Er hat für einiges an Aufregung gesorgt. Fabian Pimminger ist 31 Jahre alt und arbeitet seit über zehn Jahren als Web-Developer und UI/UX-Designer. Der Oberösterreicher hat praktisch an einem Sonntag-Nachmittag eine Lösung entwickelt, um den Impfpass ins Smartphone zu integrieren und um nicht ständig nach dem PDF, das man über das Portal gesundheit.gv.at mittels Handy-Signatur herunterladen kann, suchen zu müssen. Seine Idee hat der 31-Jährige auf Social Media geteilt und wie man so schön sagt beinahe “das Internet gesprengt” (über 400.000 Views allein auf Twitter).

Impfpass und der Datenschutz

User diskutierten über die technische Leistung, warum ein einzelner Entwickler etwas in ein paar Stunden schafft, was dem Gesundheitsministerium in Wochen nicht gelingt und über Datenschutz. Während sich manche hinsichtlich des letzten Punktes sehr skeptisch äußern, einer Privatperson Daten zur Verfügung zu stellen, gibt es andere die sich zufrieden zeigen. “Ich kann das nur von außen einschätzen: es sind keinerlei Tracker/externe Skripte auf der Seite, die Datenschutzerklärung ist hinsichtlich Transparenz vorbildhaft und der Prozess funktioniert simpel/state-of-the-art. Auf diesen Punkten basiert meine Meinung”, schreibt etwa ein Datenschutzmanager eine Digitalagentur. Wir haben den jungen Developer vor den Vorhang gebeten.

brutkasten: Du hast am Wochenende für ganz schön Wirbel gesorgt mit deiner Impfpass-Lösung fürs Smartphone. Wie kam es zur Idee, dich einen Nachmittag hinzusetzen und die Web-App zu entwickeln?

Pimminger: “Eigentlich aus der Not heraus, weil ich selbst nicht immer auf dem Smartphone nach der PDF-Datei suchen will. Aus anderen Ländern kennt man Lösungen, die im Wallet abgelegt werden können. Und da dachte ich mir: Warum gibt es so eine Lösung nicht in Österreich?”

Vor allem eine, über die das Land schon länger diskutiert. Nach deiner Veröffentlichung gab es Stimmen, die anmerkten, dass das Ministerium es nicht hinbekommt oder wahrscheinlich Millionen an Euros dafür brauchen würde, und du schaffst das in sechs Stunden. Wie ist dir das gelungen?

“Technisch gesehen ist das Ganze ja keine großartige Sache. Ich kann mir gut vorstellen, dass die Funktion auch vom Dienstleister im Ministerium schnell umgesetzt werden kann. Ich würde vermuten, dass es eher an rechtlichen Dingen oder Datenschutz-Bedenken liegt. Immerhin lädt man hier Daten in einem Apple-Format auch standardmäßig in die iCloud. Ich habe zuerst viel herumprobiert, was der beste Weg ist, die Informationen aus der PDF-Datei auszulesen. Nachdem ich einen einfachen Prototypen fertig hatte, der meine eigenen Zertifikate in einen Pass konvertieren konnte, und dieser auf Twitter so viel Anklang gefunden hat, habe ich noch einige Stunden investiert und daraus eine Website gebaut.”

Und wie genau funktioniert deine Web-App?

“Nach dem Hochladen des Impfzertifikats werden die Daten ausgelesen und der QR-Code gescannt. Diese Informationen werden anschließend in das von Apple spezifizierte Dateiformat gebracht und mit einem privaten Schlüssel signiert, damit die Pässe fälschungssicher sind, und komprimiert. Nach dem Download überprüft das Betriebssystem die Signatur und legt den Pass im Wallet ab. Ich speichere auf der Website übrigens keine Daten. Das hochgeladene PDF wird sofort nach der Verarbeitung gelöscht.”

Warum schafft es die Politik nicht, was du in kurzer Zeit vollbracht hast? Prototyp zu Web-App?

“Ich glaube, jeder der schon einmal bei einem Großprojekt beteiligt war, weiß, wie viel ‘Overhead’ da zusammenkommt. Natürlich langsamere Prozesse und viel mehr Planung. Die Wallet-Sache wäre ja nur eine Kleinigkeit im gesamten Projekt. Und dann gibt es auch immer die Abstimmung mit der Rechtsabteilung und dem Datenschutz.”

Wegen Datenschutz gab es ein wenig Kritik aber auch viel Lob für dich. “Knackig” fiel als Adjektiv bezüglich deiner Datenschutzerklärung. Konntest du wirklich in dieser Kürze alles abdecken, was nötig ist?

“Mein Prinzip ist, je weniger Daten ich sammle, desto besser. In diesem Fall habe ich mir zum Ziel genommen, genau keine Daten zu speichern. Lediglich das PDF wird nach dem Hochladen kurz gespeichert – dann aber nach dem Verarbeiten sofort gelöscht. Nach der aktiven Browser-Session befinden sich keine Daten mehr am Server. “Knackig” fiel in dem Zusammenhang, weil die Datenschutzerklärung so kurz ist. Einerseits natürlich, weil ich quasi keine Daten sammle – auch kein Tracking oder Analytics. Andererseits, weil ich der Meinung bin, dass Datenschutzerklärungen so geschrieben sein müssen, dass sie jeder lesen und verstehen kann. Mir ist wichtig, dass jeder, der seine Daten hochlädt auch versteht, was damit passiert und wie sie verarbeitet werden. Denn eine Datenschutzerklärung, die niemand liest, trägt nichts zum Datenschutz bei, weil der Nutzer keinen informierten ‘Consent’ geben kann.”

Wie geht es nach der Impfpass-Lösung mit dir jetzt weiter? Woran arbeitest du aktuell und können wir mit anderen simplen Lösungen von dir rechnen?

“Ich habe gerade noch die Zertifikate für Genesene implementiert und online gestellt. Ansonsten glaube ich, dass das Projekt erstmals abgeschlossen ist. Die besten Projekte entstehen, wenn es Leute gibt, die sie wirklich brauchen. Ich glaube das große Echo zeigt, dass es dringend eine leichte und nativ-integrierte Lösung für dieses Problem gebraucht hat.”

So funktioniert die Integration des Impfnachweises am Smartphone

Über gesundheit.gv.at mit der Handy-Signatur oder Bürgerkarte einloggen. Danach auf die “Grüner Pass” klicken und das jeweilige Zertifikat – Impfung, Genesung oder Test – per Rechtsklick auswählen. Somit erhält man ein PDF-Dokument, das man abspeichern kann. Auf der linken Seite des PDFs sieht man einen QR-Code, der bei Reisen oder Veranstaltungsbesuchen Informationen liefert und als Nachweiserbringung gilt.

Wer allerdings wie Pimminger nicht auf seinem Smartphone nach der PDF-Datei suchen, oder nicht mit einem ausgedruckten Zettel herumlaufen möchte, kann mit seiner Lösung das Zertifikat in die Apple Wallet oder in Wallet-Apps unter Android laden, um es ständig dabei zu haben. Dazu muss man das heruntergeladene Zertifikat auf seiner Webseite hochladen und die Datenschutzerklärung akzeptieren. Danach ist der Impfpass im Wallet.