EU Digital COVID Certificate

Der offizielle Name des europäischen digitalen Impfnachweises lautet gemäß einschlägiger EU-Verordnung EU Digital COVID Certificate, in den begleitenden technischen Spezifikationen wird der Begriff Digital Green Certificate (DGC) verwendet.

Die Regelungen zum EU Covid-19 Zertifikat werden in Form einer Verordnung kodifiziert und damit unmittelbar in den Mitgliedstaaten geltendes Recht.

• 22.04.2021 Vertreter aus dem E-Health-Netzwerk der Mitgliedstaaten verständigen sich auf eine technische Spezifikation (Richtlinie.). Dabei hat das Europäische Parlament noch kein grünes Licht für das Vorhaben gegeben und bislang nicht einmal seine Verhandlungslinie über den entsprechenden Verordnungsentwurf abgesteckt.²⁾
• 20.05.2021 EU-Institutionen einigen sich auf Regelungen zu einheitlichem digitalen Impfnachweis.
• 01.06.2021 EU-Schnittstelle nimmt Betrieb auf.³⁾

• Bereits am 21.1.2021 wurde durch den Europäischen Rat beschlossen, einen interoperablen und standardisierten Impfnachweis für medizinische Zwecke auf den Weg zu bringen.
• Verordnungsvorschlag der EU-Kommission vom 17.03.2021⁴⁾
• 14.04.2021 Der Rat nimmt das Mandat zur Aufnahme von Verhandlungen mit dem Europäischen Parlament über den Vorschlag an.
• Letzte Beschlussfassung der Verordnung 21.05.2021. Die Verordnung muss noch formell von Europäischem Parlament angenommen werden, und soll am 1. Juli 2021 in Kraft treten. Eine endgültige Annahme im Europäischen Parlament wird zwischen dem 7. und dem 10. Juni erwartet. Es soll aber eine sechswöchige Übergangszeit geben, in der Mitgliedstaaten Zertifikate noch nach ihrem herkömmlichen Verfahren ausstellen dürfen.
• 9.6.2021 Das EU-Parlament stimmt dem Verordnungsentwurf zu.⁵⁾ Die beiden vom Parlament verabschiedeten Verordnungen werden nach der formellen Annahme durch die Mitgliedstaaten (Europäischer Rat) im Rat der EU ab dem 1. Juli 2021 zunächst befristet für zwölf Monate in Kraft treten.
• 14.6.2021 Verordnung heute offiziell unterzeichnet.⁶⁾
• 15.6.2021 Verordnung EU 2021/953 tritt in Kraft. Gültigkeitszeitraum gem. Art. 17: 1. Juli 2021 bis 30. Juni 2022.
• 3.2.2022 EU-Kommission schlägt Verlängerung der digitalen Impfzertifikate bis 30. Juni 2023 vor.⁷⁾

Der Impfausweis soll für EU-Bürgerinnen und -Bürger die sichere Ausübung ihres Rechts auf freien Personenverkehr in Zeiten von Corona gewährleisten.

Ein grünes Zertifikat soll als Impfnachweis verlässlich darüber Aufschluss geben, wie wahrscheinlich es ist, dass ein Mensch das Coronavirus weiterverbreiten kann. Das grüne Zertifikat soll sowohl als digitaler Nachweis als auch in Papierform gelten und für EU-Bürger kostenlos sein. Die Verordnung würde die 27 EU-Mitgliedstaaten verpflichten, ein solches Zertifikat (zumindest auf Anfrage) auszustellen.

• Nachgewiesene Impfung gegen Corona
• Negativer Test
• Nachgewiesene Genesung von Corona-Erkrankung

Zunächst nur von der Europäischen Arzneimittelbehörde EMA zugelassene Impfstoffen. Das sind derzeit die Mittel von Biontech/Pfizer, Moderna, Astrazeneca und Johnson & Johnson.

Ungarn zum Beispiel verimpft aber auch das russische Vakzin Sputnik V und das des chinesischen Herstellers Sinopharm. Laut EU-Kommission soll es den anderen Mitgliedstaaten freistehen, ob sie Bescheinigungen über Impfungen mit diesen Impfstoffen anerkennen oder nicht.

• Digital- und/oder Papierformat
• QR-Code
• verlässlich
• kostenlos
• Landessprache und Englisch
• in allen EU-Staaten gültig

Eine erste Architekturskizze bietet das folgende Dokument („Outline“ genannt) des eHealth Network

• Interoperability of health certificates: Trust framework (aktuell: V1.0, 12.03.2021)

Das europäische eHealth Network hat die Leitlinien für die technische Architektur in folgenden Dokumenten festgelegt:

• Guidelines on Technical Specifications for Digital Green Certificates - Volume 1 (aktuell: V1.0.5, 21.04.2021)
• Guidelines on Technical Specifications for Digital Green Certificates - Volume 2: European Digital Green Certificate Gateway (aktuell: V1.3, 21.04.2021)
• Guidelines on Technical Specifications for Digital Green Certificates - Volume 3: Interoperable 2D Code (aktuell: V1.3, 21.04.2021)
• Guidelines on Technical Specifications for Digital Green Certificates - Volume 4: European Digital Green Certificate Applications (aktuell: V1.3, 21.04.2021)
• Guidelines on Technical Specifications for Digital Green Certificates - Volume 5: Public Key Certificate Governance (aktuell: V1.02, 12.05.2021)

Referenzimplementierungen werden als Open Source veröffentlicht.

• Digitale Version kann auf mobilem Endgerät gespeichert werden
• Papierausdruck anforderbar
• QR-Code enthält die zentralen Informationen
• Digitales Echtheitssiegel (Digitale Signatur) sowohl für digitale als auch die Papiervariante
• Jede ausstellende Stelle erhält einen individuellen Schlüssel
• Zentrale EU-Datenbank mit allen Schlüsseln
• Technische Plattform, die eine Überprüfung (und Anerkennung) der Zertifikate in allen EU-Ländern ermöglicht.
  • Die EU-Kommission stellt eine EU-weite Schnittstelle zur Verfügung über die Signaturen prüfbar sind. Personenbezogene Daten werden dabei nicht übermittelt, da sie zur Prüfung nicht notwendig sind.
  • Die EU-Kommission wird die Mitgliedstaaten bei der Entwicklung der nötigen Software zur Überprüfung der QR-Codes unterstützen.
• Keine Hinterlegung und kein Austausch persönlicher Daten

• umfasst Datenstruktur und Kodierungsmechanismus für das Zertifikat
• EU-Schnittstellen für den Datenaustausch der Mitgliedstaaten (Gateway bereits eingerichtet bei Corona-Apps), das den Austausch der digitalen Signaturschlüssel zur europaweiten Verifikation der Impfzertifikate ermöglichen soll.
• Laut Leitlinien sollen keine persönlichen Daten der Inhaber des Impfnachweises über die Schnittstelle übertragen.
• Skizze von Referenzimplementierungen für Software
  • zum Ausstellen der Nachweise
  • zur Verifikation
  • zur Speicherung auf dem Smartphone („Wallet-App“).
• Die entsprechenden Lösungen werden laut der Brüsseler Regierungsinstitution „Open Source sein und bis Mitte Mai zur Verfügung stehen“.

Die EU-Kommission den Softwarekonzern SAP und die Deutsche-Telekom-Tochter T-Systems beauftragt, wie schon bei den Corona-Warn-Apps erneut ein europäisches Gateway zu entwickeln, mit dessen Hilfe EU-Staaten grenzüberschreitend die Gültigkeit digitaler Impfnachweise überprüfen können. Die Entwickler aus beiden Projekten versichern, dass die jeweiligen Plattformen rechtzeitig fertig sind.

Das EU-Gateway wird bis zum 7. Mai im Rechenzentrum der EU in Luxemburg installiert und anschließend mit mehreren Ländern getestet. Spätestens in der ersten Juni-Woche soll die Plattform technisch einsatzbereit sein. Bis Ende Juni wollen sich dann 30 Länder – neben den EU-Staaten auch Norwegen, die Schweiz oder Liechtenstein – in drei Wellen an die EU-Plattform anschließen. Nach aktueller Planung gehört Deutschland zur ersten Ländergruppe, die ab Mitte Juni mit der Plattform verbunden werden.

⁸⁾

Beim Vertrauensmodell des Europäischen Frameworks handelt es sich um eine Public Key Infrastruktur (PKI).

Eine sog. Country Signing Certificate Autority (CSCA) bzw. auch mehrere geben PKI-Zertifikate für nationale sog. Document Signer aus, welche mit ihren sog. Document Signer Certificates (DSC) die digitalen Impfzertifikate signieren. Damit ist die CSCA der Vertrauensanker, über den die Mitgliedstaaten die Validität der Document Signer Certificates (DSC) prüfen können.

Das eHealth Network der EU hat ein detailliertes technische Infomodell (in JSON) veröffentlicht und ergänzt durch Leitlinien für Value Sets.

Der digitale grüne Nachweis enthält notwendige persönliche Informationen wie Name, Geburts- und Ausstellungsdatum sowie ein individuelles Erkennungsmerkmal.

Zudem:

• Impfungen
• Ergebnisse von PCR- oder Antigen-Schnelltests
• Überstandene Covid-19-Erkrankung

Die Nachweise enthalten nur eine begrenzte Anzahl notwendiger Daten. Sie dürfen von den Behörden der besuchten Länder nicht gespeichert werden. Zu Authentifizierungszwecken wird nur die Gültigkeit des Nachweises kontrolliert, indem überprüft wird, wer ihn ausgestellt und unterzeichnet hat. Alle gesundheitsbezogenen Daten verbleiben bei dem Mitgliedstaat, der den digitalen grünen Nachweis ausgestellt hat.

Fest steht, dass es wie geplant drei Zertifikate geben soll: Eines um das negative Ergebnis eines PCR- oder dokumentierten Schnelltests zu belegen sowie eines, um eine durchgemachte Covid-19 Erkrankung nachzuweisen, etwa mit einem positiven PCR-Test-Ergebnis.

Das dritte Zertifikat soll die Impfung nachweisen, dabei soll auch ersichtlich sein, ob der Zertifikatsinhaber die erste von zwei oder bereits beide Impfdosen für einen vollständigen Impfschutz erhalten hat. Ist aufgrund des Impfstoffs nur eine Impfung erforderlich, soll auch diese Information ersichtlich sein.

Die verschiedenen Zertifikate sollen sich auch gegenseitig ergänzen können, etwa wenn zusätzlich zur ersten Impfung noch ein negatives Testergebnis nötig ist. Alle Zertifikate sollen Form von QR-Codes ausgespielt werden.

• Für die Ausstellung sind die nationalen Behörden/Institutionen bspw. Krankenhäuser, Testzentren oder Gesundheitsbehörden zuständig.
• Der digitale Impfnachweis enthält einen QR-Code mit digitaler Signatur zum Schutz vor Fälschung
• Bei der Kontrolle werden QR-Code und Signatur geprüft
• Jede ausstellende Stelle hat ihren individuellen Signaturschlüssel, die in einer EU-weiten Datenbank gespeichert werden.
• Die EU-Kommission stellt eine EU-weite Schnittstelle zur Verfügung über die Signaturen prüfbar sind. Personenbezogene Daten werden dabei nicht übermittelt, da sie zur Prüfung nicht notwendig sind.

Quelle: Digital Green Certificate factsheet (https://ec.europa.eu/commission/presscorner/detail/en/fs_21_1208, abgerufen am 8.4.2021)

Die Software zur Erstellung der Zertifikate wird in die jeweiligen Gesundheitssysteme integriert. Die dortigen Aussteller, in Deutschland sollen das nach Informationen des Bun­des­ge­sund­heits­mi­nis­ter­iums (BMG) sowohl die Impfzentren als auch die niedergelassenen Ärzte und perspektivisch auch Apotheken sein, erhalten je einen spezifischen digitalen Schlüssel, mit dem die Zertifikate für jeden Impfling signiert werden.

Die Schlüssel zum Lesen dieser Signaturen werden über das Gateway der EU zwischen den EU-Staaten ausgetauscht. Mithilfe der Überprüfungs-Apps, die beispielsweise Fluglinien oder die Polizei nutzen werden, können die Zertifikate dann in allen Mitgliedsländern verifiziert werden. Gesundheitsdaten der Bürger werden dabei nicht zwischen den Mitgliedsländern ausgetauscht, heißt es aus der Kommission.

Ob die QR-Codes dabei auf dem Handy in einer App oder als PDF gespeichert sind oder auch ausgedruckt auf Papier, soll für die Überprüfung keine Rolle spielen. In Deutschland wird derzeit eine sogenannte Wallet-App entwickelt, also eine digitale Brieftasche, in der die Zertifikate gespeichert werden können. Perspektivisch soll das Speichern laut BMG auch in der Corona-Warn-App möglich sein.

Grundsätzlich soll es den EU-Staaten überlassen bleiben, welche Vorteile mit dem Zertifikat gewährt werden. Für Reisende könnten dadurch etwa Test- oder Quarantänepflichten entfallen. Allerdings müssen Ausnahmen in gleicher Weise für alle Reisenden gelten, die im Besitz eines digitalen grünen Zertifikats sind.

Die Kommission plant, das Gesetz bis Juni zu verabschieden, um die Tourismus-Saison zu retten. Allerdings hat die Kommission eine EU-Verordnung vorgeschlagen, also direkt anzuwendende EU-Regelungen, die nationale Behörden direkt verpflichten würde, ihren Bürgen den grünen Impfpass anzubieten. Es darf bezweifelt werden, ob sich bis Juni - selbst in einem beschleunigten Verfahren alle Mitgliedstaaten auf eine gemeinsame Position einigen und die Verordnung finalisieren können.

Der Nachweis soll zum 1. Juli in ganz Europa einsetzbar sein, allerdings haben sich die Staaten eine Übergangsfrist von sechs Wochen ausbedungen, in der auch Nachweise auf Papier gültig sind.

• Unterschiedliche Interessen der Mitgliedstaaten oder Datenschutzbedenken des EU-Parlaments im Gesetzgebungsprozess
• Technische Umsetzung: in einigen Ländern bspw. Deutschland, werden die benötigten Daten nicht zentral verfügbar gespeichert.
• Medizinisch: Es ist immer noch nicht sicher, wie groß das Risiko ist, das geimpfte oder genesene Menschen das Virus doch weiterverbreiten

Die nationalen Impfpässe werden weiter gelten. Ein Zwang, sich einen EU-Impfpass zuzulegen, ist nicht vorgesehen.

• „Joint Opinion“ des European Data Protection Board (EDPB) und des European Data Protection Supervisor (EDPS), alos dem Europäischen Datenschutzbeauftragten).

Für den Aufbau der nationalen Infrastruktur sind die Mitglieder selbst verantwortlich.

Das sogenannte Gateway soll ab Juni dafür sorgen, dass die nationalen Zertifikate der Mitgliedsstaaten untereinander erkannt und akzeptiert werden. Die EU hat damit die Unternehmen SAP und die Deutsche Telekom beauftragt hat.

Die EU hat dafür die erforderlichen finanziellen Mittel zur Verfügung gestellt sowie Open-Source-Vorlagen sowohl für die Software zur Erstellung der Zertifikate als auch für zwei Smartphone-Apps zur Speicherung und Überprüfung der Zertifikate entwickelt, auf die jeder Mitgliedstaat zugreifen kann.

• FAQ der EU-Kommission
• Europa und Covid-19 Digital