EU-Beobachtung

Fünf Gründe, den Sieg beim digitalen COVID-Zertifikat der EU zu feiern

Wir freuen uns, dass unsere wichtigsten Empfehlungen zum Schutz der Menschenrechte bei der Gestaltung des Digitalen Grünen Zertifikats übernommen wurden. Lies hier, was wir erreicht haben und wie es mit dem heißersehntestem Dokument des Sommers weitergeht

von Orsolya Reich (Liberties) & Thomas Lohninger (epicenter.works)

Heute stimmt das Europäische Parlament ab über den interinstitutionellen Kompromisstext zu der/den Verordnung(en) über das Digitale COVID-Zertifikat der EU (EU DCC - oder auch 'Digitales Grünes Zertifikat' und 'Europäischer Grüner Pass'). Das vorgeschlagene Gesetz regelt den "Rahmen für die Ausstellung, Überprüfung und Akzeptanz interoperabler Impf-, Test- und Genesungszertifikate" mit dem Ziel, die Reisefreiheit während der COVID-19-Pandemie zu ermöglichen.

Liberties und sein Partner, epicenter.works, erwarten, dass die Gesetzesinitiative verabschiedet wird. Der Text des letztendlichen Kompromisses stimmt mit der Mehrheit unserer Empfehlungen überein und ist somit als ein klaren Sieg für die Menschenrechte und die digitalen Rechte zu werten.

Die wichtigsten Errungenschaften

1. Zugänglichere Tests sollen bereitgestellt werden, um Zweiklassen-Gesellschaften zu vermeiden

Der Text der Hauptverordnung (im Folgenden "der Text") betont die Notwendigkeit eines allgemeinen, rechtzeitigen und erschwinglichen Zugangs zu COVID-19-Impfstoffen und -Tests. Um die Testkapazitäten der Mitgliedstaaten zu fördern, hat die Kommission 100 Millionen Euro mobilisiert, um über 20 Millionen Antigen-Schnelltests zu kaufen. Darüber hinaus wurden 35 Millionen Euro durch eine Vereinbarung mit dem Roten Kreuz mobilisiert, um die Testkapazitäten in den Mitgliedstaaten durch mobile Teststellen zu erhöhen.

Bleib auf dem Laufenden.

Liberties hat wiederholt Bedenken geäußert, dass eine Zwei-Klassen-Gesellschaft entstehen könnte, in der Geimpfte alle Rechte genießen, während Ungeimpften in ihren Rechten eingeschränkt werden. Liberties hat empfohlen, dass die Mitgliedsstaaten denjenigen, die nicht geimpft sind, den Zugang zu Tests erleichtern sollten (sowohl räumlich als auch finanziell).

2. Papierbasierte Zertifikate für alle, die kein Smartphone besitzen

Im Text heißt es: "Um Interoperabilität und gleichberechtigten Zugang zu gewährleisten, auch für schutzbedürftige Personen wie Menschen mit Behinderungen und für Personen mit begrenztem Zugang zu digitalen Technologien, sollten die Mitgliedstaaten die Zertifikate, aus denen sich das digitale COVID-Zertifikat der EU zusammensetzt, in einem digitalen oder papierbasierten Format oder in beiden ausstellen. Die potenziellen Inhaber sollten das Recht haben, das Zertifikat in dem Format ihrer Wahl zu erhalten" (Abschnitt14).

Liberties und epicenter.works äußerten sich besorgt darüber, dass es nach den Vorschlägen der Kommission im Ermessen der Mitgliedstaaten liegt, in welcher Form sie die Zertifikate ausstellen, und dass sie nicht verpflichtet sind, sie in der für den Endnutzer am besten zugänglichen Form auszustellen. Das digitale Format ist dafür gedacht, auf mobilen Geräten angezeigt und gespeichert zu werden. Indem sie jedoch nur digitale Zertifikate ausstellten, hätten die Mitgliedstaaten Ungleichheiten und soziale Ausgrenzung verschärfen können. Liberties hatte deshalb vorgeschlagen, dass die Mitgliedstaaten verpflichtet werden, die Zertifikate in beiden Formaten auszustellen, oder, wenn sie das Zertifikat nur im digitalen Format ausstellen wollen, sicherzustellen, dass allen Betroffenen ein Gerät zur Verfügung steht, mit dem sie es nutzen können.

3. Ein Ende in Sicht

Der Text enthält eine Auslaufklausel. Die Regelungen gelten für 12 Monate ab dem Datum ihres Inkrafttretens. Dies ist eine wichtige Verbesserung, denn keine Einschränkung der Grundrechte, die dem Ziel dient die COVID-19-Krise zu bekämpfen, sollte diese Pandemie überdauern. Wir werden die Umsetzung dieses Vorschlags in den Mitgliedsstaaten und die Berichtspflichten der Europäischen Kommission genau beobachten und darauf bestehen, dass das System nach Ablauf der Frist abgeschaltet wird.

Liberties und epicenter.works haben darauf bestanden, dass klare Bedingungen für ein Ende der Bescheinigungen festgelegt werden müssen. Die Anforderung, unseren Gesundheitszustand zu bescheinigen, wenn wir uns innerhalb Europas bewegen, darf nicht zu einer dauerhaften Normalität m normalen Teil des Lebens werden.

4. Schutz der Krankengeschichte

Die Bescheinigungen werden nur die personenbezogenen Daten enthalten, die unbedingt erforderlich sind, "um die Ausübung des Rechts auf Freizügigkeit innerhalb der Union während der COVID-19-Pandemie zu erleichtern" (Abschnitt 38). Für jede Impfung, jeden Test oder jede Genesung wird eine eigene Bescheinigung ausgestellt - so dass für die Zwecke der digitalen COVID-Bescheinigung keine Krankengeschichte der Betroffenen erhoben wird.

Epicenter.works und Liberties waren beide besorgt über die Verarbeitung von sensiblen Gesundheitsdaten im Rahmen dieses Vorschlags und die Art und Weise, wie diese Informationen an Dritte weitergegeben werden. Insbesondere Bescheinigungen über eine überstandene Covid-19 Erkrankung könnten eine lebenslange Benachteiligung einer Person darstellen (Long Covid). Da die Mitgliedsstaaten bisher nicht gezeigt haben, dass sie im Bemühen die COVID-19-Pandemie unter Kontrolle zu bekommen, ausreichend auf die mit der Einführung neuer Technologien verbundenen Risiken achten, bereitete uns die Tatsache, dass der Vorschlag der Kommission wenig Details über den Schutz personenbezogener Daten enthielt, große Sorgen.

5. Überwachung verhindern

Es wird sichergestellt, dass "die Verifizierung eines Zertifikats offline und ohne Benachrichtigung der ausstellenden Behörde bzw. weiterer dritter Parteien über die Verifizierung erfolgen muss. Der Vertrauensrahmen sollte auf einer Public-Key-Infrastruktur mit einer Vertrauenskette von den Gesundheitsbehörden der Mitgliedstaaten oder anderen vertrauenswürdigen Behörden zu den einzelnen Stellen, die die Zertifikate ausstellen, basieren" (Abschnitt 15). Darüber hinaus wird es den Prüfstellen untersagt sein, die aus dem Zertifikat gewonnenen personenbezogenen Daten zu speichern. Das ist das Maximum, was die europäische Gesetzgebung zur Lösung des Problems beitragen kann. Mitgliedsstaaten, die über die Verordnung hinausgehen und dieses System nutzen, um den Zugang zu Geschäften und Restaurants im Inland zu kontrollieren, müssen nationale Gesetze mit gleichwertigen Sicherheitsvorkehrungen erlassen.

Epicenter.works hat vor einer zentralisierten Architektur für die Verifizierung von Zertifikaten gewarnt. Eine solche Online-Verifizierung schafft das Potenzial für eine Überwachung durch die ausstellende Behörde, indem diese Datensätze über jeden Grenzübertritt einer Person anlegt. Dieses Problem wird noch verstärkt, wenn einzelne Länder dieses System auch nutzen, um den Zugang zu Räumen oder Dienstleistungen für geimpfte, getestete oder genesene Menschen zu regeln - und damit das Potenzial zur Überwachung des gesamten sozialen Lebens schaffen. Deshalb hat epicenter.works darauf bestanden, dass die Regelungen klarstellen müssen, dass nur eine Offline-Verifizierung über eine Public-Key-Infrastruktur den Prinzipien von Privacy by Design entspricht. Wenn ein Zertifikat verifiziert wird, darf der Emittent keine Kenntnis über den Verifizierungsprozess oder dessen Umstände erlangen.

Hilf uns für deine Rechte zu kämpfen spenden
Ob die Umsetzung der Verordnung den höchsten menschenrechtlichen Standards entsprechen wird, bleibt natürlich abzuwarten. Liberties und epicenter.works werden die Entwicklungen in den kommenden Monaten weiter beobachten.

Aber heute wird erstmal gefeiert.

Der Gesetzentwurf: Eine kurze Geschichte

Bereits im März 2020 haben die EU-Mitgliedstaaten verschiedene Maßnahmen ergriffen, um die Ausbreitung des Coronavirus zu bremsen und die öffentliche Gesundheit zu schützen. Einige dieser Maßnahmen betrafen das Recht der Bürgerinnen und Bürger der Union, sich im Hoheitsgebiet der Mitgliedstaaten frei zu bewegen und aufzuhalten. Im Sommer 2020, als die Inzidenzraten in Europa zurückgingen, aber Impfstoffe noch nicht einmal in Sicht waren, hoffte man, dass interoperable Apps zur Kontaktverfolgung den innereuropäischen Reiseverkehr wiederbeleben würden. Dies ist aus verschiedenen Gründen nicht geschehen: Das Gateway zur Kontaktverfolgung begann zu spät zu funktionieren und die Downloadrate der Apps war in den meisten Ländern zu gering, als dass sie als effizientes Mittel zur Bekämpfung der Pandemie hätte dienen können.

Anfang 2021, als die Impfkampagnen in Europa begannen, wurde schnell klar, dass eine Reihe von europäischen Regierungen Impfpässe ausstellen wollen, die sowohl im Inland als auch im Ausland verwendet werden können. Im März 2021 kündigte die Kommission ihren Plan an, einen Pass einzuführen, der nicht nur den Impfstatus des Inhabers, sondern auch dessen aktuelle Testergebnisse oder den Genesungsstatus bescheinigen kann. In einem Policy Brief vom 12. März 2021 hat Liberties Empfehlungen vorgelegt, wie ein solcher Pass umgesetzt werden sollte, damit er nicht zu ungerechter Behandlung, verschärfter Ungleichheit und Verletzungen der Privatsphäre führt.

Am 17. März hat die Europäische Kommission einen Vorschlag für eine Verordnung über interoperable Impf-/Testergebnis-/Genesungszertifikate für europäische BürgerInnen und deren Familienangehörige, sowie einen Doppelvorschlag vorgelegt, der regelt, wie Drittstaatsangehörige, die sich legal in der EU aufhalten, Inhaber eines solchen Zertifikats werden können. Liberties vertrat die Ansicht, dass die Vorschläge der Kommission gute Absichten zeigten, aber da die Vorschläge nichts enthielten um auszuschließen ,dass die ausstellenden Behörden das Zertifikat zu Überwachungszwecken missbrauchen können, und weil sie nicht weit genug gingen, um soziale Ausgrenzung zu vermeiden, schlug Liberties in einem zweiten Policy Brief vor, dass die europäischen Gesetzgeber den Text abändern.


Am 26. April wandten sich Liberties, epicenter.works und 26 weitere Menschenrechts- und Digital Rights-Organisationen in einem offenen Brief an die Mitglieder des Europäischen Parlaments und forderten sie auf, unsere oben beschriebenen Bedenken durch entsprechende Nachbesserungen auszuräumen und sicherzustellen, dass beide Verordnungen im Einklang mit den Werten stehen, auf denen die Europäische Union basiert.

Am 28. April einigte sich das Europäische Parlament auf seinen Standpunkt und die interinstitutionellen Verhandlungen gingen in die sogenannte Trilog-Phase über. Die vom Parlament angenommenen Versionen enthielten wesentliche Verbesserungen gegenüber den ursprünglichen Vorschlägen, insbesondere in der Betonung der Nicht-Diskriminierung von Ungeimpften und in der Betonung des Prinzips Privacy-by-Design. Informelle politische Triloge zwischen dem Parlament, der Kommission und dem Rat (der seine eigene Version der Vorschläge am 12. April annahm) fanden am 3., 11., 18. und 20. Mai statt. In einem Policy Brief, der den Verhandlungsführern im Trilog Input geben sollte, analysierten Liberties (und epicenter.works) die verschiedenen vorgeschlagenen Änderungen und erklärten, welche davon die Unterstützung der Menschen- und Digitalrechtsgemeinschaft verdienen und warum.

Bleib auf dem Laufenden.

Beim vierten politischen Trilog, am 20. Mai, wurde eine vorläufige Einigung über den Text beider Verordnungen erzielt.

Heute wird erwartet, dass das Parlament den beim vierten Trilog vereinbarten Text annimmt. Obwohl einige unserer Bedenken nicht vollständig erfüllt sind, glauben Liberties und epicenter.works, dass die Texte, über die heute entschieden werden soll, eine große Verbesserung gegenüber dem ursprünglichen Vorschlag darstellen und einen Sieg für die Menschenrechte und die digitalen Rechte bedeuten, der gefeiert werden kann.

Thomas Lohninger ist Geschäftsführer der Digital Rights NGO epicenter.works in Wien, Österreich. Liberties und epicenter.works setzen sich gemeinsam dafür ein, dass COVID-19-Zertifikate in Europa nicht zur Überwachung verwendet werden und nicht zu Diskriminierung führen.