ImpfPassDE - wo befinden sich die Daten?

Question

Guten Tag,

könnte Zollsoft erläutern, wo bei der ImpfPassDE App die Daten der Versicherten liegen? Kommuniziert hier nur das Handy mit dem Praxisrechner? Oder lädt meine Praxis die Daten auf irgendeinen Server (analog zum eRezept, eAU, ePA...), und die App zieht sie sich von dort? 

Wäre letzteres der Fall, würden sämtlich Bedenken, die ich gegen die Datensicherheit in Bezug auf die ePA habe, nämlich auch für die ImpfPass-App gelten. 

Comments

Dann dürfen Sie aber auch Impfungen nicht abrechnen...diese Informationen bekommt ja auch der "böse Staat".

---

Ich verstehe die "Daumen runter" und Minuspunkte hier nicht. Jemand hat eine Frage zur Datensicherheit/zum Datenschutz. Ich muss diese Bedenken nicht teilen, kann aber respektieren, dass jemand Sorgen hat. Ist es nicht sogar unsere Pflicht, uns bezüglich dieser Dinge zu informieren? Sind wir nicht der Garant der ärztlichen Schweigepflicht? Hier geht es doch nicht um "böser Staat" oder "guter Staat", hier geht es darum, dass nicht jeder allem und jedem vertraut. Wenn ich die Technik verstehe, kann ich mir meine eigene Meinung bilden. Wenn ich nicht weiß, was die IT mit welchen Daten macht, kann ich das nicht. Unabhängig davon, ob ich dem Staat vertraue oder nicht, ist es doch eine berechtigte Frage, wie die Daten an dieser Stelle verarbeitet und gespeichert werden?!

Gegen Verschwörungstheorien hilft nur Wissen. Weder Sarkasmus noch "Daumen runter" bzw. Minuspunkte tragen zur Klärung bei. Die ärztliche Schweigepflicht ist eine nicht zu unterschätzende Errungenschaft, und wir sollten jedem dankbar sein, der uns daran erinnert!

---

Lieber Herr Hoffmann, ich hatte meinen Beitrag mit einem Satz beendet, der eine Spekulation über möglichen Missbrauch der Daten zum Inhalt hatte. Auf dieses letzten Satz - nehme ich an - bezieht sich Herr Stößels Beitrag.

Ich sehe ein, dass eine Spekulation nicht zielführend ist. Meine Frage ist auch ohne diese vollständig, darum habe ich meinen Beitrag geändert und den letzten Satz gelöscht. Ohne diesen Kontext ist Herr Stößels Kommentar falsch zu verstehen.

Ich bitte, die Verwirrung zu entschuldigen.

Answer 1

Hallo Frau Schock,

hier https://impfpass.de/privacy.html bekommen Sie dazu ausführliche Infos. 

...

• Vorname, Nachname
• Geschlecht
• Geburtsdatum
• Wohnregion: Land (bspw. Deutschland, Schweiz) und ggf. Bundesland Profilbild
• Gefährdungsgrößen (gesundheitliche Risiken wie bspw. chronische Erkrankungen) Vorerkrankungen (hinsichtlich der impfrelevanten Krankheiten)
• erhaltene Impfungen
• Berufsgruppenzugehörigkeiten
• geplante und vergangene Reisen
• Kontaktdaten mit der App gekoppelter Arztpraxen

Diese Daten, im Folgenden als „Impfpass-Daten“ bezeichnet, werden dauerhaft und verschlüsselt auf dem Gerät des App-Nutzers gespeichert und können, auf Wunsch des App-Nutzers, aktiv, gezielt und verschlüsselt mit gekoppelten Arztpraxen ausgetauscht werden. Zusätzlich werden diese Daten verschlüsselt an einen Server übermittelt, im Folgenden als „Impfstatus-Server“ bezeichnet, der die Berechnung des aktuellen Impfstatus und der sich daraus ergebenden Impfempfehlungen vornimmt. Der Impfstatus-Server hält die Impfpass-Daten von App-Nutzern ausschließlich im temporären Arbeitsspeicher und ausschließlich für die Zeit der Impfstatus-Berechnung; insbesondere hat weder die GZIM noch eine Dritte Partei zu irgendeiner Zeit Zugriff auf die vom Impfstatus-Server verarbeiteten Impfpass-Daten.

 zum Server bzw. temporären Speichern:

Die GZIM speichert die genannten Daten nicht auf eigenen Servern, sondern beauftragt hier einen Drittanbieter zum Hosten des Servers. Im Falle der Ende-zu-Ende-Verschlüsselung wird das verschlüsselte Datenpaket ausschließlich solange temporär zwischengespeichert, bis der jeweilige Empfänger dieses abruft. Es gibt somit auch kein Protokoll über die geführte Kommunikation, sodass die GZIM sowie der Drittanbieter faktisch nach kurzer Zeit keine Kenntnis mehr darüber hat, wer oder wann Informationen ausgetauscht hat bzw. wurden. Sollten diese Datenpakete nach 6 Monaten noch nicht abgerufen worden sein, werden diese automatisch gelöscht. Im Falle der Impfstatusberechnung werden die Impfpass-Daten ausschließlich im temporären Arbeitsspeicher und ausschließlich für die Zeit der Impfstatus-Berechnung vorgehalten. Auf Ihre Daten einschließlich Ihrer Impfpass-Daten und Zertifikate haben nur die Geräte Zugriff, von denen diese Daten auch versendet wurden bzw. auf denen sie angekommen sind.

Daten, die Sie uns gegenüber angeben, werden grundsätzlich nicht an Dritte weitergegeben, es sei denn, dass dies zum Zwecke der Vertragsabwicklung oder Informationsbereitstellung erforderlich ist.

Wir setzen jedoch ggf. Dienstleister und Auftragsverarbeiter für den Betrieb dieser Anwendung oder für weitere Produkte von uns ein. Hier kann es vorkommen, dass ein Dienstleister Kenntnis von personenbezogenen Daten erhält. Wir wählen unsere Dienstleister sorgfältig aus – insbesondere im Hinblick auf Datenschutz und Datensicherheit – und treffen alle datenschutzrechtlich erforderlichen Maßnahmen für eine zulässige Datenverarbeitung.

Im Falle unseres Supports und des Server-Hosting ist dies der Fall, dabei handelt es sich um das Unternehmen

zollsoft GmbH Ernst-Haeckel-Platz 5/6 07745 Jena Deutschland

 

Comments

Vielen Dank, das hilft mir sehr weiter!

---

Liebe Frau Wieder, Sie beschreiben ein solides Datenschutzkonzept. Ich würde meinen Patienten die ImpfPass.DE-App gerne anbieten. Auf Nachfrage möchte ich das Datenschutzkonzept erläutern können. Ich merke aber, dass mir noch einiges unklar ist.

Die Beantwortung meiner Fragen hat Zeit bis nach den Feiertagen!

Folgendes Fragen habe ich

- Wie verhält sich Zollsoft zur GZIM?

- Auf der Seite der GZIM erfahre ich einige Namen und Funktionen, jedoch nicht, wer der Träger bzw. der Geldgeber der GZIM ist. Können Sie das kurz erläutern?

- Verstehe ich das richtig, dass die ImpfPass.DE-App eine Anwendung AUSSERHALB der Telematik-Infrastruktur ist? Also dass weder die Gematik noch die Server der Gematik etwas mit der ImpfPass.DE-App bzw. der GZIM zu tun haben?

- Das hieße, dass die Impfdokumentation über die ImpfPass.DE-App unabhängig von der elektronischen Patientenakte existieren, korrekt? Und auch technisch anders funktionieren, da die Daten

a) nicht dauerhaft irgendwo abrufbar auf einem Server außerhalb meiner Praxis liegen und

b) nur gekoppelte Praxen einen Datentransfer zum Patientenhandy herstellen können, keine sonstigen Leistungserbringer.

Damit verhielte sich der Datenfluss der ImpfPass.DE-App analog zum Datenfluss der Arzt-direkt App, richtig?

Verzeihen Sie, wenn ich die Informationen so aufgedröselt brauche. Aber als Laie erschließt sich mir das sonst nicht. Zumal damals eine Zeit lang die Arzt-direkt-App Zugriff auf die eRezept-Server hatte. Und dann ist da noch der Notfalldatensatz, der meines Wissen direkt auf der Karte und auf keinem externen Server gespeichert ist, korrekt? Es ist schwer, den Überblick zu behalten...

---

Hallo Frau Schock,

ich bin wie Sie "nur" ein tomedo-Nutzer (und ImpfPassDE). Frage 1 + 2 kann ich nicht beantworten, die restlichen Fragen würde ich, nach meinem Verständnis, mit ja beantworten. Ich kann mir gut vorstellen, dass sich hier auch noch jemand von Zollsoft äußern wird.

Frohe Weihnachten (die Gans wartet)