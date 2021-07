In einer parlamentarischen Anfrage zum Datenschutz im grünen Pass äußert sich Gesundheitsminister Wolfgang Mückstein auch zu den Kosten des Projekts

Laut Gesundheitsminister Wolfgang Mückstein wird die Offenlegung des Quellcodes – sofern dies möglich ist – derzeit vorbereitet. Foto: APA/HELMUT FOHRINGER

Die Entwicklung des grünen Passes inklusive der dazugehörigen IT-Systeme und des Projektmanagements hat 1,9 Millionen Euro gekostet. Das geht aus der Beantwortung einer parlamentarischen Anfrage mit der Kennzahl "6720/AB" durch Gesundheitsminister Wolfgang Mückstein (Grüne) hervor. Die Anfrage war von den Neos-Abgeordneten Douglas Hoyos-Trauttmansdorff und Gerald Loacker gestellt worden.

Der überwiegende Teil (rund 1,45 Millionen Euro) der besagten 1,9 Millionen Euro entfällt auf die Entwicklung des EPI-Systems, welches die EU-konformen Test-, Genesungs- und Impfzertifikate bereitstellt. Ein vergleichsweise geringer Anteil (rund 180.000 Euro) entfällt auf die Entwicklung der Web-App "Green Check", weitere maximal 300.000 Euro wurden laut Mückstein für das Projektmanagement der Elga GmbH ausgegeben. "Anzumerken ist, dass der genannte Betrag eine Schätzung darstellt, da Abrechnungen naturgemäß noch nicht vorliegen", heißt es in der Beantwortung der parlamentarischen Anfrage.

Aufbauend auf EU-Vorgaben

Beantwortet wird in der parlamentarischen Anfrage auch die Frage, wie das österreichische System mit den bereits vorhandenen Systemen der Europäischen Union zusammenspielt – was unter anderem relevant ist, da das Zurückgreifen auf bereits Vorhandenes zugleich Kosten reduzieren kann.

Demnach werden die Inhalte der Zertifikate auf EU-Ebene vorgegeben und in das Epidemiegesetz (EpiG) übernommen. Die Web-App "Green Check" verwendet laut Mückstein exakt jenen Prüf- beziehungsweise Verifizierungsmechanismus, der im Rahmen der Open-Source-Lösung auf europäischer Ebene entwickelt bzw. zur Verfügung gestellt wird. "Lediglich die aus Sicht des Datenschutzes erforderliche eingeschränkte Auflösung des QR-Codes (text- und farbcodierte Präsentation des Verifizierungsergebnisses sowie das aus den nationalen Rechtsvorschriften resultierende Regelwerk für dessen Interpretation) und die für die Nutzung notwendige Oberfläche stellen Eigenentwicklungen dar, da diese Funktionalitäten von der europäischen Open-Source-Lösung nicht abgedeckt werden", heißt es dazu wörtlich.

Keine Integration der E-Card

Zahlreiche Kontroversen gab es bei dem Projekt schon im Vorfeld rund um das Thema Datenschutz. So war etwa geplant gewesen, das System rund um die E-Card in jenes um den grünen Pass mit einzubeziehen, um einen "niederschwelligen Zugang" zu ermöglichen. Dieser Plan wurde wegen Datenschutzbedenken jedoch wieder verworfen. "Die datenschutzrechtlichen Bedenken in diesem Zusammenhang bezogen sich unter anderem auf das Profiling (Erstellung von Bewegungs- oder Nutzungsprofilen), welches mit der ursprünglich beabsichtigten Lösung zwar technisch möglich, aber zu keinem Zeitpunkt angedacht war", schreibt Mückstein.



Zu keinem Zeitpunkt sei geplant gewesen, Daten in der Web-App zentral zu speichern, führt Mückstein aus. Bei einer Integration der E-Card hätte diese lediglich ermöglicht, die durch den EPI-Service generierten Zertifikate direkt abzufragen. "Niederschwellig" wäre dieser Zugang gewesen, weil die Bürgerinnen und Bürger dadurch weder einen Papierausweis noch ein Smartphone hätten mitführen müssen.

Code soll offengelegt werden

Generell heißt es, dass in puncto Datenschutz alle im Vorfeld der gesetzlichen Regelung diskutierten Anforderungen umgesetzt wurden. Die Offenlegung des Quellcodes – soweit davon nicht urheberrechtlich geschützte Fremdsoftware betroffen ist – wird derzeit vorbereitet.

Den Maßnahmen zum Trotz wird das 1,9 Millionen Euro teure, auf EU-Vorgaben aufbauende System nicht selten kritisiert. Am vergangenen Wochenende hieß es, dass die Web-App zeitweise ausgetrickst werden konnte. Denn auch Codes, die für Pre-Travel-Clearance-Zertifikate erstellt werden, wurden als gültige Eintrittstests angezeigt. In der Woche zuvor entdeckten Studierende der FH Hagenberg Sicherheitsmängel, durch welche sich die QR-Codes in der App leicht fälschen ließen. (Stefan Mey, 28.7.2021)