AllgemeinDatenschutzE-Health

Digitaler Impfpass: Fälschen leicht gemacht?

Die Pandemie treibt die Digitalisierung mehr an, als Viele es für möglich gehalten hätten: Bundeskanzlerin Angela Merkel bekräftigte vor wenigen Tagen auf dem 15. Digital-Gipfel der Bundesregierung, dass man die vielen Konferenzen unserem Netz gar nicht zugetraut hätte.[1] Diese Einschätzung dürfte von Vielen geteilt werden. Ein weiterer Aspekt, in dem Corona der Digitalisierung einen Schub verpasst, ist die Einführung eines digitalen Impfpasses, die EU plant „Green Certificates“, die als Nachweis für die erfolgte Covid19-Impfung dienen soll.[2] Damit soll – etwa beim Restaurantbesuch, bei Auslandsreisen oder in ähnlichen Situationen – die Kontrolle, ob eine Person bereits geimpft ist, sowie der Nachweis, dass von ihr keine (bzw. nur eine geringe) Ansteckungsgefahr ausgeht, vereinfacht werden.

„Grünes Zertifikat“ bescheinigt geringe Ansteckungsgefahr

Das Zertifikat soll neben Angaben zur Art des Impfstoffes auch PCR-Test-Informationen oder Angaben zu einer infolge einer Infektion erworbenen Immunität enthalten und von autorisierten Stellen ausgestellt werden.[3] Ein ausgedrucktes PDF gilt dabei zusammen mit einem Ausweisdokument als Impfnachweis, auch die Übertragung in eine spezielle staatliche „Wallet-App“ soll möglich sein. Die Entwicklung der App und der nötigen Infrastruktur soll voraussichtlich rund 15 Millionen Euro verschlingen, insgesamt rechnet die Kommission im laufenden Jahr mit Kosten von etwa 50 Millionen Euro. Ab 30. Juni 2021 soll das System einsatzbereit sein und die Ausgabe von Zertifikaten starten. Die App „CovPass“, die unter Führung des US-Konzerns IBM für das Robert Koch-Institut entwickelt wird, kann freiwillig genutzt werden.[4] Die Eintragung des Impfstatus (bzw. einer nachgewiesenen Immunität) erfolgt über QR-Codes, die per Post oder direkt im Impfzentrum oder beim Arzt übermittelt werden. Dabei soll die App höchsten Sicherheitsansprüchen genügen und über eine „fälschungssichere Verschlüsselung“ verfügen.

Doch nicht so fälschungssicher?

Eine weitere Möglichkeit, den begehrten QR-Code zu erhalten, ist – besonders für diejenigen, die bereits geimpft sind – die Option, ihn über den Nachweis im klassischen gelben Impfpass aus Papier in Arztpraxen, Apotheken oder einem Impfzentrum zu erhalten.[5] Da die Eintragungen im Papier-Impfpass lediglich aus kleinen Stickern besteht, eröffnet diese Möglichkeit zugleich eine gravierende Sicherheitslücke: Da genau dieser herkömmliche Nachweis mit Leichtigkeit gefälscht werden kann, ist damit auch das digitale Zertifikat äußerst anfällig für Fälschungen. Der Chaos Computer Club (CCC) richtet seine – berechtigte – Kritik direkt an das Bundesgesundheitsministerium: Bei der Eintragung der Impfung im gelben Pass fehle eine Absicherung gegen Fälschung komplett. Eine solche wäre ohne weiteres beispielsweise durch Hologramm-Aufkleber oder geprägtes Papier umsetzbar gewesen. Stattdessen verlasse man sich auf „Materialien, die sich […] jeder auf Amazon zusammenklicken kann“. In Österreich hat das Gesundheitsministerium zudem eine geplante Gesetzesänderung vorgestellt, nach der im „Grünen Pass“ auch eine Verknüpfung mit aktuellen und historischen Daten über das Erwerbsleben, Einkommensniveau, etwaige Arbeitslosigkeit, den Bildungsweg und Krankenstände aller geimpften oder genesenen Personen stattfinden soll.[6] Diese Daten sollen durch das Gesundheitsministerium „zum Zweck der epidemiologischen Überwachung sowie des Monitorings der Wirksamkeit“ der Corona-Maßnahmen verarbeitet und in ein Register integriert werden können. Die in Aussicht gestellte Pseudonymisierung vermag Datenschützer dabei nicht zu beruhigen: Die Datenverarbeitung sei „weder durch den Zweck des Registers gedeckt, […] noch verhältnismäßig. Sollten die Regelungen wie geplant umgesetzt werden, droht eine Verfassungsklage.

Fazit

Dass auch das gelbe Heftchen, das gern verlegt wird und dessen Neuausstellung auch in Anbetracht der Schwierigkeiten, sämtliche in der Vergangenheit erhaltenen Impfungen nachzuvollziehen ein mühseliges Unterfangen ist, ein Update erhält, ist grundsätzlich zu begrüßen. Die – analoge – Sicherheitslücke, die eine Fälschung erfolgter Impfungen leicht möglich macht, sollte jedoch dringend geschlossen werden. In puncto Datenschutz muss in jedem Fall sichergestellt werden, dass das digitale Zertifikat nur diejenigen Informationen enthält, die für dessen Intention absolut notwendig sind – und dass auch diese nicht für beliebige andere Zwecke verwendet werden dürfen.


[1] Vgl. Merkel: „So viele Zoom-Konferenzen hätte man unserem Netz gar nicht zugetraut“, RND.de, 18.05.2021.

[2] Vgl. Bleich, Digitaler EU-Impfnachweis soll spätestens Ende Juni kommen, Heise Online, 30.04.2021.

[3] Hierzu und zum Folgenden vgl. Bleich, Digitaler EU-Impfnachweis soll spätestens Ende Juni kommen, Heise Online, 30.04.2021.

[4] Hierzu und zum Folgenden vgl. Moßburger, Digitaler Impfpass: Was Sie über CovPass wissen müssen, BR.de, 17.05.2021.

[5] Hierzu und zum Folgenden vgl. Wittenhorst, Medienbericht: Geplanter digitaler EU-Impfpass offenbar nicht fälschungssicher, Heise Online, 02.05.2021.

[6] Hierzu und zum Folgenden vgl. Datenschutzmängel beim Grünen Pass: Verfassungsklage droht, Futurezone.at, 19.05.2021.

Sämtliche Links wurden zuletzt am 19.05.2021 abgerufen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*