Bildschirm eines Smartphones mit der Aufschrift Corona Warn-App

Kölner Barbesitzer weist auf mangelhafte Kontrollen der Impfnachweise hin

Stand: 09.12.2021, 09:52 Uhr

Ein Versehen hat den Kölner Gastronom Tobias Mintert in den Besitz von fast 200 digitalen Impfzertifikaten gebracht. Gültig sind diese aber nur mit zugehörigem Personalausweis.

Von Jochen Hilgers

Neulich kontrollierte Tobias Mintert in seiner Bar wie üblich Impf-und Personalausweis seiner Gäste. Dabei verwendete er aber nicht wie sonst die dafür vorgesehene CovPass-Check-App, sondern die normale Corona-Warn-App. Plötzlich hatte er 180 Impfnachweise auf seinem Handy.

Missbrauch möglich wenn Ausweis nicht kontrolliert wird

Die Impfnachweise hat der Gastronom längst wieder gelöscht. Seine Verwunderung aber hält an. Theoretisch hätte er sich einen der Impfnachweise zum Gaststätten- oder Einzelhandelsbesuch aussuchen können. Auch als Ungeimpfter, sagt Mintert.

Er hatte die Impfzertifikate seiner Gäste aus Versehen über den QR-Code-Scanner der Corona-Warn-App kontrolliert. Jeder einzelne digitale Impfpass fand sich daraufhin auf seinem Handy wieder. Dass es grundsätzlich möglich ist, mehrere Zertifikate in der App zu speichern, ist bekannt und auch von den Entwicklern so gewollt. So können beispielsweise auch die Nachweise von Familienmitgliedern in der Anwendung gespeichert werden. Mintert hatte in seinem Fall nach dem Scannen die Zertifikate seiner Gäste auf dem Handy.  

Die Zertifikate sind offiziell nur in Verbindung mit einem Personalausweis gültig. Diesen zusätzlich zum Zertifikat in der App zu kontrollieren, ist seit vergangenem Samstag in Nordrhein-Westfalen Pflicht. In der Praxis sieht es jedoch oft anders aus: Viele Wirte und Einzelhändler kontrollieren lediglich den QR-Code, nicht das dazugehörige Personaldokument. In solchen Fällen ist ein Missbrauch mit fremden Impfzertifikaten möglich.  

Vorsicht bei sensiblen Daten

Auch die Düsseldorfer Verbraucherschutzzentrale sieht durch den Kölner Fall gewisses Missbrauchspotenzial, weil mit falscher App mehr Daten eingesehen werden können, als Prüfende brauchen.

Sie rät dazu, am Eingang zu fragen, mit welcher App das Impfzertifikat gecheckt würde. Diesen Ratschlag gibt auch die Landesdatenschutzbeauftragte NRW. Man solle sicherstellen, dass auch mit der dafür vorgesehenen App kontrolliert werde.

"Über die Corona-Warn-App können nämlich auch weitere medizinisch sensible Daten wie genaue Impfdaten und verwendeter Impfstoff in die falschen Hände geraten", sagt Ayten Öksüz von der Verbraucherschutzzentrale NRW. Dies seien schützenswerte Daten. 

Telekom kritisiert Mangel an Aufklärung

Die Telekom, die die Corona-Warn-App entwickelt hat, erklärt, dass der Gastwirt im angesprochenen Fall schlicht ein falsches Instrument für den Zertifikate-Check genutzt habe.

Minterts Fall zeigt, dass Gastwirte und Einzelhändler im Zuge der neuen 2G-Bestimmungen kaum aufgeklärt sind über die korrekte Vorgehensweise bei der Kontrolle der Impfnachweise ihrer Kunden: Wer als Gastgeber nicht sorgfältig und korrekt kontrolliert, erleichtert Ungeimpften den Missbrauch der digitalen Zertifikate.

Impfpass plus Personalausweis bei Kontrolle zwingend

Gastronom Tobias Mintert hat seine Erfahrungen derweil unter anderem in einem Facebook-Video niedergelegt.

Mintert will erreichen, dass diejenigen, die den Impfstatus kontrollieren, sensibilisiert werden. Sprich, dass sie sich nicht nur mit der Vorlage des Impfausweise zufrieden geben, sondern in jedem Fall auch den Abgleich mit dem Personalausweis  machen.

Anmerkung der Redaktion: In einer ersten Version dieses Textes stand, dass der Wirt mit seiner versehentlichen Nutzung der Corona-Warn-App für die Kontrolle seiner Gäste eine Sicherheitslücke der App aufgedeckt habe. Diese Formulierung war falsch. Die Funktion, mehrere Impfzertifikate, auch die anderer Personen, in der App zu speichern, ist von den Entwicklern ausdrücklich gewollt. Eine Verbindung zu Identifikationsnachweisen stellt die App aus Datenschutzgründen jedoch nicht her. Es liegt eindeutig in der Verantwortung der Gastgeber, zusätzlich zu den digitalen Zertifikaten auch die Identitäten der Inhaber zu kontrollieren. Wir haben den Text entsprechend korrigiert.