Digital Health

Covid-19: Wie funktioniert der digitale Impfpass? 

Der „digitale Impfausweis“ kommt – allerdings ist der geplante „CovPass“ viel mehr als ein digitales Pendant zum alten gelben Heftchen. Dank der EU profitieren nämlich nicht nur Geimpfte, sondern auch Getestete und Genesene. 

Ohne den Buchstaben G läuft zurzeit wenig: ein im Café servierter Cappuccino, ein Film auf der großen Leinwand, eine Leibesübung im Fitnessstudio, eine Reise in die Sonne? Geht alles nicht ohne eines der drei G – getestet, genesen oder geimpft. Da immer mehr Bürger letzteres sind und Corona-Lockerungen in Anspruch nehmen können, tritt eine Frage in den Vordergrund: Wie weisen diese den entsprechenden Status (im Volksmund auch gerne als „durchgeimpft“ bezeichnet) nach? Die Antwort: mit einem fälschungssicheren, digitalen Impfausweis. Der sogenannte „CovPass“ soll nicht nur das gelbe (manchmal auch weiße oder rote), häufig schon etwas mitgenommene Heftchen aus Papier ersetzen bzw. ergänzen. Mit dessen Hilfe sollen die Bürger zum Beispiel auch das als Reaktion auf die Pandemie eingeschränkte Recht wiedererlangen, sich ohne Grenzkontrollen in der EU bewegen zu können. 

Aber der Reihe nach. Über den digitalen Impfpass wird mindestens schon so lange diskutiert wie über die Vor- und Nachteile von Moderna gegenüber AstraZeneca oder den Wechsel von Lock-down zu Lockerungen. So viel steht mittlerweile fest: Beim CovPass, der unter der Führung von IBM für das Robert-Koch-Institut (RKI) entwi-ckelt wurde, handelt es sich um eine App. Diese soll bis Mitte Juni verfügbar sein; einmal als neue Funktion in der bekannten Corona-Warn-App, aber auch als eigenständige Smartphone-App.  

CovPass: Mehr als ein Impfnachweis

Der Name „CovPass“ gibt schon einen Hinweis darauf, dass die App mehr kann als bloß zu dokumentieren, dass und womit Menschen gegen Covid-19 geimpft sind. Zusätzlich soll sie auch belegen, ob jemand kürzlich negativ auf das Coronavirus getestet wurde oder bereits von einer Covid-Erkrankung genesen ist. Dieses Mehr an Funktionen war anfangs nicht vorgesehen. Das Bundesgesundheitsministerium musste den ursprünglichen Entwicklungsauftrag erweitern, weil die EU zwischenzeitlich beschlossen hatte, dass auch negative Tests und überstandene Infektionen erfasst werden sollen. Noch ist allerdings unklar, ob diese „Add-ons“ auch schon bis Ende Juni vorliegen. Für den Impfnachweis sind die Macher aber zuversichtlich, dass dies pünktlich klappt. 

Doch wie landen die Corona-Impfungen auf dem Smartphone? Der Weg führt über einen QR-Code. Die mit einem Kryptoschlüssel als gültig signierten Informationen über die beiden Spritzen (oder eine im Fall von Johnson & Johnson) werden auf dem Nachweisbogen in Form eines solchen Codes gespeichert. Diesen können Geimpfte dann mit Hilfe der Kamera des Smartphones einscannen und in der neuen CovPass-App oder der alten Corona-Warn-App speichern. Stichwort „durchgeimpft“: Der QR-Code kann erst angezeigt werden, wenn 14 Tage nach der letzten Impfung vergangen sind. 

Hört sich einfach an, hat aber einen großen Haken: Was passiert mit jenen zig Millionen Menschen, die (zweimal) geimpft wurden, noch bevor der QR-Code Usus ist/war? Antwort: Wenn ihre Daten erfasst wurden, sollen diese den Code per Post bekommen. Der Rest – so Überlegungen – könnte den Impfpass oder die Impfdokumente zum Beispiel in Apotheken, Impfzentren oder Praxen vorlegen, wo das digitale Dokument über eine gesicherte Onlineverbindung erzeugt bzw. ausgedruckt werden soll. Ärzte und Apotheker halten davon allerdings (bisher) wenig. 

QR-Code als Türöffner

Der QR-Code (egal auf Papier oder in der App) dient als Türöffner. Wird dieser in Theater, Restaurant oder Museum gescannt, werden Name, Geburtsdatum sowie ein Status angezeigt. Letzterer kann grün oder rot sein. Grün bedeutet geimpft, genesen oder getestet, Rot das Gegenteil. Damit man nicht heimlich den CovPass einer anderen Person nutzt, wird man zusätzlich seinen Ausweis vorzeigen müssen. Die App soll für mehrere Personen funktionieren, sodass Eltern zum Beispiel auch Nachweise für ihre Kinder dort ablegen können.

Natürlich haben Corona-Apps erhöhte Datenschutzanforderungen. Es handelt sich nun mal um sehr sensible Daten. Das gilt auch für die CovPass-App, die allerdings nicht vollständig anonym funktionieren kann. Schließlich soll ja der Impf- oder Gesundheitsstatus für eine bestimmte Person nachgewiesen werden. Bei diesem Thema verweist das RKI zum einen auf die lokale Datenspeicherung der CovPass-App. Das heißt, die vollständigen Impfdaten sind dauerhaft nur auf dem eigenen Smartphone gespeichert. Der QR-Code, der mit einer starken Signatur geschützt ist und nicht gefälscht werden kann, enthält zudem nur den minimalen Datensatz nach EU-Vorgaben. 

Public-Key statt Blockchain

Anfangs gab es Pläne, mit Hilfe von Blockchains sicherzustellen, dass der digitale Impfnachweis fälschungssicher wird. Dieser Ansatz wurde jedoch verworfen. Ein Grund: Die Technik war in den oben angesprochenen EU-Vorgaben für digitale Impfnachweise nicht vorgesehen. Zudem setzt der CovPass nicht auf eine zentrale Speicherung der Impfzertifikate, weshalb man diese bzw. die Informationen zu den Zertifikaten nicht in einer Blockchain verankern muss. Stattdessen kommt – wie bei der Digitalen Signatur – ein herkömmliches Public-Key-Infrastruktur-Verfahren zum Einsatz.

Wenn der CovPass tatsächlich vorliegt, hat die Bundesregierung ihre von der EU gestellten Hausaufgaben gemacht. Brüssel hat von Anfang an Wert darauf gelegt, dass dieses Zertifikat nicht diskriminieren soll – und daher eben nicht als klassischer Impfausweis daher kommt. Deshalb soll es nicht nur für Geimpfte, sondern auch für Getestete und Genesene Reiseerleichterungen ermöglichen. Die 27 EU-Staaten werden dazu die Lösungen der jeweils anderen Länder (also die verschiedenen Pendants zum hiesigen CovPass) vom 1. Juli an als Nachweis akzeptieren. Ob das alles in den verbleibenden Wochen bis zum Stichtag tatsächlich klappt bzw. geregelt wird, bleibt abzuwarten. Die Länder haben eine Übergangszeit von sechs Wochen ausgehandelt, in der sie noch nicht verpflichtet sind, ihr jeweiliges Zertifikat auszugeben. Spätestens Mitte August sollte es also überall so weit sein. So zumindest der Plan. Sonst muss halt doch noch mal das alte Heftchen ran. 

Text: Jochen Schuster