+49 160 97335159 info@schnelltest-arnsberg.de

Stand: 15.12.2021, Version 2.15 (frühere Versionen abrufbar unter:
https://www.coronawarn.app/de/privacy
)


Datenschutzerklärung des RKI


In dieser Datenschutzerklärung erfahren Sie, wie Ihre Daten verarbeitet werden und welche
Datenschutzrechte Sie haben, wenn Sie die offizielle CoronaWarnApp der deutschen
Bundesregierung nutzen.

Folgende Themen werden behandelt:

1. Wer ist Herausgeber der CoronaWarnApp?

2. Ist die Nutzung der App freiwillig?

3. Auf welcher Rechtsgrundlage werden Ihre Daten verarbeitet?

4. An wen richtet sich die App?

5. Welche Daten werden verarbeitet?

6. Wofür werden Ihre Daten verarbeitet?

7. Wie funktioniert das länderübergreifende Warnsystem?

8. Welche Berechtigungen benötigt die App?

9. Wann werden Ihre Daten gelöscht?

10. An wen werden Ihre Daten weitergegeben?

11. Werden Ihre Daten in Länder außerhalb der EU übermittelt?

12. Wie können Sie Ihr Einverständnis zurücknehmen?

13. Welche weiteren Datenschutzrechte haben Sie?

14. Datenschutzbeauftragter und Kontakt

Damit dieser Text für alle Nutzer verständlich ist, bemühen wir uns um eine einfache und
möglichst untechnische Darstellung.

1. Wer ist Herausgeber der CoronaWarnApp?

Diese App wird vom Robert KochInstitut (RKI) für die deutsche Bundesregierung
herausgegeben. Das RKI ist auch dafür verantwortlich, dass Ihre personenbezogenen Daten
in Übereinstimmung mit den Vorschriften über den Datenschutz verarbeitet werden.

Wenn Sie nach einem positiven CoronaTest per App eine länderübergreifende Warnung
auslösen, können auch die Nutzer von offiziellen CoronaApps anderer Länder, denen Sie
begegnet sind, gewarnt werden. In diesem Fall sind das RKI und die zuständigen
Gesundheitsbehörden der an den jeweiligen länderübergreifenden Warnsysteme

teilnehmenden Länder für die Datenverarbeitung gemeinsam verantwortlich. Einzelheiten
erfahren Sie unter Punkt 7.

2. Ist die Nutzung der App freiwillig?

Die Nutzung der App ist freiwillig. Es ist allein Ihre Entscheidung, ob Sie die App installieren,
welche AppFunktionen Sie nutzen und ob Sie Daten mit anderen teilen. Grundsätzlich holen
die HauptFunktionen der App, die eine Weitergabe Ihrer personenbezogenen Daten an das
RKI oder an andere Nutzer erfordern, vorher Ihr ausdrückliches Einverständnis ein.

Im Zusammenhang mit den offiziellen digitalen COVIDZertifikaten (COVIDTestzertifikat,
COVIDImpfzertifikat und COVIDGenesenenzertifikat) gibt es neue gesetzliche Grundlagen
für die Erstellung der Nachweise. In diesem Zusammenhang ist daher keine zusätzliche
Einwilligung erforderlich. Die Zertifikate werden aber nur erstellt, wenn Sie dies wünschen. Die
Anforderung und Verwendung der digitalen COVIDZertifikate ist freiwillig.

Falls Sie ein Einverständnis nicht erteilen oder nachträglich zurücknehmen oder keine
digitalen COVIDZertifikate anfordern, entstehen Ihnen keine Nachteile.

3. Auf welcher Rechtsgrundlage werden Ihre Daten verarbeitet?

Ihre Daten werden im Zusammenhang mit den Funktionen der App grundsätzlich nur auf
Grundlage Ihres Einverständnisses verarbeitet. Dies umfasst z. B. die Datenverarbeitung zur
RisikoErmittlung und der Warnung Anderer sowie die Überprüfung von COVIDZertifikaten
bei Ticketbuchungen. Die Rechtsgrundlage ist jeweils Art. 6 Abs. 1 S. 1 lit. a DSGVO sowie
im Falle von Gesundheitsdaten Art. 9 Abs. 2 lit. a DSGVO. Informationen zu Ihrem
Widerrufsrecht finden Sie unter Punkt 12.

Im Zusammenhang mit den offiziellen digitalen COVIDZertifikaten (COVIDTestzertifikat,
COVIDImpfzertifikat und COVIDGenesenenzertifikat) ist die Datenverarbeitung gesetzlich
geregelt. Die Erstellung und Bescheinigung von Impfzertifikaten erfolgt auf Basis von Art. 9
Abs. 2 lit. g DSGVO i.V.m § 22 Abs. 5 IfSG. Die Erstellung und Bescheinigung von
Testzertifikaten erfolgt auf Basis von Art. 9 Abs. 2 lit. g DSGVO i.V.m § 22 Abs. 7 IfSG. Die
Erstellung und Bescheinigung von Genesenenzertifikaten erfolgt auf Basis von Art. 9 Abs. 2
lit. g DSGVO i.V.m § 22 Abs. 6 IfSG. Die Verarbeitung von Zugriffsdaten in Zusammenhang
mit der Funktion „Gültigkeit prüfen“ sowie der Prüfung der Regeln für die Empfehlungen für
Auffrischungsimpfungen erfolgt auf Basis von Art. 6 Abs. 1 lit e DSGVO i.V.m § 3 BDSG.

Die Verarbeitung von Zugriffsdaten für die Bereitstellung der täglichen Statistiken (siehe hierzu
Punkt
6.f.) erfolgt im Rahmen der Information der Öffentlichkeit durch das RKI gem. § 4 Abs.
4 BGANachfG auf Basis von Art. 6 Abs. 1 lit e. DSGVO i.V.m § 3 BDSG.

4. An wen richtet sich die App?

Die App richtet sich an Personen, die sich in Deutschland aufhalten und mindestens 16 Jahre
alt sind.

5. Welche Daten werden verarbeitet?

Das gesamte System der App ist so programmiert, dass für die Kernfunktionen so wenig
personenbezogene Daten wie möglich verarbeitet werden. Das bedeutet, dass das System
bei der RisikoErmittlung, der Warnung anderer und dem Abruf des Testergebnisses keine

auf dem Smartphone. Sie haben anschließend die Möglichkeit, diese PDFDatei zu speichern.
Die Erstellung des EUAusdrucks ist freiwillig. Das PDFDokument enthält sensible
Gesundheitsdaten (Daten über CoronaImpfungen, Tests oder durchgemachte Corona
Erkrankungen). Bitte bewahren Sie das gespeicherte oder ausgedruckte Zertifikat daher sicher
auf und veröffentlichen oder teilen Sie das Dokument nicht. Ein EUAusdruck ist nur für
Zertifikate möglich, die in Deutschland vom RKI erstellt wurden.

i.
Widerruf von digitalen COVIDZertifikaten
Zum Gesundheitsschutz von Zertifikatsinhabern und der Bevölkerung kann es notwendig
werden, dass bestimmte digitale COVIDZertifikate widerrufen werden. Das ist beispielsweise
der Fall, wenn Zertifikate von einer Einrichtung (z. B. Apotheke) irrtümlich oder in
betrügerischer Absicht ausgestellt worden sind. Der Widerruf führt dazu, dass das Zertifikat
ungültig wird und bei Überprüfungen nicht mehr anerkannt wird. Dabei spielt es keine Rolle,
ob das Zertifikat bei der Überprüfung in elektronischer Form auf dem Smartphone oder im
Papierformat verwendet wird.

Wenn Sie ein widerrufenes COVIDZertifikat in der App gespeichert haben, wird es als
„ungültig“ angezeigt. Falls Sie die Mitteilungen in der App aktiviert haben (unter „Einstellungen“
> „Mitteilungen“), erhalten Sie im Fall eines Widerrufs eine Benachrichtigung.

Um festzustellen, ob ein in der App gespeichertes COVIDZertifikat widerrufen worden ist, lädt
die App in regelmäßigen Abständen eine Widerrufsliste vom Serversystem. Die Widerrufsliste
enthält keine personenbezogenen Daten, sondern lediglich einen kleinen Teilabschnitt aus der
eindeutigen Kennung der widerrufenen Zertifikate. Dieser Teilabschnitt ist bei allen COVID
Zertifikaten, die von der gleichen Einrichtung ausgegeben worden sind, identisch. Die App
gleicht dann diesen Teilabschnitt mit der eindeutigen Kennung der auf dem Smartphone
gespeicherten Zertifikate ab. Sofern es eine Übereinstimmung gibt, wird das betreffende
Zertifikat in der App als ungültig angezeigt. Das widerrufene digitale COVIDZertifikat selbst
wird dabei jedoch nicht verändert. Der Abgleich findet ausschließlich offline in der App statt
und es werden keine Daten über diesen Vorgang an das RKI weitergegeben.

j.
Datenspende
Die Datenspende ist eine Zusatzfunktionen der App. Die im Rahmen der Datenspende an das
RKI übermittelten Nutzungsdaten und weiteren freiwilligen Angaben dienen der Bewertung der
Wirksamkeit der App und sie werden ausgewertet, um folgende Verbesserungen zu
ermöglichen:

Verbesserung der RisikoErmittlung Die Genauigkeit und Zuverlässigkeit der
technischen Berechnung der Ansteckungsrisiken sollen verbessert werden. Hierfür
werden Angaben über RisikoBegegnungen und Ihnen angezeigte Warnungen
ausgewertet. In der Folge kann die Berechnungsmethode verfeinert werden.

Verbesserung der Nutzerführung in der App Die Bedienung der App soll erleichtert
werden. Hierfür werden Angaben über die einzelnen Schritte ausgewertet, die Nutzer
in der App vornehmen. So können Beschriftungen und Hinweistexte klarer gestaltet
und Bedienelemente so platziert werden, dass sie besser gefunden werden können.
Außerdem können Darstellungen für verschiedene SmartphoneModelle angepasst
werden.

Informationen und Hilfestellungen zur App ermöglichen Es soll möglich werden, zu
erkennen, ob es z.B. bei der Nutzung der App im Zusammenhang mit bestimmten

Testeinrichtungen und Laboren oder in bestimmten Regionen zu Problemen kommt.
Dies kann festgestellt werden, wenn aufgrund der Datenspende auffällt, dass in
bestimmten Regionen Testergebnisse verspätet zur Verfügung stehen. So können die
zuständigen Gesundheitsbehörden auch gezielt auf mögliche technische Störungen
hingewiesen werden.

Verbesserung der Statistiken über den Pandemieverlauf Die Daten können
Aufschluss über die zeitliche und räumliche Verteilung bestimmter Ereignisse des
Pandemieverlaufs geben und es ermöglichen, auf bestimmte Entwicklungen schneller
zu reagieren.

Die Nutzungsdaten und die weiteren freiwilligen Angaben werden ohne jeden Zusammenhang
mit Ihrem Namen oder Ihrer Identität gespeichert und ausgewertet. Das RKI erfährt also nicht,
wer Sie sind oder wen Sie getroffen haben.

k.
Zertifikatsprüfung bei Ticketbuchungen
Wenn Sie bei einem Reise oder Veranstaltungsunternehmen oder einem sonstigen Anbieter
eine Ticketbuchung vornehmen, können Sie über die App ein digitales COVIDZertifikat an
den Prüfpartner des Anbieters übermitteln, damit dieser die Gültigkeit des Zertifikats für Ihre
Buchung gegenüber dem Reise oder Veranstaltungsunternehmen bestätigt.

Voraussetzung hierfür ist, dass Sie in der App ein digitales COVIDZertifikat hinzugefügt
haben. Die App erfragt beim jeweiligen Anbieter die zur Prüfung zu verwendenden
Buchungsdaten und schlägt auf Basis dieser Angaben ein geeignetes Zertifikat vor. Dieses
können Sie sodann auswählen und zusammen mit den vom Anbieter bereitgestellten
Buchungsdaten (siehe Punkt
5.k.) dem Prüfpartner übermitteln.
Der Prüfpartner überprüft, ob die elektronische Signatur des Zertifikats echt und das
technische Ablaufdatum des Zertifikats noch nicht erreicht ist. Der Prüfpartner teilt dem
Anbieter sofort das Prüfungsergebnis mit. Es wird nur mitgeteilt, ob die Prüfung erfolgreich war
oder nicht. Das Prüfungsergebnis wird Ihnen auch in der App angezeigt.

Die vom Anbieter bereitgestellten Buchungsdaten werden nur lokal in der App verarbeitet. Das
RKI kann daher nicht nachvollziehen, welche Zertifikate Sie ausgewählt und prüfen lassen
haben oder welche Reisen oder Veranstaltungen Sie gebucht haben.

Für die Datenverarbeitung durch den Anbieter und den Prüfpartner ist das RKI nicht
verantwortlich. Lesen Sie bitte deren Datenschutzhinweise, damit Sie wissen, wozu und wie
Ihre Daten verwendet werden.

l.
Fehlerberichte
Das RKI ist bemüht, eine fehlerfreie App anzubieten. Aufgrund der großen Anzahl
verschiedener Systeme kann dies jedoch nicht immer gewährleistet werden. Um den
technischen Support der App bei der Fehleranalyse zu unterstützen, können Sie den in Ihrer
App erstellten Fehlerbericht an das RKI übermitteln. Das RKI wird den Fehlerbericht
auswerten, um die Ursache der in Ihrer App auftretenden Fehler erkennen und beseitigen zu
können.

Die Fehlerberichte werden ohne jeden Zusammenhang mit Ihrem Namen oder Ihrer Identität
vorübergehend gespeichert und im Rahmen der Fehleranalyse ausgewertet. Das RKI erfährt
also nicht, wer Sie sind oder wen Sie getroffen haben. Beachten Sie bitte, dass sich Hinweise
auf Ihre Identität ergeben können, wenn Sie dem technischen Support Ihre FehlerberichtID
unter Offenlegung Ihrer Identität (z. B. per EMail) mitteilen.

m.
Befragungen
Befragungen finden auf einer Webseite außerhalb der App statt, auf die Sie weitergeleitet
werden. In Zusammenhang mit Befragungen werden durch die App keine Daten an das RKI
übermittelt. Welche Zwecke mit einer Befragung durch das RKI verfolgt werden, ist in den
Informationen zur Befragung auf der BefragungsWebseite beschrieben.

n.
Bestätigung der Echtheit Ihrer App
Zur Bestätigung der Echtheit Ihrer App wird eine Funktion des Betriebssystems Ihres
Smartphones genutzt. Damit kann sichergestellt werden, dass nur Nutzer der App an der
Datenspende oder an Befragungen teilnehmen, deren App ordnungsgemäß funktioniert. Auf
diese Weise wird sichergestellt, dass die Statistiken und Befragungsergebnisse nicht
verfälscht werden.

Bitte beachten Sie, dass der Anbieter Ihres Betriebssystems möglicherweise nachvollziehen
kann, dass die Echtheitsprüfung Ihres Smartphones stattgefunden hat und dadurch auf Ihre
Identität schließen kann. Weiteren Angaben über Ihre Nutzung der CoronaWarnApp erhält
der Anbieter Ihres Betriebssystems jedoch nicht.

7. Wie funktioniert das länderübergreifende Warnsystem?

Damit auch Nutzer von den offiziellen CoronaApps anderer Länder gewarnt werden, hat das
RKI zusammen mit mehreren in anderen Ländern für Gesundheitsaufgaben zuständigen
amtlichen Stellen und Behörden (im Folgenden: Gesundheitsbehörden) zentrale Warnserver
zum länderübergreifenden Austausch von Warnungen (im Folgenden: AustauschServer)
eingerichtet.

Der AustauschServer der teilnehmenden Länder unter den europäischen
Mitgliedstaaten nutzt die digitale Infrastruktur des zwischen den Mitgliedsstaaten und
der EU eingerichteten Netzwerks für elektronische Gesundheitsdienste.

Damit auch Warnungen zwischen Nutzern der Schweizer CoronaApp und der Corona
WarnApp möglich sind, betreibt das RKI zudem gemeinsam mit der Schweiz
(Bundesamt für Gesundheit der Schweizerischen Eidgenossenschaft) einen weiteren
AustauschServer.

Die nationalen Serversysteme der an den AustauschServern angebundenen CoronaApps
übermitteln ihre eigenen PositivListen regelmäßig an die AustauschServer und erhalten die
PositivListen der anderen Länder. Länderübergreifende Warnungen können nur aufgrund
eines positiven PCRTests und nur aufgrund von im COVID19Benachrichtigungssystem
erfassten Begegnungen ausgelöst werden. EventIDs und ZufallsIDs aufgrund von positiven
AntigenSchnelltests werden daher nicht an die AustauschServer übermittelt.

Das jeweilige Serversystem führt die erhaltenen PositivListen mit der eigenen PositivListe
zusammen, so dass die RisikoErmittlung auch RisikoBegegnungen mit Nutzern einer
anderen CoronaApp berücksichtigen kann (siehe Punkt 6 e.). Die anderen teilnehmenden
Länder verfahren entsprechend mit den vom RKI bereitgestellten PositivListen.

An den AustauschServern können nur Länder teilnehmen, deren CoronaApps zueinander
kompatibel sind und die ein vergleichbar hohes Datenschutzniveau gewährleisten. Dies setzt
insbesondere voraus, dass die CoronaApps der teilnehmenden Länder ebenfalls das COVID
19Benachrichtigungssystem nutzen, von der jeweiligen nationalen Gesundheitsbehörde
zugelassen sind und die Privatsphäre ihrer Nutzer wahren.

Die technischen und organisatorischen Einzelheiten der Zusammenarbeit betreffend
den innerhalb der EU betriebenen AustauschServer werden in einem Beschluss der
EUKommission festgelegt (Durchführungsbeschluss (EU) 2020/1023 vom 15. Juli
2020, abrufbar unter
https://eurlex.europa.eu/eli/dec_impl/2020/1023/oj). Für die
Verarbeitung der in den PositivListen enthaltenen Angaben (ZufallsIDs und
eventuelle Angaben zum Symptombeginn) auf den AustauschServern zur
Ermöglichung der länderübergreifenden RisikoErmittlung und Warnung ist das RKI
danach mit den jeweils zuständigen Gesundheitsbehörden der teilnehmenden Länder
gemeinsam verantwortlich.

Der Betrieb und der Datenaustausch des gemeinsam mit der Schweiz betriebenen
AustauschServers ist in einer individuellen Vereinbarung des RKI mit der Schweiz
geregelt, abrufbar unter

https://www.rki.de/DE/Content/InfAZ/N/Neuartiges_Coronavirus/WarnApp/Warn_App.
html.
Danach erfolgt der technische Betrieb des AustauschServers durch das
Bundesamt für Gesundheit der Schweizerischen Eidgenossenschaft. Für die
Speicherung, Bereitstellung und spätere Löschung der PositivListen ist das RKI
gemeinsam mit dem Bundesamt für Gesundheit der Schweizerischen
Eidgenossenschaft verantwortlich.

Bitte beachten Sie, dass sich die Liste der teilnehmenden Länder ändern kann. Die aktuelle
Liste mit Angaben zu den jeweils verantwortlichen Gesundheitsbehörden finden Sie in den
FAQ: abrufbar unter
https://www.coronawarn.app/de/faq/#interoperability_countries.
8. Welche Berechtigungen benötigt die App?

Die App benötigt Zugriff auf verschiedene Funktionen und Schnittstellen Ihres Smartphones.
Dazu ist es erforderlich, dass Sie der App bestimmte Berechtigungen erteilen. Das
Berechtigungssystem richtet sich nach den Vorgaben Ihres Betriebssystems. So können auf
Ihrem Smartphone beispielsweise Einzelberechtigungen zu Berechtigungskategorien
zusammengefasst sein, wobei Sie der Berechtigungskategorie nur insgesamt zustimmen
können. Bitte beachten Sie, dass ohne die von der App angeforderten Berechtigungen keine
oder nur wenige AppFunktionen genutzt werden können.

a.
Technische Voraussetzungen (alle Smartphones)
Die App benötigt eine Internetverbindung, um mit dem Serversystem Daten
austauschen zu können.

Die BluetoothFunktion muss aktiviert sein, damit Ihr Smartphone eigene ZufallsIDs
aussenden und die ZufallsIDs von anderen Smartphones aufzeichnen kann.

Die App muss auf Ihrem Smartphone im Hintergrundbetrieb laufen können, um Ihr
Ansteckungsrisiko automatisch zu ermitteln und den Status Ihres Tests abfragen zu
können. Wenn Sie den Hintergrundbetrieb deaktivieren, müssen Sie alle Aktionen in
der App selbst starten.
AndroidSmartphones
Wenn Sie ein AndroidSmartphone verwenden, müssen außerdem folgende
Systemfunktionen aktiviert sein:

Das COVID19Benachrichtigungssystem von Android (COVID19
Benachrichtigungen)

Die Standortermittlung muss unter Android bis Version 10 aktiviert sein, damit Ihr
Smartphone nach BluetoothSignalen anderer Smartphones sucht. Standortdaten
werden dabei jedoch nicht erhoben.

Um über Änderungen Ihres Ansteckungsrisikos und den Status von Testergebnissen
benachrichtigt werden zu können, muss die Benachrichtigungsfunktion aktiviert sein.
Die Benachrichtigungsfunktion ist im Betriebssystem standardmäßig aktiviert.

Daneben benötigt die App folgende Berechtigungen:

Die Funktionen „Testergebnis abrufen“, „EventCheckin und Zertifikate hinzufügen
benötigen Zugriff auf die Kamera, um QRCodes scannen zu können. Um ein Foto
eines QRCodes in der App öffnen zu können, ist ein Zugriff auf die auf dem
Smartphone gespeicherten Fotos, Medien und Dateien erforderlich.

c.
iPhones (Apple iOS)
Wenn Sie ein iPhone verwenden, müssen folgende Systemfunktionen aktiviert sein:

Das COVID19Benachrichtigungssystem von iOS (Begegnungsmitteilungen)

Um über Änderungen Ihres Ansteckungsrisikos und den TestStatus benachrichtigt
werden zu können, müssen Mitteilungen aktiviert sein.

Die App benötigt zudem folgende Berechtigungen:

Die Funktionen „Testergebnis abrufen“, „EventCheckin“ und Zertifikate hinzufügen
benötigen Zugriff auf die Kamera, um QRCodes scannen zu können. Um ein Foto
eines QRCodes in der App öffnen zu können, ist ein Zugriff auf die auf dem
Smartphone gespeicherten Fotos erforderlich.

9. Wann werden Ihre Daten gelöscht?

Die Speicherdauer richtet sich danach, für welche Zwecke bzw. AppFunktionen Ihre Daten
jeweils gespeichert worden sind. Bei der Festlegung der Speicherdauer berücksichtigt das RKI
die aktuellen wissenschaftlichen Erkenntnisse zur Inkubationszeit (Dauer von der Ansteckung
bis zum Ausbruch der Krankheit), die bis zu 14 Tage beträgt und zur Dauer des
Ansteckungsrisikos für Mitmenschen einer infizierten Person nach dem Ende der
Inkubationszeit. Soweit unter Punkt 6 keine kürzere Speicherdauer genannt wird, gelten
folgende Fristen:

a.
Daten auf Ihrem Smartphone
Die PositivListen werden nach 14 Tagen aus dem AppSpeicher gelöscht. EventDaten
im Bereich „Meine Checkins“ werden nach 14 Tagen automatisch gelöscht. Alternativ
können Sie Einträge im Bereich „Meine Checkins“ jederzeit händisch löschen. Das für
Sie ermittelte Ansteckungsrisiko (z. B. „niedriges Risiko“) wird nach jeder Aktualisierung,
spätestens aber nach 14 Tagen aus dem AppSpeicher gelöscht. Sofern Sie ein positives

Testergebnis abgerufen haben, wird das Token im AppSpeicher gelöscht, sobald Sie
eine Warnung auslösen oder den Test aus der App entfernen. Die Einträge im Kontakt
Tagebuch bleiben für 16 Tage auf Ihrem Smartphone gespeichert und werden dann
automatisch gelöscht. Sie können diese Einträge jederzeit auch vorzeitig selbst löschen.
Bitte beachten Sie, dass beim Einchecken zu einem Event oder an einem Ort
übernommene Einträge im KontaktTagebuch auch nach der Löschung des zugehörigen
Checkins dort noch gespeichert sind. Wenn Sie Ihr SchnelltestProfil einmal angelegt
haben, bleibt dieses so lange in der App gespeichert, bis Sie es selbst wieder löschen.
Wenn Sie COVIDImpf, Test oder Genesenenzertifikate einschließlich
Familienzertifikate gescannt haben, bleiben auch diese so lange in der App gespeichert,
bis Sie sie selbst wieder löschen. Bitte löschen Sie Familienzertifikate, wenn Sie diese
nicht mehr für die vorgesehenen Zwecke benötigen. Die Buchungsdaten werden nach
Beendigung der Zertifikatsprüfung gelöscht.

b.
Daten auf Serversystemen
PositivListen werden nach 14 Tagen von allen Serversystemen (einschließlich dem
AustauschServer) gelöscht. Alle anderen Daten, mit Ausnahme der im Rahmen der
Datenspende sowie zur Bestätigung der Echtheit Ihrer App übermittelten Daten, werden
spätestens nach 21 Tagen gelöscht.

c.
Datenspende
Nutzungsdaten und weitere freiwillige Angaben, die im Rahmen der Datenspende an das
RKI übermittelt werden, werden nach 180 Tagen gelöscht.

d.
Fehlerberichte
Sie können einen aufgezeichneten Fehlerbericht auf Ihrem Smartphone jederzeit löschen.
Fehlerberichte, die Sie an den technischen Support übersandt haben, werden spätestens
nach 14 Tagen gelöscht.

e.
Bestätigung der Echtheit Ihrer App
Die Kennungen, die Ihr Smartphone zur Bestätigung der Echtheit Ihrer App erzeugt,
werden nach 30 Tagen nach Übermittlung an das RKI vom Serversystemen gelöscht.

10. An wen werden Ihre Daten weitergegeben?

Wenn Sie andere Nutzer aufgrund eines positiven PCRTests über die App warnen, werden
Ihr Testergebnis (in Form Ihrer ZufallsIDs der letzten 14 Tage) sowie optionale Angaben zum
Symptombeginn an die jeweils verantwortlichen Gesundheitsbehörden der an den Austausch
Servern teilnehmenden Länder und von dort an die Serversysteme der an den
länderübergreifenden Warnungen teilnehmenden CoronaApps weitergegeben. Die
Serversysteme der nationalen CoronaApps verteilen diese Informationen dann als
Bestandteil der PositivListen an ihre jeweiligen eigenen Nutzer. EventIDs werden nur über
das Serversystem des RKI an Nutzer der CoronaWarnApp verteilt. Im Fall einer Warnung
aufgrund eines positiven AntigenSchnelltests erfolgt keine Weitergabe Ihrer Daten an die
AustauschServer.

Mit dem Betrieb und der Wartung des gemeinsam betriebenen AustauschServers der
teilnehmenden EULänder haben die jeweils zuständigen nationalen Gesundheitsbehörden
die EUKommission als Auftragsverarbeiter beauftragt. Der AustauschServer für
länderübergreifende Warnungen zwischen der CoronaWarnApp und der schweizerischen
CoronaApp wird vom Bundesamt für Gesundheit der Schweizerischen Eidgenossenschaft in
Abstimmung mit dem RKI betrieben und gewartet. Mit dem Betrieb und der Wartung eines
Teils der technischen Infrastruktur der App (z. B. Serversysteme, Hotline) hat das RKI die T
Systems International GmbH und die SAP Deutschland SE & Co. KG beauftragt, die als
Auftragsverarbeiter des RKI tätig werden. Diese Unternehmen sind von der EUKommission
zudem als Unterauftragsverarbeiter mit der technischen Bereitstellung und Verwaltung des
gemeinsam betriebenen Warnsystems der teilnehmenden Länder beauftragt. Im Übrigen gibt
das RKI Ihre Daten, die im Zusammenhang mit der Nutzung der App erhoben werden, nur an
Dritte weiter, soweit das RKI rechtlich dazu verpflichtet ist oder die Weitergabe im Falle von
Angriffen auf die technische Infrastruktur der App zur Rechts oder Strafverfolgung erforderlich
ist. Eine Weitergabe durch das RKI in anderen Fällen erfolgt grundsätzlich nicht.

Wenn Sie anderen Personen oder Einrichtungen in den gesetzlich vorgesehenen Situationen
(beispielsweise europäische Grenzbehörden oder Dienstleister) ein COVIDZertifikat
vorzeigen, erlangen diese Kenntnis über alle im Zertifikat enthaltenen Daten.

Dies können Sie verhindern, indem Sie nur den QRCode des COVIDZertifikats in der App
vorzeigen, sodass dieser mit einer PrüfApp gescannt werden kann (z. B. als Nachweis der
Schutzimpfung im Rahmen einer Ausnahme von Schutzmaßnahmen gegen das Coronavirus).
Dann werden nur die im QRCode enthaltenen Daten ausgelesen. In der PrüfApp wird dabei
nur angezeigt, ob das vorgezeigte Zertifikat gültig ist sowie eine Erläuterung des Ergebnisses.
Im Falle eines gültigen Zertifikats werden zusätzlich der Name und das Geburtsdatum des
Zertifikatsinhabers in der PrüfApp angezeigt, damit die prüfende Person diese Angaben mit
einem Identitätsnachweis (z. B. Reisepass oder Personalausweis) abgleichen kann.
Zusätzlich wird angezeigt, ob es sich um ein Testzertifikat handelt oder nicht. Bei
Testzertifikaten wird dann auch der Zeitpunkt der Probenahme angezeigt, damit die prüfende
Person beurteilen kann, ob das zugrunde liegende Testergebnis noch gültig ist.

Bei der Zertifikatsprüfung für Ticketbuchungen werden Ihre COVIDZertifikate und die
Buchungsdaten an einen Prüfpartner des Anbieters übermittelt. Der konkrete Prüfpartner wird
Ihnen vor der Übermittlung in der App angezeigt. Zum Abruf der individuellen Buchungsdaten
übermittelt die App dem Anbieter die im BuchungsQRCode des Anbieters enthaltene
Buchungskennung.

11. Werden Ihre Daten in Länder außerhalb der EU übermittelt?

Wenn Sie eine Warnung aufgrund eines positiven PCRTests auslösen, werden Ihre Zufalls
IDs auch in die Schweiz zu dem vom RKI gemeinsam mit dem Bundesamt für Gesundheit der
Schweizerischen Eidgenossenschaft betriebenen AustauschServer übermittelt. Im Fall einer
Warnung aufgrund eines positiven AntigenSchnelltests erfolgt eine solche Übermittlung Ihrer
Daten nicht.

Für die Schweiz hat die EU einen Angemessenheitsbeschluss erlassen, in dem die
Angemessenheit des Datenschutzniveaus festgestellt wird (Art. 45 DSGVO). Daneben können
die aktuellen PositivListen unabhängig vom Aufenthaltsort des Nutzers (etwa im Urlaub oder
auf Geschäftsreise) abgerufen werden. Zudem kann es im Rahmen der Bestätigung der
Echtheit Ihrer App zu einer Übermittlung von Daten in ein Land außerhalb der EU kommen.

Die von Ihrem Smartphone erzeugte Kennung, die Informationen über die Version Ihres
Smartphones und der App enthält, wird an den Betriebssystemanbieter Ihres Smartphones
(Apple oder Google) übermittelt. Dabei kann es auch zu einer Datenübermittlung in Drittländer,
insbesondere in die USA, kommen. Dort besteht möglicherweise kein dem europäischen
Recht entsprechendes Datenschutzniveau und Ihre europäischen Datenschutzrechte können
eventuell nicht durchgesetzt werden. Insbesondere besteht die Möglichkeit, dass
Sicherheitsbehörden im Drittland auf die übermittelten Daten beim Betriebssystemanbieter
zugreifen und diese auswerten, beispielsweise indem sie Daten mit anderen Informationen
verknüpfen. Dies betrifft jedoch nur die übermittelte Kennung. Weitere Angaben aus der App,
beispielsweise Begegnungsdaten, sind davon nicht erfasst.

Im Übrigen werden die von der App übermittelten Daten ausschließlich auf Servern in
Deutschland oder in einem anderen Land in der EU (oder dem Europäischen Wirtschaftsraum)
verarbeitet, die somit den strengen Anforderungen der DatenschutzGrundverordnung
(DSGVO) unterliegen.

12. Wie können Sie Ihr Einverständnis zurücknehmen?

Ihnen steht das Recht zu, ein in der App erteiltes Einverständnis gegenüber dem RKI jederzeit
mit Wirkung für die Zukunft zurückzunehmen. Sofern die jeweilige Verarbeitung Ihrer Daten
bereits durchgeführt worden ist, kann die Verarbeitung jedoch nicht mehr rückgängig gemacht
werden. Insbesondere hat das RKI keine Möglichkeit, Ihre bereits an andere Nutzer
übermittelten ZufallsIDs von deren Smartphones zu löschen.

a.
Einverständnis „RisikoErmittlung“
Ihr Einverständnis in die RisikoErmittlung können Sie jederzeit zurücknehmen, indem Sie
diese Funktion in den Einstellungen der App deaktivieren oder die App löschen. Wenn Sie die
RisikoErmittlung wieder nutzen möchten, können Sie die Funktion erneut aktivieren oder die
App erneut installieren.

b.
Einverständnis „Testergebnis abrufen“
Ihr Einverständnis zum Abruf des Testergebnisses durch die App können Sie zurücknehmen,
indem Sie den Test in der App anzeigen und anschließend entfernen. Das Token zum Abruf
des Testergebnisses wird dadurch aus dem AppSpeicher gelöscht, sodass das Token auf
dem Serversystem nicht mehr zugeordnet werden kann. Eine erneute Zuordnung des gleichen
Tests zu Ihrer App bzw. der erneute Scan desselben QRCodes ist nicht möglich. Wenn Sie
erneut getestet wurden und das Testergebnis abrufen möchten, werden Sie erneut um Ihr
Einverständnis gebeten. Liegt das Testergebnis bereits in der App vor, kann das
Einverständnis nicht mehr zurückgenommen werden.

c.
Einverständnis „Andere warnen“
Ihr Einverständnis zur Übermittlung Ihres Testergebnisses (genauer gesagt: Ihrer ZufallsIDs
und EventIDs sowie der erfassten Eincheck und AuscheckZeiten der letzten 14 Tage) zur
Warnung Ihrer Mitmenschen können Sie zurücknehmen, indem Sie den Test anzeigen und
anschließend „Andere warnen“ deaktivieren. Sie können unter „Meine Checkins“ auch
Einträge zu Events oder Orten löschen, und so verhindern, dass Daten zu diesen Events im
Rahmen der Warnung verwendet werden. Diese Möglichkeit besteht, solange Sie Ihre Zufalls
IDs und EventIDs noch nicht zur Warnung anderer Nutzer übermittelt haben. Unabhängig

davon kann der Gastgeber eines Events oder Ortes, Gäste, die bei dem Event eingecheckt
waren, über die CoronaWarnApp warnen, nachdem das Gesundheitsamt hierfür eine TAN
mitgeteilt hat.

Nachdem Sie Ihre ZufallsIDs übermittelt haben, können Sie Ihr Einverständnis insoweit nur
zurücknehmen, indem Sie die App löschen. Ihre bereits an das Serversystem übermittelten
ZufallsIDs werden dadurch aus dem AppSpeicher gelöscht und können dann nicht mehr Ihrer
Person oder Ihrem Smartphone zugeordnet werden. Wenn Sie erneut eine Warnung auslösen
möchten, müssen Sie die App erneut installieren und Ihr Einverständnis erneut abgeben. Ein
Testergebnis, dass Ihrer App bereits zugeordnet und zur Warnung anderer übermittelt wurde,
kann nicht erneut verwendet werden, um andere zu warnen.

Um bereits an das Serversystem übermittelte EventIDs aus dem AppSpeicher zu löschen,
können Sie unter „Meine Checkins“ auch Einträge zu Events oder Orten löschen. EventIDs
können dann nicht mehr Ihrer Person oder Ihrem Smartphone zugeordnet werden.

Das RKI hat keine Möglichkeit, um Ihre bereits übermittelten ZufallsIDs, EventIDs und
ÜbertragungsrisikoWerte aus den vom Serversystem verteilten PositivListen und von
Smartphones der Nutzer zu löschen. Um auch Ihre im COVID19Benachrichtigungssystem
Ihres Smartphones gespeicherten Begegnungsdaten zu löschen, können Sie in den
Systemeinstellungen Ihres Smartphones möglicherweise eine manuelle Löschung
vornehmen. Beachten Sie hierzu auch die Hinweise unter Punkt 5 b.

d.
Einverständnis „EventCheckin“
Sie können unter „Meine Checkins“ Einträge zu Events oder Orten jederzeit löschen. So
verhindern Sie, dass Daten zu diesen Events verwendet werden und EventIDs Ihrer Person
oder Ihrem Smartphone zugeordnet werden können, wenn Sie andere warnen. Unabhängig
davon kann der Gastgeber des Events oder Ortes, Gäste, die bei dem Event eingecheckt
waren, über die CoronaWarnApp warnen, nachdem das Gesundheitsamt hierfür eine TAN
mitgeteilt hat.

e.
Einverständnis „Datenspende“
Sie können Ihr Einverständnis in die Datenspende jederzeit zurücknehmen, indem Sie „Daten
spenden“ in den Einstellungen der App deaktivieren. Die App wird dann Ihre Nutzungsdaten
und weiteren freiwilligen Angaben nicht weiter täglich an das RKI übermitteln. Wenn Sie die
Datenspende wieder erlauben möchten, können Sie die Funktion in den Einstellungen erneut
aktivieren.

f.
Einverständnis „Fehlerberichte“
Ihr Einverständnis zur Analyse von bereits an das RKI übermittelten Fehlerberichten können
Sie zurücknehmen, indem Sie dem technischen Support unter Nennung Ihrer Fehlerbericht
ID mitteilen, dass Sie die Analyse des Fehlerberichts nicht mehr wünschen. Ihr Fehlerbericht
wird dann gelöscht. Bitte beachten Sie, dass das RKI dabei Ihre Identität erfahren kann. Wenn
Sie dem technischen Support Ihre FehlerberichtID nicht mitteilen, wird der übermittelte
Fehlerbericht automatisch nach 14 Tagen gelöscht.

g. Einverständnis „Befragung“
Ihr Einverständnis zur Teilnahme an einer Befragung des RKI erteilen Sie nicht in der App,
sondern über die Website, auf der auch die Befragung durchgeführt wird. Dort ist auch
beschrieben, wie Sie Ihr Einverständnis zurücknehmen können.

h.
Einverständnis „Bestätigung der Echtheit Ihrer App
Wenn Sie Ihr Einverständnis zur Bestätigung der Echtheit Ihrer App zurücknehmen, hat dies
keine direkte Auswirkung auf die damit zusammenhängende Datenverarbeitung. Die
Übermittlung der von Ihrem Smartphone erzeugten Kennung an den Betriebssystemanbieter
und die Überprüfung und Bestätigung der Echtheit Ihrer App findet unmittelbar statt, nachdem
Sie Ihr Einverständnis erteilt haben.

13. Welche weiteren Datenschutzrechte haben Sie?

Soweit das RKI personenbezogene Daten von Ihnen verarbeitet, stehen Ihnen außerdem
folgende Datenschutzrechte zu:

die Rechte aus den Artikeln 15, 16, 17, 18, 20 und 21 DSGVO,

das Recht, den behördlichen
Datenschutzbeauftragten des RKI zu kontaktieren und
Ihr Anliegen vorzubringen (Art. 38 Abs. 4 DSGVO) und

das Recht, sich bei einer Aufsichtsbehörde für den Datenschutz zu beschweren. Dazu
können Sie sich entweder an die zuständige Aufsichtsbehörde an Ihrem Wohnort oder
an die für des RKI zuständige Behörde wenden. Die zuständige Aufsichtsbehörde für
das RKI ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit,
Graurheindorfer Str. 153, 53117 Bonn.

Diese Datenschutzrechte stehen Ihnen entsprechend auch gegenüber den für die
Datenverarbeitung verantwortlichen Gesundheitsbehörden der an den AustauschServern
teilnehmenden Länder zu, sofern Sie Ihre ZufallsIDs der letzten Tage zur Warnung Ihrer
Mitmenschen übermittelt haben (siehe Punkt 7).

Bitte beachten Sie, dass die vorgenannten Datenschutzrechte nur erfüllt werden können, wenn
die Daten, auf die sich die geltend gemachten Ansprüche beziehen, eindeutig Ihrer Person
zugeordnet werden können. Dies wäre nur möglich, wenn über die App weitere
personenbezogene Daten erhoben würden, die eine eindeutige Zuordnung der an das
Serversystem übermittelten Daten zu Ihrer Person oder Ihrem Smartphone ermöglichen. Da
dies für die Zwecke der App nicht erforderlich ist, ist das RKI zu einer solchen zusätzlichen
Datenerhebung nicht verpflichtet (Art. 11 Abs. 2 DSGVO). Zudem würde dies dem erklärten
Ziel zuwiderlaufen, so wenige Daten wie möglich zu erheben. Deshalb werden die
vorgenannten Datenschutzrechte auch mit zusätzlich von Ihnen bereitgestellten Informationen
zu Ihrer Identität in der Regel nicht erfüllt werden können.

14. Datenschutzbeauftragter und Kontakt

Fragen und Anliegen zum Datenschutz können Sie an den behördlichen
Datenschutzbeauftragten des RKI senden: Robert KochInstitut, z. H. des
Datenschutzbeauftragten, Nordufer 20, 13353 Berlin oder per EMail an: datenschutz@rki.de