Auftrag für Blockchain-Startup So soll Deutschlands digitaler Impfpass funktionieren
Mehr als 150 Journalistinnen und Journalisten berichten rund um die Uhr für Sie über das Geschehen in Deutschland und der Welt.
Zum journalistischen Leitbild von t-online.Ein digitaler Impfnachweis soll dabei helfen, dass Geimpfte ihren Status leichter beweisen können. Eine Ausschreibung des Staates haben nun die US-Firma IBM und ein deutsches Start-up gewonnen. Doch das versprochene Konzept wird bereits kritisiert.
Der US-Konzern IBM soll den digitalen Impfnachweis in Deutschland erstellen. Dies geht aus der Onlineausgabe des Amtsblatts der Europäischen Union hervor. Zuerst hatte das Wirtschaftsmagazin "Business Insider" von der Vergabe an IBM berichtet.
IBM setzte sich damit unter anderem gegen die Deutsche Telekom durch, die ebenfalls als Favorit für den Auftrag galt. Die Telekom hatte bereits mit dem Softwarekonzern SAP die Corona-Warn-App entwickelt. Mehr zur App lesen Sie hier. Daneben sind auch die IT-Genossenschaft Govdigital, der IT-Dienstleister Bechtle und das Start-up Ubirch in dem Projekt involviert, wie die Nachrichtenagentur dpa am Dienstag berichtete.
Was sich das Gesundheitsministerium wünscht
Die eigentliche Technologie für den Impfnachweis soll dabei vom deutschen Start-up Ubirch aus Köln kommen, mit der IBM zusammenarbeitet. Das Unternehmen war für die erste digitale Impfkarte in Deutschland für den Landkreis Altötting verantwortlich. Mehr dazu lesen Sie hier.
Laut der Ausschreibung des Gesundheitsministeriums soll der digitale Impfnachweis eine zusätzliche Möglichkeit zum gelben Impfpass sein, um Impfungen zu dokumentieren. "Statt nur im gelben Impfpass Impfzeitpunkt, Impfstoff und Namen vorweisen zu können, sollen Nutzerinnen und Nutzer diese Informationen künftig auch personalisiert bequem auf ihren Smartphones digital speichern können", so das Ministerium in der Ausschreibung. "Der digitale Impfnachweis umfasst eine Impfnachweis-App, eine Prüf-App und ein Backendsystem für die Integration in Arztpraxen und Impfzentren."
Das System funktioniert genau genommen so: Aus den Daten der Geimpften werde ein "anonymer Fingerabdruck" generiert, schreibt Ubirch auf seiner Website. Geimpfte erhalten nach ihren abgeschlossenen Impfungen einen QR-Code – entweder auf Papier, Plastikkarte, per Mail oder App. Der QR-Code enthalte neben dem Impfnachweis auch Daten der Nutzer und soll so belegen, dass die Person geimpft wurde. Der eigentliche Impfnachweis ist laut Ubirch "kryptografisch signiert" und "als Nachweis in einer Blockchain der govdigital sowie vier weiteren Blockchains verankert."
Auf seiner Website argumentiert Ubirch unter anderem auch, dass die Blockchain-Technologie des Unternehmens DSGVO-konform und fälschungssicher sei.
Kritik am Blockchain-Verfahren
Einige Digital-Experten sehen das Ganze kritischer. So schreibt Linus Neumann, Pressesprecher des Chaos Computer Clubs, auf Twitter: "Kann mir mal bitte jemand erklären, warum man dafür überhaupt eine Blockchain braucht? Und wofür vier weitere?"
Auch der Informatiker Jürgen Geuter, alias tante, ist von der Verwendung der Blockchain-Technologie für so ein Projekt nicht überzeugt: "Die Blockchain-Community arbeitet seit Jahren daran, einen Anwendungsfall zu finden, wo man diese Technologie einsetzen kann. Aber es ist eben fast immer die schlechteste Lösung, für das, was man tun möchte."
Stattdessen könne man bei so einem Vorgehen wie einem digitalen Impfnachweis auch auf "klassische althergebrachte" Datenbanken setzen, sagt Geuter. Das habe zudem den Vorteil, dass die Experten dafür billig zu finden seien, statt dass man "für viel Geld speziell ausgebildete Leute einkaufen muss", so Geuter. "Das ist eine bekannte, gut funktionierende, auditierte Technologie und nicht irgendein mit der heißen Nadel zusammengestrickter, ungetesteter Voodoo, von dem keiner weiß, ob er überhaupt sicher ist."
Geuter zweifelt auch an der DSGVO-Konformität des Ganzen. Denn das Gesetz erlaube beispielsweise das Recht auf Löschung der Daten (Artikel 17). "Aber aus einer Blockchain könne man keine Daten löschen", sagt Geuter. Der ausgebildete Datenschutzbeauftragte weist auch darauf hin, dass die gespeicherten Daten des digitalen Fingerabdrucks einer Person auf den Nutzer Rückschlüsse zulassen können – und so die versprochene Anonymität gefährden. "Man kann mit einem gewissen Aufwand aus den Daten im Impfpass wieder – besonders schützenswerte, da die Gesundheit betreffende – personenbezogene Daten machen", sagt Geuter. "Mich würde die Argumentation schon interessieren, wie alles anonym gehalten werden soll."
Fertigstellung bis Sommer geplant
Laut einem Bericht der „Süddeutschen Zeitung“ verlange die Regierung aber auch, dass das System offline verfügbar sei. Gesundheitsminister Jens Spahn will den digitalen Impfpass noch vor den deutschen Sommerferien anbieten und hatte deswegen kurzfristig ein Dringlichkeitsverfahren auf den Weg gebracht. Besonders die Tourismus- und Luftfahrtbranche setzt große Hoffnungen in ein solches Dokument, das EU-weit einheitlich gestaltet werden soll.
Der Abschluss des Vertrags mit IBM erfolgt erst nach Ablauf von zehn Kalendertagen. Laut der "Süddeutschen Zeitung" soll das Unternehmen 2,7 Millionen Euro für die Entwicklung bekommen. Laut "Business Insider" erhalte IBM 50 Cent pro Zertifikat. Das Medium rechnet vor, dass der Auftrag damit mehr als 32 Millionen Euro wert wäre.
Der digitale Impfpass soll acht Wochen nach dem Zuschlag fertig sein und könnte so bereits im Juni zum Einsatz kommen.
- Businessinsider.de: "Entscheidung gegen Telekom gefallen: Digitaler Impfpass kommt von US-Firma IBM"
- Ausschreibung des Auftrags
- Website von Ubirch mit Infos
- Sueddeutsche.de: "Digitaler Impfpass kommt von IBM und Kölner Start-up Ubirch"
- Mit Material der Nachrichtenagentur Reuters
- Mit Material der Nachrichtenagentur dpa
- Spiegel.de: "Ubirch und IBM erhalten Zuschlag für deutschen digitalen Impfnachweis"