Digitaler EU-Impfnachweis soll in die Corona-Warn-App integriert werden
Das von der EU geplante "digitale grüne Zertifikat" wird laut dem Bundesgesundheitsministerium bald in Deutschland verfügbar sein – ohne Blockchains.
(Bild: Elizaveta Galitckaia / Shutterstock.com)
Das Bundesgesundheitsministerium (BMG) hat bei der Einführung der deutschen Variante des europäischen digitalen Impfnachweises eilig. Das von der EU-Kommission geplante "digitale grüne Zertifikat" soll schon Mitte des zweiten Quartals in Deutschland zur Verfügung stehen, kündigte ein Vertreter des Hauses von Jens Spahn (CDU) am Mittwoch im Digitalausschuss des Bundestags an. Vom Start weg werde der Nachweis als Modul in der Corona-Warn-App (CWA) der Bundesregierung angeboten.
Den hiesigen Zuschlag für den Impfnachweis, der nun EU-weit standardisiert werden soll, hatte ein Konsortium der Firmen IBM, Ubirch, Govdigital und Bechtle erhalten. Die Kosten für das Vorhaben beliefen sich auf rund drei Millionen Euro, erklärte der BMG-Abgesandte laut einer Mitteilung des Bundestags. Laufende Ausgaben seien Teil dieser Summe. Das Zertifikat solle vor allem die Reisefreizügigkeit stärken. Es stelle jenseits eines analogen Nachweises etwa über den WHO-Impfpass eine "zusätzliche Möglichkeit" dar, "um Impfungen zu dokumentieren".
Keine zentrale Datenbank
"Ziel ist es, dass alleine Zertifikatsschlüssel über einen sicheren Server ausgetauscht werden", führte der Ministerialbeamte aus. Dabei entstehe keine zentrale Datenbank mit personenbezogenen Gesundheitsinformationen. Das Zertifikat müsse nicht auf einem digitalen Endgerät vorgezeigt werden, auch ein maschinenlesbarer Ausdruck des vorgesehenen QR-Codes könne als Nachweis dienen.
Die Dienste, die von dem Konsortium entwickelt werden, sollten generell in andere Applikationen integrierbar sein und auf einem Open-Source-Ansatz beruhen, erläuterte ein IBM-Vertreter den technischen Hintergrund. Ein Bestandteil sei ein Impf-Zertifikat-Service für Impfzentren und Arztpraxen, in dem möglichst einfach Daten der geimpften Person eingegeben werden könnten. Als Ergebnis entstehe ein QR-Code, den Nutzer scannen oder ausdrucken können.
"Die fünf Blockchains beerdigt"
Die zweite Komponente soll eine Impf-Nachweis-App werden, in der der Code verwaltet werden könne, hieß es von IBM. Das dritte Modul sei eine Prüf-Anwendung, in der der Code entgegengenommen werden könne und die Gültigkeit des Impfschutzes geprüft werde. Erzeugt werde ein rotes oder grünes Ergebnis, das etwa an Flughäfen bequem vorzeigbar sei. Die Impfbescheinigung werde nur lokal auf dem Smartphone gespeichert. Eine dauerhafte Archivierung sei allenfalls dezentral auf den digitalen Endgeräten der Nutzer vorgesehen.
"Quasi nebenbei erfuhren wir, dass die fünf Blockchains beerdigt wurden", twitterte die linke Netzpolitikerin Anke Domscheit-Berg nach der Sitzung. Die Bundesregierung habe offenbar eingesehen, dass dieser Datenbankansatz einfach keinerlei Sinn für den digitalen "Impfausweis" ergebe und nicht mit dem europäischen Weg interoperabel wäre.
"Ein bisschen herbeifantasiert"?
Vor allem Ubirch arbeitet mit der Blockchain-Technik. Der Chef der Firma, Stephan Noller, entgegnete Domscheit-Berg aber: "Es hat eigentlich nie jemand behauptet, dass das BMG-Projekt mit fünf Blockchains arbeiten wird". Dies sei seitens des Ministeriums nicht so gewollt, sondern nur "ein bisschen herbeifantasiert" worden.
Er persönlich hätte eine "Blockchain-Verankerung" für sinnvoll gehalten, meinte Noller. Für das Projekt seien eine Verschlüsselungsinfrastruktur und Zertifikate aber "völlig ok". Auf einer inzwischen überarbeiteten Webseite des Unternehmens war Anfang März noch zu lesen: "Aus den erfassten Daten wird ein anonymer Fingerabdruck generiert, kryptografisch signiert und von Ubirch als Nachweis in einer Blockchain der govdigital sowie vier weiteren Blockchains verankert."
"Kein Reisedokument"
Das vorgesehene "digitale grüne Zertifikat" soll auch Informationen über Ergebnisse von Corona-Tests liefern, was bei der CWA teils schon funktioniert beziehungsweise für Schnelltests separat vorbereitet wird. Auch ein Nachweis über eine bereits überstandene Covid-19-Erkrankung wird dem Kommissionsentwurf nach möglich sein, wozu aus dem BMG bisher wenig zu hören war.
Parallel hat der EU-Ministerrat im Eilverfahren seine Position für die weiteren Verhandlungen über den Verordnungsvorschlag der Kommission für das Zertifikat festgelegt. Die Botschafter der Mitgliedsstaaten drängen mit dem Mandat darauf, dass die Lösung "keine Voraussetzung für die Ausübung des Rechts auf Freizügigkeit ist und kein Reisedokument darstellt". Damit wollen sie "den Grundsatz der Nichtdiskriminierung insbesondere gegenüber nicht geimpften Personen" hervorheben.
Klausel für Gesundheitsdaten eingefügt
Ein Land könnte demnach entscheiden, etwa jeden Urlauber einreisen zu lassen. Nur mit dem passenden QR-Code müssten die Betroffenen aber nicht in Quarantäne gehen oder sich vor Ort testen lassen. Die Datenschutzbestimmungen seien im gesamten Text der Verordnung gestärkt worden, unterstreicht der Rat zudem. Dabei habe man sich an der Stellungnahme der EU-Datenschutzbeauftragten orientiert. So soll etwa der Transfer von Daten in Drittstaaten zur Verifikation eines Zertifikats auf das nötige Mindestmaß reduziert werden.
Eingefügt haben die Diplomaten aber auch eine Klausel, wonach die EU-Länder Gesundheitsinformationen "für andere Zwecke" verarbeiten dürften, wenn es dazu eine nationale Rechtsbasis gäbe. Eine Übergangsregel soll ferner sicherstellen, dass die Mitgliedstaaten derzeit bestehende nationale Systeme noch sechs Wochen nach Inkrafttreten der Vorschriften und "bis zur vollständigen Funktionsfähigkeit des Rahmens für das digitale grüne Zertifikat in ihrem Hoheitsgebiet" weiter nutzen können. Das EU-Parlament muss seine Linie noch abstecken. Bei einer ersten Aussprache am Dienstag blieben viele Fragen offen.
(axk)
