selbst. Theoretisch wäre es möglich, dass das Unternehmen die Daten auswertet oder verkauft.

Screenshot der Luca App.
Bei der Registrierung in der Luca-App kann man falsche Daten eingeben. © Luca

Undurchsichtige Datenschutzerklärung

Obendrein ist die luca-App in der Lage die Standortinformationen vom Smartphone zu erfassen, beispielsweise zum automatischen Auschecken beim Verlassen einer Veranstaltung. Wie lange diese Standortdaten gespeichert werden, erwähnt der Betreiber in der Datenschutzerklärung allerdings nicht. AV-Test bemängelt daher dieses Konzept zur Datenspeicherung. Sowohl als generelle Applikation wie auch als Impfpass-App überzeugt luca daher nicht.

Screenshot der Luca-App.
Die Datenschutzerklärung der Luca-App sowie die Datenspeicherung sind undurchsichtig. © Luca

CWA punktet mit Anonymität

Die durch den deutschen Softwarekonzern SAP und die Deutsche Telekom AG entwickelte Corona-Warn-App kommt ohne Registrierung aus und sammelt oder versendet damit keine direkt persönlichen Informationen wie Name, Adresse oder Telefonnummer. Die Nutzung ist somit vollständig anonym und ohne Registrierung möglich. Darüber hinaus bietet die App gemäß den AV-TEST-Analysen einen hohen Sicherheitsstandard. Die Kommunikation über das Internet erfolgt zum Beispiel stets sicher und nach aktuellem Stand der Technik verschlüsselt. Auch die auf dem Smartphone gespeicherten Daten sind gut geschützt.

Impfpass-App CWA mit kleinen Schwächen

Fragwürdig bei der CWA als Impfpass-App ist allerdings die Abhängigkeit der Android-App von bestimmten Google-Services, deren volle Funktionalität und Implementierung Googles Geheimnis bleibt. Zudem verzichtet die Corona-Warn-App laut dem Sicherheitsunternehmen GDATA auf die Überprüfung der Signaturen für den digitalen Impfnachweis. So kann prinzipiell jeder einen auf den ersten Blick echt aussehenden Nachweis fälschen.

Außerdem ergibt sich bei der CWA von Haus aus eine größere Angriffsfläche, da sie mehrere Funktionen bietet wie die Grundfunktion der Kontaktzurückverfolgung, der Check-In für Geschäfte und Restaurants und das Teilen positiver Schnelltest-Ergebnisse. Zu guter Letzt gehen zwar beide RKI-Apps pfleglich mit den Nutzerdaten um, trotzdem ist Datenklau möglich: Wer bei der Kontrolle etwa den QR-Codes abfotografiert, kann die darin enthalten Namen wie Name und Geburtsdatum später in aller Ruhe auswerten

Screenshot der Corona-Warn-App.
Neben der Grundfunktion der App können Nutzer ihre Tests registrieren. Mehr Funktionen bedeuten auch mehr Angriffsfläche.
Screenshot der Corona-Warn-App.
Über die CWA können Nutzer sich auch an Orten oder Events registrieren.
Screenshot der Corona-Warn-App.
Die Funktion des Kontakt-Tagebuchs soll ebenfalls dazu beitragen, Infektionsketten schnell nachzuverfolgen.
Screenshot der Corona-Warn-App.
Hier kann man sich einen digitalen Impfpass erstellen.

CovPass-App rundum sicher

Bei der ebenfalls vom RKI veröffentlichten CovPass-Applikation handelt es sich im Grunde um eine abgespeckte Variante der Corona-Warn-App. Da sie sich allein auf die Impfzertifikat-Funktionalität beschränkt, ist sie eine reine Impfpass-App. Aus Sicherheits- und Datenschutzsicht ist das positiv, schließlich ergeben sich dadurch weniger Sende- und Datenerfassungs-Möglichkeiten. Darüber hinaus ist die CovPass-App nicht von Google Diensten abhängig. Wer also allein seinen Impfpass digital sichern will, lädt am besten die CovPass-App. Wie Sie Ihren Impfnachweis ganz einfach in die CovPass-App übertragen, erklären wir an dieser Stelle.

Screenshot der CovPass-App.
Die CovPass-App führt einfach durch den Vorgang.
Screenshot der CovPass-App.
Wie bei den anderen Apps, scannt man einfach den QR-Code vom Impfzertifikat ein.
Screenshot der CovPass-App.
Da dies die einzige Funktion ist, bedeutet das mehr Sicherheit für die Impfpass-App durch weniger Angriffspunkte.
Screenshot der CovPass-App.
Und fertig: das Impfzertifikat als QR-Code.

Impfpass-App eigentlich ganz praktisch

Mit der CovPass- und der Corona-Warn-App hat Deutschland das europäische Zertifikat umgesetzt und ist bereits an den sogenannten europäischen Gateway-Server angeschlossen. Der digitale Impfpass lässt sich daher grenzüberschreitend nutzen. Um aber auf Nummer sicher zu gehen mit einer Impfpass-App nicht abgewiesen zu werden, sollte bei Reisen vorsichtshalber das gelbe Impfbuch in Papierform mitgenommen werden. Der Personalausweis oder ein Reisepass zur Identifikation müssen sowieso mitgeführt werden.

Fazit

Die Impfpass-App vom RKI bietet hohe Sicherheitsstandards. Ebenso wie die Corona-Warn-App. Allerdings lassen sich sowohl bei der CovPass- als auch bei der Corona-Warn-App Nutzerdaten aus abfotografierten QR-Codes auslesen. Unbefugte sollten daher keinen Blick darauf erhalten. Zur Speicherung des digitalen Impfpasses eignet sich die luca-App nicht – das Datenschutzkonzept lässt zu viele Fragen offen. Da sie ohnehin nicht mehr länger als digitaler Impfpass genutzt wird, besteht dahingehend auch kein Risiko mehr. Insgesamt ist es trotz der dahingehend entspannten Lage im Frühjahr 2023 nach wie vor ratsam, eine der Impfpass-Apps auf dem Smartphone aktiv zu lassen. Sei es für Reisen in potenzielle Virusvariantengebiete oder bei einem erneuten Anstieg der Fallzahlen.

Jetzt kostenlos zum IMTEST-Newsletter anmelden!

Unsere besten News, Ratgeber und Kaufberatungen der Woche für Sie per Mail und kostenlos.

Mit meiner Anmeldung zum Newsletter stimme ich der Werbevereinbarung zu.

*Pflichtfeld. Eine Abmeldung ist jederzeit über einen Link im Newsletter möglich.