Datenschützer über digitalen Impfpass: „Kein Ticket ins normale Leben“

Die EU-Kommission glaubt, durch den digitalen Impfpass einen Weg zurück in die Normalität zu finden. Datenschutzexperte Thomas Lohninger widerspricht.

Kino mit Leuchtschrift "New Hope"

Foto: Daniel Biskup

taz: Herr Lohninger, die EU-Kommission will an diesem Mittwoch ein Konzept für einen digitalen Impfpass vorlegen. Brauchen wir den?

Thomas Lohninger: Nein, den brauchen wir nicht. Schließlich haben wir jetzt schon den gelben Impfpass der WHO. Der ist billig, überall verfügbar, international anerkannt und einfach zu verwenden. Man braucht weder Internet noch Strom, um ihn zu nutzen und damit ist er sehr viel praktikabler als alle technischen Varianten. Mit diesem System könnte man heute starten.

Und er ist überhaupt nicht fälschungssicher. Da kann man sich mit wenig Mühe selbst eine Corona-Impfung reinschreiben oder einfach einen anderen Nachnamen vorne drauf und das Heft weitergeben.

Das stimmt, aber daran lässt sich arbeiten. Zu Beispiel mit Hologrammstickern, die würden eine höhere Fälschungssicherheit bieten als die einfachen Impfaufkleber, die es jetzt gibt.

Auch die lassen sich ablösen…

Man kann noch einen Schritt weitergehen und den Namen des oder der Geimpften in dieses Hologramm integrieren. Da gibt es Möglichkeiten, den Schutz zu steigern. Allerdings: Wenn man es wirklich will, lässt sich jedes System überlisten. Nicht zuletzt, weil es bei vielen Örtlichkeiten wie Restaurants oder Friseursalons ja derzeit keine Routine der Ausweiskontrolle gibt. Die braucht man aber, denn egal ob digital oder auf Papier: Die Person mit dem Impfpass muss ja immer beweisen, dass der zu ihr gehört.

34, ist IT- und Datenschutzexperte sowie Geschäftsführer der netzpolitischen Bürgerrechtsorganisation epicenter.works in Wien.

Was befürchten Sie bei einer digitalen Variante?

Wenn Menschen sich mit einem digitalen Impfpass bei Bars oder Geschäften oder wo auch immer ausweisen, dann greifen diese auf die persönlichen Daten zu. Ich sehe die große Gefahr, dass damit Begehrlichkeiten entstehen: Die Be­trei­be­r:in­nen könnten die Daten speichern und sammeln und für andere Zwecke weiterverwenden. Werbung zum Beispiel. Bei einem papiergebundenen System wäre das deutlich aufwendiger – wenn da jemand den Impfpass scannen wollte, würde das schon auffallen.

Unternehmen wie Microsoft, Oracle und Salesforce arbeiten schon an digitalen Impfausweisen – die Industrie geht also davon aus, dass es einen Bedarf geben wird. Wäre es nicht besser, da gäbe es eine europäische, privatsphärenfreundliche Alternative, und sei sie staatlich?

Natürlich müssen Modelle, die hier eingesetzt werden, den hiesigen Datenschutzstandards genügen. Das heißt zum Beispiel: Privacy bei Design, also eingebauter Datenschutz. Aber man darf nicht vergessen: Die Wirtschaft hat ein großes Interesse an einem digitalen Impfpass und daran, ihn bald zu haben. Zum Beispiel die Fluglinien. Die IATA, der Weltverband der Airlines, arbeitet schon daran. Das Problem ist: Was es jetzt gibt, sind vor allem privatsphärenfeindliche Konzepte. Wenn es also so schnell gehen soll, wie die EU-Kommission das will, werden diese die erste Wahl sein.

Gerade ist EU-weit unter anderem folgendes Modell in der Diskussion: Geimpfte werden in einer zentralen Datenbank eingetragen. Für den Nachweis der Impfung haben sie einen QR-Code auf Papier oder auf dem Smartphone. Durch das Scannen des Codes lässt sich nachschauen, ob die Person, die sich hier ausweist, in der Impf-Datenbank steht.

Ja, so eine zentrale Speicherung ist ein großes Problem. Da werden zentrale Datenbanken mit Identitätsdaten inklusive Gesundheitsdaten aufgebaut. Viele Geschäfte und Firmen sollen Zugriff auf dieses System bekommen, und wenn die Architektur nicht extrem sorgsam gebaut ist, weiß eine zentrale Stelle über jeden Bar- oder Kinobesuch Bescheid. Wer nicht an diesem System teilnimmt, ist de facto vom gesellschaftlichen Leben ausgeschlossen und hat Probleme zu Reisen.

Die Datenschutz-Grundverordnung schreibt Privacy by Design vor. Wären denn Modelle mit einer solchen zentralen Speicherung überhaupt rechtmäßig?

Die Datenschutz-Grundverordnung erlaubt für Epidemien schon deutlich mehr als sonst. Insofern gehe ich davon aus, dass Klagen dagegen nicht viel bringen würden.

Und was ist mit Modellen, bei denen meine Daten nur bei mir selbst liegen, etwa auf einer Karte oder dem Smartphone? So ein System soll es in Deutschland geben. Wäre das vertretbar?

Es wäre zumindest besser. Aber auch hier bleibt die Zeitkomponente: Wenn man das Impfen deutlich beschleunigen würde, dann bräuchte es einen solchen Impfpass vermutlich nicht mehr. Weil dann die Einschränkungen für alle aufgehoben werden könnten. Umgekehrt wird es schwierig, ein digitales System nach der Pandemie wieder los zu werden, es könnte uns bleiben. In der ganzen Debatte werden zwei Sachen vermischt: Nicht der digitale Impfpass ist das Ticket für ein normales Leben. Sondern die Impfungen.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Wir würden Ihnen hier gerne einen externen Inhalt zeigen. Sie entscheiden, ob sie dieses Element auch sehen wollen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Wir würden Ihnen hier gerne einen externen Inhalt zeigen. Sie entscheiden, ob sie dieses Element auch sehen wollen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Die Coronapandemie geht um die Welt. Welche Regionen sind besonders betroffen? Wie ist die Lage in den Kliniken? Den Überblick mit Zahlen und Grafiken finden Sie hier.

▶ Alle Grafiken

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de

Ihren Kommentar hier eingeben