Die EU will die "digitale Brieftasche" einführen. Das ist ein gefährlicher Irrweg in die fast totale Überwachung. Als ein Schritt kann in Deutschland nach der elektronischen Patientenakte bald der digitale Impfpass eingeführt werden.
Normalerweise begeistern sich IT-Fachleute für progressive IT-Lösungen, doch nun warnen IT-Sicherheitsexperten eindringlich davor, dass die EU mit der Einführung der geplanten digitalen Brieftasche einen gefährlichen Irrweg einschlagen könnte.
Zum Hintergrund: Am 29. Februar dieses Jahres votierte das EU-Parlament für die Einführung einer EU-weiten digitalen Brieftasche (European Digital Identity Wallet, kurz: EUDI-Wallet), die nicht nur für die elektronische Authentifizierung (europäische digitale Identität, kurz: eID) genutzt werden kann, sondern auch für den Zugang zu öffentlichen und privaten Dienstleistungen sowie für die Speicherung, die Freigabe und die digitale Unterzeichnung von Dokumenten.
Dazu zählen etwa Führerschein, Krankenkarte, Impfpass, ärztliche Rezepte, Berufszertifikate, Reisetickets, Zeugnisse oder Verträge. Künftig können EU-Bürger also vom Mobiltelefon aus elektronische Dokumente aus ihrer digitalen Brieftasche weiterleiten und beispielsweise online ein Bankkonto eröffnen, wobei verschiedene Daten miteinander verknüpft werden können.
In einem offenen Brief, der auf den 7. August datiert ist, fordern allerdings insgesamt rund 50 Einzelpersonen und Nichtregierungsorganisationen (NGOs) von den verantwortlichen Politikern, den aktuellen Entwurf zur technischen Umsetzung der europäischen digitalen Brieftasche noch einmal zu überdenken, da er schwerwiegende Mängel aufweise, die die Sicherheit und den Schutz der Privatsphäre aller EU-Bürger gefährden würden. Sie rufen die EU-Kommission und die Mitgliedstaaten dazu auf, bei der Entwicklung des ID-Systems, das die sensibelsten Daten der Europäer verarbeiten wird, mit der nötigen Sorgfalt vorzugehen und den Durchführungsrechtsakt nicht übereilt zu verabschieden.
Auch in Deutschland wird der digitale Impfpass kommen
Kritikpunkte sind unter anderem die vorgeschlagenen Verschlüsselungsmechanismen, die nicht auf dem neuesten Stand der Technik seien, da sie nur gewählt worden seien, um mit den bestehenden nationalen digitalen Identitätssystemen kompatibel zu sein. Diese alten Systeme seien jedoch nicht für die Verarbeitung riesiger Mengen persönlicher Informationen ausgelegt. Wichtige Datenschutzanforderungen würden daher vollständig ignoriert. Dadurch seien die Bürger nicht vor Tracking, staatlicher Überwachung und Identitätsmissbrauch geschützt. Zudem enthalte der derzeitige Vorschlag eine Hintertür, durch die jeder Nutzer auf Ersuchen von Strafverfolgungsbehörden eindeutig identifiziert werden könnte. Unter den Unterzeichnern befinden sich durchaus technikaffine NGOs wie Digitalcourage, die Digitale Gesellschaft e.V. und die Digitale Gesellschaft Switzerland, aber auch Wissenschaftler etwa der Universitäten von Linz und St. Pölten.
Dass man sich besonders in Österreich mit den Mängeln der geplanten EU-weiten digitalen Brieftasche befasst, ist vermutlich kein Zufall. Denn hier steht die Einführung eines verpflichtenden elektronischen Impfpasses kurz bevor. Laut Änderung des sogenannten Gesundheitstelematikgesetzes soll dadurch eine „Optimierung der Impfversorgung der Bevölkerung“ erreicht werden, nämlich vor allem eine „einheitliche, flächendeckende und lückenlose digitale Impfdokumentation sowie eine verbesserte, schnellere Verfügbarkeit von Impfinformationen“ und nicht zuletzt die „Steigerung der Prozess- und Ergebnisqualität von Impfungen und die Wirksamkeit von öffentlichen Impfprogrammen“. Auch die „Verfügbarkeit digitaler Impfinformationen für die Steuerung des öffentlichen Gesundheitswesens“ werden hervorgehoben. Außerdem seien durch den eImpfpass personalisierte Impfempfehlungen möglich. Als wesentlicher Bestandteil des eImpfpasses soll darüber hinaus ein zentrales Impfregister angelegt werden.
Auch in Deutschland wird es wahrscheinlich in absehbarer Zeit zur Einführung eines digitalen Impfpasses kommen. So informiert das Bundesministerium für Gesundheit (BMG) auf seiner Website: „Mit der elektronischen Patientenakte (ePA) wird es perspektivisch möglich sein, Daten zu Impfungen, die Versicherte erhalten haben, in einem elektronischen Impfpass digital verfügbar zu haben. Auf diese Weise können Versicherte Impfungen digital vorweisen und künftig auch von möglichen Mehrwerten, wie einer digitalen Impf-Erinnerung, profitieren. Zugleich können gegebenenfalls bestehende Impflücken schneller erkannt und notwendige Impfungen nachgeholt werden. Auch wird die Übersicht bestehender Impfungen sowohl für die Versicherten als auch die Ärzte in der medizinischen Versorgung erleichtert, da ein Impfausweis in Papierform verloren gehen kann und im Bedarfsfall dann nicht zur Verfügung steht.“
Kernelement des Digital-Gesetzes ab 2025
Die digitale Dokumentation von Impfungen soll laut BMG in der elektronischen Patientenakte nach einer festen Struktur erfolgen, die auf internationalen Standards basiert und sicherstellt, dass Daten zwischen der ePA und den verschiedenen digitalen Systemen der Gesundheitsversorgung ausgetauscht und weitergenutzt werden können. Der Aufbau der ePA erfolgt in mehreren Stufen: Zunächst werden die Voraussetzungen für die digitale Unterstützung des Medikationsprozesses unter Einbindung des elektronischen Rezepts (E-Rezept) geschaffen. Dann folgen weitere Funktionalitäten wie u.a. der elektronische Impfpass. Unabhängig davon können jedoch schon heute in den elektronischen Patientenakten einzelner Krankenkassen die Impfdaten durch die Versicherten selbst eingepflegt werden, sodass sich die Versicherten beispielsweise an Impfungen erinnern lassen können.
Die elektronischen Patientenakte wird als Kernelement des Digital-Gesetzes ab 2025 für alle gesetzlich Versicherten bereitgestellt (achgut berichtete u.a. hier, hier und hier). Es ist jedoch möglich, im Vorfeld bei der jeweiligen Krankenkasse aktiv dem Anlegen einer ePA zu widersprechen. Dabei handelt es sich um das sogenannte Opt-Out-Prinzip: Jeder, der nicht ausdrücklich widerspricht, ist automatisch dabei. Vielleicht könnte als Entscheidungshilfe dienen, dass im Januar 2022 der Corona-Expertenrat der Bundesregierung verlangte, die Einführung der elektronischen Patientenakte „mit höchster Priorität“ umzusetzen, da die elektronische Patientenakte auch im Zusammenhang mit der damals angestrebten Impfpflicht „Vorteile“ bringen könnte.
Auch Bundesgesundheitsminister Lauterbach spricht sich selbstverständlich für die elektronische Patientenakte aus. Er will die damit in anonymisierter Form erhobenen medizinischen Informationen allerdings vor allem der Forschung leichter zugänglich machen. Es geht bei der Datenerhebung offenbar nicht zuletzt ums Geschäft. Lauterbach stört es nämlich, dass BioNTech seine Forschung nach England verlegt hat, „weil man dort bessere Daten hat“. Übrigens werden die Daten der ePA nicht etwa bei den Krankenkassen, sondern bei privaten Unternehmen wie zum Beispiel dem Softwarekonzern IBM gespeichert, wobei IBM Consulting wiederum mit Microsoft zusammenarbeitet. Wie weit die Daten also tatsächlich nur anonymisiert verwendet werden, ist vor allem angesichts möglicher Datenpannen, Hackerangriffen und Identitätsdiebstählen fraglich.
Auch Industrieverbände unterstützen den europäischen Impfpass
Die in New York ansässige Organisation ID2020 entwickelt zusammen mit der Digital Impact Alliance sogar schon eine transnationale digitale Identität für alle Menschen weltweit. Beteiligt daran sind Hightech-Konzerne, Stiftungen und Organisationen wie etwa Microsoft, die Rockefeller Foundation, die Bill & Melinda Gates Foundation, die Impfallianz GAVI und das UNHCR (Flüchtlingskommissariat der Vereinten Nationen). Am 8. November 2023 starteten die Vereinten Nationen über ihr „Entwicklungsprogramm“ (United Nations Development Programme, kurz: UNDP) eine Kampagne mit dem Titel „50-in-5“. Damit wollen sie eine globale „sichere, inklusive und interoperable digitale öffentliche Infrastruktur“ (Digital Public Infrastructure, kurz: DPI) voranbringen. Auch hier drängen vor allem Stiftungen, die eng mit Digitalkonzernen verbunden sind, auf die beschleunigte Umsetzung der DPI.
Vordergründig sollen all diese Projekte dem Wohl der Bürger respektive der zukünftigen Patienten dienen. Ganz sicher dienen sie aber nur dem Wohl der involvierten Konzerne. So verhält es sich auch bei dem europäischen Impfpass (European Vaccination Card, kurz: EVC), der innerhalb des von der EU finanzierten Projekts European Vaccination Beyond Covid-19 (EUVABECO) entwickelt worden ist und ab September dieses Jahres in fünf europäischen Ländern eine Testphase durchlaufen wird: nämlich in Deutschland, Belgien, Lettland, Griechenland und Portugal. Im Rahmen des EU4Health-Programms der EU-Kommission soll durch diesen Testlauf der Weg für andere Länder geebnet werden, indem beispielsweise die Kompatibilität zwischen den verschiedenen Gesundheitssystemen hergestellt wird und Umsetzungspläne ausgearbeitet werden. Diese Pläne sollen 2026 veröffentlicht werden, sodass eine Einführung des europäischen Impfpasses in allen EU-Mitgliedstaaten ermöglicht wird.
Schaut man sich jedoch die Partner von EUVABECO genauer an, stellt man fest, dass außer einigen Universitäten und Gesundheitsbehörden auch Industrieverbände wie etwa Vaccines Europe den europäischen Impfpass unterstützen. Vaccines Europe ist eine auf Impfstoffe spezialisierte Gruppe innerhalb der European Federation of Pharmaceutical Industries and Associations (EFPIA), dem Berufsverband der innovativen Pharmaindustrie in Europa. Sie vertritt in Europa tätige Impfstoffunternehmen aller Größenordnungen und umfasst derzeit auch alle weltweit führenden forschungsorientierten Impfstoffhersteller, einschließlich kleiner und mittlerer Unternehmen (KMU). Dass Vaccines Europe genau wie das französische Softwareunternehmen Syadem, das sich auf medizinische Diagnostik spezialisiert hat, großes Interesse an der Einführung eines europäischen Impfpasses zeigen, ist wenig überraschend.
„Bürgernahe Methode der Datenspeicherung und -weitergabe“
Neben dem europäischen Impfpass entwickelt EUVABECO übrigens noch weitere „innovative Instrumente“, wie etwa ein Entscheidungshilfe-System, das Impfempfehlungen ausspricht, ein Screening-Tool, mit dem gefährdete Bevölkerungsgruppen identifiziert werden können, sowie ein Modellierungs- und Prognoseinstrument zur Bewertung der Auswirkungen von Maßnahmen im Bereich der öffentlichen Gesundheit. Als Vorbild für das EU-Screening-Tool dient das belgische Projekt LINK-VACC, in dem bereits ab 2021 Datenbanken aus verschiedenen Quellen wie Gesundheitsregistern, Versicherungsunterlagen, Testzentren und Informationen von Allgemeinärzten auf individueller Ebene verknüpft wurden, was personalisierte Einblicke in umfassende Bevölkerungsdaten ermöglichte. So wurden Gruppen mit hoher Priorität identifiziert und daraufhin geimpft, und „der Fortschritt sowie die Wirksamkeit der Impfung“ konnten effektiv überwacht werden.
Hier wird unverhohlen deutlich, dass die Datenerhebung nicht zuletzt auf Kontroll- und Überwachungsmöglichkeiten abzielt, um etwa die „Durchimpfung in verschiedenen demografischen und sozioökonomischen Gruppen“ zu ermitteln. Diese Informationen seien nämlich für die politischen Entscheidungsträger von entscheidender Bedeutung, „um die Impfkampagnen wirksam zu überwachen und an die sich entwickelnde Viruserkrankung anzupassen“. Der europäische Impfpass ermögliche es Menschen, „die Kontrolle über ihre eigenen Impfdaten zu übernehmen, das Impfmanagement zu revolutionieren und eine gesündere Zukunft für alle Europäer zu gewährleisten“. Diese „bürgernahe Methode der Datenspeicherung und -weitergabe“, die sich nicht allein auf öffentliche Gesundheitssysteme stützt, wurde dabei erst durch das Global Digital Health Certification Network (GDHCN) möglich: Das GDHCN wurde während der Corona-Krise für das digitale COVID-Zertifikat der EU etabliert und wird mittlerweile von der Weltgesundheitsorganisation verwaltet.
Wir erinnern uns: Auch die Einführung des digitalen COVID-Zertifikats der EU wurde mit der „Vereinfachung von Reisen in Europa“ begründet. Dabei war die Nutzung des digitalen COVID-Zertifikats „freiwillig“. Konkret bedeutete das: Wenn man reisen wollte, musste man sich „freiwillig“ für die CovPass-App oder den entsprechenden QR-Code und damit auch für die Genimpfung entscheiden. Entschied man sich „freiwillig“ dagegen, durfte man eben einfach nur nicht reisen. Selbst schuld. Auf diese Art von Freiwilligkeit soll vermutlich auch die Nutzung des europäischen Impfpasses hinauslaufen. Damit würde das Widerspruchrecht gegen die elektronische Patientenakte allerdings faktisch ausgehebelt – wie es auch schon in Österreich geplant ist. Man muss nicht mit sonderlich blühender Fantasie gesegnet sein, um sich auszumalen, welche Folgen es haben kann, wenn der Impfstatus mit der digitalen Brieftasche verknüpft wird, die auch Reisedokumente, Tickets und Bankkonten enthält.
Martina Binnig lebt in Köln und arbeitet u.a. als Musikwissenschaftlerin (Historische Musikwissenschaft). Außerdem ist sie als freie Journalistin tätig.