Ein QR-Code zum Verreisen
Mit Ostern beginnt in vielen europäischen Ländern die Reisezeit. Die Corona-Pandemie hat die Welt immer noch im Griff. Mit den Virusvarianten BA.1 und BA.2 ist der Verlauf häufig milder, aber die Ansteckungsgefahr höher. Bei Reisen ins Ausland gehört der Impfnachweis deshalb meistens immer noch ins Handgepäck: In Europa erleichtert er in etwa der Hälfte der Länder die Einreise.
Der Nachweis kann in Papierform oder digital erfolgen. Am weitesten verbreitet ist das so genannte COVID-Zertifikat der EU. Nicht nur die 27 Mitgliedsländer arbeiten damit, sondern auch 35 weitere Länder. Die Internationale Organisation für zivile Luftfahrt ICAO hat ebenfalls ein Zertifikat entwickelt. Es heißt Visible Digital Seal und ist kompatibel zum COVID-Zertifikat der EU. Die Weltgesundheitsorganisation ist gerade dabei, ein Covid-Zertifikat und die dafür notwendige Infrastruktur aufzubauen. Auch dieses soll kompatibel zum europäischen Pendant sein. Alle diese Zertifikate funktionieren nach den gleichen Prinzipien und stellen dabei den Datenschutz in den Mittelpunkt. Doch wie funktioniert es genau?
Was steht im QR-Code?
Quadratisch, praktisch – und weit verbreitet: Der QR-Code speichert in seiner größten Version mit 177 mal 177 Pixeln knapp drei Kilobyte an Daten. Das entspricht etwa 4.000 Ziffern oder Buchstaben. So viel braucht das COVID-Zertifikat der EU aber gar nicht. Denn es enthält nur die notwendigen Informationen: Name, Geburtsdatum, ausstellende Stelle und eine eindeutige Zertifikatskennung. Je nach Zertifikat kommen weitere Angaben hinzu. Dies sind:
- Beim Impfzertifikat: Impfstoff und Hersteller, Anzahl der verabreichten Dosen, Datum der Impfung
- Beim Testzertifikat: Art des Tests, Datum und Uhrzeit des Tests, Testzentrum und Ergebnis
- Beim Genesungszertifikat: Datum des positiven Testergebnisses, Geltungsdauer
Außerdem erhält jedes Zertifikat eine digitale Signatur. Sie ist wie ein digitaler Fingerabdruck. Das System dahinter ist eine Verschlüsselung nach dem Public-Key-Verfahren. Ein privater Schlüssel signiert das Zertifikat. Mit einem öffentlichen Schlüssel kann jeder die Echtheit des Zertifikats überprüfen. Würde nach der Signatur nur ein Zeichen im Zertifikat verändert, wäre die Echtheit nicht gegeben.
Was passiert beim Prüfen des QR-Codes?
Das Covid-Zertifikat ist zum unentbehrlichen Reisebegleiter geworden. In Deutschland verwalten CovPass-App und die Corona-Warn-App das Zertifikat. Die passende Smartphone-Anwendung zum Scannen heißt in Deutschland CovPassCheck-App. In Frankreich heißt sie TAC Verif, in den Niederlanden CoronaCheck Scanner. Viele Namen ein Prinzip: Die sogenannte Verifier-App liest den QR-Code ein und gibt den Impfstatus sowie Name und Geburtsdatum aus.
Außerdem prüft die App die Echtheit des Zertifikats. Dafür lädt die Verifier-App regelmäßig alle öffentlichen Schlüssel aller signierten EU COVID-Zertifikate der mehr als 60 Länder. Die TAC Verif etwa bezieht die Schlüssel von einem französischen Server. Dieser erhält die Schlüssel von einem zentralen Netzwerkrechner in Luxemburg. In Deutschland signiert das Robert Koch-Institut die Zertifikate. Klingt nach vielen Daten, das Gesamtpaket ist aber nicht viel größer als ein Megabyte. Mit dem passenden öffentlichen Schlüssel rechnet die Verifier-App den digitalen Fingerabdruck des einzelnen Zertifikats nach. Der Fingerabdruck ist das Ergebnis einer Rechenoperation mit dem Text selbst. Jeder Buchstabe, jede Zahl, jedes Leerzeichen fließt in die Rechnung ein und bildet einen so genannten Hash. Ergibt die Berechnung der Verifier-App mit dem öffentlichen Schlüssel denselben Hash-Wert wie im Zertifikat hinterlegt, wurde das Zertifikat nach dem Signieren nicht mehr verändert und ist echt.
Und der Datenschutz?
Die personenbezogenen Daten der Covid-Zertifikate werden nicht zentral gespeichert. Sie befinden sich nur in der Zertifikats-App der Nutzer. Die Verifier-App verarbeitet die personenbezogenen Daten zwar – aber nur im Arbeitsspeicher des Gerätes. Und dieser wird regelmäßig gelöscht. Die öffentlichen Schlüssel beinhalten keine personenbezogenen Daten.
Das EU COVID-Zertifikat bleibt voraussichtlich noch mindestens ein Jahr ein fester Reisebegleiter. Der Rat der 27 EU-Mitgliedstaaten hat sich jüngst darauf geeinigt, die Verordnung zur Einführung des digitalen COVID-Zertifikats der EU bis zum 30. Juni 2023 zu verlängern.
Corona
Informationen im Zusammenhang mit der Covid-19 Pandemie und zur Corona-Warn-App in den Jahren 2020 und 2021.