Wie Österreich den digitalen Impfpass versemmeln könnte
Am Mittwoch hat die EU den Entwurf für einen europäischen Grünen Pass vorgelegt. Konkret ist es ein „digitales grünes Zertifikat (DGZ), welches die Reisefreiheit in der EU im Zuge der Corona-Pandemie wiederherstellen soll.
Die Verordnung zum digitalen, grünen Zertifikat sieht vor, dass es bis zum 1. Juni 2021 einen Nachweis für Bürger geben soll, der besagt, dass diese ihre Corona-Impfungen erhalten haben oder aktuell negativ auf Corona getestet wurden.
Technische Richtlinien zur geplanten Lösungen gibt es bisher keine, diese werden erst erarbeitet. Datenschützer von epicenter.works zeigen sich hier besorgt, dass die EU-Kommission sich laut dem Verordnungsentwurf das Recht vorbehält, diese im Alleingang bestimmen zu können - und zwar ohne, dass das Parlament oder die Mitgliedsstaaten im Rat ein Mitspracherecht haben. „Wir hoffen, dass wir am Ende nicht um den Datenschutz umfallen werden oder Abstriche in Kauf nehmen müssen“, so die Datenschützer von epicenter.works.
Die österreichische Lösung
Doch während die EU-Kommission gerade ihren Verordnungsentwurf vorgestellt hat, prescht man in Österreich vor. Hierzulande will man bereits im April eine Vorstufe des digitalen, grünen Passes einsetzen, wie es gestern nach dem Ministerrat hieß. "Wir wollen nicht auf die Umsetzung auf europäischer Ebene warten", sagte Bundeskanzler Sebastian Kurz (ÖVP) im Pressefoyer.
Bereits Mitte April sollen Menschen mit einem QR-Code ihre negativen Corona-Testergebnisse nachweisen können. Soweit, so gut. Dieses System wurde bereits entwickelt und Datenschützern bei einem informellen Termin gezeigt. Das technische System, das den Datenschutz-Spezialisten am 10. März 2021 gezeigt worden war, sieht offenbar vor, dass ein QR-Code generiert wird, in dem eine URL steckt. Friseure oder Gastronomen können dann etwa ganz einfach mit der Foto-App ihres Smartphones den Code einscannen. Dadurch wird die Website der URL geöffnet, die dann Grün, Orange oder Rot leuchtet.
Nicht fälschungssicher
Das Problem daran: Dieses System wäre absolut nicht fälschungssicher. Es wäre relativ einfach möglich eine Website nachzubauen, die so aussieht wie die Verifikationsseite und etwa statt österreich-testet.at einfach österrìch-testet.at heißt. Jemand, der diese Seite kontrollieren muss, müsste schon ganz genau hinschauen, um diesen Nachbau zu erkennen und er müsste etwas von IT-Sicherheit verstehen. Die meisten Wirte, Friseure oder Konzertveranstalter sind jedoch bekanntermaßen keine IT-Profis.
Thomas Lohninger, Datenschützer bei epicenter.works, sagt im futurezone-Gespräch dazu: „Ich glaube nicht, dass die uns präsentierte Lösung kompatibel ist mit dem EU-Vorschlag.“
Die EU-Lösung sieht ebenfalls den Einsatz von QR-Codes der Zertifikate vor. Doch diese müssen laut dem EU-Gesetzesentwurf mit einer digitalen Signatur versehen sein, um die Sicherheit gewährleisten zu können. Zudem sollen sie als Offline-Nachweis und auf Papier funktionieren. Das heißt, hinter dem QR-Code der EU-Lösung soll sich keine fälschungsanfällige URL, sondern ein Zertifikat mit digitaler Signatur verbergen. Ein derartiges System wollen die Datenschutz-Experten dem Gesundheitsministerium auch vorgeschlagen und ans Herz gelegt haben.
„Das wäre dann ähnlich wie bei der Stopp-Corona-App: Hier war Österreich zwar Vorreiter, hat es aber verkackt. Eine saubere Lösung braucht einfach Zeit!“
Vergleich mit Stopp-Corona-App
„Sollte dieser Schnellschuss Mitte April in Österreich wirklich kommen, zerstört das das Vertrauen der Österreicher in den digitalen, grünen Pass, noch bevor das System auf EU-Ebene eingeführt wird“, sagt Lohninger. „Das wäre dann ähnlich wie bei der Stopp-Corona-App: Hier war Österreich zwar Vorreiter, hat es aber verkackt. Eine saubere Lösung braucht einfach Zeit“, so Lohninger. Bei der Stopp-Corona-App hatte es im April 2020 eine erste Version der App gegeben. Die technische Schnittstelle von Google und Apple für die Version der App, die sich nun durchgesetzt hat, folgte aber erst im Juni 2020.
Droht nun also eine ähnliche Situation beim digitalen, grünen Pass? Das Gesundheitsministerium ließ der futurezone folgendes Statement zukommen: „Der Vorschlag seitens EU bezieht sich auf 3 Phasen: eine Übergangszeit; eine Offline-Version, in der alle Daten im QR-Code enthalten sind und im Endausbau soll ebenfalls eine Online-Validierung möglich sein. Somit geht die derzeitige österreichische Lösung einher mit den Vorstellungen der Europäischen Kommission.“
"Die derzeitige österreichische Lösung geht einher mit den Vorstellungen der Europäischen Kommission.“
ELGA übernimmt, aber "braucht Zeit"
Man sei „laufend im Austausch mit Experten aus dem Datenschutz“, heißt es zudem aus dem Gesundheitsministerium. Und Datenschützer hätten „in den vergangenen Tagen und Stunden ihre Annahmen geändert.“ Lohninger von epicenter.works betonte, dass ihm dazu nichts bekannt sei. Ob es zu Treffen mit der Datenschutzbehörde gekommen war, ist unbekannt.
Eine Nachfrage beim Gesundheitsministerium, die die technische Umsetzung mittels QR-Code mit URL betraf, blieb unbeantwortet. Es war niemand mehr für eine Stellungnahme erreichbar. Dass das System in kurzer Zeit bereits geändert wurde, ist allerdings eher unwahrscheinlich.
Am 12. März, nur wenige Tage nach dem Treffen des Gesundheitsministeriums mit den Datenschützern, wurde die Projektkoordination offiziell der ELGA GmbH übertragen. Diese muss nun die technische Umsetzung des österreichischen grünen Passes koordinieren. Die futurezone hat auch bei dieser nachgefragt und bekam als offizielle Antwort, dass man „noch mehr Zeit“ benötige. Offenbar dürfte die erste, offizielle Sitzung zum digitalen, grünen Pass noch nicht erfolgt sein. Seitens der ELGA Gmbh betonte man zudem, dass man nur für die Koordination beauftragt worden sei, nicht für die Entwicklung der technischen Lösung.
EU-Ebene
Auch auf europäischer Ebene werden freilich noch viele weitere Fragen auftauchen. Die Verordnung lässt es etwa zu, dass die Reisefreiheit an eine Impfung gekoppelt und negative Tests nicht als Alternative akzeptiert werden, was droht zu Diskriminierung zu führen. Zudem wird die gesamte Diskussion rund um Impfprivilegien komplett ausgelagert. Ob der grüne Pass auch als Nachweis für Zutritte zu Museen, Gastronomie oder Friseur gilt, wird den Mitgliedsländern freigestellt.