GreenCheck-AppÖsterreich will Corona-Status von Millionen Menschen in zentraler Datenbank speichern

Laut geleakten Plänen will die österreichische Regierung für Impf- und Testnachweise zentrale Server einrichten, die jedes Mal befragt werden, wenn jemand ein Lokal oder einen Veranstaltungsorte betreten möchte. Datenschützer:innen äußern schwerwiegende Bedenken.

QR-Codes für Impfnachweis
Österreich setzt den „grünen Pass“ der EU auf problematische Art um, sagen Datenschützer:innen Gemeinfrei-ähnlich freigegeben durch unsplash.com David Dvořáček/Bearbeitung netzpolitik.org

In Österreich sollen am 19. Mai die Restaurants, Hotels und Veranstaltungsorte wieder öffnen dürfen – allerdings nur für Menschen, die frisch getestet, geimpft oder immun gegen das Coronavirus sind. Bereits in wenigen Wochen will die österreichische Regierung offenbar eine App ausrollen, mit der der eigene Corona-Status einfach nachgewiesen werden kann – doch die geleakten Pläne für die GreenCheck-App sorgen für heftige Bedenken.

Denn die österreichische Regierung plant, dass der Corona-Status von Personen in einer zentralen Datenbank gespeichert wird und dort einfach abgerufen werden kann. Dazu nutzt Österreich wie im EU-weiten „grünen Nachweis“ vorgesehen QR-Codes, allerdings sollte als Alternative zunächst auch die Kennnummer der Europäische Krankenversicherungskarte verwendet werden. Diese ist in Österreich wie in Deutschland auf der Rückseite der Gesundheitskarten zu finden.

GreenCheck ist als Web-Anwendung gedacht. Veranstalterinnen oder Ladenbetreiber sollten die Versicherungskarten mit der Foto-Funktion von Smartphones einlesen, die App würde dann automatisch den Status der betroffenen Person prüfen.

Ministerium rudert bei Kennzahl-Nutzung rasch zurück

Daran setzte es harte Kritik. „Ein massenhaftes Abrufen von Daten aller sozialversicherten Personen in Österreich ist möglich und aufgrund der Architektur des Systems auch fast nicht verhinderbar“, kritisierte Thomas Lohninger von der NGO epicenter.works. Denn werde wie vorgesehen die Krankenversicherungskarte abfotografiert, statt einen QR-Code zu nutzen, erlaube dies Missbrauch.

Anwendungsablauf GreenCheck
Das geleakte Schema zeigt, wie GreenCheck funktionieren soll

Es reiche, wenn etwa eine Kellnerin bei der Kontrolle ein Foto der Karte mache, sagt Lohninger – schon kenne sie Namen, Geburtsdatum und Sozialversicherungsnummer einer Person. Mit der Kennnummer könne sie dann immer wieder den Covid-Status der Betroffenen abrufen.

Das Gesundheitsministerium reagierte auf die Veröffentlichung der Pläne und kündigte an, die Gesundheitskarte zumindest zunächst nicht zu nutzen. Diese Funktion werde „hintangestellt“, sagte das Ministerium dem „Standard“. Das Ministerium wollte aber die spätere Nutzung nicht ausschließen.

„Kriminelle könnten Bewegungsprofile abgreifen“

Für Bedenken sorgt außerdem, dass für die Prüfung der Nachweise jedes Mal ein zentraler Server abgefragt wird. Die Abfrage lasse sich einer geprüften Person und einem Prüfzeitpunkt zuordnen. Damit speichere die Behörde Daten über das Bewegungsprofil von Millionen Menschen in Österreich. „So viel Information an einer Stelle kann niemals verhältnismäßig sein, insbesondere, weil es datenschutzfreundlichere Alternativen gäbe und diese auf EU-Ebene vorangetrieben und teilweise als fertige Software zur Verfügung gestellt werden“, sagt Lohninger.

„Wenn jetzt nicht absolut perfekte Schutzmechanismen bei dieser zentralen Datenbank implementiert sind, könnten Kriminelle diese Daten abgreifen und Bewegungsprofile davon ableiten“, glaubt auch der Informatiker René Mayrhofer, der das Institut für Netzwerke und Sicherheit der Universität Linz leitet. Er empfehle der Regierung, die angedachte Architektur nochmal zu überdenken und stattdessen die europäische Lösung des grünen Passes „ordentlich zu implementieren“.

Keine Reaktion gab es zunächst auf eine Anfrage von netzpolitik.org an die österreichische Datenschutzbehörde. Deren Chefin Andrea Jelinek leitet zugleich auch den Europäischen Datenschutzausschuss, in dem alle EU-Behörden sitzen. Die europäische Datenschützer:innen hatten zuletzt gefordert, die Impf- und Testnachweise dürften nicht in einer EU-weiten Datenbank landen und müssten hohe Datenschutzstandards erfüllen. EU-Abgeordnete und NGO hatten indes gewarnt, die Nachweise dürften nicht zu Überwachung oder Diskriminierung führen.

Auf europäischer Ebene verhandeln Rat, Parlament und Kommission noch über die EU-Verordnung über die grünen Nachweise. Das Parlament fordert in seiner Position, dass nationale Nachweisesysteme wie die GreenCheck-App in Österreich mit dem EU-weiten System vollständig interoperabel sind. Auch müsse die Prüfung der Nachweise offline erfolgen können.

Diese Forderungen scheinen kaum kompatibel mit dem, was die österreichische Regierung nun plant, da ihr System Prüfungen über den Server vorschreiben würde und Offline-Checks nicht möglich wären.  Setzt sich das Parlament in den Verhandlungen durch, könnte das für Streit zwischen Brüssel und Wien sorgen. Die EU-Kommission wollte die österreichischen Pläne auf Nachfrage von netzpolitik.org nicht kommentieren.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

4 Ergänzungen

  1. Ist ja immer witzig, dass „der Westen“ gerne mit derartigen Schreckensszenarien vor China warnt, um dann im Gegensatz zu China wirklich einsetzen zu wollen.

    In spaetestens 15-20 Jahren wird man sich ernsthaft fragen muessen, ob das politische Modell von China der simulierten Demokratie im Westen nicht doch ueberlegen ist, gerade wenn es um Rechte und Wohlergehen des groessten Teils der Bevoelkerung geht.

    1. Frag mal HEUTE die Menschen in Hongkong, Xinjiang, Tibet oder der Inneren Mongolei wie sie das politische Modell Chinas finden.
      Und informiere dich mal über die Totalüberwachung der Uiguren in Xinjiang, bevor du einen völlig uninformierten Menschenrechtsverletzungen-verharmlosenden Beitrag schreibst. Empfohlene Suchterms: „surveillance in xinjiang“ oder „surveillance of uyghurs“.

  2. Letztes Jahr, etwa um die selbe Zeit, meinte Antonella Mei-Pochtler, die Beraterin von Kanzler Kurz, die auch für die Boston Consulting Group arbeitet, dass jeder Mensch eine App haben werde. Das würde zur „Neuen Normalität“ gehören und die Menschen in Europa müssen sich an „Werkzeuge am Rande des demokratischen Modells“ gewöhnen (berichtete unter anderem „Der Standard“). Damals wurde das mit der datenschutzfreundlichen und freiwilligen Tracing-App zum Glück verhindert. Jetzt also könnte der digitale Impf- und Immunitätsausweis Frau Mei-Pochtler doch noch Recht geben?

  3. Zum Beitrag von Postdemocracy:

    Was die „Normalität“ ist und wer wann welche App wofür verwendet, entscheiden zum Glück weder eine ominöse Kanzler-Beraterin noch sonst irgendjemand aus dubiosen „Consulting Groups“ oder ähnlichen Neoliberalistiken. Sondern immer noch der einzelne Bürger für sich selbst.

    Falls besagte Dame allerdings mit der Äußerung „Werkzeuge am Rande des demokratischen Modells“ (zu überwachende) Smartfones u. dgl. meint, liefert sie mit dieser Auffassung genau den Beweis für die hier seit langem diskutierten Absichten diverser Politiker, mittels der Digitalisierung die Gesellschaft in ein Zwangskorsett zu pressen, wie es demokratie- und menschenfeindlicher nicht sein kann.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.