Die Dienste, die von dem Konsortium entwickelt werden (s. Kasten), werden in andere Applikationen integrierbar sein, so auch in die Corona-Warn-App. Diese Funktionserweiterung könnte für einen weiteren Aufschwung der App sorgen: So sagen 20 % derjenigen, die bislang die App noch nicht installiert haben, dass sie diese mit einem integrierten Corona-Impfausweis einsetzen würden, so eine repräsentative Umfrage des Digitalverbands Bitkom. Auch andere Updates haben die App bereits attraktiver werden lassen, z.B. die neue Check-in-Funktion und die Möglichkeit zum Abruf des eigenen Testergebnisses. Und wie sieht es mit dem Datenschutz aus? Anfangs sollten die an die Patienten ausgegebenen QR-Codes noch auf Einträge in miteinander verketteten „Blockchains“ verweisen. An diesem Konzept gab es starke Kritik. Blockchains sind so etwas wie öffentlich zugängliche digitale Archiveinträge. Sie lassen sich nicht nachträglich verändern, deswegen eignen sie sich für Nachweise aller Art. Doch die „auf einer Blockchain“ gespeicherten Informationen müssen für jeden Berechtigten prinzipiell einsehbar sein – was selbst für reine Verweise auf sensible Informationen schon wenig sinnvoll ist.

Keine Datenbanken geplant, nicht national, nicht in Europa

Von diesem System ist man also abgekommen. Klar scheint jetzt zu sein: Die dauerhafte Speicherung der Impfbescheinigung ist nur auf den Endgeräten der Geimpften vorgesehen, es soll weder auf nationaler noch auf europäischer Ebene eine Datenbank mit personenbezogenen Daten entstehen. Außerdem sollen die Anwendungen als Open-Source programmiert werden. Somit ist eine Überprüfung des Quellcodes der Programme durch IT- und Sicherheitsexperten möglich. Dieses Verfahren hatte bei der Corona-Warn-App zu einer recht hohen Akzeptanz geführt. Unklar ist allerdings noch, wie die Prüfzugriffe auf die Anwendung – über die sich eindeutige Bewegungsprofile erstellen lassen – protokolliert werden. Eine überzeugende Sicherheitslösung muss möglichen Missbrauch von vornherein unmöglich machen, bekräftigt z.B. der Sicherheitsexperte Andreas Bogk vom Chaos Computer Club in diesem Zusammenhang. Auch wie aufwendig das Laden der Daten in den Dienst sein wird und wie der Dienst an die Praxisverwaltungssysteme angebunden werden kann, ist noch ungeklärt bzw. nicht bekannt. Niedergelassene befürchten wenig praxisnahe Lösungen. So auch Dr. Christine Zollmann, Dermatologin, in Bezug auf die Schnittstelle zur Datenerfassung der IBM-Lösung: „Handelt es sich, wie aktuell von Ärzten befürchtet, um ein reines Web-Interface, müssten die Daten aus der Praxis-Software per Copy und Paste dorthin übertragen werden. Das ist im Einzelfall vielleicht nur unbequem – doch wenn hunderte Impfungen am Tag verwaltet werden müssen, ist dieser Ansatz wegen der vielen manuellen Arbeitsschritte auch fehleranfällig.“ Den impfenden Arztpraxen werde eine Software zur Erstellung der digitalen Impfzertifikate bereitgestellt, zusätzliche Hardware sei nicht nötig, erklärt dazu das Ministerium. Ergänzend würden Schnittstellen bereitgestellt, die Hersteller in die PVS-Systeme integrieren können. Gleichermaßen werde auch noch geprüft, wie Genesene ihren Anspruch auf den Code nachweisen können, so das Ministerium. Die KBV steht zu diesen Themen wie auch zur Frage der Vergütung in Gesprächen. Die Mitglieder des IBM-Konsortiums sind allerdings nicht die einzigen, die sich mit einem solchen Nachweis beschäftigen. Es gibt einige Initiativen, regionale, branchenspezifische und internationale, die an der gleichen Nuss knacken, die teilweise auch weit fortgeschritten sind mit ihren Entwicklungen. Auch an der Ausschreibung des BMG sollten sich eigentlich Startups beteiligen können. „Die Ausschreibung definierte aber Mindestbedingungen, die kleine und mittlere Unternehmen praktisch nicht erfüllen können“, erzählt Dr. Hans-Jürgen ­Schrörs, Allgemeinarzt und Geschäftsführer der Gesellschaft zur Förderung der Impfmedizin, GZIM. „Für uns war trotz Einladung eine Bewerbung schlicht unmöglich, obwohl wir eine fertige Lösung im Einsatz haben.“ Das Impfmanagementsystem ImpfPassDE ist bereits seit 2016 im Einsatz. Alle erforderlichen Schnittstellen sind nach Angaben des Herstellers in nahezu allen Praxissoftware-Systemen verfügbar. Zum Nachweis der Echtheit eines Impfnachweises nutzt die Anwendung den Konnektor der Telematik-Infrastruktur. Das Konzept entspreche den EU-Richtlinien für den europäischen Impfnachweis und setze auch auf die Datenstandards, die ab 2022 in die elektronische Patientenakte einfließen sollen, so der geschäftsführende Mediziner. Detailinformationen werden nicht zentral gespeichert und die Echtheit der Daten könnten mit Hilfe der digitalen Zertifikate sichergestellt werden. Das Ministerium verweist darauf, dass das gewählte Ausschreibungsverfahren vor dem Hintergrund der außerordentlichen Dringlichkeit der Beschaffung gewählt worden sei. „Wir hätten uns gefreut, wenn sich das Ministerium unsere einsatzfähige und mit Blick auf den Impfpass in der ePA nachhaltige Lösung mal genauer anschaut hätte. Aber wir geben die Hoffnung noch nicht auf“, sagt Dr. Schrörs, der das Ministerium fortlaufend über den Entwicklungs- und Pilotierungsstand informiert. Möglich ist, dass es in der nächsten Zeit verschiedene digitale Impfnachweise nebeneinander geben wird. Der vom Ministerium beauftragte soll ab 1. Januar 2022 in den elektronischen Impfpass der ePA integriert werden. Das werde zumindest gerade geprüft, sagt das BMG. Was wiederum der ePA Auftrieb verschaffen könnte. Bislang ist der elektronische Impfnachweis aber nur als Ergänzung zum „gelben Impfpass“ gedacht. Dieser behält also zunächst seine umfängliche Gültigkeit, auch als Nachweis einer Corona-Impfung. Das ist im Sinne aller, die kein Smartphone nutzen. Leider aber auch im Sinne der Fälscher.

Medical-Tribune-Recherche