Leistungsbeschreibung zur - ANTIGEN-SCHNELLTEST-SCHNITTSTELLE ZUR CORONA- WARN-APP DES ROBERT KOCH-INSTITUTS Anlage 1 zum Partnervertrag
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Leistungsbeschreibung zur ANTIGEN-SCHNELLTEST-SCHNITTSTELLE ZUR CORONA- WARN-APP DES ROBERT KOCH-INSTITUTS Anlage 1 zum Partnervertrag
INHALT 1 Einleitung .................................................................................................................. 3 2 Leistungsvoraussetzungen ...................................................................................... 3 2.1 Erzeugung der richtigen Datenstrukturen mit dem richtigen Inhalt .............................. 3 2.2 Bereitstellung von Daten zur Testkennzeichnung für den CWA Nutzer ....................... 3 2.3 Vorsehen eines Backends zur Übermittlung der Testergebnisse ................................ 4 3 Leistungen von T-Systems ...................................................................................... 5 3.1 Zugang zur Schnittstelle ............................................................................................. 5 3.2 Zertifikat ...................................................................................................................... 5 4 Mitwirkungspflichten des Partners .......................................................................... 6 4.1 Datenschutzrechtliche Mitwirkungspflichten ................................................................ 6 4.2 Mitwirkungspflichten zur Sicherstellung der Kompatibilität .......................................... 7 4.3 Mitwirkungspflichten beim Übertragungsvorgang ........................................................ 7 4.4 Allgemeine Mitwirkungspflichten ................................................................................. 7 4.4.1 Ansprechpartner ......................................................................................................... 7 4.4.2 Email-Kommunikation ................................................................................................. 7 4.4.3 Rechtskonformität ....................................................................................................... 8 4.4.4 Missbrauchsverhinderung ........................................................................................... 8 4.4.5 Geheimhaltung von Zugangsdaten ............................................................................. 8 4.4.6 Aufklärung von Sicherheitsvorfällen ............................................................................ 8 4.4.7 Eventuell überlassene Einrichtungen der T-Systems .................................................. 9 4.4.8 Störungen Eventuell überlassener Einrichtungen der T-Systems ................................ 9 4.4.9 Erfüllungsgehilfen ....................................................................................................... 9 4.4.10 Anzeige der Leistungsstörung bezüglich Mitwirkungspflichten .................................... 9 5 Glossar .................................................................................................................... 10
1 EINLEITUNG Die Antigen-Schnelltest-Schnittstelle zu der Corona-Warn-App des Robert Koch-Instituts kann vom Partner zur Übermittlung von Testergebnissen aus einer Teststelle des Partners zur Durchführung von Antigentests an die Corona-Warn-App des Robert Koch-Instituts verwendet werden. Das Umfeld der Datenverarbeitung zu dieser Übermittlung wird in Anlage 2 „Technische Beschreibung“ zu die- sem Vertrag genauer erläutert. Die Leistungen von T-Systems und die Mitwirkungspflichten des Partners ergeben sich jedoch ausschließlich aus dieser Leistungsbeschreibung. Die technische Be- schreibung begründet keine Ansprüche und Pflichten. 2 LEISTUNGSVORAUSSETZUNGEN Damit die Übermittlung von Testergebnissen an die Corona-Warn-App erfolgreich durchgeführt wer- den kann, müssen auf Seiten des Partners folgende Voraussetzungen geschaffen werden: 2.1 Erzeugung der richtigen Datenstrukturen mit dem richtigen Inhalt Damit die zu verarbeitenden Daten in der Schnittstelle und in der Corona-Warn-App richtig verar- beitet werden können und die Anzeige eines Testergebnisses in der Corona-Warn-App ermöglichen, müssen die Datenstrukturen nach den Angaben in der Anlage 4 „CWA-Schnelltest- Partnerinformation“ gebildet werden. Abweichend gebildete Datenstrukturen können dazu führen, dass die Daten nicht zutreffend verarbeitet werden. Dies wiederum kann zur Folge haben, dass Testergebnisse nicht, falsch oder falsch zugeordnet angezeigt werden. Die Bildung der Datenstrukturen befindet sich in der ausschließlichen Verantwortung des Partners. Eine Richtigkeitskontrolle ist in der Corona-Warn-App nicht möglich, da auf Grund der Pseudonymi- sierung der Daten diese nicht einem Nutzer der Corona-Warn-App zugeordnet werden können. 2.2 Bereitstellung von Daten zur Testkennzeichnung für den CWA Nutzer Soweit der Partner die Datenstrukturen richtig nach den Angaben in der Anlage 4 „CWA-Schnelltest- Partnerinformation“ gebildet hat, müssen diese Daten dem Nutzer der Corona-Warn-App vertraulich und sicher bereitgestellt werden. Hierzu bestehen die zwei Möglichkeiten der Anzeige eines QR- Codes oder der Bereitstellung eines App-Link, wie in der Anlage 4 „CWA-Schnelltest- Partnerinformation“ zu diesem Vertrag beschrieben.
Die vertrauliche und sichere Bereitstellung befindet sich in der ausschließlichen Verantwortung des Partners. Es muss eine Lösung gewählt werden, die einerseits mit hoher Wahrscheinlichkeit ge- währleistet, dass der Nutzer der Corona-Warn-App das Testergebnis abrufen kann, andererseits mit hoher Wahrscheinlichkeit sicherstellt, dass kein unbefugter Dritter Zugriff auf die bereitgestellten Daten oder das Testergebnis nehmen oder diese Daten verarbeiten kann. 2.3 Vorsehen eines Backends zur Übermittlung der Testergebnisse Die vom Partner erzeugten und bereitzustellenden Daten müssen über ein Backend der Corona- Warn-App zur Verfügung gestellt werden, welches eine einzelne Verbindung zur Antigen-Schnell- test-Schnittstelle zu der Corona-Warn-App auf- und abbaut. Ein unmittelbarer Anschluss von Test- stellen des Partners an die Corona-Warn-App ist nicht vorgesehen. Das Backend muss mindestens folgende Funktionen erfüllen: 1. Authentifizierung der Mitarbeiter der Teststellen des Partners; 2. Protokollierung der Erfassung und Verarbeitung personenbezogener Daten durch Mitarbeiter der Teststellen des Partners derart, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem eingegeben oder verändert worden sind (Eingabekontrolle); 3. Protokollierung der Erhebung und Verarbeitung der Einwilligung des Nutzers der Corona- Warn-App zur Übermittlung des Testergebnisses des Nutzers der Corona-Warn-App an das Robert Koch-Institut zur Darstellung in der Corona-Warn-App durch Mitarbeiter der Teststellen des Partners derart, dass die Erteilung der Einwilligung des Nutzers der Corona- Warn-App nachgewiesen werden kann; 4. Darstellung der CWA Test ID und - abhängig von der Wahl des Nutzers der Corona-Warn- App, einen QR-Code mit oder ohne personenbezogene Daten zu erhalten und der Erklärung einer entsprechenden Einwilligung durch den Nutzer - von Vorname, Nachname und Geburtsdatum in einem QR-Code oder App-Link in dem Format und in der Kodierung, wie in der Anlage 4 „CWA-Schnelltest-Partnerinformation“ beschrieben; diese Funktion kann der Partner auch außerhalb des Backends umsetzen; 5. Übertragung dieses QR-Codes oder App-Links zum Nutzer der Corona-Warn-App; diese Funktion kann der Partner auch außerhalb des Backends umsetzen; 6. Authentifizierung des Backends gegenüber der Antigen-Schnelltest-Schnittstelle zu der Corona-Warn-App mittels mTLS; 7. Übermittlung der CWA Test ID und des Testergebnisses in dem Format und in der Kodierung, wie in der Anlage 4 „CWA-Schnelltest-Partnerinformation“ beschrieben; 8. Beendigung und Abbau der mTLS-Verbindung nach abgeschlossener Übermittlung der Daten;
9. Sicherstellung, dass bereits erfolgreich übermittelte Daten nicht nochmals übermittelt werden; 10. Sicherstellung, dass nicht erfolgreich übermittelte Daten in einer angemessenen Anzahl (mindestens 3 mal, maximal 5 mal) von Versuchen nochmals übermittelt werden und bei Fehlschlag auch dieser Übermittlungen weitere Prozesse des Partners begonnen werden, die die Bereitstellung des Testergebnisses für den Nutzer der CWA App auf anderen Wegen gewährleisten. 3 LEISTUNGEN VON T-SYSTEMS T-Systems stellt dem Partner den Zugang zur Antigen-Schnelltest-Schnittstelle durch Bereitstellung eines Zertifikats zur Verfügung, mittels dessen der Partner das Backend mit der Antigen-Schnelltest- Schnittstelle verbinden kann. 3.1 Zugang zur Schnittstelle T-Systems ermöglicht dem Partner den Zugang zur Antigen-Schnelltest-Schnittstelle zu der Corona- Warn-App. Die Herstellung des Zugangs erfolgt durch die Bereitstellung des Zertifikats, mittels des- sen der Partner eine mTLS-gesicherte Verbindung zur Antigen-Schnelltest-Schnittstelle zu der Corona-Warn-App aufbauen kann. Nicht Teil der Leistung ist die Bereitstellung der Antigen-Schnelltest-Schnittstelle zu der Corona- Warn-App an sich. Die Antigen-Schnelltest-Schnittstelle zu der Corona-Warn-App wird vom Robert Koch-Institut bereitgestellt und stellt keine Leistung von T-Systems oder dem Robert Koch-Institut gegenüber dem Partner dar. Ebenfalls nicht Teil der Leistung ist die Herstellung der Erreichbarkeit der Antigen-Schnelltest- Schnittstelle zu der Corona-Warn-App. Die Herstellung der Internetverbindung obliegt dem Partner selbst. 3.2 Zertifikat T-Systems stellt dem Partner ein Zertifikat zur Verfügung, welches der Partner zum Aufbau einer mTLS-gesicherten Verbindung zur Antigen-Schnelltest-Schnittstelle zu der Corona-Warn-App ver- wenden kann. Die Bereitstellung erfolgt in einem für ein Zertifikat üblichen Format. Im Zweifel ist ein Format üblich, welches durch eine zum Zeitpunkt der Bereitstellung veröffentliche Version des Pro- grammpakets „OpenSSL“ verarbeitet werden kann.
4 MITWIRKUNGSPFLICHTEN DES PARTNERS Der Partner ist verpflichtet, die nachfolgend beschriebenen Mitwirkungspflichten zu erfüllen. Ein Ent- gelt oder ein Ausgleichsanspruch steht dem Partner für die Erfüllung der Mitwirkungspflichten nicht zu. 4.1 Datenschutzrechtliche Mitwirkungspflichten Der Partner ist verpflichtet, die Einwilligung des Nutzers der Corona-Warn-App gemäß Artikel 6 Abs. 1 lit a) DSGVO und Artikel 9 Abs. 2 lit a) DSGVO zur Übermittlung des Testergebnisses des Nutzers der Corona-Warn-App an das Robert Koch-Institut zur Darstellung in der Corona-Warn-App einzu- holen, bevor der Partner die jeweilige CWA Test ID und das Testergebnis an die Antigen-Schnelltest- Schnittstelle zu der Corona-Warn-App übermittelt. Der Partner ist verpflichtet, dem Nutzer der Corona-Warn-App ausreichende Datenschutzhinweise zur Übermittlung zu erteilen, die mindestens den Umfang der in der Anlage 3 „Datenschutz-Hinweis“ beispielhaft vorgesehenen Hinweise aufweisen. Der Partner ist verpflichtet, dem Nutzer der Corona-Warn-App die Erklärung der Einwilligung zur Übermittlung des Testergebnisses des Nutzers der Corona-Warn-App an das Robert Koch-Institut zur Darstellung in der Corona-Warn-App mittels der in der Anlage 3 „Datenschutz-Hinweis“ vorge- sehenen Einwilligungstexte zu ermöglichen. Hierzu muss der Partner dem Nutzer der Corona-Warn- App die Wahl zwischen den in den Einwilligungstexten beschriebenen verschiedenen Einwilligungen frei ermöglichen. Der Partner ist verpflichtet, eine erklärte Einwilligung eines Nutzers der Corona-Warn-App entge- genzunehmen und so zu dokumentieren, dass die Erteilung der Einwilligung des Nutzers der Corona-Warn-App nachgewiesen werden kann. Der Partner ist verpflichtet, die Erfassung und Verarbeitung personenbezogener Daten durch Mitar- beiter der Teststellen des Partners derart zur protokollieren, dass nachträglich überprüft und festge- stellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem eingegeben oder verändert worden sind (Eingabekontrolle). Dies umfasst auch die Dokumentation der Erteilung der Datenschutzhinweise und die Erfassung der Einwilligungen. Der Partner ist aus diesem Grund verpflichtet, sicherzustellen, dass sich die Mitarbeiter der Teststellen des Partners so gegenüber dem Backend des Partners authentifizieren, dass die Verarbeitungsvorgänge den Mitarbeitern je- weils zuzuordnen sind und die Weitergabe oder der anderweitige Missbrauch von Zugangs- und Verarbeitungsmöglichkeiten durch Maßnahmen der Betriebsorganisation des Partners unterbunden wird.
4.2 Mitwirkungspflichten zur Sicherstellung der Kompatibilität Der Partner ist verpflichtet, die CWA Test ID und - abhängig von der Wahl des Nutzers der Corona- Warn-App, einen QR-Code mit oder ohne personenbezogene Daten zu erhalten und der Erklärung einer entsprechenden Einwilligung durch den Nutzer - Vorname, Nachname und Geburtsdatum in einem QR-Code oder App-Link in dem Format und in der Kodierung darzustellen, wie in der Anlage 4 „CWA-Schnelltest-Partnerinformation“ beschrieben. Diesen QR-Codes oder App-Link muss der Partner dem Nutzer der Corona-Warn-App bereitstellen, wobei der Partner sicherstellen muss, dass die Bereitstellung mit hoher Wahrscheinlichkeit gewährleistet, dass der Nutzer der Corona-Warn- App das Testergebnis abrufen kann und kein unbefugter Dritter Zugriff auf die bereitgestellten Daten oder das Testergebnis nehmen oder diese Daten verarbeiten kann. Des weiteren ist der Partner verpflichtet, CWA Test ID und Testergebnis in dem Format und in der Kodierung an die Antigen-Schnelltest-Schnittstelle zu der Corona-Warn-App zu übermitteln, wie in der Anlage 4 „CWA-Schnelltest-Partnerinformation“ beschrieben. 4.3 Mitwirkungspflichten beim Übertragungsvorgang Der Partner ist verpflichtet, ausschließlich von T-Systems gemäß dieser Leistungsbeschreibung be- reitgestellte Zertifikate zur Herstellung von mTLS-Verbindungen zur Antigen-Schnelltest-Schnitt- stelle zu der Corona-Warn-App zu verwenden. Der Partner ist verpflichtet, sicherzustellen, dass be- reits erfolgreich übermittelte Daten nicht nochmals übermittelt werden und dass nicht erfolgreich übermittelte Daten in einer angemessenen Anzahl von Versuchen nochmals übermittelt werden und bei Fehlschlag auch dieser Übermittlungen weitere Prozesse des Partners begonnen werden, die die Bereitstellung des Testergebnisses für den Nutzer der CWA App auf anderen Wegen gewähr- leisten. Der Partner ist nach Beendigung der Übermittlung zum Abbau der mTLS-Verbindung ver- pflichtet. 4.4 Allgemeine Mitwirkungspflichten 4.4.1 Ansprechpartner Der Partner ist verpflichtet einen qualifizierten und entscheidungsbefugten Ansprechpartner zu be- nennen und dessen Erreichbarkeit/Vertretung während der Vertragslaufzeit sicherzustellen. 4.4.2 E-Mail-Kommunikation Der Partner erklärt sich mit dem unverschlüsselten Schriftwechsel per E-Mail einverstanden und wird stets eine aktuelle E-Mail Adresse hinterlegen. Dem Partner ist bekannt, dass für die Leistungs-
erbringung wesentliche Informationen, wie Zugangsdaten, Informationen zu Änderungen der Leis- tungen und der rechtlichen Bedingungen, sowie Rechnungen ausschließlich per Mail versendet wer- den. 4.4.3 Rechtskonformität Der Partner prüft eigenverantwortlich alle für ihn im Zusammenhang mit der Nutzung der Leistung relevanten und anwendbaren rechtlichen Vorschriften, Gesetze, Verordnungen und branchenspezi- fischen Bestimmungen und stellt deren Einhaltung sicher. Dazu zählen insbesondere auch die Ein- haltung von Geheimhaltungsverpflichtungen, die z.B. aus einer beruflichen Tätigkeit herrühren. 4.4.4 Missbrauchsverhinderung Der Partner stellt sicher, dass die Leistungen nicht missbräuchlich genutzt werden. Eine missbräuch- liche Nutzung liegt insbesondere vor, wenn die Leistungen von Unbefugten verwendet werden, die Leistungen nicht zu den vorgesehenen Zwecken verwendet werden oder die Leistungen zur Verar- beitung unwahrer Angaben eingesetzt werden. Stellt der Partner eine missbräuchliche Nutzung fest oder bestehen für ihn Anhaltspunkte für die begründete Vermutung einer missbräuchlichen Nutzung, wird der Partner T-Systems diese missbräuchliche Nutzung und die Anhaltspunkte unverzüglich mit- teilen. 4.4.5 Geheimhaltung von Zugangsdaten Der Partner ist verpflichtet, ihm von T-Systems zugeteilte Passwörter, Zugangsdaten und Zertifikate geheim zu halten, nur an berechtigte Dritte weiterzugeben, vor unberechtigtem Zugriff zu schützen und soweit erforderlich zu ändern. Der Partner wird T-Systems unverzüglich bei Vorliegen von An- haltspunkten, dass unberechtigte Dritte Kenntnis von Passwörtern oder Zugangsdaten erhalten ha- ben, informieren. 4.4.6 Aufklärung von Sicherheitsvorfällen Der Partner ist verpflichtet, T-Systems bei der Aufklärung von Sicherheitsvorfällen zu unterstützen und T-Systems die von T-Systems bezeichneten angemessenen Informationen, gegebenenfalls auch durch das Anstellen eigener Ermittlungen, zur Verfügung zu stellen. Sicherheitsvorfälle stellen Vorfälle dar, bei deren konkretem oder eventuellem Vorliegen die in dieser Leistungsbeschreibung beschriebenen Leistungen von Unbefugten verwendet werden können, die Leistungen nicht zu den vorgesehenen Zwecken verwendet werden können oder die Leistungen zur Verarbeitung unwahrer Angaben eingesetzt werden können. Dies umfasst auch Vorfälle, die vom Cyber Defense Center des Konzerns der Deutschen Telekom AG entdeckt werden.
Zu diesem Zweck stellt der Partner sicher, dass ein qualifizierter und entscheidungsbefugter An- sprechpartner für T-Systems zur Bearbeitung von Sicherheitsvorfällen erreichbar ist und benennt diesen Ansprechpartner. 4.4.7 Eventuell überlassene Einrichtungen der T-Systems Der Partner ist verpflichtet, ihm überlassene Einrichtungen der T-Systems vor unberechtigtem Zu- griff und Beeinträchtigungen durch geeignete Maßnahmen zu schützen, diese pfleglich zu behan- deln und die Angaben der Hersteller zu beachten. 4.4.8 Störungen eventuell überlassener Einrichtungen der T-Systems Der Partner ist verpflichtet Störungen, Beeinträchtigungen der Leistungen oder Beschädigungen an den ihm überlassenen Einrichtungen der T-Systems unverzüglich mit einer nachvollziehbaren Schil- derung der Fehlersymptome anzuzeigen. Der Partner ist verpflichtet, T-Systems bei der Behebung einer Störung der Leistungen zu unterstüt- zen. Insbesondere führt der Partner vor Aufgabe eines Tickets soweit möglich eine Prüfung der Erfüllung der Mitwirkungsleistungen und seiner eigenen betrieblichen Vorgänge durch, um auszu- schließen, dass die Störungsursache in seinem Verantwortungsbereich liegt. 4.4.9 Erfüllungsgehilfen Der Partner stellt die Erbringung erforderlicher Mitwirkungsleistungen durch seine Vertragspartner oder sonst dem Partner zuzurechnende Dritte sicher, die als Erfüllungsgehilfen des Partners tätig sind. 4.4.10 Anzeige der Leistungsstörung bezüglich Mitwirkungspflichten Der Partner wird T-Systems unverzüglich in Textform darüber informieren, wenn er eine Mitwir- kungspflicht nicht wie vereinbart erfüllen kann. Er wird die nicht oder nicht vollständig erbringbare Mitwirkungspflicht bezeichnen und den Umfang der Leistungsstörung angeben.
6 GLOSSAR CWA Corona Warn App (Gesamtsystem, App mit dazugehörigem Server) CWA App Corona Warn App, nur der App Anteil CWA Server Corona Warn App, nur der Server Anteil mTLS Mutual Transport Layer Security Protocol QR-Code Quick Response Code
Technische Beschreibung ANTIGEN-SCHNELLTEST-SCHNITTSTELLE ZU CORONA- WARN-APP SYSTEM
TECHNISCHE BESCHREIBUNG ANTIGEN-SCHNELLTEST-SCHNITTSTELLE CORONA-WARN APP Impressum Herausgeber T-Systems International GmbH Hahnstraße 43d 60528 Frankfurt am Main WEEE-Reg.-Nr. DE50335567 nachfolgend – Telekom – genannt http://www.t-systems.de/pflichtangaben/http://www.telekom.de/pflichtangaben Copyright © 2019 Alle Rechte, auch die des auszugweisen Nachdruckes, der elektronischen oder fotome- chanischen Kopie sowie die Auswertung mittels Verfahren der elektronischen Datenverarbeitung, vorbehalten. Stand 15.04.2021 Seite 2 von 16
INHALT Impressum................................................................................................................................... 2 Inhalt ................................................................................................................................... 3 1 Einleitung .................................................................................................................. 4 1.1 Einordnung in die CWA Gesamtarchitektur ................................................................. 4 2 Funktionen ................................................................................................................ 6 2.1 Übertragung des Schnelltestergebnisses an den CWA Test Result Server ................. 7 2.2 Abruf des Schnelltestergebnisses in die CWA App ................................................... 12 2.3 Anzeige des Schnelltestergebnisses in der CWA App .............................................. 14 2.4 Auslösen einer Warnung im Positiv-Fall .................................................................... 15 3 Glossar/ Abkürzungsverzeichnis........................................................................... 16
TECHNISCHE BESCHREIBUNG ANTIGEN-SCHNELLTEST-SCHNITTSTELLE CORONA-WARN APP 1 EINLEITUNG Mit der CWA Schnelltest-Schnittstelle stellt Telekom eine sichere und datenschutzkonforme Systemintegration zur Verfügung, die eine Übertragung von Corona Schnelltestergebnissen aus Drittsystemen zur digitalen Anzeige in der Corona-Warn-App (CWA) ermöglicht. Ziel ist es, analog zur bisherigen Vorgehensweise bei PCR-Tests, auch bei positiven Schnelltest- ergebnissen die frühere Unterbrechung von Infektionsketten zu unterstützen, in dem die Nutzer der Corona-Warn-App über den Warnmechanismus der App umgehend andere Nutzer warnen können, zu denen im zurückliegenden Gefährdungszeitraum durch die CWA erfasste Kontaktin- tensität bestand. Weiterhin soll durch die schnelle und vertrauenswürdige Anzeige von Testergebnissen in der CWA App, auf Wunsch auch personalisiert als Testnachweis, ein Anreiz zur Erhöhung der Test- häufigkeit durch die Bürgerinnen und Bürger gesetzt werden. 1.1 Einordnung in die CWA Gesamtarchitektur Die CWA ist ein Gesamtsystem aus verschiedenen Komponenten, bei dem keine personenbezo- genen Daten im Backend gespeichert werden. Die zentrale Komponente zur Nutzer-Interaktion ist die CWA App als mobile Applikation für Smart- phones. Als native Applikation für iOS- und Android-Geräte nutzt sie für die Kernfunktionalität der Kontaktermittlung sowohl die Komponenten als auch zusätzliche Bibliotheken des jeweiligen Be- triebssystems und des von Apple und Google bereitgestellten Exposure Notification Framework (ENF). Das ENF stellt eine Systemkomponente des Betriebssystems bzw. der bereitgestellten Software-Bibliotheken dar. Für die Verschlüsselung der Daten, wie auch für das Anzeigen von Benachrichtigungen, werden ebenfalls Betriebssystemkomponenten verwendet. Für das Auslesen eines QR-Codes wird die zxing QR-Code Library verwendet; diese nutzt wiederum die betriebssystemseitige Kamerakom- ponente bzw. Kameraschnittstelle. Bei der Kommunikation mit den Serverkomponenten der CWA verwendet die CWA App die Protobuf Bibliothek. Der CWA Server dient als Server-Komponente der CWA App und hat als Kernaufgabe die Verwal- tung bzw. Verteilung von Schlüsselinformationen sowie Check-Ins von positiv getesteten Nutzern in Form von Positivschlüssel-/Check-In-Paketen. Für die Speicherung hochgeladener Positivschlüssel und Check-Ins von positiv getesteten Nut- zern wird ein eigener Storage Service genutzt. Dieser wird vom CWA Server bespielt und vom Content Delivery Network (CDN) als zentrale Datenverteilungsquelle genutzt. Der Storage Service ist Teil des CDN. Das Content Delivery Network der Telekom dient zur Bereitstellung von Datenpaketen mit den Po- sitivschlüsseln und der Check-Ins der positiv getesteten Nutzer sowie des Poster Templates. Der Storage Service dient dem CDN als Quelle der Auslieferung von Daten an die CWA Apps welche aktiv die Daten anfragen. Für die Bereitstellung der Schlüssel und Check-Ins über das CDN wer- den keine Push-Benachrichtigungen genutzt. Die Abfrage der Schlüssel und Check-Ins erfolgt durch die CWA App (auch im Hintergrundbetrieb) beim CDN. Somit wird ausgeschlossen, dass Drittanbieter (z. B. von Push-Notification-Netzwerken) von der Nutzung der CWA App oder dem Inhalt von Positivschlüssel-Paketen sowie Check-Ins Kenntnis nehmen können. Der Verifikationsserver dient als zentrale Komponente zur Verifikation von Daten im Rahmen der CWA. Er generiert und speichert alle gültigen Registration Token, die zum Abrufen von Testergeb- nissen im QR-Code-Verfahren notwendig sind. Ebenso stellt er Prüfdienste zur Verfügung, welche vom CWA Server genutzt werden, um sicherzustellen, dass nur positiv getestete Nutzer ihre Posi- tivschlüssel hochladen können und es somit nicht zur Fehlalarmen kommt. Stand 27.04.2021 Seite 4 von 16
TECHNISCHE BESCHREIBUNG ANTIGEN-SCHNELLTEST-SCHNITTSTELLE CORONA-WARN APP Der Test Result Server hat im Rahmen der CWA die Aufgabe, die von den Laboren weitergeleite- ten Testergebnisse zu registrierten Tests entgegenzunehmen. Der Test Result Server speichert die eingehenden Testergebnisse und stellt die Verknüpfung zu den CWA TEST IDs her, welche per QR-Code gescannt wurden. Nur Informationen zu Tests, bei denen der QR-Code gescannt wurde, werden hier gespeichert. Der Test Result Server dient als reines Datenspeicherungssys- tem. Die gespeicherten Testergebnisse werden dem Verifikationsserver zum Abruf bereitgestellt. Weitere Informationen siehe die Open-Source veröffentlichten Dokumente, insbesondere: a die Open Source veröffentlichte CWA Dokumentation: https://github.com/corona-warn- app/cwa-documentation b den Bericht zur Datenschutzfolgenabschätzung für die Corona-Warn-App: https://www.coronawarn.app/assets/documents/cwa-datenschutz-folgenabschaetzung.pdf Abbildung 1: High Level Architecture - Fokus auf Komponenten Stand 27.04.2021 Seite 5 von 16
TECHNISCHE BESCHREIBUNG ANTIGEN-SCHNELLTEST-SCHNITTSTELLE CORONA-WARN APP 2 FUNKTIONEN Das Gesamtsystem der CWA untergliedert sich aus der Perspektive des Abrufs eines Schnelltest- ergebnisses in vier Funktionen: 1 Die Übertragung des Schnelltestergebnisses an den CWA Test Result Server 2 Den Abruf des Schnelltestergebnisses in die CWA-App 3 Die Anzeige des Schnelltestergebnisses in der CWA-App 4 Das Auslösen einer Warnung im Positiv-Fall Die Integration erfolgt gemäß folgender System-Architektur: Abbildung 2: Architektur CWA Schnelltest-Integration (Ende-zu-Ende Darstellung) Voraussetzungen zur Nutzung durch den Partner sind: - Der Einsatz einer eigenen Teststellen-Software (Third-Party-Backend) - Eine zur Datenübertragung ausreichende Internetverbindung der Teststellen-Software des Partners - Weitere Mitwirkungsleistungen (s. die in der Leistungsbeschreibung bezeichneten Mitwir- kungspflichten) Voraussetzungen zur Nutzung durch eine Testperson sind: - Die Installation der CWA-App auf dem mobilen Endgerät der Testperson. - Die Nutzung von Smartphones mit IOS oder Android Betriebssystem neuerer Version Apple Smartphones mit iOS Betriebssystem: Stand 27.04.2021 Seite 6 von 16
TECHNISCHE BESCHREIBUNG ANTIGEN-SCHNELLTEST-SCHNITTSTELLE CORONA-WARN APP Mit der Corona-Warn-App Version 1.12 werden zusätzlich auch die älteren iPhone Modelle iPhone 5s, iPhone 6, und iPhone 6 Plus unterstützt. Voraussetzung ist auf diesen Geräten das iOS Betriebssystem mindestens auf die Version iOS 12.5 zu aktualisieren. Apple stellt für die Modelle iPhone SE (1. Generation), iPhone 6s, und neuere Mo- delle die Betriebssystem-Version iOS 13.7 und höher bereit. Smartphones mit Android Betriebssystem: Erforderliche Android-Version 6.0 oder höher - Die Nutzung eines durch den Partner an die Testperson übergebenen QR-Codes oder App-Links, mit dem die Verbindung zwischen lokaler CWA-App und CWA Test-Result-Ser- ver ermöglicht wird - Eine zur Datenübertragung ausreichende Internetverbindung des mobilen Endgeräts der Testperson/des CWA-Nutzers. 2.1 Übertragung des Schnelltestergebnisses an den CWA Test Result Server Die Übertragung der Schnelltestergebnisse aus der Teststellen-Software des Partners an das CWA-System erfolgt vereinfacht dargestellt nach folgender System-Architektur: Abbildung 3: Architektur CWA Schnelltest-Integration (vereinfachte Darstellung) Rechtliche Grundlage der Übertragung und des Ablegens des Testergebnisses auf dem CWA Test Result Server ist das Vorliegen einer Einwilligung zur Datenverarbeitung, die eine Testperson gegenüber dem Teststellenbetreiber abgibt. Weiterhin ist eine Entscheidung der Testperson erforderlich, ob sie das Testergebnis später in der CWA-App unter Angabe der personenbezogenen Daten „Vorname“, „Nachname“, „Geburtsdatum“ angezeigt bekommen möchte, oder die Anzeige ohne personenbezogene Daten gewünscht wird. Stand 27.04.2021 Seite 7 von 16
TECHNISCHE BESCHREIBUNG ANTIGEN-SCHNELLTEST-SCHNITTSTELLE CORONA-WARN APP Für die Anbindung sind seitens des Partners zwei Schnittstellen zur Corona Warn App einzurich- ten. Zum einen ein QR-Code zur Übermittlung der persönlichen Daten, des Testzeitpunkts und eines Identifiers aus der Teststellen-Software an die CWA-App. Zum anderen zur Übermittlung des Testergebnisses aus der Teststellen-Software an den CWA Test Result Server. Abbildung 4: Schnittstellen zur CWA Schnelltest-Integration Die Übertragung kann über drei Varianten angestoßen werden: Abbildung 5: Anbindungsvarianten für Partner, die bereits eine Software für das Testmanagement im Einsatz haben Stand 27.04.2021 Seite 8 von 16
TECHNISCHE BESCHREIBUNG ANTIGEN-SCHNELLTEST-SCHNITTSTELLE CORONA-WARN APP Variante 1 - Integration des QR-Code erfolgt vor dem Gang zum Testzentrum bei der Online-Ter- minvergabe - Die Testperson gibt bei der Terminanmeldung für einen Test über eine App oder eine Webseite des Partners auch die Einwilligung, das Testergebnis in der CWA-App anzuzei- gen (mit oder ohne persönliche Daten) und die hierfür erforderliche Datenverarbeitung vor- zunehmen. - Die Teststellen-Software des Partners generiert einen QR-Code, der im Web-Frontend an- gezeigt wird, oder einen App-Link, der in der genutzten App auf dem Smartphone ange- zeigt wird. - Die Testperson scannt über die CWA-App den QR-Code bzw. klickt in der Partner-App den angezeigten Link an, um die CWA-App zu öffnen. - Ein Teil der Daten wird daraufhin direkt in die App übertragen („Vorname“, „Nachname“, „Geburtsdatum“, „Testdatum“ sowie eine CWA Test ID) - Die Übertragung des Testergebnisses erfolgt nachfolgend über die Backend-Schnittstelle der Teststellen-Software des Partners an den CWA Test Result Server. Abbildung 6: Anbindungsvariante 1 - Integration des QR-Code erfolgt vor dem Gang zum Test- zentrum bei der Online-Terminvergabe Stand 27.04.2021 Seite 9 von 16
TECHNISCHE BESCHREIBUNG ANTIGEN-SCHNELLTEST-SCHNITTSTELLE CORONA-WARN APP Variante 2 - Integration des QR-Code erfolgt vor Ort bei der Anmeldung in der Teststelle - Der Mitarbeiter des Testzentrums gibt bei der Anmeldung der Testperson die persönlichen Daten über das Frontend der Teststellensoftware ein. - Gleichzeitig wird auch die Einwilligung, zur Anzeige des Testergebnisses in der CWA App (mit oder ohne persönliche Daten) abgefragt und in der Eingabemaske vermerkt. - Die Teststellen-Software des Partners generiert einen QR-Code, der im Web-Frontend an- gezeigt wird, oder einen App-Link, der in der genutzten App auf dem Smartphone ange- zeigt wird. - Die Testperson scannt über die CWA App den QR-Code bzw. klickt in der Partner-App den angezeigten Link an, um die CWA App zu öffnen. - Die Übertragung des Testergebnisses erfolgt nachfolgend über die Backend-Schnittstelle der Teststellensoftware des Partners an den CWA Test Result Server. Abbildung 7: Anbindungsvariante 2 - Die Integration des QR-Code erfolgt bei der Anmeldung im Testzentrum Stand 27.04.2021 Seite 10 von 16
TECHNISCHE BESCHREIBUNG ANTIGEN-SCHNELLTEST-SCHNITTSTELLE CORONA-WARN APP Variante 3 - Integration des QR-Code erfolgt in der Befundkommunikation (per Email oder Aus- druck) - Der Testperson gibt bei der Anmeldung persönlichen Daten über das Frontend der Test- stellensoftware ein. - Hierbei wird auch die Einwilligung, zur Anzeige des Testergebnisses in der CWA App (mit oder ohne persönliche Daten) abgefragt und in der Eingabemaske vermerkt. - Nachdem das Testergebnisse vorliegt erfolgt bei Zustimmung eine Datenübertragung an den CWA Result Server. - Weiterhin enthält bei Zustimmung die Befundkommunikation des Partner (E-Mail, Aus- druck) einen QR-Code, der mit der CWA App eingescannt werden kann. Abbildung 8: Anbindungsvariante 3 - Die Integration des QR-Code erfolgt in der Befundkommunikation per Email/Ausdruck. Stand 27.04.2021 Seite 11 von 16
TECHNISCHE BESCHREIBUNG ANTIGEN-SCHNELLTEST-SCHNITTSTELLE CORONA-WARN APP Technische Beschreibung: mTLS-Verbindung ▪ Beide Seiten liefern ein X.509 TLS Zertifikat ▪ Zertifikat wird von T-Systems zur Verfügung gestellt ▪ Für Integrationsplattform auch self signed möglich Beispiel-Implementierung für mTLS https://github.com/corona-warn-app/cwa-verificationserver/tree/master/src/main/java/app/corona- warn/verification/client Zertifikat bitte verschlüsselt an cwa-schnelltest-onboarding@t-systems.com senden. 2.2 Abruf des Schnelltestergebnisses in die CWA App Voraussetzung zur Übertragung des Schnelltestergebnisses an die CWA App auf dem Smart- phone der Testperson für die dortige Anzeige und ggf. Nutzung des dortigen Warnmechanismus ist der aktive Abruf des Schnelltestergebnisses von der CWA App beim CWA Test Result Server. Die Verifikation zur Übergabe des Testergebnisses vom CWA Test Result Server an die CWA- App erfolgt über den Abgleich des CWA Test ID durch den CWA Verification Server. Dafür erfragt die CWA App mittels eines Registration Token beim Verifikationsserver das Vorliegen eines Test- ergebnisses. Der Verifikationsserver verwendet den Hashwert der CWA Test ID zur Abfrage, ob ein Testergebnis auf dem Test Result Server für den CWA-Nutzer gespeichert ist. Liegt ein Testergebnis unter dem Hashwert der CWA Test ID auf dem Test Result Server vor, sendet der Test Result Server dieses Testergebnis an den Verifikationsserver, der dieses seiner- seits ohne Zwischenspeicherung das Ergebnis als positiven Befund, negativen Befund oder feh- lerhafte Information an die CWA App überträgt. Stand 27.04.2021 Seite 12 von 16
TECHNISCHE BESCHREIBUNG ANTIGEN-SCHNELLTEST-SCHNITTSTELLE CORONA-WARN APP Abbildung 9: Abruf des Testergebnisses (vereinfachte Darstellung) Technische Beschreibung: (1) Die CWA App extrahiert die CWA Test ID aus dem vorher eingelesenen QR-Code (2) Die CWA App bildet den Hashwert sha256 der CWA Test ID und überträgt diesen an den CWA Verification Server. (3) Der CWA Verification Server erzeugt einen Registration Token und überträgt diesen an die CWA-App. Gleichzeitig wird der Hashwert der CWA Test ID mit zugehörigem Registration Token als Wertepaar auf dem CWA-Verification Server gespeichert. (4) Die CWA App fordert das Testergebnis mittels Registration Token beim CWA-Verification Ser- ver an. (5) Der CWA Verification Server ermittelt anhand des Registration Token den zugehörigen Hash- wert der CWA Test ID und fordert damit das Testergebnis beim CWA Test Result Server an. Falls ein Ergebnis vorliegt: Rückgabe des Ergebnisses (positiv, negativ, fehlerhaft) Falls kein Ergebnis vorliegt: Rückgabe einer Leermeldung (6) Das Testergebnis wird in der CWA App persistiert, um es auch offline verfügbar zu machen. Bei der CWA Test ID handelt es sich um ein nicht-auflösbares Pseudonym, das außerhalb des Zugriffsbereichs des RKI oder Dritter liegt. An das CWA-System wird lediglich ein Hash-Wert der CWA Test ID übertragen. Dieser Hash-Wert wird lokal in der jeweiligen CWA App-Instanz anhand einer mathematischen Funktion berechnet, die nur in eine Richtung (Berechnung des Hash-Werts aus der CWA TEST ID) eindeutig ist. Aus dem Hash-Wert kann also nicht die CWA Test ID errechnet und somit bspw. zur Identifikation einer bestimmten Instanz der CWA-App verwendet werden. Die QR-Code-Repräsentationen der CWA Test ID befinden sich ausschließlich im Machtbereich des CWA-Nutzers und des Teststellenbetreibers. Stand 27.04.2021 Seite 13 von 16
TECHNISCHE BESCHREIBUNG ANTIGEN-SCHNELLTEST-SCHNITTSTELLE CORONA-WARN APP 2.3 Anzeige des Schnelltestergebnisses in der CWA App Die Anzeige des Schnelltestergebnisses erfolgt in der CWA App auf dem Smartphone der Test- person, nach der Abruf und Übertragung gemäß der unter 2.1. und 2.2 geschilderten Verfahren. Angezeigt werden: - Vorname, Nachname der getesteten Person (optional bei entsprechender Auswahl/Einwilli- gung) - Geburtsdatum (optional bei entsprechender Auswahl/Einwilligung) - Testergebnis - Zeitpunkt der Testdurchführung Abbildung 10: Screens in der CWA-App bei negativem Ergebnis (beispielhaft) Stand 27.04.2021 Seite 14 von 16
TECHNISCHE BESCHREIBUNG ANTIGEN-SCHNELLTEST-SCHNITTSTELLE CORONA-WARN APP Abbildung 11: Screens in der CWA-App bei positiven Testergebnis (beispielhaft) 2.4 Auslösen einer Warnung im Positiv-Fall Ein positiv getesteter CWA-Nutzer kann sein Testergebnis mit der Warnfunktion der CWA-App (auf dem Überblicks-Screen „Benachrichtigung anderer“ genannt) mit seinen Kontaktpersonen tei- len und diese über eine mögliche Ansteckung informieren. Technische Beschreibung: Die Bereitstellung der Positivschlüssel eines positiv getesteten Nutzers erfolgt anonym mittels ei- nes Verifikationsprozesses und einer einmaligen Transaktionsnummer (TAN). Wenn ein positiv getesteter Nutzer seine Positivschlüssel bereitstellen will, so werden diese ge- meinsam mit einer zuvor generierten TAN an den CWA Server geschickt. Dieser überprüft mit Hilfe des Verifikationsservers, ob die TAN gültig ist und sollte dies der Fall sein, werden die über- mittelten Positivschlüssel vom CWA Server an den Storage Service des CDN weitergegeben. Stand 27.04.2021 Seite 15 von 16
TECHNISCHE BESCHREIBUNG ANTIGEN-SCHNELLTEST-SCHNITTSTELLE CORONA-WARN APP 3 GLOSSAR/ ABKÜRZUNGSVERZEICHNIS CDN Content Delivery Network CWA Corona Warn App (Gesamtsystem, App mit dazugehörigem Server) CWA App Corona Warn App, nur der App Anteil CWA Server Corona Warn App, nur der Server Anteil ENF Exposure Notification Framework GUID Globally Unique Identifier LIS Laboratory Information System OTC Open Telekom Cloud QR-Code Quick Response Code Stand 27.04.2021 Seite 16 von 16
ANLAGE 3: DATENSCHUTZ-HINWEIS 1 DATENSCHUTZHINWEIS „Hinweise zum Datenschutz: Sie* möchten die Corona-Warn-App („App“) des Robert Koch-Instituts („RKI“) zum Abruf Ihres Testergebnisses eines Antigentests verwenden. Um Ihr Testergebnis über die App abrufen zu können ist es notwendig, dass Ihr Testergebnis von der Teststelle an das Serversystem des RKI übermittelt wird. Verkürzt dargestellt erfolgt dies, indem die Teststelle Ihr Testergebnis, verknüpft mit einem maschinenlesbaren Code, auf einem hierfür bestimmten Server des RKI ablegt. Der Code ist Ihr Pseudonym, weitere Angaben zu Ihrer Person sind für die Anzeige des Testergebnisses in der App nicht erforderlich. Sie können die Anzeige des Testergebnisses jedoch für sich durch Angabe Ihres Namens, Vornamens und Geburtsdatums personalisieren lassen. Der Code wird aus dem vorgesehenen Zeitpunkt des Tests und einer Zufallszahl gebildet. Die Bildung des Codes erfolgt, indem die vorgenannten Daten so miteinander verrechnet werden, dass ein Zurückrechnen der Daten aus dem Code nicht mehr möglich ist. Sie erhalten eine Kopie des Codes in der Darstellung eines QR-Codes, der durch die Kamerafunktion Ihres Smartphones in die App eingelesen werden kann. Alternativ können Sie den pseudonymen Code auch als Internetverweis erhalten („App Link“), der von der App geöffnet und verarbeitet werden kann. Nur hierdurch ist eine Verknüpfung des Testergebnisses mit Ihrer App möglich. Mit Ihrer Einwilligung können Sie dann Ihr Testergebnis mit Hilfe der App abrufen. Ihr Testergebnis wird automatisch nach 21 Tagen auf dem Server gelöscht. Wenn Sie mit der Übermittlung Ihres pseudonymen Testergebnisses mittels des Codes an die App-Infrastruktur zum Zweck des Testabrufs einverstanden sind, bestätigen Sie dies bitte gegenüber den Mitarbeitern der Teststelle. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Bitte beachten Sie jedoch, dass aufgrund der vorhandenen Pseudonymisierung eine Zuordnung zu Ihrer Person nicht erfolgen kann und daher eine Löschung Ihrer Daten erst mit Ablauf der 21-tägigen Speicherfrist automatisiert erfolgt. Einzelheiten hierzu finden Sie zudem in den »Datenschutzhinweisen« der Corona-Warn-App des RKI. “ *Wenn Sie jünger als 16 Jahre alt sind, besprechen Sie die Nutzung der App bitte mit Ihren Eltern oder Ihrer sorgeberechtigten Person. - 1/2 -
2 EINWILLIGUNGSTEXTE A) EINWILLIGUNG ZUR PSEUDONYMISIERTEN ÜBERMITTLUNG (NICHT-NAMENTLICHE ANZEIGE):: „Das Einverständnis des Getesteten zum Übermitteln des Testergebnisses und des pseudonymen Codes an das Serversystem des RKI zum Zweck des Ergebnisabrufs in der Corona-Warn-App wurde erteilt. Es wurde darauf hingewiesen, dass das Testergebnis in der App hierbei nicht als namentlicher Testnachweis verwendet werden kann. Dem Getesteten wurden Hinweise zum Datenschutz ausgehändigt. “ alternativ: „Hiermit erkläre ich mein Einverständnis zum Übermitteln meines Testergebnisses und meines pseudonymen Codes an das Serversystem des RKI, damit ich mein Testergebnis mit der Corona-Warn-App abrufen kann. Das Testergebnis in der App kann hierbei nicht als namentlicher Testnachweis verwendet werden. Mir wurden Hinweise zum Datenschutz ausgehändigt. “ B) EINWILLIGUNG ZUR PERSONALISIERTEN ÜBERMITTLUNG (NAMENTLICHER TESTNACHWEIS): „Das Einverständnis des Getesteten zum Übermitteln des Testergebnisses und des pseudonymen Codes an das Serversystem des RKI zum Zweck des Ergebnisabrufs in der Corona-Warn-App wurde erteilt. Der Getestete willigte außerdem in die Übermittlung von Name und Geburtsdatum an die App zur Anzeige des Testergebnisses in der App als namentlicher Testnachweis ein. Dem Getesteten wurden Hinweise zum Datenschutz ausgehändigt.“ alternativ: „Hiermit erkläre ich mein Einverständnis zum Übermitteln des Testergebnisses und meines pseudonymen Codes an das Serversystem des RKI, damit ich mein Testergebnis mit der Corona-Warn-App abrufen kann. Ich willige außerdem in die Übermittlung meines Namens und Geburtsdatums an die App ein, damit mein Testergebnis in der App als namentlicher Testnachweis angezeigt werden kann. Mir wurden Hinweise zum Datenschutz ausgehändigt.“ - 2/2 -
ANLAGE 4: CWA-SCHNELLTEST PARTNERINFORMATION Anleitung zu Erstellung von QR-Codes für Corona-Warn-App 1. Variante mit persönlichen Daten Diese Beschreibung gilt für den Fall, dass die zu testende Person eine Einwilligung zu Weitergabe der persönlichen Daten (Vorname, Name, Geburtsdatum) an die CWA-App zwecks personalisierter Anzeige des Ergebnisses in der App gegeben hat. Für die Variante ohne eine solche Einwilligung sehen Sie unten. Für die Weitergabe der Daten zu einem Schnelltest an die CWA-App müssen Sie zuerst ein JSON-Objekt erstellen. Die Struktur des JSON-Objects setzt sich aus den folgenden Attributen zusammen: fn Vorname ln Nachname dob Geburtsdatum im Format YYYY-MM-DD mit fester Länge von 10 Zeichen (Beispiel: 2000-01-01) testid generierte UUID Typ 4 oder eine eigene ID* timestamp Test-Datum/Uhrzeit im Unix Epoch Timestamp Format (Sekunden) salt Generierte 128-Bit Zufallszahl in Hexadezimal-Darstellung, nur mit Großbuchstaben und fester Breite von 32 Stellen** hash SHA256-Hashwert für alle anderen Attribute des Objekts * Für das Attribut testid empfehlen wir eine UUID Typ 4 generierte Zeichenkette. Sie können stattdessen Ihre eigene Test-ID verwenden, die Sie als Zeichenkette in JSON behandeln. ** Das Attribut salt muss durch einen kryptografisch sicheren Zufallsgenerator erzeugt werden (dafür gibt es in jeder Programmiersprache Bibliotheken). Beispiel: { "fn": "Erika", "ln": "Mustermann", "dob": "1990-12-23", "timestamp": 1618386548 "testid": "52cddd8e-ff32-4478-af64-cb867cea1db5", "salt": "759F8FF3554F0E1BBF6EFF8DE298D9E9", "hash": "67a50cba5952bf4f6c7eca896c0030516ab2f228f157237712e52d66489d9960" } Für die Erzeugung des SHA256-Hashwerts nutzen Sie eine Zeichenkette, die nach dem folgenden Muster aufgebaut ist: [dob]#[fn]#[ln]#[timestamp]#[testid]#[salt] Oder für das obige JSON-Objekt:
1990-12-23#Erika#Mustermann#1618386548#52cddd8e-ff32-4478-af64- cb867cea1db5#759F8FF3554F0E1BBF6EFF8DE298D9E9 Daraus resultiert ein SHA256-Hashwert: 67a50cba5952bf4f6c7eca896c0030516ab2f228f157237712e52d66489d9960 Diesen Hashwert muss Ihre Software zusammen mit den persönlichen Daten solange speichern, bis das Testergebnis bekannt ist und an den Test-Result-Server übermittelt wurde. Der Test-Result-Server identifiziert ein Testergebnis über diesen Hashwert, speichert jedoch keine personenbezogenen Daten. Zunächst erstellen Sie einen Link für die Übergabe des JSON-Objekts an die CWA-App. Nutzer, die keine CWA-App auf Ihrem Mobilgerät installiert haben, werden durch diesen Link auf Google Play / Apples App Store weitergeleitet. Nutzer, die die App bereits haben, bekommen die Daten zum Schnelltest direkt in die CWA-App übergeben. Zuerst muss das JSON-Objekt in base64url-Form umgewandelt und nach dem Hashtag- Zeichen platziert werden. Aufbau des Links: https://s.coronawarn.app?v=1#[base64url-coded JSON-Object] Oder für das Beispiel: https://s.coronawarn.app?v=1#eyAiZm4iOiAiRXJpa2EiLCAibG4iOiAiTXVzdGV ybWFubiIsICJkb2IiOiAiMTk5MC0xMi0yMyIsICJ0aW1lc3RhbXAiOiAxNjE4Mzg2NTQ 4LCAidGVzdGlkIjogIjUyY2RkZDhlLWZmMzItNDQ3OC1hZjY0LWNiODY3Y2VhMWRiNSI sICJzYWx0IjogIjc1OUY4RkYzNTU0RjBFMUJCRjZFRkY4REUyOThEOUU5IiwgImhhc2g iOiAiOTVkN2ZmY2I4MzcxMmFmMWU1YWJhMjg1Y2UxYmNmY2U4YmZmMmU1M2JiYjIzMDI zNjY3NDgzYWFjMTA5MDVjMyIgfQ0K Anschließend erstellen sie einen QR-Code aus dieser URL. Die base64url-kodierte Daten kommen nach dem Hashtag und gelangen dadurch nicht ins Netzwerk.
2. Variante ohne persönliche Daten Den Hashwert fürs JSON-Objekt erstellen Sie, wie oben beschrieben. Das zu übermittelnde JSON-Objekt erhält danach nicht alle Daten: { "timestamp": 1618386548, "salt": "759F8FF3554F0E1BBF6EFF8DE298D9E9", "hash": "67a50cba5952bf4f6c7eca896c0030516ab2f228f157237712e52d66489d9960" } Mit diesem Objekt erstellen Sie eine base64url-kodierte Zeichenkette für die URL sowie den QR-Code. Link für CWA-App: https://s.coronawarn.app?v=1#eyAidGltZXN0YW1wIjogMTYxODM4NjU0OCwgInN hbHQiOiAiNzU5RjhGRjM1NTRGMEUxQkJGNkVGRjhERTI5OEQ5RTkiLCAiaGFzaCI6ICI 2N2E1MGNiYTU5NTJiZjRmNmM3ZWNhODk2YzAwMzA1MTZhYjJmMjI4ZjE1NzIzNzcxMmU 1MmQ2NjQ4OWQ5OTYwIiB9DQoNCg QR-Code für CWA-App:
Sie können auch lesen