Die Corona-Warn-App hat ein neues Feature herausgebracht. User sollen damit künftig bereits vor dem Ticketkauf ihren Impfstatus prüfen lassen können. Einige befürchten jedoch, dass die neue Funktion auf Kosten der Privatsphäre gehen könnte.
Die Corona-Warn-App hilft Unternehmen und Einrichtungen jetzt schon dabei, den Impfstatus von Personen zu prüfen. Allerdings ist das System noch relativ umständlich. Wer beispielsweise ein Konzert organisiert, muss aktuell vor Ort sowohl den Impfstatus als auch die Identität aller Personen prüfen.
Das soll künftig einfacher gehen. Mit der neuen Version 2.15 der Corona-Warn-App soll es ein Feature geben, mit dem Nutzer:innen schon beim Kauf von Tickets ihren Impfstatus prüfen lassen können. Die Prüfung soll ein Onlineverifikationsdienst übernehmen. Doch genau das ist umstritten. Einige befürchten, dass das die Anonymität der User gefährden könnte.
Impfstatus prüfen: So soll der Onlineverifikationsdienst funktionieren
Genau genommen soll der Onlineverifikationsdienst die erforderlichen Corona-Nachweise digital und im Voraus prüfen. Das soll unter anderem für Veranstaltungen oder Flüge möglich sein.
Wenn eine Person also beispielsweise ein Konzertticket online reserviert, erscheint hier in Zukunft die Möglichkeit den Corona-Nachweis direkt beim Buchen zu verifizieren. Dem müssen User aber vorab aktiv zustimmen. Der Nachweis erfolgt also nicht automatisch.
Wenn Nutzer:innen dem zustimmen, erhalten sie zunächst im Buchungsprozess der Veranstalter einen QR-Code für ihre Tickets. Dieser lässt sich dann mit der Corona-Warn-App scannen, beziehungsweise per Screenshot in die App hochladen.
Damit kann die App dann erkennen, welchen Corona-Nachweis der jeweilige Veranstalter oder das Unternehmen fordert und User können ihre entsprechenden Nachweise wie etwa das Impfzertifikat oder den Genesenennachweis hochladen.
Diese Nachweise wiederum werden dann, mit Einverständnis der User, an den Validierungsservice übermittelt und geprüft. Passen die Anforderungen des Veranstalters und die User-Nachweise zusammen, erhalten beide Seiten eine Bestätigung.
Vor Ort muss man dann nur noch die Identität prüfen, was wiederum Zeit und Personal spart.
Angeblich erfolgt all dies ohne die Speicherung von persönlichen Daten. Vonseiten der App-Betreiber heißt es etwa, dass die Veranstalter die Zertifikate nicht einsehen können und auch nicht wissen, welches Zertifikat ein User eingereicht hat. Sie erhalten lediglich die Bestätigung.
Personenbezogene Daten würden außerdem nicht gespeichert, heißt es.
Die Prüfung selbst findet on-the-fly im Arbeitsspeicher des Servers des Validierungsservices statt. Die beteiligten Speicherbereiche werden automatisiert bereinigt. Auch beteiligte Logfiles speichern keine personenbezogenen Daten oder Informationen zu den Zertifikaten. Einzig verbleibender Speicherort eines Zertifikats ist das Smartphone des Nutzers.
Dennoch befürchten Expert:innen, dass damit die bislang geschätzte Ruf der Anonymität der Corona-Warn-App gefährdet werden könnte.
Völlige Anonymität nicht mehr vorhanden
Das findet etwa Anja Lehmann, Professorin für IT-Sicherheit und Identitätsmanagement beim Hasso-Plattner-Institut. Gegenüber Netzpolitik.org äußerte sie Bedenken, dass das neue Feature das Versprechen breche, keine persönlichen Daten aus der App weiterzuleiten.
Denn auch wenn die Daten angeblich nicht (langfristig) gespeichert werden, landen all die Informationen zunächst zentral bei einem Validierungsdienst. Das heißt, dieser Validierungsdienst weiß damit theoretisch auch zumindest zeitweise, wer welche Veranstaltungen bucht oder wann jemand mit welchem Unternehmen eine Reise antritt. Die völlige Anonymität ist damit aber nicht mehr vorhanden.
Bislang ist noch nicht klar, welches oder welche Unternehmen die Validierung in der Corona-Warn-App übernehmen werden. Das werde derzeit noch von den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit geprüft.
Dennoch gibt es Hinweise darauf, dass möglicherweise die Telekom-Tochter T-Systems frühzeitig wusste, dass dieses Feature kommen würde und entsprechend schon mehr Zeit als die Konkurrenz hatte, um eine entsprechende Technologie zu entwickeln.
Onlineverifikation freiwillig… noch
Die Onlineverifikation des Impfstatus soll aber freiwillig und nur mit ausdrücklichem Einverständnis der User erfolgen. Wer also seine Zertifikate nicht digital verifizieren lassen möchte, muss dies künftig nicht tun und kann dies weiterhin wie bislang vor Ort vornehmen lassen.
Dennoch könnte es vonseiten der Unternehmen hier mehr Druck für User geben, ihre Tickets auf diese Art zu buchen. Denn potenziell bieten derartige Informationen viele wertvolle Daten für Unternehmen. Ein Ticket anonym und spontan an der Kasse zu kaufen, könnte damit künftig schwieriger werden.
Gleichzeitig bietet eine solche Form der Datenspeicherung auch Potenzial für Missbrauch, wie man es gerade im Fall der Luca-App sieht. Hier hatte die Polizei unerlaubt auf persönliche Daten aus der App zugegriffen.
Auch interessant:
