Update der Corona-Warn-AppNeue Impfstatus-Prüfung auf Kosten der Anonymität

Demnächst sollen Nutzer:innen der Corona-Warn-App ihre Impfzertifikate schon beim Kauf eines Tickets prüfen lassen können. Das ist praktisch, aber bricht mit dem Konzept der anonymen Nutzung. Datenschützer warnen davor, dass personalisierte Tickets auch nach der Pandemie Standard bleiben.

Können wir in Zukunft noch anonym zu Konzerten gehen? (Symbolbild) Gemeinfrei-ähnlich freigegeben durch unsplash.com Yvette de Wit

Mit einem neuen Feature in der Corona-Warn-App (CWA) sollen Nutzer:innen ihre Impf- oder Testzertifikate schon beim Kauf eines Tickets oder vor Besuch einer Veranstaltung vorzeigen können. Das Versprechen: Mit der neuen Version 2.15 geht es bald am Einlass einer Veranstaltung oder eines Fluges schneller, weil nur noch die Identität, aber nicht mehr das Zertifikat geprüft werden muss. Das Zertifikat wird dafür von einem Dienstleister geprüft und dem Veranstalter als gültig in dessen System angezeigt.

Eigentlich soll die Dienstleistung „Validierungsdienste“ allen interessierten Anbietern offen stehen. Nach einer Prüfung durch das Gesundheitsministerium sollen Unternehmen das Feature Fluglinien, Geschäften oder Veranstaltern gegen Zahlung anbieten können, heißt es dazu im FAQ der Corona-Warn-App. Mit dem Wettbewerb wolle man eine möglichst schnelle Verbreitung unterstützen.

Doch schon die Entstehungsgeschichte des neuen Dienstes wirft Fragen auf: Die Telekom-Tochter T-Systems war als eine Entwicklerin der Corona-Warn-App schon frühzeitig über die Pläne informiert – und konnte diesen Vorteil offenbar nutzen, um vor anderen Konkurrenten einen solchen Dienst zu programmieren.

Anja Lehmann, Professorin für IT-Sicherheit und Identitätsmanagement beim Hasso-Plattner-Institut kritisiert dieses Vorgehen: „Hier hat meiner Meinung nach T-Systems eine Infrastruktur zur Pandemiebekämpfung für eigene kommerzielle Interessen ausgenutzt und von dem Vorteil profitiert, an der Entwicklung der CWA beteiligt gewesen zu sein. Das ist ja genau, was wir auch bei Luca befürchten.“ Das Feature sei zudem nicht öffentlich entwickelt und vorab kommuniziert worden.

Fraglich ist in der Sache auch die Rolle des ehemaligen Abteilungsleiters für Digitalisierung und Innovation im Gesundheitsministerium Gottfried Ludewig. Er war im Ministerium für die Entwicklung der Corona-Warn-App zuständig und wechselt nun nach Informationen von Kontraste zu einer Tochterfirma der Telekom.

„Schadet dem Ruf der Corona-Warn-App“

Unabhängig von diesen Entwicklungen im Hintergrund könnte das neue Feature aber auch auf anderen Wegen das Vertrauen in die Corona-Warn-App beschädigen. Populär geworden war die CWA ursprünglich vor allem, weil ihre Architektur die Anonymität der Nutzer:innen gewährleistet. Laut dem FAQ würden die Daten auf den Servern der Validierungsdienste nicht aufgehoben. Die Prüfung finde „on-the-fly im Arbeitsspeicher des Servers“ statt, Informationen zu den Zertifikaten oder andere persönliche Daten würden nicht gespeichert. Auch müssen die Nutzer:innen erst explizit einwilligen, bevor die Prüfung ihres Zertifikates beim Ticketkauf stattfindet.

Doch das Versprechen, dass keine persönlichen Daten die App verlassen, sei nun gebrochen, sagt Anja Lehmann. Schließlich würden für die Validierung Impf- und Testnachweise an einen externen Dienstleister geschickt. Damit sei dem Validierungsdienst auch bekannt, bei welchem Dienstleister eine Person ein Ticket kauft.

„Solche Aktionen schaden dem Ruf der CWA, was natürlich sehr schade ist, da die Kritik nur einen kleinen Teil der App betrifft“, so Lehmann. Hier wäre eine transparente Entwicklung besonders wichtig gewesen.

Eigentlich sinnvoll

Dabei findet Lehmann das neue Feature eigentlich sinnvoll. Denn die aktuelle Situation, dass man sein vollständiges Impfzertifikat an verschiedenste Seiten hochladen oder per Screenshot verschicken muss, sei auch keine vernünftige Lösung. Das größte technische Problem am Feature sei, dass Kontextinformationen bei einem zentralen Anbieter anfallen – also die Informationen, wer wann und wo Tickets bucht. „Das wäre für den Dienst aber nicht notwendig, hier gibt es bessere Ansätze“, sagt Lehmann.

Eine grundsätzlich bessere Lösung seien „anonymous credentials“. Bei diesen könnten die Nutzer:innen etwa bei jedem Vorzeigen selbst entscheiden, welche der Informationen sie offenbaren möchten. Aber selbst mit den aktuellen Zertifikaten könnte man bessere Lösungen bauen, welche ohne die Kontextinformationen auskommen, die aktuell bei T-Systems anfallen, so Lehmann weiter.

„Trend personalisierter Tickets wird zementiert“

Ein weiteres Problem: Das System begünstigt, dass Menschen Tickets für alle möglichen Anwendungen schon vor dem Besuch kaufen müssen, weil die jeweiligen Veranstalter:innen sich davon Erleichterungen beim Einlass versprechen. Die anonyme Abendkasse, an der kurz auf den Personalausweis und das Impfzertifikat geschaut, aber nichts gespeichert wird, dürfte damit noch mehr als bisher außer Mode kommen.

Die Folge ist, dass bei den Veranstalter:innen komplette Listen der Gäste vorliegen. Damit wird vorgehalten, wer bei welchem Fußballspiel, Konzert oder Kinofilm war. Das Verfahren könnte den anhaltenden Trend personalisierter Tickets auch nach der Pandemie zementieren, befürchtet Linus Neumann, Sprecher des Chaos Computer Clubs im Podcast Logbuch:Netzpolitik.

„Wenn wir überall namentlich erfasst werden, dann weckt das Begehrlichkeiten“, sagt Neumann gegenüber netzpolitik.org. Gerade habe man das an der Nutzung von Luca-Daten durch die Polizei gesehen. „Solche Szenarien werden wir häufiger haben, je mehr die Teilnahme am Leben personalisiert gespeichert wird.“ Anbieter:innen und Veranstalter:innen, die bisher kein personalisiertes Ticketing haben, sollten es auch nicht einführen. Zudem müsse es immer auch möglich sein, ohne die Nutzung eines Validierungsdienstes Einlass zu erhalten. „Sonst verschwindet das nach der Pandemie nicht mehr.“

Mehr Zeit für kritische Berichterstattung

Ihr kennt es: Zum Jahresende stehen wir traditionell vor einer sehr großen Finanzierungslücke und auch wenn die Planung und Umsetzung unseres Spendenendspurts viel Spaß macht, bindet es doch sehr viele Ressourcen; Ressourcen, die an anderer Stelle für unsere wichtige Arbeit fehlen. Um Euch also weniger mit Spendenaufrufen auf die Nerven zu gehen und mehr Recherchen und Hintergründe bieten zu können, brauchen wir Eure regelmäßige Unterstützung.

Jährlich eine Stunde netzpolitik.org finanzieren

Das Jahr hat 8.760 Stunden. Das sind 8.760 Stunden freier Zugang zu kritischer Berichterstattung und wichtigen Fragestellungen rund um Internet, Gesellschaft und Politik bei netzpolitik.org.

Werde Teil unserer Unterstützungs-Community und finanziere jährlich eine von 8.760 Stunden netzpolitik.org oder eben fünf Minuten im Monat.

Jetzt spenden


Jetzt spenden

29 Ergänzungen

      1. Das war jetzt die Zukunftskolportation, zu vergleichen vielleicht mit den Datenschutzeinstellungen der Big Tech.
        Die CWA kommt zwar von der guten Seite, die Techkonzerne haben aber bei jeder Gesetzeslage immer wieder mehr verworrenere unterseiten eingefügt, zuzüglich sich zurücksetzender Voreinstellungen. Eine „no shit in general“ Einstellung bietet keiner.

        Entspricht also der Befürchtung, dass jetzt alles mögliche Paradigmenbrechende dazukommt, am Besten abwechselnd in der GUI, usw. Kommt hoffentlich bzw. wohl nicht so.

      2. Wobei „dass Veranstalter:innen aus Bequemlichkeit eine Nutzung des Features obligatorisch machen könnten.“ das Problem ja im Grunde darstellt.

        Defaults sind wichtig, aber der gesellschaftliche Default zählt halt mit. Wenn es jetzt am Besten noch Alternativwege für bestehende Funktionen gibt, und noch mehr optionale Features mit Daten, kann das leicht mal wieder überfordernd werden.

        1. Also ich glaube nicht dass Veranstalter die persönlichen Daten aus „Bequemlichkeit“ haben wollen. Das ist einfach Gier.
          Sie wollen mit den personalisierten Tickets den Schwarzmarkt veröden.
          Wenn ein Fan 200 Euro frei für sein Hobby hat, kann er genau ein 50-Euro Ticket auf dem Schwarzmarkt kaufen, der Veranstalter sieht alsi nur 50 Euro, obwohl der Fan ihm 200 zahlen könnte bei allen 4 Konzerten.
          Das wäre nicht nötig, wenn man nicht den kauf per Internet aus Bequemlichkeit hätte.

          Natürlich wollen sie auch die Kosten für Wach Personal sparen, und die Fans trennen können und hausverbote durchsetzen.

          Inzwischen hat die Post sogar die normalen Briefmarken personalisiert(dieser Grissel Code ist über Zeit und Raum eindeutig und hat natürlich gespeichert wann und wo der verkauft wurde, online sogar mit Namen. Daran stört sich ja auch keiner mehr..

          1. Vielleicht habe ich mich da verrannt, aber ist oben nicht die Rede von Bequemlichkeit, im Sinne des Gebrauchs des Hausrechtes, bestimmte optionale Funktionen der CWA oder Nachweise zu verlangen.

            Dass Tickets personalisiert werden ist eigentlich eine extra Schiene, obwohl nicht auszuschließen ist, dass einige dass auch noch „konvenienterweise“ vermischen, was dann allerdings ein Grau- bis Schwarzdatenmarkt wäre, da das nicht legal sein dürfte. Zum Ticket gilt doch bereits, seine Identität zu belegen, oder nicht?

    1. Android/F-Droid: „FOSS-Fork der offiziellen Corona-Warn-App (CWA) der deutschen Bundesregierung. Sie nutzt eine freie Re-Implementierung der proprietären Komponenten aus dem microg-Projekt. CCTG ist vollständig kompatibel mit dem offiziellen System, inklusive Senden und Empfangen von Kontaktverfolgungsdaten sowie Abrufen und Einstellen von Test-Ergebnissen.“ https://f-droid.org/app/de.corona.tracing

  1. Tja, wer hätte das auch nur erahnen können…

    Wenn man seit der Einführung der CWA davor gewarnt hat, dass damit eine Überwachungsinfrastruktur etabliert werden könnte, hieß es vorschnell – auch von Menschen aus der Datenschutz- und Netzaktivismus-Bubble – dass solche Sorgen völlig daneben seien, denn der Datenschutz der CWA sei ja super und alles unbedenklich. Dass damit irgendwann auch „Function Creep“, Kommerzialisierung und Gewöhnungseffekte einhergehen können, wurde und wird getrost von vielen ignoriert oder in einem falschen moralischen Argument à la „es ist doch aber für die Gesundheit“ oder auch mit den Klassiker“ich habe doch nichts zu verbergen“ beschönigt. Als wäre das alles alternativlos… was es ja nicht ist!

    Ähnlich verhält es sich übrigens beim digitalen Impfausweis/HealthPassport. Wenn man dort vor den Folgen warnt und das Ding trotz aktueller Impfung nicht verwenden will (sondern lieber den Papierausweis), wird man erschreckend schnell als paranoide*r Schwurbler*in oder sogar als Querdenker*in und Coronaleugner*in bezeichnet Eine rationale Kritik und Auseinandersetzung zu Function Creep usw. ist dann unmöglich.

    Sehr traurig jedenfalls. Es bleibt eine kleine Hoffnung, dass Menschen, die die CWA in den letzten Jahren so vorbehaltslos verteidigt und beworben haben, sich zumindest für die Zukunft etwas (selbst)kritischer mit der eigentlichen Problematik auseinandersetzen und nicht nur die Datenschutzaspekte bei Einführung betrachten. Digitale Überwachung und Kontrolle sind keine rein technischen und statischen Angelegenheiten sondern immer gesellschaftliche Entwicklungen mit lang- und mittelfristigen Folgen.

    1. Die App schickt nicht ohne Zutun der Nutzer:innen diese Daten zur Validieren hinaus. Das Problem liegt mehr darin, dass Veranstalter:innen aus Bequemlichkeit eine Nutzung des Features obligatorisch machen könnten. Das muss klar geregelt werden, dass so etwas nicht zur Pflicht wird und man weiterhin mit Personalausweis und Papierzertifikat zu Veranstaltungen kann. Das fordert ja Linus Neumann vom CCC im Artikel und das ist m.E. sehr sinnvoll.

      1. Es bleibt hier die Frage nach der Freiwilligkeit und was das bedeutet:

        Die Nutzung der CWA ist de jure nicht verpflichtend. Faktisch wird es jedoch immer schwieriger, ihr aus dem Weg zu gehen, wenn der Impfstatus bei 2G, 2G+ und zukünftig auch der Genesenenstatus in den Bundesländern nur noch digital erfolgen darf. Dafür wird von offiziellen Seiten, von vielen Medien aber auch von Netzaktivist*innen und Datenschützer*innen die CWA empfohlen und zu Recht wird von den beiden letzteren darauf hingewiesen, dass die CWA in vielen Funktionen die unbedenkliche(re) Alternative zu Luca ist.

        Auch wenn die CWA ohne das Zutun ihrer Nutzer*innen nichts schlimmes macht, ist hier doch aber ganz klar ein Nudging zum permanenten digitalen Ausweisen und einer hemmschwellenfreien Datenherausgabe zu erkennen. Und ja, dann liegt es natürlich trotzdem noch an den Nutzer*innen, ob sie undurchdacht und ohne Notwendigkeit darüber hinaus noch weitere Daten herausgeben und Zusatzangebote nutzen. Von dieser Verantwortung sollte man sie nicht freisprechen.

        Gleichzeitig schwindet aber einfach die Problemwahrnehmung für solche nachlässigen Praktiken. Digitale Kontrollen im öffentlichen Raum sind längst alltäglich geworden/normalisiert und analoge, datensparsamere Alternativen werden zunehmend verdrängt – das passiert nicht per Gesetz oder durch das aktive Handeln nur einer Seite mit böser Absicht. Aber es folgt aus der „Logik“ von Markt und Bequemlichkeit. Es gibt genügend Nudges und „Push-Faktoren“, die eine strukturelle Umgestaltung und gesellschaftliche Normalisierung für die nachlässige Datenherausgabe begünstigen. Hier ausschließlich den Nutzer*innen die Verantwortung zu geben, wäre dann auch eine verkürzte Auseinandersetzung mit der Problematik.

        Genau zu diesen Entwicklungen haben die Tracing- und Covid-Passport-Apps ganz stark beigetragen. Und es gab leider nur wenige Stimmen aus dem Netzaktivismus, die früh genau davor gewarnt haben (das FIfF in seiner DSFA und Digitalcourage in einem Statement aus dem Frühsommer 2020 sind die einzigen, die mir für DE gerade einfallen). Bei vielen anderen, einschließlich des CCCs und seiner Sympathisant*innen, lag bei der Einführung der Apps die Ausgestaltung technischer Details und des Datenschutzes im Schwerpunkt der Kritik.

        Das finde ich umso überraschender, da diese sonst sehr wachsamen Seiten auch mitbekommen haben und wissen, wie einmal eingeführte Überwachungstechnologien immer weiter ausgebaut werden und wie schnell sich Function Creeps etablieren dank eifriger Innenminister*innen und den Lobbies des Überwachungskapitalismus (Digitalkonzerne). Die Kritik hätte also von Anfang an und in aller Deutlichkeit an der Struktur selbst und nicht an den Details erfolgen müssen und sie darf auch nicht nur (muss aber auch) die Nutzer*innen in der Verantwortung sehen.

        1. „Bei vielen anderen, einschließlich des CCCs und seiner Sympathisant*innen, lag bei der Einführung der Apps die Ausgestaltung technischer Details und des Datenschutzes im Schwerpunkt der Kritik. “

          Habe jetzt kein Zitat, außer von mir, aber es gab schon ganz am Anfang die Fragen, wenn es auch nicht so sehr aufgebauscht wurde, u.a. kam der Zugriff auf handgeschriebene Gästelisten durch die Polizei schon sehr früh dran. „Kein rechtlicher Regelungsbedarf“ o.ä. war die Antwort schon ganz am Anfang, dazu dann „Hausrecht“ usw.

          Jetzt lassen die sich schon QR und Ausweis oder Führerschein zeigen… da ist zwar nur die Hälfte digital, aber das ist auch ein wesentliches Problem, gegenüber allerlei Entitäten zum Striptease gezwungen zu werden. Und das ist ja nicht mal für umsonst :), wo das Argument mal ist „Du willst es umsonst oder bequem? Dann gib halt deine Daten! Für die Wahlmanipulation u.ä. können sich dann ja andere bedanken. Ach so, die Daten über dein Umfeld hätten wir auch noch gerne: Kontakte, Sachen die dir aufgefallen sind, Nachbarn, usw. schön immer Wackelbilder posten und alles gerne immer online beschreiben. Dafür gibt es auch Likes und andere Idioten, die mitmachen und dich darin bestärken. Wenn du andere unter Druck setzt, mitzumachen, z.B. durch Ausgrenzung, dann wird es sogar noch besser.“.

          Jetzt habe ich den Faden verloren.

      2. Das ist durchaus auch schon passiert, dass sowas zur Pflicht wird. Gibt Veranstaltungen, wo man ohne Handy garnicht mehr reinkommt:
        Impfausweis geht nicht, weil ist ja nicht digital (untersagt das Gesetz tatsächlich).
        Ausgedruckter QR-Code geht nicht, weil da steht das Impfdatum ja nicht dran (Aber dann bräuchte ich einen Test. Den ich ohne Handy auch nicht bequem kriege).
        Ausgedruckter Screenshot von der App geht nicht, weil kannst du ja irgendwas reingeshoppt haben.
        Dass ich auf meinem Handy auch alles anzeigen kann, scheint egal zu sein.

        Ich weiß nicht, an welcher Stelle in der Kommunikation von Gesetzgeber zu Einlasskontrolleur da was kaputt gegangen ist und ich unterstelle tatsächlich niemandem böse Absicht. Aber das Ergebnis ist offensichtlicher Bockmist.

        1. Das ist so nicht richtig. Ausgedruckter QR-Code mit Impfausweis (gelbes Heft) geht sehr wohl. Wenn eine Testpflicht besteht, ist das natürlich was anderes.

          1. Das hilft dir aber nicht, wenn du damit trotzdem nicht reingelassen wirst.

            Ich habe gerade auch nochmal in die Corona-Verordnung (BW) geguckt. Da ist geregelt, dass nur digitale Impfnachweise gelten (Wenn ich das richtig verstehe ist das gelbe Heft auch ein Impfnachweis, man kann ihn aber nicht regelkonform kontrollieren. wtf?).

            Und die Check-App sagt mir nicht das Datum der letzten Impfung, was aber manchmal relevant sein kann. Weshalb ich einen zusätzlichen Nachweis brauche, was in meiner Erfahrung durch „zeig mal das Datum bei dir in der App“ gelöst wird. Ohne eine Alternative anzubieten oder zu akzeptieren. Was der Punkt ist, den ich eigentlich machen wollte. ^^
            Bzw, die Alternative ist, einen aktuellen Test mitzubringen. Aber um den nachzuweisen brauche ich im Wesentlichen auch mein Handy. Plus ich werde schief angeguckt (aha, noch nicht geboostert?).

            Ich lese aus der Verordnung jetzt nicht raus, dass ich das Datum der Impfung (oder irgendetwas anderes) auch mit dem gelben Heft nachweisen kann.

            Sry, mit „Gesetz“ meinte ich oben, welche Regeln auch immer gerade bei mir lokal gelten. Also im wesentlichen die Baden-Württembergische Coronaverordnung. Vermute ich :>

          2. Ich hab auch schon so einige Diskussionen hinter mir, ich versteh Dich schon. Ich hab mir die heutige BW-Verordnung grade mal angesehen, sie unterscheidet sich in dieser Frage wohl nicht von der Berliner Regelung. Als digitaler Impfnachweis gilt also auch der QR-Code in ausgedruckter Form, das gelbe Heft kann dann die seit der Impfung vergangenen Monate nachweisen (drei Monate in BW, wenn ich das recht verstanden habe).

            Ich gebe Dir insofern recht, dass es Geimpften ohne Smartphone nicht gerade leicht gemacht wird.

        2. Einfache Absicht tut es doch schon. Es hieß am ersten Tage bereits, das Gesetz sei doch noch gut, und bei Unternehmen gelte eben nun mal deren Hausrecht, mit Ausnahme des täglichen Bedarfs.

          Das ist explizit so kommuniziert worden. Ob damals der Odysseus vorbeigeschaut hatte, als das so erörtert wurde, und die Leute mit einer Armee an Tricks gezwungen hat, oder ob die Entscheidung im vollen Bewusstsein und mit Absicht so gefallen bzw. dort verblieben ist, werden wir wohl nie erfahren, es sei denn…

          1. Ich meine zu erinnern, dass bereits sehr früh ziemlich explizit nach Zugriff durch die Polizei gefragt wurde, bevor es passiert ist bzw. bekannt geworden war, und die Antwort fasz wörtlich aus nicht vorhandenem gesetzlichen Regelungsbedarf o.ä. bestand, aus der Sicht der Regierung selbstredend.

            Das und die Vorgänge um die EU-Urheberrechtsreform zeigen schon ein bischen den Vorgeschmack auf „das eine sagen, das andere tun“.

      3. Ich muß jetzt aber der App die Rechte geben beliebige Server konnectieren zu dürfen.
        Vorher hat die App immer nur mit genau einem Server kontakt halten müssen, um zu meinem Schutz, nach sehen zukönnen ob ein Infizierter in meiner Nähe war.

        Das ist so ungefähr wie der das ignorieren des Unterschies wie hier:
        „Stell Dich doch nicht so an, die paar Daten zu Volkszählung anzugeben. Bei Facebook schreibst Du doch noch mehr“

        1. Und bitte noch allgemein mal so Dateizugriff.
          Statt email mit Inhalt und Rückfrage doch gleich lieber die ganze Funktion mit Inhalte lesen usw.
          Statt „gib mir einen Kontakt, bzw. nur die Email oder wieviel du in diesem Moment geben willst“ eben kompletter Adressbuchzugriff.
          Intellektuell ist die da mitmachende Entwicklerwelt da bankrott, Dank der Eisenbahn!

          Was man nicht alles gewohnt sein würde…

  2. Die CWA wurde als anonyme App konzipiert, die die Bluetoothfunktion automatisch nutzt, sobald BT eingeschaltet ist. Genau dabei sollte es auch bleiben. Mein personifiziertes, digitales Impfzertifikat habe ich in der CovPass-App.
    Herrje, was ist an dieser sinnvollen Trennung so schwer zu verstehen? Meinetwegen soll die Telekom ein Validation-Center betreiben, das auf die CovPass-App zugreift. Aber so verliere ich das Vertrauen in die CWA und werde sie bald deinstallieren. Ich bin geboostert, Omikron ist halb so schlimm wie Delta und die Grundidee, dass sich 90% der Bevölkerung die CWA installiert wurde (durch die Bevölkerung) eh nie umgesetzt. CWA ist im Vergleich zu den ursprünglichen Erwartungen gescheitert.
    Impfen als solidarisches Beschützen, der nicht-impfbaren Mitmenschen ist ebenfalls gescheitert. Schütze sich jeder, der kann, selbst!
    Solange es keinen Impfstoff für 0-5Jährige gibt ist ein Herauszögern der Durchsuchung in dieser Altersgruppe eine Sisyphusaufgabe. 5 Jahre lang sich nicht mit Corona zu infizieren ist unmöglich. Es ist aber auch eher für die Eltern als für die kindlichen Indexpatienten gefährlich.
    Und wer heutzutage zwischen 6 und 99 Jahre alt ist und noch immer ungeimpft ist, hat Probleme zwischen den Ohren. Dem hilft ’ne CWA auch nicht mehr.

  3. Ich habe gar kein Smartphone – will auch keines haben.
    Darf ich ohne Smartphone dann überhaupt noch irgendwo rein?

    Habe allerdings „3 x Piks“ in einem gelben Heftchen aufzuweisen.
    Und das sind keine „Fälschungen“.

    1. In Berlin geht es ohne Smartphone, man muss aber den ausgedruckten QR-Code dabei haben, um Zutritt zu bekommen. Das gelbe Heft allein genügt hier nicht mehr. (Soweit ich weiß, ist das in den Bundesländern verschieden geregelt.)

    2. So ziemlich jede Einrichtung achtet auf den QR code, nicht das Medium d.h. ein Ausdruck ist baugleich. Ich hab‘ eine Apothekerin in der Familie, die gibt die Immunkarte (.de) aus, QR code laminiert (Werbung: „Die Immunkarte® lässt Dich auch in einer aufregenden Partynacht oder auf einer langen Reise, in der Dein Handyakku sich schon lange verabschiedet hat, nicht im Stich.“)

    3. An unserer Uni lief der Sicherheitsdienst rum und wollte den Impf-QR-Code auf Papier nicht akzeptieren. Bei Leuten mit Smartphone wurde dann aber nichtmal mit eigener CovPassCheck-App überprüft. Die haben wohl einiges nicht verstanden.

      Ist jetzt nur eine Anekdote. Aber könnte mir vorstellen dass das öfter vorkommt. Man sollte vielleicht schon das Personal schulen, damit die wissen, wie das mit den QR-Codes funktioniert. Ich muss auch jedes Mal innerlich lachen/weinen, wenn mein QR-Code mit dem bloßen Auge überprüft wird. Krasse Fähigkeiten, diese Cyborgs!

    4. Constanze hat völlig recht, jedoch habe ich mich selbst bis vor kurzem gegen den QR Code gewehrt und wurde trotzdem überall mit dem gelben Heft hinein gelassen. Ist dann wahrscheinlich Kulanz. In den Beschlüssen steht es anders.
      Habe mir jetzt letztendlich den QR Code doch ausdrucken lassen, weil ich mein schönes, 30 Jahre altes Heftchen nicht zu sehr abnutzen möchte, das fällt schon fast auseinander (und mit dem QR Code ist es halt leider wirklich ein bisschen angenehmer).

  4. >> Mit einem neuen Feature in der Corona-Warn-App (CWA) sollen Nutzer:innen ihre Impf- oder Testzertifikate schon beim Kauf eines Tickets oder vor Besuch einer Veranstaltung vorzeigen können. <<

    Ein weiteres Bit für digitales Fingerprinting und kommerzielles Profiling. Es könnte auch als implizites negativ Tagging genutzt werden: Kein Corona-Leugner, kein Esoteriker, kein Querdenker.

  5. Reicht es nicht, das die App einen gesalzenen Hash bekommt der die Echtheit des Cert bestätigt, dann dazu den gesalzenen Hash der AusweisID?
    (so mal ganz einfach, als Ansatz gedacht).
    Vor Ort würde das Handy dem hash des Ausweises ausgeben.(der Veranstalter kann den ggf. Selbst nachprüfen)
    Und am Eintritt würde der dann ausgegebene Hash der Karten mit dem gespeicherten Hash verglichen.

    So muss nirgends der Name gespeichert werden, nur der Hash-wert… Und der gilt nur einmal, bei dieser Veranstaltung.

    Jedenfalls braucht man beim Fliegen ja leider seinen Namen zur Vorbeugung. Aber sonst nichts.
    Man braucht kein anderes Papier.

    Und ein Veranstalter muss ja auch nicht den Namen nebst geb. Datum und Anschrift wissen…

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.