Der Grüne Pass wird langsam Realität und damit auch der Zugriff einiger Bürger die über eine digitale Signatur verfügen auf die heiß begehrten Zertifikate um über die amtliche Nachweisung der 3G (Genesen – Getestet – Geimpft) in die „neue Freiheit“ eintreten zu können. Die restlichen Bürger müssen sich an eine Behörde wie etwa die ELGA Ombudsstelle, die Bezirksverwaltungsbehörde oder ihre Wohnsitzgemeinde wenden. Der Abruf der Zertifikate erfolgt in der Portalverbundanwendung „EPI“. Es ist durch Berechtigte lediglich die Eingabe einer Sozialversicherungsnummer bzw. die Eingabe „Suche“ über personenbezogenen Daten notwendig um das Zertifikat zu finden, aufzurufen und auszudrucken. Probleme gibt es derzeit nur beim 3. G für Geimpfte. Die beiden anderen G (Genesen und Getestet) befinden sich ja bereits im System. Nur die Impfdaten müssen aus anderen Systemen (ELGA) in das EPI importiert werden. Dabei scheint es derzeit Probleme zu geben.
Ausstellung Zertifikat durch Dritte: Der Bürger muss vor Ort identifiziert werden – eCard gilt nun als amtliches Ausweisdokument?
Der Patient, für den durch Dritte an einer amtlichen befugten Stelle (z.B. Gemeinde) eine Abfrage und der Ausdruck des Zertifikats durchgeführt wird, hat sich entsprechend auszuweisen. Beim Prüfen des Zertifikats durch Überprüfende nach § 1 Abs. 5 Z 5 und 6 COVID-19-MG erfolgt ein Abgleich der Daten mit dem EPI-Service sowie eine Offline-Identitätskontrolle durch Vorlage eines Ausweisdokuments (Amtlicher Lichtbildausweis oder e-Card mit Foto). Hierbei findet keine zusätzliche Speicherung statt und es erfolgt nur eine Überprüfung der Richtigkeit. Interessant dazu ist die nun scheinbar gesetzlich dokumentierte Anerkennung der e-Card als amtliches Ausweisdokument. Bis dato waren zur ordentlichen amtlichen Identifikation in Österreich nur der Reisepass, der Personalausweis und der Führerschein anerkannt. Können nun eingeschriebene Briefe bei der Post zukünftig auch mit der e-Card abgeholt werden?
Sozialversicherungsnummer als Zutrittsschlüssel in die EPI-Zertifikationswelt
Durch die Eingabe der Sozialversicherungsnummer ist es möglich, eine Person eindeutig im EPI zu finden und alle gegenwärtig gültigen Zertifikate dieser Person abzurufen. Dies ist eine bemerkenswerte Vorgangsweise, da der Datenschutzrat in mehreren Stellungnahmen (z.B. in der Stellungnahme vom 25. Februar 2010, GZ BKA‐817.246/0002‐DSR/2010) zur Verwendung der Sozialversicherungsnummer ausgeführt hat: „Die Verwendung der Sozialversicherungsnummer für Bereiche, die nicht in der Ingerenz der Sozialversicherung liegen ist aus datenschutzrechtlicher Sicht abzulehnen und den E‐Government‐Lösungen des Bundes unter Gewähr der höchstmöglichen Datensicherheitsmaßnahmen der Vorzug zu geben.
Personen ohne Sozialversicherungsnummer können auch im EPI gefunden werden
Besitzt die entsprechende Person keine Sozialversicherungsnummer oder konnte die Person anhand der Sozialversicherungsnummer nicht gefunden werden, steht eine alternative Suche zur Verfügung. Im EPI gibt es den Button „Zur Suche mit personenbezogenen Daten“, um zur alternativen Suche zu gelangen. Für die alternative Suche ist die Eingabe von folgenden personenbezogenen Daten möglich: Vorname, Nachname, Geburtsdatum und Geschlecht. Konnten Sie keine eindeutige Person finden, wird das Feld „Postleitzahl“ eingeblendet. Durch Eingabe der Postleitzahl, können Sie die entsprechende Person eindeutig im Register finden.
Eine neue legale uneingeschränkte österreichweite Suchmöglichkeit in einer 8 Millionen Patienten-Datenbank verknüpft mit sensiblen Gesundheitsdaten?
Die erweitere Suche im Portalverbundanwendung „EPI“
Möglicher Weise mit *Platzhaltersuche und gezielt mit Postleitzahleinschränkungen. Wohl gemerkt am Suchziel steht die Auskunft ob der betreffende Patient geimpft ist, genesen ist oder wann und wie oft er getestet wurde. Die Politik sagt: „brauchen wir um die Pandemie zu bekämpfen“. Die Wissenschaft würde sagen: „ein unbezahlbarer Datenschatz“. BKFTV.at berichtete bereits im Dezember 2020 über zukünftige Möglichkeiten einer staatlichen Covid19 Rasterfahndung die nun scheinbar in die Realität umgesetzt wurden. Für Zwecke der Kontaktaufnahme und Information von bestimmten Personengruppen im Zusammenhang mit Screeningprogrammen und zur Sicherstellung einer effizienten Durchführung von Screeningprogrammen, insbesondere durch die Erstellung von Testverzeichnissen, sind die zuständigen Behörden berechtigt, eine Verknüpfungsanfrage gemäß § 16a Abs. 3 Meldegesetz 1991 (MeldeG), BGBl. Nr. 9/1992, vorzunehmen, um Daten der am Screeningprogramm teilnehmenden oder einzuladenden Personen im unbedingt erforderlichen Ausmaß zu verarbeiten.
https://bkftv.at/2020/12/22/covid19-screeningprogramm-eine-staatliche-rasterfandung/ Dies ist umso bedenklicher da es anscheinen eine unüberschaubare Anzahl an privaten Dienstleistern und amtlichen Personen gibt, die einen Vollzugriff auf die neue Portalverbundanwendung „EPI“ haben werden.
Zugriffsprotokolle sollen die Bürger in datenschutzrechtlicher Sicherheit wiegen
Nachdem entweder die Sozialversicherungsnummer oder die personenbezogenen Daten der entsprechenden Person eingegeben wurden, gelangt man automatisch zu einer individuellen Übersichtsseite. Diese Seite beinhaltet eine Liste über alle Zertifikate dieser Person. Am linken Seitenrand findet man unter dem Reiter „Nachweise“, den Reiter „Zugriffsprotokoll“. Auf Anfrage bzw. Wunsch des entsprechenden Patienten, können über diesen Reiter ein Zugriffprotokoll in gedruckter Form ausdrucken und aushändigt werden. Die Frage ist, wer wird die Patienten über diese Möglichkeit informieren? In der Regel wird sich die Masse der Patienten mit dem Zertifikat zufrieden geben.
Private und öffentliche Anbieter als Zugriffspersonal in das EPI-Service
Soweit ersichtlich, überlässt es das aktuelle Gesetz zur Gänze dem für das Gesundheitswesen zuständigen Bundesminister, mit Verordnung „die Anforderungen für die Freischaltung des Abrufs von Zertifikaten aus dem EPI‐Service für private und öffentliche Anbieter von Anwendungen für Bürgerinnen und Bürger“ festzulegen. Für diesen niederschwelligen Zugang wurden neben den ELGA-Ombudsstellen, Apotheken, niedergelassenen Ärzte, Kundenservicestellen der Österreichischen Gesundheitskasse auch die Gemeinden und Bezirksverwaltungsbehörden gewählt. Für Bürger, die sich bei den genannten Stellen ausweisen, kann eine Abfrage durchgeführt und die vorhandenen Zertifikate ausgedruckt werden. Jede Menge an Zugriffsberechtigten. Dieses Problem wird insofern gesteigert, da der Kreis der Zugriffsberechtigten und deren Zwecke im EMS um einiges größer ist (Kontaktpersonnachverfolgung). Die pauschale Weiterleitung der Daten hat demnach zur Folge, dass die Mehrzahl der Zugriffe auf die sensiblen Gesundheitsdaten über Impfungen außerhalb des strikteren Zugriffs- und Protokollregimes des eImpfpasses nun im EPI-Service passieren.
Neuer Dreh- und Angelpunkt zur Datenbefüllung ist die App „e-Impfdoc“ der ELGA GmbH
Diese Sonder-App ist derzeit nicht öffentlich verfügbar sondern wird über die Behörden und Bundesländer mit den mobilen Geräten (Tabletts) ausgeliefert. Die Tabletts mit der App „e-Impfdoc“ können jedoch am freien Markt erworben werden heißt es auf der Internetseite von A1. Aktuell werden diese von folgenden Mobilfunk-Service-Providern zu ihren Projekten eImpfpass angeboten.
Am 16. Mai berichtete BKFTV.at über die neuen Geschäftszweige der Telekombetreiber. https://bkftv.at/2021/05/16/eimpfdoc-app-qr-code-alles-sicher-bei-betreibern-und-zugriffsberechtigen/
Gemeinden waren nicht eingebunden und sind nicht vorbereitet
Einer Stellungnahme der Datenschutzbehörde ist zu entnehmen: „Das Ausdrucken der Zertifikate ist durch die Gemeinden, die
Bezirksverwaltungsbehörden und die ELGA‐Ombudsstelle vorgesehen. Diese Stellen sind dann als Verantwortlicher gemäß Art. 4 Z 7 DSGVO tätig? Vorweg sollte in diesem Zusammenhang geklärt werden, ob tatsächlich die „Gemeinde“ als juristische Person oder aber ein Organ der Gemeinde (zB der Bürgermeister) Verantwortlicher sein soll. Auch fehlen bei einer Verantwortlichkeit dieser Stellen entsprechende Vorgaben für die Löschung der erhobenen Daten. Insbesondere wäre dabei zu berücksichtigen, dass es sich um besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO handelt (etwa auch hinsichtlich der vom Verantwortlichen zu ergreifenden Datensicherheitsmaßnahmen, damit nicht unbeteiligten Dritten zB am Gemeindeamt Kenntnis von dem Inhalt des Zertifikats erlangen)„
Zertifikatsregister auf EU-Ebene
Die Mitgliedsländer stellen das Vertrauen zwischen den Zertifikaten der Mitgliedsstaaten über ein zentrales Zertifikatsregister her. Dazu muss jedes Land die „Trustliste„, also eine Liste gültiger (vertrauenswürdiger) Ausstellerzertifikate bereitstellen. Ist ein QR-Code mit einem Zertifikat erstellt worden, das nicht im EU-Zertifikatsregister vermerkt ist, meldet die Prüfung, welche zuvor die Trustliste geladen hat – etwa bei einer Grenzkontrolle – ein ungültiges Zertifikat und somit einen ungültigen QR-Code zurück.
Bundesrechenzentrum: BRZ EPI als Grundlage zur Umsetzung des EU-kompatiblen Grünen Passes
Bei der Umsetzung des Grünen Passes konnte das Bundesrechenzentrum BRZ zwischen einer Reihe von unterschiedlichen, sich dynamisch entwickelnden Anforderungen verschiedener nationaler wie internationaler Stakeholder (EU) und Entscheidungsträger (Bund, Länder, Interessensvertretungen, Gesundheitseinrichtungen usw.) eine vermittelnde und beratende Rolle einnehmen. Das BRZ hat mit der Umsetzung des Grünen Passes und dem BRZ EPI als Knotenpunkt für verschiedene Anwendungen ein hochsicheres, datenschutzrechtlich unbedenkliches und stabiles System auf die Beine gestellt, trotz komplexer Schnittstellen und unter hohem Zeitdruck. Regelmäßige Penetrationstests („PEN-Tests“) und die Abwicklung in einer hochmodernen, skalierbaren technischen Umgebung stellen den Betrieb rund um den Grünen Pass sicher. Schreibt das BRZ auf seiner Internetseite.
Wer sind die A-SIT Plus GmbH Berater die der EU und dem BRZ beratend zur Seite standen?
Und wieder brauchte die Republik Österreich und sogar die EU einen privaten externen Dienstleister um das Projekt BRZ EPI und den Grünen Pass der EU auf Schiene zu bringen. Warum schafft das der Staat mit seinen Institutionen und teuren Spezialisten im BRZ und in den Rechenzentren der Digitalisierungsministerien nicht? Interessant zur A-SIT GmbH ist, dass ihr Aufsichtsrat Herr Ing. Lauer Günther auch Geschäftsführer der Land-, forst- und wasserwirtschaftliches Rechenzentrum GmbH ist. Tätigkeitsbeschreibung:
Erbringung von IT-Dienstleistungen (Entwicklung von Verwaltungslösungen und Softwareentwicklung) für die öffentliche Verwaltung, insbesondere in den Bereichen „Netzdienste“ und „Datenharmonisierung“ laut EU-Richtlinien. Zu finden im Internet: https://www.lfrz.gv.at/ mit vielen interessanten staatlichen Referenzen vom Bundeskanzleramt bis zum BRZ, BMI, Justiz, dem Hauptverband der österreichischen Sozialversicherungsträger bis zur Statistik Austria. https://www.lfrz.gv.at/referenzkunden/referenzen.html
www.a-sit.at der A-SIT Plus GmbH verweist auf das A-SIT Zentrum für sichere Informationstechnologie – Austria einen privaten Verein
 |
 |
 |
Die A-SIT Plus GmbH ist bitte nicht zu verwechseln mit dem A-SIT Zentrum für sichere Informationstechnologie – Austria (einem privater Verein)
Das A-SIT Zentrum ist ein Verein (ZVR: 948166612) mit dem Vereinszweck: Fachliche Inhalte der technischen Informationssicherheit für Behörden, Wirtschaft sowie Bürgerinnen und Bürger aufbereiten und weiterentwickeln. Interessant ist jedoch der Organschaftlicher Vertreter und Gesamtleiter dieses Vereins. Herr Prof. Dr. Reinhard Posch ist in seinem Brotberuf Chief Information Officer (CIO) der Republik Österreich und in der Abteilung I/A/2 des BMDW tätig. Mit der BRZ EPI hat dieser Verein nichts zu tun.
Was hat der private externe Dienstleister die A-SIT Plus GmbH nun „Wichtiges“ geschafft?
Eine Besonderheit der aktuellen Lösung ist die 100%-ige Übereinstimmung mit EU-Vorgaben. Möglich wird die EU-kompatible Umsetzung in Österreich durch die Kooperation zwischen BRZ und A-SIT Plus. Die A-SIT Plus stand der EU-Kommission bei der Erstellung der Referenzarchitektur beratend zur Seite und war so wichtiger Ansprechpartner des BRZ. Alle aus dem BRZ EPI generierten Codes sind für Prüfende im Ausland, die ebenfalls den EU-Vorgaben folgen, prüfbar. Eine „Insellösung“ für Österreich gibt es somit nicht.
Interessiert die G3-Zertifikatsempfänger der Datenschutz – eher nur am Rande
Nun sind die Hintergründe zur Portalverbundanwendung „EPI“ hoffentlich klarer. Die Patienten interessiert dies meist nicht, denn aktuell ist ausschließlich das persönliche 3G-Zertifikat von Interesse. Denn die Millionen österreichischen Patienten die Covid getestet, genesen und geimpft sind stehen in den Urlaubsstartlöchern, wollen zu den Public Viewings der Fussball-EM und möchten bei sommerlichen Temperaturen die Gastronomie und das Nachtleben genießen. Was zählt da schon die Technik und die handelnden Dienstleister und Behörden im Hintergrund. Noch weniger scheint die Österreicher dazu der Datenschutz in Bezug zu ihren sensiblen personenbezogenen Gesundheitsdaten (Impfung, Geneseung, Testung) zu interessieren. Alles muss schnell gehen und ZackZack auf das Handy. Noch schneller müssen die Daten und der QR-Code in die Apps und Systeme bei den Gastwirten, denn die Getesteten, Genesenen und Geimpften wollen nun endlich ihre „neue“ Freiheit und das erste kühle Getränk im Gastgarten konsumieren.
Politik, Forschung, Ermittlungsbehörden, Staatsanwaltschaften und womöglich Nachrichten- und Geheimdienste haben bereits den wahren Wert des neuen Datenschatzes erkannt.
Die Bürger sind glücklich mit ihren Zertifikaten. In der Zwischenzeit wirft die Forschung und Politik ein Auge auf den neuen wertvollen Datenschatz und stellt sicher, dass die Daten fließen und bis in die EU zur Verfügung stehen. Vergessen wir dazu nicht dass mit 1.6.2021 die Europäische Staatsanwaltschaft offiziell ihre Arbeit aufgenommen hat. Auch bei uns in Österreich. Staatsanwälte aus 22 der 27 EU-Staaten werden koordiniert Betrug, Korruption und grenzüberschreitenden Mehrwertsteuerbetrug verfolgen. Die teilnehmenden Staaten haben jeweils einen Staatsanwalt in die Behörde entsandt. Aus Österreich gehört die frühere Oberstaatsanwältin der Wirtschafts- und Korruptionsstaatsanwaltschaft, Ingrid Maschl-Clausen, dazu.
Das neue Zertifikat öffnet die Wege in die neuen „Freiheiten“ und entscheidet über Eintritt oder nicht Eintritt
Der Datenschutzrat und das Parlament sind nun gefordert mit Hilfe der EUDSGVO, der österreichischen DSGVO, sowie mit gesetzlichen Regelungen diesen neuen Covid-Datenschatz vor unberechtigten Zugriffen zu schützen
Diesen neue Covid-19 Datenschatz werden wir von BKFTV.at weiterhin im Auge behalten und darüber berichten. Denn derzeit sind im Epidemiologische Meldesystem (EMS) immerhin auch die aktuellen Handynummern und Mail-Adressen fast aller Österreicher gespeichert und es wurden die gesetzlichen Grundlagen geschaffen Verknüpfungen zum Melderegister und zum Personenstandsregister herzustellen.
Quellen:
https://bkftv.at/2020/12/22/covid19-screeningprogramm-eine-staatliche-rasterfandung/
https://bkftv.at/2021/04/29/dsgvo-bgld-test-impfstrassen-alles-ohne-datenschutz-folgenabschaetzung/
https://bkftv.at/2021/03/09/dsgvo-covid-tests-alles-datenschutzkonform/
https://bkftv.at/2021/06/04/was-steht-in-den-aktuellen-protokollen-des-nationalen-impfgremiums/
https://www.brz.gv.at/presse/GruenerPass-BRZ-EPI.html
https://goeg.at/Coll_Gesundheitsdaten
Für alle Firmen, Institutionen, Personen und überhaupt „Jeden und „Alles“ gilt die Unschuldsvermutung. (hu) ++ende++
 |
Herbert Unger – freier Journalist bei bkftv.at herbert.unger@bkftv.at oder 06645344908 Meine Artikel: https://bkftv.at/author/hu/ Schreiben Sie mir zum Thema Vertrauliche Kommunikation über: Threema ID hcclnoname: WUU3ZJJV Signal-Messenger oder persönliche Treffen: Face-to-Face |
