Grünen-Glättli: Covid-Zertifikat ist datenschutzmässig mustergültig

Die Gegner des Covid-Gesetzes haben sich stark auf das Zertifikat eingeschossen. Kritisiert wird es von zwei Seiten. Die Referendumsführer behaupten, dass es Ungeimpfte und Ungetestete ausschliesst.

Dabei ist es gerade umgekehrt: Dank des Zertifikats wurden für Geimpfte, Genesene und Getestete Freiheiten wieder möglich. Zudem wird behauptet, es werde eine Massenüberwachung eingeführt. Auch hier stimmt das Gegenteil: Das Zertifikat ist ein Musterbeispiel für eine datensparsame Anwendung mit dezentraler Datenhaltung.

Zum Ersten: Das Verhältnismässigkeitsprinzip der Verfassung besagt, dass Grundrechtseinschränkungen wie zum Beispiel die Einschränkung der Bewegungsfreiheit, der Versammlungsfreiheit, aber auch der Wirtschaftsfreiheit mit den mildest möglichen Massnahmen geschehen müssen.

Solange es gesundheitspolitisch verantwortbar ist, Personen, die weniger ansteckend sind (da sie geimpft/genesen/getestet sind) mehr Freiheiten zu geben als solchen, die sich Impfung und Tests verweigern, muss dies auch gemacht werden.

«Verhältnismässigkeit heisst: Ungleiches ungleich behandeln für möglichst wenige Grundrechtseinschränkungen»

Die gleiche Überlegung zur Verhältnismässigkeit gilt übrigens für die Aufhebung der Quarantäne für Geimpfte, die auch im Covid-Gesetz steht. Das ist nicht eine Bevorzugung von Geimpften, sondern eine Einschränkung einer massiv freiheitsbeschränkenden Massnahmen auf jene Kreise, bei denen sie zur Pandemiebekämpfung nötig ist.

Es wäre eine unverhältnismässige Einschränkung der Grundrechte, wenn – zugunsten einer «Gleichbehandlung» von Personen, die als Geimpfte eben nicht gleich die Pandemie weitergeben wie Ungeimpfte – auch Geimpfte in die Quarantäne müssten.

Die Referendumsführer behaupten ebenfalls, dass das Zertifikat ein Instrument der Massenüberwachung und datenschutzmässig höchst problematisch sei. Das Gegenteil ist der Fall. Die Schweiz kennt dank unseres Datenschutzbeauftragten EDÖB für den Inlandgebrauch sogar ein speziell datensparsames Zertifikat light.

Bei der Kontrolle kann aus dem Zertifikat Light nur noch die kryptographisch beglaubigte Information zu Name und Geburtsdatum ausgelesen werden – und keine Infos, ob die Person etwa geimpft oder genesen oder getestet ist. Auch die Information, wann eine allfällige Impfung stattgefunden hat, welche Rückschlüsse z.B. auf das Vorhandensein von Vorerkrankungen zulassen würde, ist im Zertifikat light nicht vorhanden.

Weil das Zertifikat light zu wenig bekannt ist, hier der Tipp: Sie wandeln ihr Zertifikat ganz simpel in ein datensparsames Zertifikat Light um, indem sie beim Zertifikat nach unten scrollen, auf Zertifikat light klicken, und dieses dann im nächsten Bildschirm «aktivieren». Sie müssen dabei online sein.

Fakt ist: Jede und jeder, der Facebook nutzt oder ohne besonderen Browser und VPN von unterwegs im Web surft, gibt den grossen Datenkraken, aber auch dem Staat mehr Informationen über sich, als dies das Zertifikat tut.

Das Zertifikat und noch mehr das Zertifikat light sind zudem dezentrale Systeme, die nur direkt vor Ort überprüft werden. Dabei werden weder die Überprüfung gespeichert noch die Daten, wer wann wo von wem aufs Zertifikat geprüft wurde. Das Zertifikat ebenso wie die anonyme Contact-Tracing App sind kein Startschuss für die Massenüberwachung, sondern ganz im Gegenteil zwei Musterbeispiele dafür, wie der Staat – und Private – eigentlich IT-Projekte angehen müssten: Mit Privacy by default, mit dezentral bei den Nutzenden verteilter Information statt allwissender zentralisierter Datenbanken.

Im Vergleich dazu waren die Papier-Präsenzlisten und noch mehr die digitalen Check-ins via verschiedener Apps und mobiler Websites, die sich in den ersten anderthalb Jahren der Pandemie verbreitet haben, ein datenschutzmässiger Albtraum. Viele der Angebote bewahrten Daten über lange Zeit auf (zum Beispiel, um ein einfacheres erneutes Einchecken zu ermöglichen), und sie erstellten zentrale Datenbanken mit Infos, wer sich wann wo aufgehalten hatte.

Und das alles mit gegebenenfalls dem Zugriff der Behörden. Einige der Check-in-Apps waren zudem aufgrund mangelnder Sicherheit auch geradezu eine Einladung an Hacker – die Medien berichteten darüber.

Mein Fazit: Wer sonst ein Smartphone nutzt, aber nun beim Zertifikat plötzlich von Massenüberwachung spricht, hat nichts verstanden. Nicht nur von der privaten Massenüberwachung. Das Schweizer Gesetz (Bundesgesetz über die Überwachung von Post und Fernmeldewesen, kurz BÜPF) schreibt heute eine sechsmonatige Vorratsdatenspeicherung der Randdaten vor, zuhanden der Strafverfolgungsbehörden.

Die Grünen haben sich übrigens gegen diese Massenüberwachung auf Vorrat im Parlament gewehrt. Leider ohne Erfolg! Darum müssen Mobiltelefon-Anbieter (Swisscom, Sunrise, Salt etc.) weiterhin ein halbes Jahr lang speichern, wo ihre Kunden mit wem telefoniert haben und von wo aus sie sich wann mobil ins Internet einloggten. Dass diese Daten tatsächlich ein halbes Jahr gespeichert werden, hat aber mit dem Covid-Gesetz, mit Contact-Tracing, mit dem vorliegenden Zertifikat nichts, aber auch gar nix zu tun.

Wir können froh sein, haben wir in der Schweiz entschieden, auf diese datensparsame Lösung mit dem Zertifikat zu setzen, statt – wie dies andere Staaten taten – die eigentlich für Verbrechensbekämpfung massenhaft auf Vorrat gesammelten Randdaten der Kommunikation neu auch für die Bekämpfung der Pandemie zu nutzen. Ein JA zum COVID-19-Gesetz ist ein Ja für eine datenschutzmässig vorbildliche Pandemie-Massnahme: das Covid-19-Zertifikat.