Jusletter IT

In der Schweiz und in der EU macht die Politik vorwärts mit einem digitalen Impfpass. Das sogenannte «Digital Green Certificate» der EU soll EU-weit anerkannt werden und Reisenden eine Quarantäne ersparen.¹ In der Schweiz soll das Bundesamt für Informatik und Telekommunikation (BIT) das «Covid-Zertifikat» bereitstellen, das mit dem EU-Zertifikat kompatibel ist.² Die Einführung ist in beiden Fällen auf Ende Juni vorgesehen.

Ziel des Zertifikates ist es, Auskunft darüber zu geben, mit welcher Wahrscheinlichkeit eine Person das Coronavirus übertragen kann (3-G: geimpft, genesen oder getestet). Neben Angaben zur Trägerin des Passes und Informationen zur Impfung kann der Pass auch Testergebnisse und Informationen über eine bereits überstandene Coronavirus-Infektion aufnehmen.³

Der Impfpass wird von den Behörden auf Anfrage ausgestellt.⁴

Der Pass soll zwar auf keinen Fall Voraussetzung für Reisen sein, jedoch kann er den Grenzübertritt erleichtern. So könnte beispielsweise auf die bisher üblichen Tests verzichtet werden, wenn ein Reisender einmal geimpft ist.

Wenn einmal feststeht, dass geimpfte Personen nur noch ein minimales Ansteckungsrisiko für Dritte darstellen, ist es m.E. aus verfassungsrechtlicher Sicht grundsätzlich geboten, Einschränkungen der Freiheitsrechte von Trägern des Impfpasses per Gesetz zu beseitigen.

Ausnahmen dürften nur noch dort möglich sein, wo eine Kontrolle der Einhaltung schwierig und die Einschränkungen leicht hinzunehmen sind (so sollte eine Maskenpflicht im öffentlichen Verkehr noch länger zulässig bleiben).

Aus datenschutzrechtlicher Sicht ist bemerkenswert, dass die Eidgenössischen Räte, als sie am 19. März 2021 die gesetzliche Grundlage für den Impfpass schufen, explizit eine datenschutzkonforme Lösung vorsahen: Der Impfnachweis muss so ausgestaltet sein, dass nur eine dezentrale oder lokale Überprüfung der Authentizität und Gültigkeit von Nachweisen möglich ist.⁵ Dies entspricht dem Grundsatz der Datensparsamkeit.⁶

Für die Ausstellung des Zertifikats müssen die in diesem enthaltenen Personendaten selbstverständlich dem Aussteller vorliegen. Die Daten dürfen aber nicht länger gespeichert werden, als sie für die Ausstellung nötig sind.⁷

Die dezentrale Lösung wird voraussichtlich auf elektronischen Signaturen (bzw. elektronischen Siegeln) basieren. Diese werden mit einem geheimen digitalen Signierschlüssel erstellt und in Form eines QR-Codes dargestellt, der neben der Signatur auch noch die Inhalte des Passes in maschinenlesbarer Form enthält. Der Pass kann damit sowohl auf Papier als auch elektronisch (z.B. auf dem Display eines Mobiltelefons) verwendet werden.⁸

Die Signatur und die durch den Pass bestätigten Inhalte können durch jedermann einfach überprüft werden, und zwar mit einer Prüfsoftware (beispielsweise auf einem Mobiltelefon, mit dem der QR-Code fotografiert wird). Dazu wird ein öffentlicher Prüfschlüssel (public key) benötigt, der zum verwendeten Signierschlüssel passt, aber nicht den Schluss auf den Signierschlüssel zulässt.

Die Signatur beweist, dass der Pass von einer autorisierten Stelle ausgestellt wurde, und dass er nicht verändert wurde. Zugleich vermeidet die Lösung, dass die Informationen zentral gespeichert werden müssen, wie dies das Gesetz vorsieht. Sie müssen nur auf dem jeweiligen Impfpass vorhanden sein. Zentral gespeichert müssen nur die öffentlichen Prüfschlüssel für die verschiedenen Institutionen sein, die autorisiert sind, Impfausweise auszustellen.