Datenschützer über digitalen Impfpass: „Kein Ticket ins normale Leben“
Die EU-Kommission glaubt, durch den digitalen Impfpass einen Weg zurück in die Normalität zu finden. Datenschutzexperte Thomas Lohninger widerspricht.
taz: Herr Lohninger, die EU-Kommission will an diesem Mittwoch ein Konzept für einen digitalen Impfpass vorlegen. Brauchen wir den?
Thomas Lohninger: Nein, den brauchen wir nicht. Schließlich haben wir jetzt schon den gelben Impfpass der WHO. Der ist billig, überall verfügbar, international anerkannt und einfach zu verwenden. Man braucht weder Internet noch Strom, um ihn zu nutzen und damit ist er sehr viel praktikabler als alle technischen Varianten. Mit diesem System könnte man heute starten.
Und er ist überhaupt nicht fälschungssicher. Da kann man sich mit wenig Mühe selbst eine Corona-Impfung reinschreiben oder einfach einen anderen Nachnamen vorne drauf und das Heft weitergeben.
Das stimmt, aber daran lässt sich arbeiten. Zu Beispiel mit Hologrammstickern, die würden eine höhere Fälschungssicherheit bieten als die einfachen Impfaufkleber, die es jetzt gibt.
Auch die lassen sich ablösen…
Man kann noch einen Schritt weitergehen und den Namen des oder der Geimpften in dieses Hologramm integrieren. Da gibt es Möglichkeiten, den Schutz zu steigern. Allerdings: Wenn man es wirklich will, lässt sich jedes System überlisten. Nicht zuletzt, weil es bei vielen Örtlichkeiten wie Restaurants oder Friseursalons ja derzeit keine Routine der Ausweiskontrolle gibt. Die braucht man aber, denn egal ob digital oder auf Papier: Die Person mit dem Impfpass muss ja immer beweisen, dass der zu ihr gehört.
34, ist IT- und Datenschutzexperte sowie Geschäftsführer der netzpolitischen Bürgerrechtsorganisation epicenter.works in Wien.
Was befürchten Sie bei einer digitalen Variante?
Wenn Menschen sich mit einem digitalen Impfpass bei Bars oder Geschäften oder wo auch immer ausweisen, dann greifen diese auf die persönlichen Daten zu. Ich sehe die große Gefahr, dass damit Begehrlichkeiten entstehen: Die Betreiber:innen könnten die Daten speichern und sammeln und für andere Zwecke weiterverwenden. Werbung zum Beispiel. Bei einem papiergebundenen System wäre das deutlich aufwendiger – wenn da jemand den Impfpass scannen wollte, würde das schon auffallen.
Unternehmen wie Microsoft, Oracle und Salesforce arbeiten schon an digitalen Impfausweisen – die Industrie geht also davon aus, dass es einen Bedarf geben wird. Wäre es nicht besser, da gäbe es eine europäische, privatsphärenfreundliche Alternative, und sei sie staatlich?
Natürlich müssen Modelle, die hier eingesetzt werden, den hiesigen Datenschutzstandards genügen. Das heißt zum Beispiel: Privacy bei Design, also eingebauter Datenschutz. Aber man darf nicht vergessen: Die Wirtschaft hat ein großes Interesse an einem digitalen Impfpass und daran, ihn bald zu haben. Zum Beispiel die Fluglinien. Die IATA, der Weltverband der Airlines, arbeitet schon daran. Das Problem ist: Was es jetzt gibt, sind vor allem privatsphärenfeindliche Konzepte. Wenn es also so schnell gehen soll, wie die EU-Kommission das will, werden diese die erste Wahl sein.
Gerade ist EU-weit unter anderem folgendes Modell in der Diskussion: Geimpfte werden in einer zentralen Datenbank eingetragen. Für den Nachweis der Impfung haben sie einen QR-Code auf Papier oder auf dem Smartphone. Durch das Scannen des Codes lässt sich nachschauen, ob die Person, die sich hier ausweist, in der Impf-Datenbank steht.
Ja, so eine zentrale Speicherung ist ein großes Problem. Da werden zentrale Datenbanken mit Identitätsdaten inklusive Gesundheitsdaten aufgebaut. Viele Geschäfte und Firmen sollen Zugriff auf dieses System bekommen, und wenn die Architektur nicht extrem sorgsam gebaut ist, weiß eine zentrale Stelle über jeden Bar- oder Kinobesuch Bescheid. Wer nicht an diesem System teilnimmt, ist de facto vom gesellschaftlichen Leben ausgeschlossen und hat Probleme zu Reisen.
Die Datenschutz-Grundverordnung schreibt Privacy by Design vor. Wären denn Modelle mit einer solchen zentralen Speicherung überhaupt rechtmäßig?
Die Datenschutz-Grundverordnung erlaubt für Epidemien schon deutlich mehr als sonst. Insofern gehe ich davon aus, dass Klagen dagegen nicht viel bringen würden.
Und was ist mit Modellen, bei denen meine Daten nur bei mir selbst liegen, etwa auf einer Karte oder dem Smartphone? So ein System soll es in Deutschland geben. Wäre das vertretbar?
Es wäre zumindest besser. Aber auch hier bleibt die Zeitkomponente: Wenn man das Impfen deutlich beschleunigen würde, dann bräuchte es einen solchen Impfpass vermutlich nicht mehr. Weil dann die Einschränkungen für alle aufgehoben werden könnten. Umgekehrt wird es schwierig, ein digitales System nach der Pandemie wieder los zu werden, es könnte uns bleiben. In der ganzen Debatte werden zwei Sachen vermischt: Nicht der digitale Impfpass ist das Ticket für ein normales Leben. Sondern die Impfungen.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Anschlag in Magdeburg
Vorsicht mit psychopathologischen Deutungen
Kochen für die Familie
Gegessen wird, was auf den Tisch kommt
Angriffe auf Neonazis in Budapest
Ungarn liefert weiteres Mitglied um Lina E. aus
Insolventer Flugtaxi-Entwickler
Lilium findet doch noch Käufer
Polizeigewalt gegen Geflüchtete
An der Hamburger Hafenkante sitzt die Dienstwaffe locker
Lohneinbußen für Volkswagen-Manager
Der Witz des VW-Vorstands