Der digitale Corona-Impfnachweis soll kommen – aber wie?

e-Health Autor: Anouschka Wasner/ Andreas Weise

Das digitale Impfzertifikat wird auch in Praxen ausgestellt werden. Jetzt werden die Konditionen ausgehandelt. Das digitale Impfzertifikat wird auch in Praxen ausgestellt werden. Jetzt werden die Konditionen ausgehandelt. © iStock/Firn

Während die Diskussion um die Coronaregeln für Geimpfte immer höher dreht, mehren sich die Meldungen von gefälschten Impfnachweisen. Der digitale unkorrumpierbare Impfpass wird täglich dringlicher.

Schon für Juni hat Jens Spahn einen digitalen Impfnachweis angekündigt, der die Bewegungsfreiheit von Geimpften in Deutschland erleichtern soll. Kanzleramtschef Dr. Helge Braun sprach mittlerweile sogar schon von „in wenigen Tagen bis Wochen“. Aber gleichzeitig scheint oft noch nicht mal ganz klar, worüber gesprochen wird: Handelt es sich bei diesem elektronischen Impfnachweis um den elektronischen Impfpass, von dem bei uns schon seit längerem die Rede ist? In welchem Verhältnis steht er zum europäischen COVID-19-Zertifikat bzw. digitalen grünen Zertifikat, das für den gleichen Zeitpunkt angekündigt wird? Und wie verhält sich dieser Impfnachweis zu den verschiedenen Sparten- oder regionalen Nachweisen, die in der Entwicklung oder sogar schon im vollen Einsatz sind?

EU will gemeinsamen Rahmen schaffen für Freizügigkeit

Zum Hintergrund: Im Januar hatte der Europäische Rat beschlossen, einen Nachweis für Impfungen, Tests bzw. Covid-19-Heilstatus auf den Weg zu bringen. Die Kommission verpflichtete die Mitgliedsstaaten, nationale Systeme auf der technischen Grundlage von europäischen Leitlinien aufzubauen. Die Umsetzung in den Ländern müsse parallel zum Gesetzgebungsverfahren passieren, damit die Zertifikate bis Juni 2021 eingeführt werden können. Gestritten wird zwar noch um die Einheitlichkeit der Test- und Quarantänepflichten in den Mitgliedsländern und auch um die zugelassenen Vakzinen. Die große Mehrheit im Europaparlament sprach sich jetzt aber für das auch als „grüner EU-Pass“ bekannte Zertifikat aus.

Demzufolge wird also eine europäische Schnittstelle den Austausch elektronischer Signaturschlüssel ermöglichen, um die nationalen Zertifikate EU-weit überprüfen zu können – deutsche Urlauber können sich dann mit dem deutschen Impfnachweis nicht nur am Frankfurter Flughafen, sondern auch am spanischen Strand als immun legitimieren. Ihre Daten werden dabei nicht weitergeleitet, für die Echtheitsüberprüfung sei das nicht notwendig.

In Deutschland hat den Zuschlag für diesen nach EU-Regeln standardisierten Impfnachweis ein Konsortium bestehend aus IBM, dem Kölner Crypto-Start-up Ubirch, dem Systemhaus Bechtle und der IT-Genossenschaft govdigital erhalten. Die Kosten für das Vorhaben belaufen sich auf ca. drei Millionen Euro; laufende Kosten sind Teil der Summe, so das Ministerium.

Das neue Impfzertifikat

Das System, mit dem der Impfstatus überprüfbar wird, besteht aus drei Teilen:
  1. Einem Impf-Zertifikat-Service für Impfzentren und Arztpraxen, in dem die Daten der geimpften Person eingegeben werden. Mithilfe dieses Dienstes entsteht ein QR-Code.
  2. Eine Impf-Nachweis-App, die sich die Geimpften auf ihr Smartphone laden, in der der QR-Code verwaltet werden kann. Das soll aber auch z.B. in der Corona-Warn-App möglich sein.
  3. Eine Prüf-App, mit der die Gültigkeit des Impfschutzes z.B. am Check-In oder am Einlass von Veranstaltungen oder Gaststätten gescheckt wird. Diese Prüfung soll ggf. unter Vorlage des Personalausweises erfolgen.

Die Dienste, die von dem Konsortium entwickelt werden (s. Kasten), werden in andere Applikationen integrierbar sein, so auch in die Corona-Warn-App. Diese Funktionserweiterung könnte für einen weiteren Aufschwung der App sorgen: So sagen 20 % derjenigen, die bislang die App noch nicht installiert haben, dass sie diese mit einem integrierten Corona-Impfausweis einsetzen würden, so eine repräsentative Umfrage des Digitalverbands Bitkom. Auch andere Updates haben die App bereits attraktiver werden lassen, z.B. die neue Check-in-Funktion und die Möglichkeit zum Abruf des eigenen Testergebnisses. Und wie sieht es mit dem Datenschutz aus? Anfangs sollten die an die Patienten ausgegebenen QR-Codes noch auf Einträge in miteinander verketteten „Blockchains“ verweisen. An diesem Konzept gab es starke Kritik. Blockchains sind so etwas wie öffentlich zugängliche digitale Archiveinträge. Sie lassen sich nicht nachträglich verändern, deswegen eignen sie sich für Nachweise aller Art. Doch die „auf einer Blockchain“ gespeicherten Informationen müssen für jeden Berechtigten prinzipiell einsehbar sein – was selbst für reine Verweise auf sensible Informationen schon wenig sinnvoll ist.

Keine Datenbanken geplant, nicht national, nicht in Europa

Von diesem System ist man also abgekommen. Klar scheint jetzt zu sein: Die dauerhafte Speicherung der Impfbescheinigung ist nur auf den Endgeräten der Geimpften vorgesehen, es soll weder auf nationaler noch auf europäischer Ebene eine Datenbank mit personenbezogenen Daten entstehen. Außerdem sollen die Anwendungen als Open-Source programmiert werden. Somit ist eine Überprüfung des Quellcodes der Programme durch IT- und Sicherheitsexperten möglich. Dieses Verfahren hatte bei der Corona-Warn-App zu einer recht hohen Akzeptanz geführt. Unklar ist allerdings noch, wie die Prüfzugriffe auf die Anwendung – über die sich eindeutige Bewegungsprofile erstellen lassen – protokolliert werden. Eine überzeugende Sicherheitslösung muss möglichen Missbrauch von vornherein unmöglich machen, bekräftigt z.B. der Sicherheitsexperte Andreas Bogk vom Chaos Computer Club in diesem Zusammenhang. Auch wie aufwendig das Laden der Daten in den Dienst sein wird und wie der Dienst an die Praxisverwaltungssysteme angebunden werden kann, ist noch ungeklärt bzw. nicht bekannt. Niedergelassene befürchten wenig praxisnahe Lösungen. So auch Dr. Christine Zollmann, Dermatologin, in Bezug auf die Schnittstelle zur Datenerfassung der IBM-Lösung: „Handelt es sich, wie aktuell von Ärzten befürchtet, um ein reines Web-Interface, müssten die Daten aus der Praxis-Software per Copy und Paste dorthin übertragen werden. Das ist im Einzelfall vielleicht nur unbequem – doch wenn hunderte Impfungen am Tag verwaltet werden müssen, ist dieser Ansatz wegen der vielen manuellen Arbeitsschritte auch fehleranfällig.“ Den impfenden Arztpraxen werde eine Software zur Erstellung der digitalen Impfzertifikate bereitgestellt, zusätzliche Hardware sei nicht nötig, erklärt dazu das Ministerium. Ergänzend würden Schnittstellen bereitgestellt, die Hersteller in die PVS-Systeme integrieren können. Gleichermaßen werde auch noch geprüft, wie Genesene ihren Anspruch auf den Code nachweisen können, so das Ministerium. Die KBV steht zu diesen Themen wie auch zur Frage der Vergütung in Gesprächen. Die Mitglieder des IBM-Konsortiums sind allerdings nicht die einzigen, die sich mit einem solchen Nachweis beschäftigen. Es gibt einige Initiativen, regionale, branchenspezifische und internationale, die an der gleichen Nuss knacken, die teilweise auch weit fortgeschritten sind mit ihren Entwicklungen. Auch an der Ausschreibung des BMG sollten sich eigentlich Startups beteiligen können. „Die Ausschreibung definierte aber Mindestbedingungen, die kleine und mittlere Unternehmen praktisch nicht erfüllen können“, erzählt Dr. Hans-Jürgen ­Schrörs, Allgemeinarzt und Geschäftsführer der Gesellschaft zur Förderung der Impfmedizin, GZIM. „Für uns war trotz Einladung eine Bewerbung schlicht unmöglich, obwohl wir eine fertige Lösung im Einsatz haben.“ Das Impfmanagementsystem ImpfPassDE ist bereits seit 2016 im Einsatz. Alle erforderlichen Schnittstellen sind nach Angaben des Herstellers in nahezu allen Praxissoftware-Systemen verfügbar. Zum Nachweis der Echtheit eines Impfnachweises nutzt die Anwendung den Konnektor der Telematik-Infrastruktur. Das Konzept entspreche den EU-Richtlinien für den europäischen Impfnachweis und setze auch auf die Datenstandards, die ab 2022 in die elektronische Patientenakte einfließen sollen, so der geschäftsführende Mediziner. Detailinformationen werden nicht zentral gespeichert und die Echtheit der Daten könnten mit Hilfe der digitalen Zertifikate sichergestellt werden. Das Ministerium verweist darauf, dass das gewählte Ausschreibungsverfahren vor dem Hintergrund der außerordentlichen Dringlichkeit der Beschaffung gewählt worden sei. „Wir hätten uns gefreut, wenn sich das Ministerium unsere einsatzfähige und mit Blick auf den Impfpass in der ePA nachhaltige Lösung mal genauer anschaut hätte. Aber wir geben die Hoffnung noch nicht auf“, sagt Dr. Schrörs, der das Ministerium fortlaufend über den Entwicklungs- und Pilotierungsstand informiert. Möglich ist, dass es in der nächsten Zeit verschiedene digitale Impfnachweise nebeneinander geben wird. Der vom Ministerium beauftragte soll ab 1. Januar 2022 in den elektronischen Impfpass der ePA integriert werden. Das werde zumindest gerade geprüft, sagt das BMG. Was wiederum der ePA Auftrieb verschaffen könnte. Bislang ist der elektronische Impfnachweis aber nur als Ergänzung zum „gelben Impfpass“ gedacht. Dieser behält also zunächst seine umfängliche Gültigkeit, auch als Nachweis einer Corona-Impfung. Das ist im Sinne aller, die kein Smartphone nutzen. Leider aber auch im Sinne der Fälscher.

Medical-Tribune-Recherche