In Österreich sollen am 19. Mai die Restaurants, Hotels und Veranstaltungsorte wieder öffnen dürfen – allerdings nur für Menschen, die frisch getestet, geimpft oder immun gegen das Coronavirus sind. Bereits in wenigen Wochen will die österreichische Regierung offenbar eine App ausrollen, mit der der eigene Corona-Status einfach nachgewiesen werden kann – doch die geleakten Pläne für die GreenCheck-App sorgen für heftige Bedenken.
Denn die österreichische Regierung plant, dass der Corona-Status von Personen in einer zentralen Datenbank gespeichert wird und dort einfach abgerufen werden kann. Dazu nutzt Österreich wie im EU-weiten „grünen Nachweis“ vorgesehen QR-Codes, allerdings sollte als Alternative zunächst auch die Kennnummer der Europäische Krankenversicherungskarte verwendet werden. Diese ist in Österreich wie in Deutschland auf der Rückseite der Gesundheitskarten zu finden.
GreenCheck ist als Web-Anwendung gedacht. Veranstalterinnen oder Ladenbetreiber sollten die Versicherungskarten mit der Foto-Funktion von Smartphones einlesen, die App würde dann automatisch den Status der betroffenen Person prüfen.
Ministerium rudert bei Kennzahl-Nutzung rasch zurück
Daran setzte es harte Kritik. „Ein massenhaftes Abrufen von Daten aller sozialversicherten Personen in Österreich ist möglich und aufgrund der Architektur des Systems auch fast nicht verhinderbar“, kritisierte Thomas Lohninger von der NGO epicenter.works. Denn werde wie vorgesehen die Krankenversicherungskarte abfotografiert, statt einen QR-Code zu nutzen, erlaube dies Missbrauch.
Es reiche, wenn etwa eine Kellnerin bei der Kontrolle ein Foto der Karte mache, sagt Lohninger – schon kenne sie Namen, Geburtsdatum und Sozialversicherungsnummer einer Person. Mit der Kennnummer könne sie dann immer wieder den Covid-Status der Betroffenen abrufen.
Das Gesundheitsministerium reagierte auf die Veröffentlichung der Pläne und kündigte an, die Gesundheitskarte zumindest zunächst nicht zu nutzen. Diese Funktion werde „hintangestellt“, sagte das Ministerium dem „Standard“. Das Ministerium wollte aber die spätere Nutzung nicht ausschließen.
„Kriminelle könnten Bewegungsprofile abgreifen“
Für Bedenken sorgt außerdem, dass für die Prüfung der Nachweise jedes Mal ein zentraler Server abgefragt wird. Die Abfrage lasse sich einer geprüften Person und einem Prüfzeitpunkt zuordnen. Damit speichere die Behörde Daten über das Bewegungsprofil von Millionen Menschen in Österreich. „So viel Information an einer Stelle kann niemals verhältnismäßig sein, insbesondere, weil es datenschutzfreundlichere Alternativen gäbe und diese auf EU-Ebene vorangetrieben und teilweise als fertige Software zur Verfügung gestellt werden“, sagt Lohninger.
„Wenn jetzt nicht absolut perfekte Schutzmechanismen bei dieser zentralen Datenbank implementiert sind, könnten Kriminelle diese Daten abgreifen und Bewegungsprofile davon ableiten“, glaubt auch der Informatiker René Mayrhofer, der das Institut für Netzwerke und Sicherheit der Universität Linz leitet. Er empfehle der Regierung, die angedachte Architektur nochmal zu überdenken und stattdessen die europäische Lösung des grünen Passes „ordentlich zu implementieren“.
Keine Reaktion gab es zunächst auf eine Anfrage von netzpolitik.org an die österreichische Datenschutzbehörde. Deren Chefin Andrea Jelinek leitet zugleich auch den Europäischen Datenschutzausschuss, in dem alle EU-Behörden sitzen. Die europäische Datenschützer:innen hatten zuletzt gefordert, die Impf- und Testnachweise dürften nicht in einer EU-weiten Datenbank landen und müssten hohe Datenschutzstandards erfüllen. EU-Abgeordnete und NGO hatten indes gewarnt, die Nachweise dürften nicht zu Überwachung oder Diskriminierung führen.
Auf europäischer Ebene verhandeln Rat, Parlament und Kommission noch über die EU-Verordnung über die grünen Nachweise. Das Parlament fordert in seiner Position, dass nationale Nachweisesysteme wie die GreenCheck-App in Österreich mit dem EU-weiten System vollständig interoperabel sind. Auch müsse die Prüfung der Nachweise offline erfolgen können.
Diese Forderungen scheinen kaum kompatibel mit dem, was die österreichische Regierung nun plant, da ihr System Prüfungen über den Server vorschreiben würde und Offline-Checks nicht möglich wären. Setzt sich das Parlament in den Verhandlungen durch, könnte das für Streit zwischen Brüssel und Wien sorgen. Die EU-Kommission wollte die österreichischen Pläne auf Anfrage von netzpolitik.org nicht kommentieren.
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires