Monatelange Diskussionen, mehrfache Verschiebungen, und dann das: Jener grüne Pass, der künftig für Eintrittstests und Reisefreiheit eine zentrale Rolle spielen soll, erweist sich als ein schlichtes PDF-Dokument. Das sorgte rasch für Kritik: Wie soll so ein glorifiziertes Stück Papier sicher sein? Immerhin sei es keine sonderliche Hexerei, ein entsprechendes Dokument zu manipulieren und so all die Sicherheitsmaßnahmen auszutricksen. Sollte man meinen, ist aber falsch. Denn das Konzept hinter dem grünen Pass – der bis Dienstag schon 900.000 mal aufgerufen wurde – ist wohldurchdacht, wie mittlerweile auch Datenschützer bestätigen.

Die Signatur hält

Der wichtigste Bestandteil des von EU-Behörden ersonnenen Sicherheitskonzepts ist jener QR-Code, der links oben auf jedem der ausgestellten Zertifikate zu finden ist. Darin befinden sich nämlich nicht nur all die zentralen Informationen zum eigenen Covid-19-Status, also ob man geimpft, getestet oder genesen ist – dieser Code ist auch digital signiert. Der dafür verwendete Schlüssel ist geheim, ein Zertifikat kann also nur von offiziellen Stellen ausgestellt werden. Würde hier jemand eine Manipulation vornehmen, würde das bei einer Überprüfung auffallen. Immerhin liefert nur ein QR-Code mit der richtigen Signatur beim Einscannen einen "grünen" Status.

Bliebe natürlich die Möglichkeit, einfach den QR-Code vom Zertifikat einer anderen Person zu übernehmen – immerhin ist dieses ja "korrekt" signiert. Eine Idee, die allerdings nicht ganz so schlau ist, wie sie klingen mag. Denn beim Einscannen des QR-Codes wird nicht nur geprüft, ob der Status "grün" ist, es wird auch Name und Geburtsdatum angezeigt. Zwei Dinge, die man dann noch über einen Lichtbildausweis nachweisen muss.

Niederschwellige Lösung

Genau aus diesem Grund wäre es auch falsch, das Konzept hinter dem grünen Pass mit "nur ein PDF" abzutun. Bei näherer Betrachtung ist dieses System nämlich ziemlich smart gewählt. Es ermöglicht, dass ein solches Zertifikat in Papierform auch technisch weniger versierten Personen in die Hand gegeben werden kann, ohne dass sie sich dafür mit App-Installationen und Sicherheitsfragen am Smartphone herumschlagen müssen. Und das Ganze ohne die Gefahr, dass ihr Zertifikat von anderen missbräuchlich verwendet wird.

Bleibt allerdings noch die Frage: Könnte nicht jene App, mit der der QR-Code eingelesen wird, sensible Daten erfassen? Das ist theoretisch richtig, nach Kritik von Datenschützern hat man in Österreich aber auch hier zu einer erfreulichen Lösung gefunden: Die Überprüfung des Status erfolgt rein lokal auf jenem Smartphone, mit dem der Scan erfolgt, es werden also keinerlei Daten weitergegeben. Abzuwarten gilt es natürlich noch, wie es dann in dieser Hinsicht international aussieht – in der EU wäre ein solcher Datenabgriff aber zumindest illegal. Wie einmal eine weltweite Lösung aussehen wird, lässt sich hingegen erst beurteilen, wenn es diese auch tatsächlich gibt.

Reaktion

Unter Datenschützern zeigt man sich über die gewählte Lösung jedenfalls erfreut: "Die Vorgaben der EU wurden nun endlich umgesetzt", sagt Thomas Lohninger von der Grundrechts-NGO Epicenter Works zum STANDARD. Dass es nur eine Web-App anstatt einer nativen Smartphone-App gebe, würde für die meisten Nutzerinnen und Nutzer keinen großen Unterschied machen.

Die Regierung müsse jedoch aufarbeiten, "wieso dieses IT-Projekt so chaotisch und unkoordiniert" gewesen sei. So hatte es in den vergangenen Monaten immer wieder massive Kritik an der geplanten Umsetzung gegeben, die vor allem aus Datenschutzperspektive für problematisch befunden wurde. Die Regierung hat diese mittlerweile aber ausgeräumt. "Wenn man daraus nicht lernt, haben wir bald wieder ein 'Kaufhaus Österreich'." Insgesamt müsse die Regierung bei solchen Projekten inklusiver vorgehen. "Die Expertise ist zwar im Land vorhanden, aber nicht bei den parteinahen Beratungsfirmen."

Zudem müsse der grüne Pass, wie auch alle anderen besonderen Maßnahmen, die während der Corona-Pandemie getroffen wurden, nach Ablauf des Gesetzes zurückgenommen werden. "Dieses System darf nicht der neue Normalzustand werden." Es sei wichtig, nach der Pandemie die Grundrechte wiederherzustellen und "keine neuen Kontrollsysteme" zu schaffen.

Umsetzung in der Praxis

Bis dahin wird die Effektivität des grünen Passes eher vom realen Umgang mit diesem denn von technischen Fragen abhängen. Denn egal wie sauber das Ganze auch implementiert sein mag, im Endeffekt steht und fällt das Ganze mit den Kontrollen. Da nur der Check über die erwähnte Web-App die Authentizität sicherstellt, wäre es auch essenziell, dass all dies konsequent durchgezogen wird. Ob dies etwa im turbulenten Alltag in der Gastronomie oder im Handel realistisch ist, ist aber zweifelhaft. Zumal diese Form der Überprüfung auch nicht vorgeschrieben ist: Ein Blick auf das Stück Papier – oder auch den Impfpass – reicht ebenfalls aus.

Wer angesichts dieses Ausblicks damit liebäugelt, es doch mit einem gefälschten grünen Pass zu probieren, und darauf zu hoffen, nicht erwischt zu werden, sei allerdings auf die rechtlichen Konsequenzen verwiesen. Solch ein Vorgehen könnte nicht nur saftige Geldstrafen nach sich ziehen, auch strafrechtliche Konsequenzen sind nicht auszuschließen. (Andreas Proschofsky, Muzayen Al-Youssef, 22.06.2021)