Leistungsbeschreibung zur - ANTIGEN-SCHNELLTEST-SCHNITTSTELLE ZUR CORONA- WARN-APP DES ROBERT KOCH-INSTITUTS Anlage 1 zum Partnervertrag

Die Seite wird erstellt Janina Naumann
Essen und Trinken
Deutsch
 
WEITER LESEN
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Leistungsbeschreibung zur - ANTIGEN-SCHNELLTEST-SCHNITTSTELLE ZUR CORONA- WARN-APP DES ROBERT KOCH-INSTITUTS Anlage 1 zum Partnervertrag
Leistungsbeschreibung zur
ANTIGEN-SCHNELLTEST-SCHNITTSTELLE ZUR CORONA-
WARN-APP DES ROBERT KOCH-INSTITUTS
Anlage 1 zum Partnervertrag
Leistungsbeschreibung zur - ANTIGEN-SCHNELLTEST-SCHNITTSTELLE ZUR CORONA- WARN-APP DES ROBERT KOCH-INSTITUTS Anlage 1 zum Partnervertrag
INHALT
1        Einleitung .................................................................................................................. 3

2        Leistungsvoraussetzungen ...................................................................................... 3
2.1      Erzeugung der richtigen Datenstrukturen mit dem richtigen Inhalt .............................. 3
2.2      Bereitstellung von Daten zur Testkennzeichnung für den CWA Nutzer ....................... 3
2.3      Vorsehen eines Backends zur Übermittlung der Testergebnisse ................................ 4

3        Leistungen von T-Systems ...................................................................................... 5
3.1      Zugang zur Schnittstelle ............................................................................................. 5
3.2      Zertifikat ...................................................................................................................... 5

4        Mitwirkungspflichten des Partners .......................................................................... 6
4.1      Datenschutzrechtliche Mitwirkungspflichten ................................................................ 6
4.2      Mitwirkungspflichten zur Sicherstellung der Kompatibilität .......................................... 7
4.3      Mitwirkungspflichten beim Übertragungsvorgang ........................................................ 7
4.4      Allgemeine Mitwirkungspflichten ................................................................................. 7
4.4.1    Ansprechpartner ......................................................................................................... 7
4.4.2    Email-Kommunikation ................................................................................................. 7
4.4.3    Rechtskonformität ....................................................................................................... 8
4.4.4    Missbrauchsverhinderung ........................................................................................... 8
4.4.5    Geheimhaltung von Zugangsdaten ............................................................................. 8
4.4.6    Aufklärung von Sicherheitsvorfällen ............................................................................ 8
4.4.7    Eventuell überlassene Einrichtungen der T-Systems .................................................. 9
4.4.8    Störungen Eventuell überlassener Einrichtungen der T-Systems ................................ 9
4.4.9    Erfüllungsgehilfen ....................................................................................................... 9
4.4.10   Anzeige der Leistungsstörung bezüglich Mitwirkungspflichten .................................... 9

5        Glossar .................................................................................................................... 10
Leistungsbeschreibung zur - ANTIGEN-SCHNELLTEST-SCHNITTSTELLE ZUR CORONA- WARN-APP DES ROBERT KOCH-INSTITUTS Anlage 1 zum Partnervertrag
1 EINLEITUNG
Die Antigen-Schnelltest-Schnittstelle zu der Corona-Warn-App des Robert Koch-Instituts kann vom
Partner zur Übermittlung von Testergebnissen aus einer Teststelle des Partners zur Durchführung
von Antigentests an die Corona-Warn-App des Robert Koch-Instituts verwendet werden. Das Umfeld
der Datenverarbeitung zu dieser Übermittlung wird in Anlage 2 „Technische Beschreibung“ zu die-
sem Vertrag genauer erläutert. Die Leistungen von T-Systems und die Mitwirkungspflichten des
Partners ergeben sich jedoch ausschließlich aus dieser Leistungsbeschreibung. Die technische Be-
schreibung begründet keine Ansprüche und Pflichten.

2 LEISTUNGSVORAUSSETZUNGEN
Damit die Übermittlung von Testergebnissen an die Corona-Warn-App erfolgreich durchgeführt wer-
den kann, müssen auf Seiten des Partners folgende Voraussetzungen geschaffen werden:

2.1 Erzeugung der richtigen Datenstrukturen mit dem richtigen Inhalt

Damit die zu verarbeitenden Daten in der Schnittstelle und in der Corona-Warn-App richtig verar-
beitet werden können und die Anzeige eines Testergebnisses in der Corona-Warn-App ermöglichen,
müssen die Datenstrukturen nach den Angaben in der Anlage 4 „CWA-Schnelltest-
Partnerinformation“ gebildet werden. Abweichend gebildete Datenstrukturen können dazu führen,
dass die Daten nicht zutreffend verarbeitet werden. Dies wiederum kann zur Folge haben, dass
Testergebnisse nicht, falsch oder falsch zugeordnet angezeigt werden.

Die Bildung der Datenstrukturen befindet sich in der ausschließlichen Verantwortung des Partners.
Eine Richtigkeitskontrolle ist in der Corona-Warn-App nicht möglich, da auf Grund der Pseudonymi-
sierung der Daten diese nicht einem Nutzer der Corona-Warn-App zugeordnet werden können.

2.2 Bereitstellung von Daten zur Testkennzeichnung für den CWA Nutzer

Soweit der Partner die Datenstrukturen richtig nach den Angaben in der Anlage 4 „CWA-Schnelltest-
Partnerinformation“ gebildet hat, müssen diese Daten dem Nutzer der Corona-Warn-App vertraulich
und sicher bereitgestellt werden. Hierzu bestehen die zwei Möglichkeiten der Anzeige eines QR-
Codes oder der Bereitstellung eines App-Link, wie in der Anlage 4 „CWA-Schnelltest-
Partnerinformation“ zu diesem Vertrag beschrieben.
Leistungsbeschreibung zur - ANTIGEN-SCHNELLTEST-SCHNITTSTELLE ZUR CORONA- WARN-APP DES ROBERT KOCH-INSTITUTS Anlage 1 zum Partnervertrag
Die vertrauliche und sichere Bereitstellung befindet sich in der ausschließlichen Verantwortung des
Partners. Es muss eine Lösung gewählt werden, die einerseits mit hoher Wahrscheinlichkeit ge-
währleistet, dass der Nutzer der Corona-Warn-App das Testergebnis abrufen kann, andererseits mit
hoher Wahrscheinlichkeit sicherstellt, dass kein unbefugter Dritter Zugriff auf die bereitgestellten
Daten oder das Testergebnis nehmen oder diese Daten verarbeiten kann.

2.3 Vorsehen eines Backends zur Übermittlung der Testergebnisse

Die vom Partner erzeugten und bereitzustellenden Daten müssen über ein Backend der Corona-
Warn-App zur Verfügung gestellt werden, welches eine einzelne Verbindung zur Antigen-Schnell-
test-Schnittstelle zu der Corona-Warn-App auf- und abbaut. Ein unmittelbarer Anschluss von Test-
stellen des Partners an die Corona-Warn-App ist nicht vorgesehen.

Das Backend muss mindestens folgende Funktionen erfüllen:

   1. Authentifizierung der Mitarbeiter der Teststellen des Partners;
   2. Protokollierung der Erfassung und Verarbeitung personenbezogener Daten durch Mitarbeiter
       der Teststellen des Partners derart, dass nachträglich überprüft und festgestellt werden kann,
       welche personenbezogenen Daten zu welcher Zeit und von wem eingegeben oder verändert
       worden sind (Eingabekontrolle);
   3. Protokollierung der Erhebung und Verarbeitung der Einwilligung des Nutzers der Corona-
       Warn-App zur Übermittlung des Testergebnisses des Nutzers der Corona-Warn-App an das
       Robert Koch-Institut zur Darstellung in der Corona-Warn-App durch Mitarbeiter der
       Teststellen des Partners derart, dass die Erteilung der Einwilligung des Nutzers der Corona-
       Warn-App nachgewiesen werden kann;
   4. Darstellung der CWA Test ID und - abhängig von der Wahl des Nutzers der Corona-Warn-
       App, einen QR-Code mit oder ohne personenbezogene Daten zu erhalten und der Erklärung
       einer entsprechenden Einwilligung durch den Nutzer - von Vorname, Nachname und
       Geburtsdatum in einem QR-Code oder App-Link in dem Format und in der Kodierung, wie in
       der Anlage 4 „CWA-Schnelltest-Partnerinformation“ beschrieben; diese Funktion kann der
       Partner auch außerhalb des Backends umsetzen;
   5. Übertragung dieses QR-Codes oder App-Links zum Nutzer der Corona-Warn-App; diese
       Funktion kann der Partner auch außerhalb des Backends umsetzen;
   6. Authentifizierung des Backends gegenüber der Antigen-Schnelltest-Schnittstelle zu der
       Corona-Warn-App mittels mTLS;
   7. Übermittlung der CWA Test ID und des Testergebnisses in dem Format und in der
       Kodierung, wie in der Anlage 4 „CWA-Schnelltest-Partnerinformation“ beschrieben;
   8. Beendigung und Abbau der mTLS-Verbindung nach abgeschlossener Übermittlung der
       Daten;
Leistungsbeschreibung zur - ANTIGEN-SCHNELLTEST-SCHNITTSTELLE ZUR CORONA- WARN-APP DES ROBERT KOCH-INSTITUTS Anlage 1 zum Partnervertrag
9. Sicherstellung, dass bereits erfolgreich übermittelte Daten nicht nochmals übermittelt
          werden;
   10. Sicherstellung, dass nicht erfolgreich übermittelte Daten in einer angemessenen Anzahl
          (mindestens 3 mal, maximal 5 mal) von Versuchen nochmals übermittelt werden und bei
          Fehlschlag auch dieser Übermittlungen weitere Prozesse des Partners begonnen werden,
          die die Bereitstellung des Testergebnisses für den Nutzer der CWA App auf anderen Wegen
          gewährleisten.

3 LEISTUNGEN VON T-SYSTEMS
T-Systems stellt dem Partner den Zugang zur Antigen-Schnelltest-Schnittstelle durch Bereitstellung
eines Zertifikats zur Verfügung, mittels dessen der Partner das Backend mit der Antigen-Schnelltest-
Schnittstelle verbinden kann.

3.1 Zugang zur Schnittstelle

T-Systems ermöglicht dem Partner den Zugang zur Antigen-Schnelltest-Schnittstelle zu der Corona-
Warn-App. Die Herstellung des Zugangs erfolgt durch die Bereitstellung des Zertifikats, mittels des-
sen der Partner eine mTLS-gesicherte Verbindung zur Antigen-Schnelltest-Schnittstelle zu der
Corona-Warn-App aufbauen kann.

Nicht Teil der Leistung ist die Bereitstellung der Antigen-Schnelltest-Schnittstelle zu der Corona-
Warn-App an sich. Die Antigen-Schnelltest-Schnittstelle zu der Corona-Warn-App wird vom Robert
Koch-Institut bereitgestellt und stellt keine Leistung von T-Systems oder dem Robert Koch-Institut
gegenüber dem Partner dar.

Ebenfalls nicht Teil der Leistung ist die Herstellung der Erreichbarkeit der Antigen-Schnelltest-
Schnittstelle zu der Corona-Warn-App. Die Herstellung der Internetverbindung obliegt dem Partner
selbst.

3.2 Zertifikat

T-Systems stellt dem Partner ein Zertifikat zur Verfügung, welches der Partner zum Aufbau einer
mTLS-gesicherten Verbindung zur Antigen-Schnelltest-Schnittstelle zu der Corona-Warn-App ver-
wenden kann. Die Bereitstellung erfolgt in einem für ein Zertifikat üblichen Format. Im Zweifel ist ein
Format üblich, welches durch eine zum Zeitpunkt der Bereitstellung veröffentliche Version des Pro-
grammpakets „OpenSSL“ verarbeitet werden kann.
Leistungsbeschreibung zur - ANTIGEN-SCHNELLTEST-SCHNITTSTELLE ZUR CORONA- WARN-APP DES ROBERT KOCH-INSTITUTS Anlage 1 zum Partnervertrag
4 MITWIRKUNGSPFLICHTEN DES PARTNERS
Der Partner ist verpflichtet, die nachfolgend beschriebenen Mitwirkungspflichten zu erfüllen. Ein Ent-
gelt oder ein Ausgleichsanspruch steht dem Partner für die Erfüllung der Mitwirkungspflichten nicht
zu.

4.1 Datenschutzrechtliche Mitwirkungspflichten

Der Partner ist verpflichtet, die Einwilligung des Nutzers der Corona-Warn-App gemäß Artikel 6 Abs.
1 lit a) DSGVO und Artikel 9 Abs. 2 lit a) DSGVO zur Übermittlung des Testergebnisses des Nutzers
der Corona-Warn-App an das Robert Koch-Institut zur Darstellung in der Corona-Warn-App einzu-
holen, bevor der Partner die jeweilige CWA Test ID und das Testergebnis an die Antigen-Schnelltest-
Schnittstelle zu der Corona-Warn-App übermittelt.

Der Partner ist verpflichtet, dem Nutzer der Corona-Warn-App ausreichende Datenschutzhinweise
zur Übermittlung zu erteilen, die mindestens den Umfang der in der Anlage 3 „Datenschutz-Hinweis“
beispielhaft vorgesehenen Hinweise aufweisen.

Der Partner ist verpflichtet, dem Nutzer der Corona-Warn-App die Erklärung der Einwilligung zur
Übermittlung des Testergebnisses des Nutzers der Corona-Warn-App an das Robert Koch-Institut
zur Darstellung in der Corona-Warn-App mittels der in der Anlage 3 „Datenschutz-Hinweis“ vorge-
sehenen Einwilligungstexte zu ermöglichen. Hierzu muss der Partner dem Nutzer der Corona-Warn-
App die Wahl zwischen den in den Einwilligungstexten beschriebenen verschiedenen Einwilligungen
frei ermöglichen.

Der Partner ist verpflichtet, eine erklärte Einwilligung eines Nutzers der Corona-Warn-App entge-
genzunehmen und so zu dokumentieren, dass die Erteilung der Einwilligung des Nutzers der
Corona-Warn-App nachgewiesen werden kann.

Der Partner ist verpflichtet, die Erfassung und Verarbeitung personenbezogener Daten durch Mitar-
beiter der Teststellen des Partners derart zur protokollieren, dass nachträglich überprüft und festge-
stellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem eingegeben
oder verändert worden sind (Eingabekontrolle). Dies umfasst auch die Dokumentation der Erteilung
der Datenschutzhinweise und die Erfassung der Einwilligungen. Der Partner ist aus diesem Grund
verpflichtet, sicherzustellen, dass sich die Mitarbeiter der Teststellen des Partners so gegenüber
dem Backend des Partners authentifizieren, dass die Verarbeitungsvorgänge den Mitarbeitern je-
weils zuzuordnen sind und die Weitergabe oder der anderweitige Missbrauch von Zugangs- und
Verarbeitungsmöglichkeiten durch Maßnahmen der Betriebsorganisation des Partners unterbunden
wird.
4.2 Mitwirkungspflichten zur Sicherstellung der Kompatibilität

Der Partner ist verpflichtet, die CWA Test ID und - abhängig von der Wahl des Nutzers der Corona-
Warn-App, einen QR-Code mit oder ohne personenbezogene Daten zu erhalten und der Erklärung
einer entsprechenden Einwilligung durch den Nutzer - Vorname, Nachname und Geburtsdatum in
einem QR-Code oder App-Link in dem Format und in der Kodierung darzustellen, wie in der Anlage
4 „CWA-Schnelltest-Partnerinformation“ beschrieben. Diesen QR-Codes oder App-Link muss der
Partner dem Nutzer der Corona-Warn-App bereitstellen, wobei der Partner sicherstellen muss, dass
die Bereitstellung mit hoher Wahrscheinlichkeit gewährleistet, dass der Nutzer der Corona-Warn-
App das Testergebnis abrufen kann und kein unbefugter Dritter Zugriff auf die bereitgestellten Daten
oder das Testergebnis nehmen oder diese Daten verarbeiten kann.

Des weiteren ist der Partner verpflichtet, CWA Test ID und Testergebnis in dem Format und in der
Kodierung an die Antigen-Schnelltest-Schnittstelle zu der Corona-Warn-App zu übermitteln, wie in
der Anlage 4 „CWA-Schnelltest-Partnerinformation“ beschrieben.

4.3 Mitwirkungspflichten beim Übertragungsvorgang

Der Partner ist verpflichtet, ausschließlich von T-Systems gemäß dieser Leistungsbeschreibung be-
reitgestellte Zertifikate zur Herstellung von mTLS-Verbindungen zur Antigen-Schnelltest-Schnitt-
stelle zu der Corona-Warn-App zu verwenden. Der Partner ist verpflichtet, sicherzustellen, dass be-
reits erfolgreich übermittelte Daten nicht nochmals übermittelt werden und dass nicht erfolgreich
übermittelte Daten in einer angemessenen Anzahl von Versuchen nochmals übermittelt werden und
bei Fehlschlag auch dieser Übermittlungen weitere Prozesse des Partners begonnen werden, die
die Bereitstellung des Testergebnisses für den Nutzer der CWA App auf anderen Wegen gewähr-
leisten. Der Partner ist nach Beendigung der Übermittlung zum Abbau der mTLS-Verbindung ver-
pflichtet.

4.4 Allgemeine Mitwirkungspflichten

4.4.1 Ansprechpartner

Der Partner ist verpflichtet einen qualifizierten und entscheidungsbefugten Ansprechpartner zu be-
nennen und dessen Erreichbarkeit/Vertretung während der Vertragslaufzeit sicherzustellen.

4.4.2 E-Mail-Kommunikation

Der Partner erklärt sich mit dem unverschlüsselten Schriftwechsel per E-Mail einverstanden und
wird stets eine aktuelle E-Mail Adresse hinterlegen. Dem Partner ist bekannt, dass für die Leistungs-
erbringung wesentliche Informationen, wie Zugangsdaten, Informationen zu Änderungen der Leis-
tungen und der rechtlichen Bedingungen, sowie Rechnungen ausschließlich per Mail versendet wer-
den.

4.4.3 Rechtskonformität

Der Partner prüft eigenverantwortlich alle für ihn im Zusammenhang mit der Nutzung der Leistung
relevanten und anwendbaren rechtlichen Vorschriften, Gesetze, Verordnungen und branchenspezi-
fischen Bestimmungen und stellt deren Einhaltung sicher. Dazu zählen insbesondere auch die Ein-
haltung von Geheimhaltungsverpflichtungen, die z.B. aus einer beruflichen Tätigkeit herrühren.

4.4.4 Missbrauchsverhinderung

Der Partner stellt sicher, dass die Leistungen nicht missbräuchlich genutzt werden. Eine missbräuch-
liche Nutzung liegt insbesondere vor, wenn die Leistungen von Unbefugten verwendet werden, die
Leistungen nicht zu den vorgesehenen Zwecken verwendet werden oder die Leistungen zur Verar-
beitung unwahrer Angaben eingesetzt werden. Stellt der Partner eine missbräuchliche Nutzung fest
oder bestehen für ihn Anhaltspunkte für die begründete Vermutung einer missbräuchlichen Nutzung,
wird der Partner T-Systems diese missbräuchliche Nutzung und die Anhaltspunkte unverzüglich mit-
teilen.

4.4.5 Geheimhaltung von Zugangsdaten

Der Partner ist verpflichtet, ihm von T-Systems zugeteilte Passwörter, Zugangsdaten und Zertifikate
geheim zu halten, nur an berechtigte Dritte weiterzugeben, vor unberechtigtem Zugriff zu schützen
und soweit erforderlich zu ändern. Der Partner wird T-Systems unverzüglich bei Vorliegen von An-
haltspunkten, dass unberechtigte Dritte Kenntnis von Passwörtern oder Zugangsdaten erhalten ha-
ben, informieren.

4.4.6 Aufklärung von Sicherheitsvorfällen

Der Partner ist verpflichtet, T-Systems bei der Aufklärung von Sicherheitsvorfällen zu unterstützen
und T-Systems die von T-Systems bezeichneten angemessenen Informationen, gegebenenfalls
auch durch das Anstellen eigener Ermittlungen, zur Verfügung zu stellen. Sicherheitsvorfälle stellen
Vorfälle dar, bei deren konkretem oder eventuellem Vorliegen die in dieser Leistungsbeschreibung
beschriebenen Leistungen von Unbefugten verwendet werden können, die Leistungen nicht zu den
vorgesehenen Zwecken verwendet werden können oder die Leistungen zur Verarbeitung unwahrer
Angaben eingesetzt werden können. Dies umfasst auch Vorfälle, die vom Cyber Defense Center
des Konzerns der Deutschen Telekom AG entdeckt werden.
Zu diesem Zweck stellt der Partner sicher, dass ein qualifizierter und entscheidungsbefugter An-
sprechpartner für T-Systems zur Bearbeitung von Sicherheitsvorfällen erreichbar ist und benennt
diesen Ansprechpartner.

4.4.7 Eventuell überlassene Einrichtungen der T-Systems

Der Partner ist verpflichtet, ihm überlassene Einrichtungen der T-Systems vor unberechtigtem Zu-
griff und Beeinträchtigungen durch geeignete Maßnahmen zu schützen, diese pfleglich zu behan-
deln und die Angaben der Hersteller zu beachten.

4.4.8 Störungen eventuell überlassener Einrichtungen der T-Systems

Der Partner ist verpflichtet Störungen, Beeinträchtigungen der Leistungen oder Beschädigungen an
den ihm überlassenen Einrichtungen der T-Systems unverzüglich mit einer nachvollziehbaren Schil-
derung der Fehlersymptome anzuzeigen.

Der Partner ist verpflichtet, T-Systems bei der Behebung einer Störung der Leistungen zu unterstüt-
zen. Insbesondere führt der Partner vor Aufgabe eines Tickets soweit möglich eine Prüfung der
Erfüllung der Mitwirkungsleistungen und seiner eigenen betrieblichen Vorgänge durch, um auszu-
schließen, dass die Störungsursache in seinem Verantwortungsbereich liegt.

4.4.9 Erfüllungsgehilfen

Der Partner stellt die Erbringung erforderlicher Mitwirkungsleistungen durch seine Vertragspartner
oder sonst dem Partner zuzurechnende Dritte sicher, die als Erfüllungsgehilfen des Partners tätig
sind.

4.4.10        Anzeige der Leistungsstörung bezüglich Mitwirkungspflichten

Der Partner wird T-Systems unverzüglich in Textform darüber informieren, wenn er eine Mitwir-
kungspflicht nicht wie vereinbart erfüllen kann. Er wird die nicht oder nicht vollständig erbringbare
Mitwirkungspflicht bezeichnen und den Umfang der Leistungsstörung angeben.
6 GLOSSAR

CWA          Corona Warn App (Gesamtsystem, App mit dazugehörigem Server)

CWA App      Corona Warn App, nur der App Anteil

CWA Server   Corona Warn App, nur der Server Anteil

mTLS         Mutual Transport Layer Security Protocol

QR-Code      Quick Response Code
Technische Beschreibung
ANTIGEN-SCHNELLTEST-SCHNITTSTELLE ZU CORONA-
WARN-APP SYSTEM
TECHNISCHE BESCHREIBUNG                   ANTIGEN-SCHNELLTEST-SCHNITTSTELLE   CORONA-WARN   APP

Impressum

Herausgeber

T-Systems International GmbH
Hahnstraße 43d
60528 Frankfurt am Main

WEEE-Reg.-Nr. DE50335567

nachfolgend – Telekom – genannt

http://www.t-systems.de/pflichtangaben/http://www.telekom.de/pflichtangaben

Copyright
© 2019 Alle Rechte, auch die des auszugweisen Nachdruckes, der elektronischen oder fotome-
chanischen Kopie sowie die Auswertung mittels Verfahren der elektronischen Datenverarbeitung,
vorbehalten.

Stand 15.04.2021                                                                   Seite 2 von 16
INHALT
Impressum................................................................................................................................... 2

Inhalt           ................................................................................................................................... 3

1               Einleitung .................................................................................................................. 4
1.1             Einordnung in die CWA Gesamtarchitektur ................................................................. 4

2               Funktionen ................................................................................................................ 6
2.1             Übertragung des Schnelltestergebnisses an den CWA Test Result Server ................. 7
2.2             Abruf des Schnelltestergebnisses in die CWA App ................................................... 12
2.3             Anzeige des Schnelltestergebnisses in der CWA App .............................................. 14
2.4             Auslösen einer Warnung im Positiv-Fall .................................................................... 15

3               Glossar/ Abkürzungsverzeichnis........................................................................... 16
TECHNISCHE BESCHREIBUNG                     ANTIGEN-SCHNELLTEST-SCHNITTSTELLE   CORONA-WARN    APP

1 EINLEITUNG
Mit der CWA Schnelltest-Schnittstelle stellt Telekom eine sichere und datenschutzkonforme
Systemintegration zur Verfügung, die eine Übertragung von Corona Schnelltestergebnissen
aus Drittsystemen zur digitalen Anzeige in der Corona-Warn-App (CWA) ermöglicht.
Ziel ist es, analog zur bisherigen Vorgehensweise bei PCR-Tests, auch bei positiven Schnelltest-
ergebnissen die frühere Unterbrechung von Infektionsketten zu unterstützen, in dem die Nutzer
der Corona-Warn-App über den Warnmechanismus der App umgehend andere Nutzer warnen
können, zu denen im zurückliegenden Gefährdungszeitraum durch die CWA erfasste Kontaktin-
tensität bestand.
Weiterhin soll durch die schnelle und vertrauenswürdige Anzeige von Testergebnissen in der
CWA App, auf Wunsch auch personalisiert als Testnachweis, ein Anreiz zur Erhöhung der Test-
häufigkeit durch die Bürgerinnen und Bürger gesetzt werden.

1.1 Einordnung in die CWA Gesamtarchitektur

Die CWA ist ein Gesamtsystem aus verschiedenen Komponenten, bei dem keine personenbezo-
genen Daten im Backend gespeichert werden.
Die zentrale Komponente zur Nutzer-Interaktion ist die CWA App als mobile Applikation für Smart-
phones. Als native Applikation für iOS- und Android-Geräte nutzt sie für die Kernfunktionalität der
Kontaktermittlung sowohl die Komponenten als auch zusätzliche Bibliotheken des jeweiligen Be-
triebssystems und des von Apple und Google bereitgestellten Exposure Notification Framework
(ENF). Das ENF stellt eine Systemkomponente des Betriebssystems bzw. der bereitgestellten
Software-Bibliotheken dar.
Für die Verschlüsselung der Daten, wie auch für das Anzeigen von Benachrichtigungen, werden
ebenfalls Betriebssystemkomponenten verwendet. Für das Auslesen eines QR-Codes wird die
zxing QR-Code Library verwendet; diese nutzt wiederum die betriebssystemseitige Kamerakom-
ponente bzw. Kameraschnittstelle. Bei der Kommunikation mit den Serverkomponenten der CWA
verwendet die CWA App die Protobuf Bibliothek.
Der CWA Server dient als Server-Komponente der CWA App und hat als Kernaufgabe die Verwal-
tung bzw. Verteilung von Schlüsselinformationen sowie Check-Ins von positiv getesteten Nutzern
in Form von Positivschlüssel-/Check-In-Paketen.
Für die Speicherung hochgeladener Positivschlüssel und Check-Ins von positiv getesteten Nut-
zern wird ein eigener Storage Service genutzt. Dieser wird vom CWA Server bespielt und vom
Content Delivery Network (CDN) als zentrale Datenverteilungsquelle genutzt. Der Storage Service
ist Teil des CDN.
Das Content Delivery Network der Telekom dient zur Bereitstellung von Datenpaketen mit den Po-
sitivschlüsseln und der Check-Ins der positiv getesteten Nutzer sowie des Poster Templates. Der
Storage Service dient dem CDN als Quelle der Auslieferung von Daten an die CWA Apps welche
aktiv die Daten anfragen. Für die Bereitstellung der Schlüssel und Check-Ins über das CDN wer-
den keine Push-Benachrichtigungen genutzt. Die Abfrage der Schlüssel und Check-Ins erfolgt
durch die CWA App (auch im Hintergrundbetrieb) beim CDN. Somit wird ausgeschlossen, dass
Drittanbieter (z. B. von Push-Notification-Netzwerken) von der Nutzung der CWA App oder dem
Inhalt von Positivschlüssel-Paketen sowie Check-Ins Kenntnis nehmen können.
Der Verifikationsserver dient als zentrale Komponente zur Verifikation von Daten im Rahmen der
CWA. Er generiert und speichert alle gültigen Registration Token, die zum Abrufen von Testergeb-
nissen im QR-Code-Verfahren notwendig sind. Ebenso stellt er Prüfdienste zur Verfügung, welche
vom CWA Server genutzt werden, um sicherzustellen, dass nur positiv getestete Nutzer ihre Posi-
tivschlüssel hochladen können und es somit nicht zur Fehlalarmen kommt.
Stand 27.04.2021                                                                      Seite 4 von 16
TECHNISCHE BESCHREIBUNG                      ANTIGEN-SCHNELLTEST-SCHNITTSTELLE   CORONA-WARN   APP

Der Test Result Server hat im Rahmen der CWA die Aufgabe, die von den Laboren weitergeleite-
ten Testergebnisse zu registrierten Tests entgegenzunehmen. Der Test Result Server speichert
die eingehenden Testergebnisse und stellt die Verknüpfung zu den CWA TEST IDs her, welche
per QR-Code gescannt wurden. Nur Informationen zu Tests, bei denen der QR-Code gescannt
wurde, werden hier gespeichert. Der Test Result Server dient als reines Datenspeicherungssys-
tem. Die gespeicherten Testergebnisse werden dem Verifikationsserver zum Abruf bereitgestellt.
Weitere Informationen siehe die Open-Source veröffentlichten Dokumente, insbesondere:
   a   die Open Source veröffentlichte CWA Dokumentation: https://github.com/corona-warn-
       app/cwa-documentation
   b   den Bericht zur Datenschutzfolgenabschätzung für die Corona-Warn-App:
       https://www.coronawarn.app/assets/documents/cwa-datenschutz-folgenabschaetzung.pdf

Abbildung 1: High Level Architecture - Fokus auf Komponenten

Stand 27.04.2021                                                                      Seite 5 von 16
TECHNISCHE BESCHREIBUNG                    ANTIGEN-SCHNELLTEST-SCHNITTSTELLE   CORONA-WARN   APP

2 FUNKTIONEN
Das Gesamtsystem der CWA untergliedert sich aus der Perspektive des Abrufs eines Schnelltest-
ergebnisses in vier Funktionen:
   1   Die Übertragung des Schnelltestergebnisses an den CWA Test Result Server
   2   Den Abruf des Schnelltestergebnisses in die CWA-App
   3   Die Anzeige des Schnelltestergebnisses in der CWA-App
   4   Das Auslösen einer Warnung im Positiv-Fall
Die Integration erfolgt gemäß folgender System-Architektur:

Abbildung 2: Architektur CWA Schnelltest-Integration (Ende-zu-Ende Darstellung)

Voraussetzungen zur Nutzung durch den Partner sind:
   -   Der Einsatz einer eigenen Teststellen-Software (Third-Party-Backend)
   -   Eine zur Datenübertragung ausreichende Internetverbindung der Teststellen-Software des
       Partners
   -   Weitere Mitwirkungsleistungen (s. die in der Leistungsbeschreibung bezeichneten Mitwir-
       kungspflichten)
Voraussetzungen zur Nutzung durch eine Testperson sind:
   -   Die Installation der CWA-App auf dem mobilen Endgerät der Testperson.
   -   Die Nutzung von Smartphones mit IOS oder Android Betriebssystem neuerer Version

               Apple Smartphones mit iOS Betriebssystem:

Stand 27.04.2021                                                                    Seite 6 von 16
TECHNISCHE BESCHREIBUNG                    ANTIGEN-SCHNELLTEST-SCHNITTSTELLE   CORONA-WARN    APP

               Mit der Corona-Warn-App Version 1.12 werden zusätzlich auch die älteren iPhone
               Modelle iPhone 5s, iPhone 6, und iPhone 6 Plus unterstützt. Voraussetzung ist auf
               diesen Geräten das iOS Betriebssystem mindestens auf die Version iOS 12.5 zu
               aktualisieren.
               Apple stellt für die Modelle iPhone SE (1. Generation), iPhone 6s, und neuere Mo-
               delle die Betriebssystem-Version iOS 13.7 und höher bereit.

              Smartphones mit Android Betriebssystem:
              Erforderliche Android-Version 6.0 oder höher
   -   Die Nutzung eines durch den Partner an die Testperson übergebenen QR-Codes oder
       App-Links, mit dem die Verbindung zwischen lokaler CWA-App und CWA Test-Result-Ser-
       ver ermöglicht wird
   -   Eine zur Datenübertragung ausreichende Internetverbindung des mobilen Endgeräts der
       Testperson/des CWA-Nutzers.

2.1 Übertragung des Schnelltestergebnisses an den CWA Test Result
    Server

Die Übertragung der Schnelltestergebnisse aus der Teststellen-Software des Partners an das
CWA-System erfolgt vereinfacht dargestellt nach folgender System-Architektur:

Abbildung 3: Architektur CWA Schnelltest-Integration (vereinfachte Darstellung)

Rechtliche Grundlage der Übertragung und des Ablegens des Testergebnisses auf dem CWA
Test Result Server ist das Vorliegen einer Einwilligung zur Datenverarbeitung, die eine Testperson
gegenüber dem Teststellenbetreiber abgibt.
Weiterhin ist eine Entscheidung der Testperson erforderlich, ob sie das Testergebnis später in der
CWA-App unter Angabe der personenbezogenen Daten „Vorname“, „Nachname“, „Geburtsdatum“
angezeigt bekommen möchte, oder die Anzeige ohne personenbezogene Daten gewünscht wird.

Stand 27.04.2021                                                                     Seite 7 von 16
TECHNISCHE BESCHREIBUNG                    ANTIGEN-SCHNELLTEST-SCHNITTSTELLE   CORONA-WARN   APP

Für die Anbindung sind seitens des Partners zwei Schnittstellen zur Corona Warn App einzurich-
ten. Zum einen ein QR-Code zur Übermittlung der persönlichen Daten, des Testzeitpunkts und
eines Identifiers aus der Teststellen-Software an die CWA-App. Zum anderen zur Übermittlung
des Testergebnisses aus der Teststellen-Software an den CWA Test Result Server.

Abbildung 4: Schnittstellen zur CWA Schnelltest-Integration

Die Übertragung kann über drei Varianten angestoßen werden:

Abbildung 5: Anbindungsvarianten für Partner, die bereits eine Software für das Testmanagement
im Einsatz haben

Stand 27.04.2021                                                                    Seite 8 von 16
TECHNISCHE BESCHREIBUNG                    ANTIGEN-SCHNELLTEST-SCHNITTSTELLE   CORONA-WARN   APP

Variante 1 - Integration des QR-Code erfolgt vor dem Gang zum Testzentrum bei der Online-Ter-
minvergabe
   -   Die Testperson gibt bei der Terminanmeldung für einen Test über eine App oder eine
       Webseite des Partners auch die Einwilligung, das Testergebnis in der CWA-App anzuzei-
       gen (mit oder ohne persönliche Daten) und die hierfür erforderliche Datenverarbeitung vor-
       zunehmen.
   -   Die Teststellen-Software des Partners generiert einen QR-Code, der im Web-Frontend an-
       gezeigt wird, oder einen App-Link, der in der genutzten App auf dem Smartphone ange-
       zeigt wird.
   -   Die Testperson scannt über die CWA-App den QR-Code bzw. klickt in der Partner-App
       den angezeigten Link an, um die CWA-App zu öffnen.
   -   Ein Teil der Daten wird daraufhin direkt in die App übertragen („Vorname“, „Nachname“,
       „Geburtsdatum“, „Testdatum“ sowie eine CWA Test ID)
   -   Die Übertragung des Testergebnisses erfolgt nachfolgend über die Backend-Schnittstelle
       der Teststellen-Software des Partners an den CWA Test Result Server.

Abbildung 6: Anbindungsvariante 1 - Integration des QR-Code erfolgt vor dem Gang zum Test-
zentrum bei der Online-Terminvergabe

Stand 27.04.2021                                                                    Seite 9 von 16
TECHNISCHE BESCHREIBUNG                    ANTIGEN-SCHNELLTEST-SCHNITTSTELLE   CORONA-WARN   APP

Variante 2 - Integration des QR-Code erfolgt vor Ort bei der Anmeldung in der Teststelle
   -   Der Mitarbeiter des Testzentrums gibt bei der Anmeldung der Testperson die persönlichen
       Daten über das Frontend der Teststellensoftware ein.
   -   Gleichzeitig wird auch die Einwilligung, zur Anzeige des Testergebnisses in der CWA App
       (mit oder ohne persönliche Daten) abgefragt und in der Eingabemaske vermerkt.
   -   Die Teststellen-Software des Partners generiert einen QR-Code, der im Web-Frontend an-
       gezeigt wird, oder einen App-Link, der in der genutzten App auf dem Smartphone ange-
       zeigt wird.
   -   Die Testperson scannt über die CWA App den QR-Code bzw. klickt in der Partner-App den
       angezeigten Link an, um die CWA App zu öffnen.
   -   Die Übertragung des Testergebnisses erfolgt nachfolgend über die Backend-Schnittstelle
       der Teststellensoftware des Partners an den CWA Test Result Server.

Abbildung 7: Anbindungsvariante 2 - Die Integration des QR-Code erfolgt bei der Anmeldung im
Testzentrum

Stand 27.04.2021                                                                   Seite 10 von 16
TECHNISCHE BESCHREIBUNG                   ANTIGEN-SCHNELLTEST-SCHNITTSTELLE   CORONA-WARN   APP

Variante 3 - Integration des QR-Code erfolgt in der Befundkommunikation (per Email oder Aus-
druck)
   -   Der Testperson gibt bei der Anmeldung persönlichen Daten über das Frontend der Test-
       stellensoftware ein.
   -   Hierbei wird auch die Einwilligung, zur Anzeige des Testergebnisses in der CWA App (mit
       oder ohne persönliche Daten) abgefragt und in der Eingabemaske vermerkt.
   -   Nachdem das Testergebnisse vorliegt erfolgt bei Zustimmung eine Datenübertragung an
       den CWA Result Server.
   -   Weiterhin enthält bei Zustimmung die Befundkommunikation des Partner (E-Mail, Aus-
       druck) einen QR-Code, der mit der CWA App eingescannt werden kann.

Abbildung 8: Anbindungsvariante 3 - Die Integration des QR-Code erfolgt in der
Befundkommunikation per Email/Ausdruck.

Stand 27.04.2021                                                                  Seite 11 von 16
TECHNISCHE BESCHREIBUNG                      ANTIGEN-SCHNELLTEST-SCHNITTSTELLE   CORONA-WARN   APP

Technische Beschreibung:

mTLS-Verbindung
▪ Beide Seiten liefern ein X.509 TLS Zertifikat
▪ Zertifikat wird von T-Systems zur Verfügung gestellt
▪ Für Integrationsplattform auch self signed möglich

Beispiel-Implementierung für mTLS
https://github.com/corona-warn-app/cwa-verificationserver/tree/master/src/main/java/app/corona-
warn/verification/client

Zertifikat bitte verschlüsselt an cwa-schnelltest-onboarding@t-systems.com senden.

2.2 Abruf des Schnelltestergebnisses in die CWA App

Voraussetzung zur Übertragung des Schnelltestergebnisses an die CWA App auf dem Smart-
phone der Testperson für die dortige Anzeige und ggf. Nutzung des dortigen Warnmechanismus
ist der aktive Abruf des Schnelltestergebnisses von der CWA App beim CWA Test Result Server.
Die Verifikation zur Übergabe des Testergebnisses vom CWA Test Result Server an die CWA-
App erfolgt über den Abgleich des CWA Test ID durch den CWA Verification Server. Dafür erfragt
die CWA App mittels eines Registration Token beim Verifikationsserver das Vorliegen eines Test-
ergebnisses. Der Verifikationsserver verwendet den Hashwert der CWA Test ID zur Abfrage, ob
ein Testergebnis auf dem Test Result Server für den CWA-Nutzer gespeichert ist.
Liegt ein Testergebnis unter dem Hashwert der CWA Test ID auf dem Test Result Server vor,
sendet der Test Result Server dieses Testergebnis an den Verifikationsserver, der dieses seiner-
seits ohne Zwischenspeicherung das Ergebnis als positiven Befund, negativen Befund oder feh-
lerhafte Information an die CWA App überträgt.

Stand 27.04.2021                                                                     Seite 12 von 16
TECHNISCHE BESCHREIBUNG                     ANTIGEN-SCHNELLTEST-SCHNITTSTELLE   CORONA-WARN      APP

Abbildung 9: Abruf des Testergebnisses (vereinfachte Darstellung)

Technische Beschreibung:
(1) Die CWA App extrahiert die CWA Test ID aus dem vorher eingelesenen QR-Code
(2) Die CWA App bildet den Hashwert sha256 der CWA Test ID und überträgt diesen an den
CWA Verification Server.
(3) Der CWA Verification Server erzeugt einen Registration Token und überträgt diesen an die
CWA-App. Gleichzeitig wird der Hashwert der CWA Test ID mit zugehörigem Registration Token
als Wertepaar auf dem CWA-Verification Server gespeichert.
(4) Die CWA App fordert das Testergebnis mittels Registration Token beim CWA-Verification Ser-
ver an.
(5) Der CWA Verification Server ermittelt anhand des Registration Token den zugehörigen Hash-
wert der CWA Test ID und fordert damit das Testergebnis beim CWA Test Result Server an.
Falls ein Ergebnis vorliegt: Rückgabe des Ergebnisses (positiv, negativ, fehlerhaft)
Falls kein Ergebnis vorliegt: Rückgabe einer Leermeldung
(6) Das Testergebnis wird in der CWA App persistiert, um es auch offline verfügbar zu machen.

Bei der CWA Test ID handelt es sich um ein nicht-auflösbares Pseudonym, das außerhalb des
Zugriffsbereichs des RKI oder Dritter liegt.
An das CWA-System wird lediglich ein Hash-Wert der CWA Test ID übertragen. Dieser Hash-Wert
wird lokal in der jeweiligen CWA App-Instanz anhand einer mathematischen Funktion berechnet,
die nur in eine Richtung (Berechnung des Hash-Werts aus der CWA TEST ID) eindeutig ist.
Aus dem Hash-Wert kann also nicht die CWA Test ID errechnet und somit bspw. zur Identifikation
einer bestimmten Instanz der CWA-App verwendet werden.
Die QR-Code-Repräsentationen der CWA Test ID befinden sich ausschließlich im Machtbereich
des CWA-Nutzers und des Teststellenbetreibers.

Stand 27.04.2021                                                                       Seite 13 von 16
TECHNISCHE BESCHREIBUNG                  ANTIGEN-SCHNELLTEST-SCHNITTSTELLE   CORONA-WARN   APP

2.3 Anzeige des Schnelltestergebnisses in der CWA App

Die Anzeige des Schnelltestergebnisses erfolgt in der CWA App auf dem Smartphone der Test-
person, nach der Abruf und Übertragung gemäß der unter 2.1. und 2.2 geschilderten Verfahren.
Angezeigt werden:
   -   Vorname, Nachname der getesteten Person (optional bei entsprechender Auswahl/Einwilli-
       gung)
   -   Geburtsdatum (optional bei entsprechender Auswahl/Einwilligung)
   -   Testergebnis
   -   Zeitpunkt der Testdurchführung

Abbildung 10: Screens in der CWA-App bei negativem Ergebnis (beispielhaft)

Stand 27.04.2021                                                                 Seite 14 von 16
TECHNISCHE BESCHREIBUNG                                   ANTIGEN-SCHNELLTEST-SCHNITTSTELLE   CORONA-WARN   APP

Abbildung 11: Screens in der CWA-App bei positiven Testergebnis (beispielhaft)

2.4 Auslösen einer Warnung im Positiv-Fall

Ein positiv getesteter CWA-Nutzer kann sein Testergebnis mit der Warnfunktion der CWA-App
(auf dem Überblicks-Screen „Benachrichtigung anderer“ genannt) mit seinen Kontaktpersonen tei-
len und diese über eine mögliche Ansteckung informieren.

Technische Beschreibung:
Die Bereitstellung der Positivschlüssel eines positiv getesteten Nutzers erfolgt anonym mittels ei-
nes Verifikationsprozesses und einer einmaligen Transaktionsnummer (TAN).
Wenn ein positiv getesteter Nutzer seine Positivschlüssel bereitstellen will, so werden diese ge-
meinsam mit einer zuvor generierten TAN an den CWA Server geschickt. Dieser überprüft mit
Hilfe des Verifikationsservers, ob die TAN gültig ist und sollte dies der Fall sein, werden die über-
mittelten Positivschlüssel vom CWA Server an den Storage Service des CDN weitergegeben.

Stand 27.04.2021                                                                                  Seite 15 von 16
TECHNISCHE BESCHREIBUNG                      ANTIGEN-SCHNELLTEST-SCHNITTSTELLE    CORONA-WARN   APP

3 GLOSSAR/ ABKÜRZUNGSVERZEICHNIS
CDN                Content Delivery Network
CWA                Corona Warn App (Gesamtsystem, App mit dazugehörigem Server)
CWA App            Corona Warn App, nur der App Anteil
CWA Server         Corona Warn App, nur der Server Anteil
ENF                Exposure Notification Framework
GUID               Globally Unique Identifier
LIS                Laboratory Information System
OTC                Open Telekom Cloud
QR-Code            Quick Response Code

Stand 27.04.2021                                                                      Seite 16 von 16
ANLAGE 3: DATENSCHUTZ-HINWEIS

1         DATENSCHUTZHINWEIS
„Hinweise zum Datenschutz: Sie* möchten die Corona-Warn-App („App“) des Robert Koch-Instituts („RKI“) zum
Abruf Ihres Testergebnisses eines Antigentests verwenden. Um Ihr Testergebnis über die App abrufen zu können
ist es notwendig, dass Ihr Testergebnis von der Teststelle an das Serversystem des RKI übermittelt wird.
Verkürzt dargestellt erfolgt dies, indem die Teststelle Ihr Testergebnis, verknüpft mit einem maschinenlesbaren
Code, auf einem hierfür bestimmten Server des RKI ablegt. Der Code ist Ihr Pseudonym, weitere Angaben zu Ihrer
Person sind für die Anzeige des Testergebnisses in der App nicht erforderlich. Sie können die Anzeige des
Testergebnisses jedoch für sich durch Angabe Ihres Namens, Vornamens und Geburtsdatums personalisieren
lassen.
Der Code wird aus dem vorgesehenen Zeitpunkt des Tests und einer Zufallszahl gebildet. Die Bildung des Codes
erfolgt, indem die vorgenannten Daten so miteinander verrechnet werden, dass ein Zurückrechnen der Daten aus
dem Code nicht mehr möglich ist.
Sie erhalten eine Kopie des Codes in der Darstellung eines QR-Codes, der durch die Kamerafunktion Ihres
Smartphones in die App eingelesen werden kann. Alternativ können Sie den pseudonymen Code auch als
Internetverweis erhalten („App Link“), der von der App geöffnet und verarbeitet werden kann. Nur hierdurch ist
eine Verknüpfung des Testergebnisses mit Ihrer App möglich. Mit Ihrer Einwilligung können Sie dann Ihr
Testergebnis mit Hilfe der App abrufen. Ihr Testergebnis wird automatisch nach 21 Tagen auf dem Server gelöscht.
Wenn Sie mit der Übermittlung Ihres pseudonymen Testergebnisses mittels des Codes an die App-Infrastruktur
zum Zweck des Testabrufs einverstanden sind, bestätigen Sie dies bitte gegenüber den Mitarbeitern der
Teststelle. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Bitte beachten Sie
jedoch, dass aufgrund der vorhandenen Pseudonymisierung eine Zuordnung zu Ihrer Person nicht erfolgen kann
und daher eine Löschung Ihrer Daten erst mit Ablauf der 21-tägigen Speicherfrist automatisiert erfolgt.
Einzelheiten hierzu finden Sie zudem in den »Datenschutzhinweisen« der Corona-Warn-App des RKI. “

*Wenn Sie jünger als 16 Jahre alt sind, besprechen Sie die Nutzung der App bitte mit Ihren Eltern oder Ihrer
sorgeberechtigten Person.

                                                     - 1/2 -
2        EINWILLIGUNGSTEXTE

A) EINWILLIGUNG ZUR PSEUDONYMISIERTEN ÜBERMITTLUNG (NICHT-NAMENTLICHE ANZEIGE)::

„Das Einverständnis des Getesteten zum Übermitteln des Testergebnisses und des pseudonymen Codes an das
Serversystem des RKI zum Zweck des Ergebnisabrufs in der Corona-Warn-App wurde erteilt. Es wurde darauf
hingewiesen, dass das Testergebnis in der App hierbei nicht als namentlicher Testnachweis verwendet werden
kann. Dem Getesteten wurden Hinweise zum Datenschutz ausgehändigt. “

alternativ:

„Hiermit erkläre ich mein Einverständnis zum Übermitteln meines Testergebnisses und meines pseudonymen
Codes an das Serversystem des RKI, damit ich mein Testergebnis mit der Corona-Warn-App abrufen kann. Das
Testergebnis in der App kann hierbei nicht als namentlicher Testnachweis verwendet werden. Mir wurden
Hinweise zum Datenschutz ausgehändigt. “

B) EINWILLIGUNG ZUR PERSONALISIERTEN ÜBERMITTLUNG (NAMENTLICHER TESTNACHWEIS):
„Das Einverständnis des Getesteten zum Übermitteln des Testergebnisses und des pseudonymen Codes an das
Serversystem des RKI zum Zweck des Ergebnisabrufs in der Corona-Warn-App wurde erteilt. Der Getestete
willigte außerdem in die Übermittlung von Name und Geburtsdatum an die App zur Anzeige des Testergebnisses
in der App als namentlicher Testnachweis ein. Dem Getesteten wurden Hinweise zum Datenschutz
ausgehändigt.“

alternativ:

„Hiermit erkläre ich mein Einverständnis zum Übermitteln des Testergebnisses und meines pseudonymen Codes
an das Serversystem des RKI, damit ich mein Testergebnis mit der Corona-Warn-App abrufen kann. Ich willige
außerdem in die Übermittlung meines Namens und Geburtsdatums an die App ein, damit mein Testergebnis in
der App als namentlicher Testnachweis angezeigt werden kann. Mir wurden Hinweise zum Datenschutz
ausgehändigt.“

                                                  - 2/2 -
ANLAGE 4: CWA-SCHNELLTEST PARTNERINFORMATION
Anleitung zu Erstellung von QR-Codes für Corona-Warn-App

    1. Variante mit persönlichen Daten

Diese Beschreibung gilt für den Fall, dass die zu testende Person eine Einwilligung zu
Weitergabe der persönlichen Daten (Vorname, Name, Geburtsdatum) an die CWA-App
zwecks personalisierter Anzeige des Ergebnisses in der App gegeben hat. Für die Variante
ohne eine solche Einwilligung sehen Sie unten.

Für die Weitergabe der Daten zu einem Schnelltest an die CWA-App müssen Sie zuerst ein
JSON-Objekt erstellen. Die Struktur des JSON-Objects setzt sich aus den folgenden
Attributen zusammen:

        fn                  Vorname
        ln                  Nachname
        dob                 Geburtsdatum im Format YYYY-MM-DD mit fester Länge von
                            10 Zeichen (Beispiel: 2000-01-01)
        testid              generierte UUID Typ 4 oder eine eigene ID*
        timestamp           Test-Datum/Uhrzeit im Unix Epoch Timestamp Format
                            (Sekunden)
        salt                Generierte 128-Bit Zufallszahl in Hexadezimal-Darstellung, nur
                            mit Großbuchstaben und fester Breite von 32 Stellen**
        hash                SHA256-Hashwert für alle anderen Attribute des Objekts

* Für das Attribut testid empfehlen wir eine UUID Typ 4 generierte Zeichenkette. Sie können
stattdessen Ihre eigene Test-ID verwenden, die Sie als Zeichenkette in JSON behandeln.
** Das Attribut salt muss durch einen kryptografisch sicheren Zufallsgenerator erzeugt
werden (dafür gibt es in jeder Programmiersprache Bibliotheken).

Beispiel:

{
  "fn": "Erika",
  "ln": "Mustermann",
  "dob": "1990-12-23",
  "timestamp": 1618386548
  "testid": "52cddd8e-ff32-4478-af64-cb867cea1db5",
  "salt": "759F8FF3554F0E1BBF6EFF8DE298D9E9",
  "hash":
"67a50cba5952bf4f6c7eca896c0030516ab2f228f157237712e52d66489d9960"
}

Für die Erzeugung des SHA256-Hashwerts nutzen Sie eine Zeichenkette, die nach dem
folgenden Muster aufgebaut ist:

[dob]#[fn]#[ln]#[timestamp]#[testid]#[salt]

Oder für das obige JSON-Objekt:
1990-12-23#Erika#Mustermann#1618386548#52cddd8e-ff32-4478-af64-
cb867cea1db5#759F8FF3554F0E1BBF6EFF8DE298D9E9

Daraus resultiert ein SHA256-Hashwert:

67a50cba5952bf4f6c7eca896c0030516ab2f228f157237712e52d66489d9960

Diesen Hashwert muss Ihre Software zusammen mit den persönlichen Daten solange
speichern, bis das Testergebnis bekannt ist und an den Test-Result-Server übermittelt
wurde. Der Test-Result-Server identifiziert ein Testergebnis über diesen Hashwert, speichert
jedoch keine personenbezogenen Daten.

Zunächst erstellen Sie einen Link für die Übergabe des JSON-Objekts an die CWA-App.
Nutzer, die keine CWA-App auf Ihrem Mobilgerät installiert haben, werden durch diesen Link
auf Google Play / Apples App Store weitergeleitet. Nutzer, die die App bereits haben,
bekommen die Daten zum Schnelltest direkt in die CWA-App übergeben.

Zuerst muss das JSON-Objekt in base64url-Form umgewandelt und nach dem Hashtag-
Zeichen platziert werden.

Aufbau des Links:

https://s.coronawarn.app?v=1#[base64url-coded JSON-Object]

Oder für das Beispiel:

https://s.coronawarn.app?v=1#eyAiZm4iOiAiRXJpa2EiLCAibG4iOiAiTXVzdGV
ybWFubiIsICJkb2IiOiAiMTk5MC0xMi0yMyIsICJ0aW1lc3RhbXAiOiAxNjE4Mzg2NTQ
4LCAidGVzdGlkIjogIjUyY2RkZDhlLWZmMzItNDQ3OC1hZjY0LWNiODY3Y2VhMWRiNSI
sICJzYWx0IjogIjc1OUY4RkYzNTU0RjBFMUJCRjZFRkY4REUyOThEOUU5IiwgImhhc2g
iOiAiOTVkN2ZmY2I4MzcxMmFmMWU1YWJhMjg1Y2UxYmNmY2U4YmZmMmU1M2JiYjIzMDI
zNjY3NDgzYWFjMTA5MDVjMyIgfQ0K

Anschließend erstellen sie einen QR-Code aus dieser URL. Die base64url-kodierte Daten
kommen nach dem Hashtag und gelangen dadurch nicht ins Netzwerk.
2. Variante ohne persönliche Daten

Den Hashwert fürs JSON-Objekt erstellen Sie, wie oben beschrieben. Das zu übermittelnde
JSON-Objekt erhält danach nicht alle Daten:

{
  "timestamp": 1618386548,
  "salt": "759F8FF3554F0E1BBF6EFF8DE298D9E9",
  "hash":
"67a50cba5952bf4f6c7eca896c0030516ab2f228f157237712e52d66489d9960"
}

Mit diesem Objekt erstellen Sie eine base64url-kodierte Zeichenkette für die URL sowie den
QR-Code.

Link für CWA-App:

https://s.coronawarn.app?v=1#eyAidGltZXN0YW1wIjogMTYxODM4NjU0OCwgInN
hbHQiOiAiNzU5RjhGRjM1NTRGMEUxQkJGNkVGRjhERTI5OEQ5RTkiLCAiaGFzaCI6ICI
2N2E1MGNiYTU5NTJiZjRmNmM3ZWNhODk2YzAwMzA1MTZhYjJmMjI4ZjE1NzIzNzcxMmU
1MmQ2NjQ4OWQ5OTYwIiB9DQoNCg

QR-Code für CWA-App:
Sie können auch lesen
Corona-Warn-App F.A.Q - Bundesregierung
Corona-Warn-App F.A.Q - Bundesregierung
Corona-Warn-App F.A.Q - Bundesregierung
Corona-Warn-App F.A.Q - Bundesregierung
Corona-Warn-App F.A.Q - Bundesregierung
Corona-Warn-App F.A.Q - Bundesregierung
Corona-Warn-App F.A.Q - Bundesregierung
Corona-Warn-App F.A.Q - Bundesregierung
Corona-Warn-App F.A.Q - Bundesregierung
Corona-Warn-App F.A.Q - Bundesregierung
Corona-Warn-App F.A.Q - Bundesregierung
Corona-Warn-App F.A.Q - Bundesregierung
Anlage 1 zum DSFA-Bericht: EXTERNAL c. Designentscheidungen bei der Entwicklung der Antigen-Schnelltest-Anbindung an die Corona-Warn-App ...
Anlage 1 zum DSFA-Bericht: EXTERNAL c. Designentscheidungen bei der Entwicklung der Antigen-Schnelltest-Anbindung an die Corona-Warn-App ...
Datenschutzerklärung - Corona-Warn-App
Datenschutzerklärung - Corona-Warn-App
Datenschutzerklärung Corona-Warn-App
Datenschutzerklärung Corona-Warn-App
Leitfaden zur Migration von AX nach Robots - Veröffentlicht Mittwoch, 7. April 2021 - 2020 ACL Services Ltd. dba Galvanize - HighBond
Leitfaden zur Migration von AX nach Robots - Veröffentlicht Mittwoch, 7. April 2021 - 2020 ACL Services Ltd. dba Galvanize - HighBond
App Annie Marktprognose 2016-2021 - Mobilbranche.de
App Annie Marktprognose 2016-2021 - Mobilbranche.de
Citrix Workspace-App für HTML5 - Citrix Product Documentation | docs.citrix.com April 16, 2021
Citrix Workspace-App für HTML5 - Citrix Product Documentation | docs.citrix.com April 16, 2021
Citrix Workspace-App für Mac - Citrix Product Documentation | docs.citrix.com - Citrix Docs
Citrix Workspace-App für Mac - Citrix Product Documentation | docs.citrix.com - Citrix Docs
Vor- und Nachteile unterschiedlicher App-Formate - Native App und mobile Web-App von fünf Unternehmen im Vergleich
Vor- und Nachteile unterschiedlicher App-Formate - Native App und mobile Web-App von fünf Unternehmen im Vergleich
Gebrauchsanleitung Parkmobile iPhone App Laden Sie sich die App im App Store oder bei iTunes kostenlos herunter
Gebrauchsanleitung Parkmobile iPhone App Laden Sie sich die App im App Store oder bei iTunes kostenlos herunter
Mehr vom Geld Haushaltsbuch - Bedienungsanleitung zur App
Mehr vom Geld Haushaltsbuch - Bedienungsanleitung zur App
App Interface mobile Datenerfassung zum Wartungsplaner - HOPPE
App Interface mobile Datenerfassung zum Wartungsplaner - HOPPE
HP Prime Graph-Taschenrechner Kurzanleitung
HP Prime Graph-Taschenrechner Kurzanleitung
Verhalten von App-Nutzern im Jahr 2020: Deutschland - Criteo
Verhalten von App-Nutzern im Jahr 2020: Deutschland - Criteo
Studienbericht Ein Jahr digitale Kontaktpersonennachverfolgung mit der Corona-Warn-App
Studienbericht Ein Jahr digitale Kontaktpersonennachverfolgung mit der Corona-Warn-App
"Tracing App des Bundes" - Wissen, Einstellungen, Erklärungsfaktoren Studienbericht zur Bevölkerungsbefragung - Sotomo
"Tracing App des Bundes" - Wissen, Einstellungen, Erklärungsfaktoren Studienbericht zur Bevölkerungsbefragung - Sotomo
App Interface mobile Datenerfassung zum Wartungsplaner - HOPPE
App Interface mobile Datenerfassung zum Wartungsplaner - HOPPE
Werden Sie unser Partner! - Der Kino Kongress
Werden Sie unser Partner! - Der Kino Kongress
INSIDECONTROL APP INSIDECONTROL HD APP - BENUTZERHANDBUCH DAS VORLIEGENDE DOKUMENT BESCHREIBT DIE ANWENDUNG DER APPLIKATION INSIDECONTROL APP UND ...
INSIDECONTROL APP INSIDECONTROL HD APP - BENUTZERHANDBUCH DAS VORLIEGENDE DOKUMENT BESCHREIBT DIE ANWENDUNG DER APPLIKATION INSIDECONTROL APP UND ...
Bed&breakfast . appartements 2021 - Südtirol Privat
Bed&breakfast . appartements 2021 - Südtirol Privat
Bed&breakfast . appartements 2020 - Südtirol Privat
Bed&breakfast . appartements 2020 - Südtirol Privat
Bedienungsanleitung Instruction manual Instructions d'utilisation - zur kapazitiven Glastastatur Cleankeys CK5 for the Cleankeys CK5 capacitive ...
Bedienungsanleitung Instruction manual Instructions d'utilisation - zur kapazitiven Glastastatur Cleankeys CK5 for the Cleankeys CK5 capacitive ...
Programmrichtlinien für Entwickler (gültig ab dem 1. März 2021) Gemeinsam zur weltweit verauenswürdigsten Quelle für Apps und Spiele werden
Programmrichtlinien für Entwickler (gültig ab dem 1. März 2021) Gemeinsam zur weltweit verauenswürdigsten Quelle für Apps und Spiele werden
GINETEX GERMANY DIE PFLEGESYMBOLE APP GINETEX GOES FUTURE
GINETEX GERMANY DIE PFLEGESYMBOLE APP GINETEX GOES FUTURE
Eine App die Leben rettet - Anleitung zur Installation und Bedienung der App Version: 1.3.5
Eine App die Leben rettet - Anleitung zur Installation und Bedienung der App Version: 1.3.5
Preisliste der plazz AG - CMS STAND: AUGUST 2019 - Mobile Event App
Preisliste der plazz AG - CMS STAND: AUGUST 2019 - Mobile Event App
Werden Sie unser Partner! - KINO Kongress Partnerschaften & Werbung auf einen Blick - Der Kino Kongress
Werden Sie unser Partner! - KINO Kongress Partnerschaften & Werbung auf einen Blick - Der Kino Kongress
EU-Unionsregister Europäischer Emissionshandel (EU-ETS) Einrichtung und Verwaltung des EU-Login-Kontos mit der EU-Login-App für die Registrierung ...
EU-Unionsregister Europäischer Emissionshandel (EU-ETS) Einrichtung und Verwaltung des EU-Login-Kontos mit der EU-Login-App für die Registrierung ...
Studienbericht Nutzung von digitalen Tools zur Unterstützung von COVID-19- Kontaktverfolgung - opus4.kobv.de
Studienbericht Nutzung von digitalen Tools zur Unterstützung von COVID-19- Kontaktverfolgung - opus4.kobv.de
RDÖ Working Paper (Mai 2020)
RDÖ Working Paper (Mai 2020)
MIVOICE OFFICE MOBILE APPLICATION USER GUIDE - 01 FEB 2021 - MITEL
MIVOICE OFFICE MOBILE APPLICATION USER GUIDE - 01 FEB 2021 - MITEL
Aufbau eines vertrauenswürdigen Ökosystems für Millionen von Apps - Die wichtige Rolle der Schutzmaßnahmen im App Store Juni 2021 - Apple
Aufbau eines vertrauenswürdigen Ökosystems für Millionen von Apps - Die wichtige Rolle der Schutzmaßnahmen im App Store Juni 2021 - Apple
RDÖ WORKING PAPER (MAI 2020) TRACING ODER TRACKING - SHIFTING BASELINES IN ZEITEN VON CORONA MAXIM
RDÖ WORKING PAPER (MAI 2020) TRACING ODER TRACKING - SHIFTING BASELINES IN ZEITEN VON CORONA MAXIM
Die Sprachlern-App Einstieg Deutsch - Handreichung für den Einsatz der App - vhs-Lernportal
Die Sprachlern-App Einstieg Deutsch - Handreichung für den Einsatz der App - vhs-Lernportal
Bedienungsanleitung PhotoFast macht Apple Besser - FEBRUAR. 2016
Bedienungsanleitung PhotoFast macht Apple Besser - FEBRUAR. 2016
Pendix.bike PRO App Anleitung/Instruction manual
Pendix.bike PRO App Anleitung/Instruction manual
Mobilgeräte-App Benutzerhandbuch Manuale di istruzioni app mobile Gebruikershandleiding mobiele app Guide de l'utilisateur de l'application mobile ...
Mobilgeräte-App Benutzerhandbuch Manuale di istruzioni app mobile Gebruikershandleiding mobiele app Guide de l'utilisateur de l'application mobile ...
Niedersächsische Corona-Verordnung - Gültig ab 15. Januar 2022 - NDR
Niedersächsische Corona-Verordnung - Gültig ab 15. Januar 2022 - NDR
Pendix.bike PRO App Anleitung
Pendix.bike PRO App Anleitung
Mobile Apps für die Ferienhotellerie - Worauf Sie achten sollten
Mobile Apps für die Ferienhotellerie - Worauf Sie achten sollten
FAQ - Technische Unterstützung Wie installiere ich die App?
FAQ - Technische Unterstützung Wie installiere ich die App?
1CRM MOBILE Benutzerhandbuch - Ihr vollständiger Leitfaden zur Verwendung von 1CRM auf mobilen Endgeräten
1CRM MOBILE Benutzerhandbuch - Ihr vollständiger Leitfaden zur Verwendung von 1CRM auf mobilen Endgeräten
Datenschutzerklärung Sparkasse POS
Datenschutzerklärung Sparkasse POS
Lexar Media Manager Benutzerhandbuch
Lexar Media Manager Benutzerhandbuch
App Tracking mit Firebase und Google Analytics 4 - Whitepaper - mohrstade
App Tracking mit Firebase und Google Analytics 4 - Whitepaper - mohrstade
Wir verwenden Cookies. Bitte beachten Sie die Datenschutzbestimmungen.