...

Checkliste zur App-Auswahl

Um die "passende" App für den Einsatz im Unternehmen oder im Testzentrum zu finden, sind zunächst einmal die für Sie relevanten Kriterien zu identifizieren. Die folgende Checkliste kann Sie dabei unterstützen. An vielen Stellen bietet Ihnen die Checkliste auch zusätzliche Erläuterungen, um die Kriterien zu bewerten.

Funktionsumfang – Was muss die App können?

  • Muss die App eine Kontaktdatenverfolgung ermöglichen?
    z.B. zur Erfüllung behördlicher Vorgaben
  • Soll die App eine Check-In Funktion zur Verfügung stellen?
  • Sind hierzu personenbezogene Daten zu erheben?
  • Soll die App den Impfstatus einer Person anzeigen?
    Hierbei ist zu beachten, dass die Impfstatusanzeige in der App zusammen mit einem gültigen Lichtbildausweis zu prüfen ist.
  • Soll die App ein vorliegendes Testergebnis abrufen bzw. prüfen können?
  • Sollen über die App weitere Informationen angezeigt werden?
    z.B.: Informationen zu Symptomen, Verhaltensempfehlungen, Hygienemaßnahmen, aktuelle Verordnungen, Rechte und Einschränkungen, Inzidenzen
  • Soll eine Datenspende möglich sein?
  • Sollte die App eine Besucherhistorie oder ein Kontakttagebuch enthalten?
    z.B. das Eintragen von Personengruppen, mit denen man Kontakt hatte oder automatisches Eintragen von Besuchen, bei denen man sich eingecheckt hat.

Datenschutz und Privatsphäre

  • Erfüllt die App die DSGVO-Anforderungen ("DSGVO-konform")?
    Diese Funktion ist insbesondere für Unternehmen wichtig, da u.a. auch die digitale Kontaktnachverfolgung unter die DSGVO fällt.
  • Werden persönliche Daten verschlüsselt bzw. pseudonymisiert gespeichert?
    In diesem Fall sind die personenbezogenen Daten nur durch den Endnutzer (z.B. das Gesundheitsamt) zu lesen. Dies ist datenschutzrechtlich relevant, um die Daten der Kunden vor Missbrauch zu schützen.
  • Werden die gespeicherten Daten automatisch nach Ablauf der Speicherfrist gelöscht?
    Falls diese Funktion nicht vorliegt, sind die Daten vom Unternehmen manuell zu löschen. Gemäß DSGVO müssen sie nach Ablauf der Speicherfrist gelöscht werden.
  • Ist transparent offengelegt welche personenbezogenen Daten erfasst, gespeichert und wohin sie weitergeleitet werden?
    Dies sollte in der Dokumentation zur App dargelegt sein. Darüber hinaus ist es unter Transparenzgesichtspunkten zu begrüßen, wenn der Quell-Code der App öffentlich einsehbar ist.
  • Befindet sich der Server der Datenspeicherung in Deutschland?
    Damit unterliegt der Server den deutschen Sicherheitsrichtlinien (diese können auch bei Servern in anderen Ländern eingehalten werden; dies ist aber im Einzelfall zu betrachten)

Schnittstelle zum Gesundheitsamt

  • Verfügt die App über eine Schnittstelle zum Gesundheitsamt?
    Apps, die über diese Schnittstelle verfügen, können im Infektionsfall die Daten über die App direkt ins System des Gesundheitsamts übermitteln. Dazu muss auch Ihr zuständiges Gesundheitsamt an die App angebunden sein. Diese Information erhalten Sie über die lokalen Behörden.

Kosten

  • Entstehen meinen Kunden Kosten, wenn sie die App nutzen?
  • Entstehen mir als Unternehmen Kosten für die Nutzung der App (z.B. Lizenzgebühr)?

Wenn Sie die relevanten Kriterien identifiziert haben, können Sie unseren App-Finder nutzen, um eine Auswahl an geeigneten Apps zu erhalten.

Die folgende Checkliste stellt eine Grundlage zur Ermittlung des Funktionsumfangs Corona-relevanter Anwendungen dar. Sie dient als Kommunikationsgrundlage zwischen Betrieben, die sich für Anwendungen interessieren und den Anwendungsanbietern. Die Liste kann den Anwendungsanbietern ausgehändigt, von diesen ausgefüllt und dem sich für die betreffenden Anwendungen interessierten Betrieb ausgefüllt ausgehändigt werden, wodurch dieser die Möglichkeit erhält, verschiedene Anwendungen gegeneinander abzugleichen und die für ihn geeignetste Lösung zu wählen. Diese Liste kann auch als ausfüllbares Word-Formular runtergeladen werden.

Name & Icon

  • Name
    Wie ist der Name der Anwendung?
    Wenn es verschiedene Versionen für unterschiedliche Zielgruppen (z.B. Gast, Gastgeber, Testzentren, Impfstellen, Gesundheitsamt) gibt, sollte die Checkliste separat für jede Version ausgefüllt/abgefragt werden.
  • Icon
    Wie ist das Logo der Anwendung?
    Quadratisch.

Anbieter & Entwickler

  • Anbieter
    Wer ist der Anbieter der Anwendung?
    Bei Gemeinschaftsprojekten sollten alle Beteiligten angegeben werden.
  • Entwickler
    Wer ist der Entwickler der Anwendung?
    Anbieter und Entwickler können voneinander abweichen. Dies ist häufig bei Entwicklungen der öffentlichen Hand der Fall.

Funktionen

  • Kontaktdatenverfolgung
    Gibt es eine Kontaktdatennachverfolgung und wenn ja, wie ist diese umgesetzt - anonym, allgemein oder spezifisch?
    Wie ist der konkrete Ablauf? Angefangen bei der Kontaktaufnahme bis zur Kontaktermittlung und Benachrichtigung im Infektionsfall.
    Anonym: z.B. Anonyme Kontaktermittlung auf Basis von Abstands-/Dauermessungen zu anderen Personen über Bluetooth
    Allgemein: z.B. Kontaktdatenaufnahme am Eingang der Einrichtung/des Events
    Spezifisch: z.B. Kontaktdatenaufnahme an kleinteiligeren Bereich (Raum, Tisch, ...)
  • Remote-Diagnose
    Gibt es eine Funktion nur Bestimmung der Wahrscheinlichkeit einer Corona-Infektion auf Basis der Daten der betroffenen Person (z.B. Symptome, Gefährdungspotenzial)? Wenn ja, wie und in welcher Form?
  • Informationsbereitstellung
    Werden über die Anwendung Corona-relevante Informationen bereitgestellt? Wenn ja, wie und in welcher Form?
    Zum Beispiel: Informationen zu Symptomen, Verhaltensempfehlungen, Hygienemaßnahmen, aktuelle Verordnungen, Rechte und Einschränkungen, Inzidenzen).
  • Impfstatus
    Kann über die Anwendung der Impfstatus einer Person eingepflegt bzw. abgerufen oder überprüft werden? Wenn ja, wie ist der konkrete Ablauf?
  • Testergebnisse
    Kann über die Anwendung der Teststatus einer Person eingepflegt bzw. abgerufen oder überprüft werden? Wenn ja, wie ist der konkrete Ablauf?
  • Kontakttagebuch
    Verfügt die Anwendung über ein Kontakttagebuch bzw. eine Besuchshistorie. Wenn ja, wie ist diese umgesetzt?
    Zum Beispiel: Selbstständigen Eintragen von Personengruppen, mit denen man Kontakt hatte oder automatisches Eintragen von Besuchen, bei denen man sich eingecheckt hat.
  • Check-In
    Gibt es eine CheckIn/CheckOut-Funktion und wenn ja, wie ist diese umgesetzt - anonym, allgemein oder spezifisch?
    Wie ist der konkrete Ablauf von Check-In bis zum Check-Out?
    Anonym: z.B. Anonymer Check-In ohne das Hinterlegen von Kontaktinformationen
    Allgemein: z.B. Check-In/Out am Eingang der Einrichtung/des Events
    Spezifisch: z.B. Check-In/Out an kleinteiligeren Bereich (Raum, Tisch, ...)
  • Datenspende
    Ist es über die Anwendung möglich, Daten zu spenden, um das Infektionsgeschehen besser untersuchen zu können? Wenn ja, welche Daten können wie und in welcher Form gespendet werden?

Privatsphäre, Datenschutz, Sicherheit

  • Tracing-Format
    Wenn du Anwendung eine Tracking-Funktionalität (z.B. Bestimmung Nähe/Dauer zu anderen Personen oder Aufenthaltsorten) besitzt, wie ist diese technisch umgesetzt? Über GPS, Bluetooth (ENF, DP-3T, PEPP-PE) oder TCN?
    GPS: Bestimmung des genauen Standortes auf Basis von GPS-Koordinaten
    Bluetooth (ENF): Bestimmung von Nähe/Dauer zu anderen Personen über das Exposure Notification Framework
    Bluetooth (DP-3T): Bestimmung von Nähe/Dauer zu anderen Personen über das Decentralised Privacy Preserving Proximity Tracing
    Bluetooth (PEPP-PT): Bestimmung von Nähe/Dauer zu anderen Personen über das Pan European Privacy Protecting Proximity Tracing
    TCN: Bestimmung von Nähe/Dauer zu anderen Personen über Temporary Contact Numbers
  • DSGVO-Konformität & Datensicherheit
    Ist die Anwendung DSGVO-konform umgesetzt worden? Wenn ja, Details, Nachweise und eines Links zur Datenschutzerklärung sowie darüber hinausführenden Sicherheitsdokumenten angeben.
    Wurde eine Datenschutzfolgeabschätzung durchgeführt? Wenn ja, Details, Nachweise und einen Link zur Datenschutzfolgeabschätzung angeben.
    Welche Maßnahmen wurden konkret getroffen, um die Datensicherheit zu gewährleisten?
  • Datenspeicherung
    Werden persönlichen Daten aufgenommen und gespeichert. Wenn ja, wo, welche und in welcher Form?
    Wer hat Zugriff auf diese Daten und in welcher Form?
    Wenn keine persönlichen Daten gespeichert werden, wird eine andere Form der Nutzer-Zuordnung verwendet (z.B. Zufalls-IDs). Wenn ja, wo, welche und in welcher Form?
    Zentral: z.B. auf zentralem Server
    Dezentral: z.B. lokal auf dem Endgerät des Nutzers
    Beispiele für Speicherung von persönlichen Daten: anonymisiert, pseudonymisiert, Klartext, verschlüsselt
    Beispiele für Zugriffe: Entwickler - verschlüsselt, Gastgeber - pseudonymisiert
  • Speicherdauer
    Wie lange werden die durch die Anwendung aufgenommenen und gespeicherte Daten (z.B. persönliche Daten) gespeichert? Erfolgt eine automatische Löschung nach diesem Zeitraum? Können die Daten auch vom Nutzer selbst gelöscht werden? Wenn ja, welche und wie kann er dies tun?
  • Transparenz
    Ist transparent offengelegt (z.B. öffentlich verfügbarer Quell-Code), welche personenbezogenen Daten erfasst, gespeichert und wohin sie weitergeleitet werden? Wenn ja, Repository-Link angeben?
  • Manipulationssicherheit
    Wurden Maßnahmen zum Zwecke der Manipulationssicherheit getroffen? Wenn ja, welche und in welcher Form?
    Beispiele für Manipulationen: Falschangaben, QR-Code-Check-In aus der Ferne, Manipulation von Daten auf dem mobilen Gerät.
    Beispiel für Gegenmaßnahmen: Screenshot-Sperre, Verifikation von E-Mail/Telefonnummer, Geo-Koordinaten-Abgleich beim Check-In, Betreiber-Scan statt Gast-Scan beim Check-In, pseudozufällige Kennungen inkl. periodischer Erneuerung, Verifikationsserver für Test-/Impfnachweise.
  • Serverstandort
    Wenn Daten zentral gespeichert werden, befindet sich der Server in Deutschland? Wenn ja, welche Standards (Sicherheitsrichtlinien) werden erfüllt?
    Zum Beispiel: BSI C5, SOC 2, SOC1/ISAE 3402, ISO-27001

Schnittstellen

  • Gesundheitsämter
    Sind Schnittstellen zu den Gesundheitsämtern vorhanden? Wenn ja, welche und wie erfolgt die Übergabe der Daten?
    Zum Beispiel: SORMAS, DEMIS, IRIS-Gateway
    Ggf. Einschränkungen benennen: z.B. nur teilnehmende Testzentren
  • Testzentren
    Sind Schnittstellen zu den Textzentren und anderen Teststellen vorhanden? Wenn ja, welche und wie erfolgt die Übergabe der Daten?
    Ggf. Einschränkungen benennen: z.B. nur teilnehmende Testzentren
  • Impfstellen
    Sind Schnittstellen zu den Impfstellen vorhanden? Wenn ja, welche und wie erfolgt die Übergabe der Daten?
    Ggf. Einschränkungen benennen: z.B. nur teilnehmende Impfstellen

Nutzerfreundlichkeit und Akzeptanz

  • Verfügbarkeit
    Haben alle deutschen Bürger gleichwertigen Zugriff auf die Anwendung? Wenn nein, welche Einschränkungen (allgemein, technisch) gibt es?
    Beispiel für allgemeine Einschränkungen: Nur in einigen Bundesländern verfügbar (wenn ja, welche), verfügbar für bestimmte Berufsgruppen (z.B. Ärzte), Altersbeschränkungen
    Beispiel für technische Einschränkungen: Internet-Browser, Smartphone und/oder Drucker notwendig
  • Freiwilligkeit
    Kann die Anwendung auf freiwilliger Basis verwendet werden oder besteht ein Zwang, z.B. um eine Location besuchen oder eine Dienstleistung in Anspruch nehmen zu dürfen?
  • Aktivierungs-/Deaktivierungsprozess
    Wie erfolgt die Aktivierungs-/Deaktivierungsprozess der Anwendung. Ist diese nutzergesteuert oder ist eine Kontaktaufnahme zum Anbieter oder einer Behörde notwendig? Wenn der Anbieter bzw. Behördenkontakt notwendig ist, zu welchem Zweck bzw. aus welchen Gründen ist dieser notwendig und wie läuft der Prozess dann ab?
    Beispiel: Zur Nutzung einer Anwendung zur Unterstützung von Testzentren ist es erforderlich, dass das Testzentrum eine offizielle Betriebserlaubnis hat, für die ein behördlicher Kontakt notwendig ist.
  • Anleitungen/Schulungsmaterial/Informationen
    Stehen Informationen, Anleitungen (z.B. multimodales Schulungsmaterial, Tutorials) und Dokumentationen zur Benutzung und Funktionsweise der Anwendung zur Verfügung? Wenn ja, in welchem Umfang?
    Links zur Webseite, zu Dokumentation, Tutorials, ...
  • Nutzerwahrnehmung und Akzeptanz
    Wie wird die Anwendung von der Allgemeinheit akzeptiert? Wie ist die öffentliche Wahrnehmung?
    Angabe von Bewertungen (Anzahl, Rating) in den App-Stores, Erfahrungsberichte, Zahlen zur Verbreitung (z.B. Anzahl Gewerbe, wo Anwendung in Benutzung), Meinungen in den Nachrichten.

App-Store-/Web-App-Links

  • Web-App
    Wenn vorhanden, Angabe des Links zur Web-App.
  • Android
    Wenn vorhanden, Angabe des Links zur Android-App.
  • iOS
    Wenn vorhanden, Angabe des Links zur iOS-App.
  • Huawei
    Wenn vorhanden, Angabe des Links zur Huawei-App.
  • Windows
    Wenn vorhanden, Angabe des Links zur Windows-App.

Zielgruppen

  • Einzelpersonen
    Ist die App für Einzelpersonen geeignet? Wenn ja, in welcher Form?
    Beispiel: App für Testnachweise - für Einzelpersonen geeignet zum Nachweisen des negativen Testergebnissen
  • Gesundheitsämter
    Ist die App für Gesundheitsämter geeignet? Wenn ja, in welcher Form?
    Beispiel: App für Testnachweise - für Gesundheitsämter geeignet, wenn automatische Weiterleitung von positiven Testergebnissen
  • Testzentren
    Ist die App für Testzentren geeignet? Wenn ja, in welcher Form?
    Beispiel: App für Testnachweise - für Testzentren geeignet, wenn Testzentren das Testergebnis einpflegen und der Einzelperson zur Verfügung stellen können
  • Gewerbe
    Ist die App für Gewerbe geeignet? Wenn ja, in welcher Form?
    Beispiel: App für Testnachweise - für Gewerbe geeignet, wenn Prüfung des Testergebnisses von Einzelpersonen als Eingangskontrolle möglich
  • Bildungseinrichtungen
    Ist die App für Bildungseinrichtungen geeignet? Wenn ja, in welcher Form?
    Beispiel: App für Testnachweise - für Bildungseinrichtungen geeignet, wenn Prüfung des Testergebnisses von Einzelpersonen als Eingangskontrolle möglich
  • Impfstellen
    Ist die App für Impfstellen geeignet? Wenn ja, in welcher Form?
    Beispiel: App für Impfnachweise - für Impfstellen geeignet, wenn Impfstellen den Impfstatus einpflegen und der Einzelperson zur Verfügung stellen können

Kosten

  • Kosten (privat)
    Ist die Anwendung kostenlos? Wenn nein, welche Kosten fallen für den privaten Nutzer an?
  • Kosten (geschäftlich)
    Ist die Anwendung kostenlos? Wenn nein, welche Kosten fallen für den geschäftlichen Nutzer an?
  • Kosten (Land/Stadt)
    Ist die Anwendung kostenlos? Wenn nein, welche Kosten fallen für das Land/die Städte an?

Das Modellvorhaben „VORBOTE“ wurde gefördert vom Ministerium für Wirtschaft, Wissenschaft und Digitalisierung in Sachsen-Anhalt.

Die Umsetzung erfolgte durch das Institut für Dienstleistungs- und Prozessmanagement (IfDP).*

* Unter Mitwirkung von: Dr. Manuela Koch-Rogge, Prof. Dr.Thomas Leich, Ivonne v. Nostitz-Wallwitz, Christian Reinboth, Prof. Dr. Fabian Transchel, Prof. Dr. Georg Westermann