piwik no script img

Datenschützer über digitalen Impfpass„Kein Ticket ins normale Leben“

Die EU-Kommission glaubt, durch den digitalen Impfpass einen Weg zurück in die Normalität zu finden. Datenschutzexperte Thomas Lohninger widerspricht.

Foto: Daniel Biskup
Interview von Svenja Bergt

taz: Herr Lohninger, die EU-Kommission will an diesem Mittwoch ein Konzept für einen digitalen Impfpass vorlegen. Brauchen wir den?

Thomas Lohninger: Nein, den brauchen wir nicht. Schließlich haben wir jetzt schon den gelben Impfpass der WHO. Der ist billig, überall verfügbar, international anerkannt und einfach zu verwenden. Man braucht weder Internet noch Strom, um ihn zu nutzen und damit ist er sehr viel praktikabler als alle technischen Varianten. Mit diesem System könnte man heute starten.

Und er ist überhaupt nicht fälschungssicher. Da kann man sich mit wenig Mühe selbst eine Corona-Impfung reinschreiben oder einfach einen anderen Nachnamen vorne drauf und das Heft weitergeben.

Das stimmt, aber daran lässt sich arbeiten. Zu Beispiel mit Hologrammstickern, die würden eine höhere Fälschungssicherheit bieten als die einfachen Impfaufkleber, die es jetzt gibt.

Auch die lassen sich ablösen…

Man kann noch einen Schritt weitergehen und den Namen des oder der Geimpften in dieses Hologramm integrieren. Da gibt es Möglichkeiten, den Schutz zu steigern. Allerdings: Wenn man es wirklich will, lässt sich jedes System überlisten. Nicht zuletzt, weil es bei vielen Örtlichkeiten wie Restaurants oder Friseursalons ja derzeit keine Routine der Ausweiskontrolle gibt. Die braucht man aber, denn egal ob digital oder auf Papier: Die Person mit dem Impfpass muss ja immer beweisen, dass der zu ihr gehört.

Bild: epicenter
Im Interview: Thomas Lohninger

34, ist IT- und Datenschutzexperte sowie Geschäftsführer der netzpolitischen Bürgerrechtsorganisation epicenter.works in Wien.

Was befürchten Sie bei einer digitalen Variante?

Wenn Menschen sich mit einem digitalen Impfpass bei Bars oder Geschäften oder wo auch immer ausweisen, dann greifen diese auf die persönlichen Daten zu. Ich sehe die große Gefahr, dass damit Begehrlichkeiten entstehen: Die Be­trei­be­r:in­nen könnten die Daten speichern und sammeln und für andere Zwecke weiterverwenden. Werbung zum Beispiel. Bei einem papiergebundenen System wäre das deutlich aufwendiger – wenn da jemand den Impfpass scannen wollte, würde das schon auffallen.

Unternehmen wie Microsoft, Oracle und Salesforce arbeiten schon an digitalen Impfausweisen – die Industrie geht also davon aus, dass es einen Bedarf geben wird. Wäre es nicht besser, da gäbe es eine europäische, privatsphärenfreundliche Alternative, und sei sie staatlich?

Natürlich müssen Modelle, die hier eingesetzt werden, den hiesigen Datenschutzstandards genügen. Das heißt zum Beispiel: Privacy bei Design, also eingebauter Datenschutz. Aber man darf nicht vergessen: Die Wirtschaft hat ein großes Interesse an einem digitalen Impfpass und daran, ihn bald zu haben. Zum Beispiel die Fluglinien. Die IATA, der Weltverband der Airlines, arbeitet schon daran. Das Problem ist: Was es jetzt gibt, sind vor allem privatsphärenfeindliche Konzepte. Wenn es also so schnell gehen soll, wie die EU-Kommission das will, werden diese die erste Wahl sein.

Gerade ist EU-weit unter anderem folgendes Modell in der Diskussion: Geimpfte werden in einer zentralen Datenbank eingetragen. Für den Nachweis der Impfung haben sie einen QR-Code auf Papier oder auf dem Smartphone. Durch das Scannen des Codes lässt sich nachschauen, ob die Person, die sich hier ausweist, in der Impf-Datenbank steht.

Ja, so eine zentrale Speicherung ist ein großes Problem. Da werden zentrale Datenbanken mit Identitätsdaten inklusive Gesundheitsdaten aufgebaut. Viele Geschäfte und Firmen sollen Zugriff auf dieses System bekommen, und wenn die Architektur nicht extrem sorgsam gebaut ist, weiß eine zentrale Stelle über jeden Bar- oder Kinobesuch Bescheid. Wer nicht an diesem System teilnimmt, ist de facto vom gesellschaftlichen Leben ausgeschlossen und hat Probleme zu Reisen.

Die Datenschutz-Grundverordnung schreibt Privacy by Design vor. Wären denn Modelle mit einer solchen zentralen Speicherung überhaupt rechtmäßig?

Die Datenschutz-Grundverordnung erlaubt für Epidemien schon deutlich mehr als sonst. Insofern gehe ich davon aus, dass Klagen dagegen nicht viel bringen würden.

Und was ist mit Modellen, bei denen meine Daten nur bei mir selbst liegen, etwa auf einer Karte oder dem Smartphone? So ein System soll es in Deutschland geben. Wäre das vertretbar?

Es wäre zumindest besser. Aber auch hier bleibt die Zeitkomponente: Wenn man das Impfen deutlich beschleunigen würde, dann bräuchte es einen solchen Impfpass vermutlich nicht mehr. Weil dann die Einschränkungen für alle aufgehoben werden könnten. Umgekehrt wird es schwierig, ein digitales System nach der Pandemie wieder los zu werden, es könnte uns bleiben. In der ganzen Debatte werden zwei Sachen vermischt: Nicht der digitale Impfpass ist das Ticket für ein normales Leben. Sondern die Impfungen.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Mehr zum Thema

37 Kommentare

 / 
  • Erschreckend, wie wenig IT-Verständnis bei Datenschützern herrscht.

    Als Datenschutzbeauftragter in einem IT-Unternehmen hätte ich einen ganz simplen Vorschlag:

    Man gestaltet eine App, die nichts weiter tut, als bspw. die Ausweisnummer gegen eine Datenbank abzugleichen, zurück bekommt man "ja" oder "nein". Es besteht keine Notwendigkeit, irgendeinem Restaurant oder Geschäft Adressdaten mitzuteilen. Es besteht auch keine Notwendigkeit, die Authentifizierung (bspw. Ausweisnummer) an das Unternehmen weiterzugeben, nur an die App und somit die zentrale Datenbank. Und die sollten wir aus verschiedenen Gründen ohnehin haben. Es ist peinlich und problematisch, dass ein Großteil der medizinischen Daten nur dem behandelnden Arzt bekannt sind, und im Ernstfall erst angefordert werden müssen, statt dass wichtige Informationen über bspw. Allergien im Notfall abgerufen werden können.

    Einzig und allein zwingend erforderlich ist, dass Regierungsorganisationen aufhören, personenbezogene Daten zu missbrauchen, wie es momentan bspw. mit Meldedaten passiert.

  • 4G
    4813 (Profil gelöscht)

    " Die Person mit dem Impfpass muss ja immer beweisen, dass der zu ihr gehört."

    Das wäre mit einer Smartphone App einfach . Macht jede Bank.

    Und wenn ich den gelben Lappen verliere, kann ich die Daten nie wieder zurück bekommen.

    Der Nachweis, dass man gegen Masern geimpft ist, läuft in Hessen so. Man kopiert die entsprechende Seite im Lappen und gibt die Kopie ohne Kopfbogen in Kita oder Schule ab.

    Da braucht man seine Kinder nicht impfen, ein Impfausweis für tausend reicht

  • Kann man nicht solche Plastikkarten wie bei Führerscheinen nehmen? Ausdrucken, mitnehmen fertig. Halbswegs fälschungssicher.

    • 4G
      4813 (Profil gelöscht)
      @Bunte Kuh:

      Sorry, aber den muss ich machen. Bei Plastik und ihrem Nick...



      Gelb, Plastik, Ohren...

      Wäre ja auch ein Zeichen gegen Querdenker.

  • Als ob wir jetzt alle mit dem gelben Impfausweis durch die Gegend rennen. Mir ist ehrlich gesagt egal, wer auch immer erfährt, dass ich geimpft bin oder nicht. Es geht hier nur um die Corona-Impfung. Man kann es mit dem Datenschutz auch übertreiben. Deutschland rutscht immer weiter ins Tal der Ahnungslosen hinunter. Jedes sog. "Dritte-Welt-Land" ist in Sachen Digitalisierung weiter als wir. Letzten Endes kann man es doch jedem mündigen Bürger überlassen, ob er/sie einen digitalen Impfausweis wünscht oder nicht.

    • @Jossi Blum:

      So ist es.

      Es gibt übrigens keinen einheitlichen Impfausweis im Papierform, sondern zahllose Varianten, die im Laufe der Zeit verteilt und über Jahrzehnte weitergeführt wurden. Als ich 2020 zum letzten Mal geimpft wurde, sagte der Arzt, dass er schon viele verschiedene Impfpässe gesehen habe, aber noch nie so einen wie meinen. Und das, obwohl ich immer im selben Bundesland gewohnt habe.

    • 4G
      4813 (Profil gelöscht)
      @Jossi Blum:

      👍

  • @DANIEL DROGAN

    Was ich damit sagen wollte ist, dass "die Industrie" nicht nur passiv "Bedarf sieht" und danach an Lösungen bastelt -- sondern dass sie eher aktiv hinter den Kulissen Bedarf *erzeugt*, bei den Entscheider*innen, Vulgo Politiker*innen.

    Klassische Lobbyarbeit halt. Wenn's hilft (wie man derzeit sieht, hilft's), halt auch schmutzige.

  • "Unternehmen wie Microsoft, Oracle und Salesforce arbeiten schon an digitalen Impfausweisen – die Industrie geht also davon aus, dass es einen Bedarf geben wird"

    Ihr seid süß :-)

    Die Industrie "geht" nicht "davon aus" -- sie tut was dafür!

    Wie das geht, dass könnt ihr dort sehen, wo es mal an die Oberfläche blubbert und stinkt.

    Muss ich Euch an Augustus Intelligence/Amthor erinnern? An Wirecard/Guttenberg? Ist das alles wirklich so lange her?

    Und wer hat mit Spahn wegen der (noch rechtzeitig abgewendeten) ersten Version der Covid-App gesprochen?

    Hm.

    • @tomás zerolo:

      "Und wer hat mit Spahn wegen der (noch rechtzeitig abgewendeten) ersten Version der Covid-App gesprochen?"

      Sie sind ja süß.

      Und wer war bei Spahn und hat die jetzige gescheiterte Corona-App gepuscht, die dazu beitragen sollte Menschenleben zu retten?

    • @tomás zerolo:

      Der erste Part passt irgendwie nicht zum zweiten. Einerseits glorifizieren Sie die Aktivitäten der Unternehmen als Unternehmensausrichtung mit Bewusstsein für die Bevölkerung. Andererseits kommen Sie zurück auf die Korruption zwischen Firmen und Politikern.



      Entscheiden Sie sich doch bitte. Denn der letzte Part würde besser passen zum taz-Zitat.



      Sie sehen Bedarf, mit welchem sie viel geld machen können und zusätzlich auf Daten zugreifen können....

  • @STEFAN ALBRING

    Ich sehe, Sie haben von der Materie keinen blassen Schimmer.

    Gehen Sie zurück zu Ihrem Facebook. Da muss ich Ihnen wenigstens nicht begegnen :-)

    • 0G
      06955 (Profil gelöscht)
      @tomás zerolo:

      Ich bin nicht bei Facebook. Und ich habe Ahnung von der Materie, ich kann mich damit nämlich jeden Tag herumschlagen. Vielleicht nicht Ihre übergroße Weisheit, die mir aber auch gar nicht weiterhilft. Und meinen Schüler*innen auch nicht. Den Kitas nicht. Dem Sozialleben nicht. Niemandem. Nur dem Ego einiger selbsternannter Spezialisten, die so verbohrt sind wie die katholische Kirche.

      • @06955 (Profil gelöscht):

        .



        komplett unangemessen, Ihre Aggressivität und Überheblichkeit in allen Ihren Beiträgen zu diesem Thema

  • Datenschutz ist kein Supergrundrecht, dass über dem Recht auf Leben und Gesundheit und den anderen Grundrechten thront. Und genau darum geht es: der Impfpass würde die Rücknahme der Grundrechtseinschränkungen für Geimpfte ermöglichen. Es wäre doch absurd, wenn man diese Grundrechte deswegen nicht wieder bekommt, weil der Datenschutz höher bewertet würde. Ebenso wäre es geradezu kriminell, wenn der Datenschutz verhinderte, dass zB Impfberechtigte qua Alter nicht identifiziert werden könnten, weil personenbezogene Daten wie der Geburtstag von Gesundheitsbehörden nicht verwendet werden dürften. Das kostet im Zweifel nämlich Menschenleben.

    • @Suryo:

      Daten der Menschen aus Profitgründen, wie es die großen Konzerne gerne hätten, sind in einer Krise auf der anderen Seite einfach nur Panne.



      Daher verstehe ich den Aspekt des Datenschutzes vollkommen. Ich denke mal, es ist keine Raketentechnik, wenn Konzerne auf private Daten verzichten. Sollte sogar einige Zeilen an Programmcode einsparen können.

      • @Troll Eulenspiegel:

        Es wird nur anders.

        So gibt es digitale Signaturen. Ich vereinfache das Prinzip mal:

        Angenommen, auf der Impfkarte steht:



        MEYERGEIMPFT

        So, nun zählen wir mal den Text durch: Das M ist der 13. Buchstabe, das E der 5 usw. Das addieren wir alles zusammen, da kommt 142 raus. Der Kartenausgeber kennt nun noch eine Geheimzahl, z.B die 3. Die kommt auch noch dazu, macht 145

        Auf der Karte stehtr nun



        MEYERGEIMPFT 145

        Da ich die Geheimzahl nicht kenne, kann ich mir nun nicht



        EWALDGEIMPFT selber drucken, denn da kann ich die Prüfsumme nicht ermitteln.

        Die Zentrale (die prüfen soll), muss nun gar nichts wissen, ausser der Geheimzahl. Die liest den Text ein



        MEYERGEIMPFT.. rechnet als Prüfsumm3 142+3=145 aus und vergleicht sie mit der 145 auf der Karte. Stimmt das überein, wirds schon passen.

    • @Suryo:

      Wir reden heir nicht über einen Impfpass - der sicher unumgänglich ist- sondern über "digital" - und genau das ist der Punkt.



      Ich sag ja: Sinnvoll wie ein "smarter" Schneeschieber" oder was mir grad noch einfällt: eine "smarte Klobrille" -MUST HAVE !!!!

      • @Bolzkopf:

        Der digitale "Impflappen" kann ja auch kommen, als Ergänzung. Aber da die Zeit ein klein wenig eilt, bin ich dafür, erst mal eine Minimallösung anzubieten. Die aber quasi sofort. Der Rest kann dann folgen.

        • @Bunte Kuh:

          +1

    • @Suryo:

      Dann hoffen wir einfach mal, dass die AfD oder die NPD nie in irgendeiner Regierung 'Verantwortung' bekommen.



      Es gibt da ein Lied von Herman van Veen: wenn's nun anders ausgegangen wär'; dort heisst es "Dein Freund und Helfer hiesse dann SS".



      Einfach mal auf sich wirken lassen und ein bissel mehr drüber nachdenken... ;-)

      • @Grenzgänger:

        Okay, ich versuche, mich noch klarer auszudrücken.

        “Grundrechte nur, wenn dabei der Datenschutz gewahrt bleibt” ist eine offenkundig absurde Position, wäre aber das Ergebnis, wenn man die obigen Bedenken konsequent bis zum Ende durchdenkt. Datenschutz ist aber JETZT, in DIESER KONKRETEN SITUATION, nicht wichtiger als JETZT gefährdete, KONKRETE Menschenleben. Aber mit konkreten Dingen hat’s der deutsche ja nicht so. Da dürfen für rein abstrakte Dinge und theoretisch denkbare Fehlentwicklungen schon mal Menschen geopfert werden. So wie jetzt gerade.

        • @Suryo:

          Unterschreibe ich sofort! Super Kommentar

      • 0G
        06955 (Profil gelöscht)
        @Grenzgänger:

        Ja, dann schließen wir uns zum Schutz am besten ganz ein.

  • Digitaler Impfpass - genauso notwendig und sinnvoll wie ein smarter Schneeschieber!

    Aber da ist Geld drin!



    Geeeeld - und da läuft den Tech-Firmen natürlich gleich der Geifer aus den Mundwinkeln.

    Völlig vergessend (und wegguckend) dass sie damit die Hochbetagten (und nicht nur die) völlig außen vor lassen.

    • @Bolzkopf:

      "...genauso notwendig und sinnvoll wie ein smarter Schneeschieber!"



      Wenn er besser Schnee schiebt. ;)

    • 0G
      06955 (Profil gelöscht)
      @Bolzkopf:

      Erstens schließt ein digitaler Impfpass einen analogen ja nicht aus. Deutschland hat das auch so bei der EU ausgehandelt. Die Hochbetagten in den anderen EU-Ländern sind vielleicht digitalaffiner - dortens wurde das Problem offensichtlich nicht gesehen.

      Zweitens wurden die Hochbetagten in der Pandemie wirklich zuvorderst beachtet. Sonst hätte man vielleicht nicht zuerst in Altenheimen geimpft.

  • Mir gehen diese Datenschutz Freaks auf die Nerven. Amazon, Google, Facebook etc. wissen sowieso schon mehr über uns als unsere Partnerinnen und Partner und das ist besser als umgekehrt sonst würden die Scheidungsraten ruckzuck in die Höhe schnellen. Die Leute verpixeln ihre Häuser auf Google und hauen auf Twitter und Facebook alles über sich raus, das passt für mich vorne und hinten nicht. In der Pandemie sollte der Datenschutz hinten an stehen, er kostet zu viele Menschenleben wenn bei der Entwicklung einer App nur noch darüber diskutiert wird, dass man unbedingt sicher stellen muss bloß keine Klarnamen irgendwo auftauchen zu lassen.

    • @Goodfella:

      Kleiner Denkfehler: Wenn Max & Moritz ihre Daten im Facebook verteilen, ist das deren Problem (man sollte es ihnen trotzdem nahelegen, es zu lassen).

      Wenn nun aber Susi Hase daherkommt, Facebook meidet wie die Pest, dann hat Susi aber trotzdem ein Recht auf ihre Datenhoheit.

      Im übrigen lassen sich Apps und Datenschutz gut vereinbaren. Man sollte das Thema aber evtl. mal Leuten überlassen, die davon Ahnung haben. Die Lösen das Problem dann in 14 Minuten, während das Heer der Ahnungslosen wieder 23 Jahre lang diskutiert, ergebnisoffen versteht sich.

    • @Goodfella:

      China wäre Ihr Land. Nichts wie hin!

  • "Wenn Menschen sich mit einem digitalen Impfpass bei Bars oder Geschäften oder wo auch immer ausweisen, dann greifen diese auf die persönlichen Daten zu"

    Jesus, am Ende bekommt man Werbung oder die Polizei bittet einen, bei Ermittlungen zu helfen (nennt sich Zivilcourage).