Icon Datenschutzbeauftragter
Datenschutz

Der digitale Impfnachweis ist da

Arne Wolff
Verfasst von: Arne Wolff
Berater für Datenschutz und IT-Sicherheit

Jeder kennt es, das kleine gelbe Heft mit dem Logo der WHO und dem Aufdruck „Internationale Bescheinigungen über Impfungen und Impfbuch“. Nachdem das Dokument von vielen seiner Besitzer lange Zeit eher stiefmütterlich behandelt wurde, hat ihm die Corona-Pandemie nun erhöhte Wertschätzung verliehen. Der Eintrag einer vollständigen Corona-Schutzimpfung ist begehrt – erleichtert er doch schon jetzt den Zugang zu vielen Facetten des öffentlichen Lebens und erspart Wartezeiten auf Reisen.


Unsere aktuellen Blogbeiträge verwenden eine gendergerechte Sprache. Beiträge vor dem 01.01.2023 haben wir nicht nachträglich überarbeitet. Grundsätzlich legen wir Wert darauf, eine inklusive und respektvolle Kommunikation zu fördern. Vielen Dank für Ihr Verständnis.


Motivation

Noch sind die Wartelisten zum Erhalt der Impfung gegen COVID-19 lang und als Folge denkt mancher darüber nach, den Impfnachweis kurzerhand selbst zu führen. Blanko-Impfpässe sind leicht zu bekommen und unterliegen keinerlei Kontrolle und auch die Einträge selbst sind keine große Hürde für ambitionierte Fälscher. Es lässt sich kaum zuverlässig verifizieren, ob ein Eintrag echt ist oder nicht. Zwar kann man annehmen, dass die Zahl der Fälschungen letztlich eher gering sein wird, für das Rechtsempfinden der Mehrheit sind sie aber reines Gift.

Aber auch korrekt geführte Impfpässe haben ihre Schwächen: Schwer entzifferbare Handschriften, unvollständige Angaben und physische Einwirkungen, zum Beispiel durch Feuchtigkeit, machen das Dokument im Alltag ziemlich unhandlich – man stelle sich nur eine Einlasskontrolle am Fußballstadion vor.

Schlimmer noch kann der Verlust des Impfpasses sein, denn es gibt kein Backup. Die einzige Chance zur Wiederherstellung der Impfhistorie ist eine Rekonstruktion aus den Unterlagen der Ärzte.

Umsetzung

Vor diesem Hintergrund hat die EU-Kommission die technischen Voraussetzungen für digitale Impfzertifikate definiert und eine elektronische Plattform für ihre Überprüfung gestartet. Praktisch werden die Daten von Arztpraxen, Krankenhäusern, Apotheken und Test- oder Impfzentren erhoben, zur Signierung an das RKI mittels Web-Anwendung übermittelt und dort sofort wieder gelöscht – das System liefert dann einen mit dem „Public-Key-Infrastructure“-Verfahren gesicherten QR-Code, der auf einem Smartphone gespeichert oder auch ausgedruckt werden kann.

In Deutschland wird eine eigene App zur Verfügung gestellt, die die Impfzertifikate speichert – die „CovPass App“ – aber auch die schon eingeführte Corona-Warn-App ist dazu in der Lage. Zertifikate können erstellt werden, wenn eine Person sich impfen lässt, wenn ein Virentest negativ ausfällt oder wenn sie durch eine überstandene Erkrankung Immunität erlangt hat.

Zur Überprüfung der Zertifikate wird eine weitere App entwickelt – genannt „CovPassCheck-App“. Mit ihr können die QR-Codes der CovPass-App gescannt werden. Die CovPassCheck-App gibt dann den Corona-Impfstatus, Namen, Vornamen und Geburtsdatum der geimpften Person zurück. Es ist also zusätzlich ein Identitätsnachweis nötig.

Bis zum 1. Juli soll das System vollständig in Betrieb sein. Die ersten Länder – darunter Deutschland – haben bereits mit der Ausstellung von Zertifikaten begonnen. Die Nutzung ist freiwillig und kostenlos.

Fazit

Anfängliche Planungen zum Aufbau einer zentralen Datenbank wurden in Deutschland verworfen – zu groß waren die datenschutzrechtlichen Bedenken. Ebenfalls vorerst vom Tisch ist eine Blockchain-Lösung, da sie mit den EU-Vorgaben nicht zusammengepasst hätte. In der jetzigen Umsetzung werden die Daten nach der Zertifikatserstellung ausschließlich in der App bzw. in Papierform beim Impfling gespeichert und auch das nur auf Verlangen – parallel zum alten Impfpass, denn die neuen Zertifikate werden zunächst nur in der EU anerkannt, zumal es auch gar nicht weltweit die nötige Infrastruktur gibt, um diese auslesen zu können.

Im Übrigen erstellen die Mitgliedstaaten auf nationaler Ebene jeweils eigene Lösungen für das Zertifikat, die dann über die EU-Plattform zusammengeschaltet werden. Die EU-Kommission stellt für die verschiedenen Bestandteile des Systems quellcodeoffene Softwarebausteine zur Verfügung, um die Entwicklung zu beschleunigen. Die Mitgliedstaaten entscheiden auch selbst, welche Quarantäne- und Testpflichten bei Zertifikatsinhabern entfallen und ob sie auch Impfstoffe anerkennen, die von der Europäischen Arzneimittel-Agentur (EMA) noch nicht zugelassenen wurden, wie Sputnik V und Sinopharm.

Insgesamt scheint die EU mit ihrem Konzept auf einem guten Weg zu sein, auch wenn die Entwicklung unter großem Zeitdruck erfolgte. Denn die Urlaubs- und Reisezeit steht vor der Tür und jede Impfung, für die nachträglich ein Zertifikat erstellt werden muss, bedeutet zusätzlichen Aufwand für die ohnehin schon stark belasteten Impfstellen.

 

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.