Termin für Grünen Pass wackelt wegen Sicherheitsbedenken
Dieser Artikel ist älter als ein Jahr!
In Österreich sollte der digitale "Grüne Pass" ab 4. Juni zum Nachweis der 3G-Regel (geimpft, getestet oder genesen) für Gastro, Hotels, Kultur, Sport, etc. eingesetzt werden. Damit können Bürger*innen ihren Status digital per QR-Code nachweisen. Doch die Einführung könnte sich jetzt verzögern. Das liegt allerdings weniger an den Datenschutzbedenken, die unter anderem die Bürgerrechtsorganisation epicenter.works an dem dazugehörigen Gesetzestext geäußert hatte, sondern vielmehr an der technischen Umsetzung.
"Termin ist nicht zu halten"
Dafür sind die IT-Dienstleister der Österreichische Sozialversicherung zuständig. Der Geschäftsführer der IT-Services der Sozialversicherung hat sich in einem Schreiben folgendermaßen dazu geäußerst: "Durch die Politik wurde der Wunsch eines Go-live am 4. Juni 2021 vorgegeben. Aus technischer Sicht ist dieser Starttermin mutmaßlich nicht zu halten." Als Erster hat "Der Standard" über dieses Schreiben berichtet.
In dem Schreiben wird darüber berichtet, dass die in Österreich geplante Lösung "den EU-Vorgaben möglicherweise widerspricht". Stattdessen gebe es datenschutzrechtliche und sicherheitsrelevante Bedenken. "Wir warnen deshalb schon jetzt und gehen nicht davon aus, dass die Probleme bis Anfang Juni ausgeräumt werden können", heißt es in dem Schreiben.
Online- oder Offline-Verifikation
Ein Grund für den engen Zeitplan: Die EU-Vorgaben befinden sich teilweise noch in Verhandlung und sollen erst bis Ende Mai final abgeschlossen werden. So gibt es etwa noch gar keine klare, verbindliche Regeln darüber, ob die Datenabfrage des QR-Codes offline oder online stattfinden soll. Das macht jedoch einen enormen Unterschied, denn bei einer Online-Abfrage wird die Tür geöffnet für eine zentrale Datensammlung an einer Stelle. Und dass das Gesundheitsministerium die Daten auch noch für andere Dinge verwenden will, wurde erst unlängst von Datenschützern massiv kritisiert.
"Sollte die Regierung den Weg der Online-Verifikation verfolgen, wäre schon alleine durch die IP-Adresse der Überprüfenden eine Zuordnung möglich, also zum Beispiel wann ich genau im Gasthaus oder im Frisiersalon war. Klingt gruselig? Ist es auch! Sollte das System so kommen, wäre es ein Leichtes, Bewegungsprofile von Menschen zu erstellen und sie an zentraler Stelle zu überwachen", heißt es seitens epicenter.works.
In dem aktuellen Positionspapier der EU ist vorgesehen, dass eine Abfrage des 3G-Nachweises (getestet, geimpft oder genesen) dezentral auf einem lokalen Gerät durchgeführt werden soll, doch dies kann sich theoretisch noch ändern. Erste Papiere, die im Zuge eines ZIB2-Berichts geleakt worden sind, deuteten daraufhin, dass Österreich bei seiner Lösung eine zentrale Abfrage der Daten plant. Eine aktuelle Anfrage der futurezone beim Gesundheitsministerium ergab, dass der Prüfvorgang der Zertifikate offline erfolgen soll. In dem Schreiben der Sozialversicherung wurde zudem die "fehlende Rechtssicherheit für Betroffene" kritisiert.
Reisen ist der Zweck, den die EU regeln wollte
Der "Grüne Pass" war an und für sich für die EU zu einem ganz anderen Zweck geplant: Eigentlich war das Ziel der EU, ihn zu verwenden, um endlich wieder leichter in andere EU-Staaten zu reisen. Die EU einigte sich am Donnerstagabend endlich auf die genaue Ausgestaltung. Der Kompromiss zwischen den EU-Ländern, Parlament und der Kommission sieht nun vor, dass nicht in die Hoheit der Mitgliedsstaaten eingegriffen wird, aber zusätzliche Beschränkungen wie etwa Quarantäne für negativ Getestete, Geimpfte oder Geheilte nur eingeführt werden sollen, wenn es etwa die Infektionslage erfordere. Die Staaten werden außerdem selbst festlegen, ob die der Grüne Pass bereits nach der 1. erst nach der 2. Impfung gilt.
Unterdessen vermeldete das Gesundheitsministerium, dass Österreich den "technischen Probelauf" des Grünen Passes "erfolgreich bestanden" habe. Das System sei mit "Dummy-Daten" getestet worden. Ziel sei, die "Überprüfung von in anderen Mitgliedsstaaten ausgestellten Nachweisen durch die eigenen Lösungen zu simulieren". Außerdem habe man die Funktionalität der entwickelten Lösungen getestet, heißt es.
"Das wäre dann ähnlich wie bei der Stopp-Corona-App: Hier war Österreich zwar Vorreiter, hat es aber verkackt. Eine saubere Lösung braucht einfach Zeit!"
Bereits frühzeitige Warnungen im April
Zum Schreiben der IT-Firma der Österreichischen Sozialversicherung zur Umsetzung des "Grünen Passes" bis zum 4. Juni sagte man, dass der Zeitplan "zwischen den Partnern einvernehmlich festgelegt" worden sei. Man gehe davon aus, dass dieser auch eingehalten werde, heißt es. Datenschützer hatten allerdings seit längerem davor gewarnt, dass der Schnellschuss von Österreich in die Hose gehen könnte. "Das wäre dann ähnlich wie bei der Stopp-Corona-App: Hier war Österreich zwar Vorreiter, hat es aber verkackt. Eine saubere Lösung braucht einfach Zeit", sagte Thomas Lohninger von der Bürgerrechtsorganisation epicenter.works bereits im April im Gespräch mit der futurezone.
Die Datenschützer hatten bereits damals Sicherheitsbedenken geäußert. Anfang Mai hatten sie außerdem eine gravierende Sicherheitslücke gefunden: Durch die Kartennummer auf der eCard, dessen Einsatz beim "Grünen Pass" geplant war, hätte man mit geringem technischen Aufwand den Corona-Status aller Personen in Österreich abfragen können. Das Gesundheitsministerium war einen Tag später zurückgerudert und hatte angekündigt, dass man auf diese Funktionalität verzichten werde.
Kommentare