Digitaler Impfnachweis - „Einen Corona-Impfeintrag zu fälschen, wäre nicht schwer“

Sebastian Müller hat Erfahrung mit einer Reihe von digitalen Projekten, etwa der webgestützten Abwicklung von Schnelltests. Als ausgebildeter Rettungsassistent arbeitet er derzeit in zwei Impfzentren in Freiburg.

Herr Müller, können Sie bitte erklären, wie das technisch abläuft, wenn man jetzt zusätzlich zum analogen Impfpass einen digitalen Impfnachweis ausgestellt bekommt?

Derjenige, der das digitale Zertifikat ausstellt, loggt sich in ein Online-System ein und gibt Ihren Namen, Geburtsdatum und Impfstatus ein und erstellt dann so eine Art Brief mit einem QR-Code, der Ihnen ausgedruckt wird. Auf dem sind diese Informationen im Klartext und als QR-Code gespeichert. Und den Code scannen Sie dann mit Ihrem Handy entweder mit der CovPass-App oder der Corona-Warn-App ab, und dann ist das in den Apps gespeichert.

Angenommen, meine Daten sind in einer der Apps hinterlegt. Ich möchte ins Kino und zeige beim Einlass den QR-Code vor, der wird gescannt, es gibt grünes Licht, weil ich geimpft bin, mein Name und Geburtsdatum werden angezeigt und vom Personal mit meinem Personalausweis abgeglichen. Ich darf also rein. Werden meine Daten irgendwo gespeichert?

Es wird zwei Apps geben, die auf dem Handy des Geimpften – „CovPass“ zum Beispiel – und dann noch eine zum Auslesen für das Kino: „CovPass Check“. Sehr gut gelöst ist, dass die Check-App nicht live auf dem Server fragt, also kein Internet braucht, sondern bereits die zulässigen Schlüssel gespeichert hat. So kann man keine Nutzer verfolgen.

Klingt ja erstmal sicher.

Na ja. Beide Apps sind Open-Source-Anwendungen, das heißt, da könnte man auch eine Anwendung bauen, die genauso aussieht und wie geplant die Daten ausliest – Impfstatus, Namen und Geburtsdatum, aber darüber hinaus im Hintergrund heimlich alle Daten in einer Tabelle speichert. Erlaubt wäre das nicht, aber Sie hätten damit eine Anwesenheitsliste der Veranstaltung. Abgesehen von Kinobesuchen gibt es sicher auch soziale Situationen, wo das den Leuten nicht so angenehm ist, dass man weiß, wer sie sind. Wenn sie beispielsweise in einen erotischen Film gehen, eine religiöse Veranstaltung oder eine politische Versammlung besuchen.

Wer erst noch durchgeimpft wird, bekommt den QR-Code direkt per Post. Aber für diejenigen, die bereits geimpft sind, kann es mitunter kompliziert werden. Je nach Bundesland oder falls beispielsweise das Impfzentrum, wo die Impfung erfolgt ist, schon aufgelöst wurde, oder man nicht lange auf den QR-Code warten will, muss man sich selbst kümmern. Etwa zum Arzt oder in eine Apotheke und das gelbe Impfheftchen vorlegen. Wirklich fälschungssicher wirkt das ja nicht.

Nein, aber der Impfpass war ja auch nie gedacht als ein fälschungssicheres Dokument. Das ist ja mehr ein Dokument für Sie selbst, vielleicht noch, damit man bei der Einreise in bestimmte Länder nachweisen kann, dass man eine Gelbfieberimpfung oder ähnliches bekommen hat. Oder eben, dass der Hausarzt ab und zu reinschauen kann, ob mal wieder eine Tetanus-Impfung fällig ist.

Also liegt die Verifizierung der Impfung einzig bei der Apotheke oder der Arztpraxis?

Die könnten natürlich beim Impfzentrum anrufen, wenn es das noch gibt und Sie die Nummer haben. Oder bei dem Arzt, der die Impfung vorgenommen hat. Aber wenn Sie einen selbstgemachten Impfnachweis vorlegen und der akzeptiert wird, dann würden Sie auch so Ihr Zertifikat bekommen.

Geht das denn so einfach, einen echt aussehenden Impfnachweis zu basteln?

Wahrscheinlich schon. Ich würde schätzen, dass ungefähr ein Viertel der Leute einen komplett neuen Impfpass bekommen haben zur Corona-Impfung, weil sie das Heft einfach nicht mehr gefunden haben. Es ist also nicht auffällig, wenn Sie nicht mit einem Impfbuch mit allen Impfungen ihres bisherigen Lebens in der Apotheke aufschlagen. Einen Corona-Impf-Eintrag zu fälschen, wäre nicht schwer. Stempel, Unterschriften und die kleinen Etiketten, die eingeklebt werden.

An die Etiketten müsste man ja aber erstmal kommen.

BioNTech bietet einen Etikettenvordruck im Internet zum Download an. Denn die Impfzentren drucken im Gegensatz zu vielen Arztpraxen ihre Etiketten selbst aus. Die einzige Schwierigkeit dürfte im Erraten einer glaubwürdigen Chargennummer liegen. Und dann dürften auch Leute mit Ersatzbescheinigungen kommen, also nur dem Zettel, auf dem der Name, das Geburtsdatum und die Impfungen vermerkt sind. Anfang des Jahres hat zum Beispiel das Impfzentrum in Freiburg die Impfung nicht in den Impfpass eingetragen, sondern nur auf Ersatzbescheinigungen. Auch diese gibt es als Vordruck blanko zum Download.

Sie meinen also, wenn die QR-Codes direkt von den Impfzentren versendet werden, ist die Möglichkeit von Fälschungen weniger wahrscheinlich.

Ja, so gäbe es dann auf jeden Fall die Verifikation im Gegensatz zum Modell mit der Apotheke, denn das Impfzentrum oder das Gesundheitsministerium haben ja in ihrer Software zumindest Namen und Anschrift der Geimpften gespeichert. Das ist nur eine Fleißaufgabe, die Tausenden Zertifikatbriefe aus den Datenbanken der Impfzentren zu generieren, auszudrucken und im Anschluss an die Patienten zu verschicken. Aber für so etwas gibt es ja Dienstleister. Arztpraxen könnten das im übrigen genauso machen. Für die Apotheken und Praxen ist das aber natürlich nett, dass sie von den Kassen 18 Euro pro Impfzertifikat erhalten, das rückwirkend ausgestellt wird.

Das hört sich nach viel zusätzlichem Aufwand für die Beteiligten an, zumal ja nicht erst seit gestern solch ein digitaler Impfnachweis im Gespräch ist.

Ja, es ist ein Kraftakt, am Donnerstagnachmittag die Bedienungsanleitungen und Dokumente zum Mitmachen zu bekommen und dann ab Montag diese Nachweise auszustellen.

Nochmal zurück zu den Impfzentren. Was passiert denn mit den Daten, die einmal dort gespeichert wurden, wenn die Impfzentren abgeschafft werden? Einfach löschen könnte man die Daten ja alleine schon nicht, weil die Leute nachweisen können müssen, dass sie dort geimpft wurden.

Das ist in der Tat ein grundsätzliches Problem. Das sind ja Gesundheitsdaten, Krankenakten, bei denen Sie als Patient Recht auf Einblick haben. Und da wird es kompliziert, wenn Sie meinetwegen in drei Jahren Einblick in Ihre Akte wollen und eine Kopie zugeschickt bekommen möchten. Da wird es irgendwo ein großes Lager oder einen Speicher geben müssen, wo man das abrufen kann. In Baden-Württemberg werden die Daten aber beispielsweise zentral beim Sozialministerium gespeichert, immerhin das sollte es ja noch lange geben.

Wenn wir dann bald überall unsere Impfzertifikate vorzeigen müssen, um wieder am sozialen Leben teilhaben zu können, käme das doch einer indirekten Impfpflicht gleich.

Wenn es nicht die Alternative Schnelltest gäbe, schon. Diese Testangebote, die es jetzt überall gibt, sind ja nur temporär angelegt. Ich habe beim Aufbau von zwei Testzentren geholfen, und da war immer klar, dass deren Lebenszeit in Wochen und Monaten gemessen wird. Und für den Zeitraum, dass beispielsweise Kneipen oder Clubs sagen, „wir lassen nur Geimpfte rein und das kontrollieren wir oder müssen sogar kontrollieren“, hätten wir zwar keine gesetzliche, aber eine praktische Impflicht. Nur Geimpfte kämen wieder in den Genuss zu partizipieren. Und das, obwohl aktuell noch nicht alle die Möglichkeit hatten, sich impfen zu lassen.

Das Gespräch führte Uta Weisse.