Spätestens ab Sommer sollen die neuen digitalen Impfnachweise allen bereits gegen Corona geimpften EU-Bürgerinnen und Bürgern wieder mehr Reisefreiheit ermöglichen – egal ob bei Urlaubs- oder Geschäftsreisen. Den Beschluss, die sogenannten „Digital Green Certificates“ einzuführen, hatten alle EU-Staaten im Februar im Rahmen der „Free Movement"-Initiative getroffen.
In Deutschland arbeitet derzeit ein Konsortium aus dem IT-Konzern IBM, dem Datensicherheitsspezialisten Ubirch, der Rechenzentrums-Genossenschaft Gov.digital und dem IT-Dienstleister Bechtle am Aufbau der technischen Plattform für die Impfnachweise. Einen entsprechenden Auftrag hatte das Bundesgesundheitsministerium Anfang März vergeben. Spätestens Ende Juni soll das System einsatzbereit sein, heißt es beim Gesundheitsministerium.
Parallel dazu bauen derzeit andere EU-Länder vergleichbare, aber technisch getrennte Systeme für ihre nationalen Impfbelege auf. Sie alle können in Form von speziellen QR-Codes auf Papier ausgedruckt oder in Apps gespeichert werden. Erstellt werden die Nachweise in Impfzentren oder Arztpraxen.
Ob die Belege echt oder gefälscht sind, sollen Behörden, aber auch private Unternehmen wie Eventveranstalter, der Handel oder Fluggesellschaften mithilfe spezieller Kontroll-Apps verifizieren können. Dabei prüfen die Programme jeweils, ob die Nachweise mittels spezieller Kryptoschlüssel erstellt wurden. Welche Schlüssel vertrauenswürdig sind, wird jeweils auf nationaler Ebene gespeichert.
Damit die EU-Staaten die Gültigkeit der Signaturen trotzdem auch grenzüberschreitend prüfen können, lässt die EU-Kommission einen sogenannten Gateway-Server entwickeln. Stellt eine nationale Prüf-App fest, dass ein QR-Code in einem Impfdokument aus einem anderen Mitgliedsstaat stammt, kann sie den entsprechenden Kryptoschlüssel über das Gateway auf Echtheit prüfen.
Den Auftrag für die Entwicklung dieses Gateway-Servers, hat die EU-Kommission nun an die Deutsche Telekom und an SAP vergeben. „Wir haben einen ersten Vertrag unterzeichnet“, bestätigt ein Sprecher der Kommission entsprechende Informationen der WirtschaftsWoche. SAP und die Telekom-Tochter T-Systems erarbeiten derzeit die technischen Spezifikationen des für die Verifikation erforderlichen Gateways. „Es soll im Juni fertig sein“, so der EU-Sprecher zum Zeitplan.
Keine Übertragung persönlicher Daten
Beide Dax-Konzerne hatten für die EU bereits im vergangenen Sommer einen ähnlichen Gateway-Server aufgebaut, über den die nationalen Corona-Warn-Apps Daten austauschen können. Mittlerweile nutzen 17 europäische Staaten diesen Server für grenzüberschreitende Warnungen, falls ein Handynutzer sich in der Warn-App als mit dem Coronavirus infiziert gemeldet hat.
Wie bei den Warn-Apps wird auch der Datenaustausch bei der Prüfung Impfzertifikate komplett anonym ablaufen. Statt die in den Impfnachweisen codierten Personendaten grenzüberschreitend auszutauschen, verifizieren die nationalen Prüf-Apps über das Gateway nur die Echtheit des Kryptoschlüssels, mit dem die Zertifikate erstellt wurden.
„Aber auch bei der Prüfung des Nachweises im Inland werden keine persönlichen Daten übermittelt“, heißt es aus dem Kreis des deutschen Entwicklerkonsortiums. Bei der Kontrolle des Impfbelegs müssen die Nutzer daher – neben dem QR-Coder auf Papier oder in der App – immer ein Ausweisdokument mit Foto vorlegen.
Insgesamt stellt die EU-Kommission knapp 50 Millionen Euro für den Aufbau des Gateways, die Anbindung der nationalen Impfnachweissysteme sowie für die Entwicklung einer Referenzplattform für Ausgabe und Speicherung der Zertifikate bereit.
Mehr zum Thema: Martin Fassunge und Peter Lorenz haben die Corona-Warn-App erdacht. Nun sollen sie mit einer europäischen Coronawarnplattform neuerliche Reiseverbote verhindern: Ein Wettkampf gegen Zeit und Bürokratie – aber das sind die beiden aus Deutschland schon gewohnt.