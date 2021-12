Sicherheitslücke! Verstoß gegen den Datenschutz! Wie inzwischen jede Woche hat ein öffentlich-rechtliches Medium wieder einmal die eklatanten Schwächen der Corona-Warn-App aufgedeckt. So dürfte das zumindest in der breiten Öffentlichkeit hängenbleiben, wenn nur die erste – und inzwischen korrigierte – Meldung des WDR über einen Vorfall in Köln hängenbleibt.

Was war passiert? Der Besitzer einer Bar in Köln wollte die 2G-Regel durch Scans digitaler Impfzertifikate überprüfen. Dafür verwendete er die Corona-Warn-App (CWA) auf seinem Smartphone. Die kann nämlich Zertifikate scannen, genauer: importieren. Das muss auch so sein, wie sonst kämen die in den Apotheken erstellten QR-Codes sonst in die App?

Ein Kommentar von Nico Ernst Nico Ernst schreibt seit über 20 Jahren über IT-Themen und gelegentlich auch über Musik. Hardware, Wirtschaft und Netzpolitik sind seine bevorzugten Themen. Da er mit ZX81, C64 und Atari VCS aufwuchs kann er sich auch einem gelegentlichen Spiel noch immer nicht entziehen.

Aber für die Kontrolle von fremden Zertifikaten ist CWA gar nicht vorgesehen, dafür gibt es die App CovPassCheck. Der Wirt hatte also schlicht das falsche Werkzeug verwendet. Dass es zwei Apps gibt, und wie die zu verwenden sind, wusste er offenbar nicht. Das kann man als eine versäumte Holschuld sehen, schließlich gibt es eine eigene Webseite des RKI dazu und auch eine ausführliche Anleitung mit FAQ und Video bei heise online. Die dürfen gerne anderen als Vorlage dienen.

Ordnungsamt und Co. sind gefragt

Aus Sicht von Gastronomen und anderen Betreibern öffentlicher Orte ist für solche Anweisungen aber zuerst die zuständige Aufsichtsbehörde zuständig: Das Ordnungsamt, das Gewerbeaufsichtsamt oder das Gesundheitsamt. Es sind diese Institutionen, mit denen Wirte und andere ohnehin stets in Kontakt sind. Die Kommunen schreiben die örtlich verschiedenen Corona-Schutzverordnungen und die genannten Institutionen müssen sie dann durchsetzen.

Da ist es nicht zu viel verlangt, dass diese Behörden den Betreibern auch gleich eine Anleitung zur Nutzung der Corona-Apps in wenigen Stichpunkten zur Verfügung stellen. Oder bei Besuchen – denn stichprobenartige Kontrollen gibt es inzwischen – das Verfahren auch konkret vormachen. Bei der Arbeit an der Anleitung von heise online zeigte sich nämlich, dass das Zeigen des Ablaufs mit zwei Handys und Kontrolle des Ausweises die Scheu vor dem Procedere nehmen kann.

Der Dehoga versagt

Auch Verbände sind hier gefragt, tun aber oft – nichts. Der mächtige Deutsche Hotel- und Gaststättenverband (Dehoga) ist stets zur Stelle, wenn es um die berechtigte Forderung nach finanzieller Entschädigung bei Betriebsschließungen geht. Und sogar Vorlagen für Hinweisschilder zu Hygieneregeln und 2G-Regeln gibt es auf seiner Webseite. Die Corona-Apps werden dort aber nicht einmal erwähnt, geschweige denn eine Anleitung zu deren Nutzung zur Verfügung gestellt.

Es geht hier nicht darum, Bürger zu überwachen, Daten zu sammeln oder ähnlichen Unsinn. Die 2G-Regel ist nun einmal da, und Gastgeber müssen sie überprüfen. Dafür sind digitale Zertifikate der einfachste und schnellste Weg. Die dürfen Gäste auch auf Papier mitbringen, der QR-Code ist derselbe. Es gibt also auch keinen Handy-Zwang beim Ausgehen. Aber wenn die Regel schon eingehalten werden soll, brauchen die Betreiber auch einfache, konkrete und einheitliche Anleitungen. Dass es die kaum gibt, muss sich schleunigst ändern, und gefragt sind hier die Kommunen, da sie in der Praxis die Betriebe direkt erreichen.

Übrigens: Der Import mehrerer Zertifikate ist für die Verwaltung der Nachweise von Familienmitgliedern ausdrücklich vorgesehen. Wie der RKI-Account der App auf Twitter mitteilt, wird diese Funktion nun eingeschränkt. Wieder einmal verliert ein Stück Technik Funktionalität, weil seine Anwendung nicht breit erklärt wurde.

(bme)