Wieder freihändig: Spahn vergibt Auftrag für digitalen Impfpass an IBM-Konsortium

Das berichtet rnd.de am 9.3. Was nicht gemeldet wird: Wieder einmal hat die Bundesregierung einem Großkonzern freihändig den Auftrag mit einem (geplanten) Volumen von rund 3 Millionen Euro zugeschanzt. heise.de spricht von "einem besonders eilbedürftigen Vergabeverfahren". Anstelle eines ordentlichen Verfahrens hatte Spahn am 8.3. eine "Freiwillige Ex-ante-Transparenzbekanntmachung" veröffentlicht, wonach der Auftrag bereits am 3.3. erteilt wurde. Mit im Boot: das Kölner Unternehmen Ubirch, das bereits den digitalen "Impfpaß" für Altötting fabriziert hatte (s. Altötting geht voran. Legal, illegal, hallelujal.) und dessen Ruf umstritten ist. In der Bekanntmachung heißt es.

»Der digitale Impfnachweis ist eine zusätzliche Möglichkeit zum gelben Impfpass, um Impfungen zu dokumentieren. Statt nur im gelben Impfpass Impfzeitpunkt, Impfstoff und Namen vorweisen zu können, sollen Nutzerinnen und Nutzer diese Informationen künftig auch personalisiert bequem auf ihren Smartphones digital speichern können. Der digitale Impfnachweis umfasst eine Impfnachweis-App, eine Prüf-App und ein Backendsystem für die Integration in Arztpraxen und Impfzentren...

Verfahrensart
Verhandlungsverfahren ohne vorherige Bekanntmachung

      • Dringende Gründe im Zusammenhang mit für den öffentlichen Auftraggeber unvorhersehbaren Ereignissen, die den strengen Bedingungen der Richtlinie genügen
Erläuterung:

Die Mitglieder des Europäischen Rates haben Ende Januar 2021 vereinbart, einen interoperablen Standard-Impfnachweis für medizinische Zwecke auszuarbeiten. Daraufhin wurden vom europäischen eHealth-Netzwerk in Abstimmung mit dem Gesundheitssicherheitsausschuss (Health Security Committee), dem Europäischen Zentrum für die Prävention und die Kontrolle von Krankheiten (ECDC) und der Weltgesundheitsorganisation technische Leitlinien zum Nachweis der Impfung gegen das Corona-Virus SARS-CoV-2 veröffentlicht. Die Leitlinien enthalten Mindeststandards zu den Informationen, die künftige Impfnachweise enthalten sollen. Anschließend erfolgten weitere Abstimmungen zur Umsetzung auf europäischer Ebene. Am 22. Februar 2021 wurde im Gespräch der zuständigen Ministerinnen und Minister mit der Bundeskanzlerin im Zusammenhang mit der Corona-Pandemie (sog. Corona-Kabinett der Bundesregierung) die Beschaffung einer digitalen Impfbescheinigung im Rahmen einer kurzfristigen dringlichen Vergabe beschlossen.

Am 25. Februar 2021 hat sich der Europäische Rat mit der entsprechenden Umsetzung eines digitalen Impfnachweises in Europa befasst.

Durch die kurzfristige europäische Einigung und den damit verbundenen europäischen Systemzwang muss die digitale Impfbescheinigung in Deutschland schnellstmöglich umgesetzt werden, da eine deutsche Insellösung der vereinbarten Interoperabilität entgegenstehen würde. Die Dringlichkeitsvergabe wurde bereits am 25. Februar eingeleitet. Eine Vergabe zu einem früheren Zeitpunkt war insoweit nicht möglich, weil die europäischen Rahmenbedingungen noch nicht definiert waren.

Die rein technische Umsetzung einer digitalen Impfbescheinigung wird ca. 12 Wochen in Anspruch nehmen. Die Ursachen dafür sind die Komplexität der Lösung, die notwendigen datenschutz­rechtlichen und sicherheitstechnischen Prüfungen sowie die Anbindung von ca. 55 000 Praxen und von ca. 410 Impfzentren.

Angesichts der Komplexität der Umsetzung einer digitalen Impfbescheinigung und in Anbetracht eines einheitlichen europäischen Vorgehens und der angestrebten Anerkennung im EU-Ausland ist es innerhalb der gebotenen Frist von 3 Monaten nicht möglich, zusätzlich zur technischen Umsetzung ein reguläres Vergabeverfahren durchzuführen; dies gilt selbst bei Zugrundelegung der für Fälle einfacher Dringlichkeit vorgesehenen verkürzten Teilnahme- bzw. Angebotsfristen (etwa nach § 17 Abs. 3 VgV, § 15 Abs. 3 VgV). Denn auch in letzterem Fall würde die Beschaffung einen nicht unwesentlichen Teil des zur Auftragsdurchführung zwingend benötigen Zeitraums beanspruchen und damit die Zielerreichung gefährden. Stattdessen wurden daher im Rahmen einer kurzfristigen dringlichen Vergabe dem Bundesministerium für Gesundheit bekannte zur Leistungserbringung in Frage kommende Anbieter zur Angebotsabgabe aufgefordert...

Abschnitt V: Auftragsvergabe/Konzessionsvergabe

V.2)Auftragsvergabe/Konzessionsvergabe
V.2.1)Tag der Zuschlagsentscheidung:

03/03/2021
V.2.2)Angaben zu den Angeboten

Der Auftrag wurde an einen Zusammenschluss aus Wirtschaftsteilnehmern vergeben: nein
V.2.3)Name und Anschrift des Auftragnehmers/Konzessionärs

Offizielle Bezeichnung: IBM Deutschland GmbH
Postanschrift: IBM-Allee 1
Ort: Ehningen
NUTS-Code: DE Deutschland
Postleitzahl: 71139
Land: Deutschland
Der Auftragnehmer/Konzessionär wird ein KMU sein: nein
V.2.4)Angaben zum Wert des Auftrags/Loses/der Konzession (ohne MwSt.)

Gesamtwert des Auftrags/des Loses/der Konzession: 2700 000.00 EUR
V.2.5)Angaben zur Vergabe von Unteraufträgen

Der Auftrag/Das Los/Die Konzession kann als Unterauftrag vergeben werden
Wert oder Anteil des Auftrags, der an Dritte vergeben werden soll
Anteil: 51 %
Kurze Beschreibung des Anteils des an Unterauftragnehmer vergebenen Auftrags:

Beratungs-, Entwicklungs- und Unterstützungsleistungen und ggf. Hosting in allen Teilbereichen des Vorhabens...«


Im "heise"-Artikel ist zu lesen:

»Bereits vor einem Jahr hatte Ubirch-Geschäftsführer Stephan Noller erklärt: "Ein verlässlicher Corona-Status wird in den nächsten Monaten ein ganz entscheidendes Merkmal sein, um wieder zu mehr Normalität zurückkehren zu können." Ob der nun vom Gesundheitsministerium in Auftrag gegebene digitale Impfpass dazu genutzt wird, dass etwa Restaurants und Hotels entscheiden können, wem sie Zutritt gewähren, steht in den Sternen.«

Nur einige der Partnerfirmen, die auf der Ubirch-Webseite genannt werden:


Auf dem IT-Portal golem.de ist am 4.2. zu lesen:

»UBIRCH:Blockchain-Impfausweis mit Schwächen

Golem.de ist es gelungen, auf einer Webseite zur Verifikation von digitalen Impfausweisen unsinnige Daten als gültig anzeigen zu lassen.

Die Firma Ubirch aus Köln will digitale Impfausweise zur Überprüfung von Coronavirus-Impfungen und Testzertifikate anbieten und setzt dafür nach eigenen Angaben auch auf Blockchain-Technologie. Ein Landkreis in Bayern nutzt Berichten zufolge bereits diese Impfausweise. Doch es gibt Zweifel daran, wie sinnvoll die Technologie des Unternehmens ist.

Der Impfausweis und die Testzertifikate des Unternehmens zeigen einen QR-Code an. Scannt man den QR-Code ein, wird man auf eine URL des Unternehmens weitergeleitet und erhält dort die Daten angezeigt - sowie eine Info in Grün, wenn die Daten korrekt sind, und in Rot, wenn sie dies nicht sind.

Jeder kann eine grüne Verifikationsmeldung auf einer Webseite anzeigen

Ein offensichtliches Problem ergibt sich daraus bereits: Es ist trivial möglich, QR-Codes zu erzeugen, die auf eine falsche Webseite weiterleiten. Diese kann dann entsprechend auch bei falschen Daten eine grüne Bestätigung anzeigen. Unter impfausweis.net existiert bereits eine entsprechende Beispiel-Webseite, auf der man falsche Impf-QR-Codes erzeugen kann.

Doch in unseren Tests gelang es uns sogar, auf der Webseite des Unternehmens Ubirch selbst - mit gewissen Einschränkungen - eine erfolgreiche Verifizierung mit falschen Daten anzuzeigen...

Aus den Verifikationslinks auf der Ubirch-Webseite geht hervor, dass man dort offenbar die Iota-Blockchain-Technologie nutzt. Iota wird von einer Stiftung mit Sitz in Berlin entwickelt und ist durchaus kontrovers. Als ein Forscherteam des MIT 2017 auf Schwächen in der verwendeten Hashfunktion von Iota hinwies, reagierte das Entwicklerteam der Blockchain mit juristischen Drohungen gegen die beteiligten Forscher

Auf der genannten Seite impfausweis.net lassen sich selbst QR-Codes erstellen, die grünes Licht für den Impfpaß erzeugen sollen.

(Hervorhebungen nicht in den Originalen.)

9 Antworten auf „Wieder freihändig: Spahn vergibt Auftrag für digitalen Impfpass an IBM-Konsortium“

  1. Bei Kubricks "Odyssee 2001" hiess der macht­er­grei­fen­de Computer HAL.

    Angeblich soll man die Buchstaben um eine Position nach vor­ne ver­schie­ben, um einen Computerfirmennamen zu erhalten.

    Eine wirk­lich gute Wahl! Wenn er denn tat­säch­lich eine hatte…

  2. Das klingt doch gut! Das ein­zi­ge was uns vor der über­grif­fi­gen Coronapolitik noch ret­ten kann ist schie­re Inkompetenz, wie bei der Corona App. Die Regierung scheint mal wie­der auf einem guten Weg zu sein.

    1. @Martin. Ja, hof­fent­lich. Wenn man sich auf eines ver­las­sen kann, dann auf Inkompetenz und Faulheit in den Behörden. Weiß ich aus eige­ner Erfahrung.

  3. Der Auftrag bereits ca. eine Woche nach dem EU-Gipfel zu Corona und Impfpass. Erstaunlich schnell. Die Konzeption lag da wohl schon beim Gipfel auf dem Tisch. Welche Firma ist für die übri­gen EU-Länder zustän­dig, wenn der Impfpass ein­heit­lich sein soll?

  4. "Die rein tech­ni­sche Umsetzung einer digi­ta­len Impfbescheinigung wird ca. 12 Wochen in Anspruch nehmen."

    Ich bin Informatiker mit beson­de­rem Interesse an Komplexitätstheorie. Bei obi­gem Satz habe ich mich an mei­nem Rotwein ver­schluckt und jetzt einen Fleck in mei­ner Hose.

  5. Wenn ein IBM-Konsortium den Auftrag für einen digi­ta­len Impfpass bekommt, dann kann ja IBM auf sei­ne Erfahrungen mit der Organisation und Verwaltung des Holocaust vor 80 Jahren zuück­grei­fen. Das müß­te jedem sau­er auf­sto­ßen, der sich etwas in Geschichte auskennt.
    Wer' s nicht glaubt, der lese hier nach: Black, Edwin: "IBM und der Holocaust – Die Verstrickung des Weltkonzerns in die Verbrechen der Nazis", Ullstein, München, 2002. ISBN 9783548750873

  6. 14.04.2021 | CoE Council of Europe | Secretary General | Strasbourg

    Vaccine pass­ports: Council of Europe issu­es gui­d­ance to governments to safe­guard human rights

    n a docu­ment aimed at governments across Europe, Secretary General Marija Pejčinović Burić high­lights the rele­vant human rights stan­dards for addres­sing the issue of “vac­ci­ne pass­ports”. The Information Document was sent to all 47 Council of Europe mem­ber on 31 March. 

    https://www.coe.int/en/web/portal/-/vaccine-passports-council-of-europe-issues-guidance-to-governments-to-safeguard-human-rights

    14.04.2021 | Europarat | Pressemitteilung | Generalsekretärin | Straßburg 

    Impfpass: Europarat gibt Regierungen Leitlinien zur Wahrung der Menschenrechte

    In einem neu­en Dokument erin­nert die Generalsekretärin des Europarates, Marija Pejčinović Burić, die euro­päi­schen Regierungen in der Frage des „Impfpasses“ an die ein­schlä­gi­gen Menschenrechtsnormen. Das Informationsdokument wur­de am 31. März an die 47 Mitgliedsstaaten des Europarates gesandt. 

    Die Generalsekretärin unter­streicht dar­in, dass die Anstrengungen zur Produktion und gerech­ten Verteilung von Impfstoffen ver­stärkt wer­den müs­sen, im Einklang mit den Anforderungen des Übereinkommens über Menschenrechte und Biomedizin (Oviedo-Konvention), damit Einschränkungen indi­vi­du­el­ler Freiheiten schritt­wei­se über­prüft wer­den kön­nen, sobald eine grö­ße­re Immunität in den Bevölkerungen erreicht ist. 

    Es wird außer­dem her­vor­ge­ho­ben, dass es im Kampf gegen die Coronaviruspandemie, beson­ders im Zusammenhang mit dem Reisen, zwei­fel­los nütz­lich ist, Schritte zur Harmonisierung oder Erleichterung des Verfahrens zur Bescheinigung, dass eine Person geimpft, immun oder infek­ti­ons­frei ist, zu ergrei­fen – vor­aus­ge­setzt, dass per­so­nen­be­zo­ge­ne Daten geschützt und Maßnahmen getrof­fen wer­den, um Fälschungen zu ver­hin­dern. Die Mitgliedsstaaten wer­den auf­ge­for­dert, sich dabei auf das Übereinkommen zum Schutz des Menschen bei der auto­ma­ti­schen Verarbeitung per­so­nen­be­zo­ge­ner Daten, das Übereinkommen des Europarates über die Fälschung von Arzneimittelprodukten und ähn­li­che Verbrechen, die eine Bedrohung der öffent­li­chen Gesundheit dar­stel­len (MEDICRIME-Konvention) und das Übereinkommen über Computerkriminalität (Budapester Konvention) zu stützen. 

    Die Nutzung der­ar­ti­ger Bescheinigungen oder von Impfdaten für nicht-medi­zi­ni­sche Zwecke, um pri­vi­le­gier­ten und exklu­si­ven Zugang zu Rechten zu gewäh­ren, wirft dage­gen vie­le Fragen hin­sicht­lich der Achtung der Menschenrechte auf und soll­te mit Vorsicht betrach­tet werden. 

    Das Dokument glie­dert sich in vier Themen: 

    • Grundlage für die Verpflichtung der Staaten, Zugang zur Impfung sicherzustellen; 

    • Impfbescheinigungen oder „Impfpässe“ und ihre Nutzung; 

    • Privatsphäre und Datenschutz; 

    • Gefahren für die Sicherheit und öffent­li­che Gesundheit. 

    Diese Fragen ste­hen im Mittelpunkt der Tätigkeiten des Ausschusses für Bioethik und des Beratenden Ausschusses zur Datenschutzkonvention. 

    Der Europarat stellt den Mitgliedsstaaten die Instrumente und Expertise zur Verfügung, um zu gewähr­leis­ten, dass die Krise unse­re gemein­sa­men Werte und Grundsätze nicht unter­gräbt; dies ist ins­be­son­de­re das Ziel des Kooperationsprojekts zum Schutz der Menschenrechte in der Gesundheitsversorgung in Gesundheitskrisen. 

    https://www.coe.int/de/web/portal/-/vaccine-passports-council-of-europe-issues-guidance-to-governments-to-safeguard-human-rights

    Oviedo Convention

    https://www.coe.int/en/web/bioethics/oviedo-convention

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.