Digitaler EU – Impfpass: „Technische Spezifikationen liegen noch nicht vor“

Digitaler EU – Impfpass: „Technische Spezifikationen liegen noch nicht vor“

Berlin, 22.3.2021

Mario Brandenburg ist einer der wenigen Politiker im Bundestag, die etwas von Digitalisierung verstehen. Nach dem Studium der Wirtschaftsinformatik hat er bei SAP als Cloud Integration Architekt gearbeitet.

Zur Zeit ist er technologiepolitischer Sprecher und Obmann im Ausschuss Digitale Agenda der Freien Demokraten im Deutschen Bundestag. Wir wollten von ihm wissen, was er vom digitalen Impfpass hält, den die Europäische Kommission Anfang Juni einführen will.

Dies ist ein per E-Mail geführtes Interview. Die Fragen stellte Horst Buchwald

Sie gehen davon aus, dass die Bundesregierung sowie die Europäische Kommission die Zeit für einen effektiven digitalen Kampf gegen die Pandemie verschlafen haben. Ihre Prognose: Bei gleichbleibendem Tempo werde am 1. Juni noch kein fertiger Impfausweis europaweit vorliegen. Woran wird das scheitern?

Bereits seitdem bekannt war, dass es ein Impfstoff gegen das SARS-CoV-2-Virus geben würde, hätten erste Schritte für einen geregelte Öffnung des gesellschaftlichen Lebens ergriffen werden müssen – das wurde versäumt. Nichtsdestotrotz ist der jetzt vorgestellte digitale Impfpass durch die Europäische Kommission ein richtiger und wichtiger Schritt. Aktuell schlägt die Europäische Kommission eine EU-Verordnung für die Umsetzung des digitalen Impfpasses vor. Der institutionelle Weg für eine Verordnung braucht eine gewisse Zeit – dies liegt an dem Aushandeln des Gesetzestextes zwischen EU-Parlament und den Regierungen der EU-Mitgliedsländer. Auch aus technischer Sicht wird es schwer diesen Termin einzuhalten. Meiner Kenntnis nach liegen aktuell noch keine technischen Spezifikationen für solch einen EU-weiten digitalen Impfpass vor.

Ist der Juni für Deutschland nicht ohnehin ein unglücklicher Monat, weil sich abzeichnet, dass dann immer noch viel zu wenig Deutsche geimpft sind?

Aktuell gibt es für keinen Monat in diesem Jahr ein wirklich stichfesten Fahrplan durch die Pandemie, weil der genaue Pandemieverlauf sowie das Infektionsgeschehen nicht punktgenau vorhersagt werden können. Die derzeitigen Impfzahlen sind jedoch enttäuschend und bleiben deutlich hinter den berechtigten Erwartungen der BürgerInnen zurück – besonders, wenn man ins Ausland schaut. Wenn weitere Zulassungen für vielversprechende Impfstoffe erfolgen und auch HausärztInnen Impfungen vornehmen dürfen, wird die Zahl geimpfter Personen jedoch weiter steigen. Es ist daher auch ein gutes Zeichen, dass der Impfstoff von AstraZeneca wieder für die weitere Verimpfung freigegeben wurde. Je nachdem wie die weiteren Lieferzusagen der Hersteller ausfallen, kann natürlich auch die jeweils zweite Impfung aus einer Charge freigegeben werden – auch das würde die Anzahl geimpfter Personen zusätzlich erhöhen.

Wird die Impfreihenfolge beibehalten, fliegen die Rentner nach Mallorca und die malochenden unter 40- jährigen müssen zu Hause bleiben, weil sie noch nicht geimpft wurden? Was kommt da auf uns zu?

An dieser Stelle halte ich es für nicht zielführend einen Generationenkonflikt ausfindig zu machen. Die Impfreihenfolge richtet sich nach medizinischen Kriterien, die Personengruppen bevorzugt, die durch eine SARS-CoV-2-Infektion besonders gefährdet sind. Auch der Deutsche Ethikrat hat die aktuell angewandte Impfreihenfolge grundsätzlich bestätigt – auch, wenn ich mir beispielsweise für die HausärztInnen etwas mehr Flexibilität vorstellen könnte. Diese wissen oft besser, welche PatientInnen eher eine Impfung benötigen, als es eine starre Altersgrenze aus einer Verwaltungsvorlage beurteilen kann.

Sie beklagen „gravierende Lücken bei der technischen Umsetzung“ und weisen darauf hin, dass „besonders die Voraussetzungen für die digitale Infrastruktur in den europäischen Mitgliedsstaaten (z. B. die notwendigen Apps, aber auch die Public Key Infrastructure), die für eine einheitliche Zertifizierung und höchste IT-Sicherheit von besonderer Bedeutung sind, fehlen würden. Was meinen Sie konkret?

In dem von der Europäischen Kommission vorgelegten Konzept zum digitalen Impfpass fehlen besonders Details darüber, wie die technische Struktur der Zertifikate aussieht. Zwar ist vorgesehen, dass jedes EU-Mitgliedsland sein eigenes Zertifikat erhalten soll. Jedoch gibt es nach meinem Kenntnisstand noch keine tiefergehende Planung, wie beispielsweise Impfzentren in die Zertifikatsstruktur eingebunden werden sollen. Aus meiner Sicht wäre eine praktikable Lösung die Verwendung von Zertifikatsketten – ähnlich, wie bei der weit verbreiteten TLS-Verschlüsselung. Dort gibt es ein Wurzelzertifikat, von dem sich transparent weitere Zertifikate ableiten lassen. So können einzelne Impfzentren, einzelne Testzentren, ganze Bundesländer und die Bundesrepublik insgesamt jeweils mit einem eigenen Zertifikat dezentral arbeiten. Genau solche Festlegungen der Details vermisse ich in den Dokumenten von der EU-Kommission. Auch besteht noch Unklarheit über die noch zu entwickelnden Applikationen (möglich sind hier bis zu fünf Apps: das europäische Gateway; eine Applikation zum Erstellen von Zertifikaten für Impf- oder Testzentren; eine Applikation für den Bürger; eine Applikation für das Personal in den Impf- oder Testzentren und eine weitere für Personen, die den Impf- oder Infektionsstatus der BürgerInnen kontrollieren wollen, wie z.B. PolizeibeamtInnen oder Sicherheitspersonal. Sicherlich wird man manche dieser Applikationen jeweils für iOS und für Android entwickeln wollen – wir reden daher womöglich von noch mehr Applikationen.

Ist es wahr, dass die Bundesregierung (oder EU – Kommission) gleich drei amerikanische Konzerne – nämlich Microsoft, Oracle und Salesforce – mit der Produktion des digitalen Impfausweises beauftragt hat? Wenn ja, was soll der Ausweis kosten?

Für die Entwicklung des digitalen Impfausweises in Deutschland gab es eine Ausschreibung, auf die sich diverse Unternehmen beworben haben. Nach meinem Kenntnisstand wurde der Auftrag federführend an den Technologiekonzern IBM vergeben. Auch in Deutschland ansässige Unternehmen sind mit bei der Entwicklung involviert. Das Unternehmen Ubirch aus Köln liefert beispielsweise die Technologie – diese kommt auch schon beim Impfpass im oberbayerischen Altötting zur Anwendung. Auch sind beispielsweise die IT-Firma Bechtle aus Neckarsulm oder die Technologiegenossenschaft Govdigital beteiligt. Wir haben hier also eine vielversprechende Mischung aus einem digitalen Globalplayer und innovativen deutschen IT-Unternehmen. Nach meinem Wissen belaufen sich die Kosten in Deutschland für eine Impfnachweis-App, eine Prüf-App und ein Backendsystem für die Integration in Arztpraxen und Impfzentren auf insgesamt 2,7 Millionen Euro.

In Altötting gibt es einen digitalen Impfpass für 1,50 Euro pro Ausweis, der mit Blockchain-Technik hergestellt wurde.Ist es darum nicht übertrieben, wenn wir ein eher simples Produkt wie den digitalen Impfpass von amerikanischen Konzernen herstellen lassen?

Unser Ziel für einen europäischen Impfpass sollte ein datensparsames Modell sein, welches auf Open Source aufbaut und dem hohen Datenschutzstandards gerecht wird. Natürlich kann dieser in Deutschland oder der Europäischen Union durch hiesige Startups oder Unternehmen, aber eben auch durch US Unternehmen, programmiert werden. Für mich steht die Qualität der Lösung im Fokus, nicht der Hersteller.