2021/05/04 Corona-Ausweis - nicht praxistauglich
Beschlossenes Corona-Pass-Gesetz bleibt vage - "Gesundheitsminister" kann Umfang und Geltung beliebig festlegen - keine Vorgaben zur technischen Umsetzung geschaffen - zentrale Überwachung oder dezentraler Datenmüll drohen
Gundrechtsbedenken sind zu Corona-Zeiten überflüssiger Luxus, mögen viele denken, Gesundheit geht vor. Die Regierung springt auf diesen Zug auf. Wer genügend Angst hat, dem kann man alles unterjubeln. Analysieren wir die technische Seite des "Diskriminierungs-Passes".
Wie funktioniert der "Diskriminierungs-Pass"?
Zum Vorhaben gab es keine korrekte Begutachtung, es konnte daher niemand offizell Stellung nehmen. Der Initiativentwurf aus März 2021 ist überaus vage, das endgültige Gesetz noch mehr. Ein klassischer parteipolitischer Kuhhandel eben.
Der Entwurf vermeidet Begriffe wie "Grüner Pass" oder vergleichbare Euphemismen. An mehreren Stellen wird von einem "Nachweis über eine lediglich geringe epidemiologische Gefahr des Teilnehmers" gesprochen.
Wie dieser Nachweis konkret auszusehen hat, wie sicher gestellt wird, dass niemand diskriminiert wird, wird an keiner Stelle des Entwurfs erwähnt. Vage wird von Tests gesprochen, die aber auch im Einzelfall unterschiedlich gestaltet sein können oder auch entfallen können.
Gesundheitsminister erhält willkürliche Verordnungsermächtigung
Im COVID-19-Maßnahmengesetz wird die Verordnungsermächtigungen des Gesundheitsministers für den Einsatz dieses "Nachweises" beschrieben.
Diese Ermächtigungen strotzen von unbestimmten Formulierungen wie, "keine unverhältnismäßig größere epidemiologische Gefahr ausgeht". Von Medizinern wird allen Ernstes verlangt, eine verbindliche Bewertung zu treffen, ob eine bestimmte Person eine höhere oder geringere Gefahr darstellt, als andere Personen.
Kriterien zur Bewertung fehlen im Gesetz vollständig, im Ergebnis wird der Arzt zum Wächter über die Bewegungsfreiheit von Bürgern und Bürgerinnen gemacht.
Wenn man bedenkt, dass sich derzeit die Einschätzung über die Qualität der verschiedenen Tests, ihre sinnvolle Gültigkeitsdauer, die Wahrscheinlichkeit einer Wiederansteckung, die Dauer der Immunisierung nach Impfung, die Wirksamkeit der einzelnen Impfstoffe, die Möglichkeit der Ansteckung mit dem Virus, trotz Impfung, ändert, ist das Ergebnis bestenfalls zufällig, meist jedoch willkürlich. Von den Auswirkungen der Mutationen ganz zu schweigen.
Mögliche Umsetzungsvarianten
Geplant ist bestehende Datenbestände, etwa aus dem Impfregister, dem Testregister und den Gesundheitsdaten der Spitäler zusammen zu führen und daraus einen "Diskriminierungs-Status" zu errechnen.
So soll am Ende dieser Datenverknüfung folgendes stehen: "Frau ABC wurde am *** um *** Uhr mit dem Testverfahren XYZ negativ getestet und gilt für 48 Stunden als ungefährlich."
Bei einem Geimpften würde folgendes stehen: "Herr UVW wurde am *** um *** Uhr mit Impfstoff RST zum ersten/zweiten Mail geimpft und gilt - bis auf Widerruf - 12 Monate als ungefährlich."
Bei Genesenen ist derzeit nicht einmal klar, wie "genesen" und "ungefährlich" überhaupt definiert wird.
Bis heute gibt keine konsolidierten statistischen Daten zu Erkrankungen und Tests, permanent sind Datenkorrekturen notwendig. Für einen negativ Getesten kann das zu einem richtigen Spießroutenlauf werden, seinen berechtigten "Diskriminierungs-Status" zu erreichen. Oft wohl zu einem Zeitpunkt, zu dem das Ergebnis nicht mehr gilt.
Das Ergebnis soll als QR-Code zusammen gefasst werden und durch jeden handelsüblichen QR-Code-Leser lesbar sein. QR-Codes sind - entgegen kolportierter Meinungen - kein Sicherheitsfeature, sondern dienen nur zur platzsparenden Speicherung großer Datenmengen.
Umsetzungsvariante: zentrale QR-Code-Verwaltung
Die Daten zum "Diskriminierungs-Status" werden zentral verarbeitet. Jeder Veranstalter, im Endeffekt jedes Unternehmen und jede Behörde kann die Vorlage des QR-Codes durch einen Besucher verlangen.
Wird der Code gescannt wird das Ergebnis mit den Zentraldaten abgeglichen und der Veranstalter erhält Infos über den Gesundheitszustand des Besuchers.
Einmal gescannt kann sich der Veranstalter in weiterer Folge regelmäßig über den Gesundheitszustand des Besuchers informieren (zumindest bis der QR-Code gewechselt wird). Wenn es ihm interessiert kann er die Gesundheitsentwicklung des Besuchers verfolgen.
Nebeneffekt für den Zentral-Betreiber des "Diskriminierungs-Passes", er hat einen perfekten Einblick in die Lebensführung des Bürgers. Wann hat der Bürger sich wo aufgehalten.
Technisch gesehen kann ein zentrales System sicher realisiert werden.
Umsetzungsvariante: KEINE zentrale QR-Code-Verwaltung
Nach unverbindlichen Meinungsäußerungen des Gesundheitsministeriums wird auch die Variante ohne zentrale QR-Code-Verwaltung angedacht.
In diesem Fall meldet sich ein Bürger einmalig an das Zentralsystem an und erhält einen QR-Code. Den kann er ausdrucken oder auf ein Smartphone kopieren.
Der Veranstalter scannt diesen vorgelegten QR-Code und erhält die Gesundheitsdaten, die in diesem Code gespeichert sind.
Eine Datenübertragung an eine Zentrale findet nicht statt. Der zentrale Betreiber des "Diskriminierungs-Passes" hat keinen Einblick in die Lebensführung.
Das Erzeugen von QR-Codes kann jeder Mensch mit handelsüblicher Software machen. Die Sicherheitsqualität eines QR-Codes ist nicht höher als der Text, den er enthält. Jeder kann sich daher einen QR-Code nach eigenem Gutdünken erzeugen (http://www.argedaten.at/static/gruener-pass-ich-darf-alles.pdf). Der Informationswert zum "Diskriminierungs-Status" ist somit gleich Null.
Technisch gesehen kann ein dezentrales System NICHT sicher realisiert werden.
Zusammenfassung
Der Gesetzgeber hat - wieder einmal - keinen Gedanken an die technische Machbarkeit seiner Ideen verschwendet, mit dem erwartbaren ergebnis eines fehlerhaften oder unbrauchbaren Systems.
Der Gesetzesentwurf ist bestenfalls eine Absichtserklärung alle Bürger und Bürgerinnen unter Generalverdacht zu stellen, dem Gesundheitsminister freie Hand für Grundrechtsbeschränkungen zu geben, Veranstaltern Zugang zu Gesundheitsdaten und dem Betreiber des Einblick in die Lebensführung möglichst vieler Menschen zu geben.
Im übrigen ist die ARGE DATEN der Meinung das die Regierung unverzüglich beginnen sollte die Pandemie ernst zu nehmen. Sie soll einen wirkungsvollen und verfassungskonformen Generalplan zur Bewältigung der Corona-Situation und der Regierungs-Krise vorlegen und umsetzen.
mehr --> Mega-Datenbank als Datenschutz-Satire
mehr --> Corona-Ausweis - Testlauf zur Scoringökonomie
mehr --> Corona-Ausweis - Was ist das Vorhaben wert?
mehr --> Corona-Ausweis - nicht DSGVO-konform
mehr --> Corona-Ausweis - alle stehen unter Generalverdacht
Archiv --> ich-darf-alles-bass statt diskriminierungs-pass
andere --> Beschluss des Nationalrats zum Corona-Pass
|
