Handy mit grünem Pass am Bildschirm

Grüner Pass: Österreich startet mit EU-kompatibler Lösung und QR-Code

10. Juni 2021

Unter hohem Zeitdruck sowie umfangreichen Sicherheits- und Datenschutzanforderungen hat das BRZ das Epidemiologische Informationssystem „BRZ EPI“ als Grundlage für den Grünen Pass entwickelt.

Hintergrundinformationen zum Grünen Pass

Mit Verordnung vom 10. Mai 2021 hat der Bundesminister für Soziales, Gesundheit, Pflege und Konsumentenschutz festgelegt, dass zum Betreten bestimmter Orte der Nachweis eines "3G"-Zertifikats (Getestet, Geimpft, Genesen) erforderlich ist. Dieser Nachweis kann mit einem Impfpass, einer Testbestätigung oder einem Genesungszertifikat erbracht werden – ein mitunter aufwändiges Verfahren, wenn in kurzer Zeit eine hohe Zahl an Personen kontrolliert werden soll. Auch die Fehleranfälligkeit des Systems ist relativ hoch. Mit Beschluss des Nationalrates am 26. Mai erfolgte die Regelung, dass der "3G"-Nachweis auch digital in Form eines QR-Codes erbracht werden kann. Bereits zuvor verständigten sich die EU-Mitgliedsstaaten darüber, einen in allen Mitgliedsstaaten anerkannten Code zu definieren und diesen ab 1. Juli als Nachweis der 3G-Regel beim Grenzübertritt zu akzeptieren. Detailabstimmungen zur konkreten technischen Umsetzung dieses Vorhabens laufen bereits seit längerem, Aktualisierungen werden auf dem Entwicklerportal GitHub dokumentiert. Seit Anfang Mai gab es bereits mehrere tausend Aktualisierungen des GitHub-Verzeichnisses.
  • Gut zu wissen:
Umsetzung in den Mitgliedsstaaten: Jedes Land implementiert eine technische Lösung zur Erzeugung und Validierung eines oder mehrerer QR-Codes. Eine "EU-Lösung", die alle Mitgliedsstaaten übernehmen können, gibt es nicht. Der Grüne Pass in Europa ist somit ein QR-Code, der von allen Mitgliedsstaaten akzeptiert wird. Er enthält alle notwendigen Daten in abgestimmter, länderübergreifend lesbarer Form und wird einheitlich interpretiert.

Zertifikatsregister auf EU-Ebene

Die Mitgliedsländer stellen das Vertrauen zwischen den Zertifikaten der Mitgliedsstaaten über ein zentrales Zertifikatsregister her. Dazu muss jedes Land die "Trustliste", also eine Liste gültiger (vertrauenswürdiger) Ausstellerzertifikate bereitstellen. Ist ein QR-Code mit einem Zertifikat erstellt worden, das nicht im EU-Zertifikatsregister vermerkt ist, meldet die Prüfung, welche zuvor die Trustliste geladen hat - etwa bei einer Grenzkontrolle - ein ungültiges Zertifikat und somit einen ungültigen QR-Code zurück.

Umsetzung in Österreich

Infografik zum Grünen Pass
Infografik: Der Weg zum Grünen Pass (C) BRZ/APA
Infografik in Originalgröße (PDF) herunterladen.

Wenn im Juni der "Grüne Pass" als digitale Lösung in ganz Österreich startet, können Personen ihren "3G"-Status, also ihr Testzertifikat, ein Impfzertifikat oder das Genesungszertifikat einfach digital am Smartphone mit einem QR-Code nachweisen. Die Prüfung des QR-Codes durch jene Stellen, die etwa Eintrittstests durchzuführen haben (z. B. Restaurants, Hotels, Freizeiteinrichtungen, körpernahe Dienstleistungen, usw.) kann in wenigen Sekunden durch eine Web-App erfolgen. Vorläufig wird dafür die vom BRZ für Behörden entwickelte Web-App allgemein zur Verfügung gestellt. Dabei werden keine persönlichen Daten übermittelt – die Prüfung erfolgt "offline", also nur im Gerät des Prüfenden.

BRZ EPI als Grundlage zur Umsetzung des EU-kompatiblen Grünen Passes

Bei der Umsetzung des Grünen Passes konnte das BRZ zwischen einer Reihe von unterschiedlichen, sich dynamisch entwickelnden Anforderungen verschiedener nationaler wie internationaler Stakeholder (EU) und Entscheidungsträger (Bund, Länder, Interessensvertretungen, Gesundheitseinrichtungen usw.) eine vermittelnde und beratende Rolle einnehmen. Das BRZ hat mit der Umsetzung des Grünen Passes und dem BRZ EPI als Knotenpunkt für verschiedene Anwendungen ein hochsicheres, datenschutzrechtlich unbedenkliches und stabiles System auf die Beine gestellt, trotz komplexer Schnittstellen und unter hohem Zeitdruck. Regelmäßige Penetrationstests ("PEN-Tests") und die Abwicklung in einer hochmodernen, skalierbaren technischen Umgebung stellen den Betrieb rund um den Grünen Pass sicher.
Eine Besonderheit der aktuellen Lösung ist die 100%-ige Übereinstimmung mit EU-Vorgaben. Möglich wird die EU-kompatible Umsetzung in Österreich durch die Kooperation zwischen BRZ und A-SIT Plus. Die A-SIT Plus stand der EU-Kommission bei der Erstellung der Referenzarchitektur beratend zur Seite und war so wichtiger Ansprechpartner des BRZ. Alle aus dem BRZ EPI generierten Codes sind für Prüfende im Ausland, die ebenfalls den EU-Vorgaben folgen, prüfbar. Eine "Insellösung" für Österreich gibt es somit nicht.
  • Hintergrundwissen
Technische Anforderungen der Europäischen Union: Die EU-Vorgaben zum Erstellen der Codes sind transparent einsehbar, um allen Mitgliedsländern die Erstellung EU-kompatibler QR-Codes zu ermöglichen. Zur Dokumentation der Anforderungen wird GitHub verwendet. Änderungen in den Anforderungen beeinflussen die Umsetzung des Grünen Passes. So wurde am 26. Mai der Zeitpunkt des Testergebnisses aus dem QR-Code entfernt. Österreich hatte jedoch die Verwendung dieses Feldes vorgesehen. Dadurch musste das System abermals geändert werden. Eine weitere Änderung wurde am 3. Juni vorgenommen: Mit der Änderung der Versionsnummer des EU-Zertifikats (DCC, Digital Covid Certificate) von "1.2.1" auf "1.0.0" am 26. Mai wurde eine Anpassung aller Services notwendig, um eine Fehlfunktion in anderen EU-Ländern zu verhindern. Die häufigen Änderungen zeigen: Die Entwicklung der Anforderungen für den Grünen Pass ist auf EU-Ebene noch sehr dynamisch, die umsetzenden Mitgliedsländer müssen mitunter schnell auf Änderungen reagieren, um eine EU-kompatible Umsetzung sicherzustellen. Nationale Zeitpläne sind durch die dynamische Entwicklung mitunter gefährdet.

So funktioniert die BRZ-Lösung für den Grünen Pass in Österreich

Bereits seit Anfang 2021 betreibt das BRZ im Auftrag des Bundesministeriums für Soziales, Gesundheit, Pflege und Konsumentenschutz (BMSGPK) das sogenannte BRZ EPI (Abkürzung für: Epidemiologisches Informationssystem). Im BRZ EPI laufen Daten aus dem elektronischen Impfpass, den Teststraßen (aus Betriebstestungen, Apotheken sowie Teststraßen in allen Bundesländern), Laboren sowie dem Epidemiologischen Meldesystem des Bundes (EMS), das die Daten einer Genesung enthält, zusammen. Übermittelt werden nur minimale Datasets, die zur Generierung eines gültigen, EU-kompatiblen QR-Codes notwendig sind.
  1. Covid19-Getestet: Personen, die sich im Rahmen von „Österreich testet“ in einer Teststraße, bei einer Apotheke oder in einem Labor testen lassen, erhalten eine SMS oder E-Mail mit einem personalisierten Dokumentenlink (Aufbau des Links: nachweis.gesundheit.gv.at/individueller_Hash) oder auf Wunsch einen Ausdruck des Testergebnisses vor Ort. Dieses Dokument wird mit einem EU-kompatiblen QR-Code aus dem BRZ EPI versehen und ist mit einem eindeutigen Dokumentenlink ohne vorheriges Login, nach Eingabe des Geburtsdatums abrufbar. Für diesen Abruf ist auch keine Digitale Signatur erforderlich.
  2. Genesen: Wer genesen ist, kann ein Genesungszertifikat über die Plattform gruenerpass.gesundheit.gv.at abrufen (Digitale Signatur erforderlich), auch diese Nachweise enthalten einen aus dem BRZ EPI erzeugten EU-kompatiblen QR-Code, der als "Grüner Pass" gilt und vorgezeigt werden kann.
  3. Geimpft: Personen, die eine Impfung erhalten haben, können über gruenerpass.gesundheit.gv.at ein Impfzertifikat aus dem Digitalen Impfpass herunterladen, das ebenfalls über das BRZ EPI mit einem EU-kompatiblen QR-Code versehen ist.
  • Gut zu wissen:
Direktlink der Bundesländer: Für Zugriffe auf Impfnachweise oder Informationen zu durchgemachter Erkrankung über gruenerpass.gesundheit.gv.at ist ein Login mit Digitaler Signatur erforderlich. Bundesländer haben die Möglichkeit, ihren Bürger/innen den Abruf eines Impf- oder Genesungszertifikats auch über einen Direktlink zu ermöglichen, der nach Registrierung auf einem Bundesländerportal zugesendet wird.

Bundesländer-Portale

Die Bundesländer erhalten die Möglichkeit, auf ihren Portal-Webseiten (z.B. wien.gv.at, ooe.gv.at usw.) Bürger/innen einen Direktlink auf Zertifikate (Impfzertifikat, Genesungszertifikat, Testzertifikat) anzubieten. So kann etwa der/die Bürger/in nach dem Login in ein Landesportal einen Link auf ein PDF mit einem 3G-Zertifikat anklicken und direkt herunterladen. Nach erfolgter Zustimmung/Registrierung zum Zertifikatserhalt kann auch ein Direktlink (SMS/Mail) durch das Land versendet werden. Dieser Link ist ohne Handysignatur abrufbar, es reicht die Angabe des Geburtsdatums zur Authentifizierung aus. Die Umsetzung dieser Option zur Anbindung ans BRZ EPI liegt in der Verantwortung der Bundesländer.
  • Hintergrundwissen:
Schnittstellen zum BRZ EPI: Zahlreiche Stellen liefern Daten ins BRZ EPI ein. Eine wesentliche Herausforderung bei der Umsetzung war die Anbindung und sorgfältige Testung einer Vielzahl an Schnittstellen, um einen reibungslosen, fehlerfreien und sicheren Ablauf sicherzustellen.

Abruf in Vertretung

Nach Zustimmung durch den/die betroffenen Bürger/in können auch Behörden (Amtspersonen) über einen Portalverbund einen Ausdruck zum Zertifikat einer Impfung, eines Tests oder einer durchgemachten Erkrankung ausdrucken. Die Zugriffe von Behörden werden dabei genau protokolliert.

So funktioniert die QR-Code-Prüfung vor Ort

Wer einen Ort betreten möchte, für dessen Zutritt ein gültiger Grüner Pass vorgezeigt werden muss, kann die oben beschriebenen Wege nutzen, um einen QR-Code zu generieren. Dieser wird dem Prüfenden vorgezeigt. Der Prüfende erhält sofort die Information, ob ein "grüner" oder "roter" Status vorliegt. Der Prüfende erhält keine Informationen über die notwendigen Parameter wie Name, Geburtsdatum (zur Identifikation) oder Ablauf des Testzertifikats hinaus – so wird eine datenschutzrechtlich einwandfreie Abwicklung sichergestellt. Wann, durch wen und mit welchem Ergebnis eine QR-Code Prüfung durchgeführt wurde wird nicht gespeichert, da die Prüfung rein offline am Gerät des Prüfenden erfolgt.
  • Hintergrundwissen:
Datenschutz: Bei der Umsetzung der Lösung zum Grünen Pass werden alle relevanten Datenschutzbestimmungen eingehalten und stets nur ein minimales Set an Daten übertragen, das für eine Prüfung notwendig ist. Die BRZ WebApp ist als OpenSource-Anwendung konzipiert. Im BRZ EPI werden keine Daten über Zeitpunkt, Ort oder Ergebnis einer QR-Code-Prüfung gespeichert.