Vorschlag aus BrüsselQR-Code soll europaweit Impfung oder Test nachweisen

Die EU-Kommission möchte ein System schaffen, mit dem sich überall in Europa eine Impfung, eine Genesung sowie negative Corona-Tests per QR-Code nachweisen lassen. Deutschland möchte die EU-Vorgaben per Blockchain umsetzen.

Der digitale grüne Nachweis der EU
Ein QR-Code auf dem Handy oder auf Papier soll künftig zum Reisen reichen. Gemeinfrei-ähnlich freigegeben durch unsplash.com naipo.de

Mitten in der hitzigen Debatte über Covid-19-Impfnachweise und mögliche Privilegien für Geimpfte hat die EU-Kommission einen Vorschlag für ein europaweites System vorgelegt. Ein QR-Code soll künftig ausreichen, um eine Impfung nachzuweisen. Der „digitale grüne Nachweis“ soll aber auch Immunität durch vorherige Erkrankung oder einen negativen Covid-Test belegen.

Die Kommission will dadurch die Bewegungsfreiheit innerhalb Europas verbessern. In der Pandemie haben zahlreichen Staaten Grenzkontrollen eingeführt, in einigen ist bei Einreise eine Quarantäne verpflichtend. Der neue digitale Nachweis werde jedoch „keine Voraussetzung für die Bewegungsfreiheit sein und niemanden diskriminieren“, sagte EU-Kommissar Didier Reynders.

Der Nachweis soll sowohl in digitaler als auch in Papierform vorgelegt werden können, betont die EU-Kommission. Zuständig für das Ausstellen des Nachweises sind die einzelnen EU-Staaten, die dafür jeweils eigene Systeme schaffen können. In Deutschland vergab das Bundesgesundheitsministerium einen Auftrag für ein auf fünf Blockchains basierendes System an IBM.

Es soll sich um keine dauerhaften Maßnahmen handeln. Der digitale grüne Nachweis werde ausgesetzt, sobald die Weltgesundheitsorganisation (WHO) den Notstand wegen Covid-19 für beendet erkläre, erklärt die Kommission. Sie hofft, dass auch Staaten außerhalb Europa den Nachweis akzeptieren werden.

Nachweis enthält relevante Daten

In dem EU-weit gültigen Nachweis gespeichert werden sollen der Name, das Geburtsdatum, der ausstellende Mitgliedsstaat und eine einzigartige Identifikationsnummer für den Nachweis. Wenn der QR-Code einen Impfnachweis enthält, sollen auch die Produkt-Nummer des Impfstoffes und des Herstellers, die Dosen-Nummer und das Datum der Impfung vermerkt sein.

Für Test-Zertifikate sollen der Typ des Tests, Datum und Uhrzeit sowie der Testort und das Resultat gelistet werden. Sowohl Antigen-Schnelltests als auch PCR-Tests sollen im Nachweis festgehalten werden können, Selbst-Tests sollen aber nicht gültig sein. Wenn es sich um einen Immunitätsnachweis für eine frühere Covid-19-Erkrankung handelt, dann sollen das Datum des positiven Tests, den Aussteller und das Ausstellungsdatum sowie das Ablaufdatum der Immunität vermerkt sein.

Die Kommission möchte ein Serverinfrastruktur schaffen, um die nationalen Systeme der Mitgliedsstaaten für das Nachweissystem zu verbinden. Dort sollen zentral keine persönlichen Daten gespeichert werden, sie sollen auch nicht durch das System übertragen werden. Stattdessen soll in dem QR-Code eine einzigartige digitale Signatur gespeichert sein, deren Echtheit über die zentrale Server-Infrastruktur geprüft werden soll. Die Datenschutzfolgen dieses System müssen nun geprüft werden.

Die Kommission betont, Impfungen dürften keine Vorbedingung für Reisen innerhalb der EU oder darüber hinaus sein. Wer den QR-Code mit dem Nachweis vorweise, müsse gleich behandelt werden, unabhängig davon, ob darin eine Impfung oder ein Corona-Test verzeichnet ist. Der neue Mechanismus soll die Reisefreiheit in Europa erleichtern, indem für bereits bestehende Systeme für den Nachweis von Tests und Impfungen ein einheitlicher Standard geschaffen werde.

Die Menschenrechte-NGO Civil Liberties Union for Europe hält den Vorschlag der Kommission für voreilig. Die EU solle sich lieber darauf konzentrieren, ausreichend viele Menschen zu impfen. Der Nachweis könne eine „Zwei-Klassen-Gesellschaft“ schaffen. „Die Regelung würde den Regierungen erlauben, die Impfung als einzige Möglichkeit zu behandeln, damit jemand sein Recht auf Freizügigkeit ausleben kann.“

Deutschland baut auf Blockchain-Nachweis

Deutschland hat bereits in der Vorwoche die Entwicklung einer eigenen Software-Lösung für den Impfnachweis bekanntgegeben. Das Bundesgesundheitsministerium vergab den Auftrag im Eil-Verfahren an die Blockchain-Firma Ubirch und IBM Deutschland. Kostenpunkt: 2,7 Millionen Euro.

Der deutsche digitale Impfnachweis stellt nach offiziellen Angaben eine Erweiterung des gelben Impfpasses dar und kann auf dem Smartphone der Nutzer:innen gespeichert werden. Neben einer Impfnachweis-App und einer Prüf-App soll der digitale Impfnachweis ein Backendsystem für die Integration in rund 55.000 Arztpraxen und 410 Impfzentren enthalten. Bedingung für die Auftragsvergabe war unter anderem die vollständige Dokumentation und Veröffentlichung des Software-Quellcodes.

Für Spott auf Twitter sorgte die Tatsache, dass der digitale Impfnachweis nicht nur auf einer, sondern gleich fünf Blockchains liegen soll. Noch ist allerdings unklar, wofür genau die Blockchain-Technologie genutzt werden soll und in welcher Form sich dieses System in den EU-weiten Ansatz auf Basis von QR-Codes integrieren wird.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

15 Ergänzungen

  1. „In dem EU-weit gültigen Nachweis gespeichert werden sollen der Name, das Geburtsdatum, der ausstellende Mitgliedsstaat und eine einzigartige Identifikationsnummer für den Nachweis.“

    Sehe ich das richtig, wenn ich aus dem genannten Zitat herauslese, dass dadurch dann auch ein ständiges Mitführen des Personalausweises/Reisepasses nötig wird? Es wird für den Impfnachweis kein Lichtbild benötigt, also gehe ich davon aus, dass die Identifikation über andere Ausweisdokumente laufen muss. (Ich höre schon die „Missbrauchsgefahr!“-Rufe im Hintergrund; es wäre ja viel zu einfach den Impfnachweis einer anderen Person zu nutzen, wenn man nicht gleichzeitig noch wie bei der Polizeikontrolle die Personendaten überprüft und am besten auch noch gefilzt wird!)

    Daraus ergeben sind dann noch Fragen zum Nachweis per Smartphone: in einem früheren Artikel von euch war noch die „optionale“ Information von Personalausweis/Reisepass-Nummern im QR-Code erwähnt, wenn ich mich richtig erinnere. Folgt daraus, dass die App auf dem Smartphone dann eine feste „Zuweisung“ zu einem persönlichen Dokument hat?

    1. Soweit ich das von EU-Leuten gehört habe, soll tatsächlich zur Kontrolle des „digitalen grünen Nachweises“ ein Ausweisdokument gezeigt werden müssen. Die Perso/Reisepass-Nummer steht allerdings laut den heute vorgestellten Plänen nicht im QR-Code.

    2. Im „Vorschlag für eine Verordnung über ein digitales grünes Zertifikat“ (2021-03-17, https://ec.europa.eu/info/files/proposal-regulation-interoperable-certificates-vaccination-testing-and-recovery-digital-green-certificate_en) ist nur von „clearly identify the holder“ und „identification of the holder“ die Rede. Dazu müssen gemäss dem Anhang Vorname(n), Nachname(n) und Geburtsdatum im „Digitalen grünen Zertifikat“ enthalten sein.

      Im „Entwurf eines Vertrauensrahmens“ (V.1.0, 2021-03-12, https://ec.europa.eu/health/sites/health/files/ehealth/docs/trust-framework_interoperability_certificates_en.pdf) unter Punkt 2.3 „ID binding and verification“ steht hingegen:

      → „The recommended methods for performing ID binding and verification employ nationally issued identity proof documents, such as national IDs and passports. Such identity proof documents should be presented at the time of issuance (ID binding) and verification (ID verification) of the certificate and therein personally identifying information should be compared against the information in the certificate.“

      Der Prozess für „ID verification“ scheint noch offen, wie in den „Leitlinien“ (Release 2, 2021-03-12, auch „basic interoperability elements“ genannt, https://ec.europa.eu/health/sites/health/files/ehealth/docs/vaccination-proof_interoperability-guidelines_en.pdf) klar wird. Unter Punkt 3.3 „Trust framework“ steht:

      → „Depending on the medium (i.e. paper, paper with digital elements such as QR-codes, or purely digital), verification scenarios and protocols will differ. Details of these protocols will need to be elaborated as part of ongoing technical design work, also in line with global initiatives.“

      Im Gegensatz zum „Vorschlag für eine Verordnung“ ist in den „Leitlinien“ auch ein „Person identifier“ als optionaler Teil des „Minimum dataset for proof of vaccination“ im Anhang 1 aufgeführt:

      → „Examples: citizen ID card or identifier
      within the health system/IIS/e-registry.“

      Eine Mitführ-Pflicht für Personalausweis/Reisepass ist somit angedacht. In diesem Punkt wird sich das „Digitale grüne Zertifikat“ de facto auch klar vom Internationalen Impfausweis unterscheiden, wie die EU in den „Leitlinien“ unter Punkt 2 gleich selbst zugibt: „The International Certificate of Vaccination or Prophylaxis (Carte-Jaune) has traditionally been a paper document, which was often simply presented in situ, occasionally along with the presentation of a passport.“

    3. Ich find’s jetzt nicht so schlimm, dass man immer zusätzlichen auch noch den Personalausweis braucht. Ich hab mir die verlinkte Seite der EU mal genauer angeschaut, und es scheint bei diesem „Grünen Nachweis“ hauptsächlich darum zu gehen die Personenfreizügigkeit – auch innerhalb Europas – wieder herzustellen. Und da muss ich doch schon jetzt trotz Schenger immer den Perso dabei haben. Um Konzert/Stadion/Restaurantbesuche geht es gar nicht.

      1. Im „Entwurf eines Vertrauensrahmens“ (V.1.0, 2021-03-12, https://ec.europa.eu/health/sites/health/files/ehealth/docs/trust-framework_interoperability_certificates_en.pdf) unter Punkt 2.1 „Main design principles and business requirements“ steht:

        → „The trust framework architecture should be modular and easily scalable, for instance, to
        additional usage scenarios, use cases and types of certificates. […] examples
        of other use cases that could be supported are travel or (participation in) leisure activities
        (i.e. proof of vaccination for non-health-related purposes in domestic or international
        settings).“

        Es geht also sehr wohl auch um Freizeitaktivitäten im Inland.

  2. Meine Erfahrung ist: die einfachste Methode ist oft auch die Beste. Und das ist die Papierform. Die wird bei Bedarf zu Hause kopiert, eingescannt und aufs Mobi kopiert. Alles andere ist aufwändig, sündhaft teuer, und für viele gar nicht geeignet, da das Mobi fehlt oder die Software nicht mit dem OS kompatibel ist.

    Wie kann man nur auf die wahnwitzige Idee kommen, für alle Bürger einen riesigen Müllberg mit Personenkennziffer anzulegen, für den man dann trotzdem noch ein Ausweisdokument (PA) benötigt. Da reicht doch einfach der Internationale Impfpass mit notfalls eingelegtem Faltblatt, falls die Einträge mal zu viel werden. Ganz ohne Strom, Datenberge und den ganzen technischen Schnickschnack.

    Passiert mit dem Handy irgendetwas oder klemmt irgendwo eine Verbindung, steht man nackt da und hat noch nicht mal ein Stück Papier in der Hand. Wer es denn unbedingt elekronisch mag, kann es zusätzlich fotografieren und/oder einscannen. Eine Sicherungskopie von Ausweisdokumenten ist sowieso ratsam.

    Will man unbedingt den Papierkram vermeiden, kann man ja wieder die PKZ auf den Unterarm tätowieren, und spart sich damit alle Pässe, Zertifikate, Zeugnisse und Führerscheine. Dann liegt das ganze Leben aller irgendwo auf fremden Rechnern, bis irgendwer wieder auf eine ganz dumme Idee kommt. Die PKZ lässt sich nämlich auch einscannen und mit dem Datenbestand überprüfen, ob man auch hübsch artig war.

    1. Ich glaube auch das die Papierform eigentlich das non plus Ultra ist. Die Gefahr des Technik Versagens besteht immer und dann steht man ziemlich dumm in der Gegend rum. Was den Usus betrifft überall eine Telefonnummer angeben zu müssen, am besten eine Handynummer, habe ich sehr einfach gelöst. Sie bekommen immer die Nummer der SIM Karte die in meiner Webasto Standheizung steckt. Viel Spaß dann beim anrufen.

  3. Aus dem Artikel:
    „keine Voraussetzung für die Bewegungsfreiheit sein und niemanden diskriminieren“, sagte EU-Kommissar Didier Reynders.

    Jedesmal, wenn heutzutage etwas ausschließlich über Smartphone-Apps gelöst wird, dann fühle ich mich ehrlich gesagt diskriminiert. Ich nehme gerne ein paar Nachteile hin, aber irgendwann, das sehe ich für die Zukunft jedenfalls, wird es einen Fall geben wo es mich hart treffen wird, als jemand der weder das Geld noch den Wunsch hat ein Smartphone zu besitzen. Deshalb glaube ich auch der Aussage Reynders‘ nicht.

    Z.b. habe ich mich in Bayern für einen Impf-Termin angemeldet. Ich werde zwar noch vermutlich Monate warten müssen, bis ich benachrichtigt werde, aber das Online Formular für die Anmeldung erfordert zwingend ein Smartphone für den Abschluss. Glücklicherweise konnte ich die Anmeldung auch per Telefon machen.
    Der Punkt ist aber, dass ich mir wünsche, dass wir nicht vergessen weiterhin darauf zu achten, dass wir zum Glück keine Verpflichtung zum Besitz eines Smartphones mit Vertrag haben.

    Es wäre auch schön, wenn Medien ab und zu darauf hinweisen würden. Um den Druck und die Erinnerung bei der Politik aufrecht zu erhalten.

    1. „Glücklicherweise konnte ich die Anmeldung auch per Telefon machen.“

      Ich habe seit Jahren keine Telefonnummer mehr, sondern nutze zu Hause eine nur-Daten-SIM oder das WLAN des Nachbarn. Das ist immer lustig weil in vielen CRM-Systemen die Telefonnummer ein Pflichtfeld ist. ^^

  4. Die Werbung sagt: „für Reisen“

    Das wäre dann noch verschmerzbar, da ein Ausweisdokument eh Pflicht ist – also am Flughafen/Zoll.

    Aber der (gedachte?) Leak in die Privatwirtschaft geht nicht – da muss etwas intelligenteres hin (ID, temporäre ID, IDK).

  5. Die (digitalen) deutschen Gesundgeitsheilbringer sind auch schon da:
    https://gesund.bund.de/elektronischer-impfpass
    „… Ab 2022 können Versicherte den elektronischen Impfpass als Teil der elektronischen Patientenakte verwenden.
    Inhaltlich gleicht der E-Impfpass dem bisherigen gelben Papierheft.
    Er bietet jedoch einen besseren Überblick für Patientinnen und Patienten, wann sie sich das nächste Mal impfen lassen sollten, und vereinfacht eine vollständige Impfung.
    Auch automatische Erinnerungen werden mit der digitalen Version möglich.
    Da der E-Impfpass in der ePA gespeichert ist, können Sie ihn nicht mehr zu Hause vergessen.
    Die Nutzung ist, wie auch bei der elektronischen Patientenakte, freiwillig….“

    Na klar, wie immer alles „freiwillig“…

    Warum das aber nicht in die Corona-Warnapp integriert wird, frage ich mich allerdings auch.

Ergänzung an Anonymous Ergänzung abbrechen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.