Sonderbericht
01 2023

Instrumente zur Reiseerleichterung in der EU während der COVID-19-Pandemie Die Wirkung relevanter Initiativen – von erfolgreich bis kaum genutzt

Über den Bericht:Mit dieser Prüfung des Hofes sollte festgestellt werden, ob die Kommission wirksame Instrumente zur Erleichterung des Reisens in der EU während der COVID-19-Pandemie entwickelt hat. Insgesamt kommt der Hof zu dem Schluss, dass die Kommission trotz ihrer begrenzten Zuständigkeit in Fragen der öffentlichen Gesundheit rasch geeignete technische Lösungen zur Erleichterung des Reisens auf den Weg gebracht hat. Da diese Instrumente in den einzelnen Mitgliedstaaten jedoch ganz unterschiedlich genutzt wurden, war ihre Wirkung im Hinblick auf Reiseerleichterungen innerhalb der EU uneinheitlich: Einige wurden erfolgreich eingesetzt, andere kaum genutzt. Die Empfehlungen des Hofes betreffen in erster Linie die Notwendigkeit, die Gründe für die geringe Nutzung bestimmter Instrumente zu analysieren und anzugehen, die Kommunikation über Vorkommnisse im Zusammenhang mit dem digitalen COVID-Zertifikat der EU effizienter zu gestalten und geeignete EU-Instrumente für künftige Krisen vorzubereiten.

Sonderbericht des Hofes gemäß Artikel 287 Absatz 4 Unterabsatz 2 AEUV.

Dieses Dokument ist in 24 Sprachen verfügbar und in folgendem Format abrufbar:
PDF
PDF Sonderbericht: Reiseerleichterung während der Pandemie

Zusammenfassung

I Nachdem die ersten Fälle von COVID-19 in der EU festgestellt worden waren, verhängten die Mitgliedstaaten ab März 2020 erste Reiseverbote und andere Einschränkungen der Freizügigkeit von Unionsbürgern. Um das Reisen zu erleichtern und die Nachverfolgung von COVID-19-Fällen zu ermöglichen, entwickelte die Kommission vier Instrumente:

  • den EU-Datenabgleichsdienst (European Federation Gateway Service) – ein Gateway, das die EU-weite Interoperabilität nationaler Kontaktnachverfolgungs-Apps ermöglicht;
  • das digitale EU-Reiseformular der EU – ein Instrument, das Papierformulare zur Kontaktnachverfolgung auf Reisen ersetzt;
  • das digitale COVID-Zertifikat der EU – ein Zertifikat zum Nachweis, dass die betreffende Person gegen COVID-19 geimpft oder negativ getestet oder von einer Infektion genesen ist;
  • die Plattform für den Austausch von Reiseformularen – eine Lösung für nationale Behörden der Mitgliedstaaten zum Austausch von Daten zur Kontaktnachverfolgung.

II Mit dieser Prüfung des Hofes sollte festgestellt werden, ob die Kommission wirksame Instrumente zur Erleichterung des Reisens in der EU während der COVID-19-Pandemie entwickelt hat. Dazu sollten Beispiele bewährter Verfahren ermittelt werden, und es sollte festgestellt werden, wo die Kommission die Entwicklung von IT-Instrumenten zur Erleichterung der Freizügigkeit während einer Gesundheitskrise verbessern könnte. Diese Prüfung ergänzt den Sonderbericht 13/2022, in dem ermittelt wurde, ob die Kommission wirksame Maßnahmen zum Schutz des Rechts der Menschen auf Freizügigkeit während der COVID-19-Pandemie getroffen hat.

III Insgesamt kommt der Hof zu dem Schluss, dass die Kommission trotz ihrer begrenzten Zuständigkeit in Fragen der öffentlichen Gesundheit rasch geeignete technische Lösungen zur Erleichterung des Reisens in der EU während der COVID-19-Pandemie auf den Weg gebracht hat. Wegen der ganz unterschiedlichen Anwendung dieser Instrumente in den einzelnen Mitgliedstaaten war jedoch keine einheitliche Wirkung in Bezug auf Reiseerleichterungen festzustellen.

IV Für die Entwicklung der Instrumente hat die Kommission umgehend 71 Millionen Euro mobilisiert und dazu mehrere Finanzierungsquellen kombiniert und auf bestehende Rahmenverträge zurückgegriffen, statt neue Ausschreibungen zu veröffentlichen. Das Kontaktnachverfolgungs-Gateway war schon kurz nach Ausbruch der Pandemie einsatzbereit, und das digitale COVID-Zertifikat der EU stand zur Verfügung, sobald europaweit vermehrt geimpft wurde. Die Arbeit an den technischen und rechtlichen Voraussetzungen für diese Instrumente ging schnell vonstatten. Doch bevor die EU-Lösung zur Verfügung stand, hatten einige Mitgliedstaaten bereits eigene digitale Reiseformulare entwickelt.

V Bei der Entwicklung ihrer Instrumente hat die Kommission Datenschutzanforderungen und bewährte IT-Sicherheitskonzepte berücksichtigt. Sie ist jedoch nicht berechtigt zu überprüfen, ob die Mitgliedstaaten das digitale COVID-Zertifikat der EU gemäß den Anforderungen an die IT-Sicherheit verwenden.

VI Das digitale COVID-Zertifikat der EU ermöglichte Reiseerleichterungen und trug zur Verbesserung der Informationsverbreitung und Koordinierung in Bezug auf Reisebeschränkungen bei. Die Mitgliedstaaten und viele Nicht-EU-Länder nutzten das System der digitalen COVID-Zertifikate der EU in großem Umfang, und bis März 2022 wurden in der EU und in den Ländern des Europäischen Wirtschaftsraums (EWR) mehr als 1,7 Milliarden Zertifikate ausgestellt. Innerhalb eines Monats nach Inkrafttreten der Verordnung über das digitale COVID-Zertifikat der EU hatten die Mitgliedstaaten darüber hinaus ihre Reisebeschränkungen in beträchtlichem Umfang harmonisiert. Wie der Hof feststellte, nahm die gegenseitige Information der Länder über Vorfälle, die eine sofortige Reaktion erfordern (z. B. gefälschte Zertifikate), jedoch viel Zeit in Anspruch, weil es schwierig war, die richtigen Ansprechpartner in anderen Ländern ausfindig zu machen.

VII Die anderen vom Hof in die Prüfung einbezogenen Instrumente hatten nicht die beabsichtigte Wirkung, da sie nur in begrenztem Umfang genutzt wurden. Nur vier Mitgliedstaaten nutzten das digitale Reiseformular der EU, während die anderen bei ihren nationalen Lösungen blieben. Die Plattform zum Austausch der Formulare und der Datenabgleichsdienst wurden insgesamt nur begrenzt genutzt.

VIII Auf der Grundlage dieser Schlussfolgerungen empfiehlt der Hof der Kommission,

  • die Gründe für die geringe Nutzung des digitalen Reiseformulars der EU zu analysieren und anzugehen;
  • die Kommunikation über Vorkommnisse im Zusammenhang mit dem digitalen COVID-Zertifikat der EU effizienter zu gestalten;
  • geeignete EU-Instrumente für künftige Krisen vorzubereiten.

Einleitung

01 Als Freizügigkeit wird das Recht der Unionsbürger und ihrer Familienangehörigen bezeichnet, sich im Hoheitsgebiet der Mitgliedstaaten frei zu bewegen und aufzuhalten. Die Freizügigkeit ist eine der vier Grundfreiheiten der EU (zusammen mit dem freien Waren-, Dienstleistungs- und Kapitalverkehr) und steht seit ihrer Einführung im Zentrum des europäischen Projekts1. In der Richtlinie zur Freizügigkeit2 sind die Beschränkungen und Bedingungen geregelt.

02 Der Schutz der öffentlichen Gesundheit fällt in den Zuständigkeitsbereich der Mitgliedstaaten3. Daher kommt der Kommission in Fragen der Gesundheitspolitik nur eine untergeordnete und vorwiegend koordinierende Funktion zu4. Maßnahmen der Mitgliedstaaten, die die Grundzüge ihrer Gesundheitspolitik selbst bestimmen, kann die Kommission unterstützen und ergänzen5.

03 Nachdem die ersten Fälle von COVID-19 festgestellt worden waren, verhängten die Mitgliedstaaten ab März 2020 erste Grenzkontrollen und Einschränkungen der Freizügigkeit von Unionsbürgern, um die Ausbreitung der Pandemie einzudämmen. Aufgabe der Kommission war es zu überprüfen, ob diese Einschränkungen mit den EU-Rechtsvorschriften über die Freizügigkeit vereinbar waren. Um die Folgen der Maßnahmen im Zusammenhang mit COVID-19 für die Freizügigkeit zu begrenzen, bemühte sich die Kommission, die Koordinierung zwischen den Mitgliedstaaten durch verschiedene Initiativen zu fördern.

04 Außerdem entwickelte die Kommission mehrere Instrumente, um das Reisen und die Nachverfolgung von mit COVID-19 infizierten Personen zu erleichtern (siehe Anhang I):

  • ein Kontaktnachverfolgungs-Gateway: den EU-Datenabgleichsdienst;
  • das digitale Reiseformular der EU (digital Passenger Locator Form, EUdPLF);
  • das digitale COVID-Zertifikat der EU;
  • eine Plattform zum Austausch von Reiseformularen (Passenger Locator Forms' exchange platform, ePLF).

05 Kontaktnachverfolgungs-Apps, mit denen Nutzende anonym über den möglichen Kontakt zu einer infizierten Person informiert werden, gehörten zu den ersten verfügbaren Instrumenten. Die Kommission entwickelte ein Instrument, um die Kontaktnachverfolgungs-Apps der Mitgliedstaaten miteinander zu verbinden, und vergrößerte damit ihren Nutzen, um unter anderem das Reisen innerhalb der EU zu erleichtern.

06 Um die Kontaktnachverfolgung im Reiseverkehr zu erleichtern, wurden Reisende aufgefordert, Kontakt- und Aufenthaltsdaten anzugeben. Ihre ausgefüllten Reiseformulare wurden an die zuständigen nationalen Behörden übermittelt. Sobald ein positives Testergebnis eingegeben wurde, konnten die Behörden anhand dieser Formulare anderen Reisenden, die neben der betreffenden Person gesessen hatten, empfehlen, sich auf COVID-19 testen zu lassen und sich entsprechend vorsichtig zu verhalten. Die Kommission entwickelte das digitale Reiseformular der EU, um die Verwendung der nationalen Formulare bei grenzüberschreitenden Krisen wie der COVID-19-Pandemie zu vereinfachen. Im Rahmen des dritten Gesundheitsprogramms der EU (2014–2020) war mit der gemeinsamen Aktion „EU Healthy Gateways“ schon vor Ausbruch der Pandemie damit begonnen worden, papierbasierte Formulare für Beförderungen auf See und über Land unter Verwendung internationaler Vorlagen zu entwickeln. Die gemeinsame Aktion „EU Healthy Gateways“ wurde später dazu genutzt, die Digitalisierung von Reiseformularen voranzubringen.

07 Außerdem entwickelte die Kommission das digitale COVID-Zertifikat der EU, das einen überprüfbaren und von den Mitgliedstaaten gegenseitig anerkannten Nachweis dafür darstellt, dass der Inhaber des Zertifikats gegen COVID-19 geimpft oder kürzlich negativ getestet wurde oder von einer Infektion genesen ist. Die Mitgliedstaaten sind zur Annahme dieser Zertifikate verpflichtet, wenn sie während der COVID-19-Pandemie beschließen, von Reisenden die Vorlage eines Impfnachweises, negativen Testergebnisses oder Genesungsnachweises zu verlangen.

08 Zuletzt entwickelte die Kommission eine Plattform zum Austausch von Reiseformularen der Mitgliedstaaten. Über diese Plattform können die für die Kontaktnachverfolgung zuständigen Teams Formulare auf elektronischem Weg direkt untereinander austauschen, damit Reisende schneller auf ein bestehendes Risiko aufmerksam gemacht werden können.

09 An der Entwicklung der Instrumente waren mehrere Kommissionsdienststellen beteiligt. Systemeigner des Kontaktnachverfolgungs-Gateways waren die Generaldirektion Gesundheit und Lebensmittelsicherheit und die Generaldirektion Kommunikationsnetze, Inhalte und Technologien. Diese beiden Generaldirektionen leiteten zusammen mit der Generaldirektion Justiz und Verbraucher und der Generaldirektion Migration und Inneres auch die Entwicklung des digitalen COVID-Zertifikats der EU. Die nötige IT-Infrastruktur stellte die Generaldirektion Informatik bereit.

10 Die Mitgliedstaaten waren an der Entwicklung dieser Instrumente vor allem über das eHealth-Netzwerk beteiligt (siehe Kasten 1). EU-Einrichtungen wie das Europäische Zentrum für die Prävention und die Kontrolle von Krankheiten (ECDC) oder die Europäische Arzneimittel-Agentur (EMA) haben ebenfalls dazu beigetragen. Die Entwicklung des Reiseformulars wurde von den Mitgliedstaaten als eine im Rahmen des dritten EU-Gesundheitsprogramms finanzierte gemeinsame Aktion der Europäischen Agentur für Flugsicherheit (EASA) und der Generaldirektion Mobilität und Verkehr koordiniert.

Kasten 1

Das eHealth-Netzwerk

Mit der Richtlinie von 2011 über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung6 wurde das Konzept der elektronischen Gesundheitsdienste (eHealth-Netzwerk) eingeführt, „eines freiwilligen Netzwerks, mit dem die von den Mitgliedstaaten benannten, für elektronische Gesundheitsdienste zuständigen nationalen Behörden vernetzt werden“. Das eHealth-Netzwerk wird durch spezielle Taskforces und Gruppen tätig. Die Kommission ist Mitvorsitzende der Sitzungen und übernimmt Sekretariatsaufgaben für das Netzwerk. Es war entscheidend an der Entwicklung der Instrumente der EU zur Reiseerleichterung beteiligt und stellte ein Forum für die Erhebung von Informationen direkt bei den Mitgliedstaaten bereit. Bis Juni 2020 hielt das eHealth-Netzwerk mehr als 30 Sitzungen im Zusammenhang mit der COVID-19-Pandemie ab. Im Jahr 2020 fanden insgesamt 96 Sitzungen und 2021 285 Sitzungen des eHealth-Netzwerks statt.

11 Die EU-Instrumente waren im Hinblick auf ihren Verwendungszweck einzigartig, sodass es zum Zeitpunkt ihrer Entwicklung keine für Vergleichszwecke geeigneten Systeme gab. Damit die oben beschriebenen EU-Instrumente mit Blick auf Reiseerleichterungen während der COVID-19-Pandemie eine möglichst große Wirkung entfalteten, mussten sie von allen Mitgliedstaaten eingeführt werden, um die Verwendung von Gesundheitsdaten bei Reisen innerhalb der EU zu vereinheitlichen und die Reisebeschränkungen zu koordinieren.

12 Zusätzlich zu den 71 Millionen Euro für die Entwicklung der IT-Instrumente stellte die Kommission den Mitgliedstaaten 100 Millionen Euro zur Verfügung, um sie bei den COVID-19-Tests finanziell zu entlasten. Durch vermehrtes Testen und Impfen stieg wiederum die Zahl der ausgestellten digitalen COVID-Zertifikate der EU. Bei grenzüberschreitenden Reisen innerhalb der EU können einzelne oder alle Instrumente zur Anwendung kommen (siehe Abbildung 1).

Abbildung 1 – Anwendung der EU-Instrumente bei Flugzeugreisen zwischen den Mitgliedstaaten

Quelle: Europäischer Rechnungshof.

Prüfungsumfang und Prüfungsansatz

13 Diese Prüfung ergänzt einen früheren Sonderbericht7 des Hofes, in dem untersucht wurde, ob die Kommission wirksame Maßnahmen zum Schutz des Rechts auf Freizügigkeit während der COVID-19-Pandemie ergriffen hatte. Gegenstand des Berichts waren die von der Kommission vorgenommene Überwachung der Kontrollen an den Binnengrenzen des Schengen-Raums, die damit verbundenen Reisebeschränkungen und die Koordinierungsbemühungen auf EU-Ebene.

14 Mit dieser zweiten Prüfung des Hofes sollte festgestellt werden, ob die Kommission wirksame Instrumente zur Erleichterung des Reisens in der EU während der COVID-19-Krise entwickelt hat. Der Hof wollte Beispiele für bewährte Verfahren ermitteln und feststellen, wo die Kommission die Entwicklung von IT-Instrumenten zur Erleichterung der Freizügigkeit im Fall einer Gesundheitskrise noch verbessern könnte. Zur Beantwortung der Hauptfrage im Rahmen dieser Prüfung stellte der Hof zwei Unterfragen:

  • Hat die Kommission die EU-Instrumente zur Reiseerleichterung angemessen entwickelt?
  • Haben die Mitgliedstaaten die EU-Instrumente umfassend genutzt, und wurden dadurch die Koordinierung und der Informationsaustausch über die von ihnen verhängten Reisebeschränkungen verbessert?

15 Die Prüfung erstreckte sich auf den Zeitraum von Oktober 2020 bis Juni 2022 und befasste sich mit den vier in Ziffer 04 genannten EU-Instrumenten einschließlich der damit verbundenen EU-Finanzierung. Nicht behandelt wurde die EU-Finanzierung für Impfungen gegen COVID-19, die in einem früheren Sonderbericht des Hofes über die Beschaffung von COVID-19-Impfstoffen durch die EU bewertet wurde8.

16 Die Prüfung erfolgte anhand von Aktenprüfungen, schriftlichen Fragebogen und Interviews mit maßgeblichen Interessenträgern. Der Hof untersuchte und analysierte

  • einschlägige EU-Rechtsvorschriften, um die wesentlichen rechtlichen Anforderungen und die Zuständigkeiten der verschiedenen Akteure zu ermitteln;
  • interne Kommissionsdokumente zur technischen Entwicklung und zur rechtlichen Einführung des digitalen COVID-Zertifikats der EU, des EU-Datenabgleichsdienstes, des digitalen Reiseformulars (EUdPLF) und einer Plattform für den Austausch von Reiseformularen (ePLF);
  • Veröffentlichungen der Kommission zum Reisen während der COVID-19-Pandemie (z. B. Leitlinien, Mitteilungen, Vorschläge für Empfehlungen oder für Rechtsakte);
  • die technischen Spezifikationen der Instrumente, Sicherheits- und Risikobewertungen, Penetrationstestberichte und IT-Sicherheitspläne, anhand deren die IT-Experten des Hofes feststellen konnten, ob die Instrumente den Sicherheitsanforderungen genügen.

17 Folgende Gesprächspartner, die Auskünfte erteilen, Fakten bestätigen und Daten aus anderen Quellen untermauern sollten, wurden befragt:

  • die Generaldirektionen der Kommission für Justiz und Verbraucher, Mobilität und Verkehr, Gesundheit und Lebensmittelsicherheit sowie Kommunikationsnetze, Inhalte und Technologien;
  • das Europäische Zentrum für die Prävention und die Kontrolle von Krankheiten, das u. a. für COVID-19-Risikokarten und -Leitlinien zuständig ist;
  • Gesundheitsbehörden in Mitgliedstaaten und Nicht-EU-Ländern;
  • Vertreter von Fluglinien, der Tourismusindustrie und von Verbraucherverbänden.

18 Außerdem führte der Hof eine Erhebung durch, um etwas über die Anwendung solcher Instrumente in den einzelnen Mitgliedstaaten zu erfahren. Von den Delegierten der 27 Mitgliedstaaten, die dem Integrierten politischen Krisenreaktionsmechanismus des Rates angehören, haben 13 auf die Erhebung geantwortet. Dies entspricht einer Antwortquote von 48 %. Die Ergebnisse dieser Erhebung wurden zur Unterstützung der Analyse und der Beobachtungen des Hofes herangezogen.

Bemerkungen

Die Kommission entwickelte geeignete technische Lösungen, die jedoch nicht immer von den Mitgliedstaaten übernommen wurden

19 In diesem Abschnitt wird untersucht, ob die Kommission die Instrumente zur Erleichterung des Reisens während der COVID-19-Pandemie angemessen entwickelt hat, und insbesondere, ob sie

  1. unmittelbar nach Ausbruch der Pandemie EU-Mittel mobilisiert hat;
  2. die Instrumente zeitnah bereitgestellt hat;
  3. die Erfordernisse der Mitgliedstaaten und ihre Bereitschaft zur Anwendung der Instrumente berücksichtigt hat;
  4. Aspekte der IT-Sicherheit und des Datenschutzes im Umgang mit sensiblen Gesundheitsdaten berücksichtigt hat.

20 Untersucht wurde, ob die von der Kommission getroffene Auswahl von Finanzierungsquellen und Dienstleistern angemessen war, um mit der Entwicklung der Instrumente unmittelbar nach Ausbruch der Pandemie beginnen zu können. Untersucht wurde ferner der Konsultationsprozess, um festzustellen, ob die Instrumente auf die Prioritäten der Mitgliedstaaten abgestimmt waren. Und schließlich prüfte der Hof, ob bewährte Verfahren hinsichtlich des Schutzes personenbezogener Daten und der IT-Sicherheit bei diesen Instrumenten eingehalten wurden.

Die Kommission hat EU-Mittel für die Instrumente rasch mobilisiert

21 Die Kommission hat EU-Finanzmittel aus verschiedenen Quellen (u. a. dem Soforthilfeinstrument und dem Programm „Digitales Europa“) mobilisiert. Die EU stellte 71 Millionen Euro für die Entwicklung der Instrumente bereit. Abbildung 2 bietet einen Überblick über die EU-Mittel zur Finanzierung der Instrumente.

Abbildung 2 – die EU-Finanzierung für die einzelnen Instrumente im Überblick

Quelle: Europäischer Rechnungshof.

22 Die EU-Mittel für das digitale COVID-Zertifikat der EU beliefen sich auf insgesamt 50 Millionen Euro (43 Millionen Euro aus dem Soforthilfeinstrument und weitere 7 Millionen Euro aus dem Programm „Digitales Europa“). Bis März 2022 wurden 77 % dieser Mittel für die Entwicklung und die Anpassung nationaler Lösungen und ihre Anbindung an das Gateway für das digitale COVID-Zertifikat der EU bereitgestellt: 21,9 Millionen Euro gingen an einen privaten Auftragnehmer, und 16,7 Millionen Euro wurden als Zuschüsse an die Mitgliedstaaten gezahlt.

23 Die EU-Finanzierung für das Kontaktnachverfolgungs-Gateway belief sich auf insgesamt 16,8 Millionen Euro (davon 13 Millionen Euro aus dem Soforthilfeinstrument). Die Kommission begründete diese Finanzierung mit der Notwendigkeit, den Datenaustausch zwischen den Ländern zu erleichtern, damit Nutzende über die nationalen Apps informiert werden können, wenn sie Kontakt zu einer positiv auf COVID-19 getesteten Person hatten, die eine andere nationale App nutzt.

24 Für die Austauschplattform für Reiseformulare und das digitale EU-Reiseformular mussten sehr viel weniger Mittel aufgebracht werden; für die Plattform wurden rund 2,9 Millionen Euro zugewiesen (vorwiegend aus dem Soforthilfeinstrument) und für das digitale Formular 1,3 Millionen Euro (mit Geldern aus den EU-Gesundheitsprogrammen). Die Mittel für die Austauschplattform wurden zur Finanzierung eines Pilotprojekts, in dem die Machbarkeit der Plattform getestet wurde, und zur Ausweitung auf weitere Mitgliedstaaten und Verkehrsmittel verwendet. Die Mittel für die digitale Version der Reiseformulare wurden zur Entwicklung, für das Cloud-Hosting und die Portierung des Instruments in die IT-Umgebung der Kommission verwendet.

25 Darüber hinaus stellte die EU nach dem Start der digitalen COVID-Zertifikate der EU 100 Millionen Euro zur Unterstützung der COVID-19-Testkapazitäten in den Mitgliedstaaten bereit9. Diese Finanzierung erfolgte nach der politischen Einigung vom 20. Mai 2021 zwischen dem Europäischen Parlament und dem Rat über die Verordnung über das digitale COVID-Zertifikat der EU. Die Mitgliedstaaten setzten den Großteil (90 %) dieser Mittel ein, um weitere Zertifikate auf der Grundlage von Tests auszustellen und so das Reisen zu erleichtern.

26 Der Hof stellte fest, dass die Kommission diese Mittel rasch mobilisiert hat und bei der Entwicklung der Instrumente pragmatisch vorgegangen ist, da sie schnell bereitgestellt werden sollten. Die Instrumente wurden unter Zeitdruck entwickelt, ohne Angebote von verschiedenen Auftragnehmern einzuholen. Statt Ausschreibungen für die Beschaffung von Lizenzen und die Entwicklung des Kontaktnachverfolgungs-Gateways, des digitalen COVID-Zertifikats der EU und der Plattform für den Austausch von Reiseformularen zu veröffentlichen, griff die Kommission auf Rahmenverträge zurück, die sie bereits am 30. Oktober 2019 und am 24. Februar 2020 mit einem IT-Dienstleister abgeschlossen hatte. Ein Rahmenvertrag enthält die allgemeinen Geschäftsbedingungen und bildet die Grundlage für die Unterzeichnung konkreter Verträge über einzelne Leistungen. Für das digitale Reiseformular der EU wurde die erste Finanzierung im Juli 2020 im Rahmen der gemeinsamen Aktion „EU Healthy Gateways“ durch eine Neuzuweisung von Mitteln mobilisiert, die ursprünglich für Aktivitäten vorgesehen waren, die wegen der Pandemie nicht durchgeführt werden konnten.

27 Den Auftragnehmer für das digitale COVID-Zertifikat der EU wählte die Kommission auf der Grundlage eines Rahmenvertrags aus, der nach einem 2019 durchgeführten Verhandlungsverfahren ohne Auftragsbekanntmachung vergeben worden war. Nach Auskunft der Kommission hatte der ausgewählte Auftragnehmer Erfahrung mit der Entwicklung des Kontaktnachverfolgungs-Gateways und war der einzige mit der für das digitale COVID-Zertifikat der EU erforderlichen Sachkenntnis im Software-Bereich.

Das Kontaktnachverfolgungs-Gateway und das System des digitalen COVID-Zertifikats der EU wurden von der Kommission zügig entwickelt, nationale Lösungen für die Reiseformulare standen jedoch früher bereit als das Formular der EU

28 Als die Weltgesundheitsorganisation COVID-19 im März 2020 zur Pandemie erklärte, begannen die Mitgliedstaaten damit, die Freizügigkeit einzuschränken10, und die Kommission veröffentlichte erste Leitlinien für eine bessere Koordinierung zwischen den Mitgliedstaaten11. Das Kontaktverfolgungs-Gateway war sieben Monate nach der Erklärung der Pandemie einsatzbereit. Danach dauerte es noch etwa 15 Monate, bis das digitale COVID-Zertifikat der EU und das Reiseformular bereitstanden. Die Zeitleiste in Abbildung 3 bietet einen Überblick über die Entwicklung und die Umsetzung der Instrumente. In Anbetracht der rechtlichen und technischen Anforderungen dieser im Folgenden beschriebenen Instrumente ist der Hof der Auffassung, dass das Kontaktnachverfolgungs-Gateway und das digitale COVID-Zertifikat der EU zeitnah entwickelt worden sind. Dies gilt jedoch nicht für das Reiseformular.

Abbildung 3 – Zeitleiste zur Entwicklung und Umsetzung der EU-Instrumente

Quelle: Europäischer Rechnungshof.

29 Als erstes Instrument wurde das Kontaktnachverfolgungs-Gateway entwickelt, ein System, das die EU-weite Interoperabilität der nationalen Kontaktnachverfolgungs-Apps ermöglicht. Am 13. Mai 2020 veröffentlichte die Kommission mehrere Leitlinien und Empfehlungen zur schrittweisen Aufhebung der von den Mitgliedstaaten verhängten Reisebeschränkungen12. In den Leitlinien wurde hierfür zur Nutzung technischer Lösungen geraten. Das Gateway war im Oktober 2020 einsatzbereit, fünf Monate, nachdem die Kommission die Leitlinien erlassen hatte.

30 Ende April 2020, nur einen Monat nach Verhängung der ersten Einschränkungen, wurde der Kommission im Rahmen der gemeinsamen Aktion „EU Healthy Gateways“ ein Vorschlag zur Digitalisierung der Reiseformulare vorgelegt. Da sich die Gespräche zwischen der Kommission und den Mitgliedstaaten über Monate hinzogen, wurde der Vorschlag erst im August 2020 angenommen. Im Oktober 2020 empfahl der Rat13 die Entwicklung eines gemeinsamen digitalen Reiseformulars der EU. Zu diesem Zeitpunkt waren die Arbeiten an nationalen Lösungen in einigen Mitgliedstaaten bereits ziemlich weit gediehen (siehe Tabelle 1).

31 Nach der Empfehlung des Rates begann die Kommission im November 2020 mit ihrer Arbeit an der Plattform zum Austausch von Reiseformularen. Der Durchführungsbeschluss14 der Kommission zum Austausch von Reiseformularen wurde aber erst am 27. Mai 2021 angenommen. Und erst im Juli 2021 konnten die Mitgliedstaaten mit dem Austausch ihrer digitalen Reiseformulare über die Plattform beginnen.

Tabelle 1 – Beispiele für in den Mitgliedstaaten verwendete elektronische Reiseformulare

Land Einführungsdatum
Nationale Lösung – Spanien Juli 2020
Nationale Lösung – Griechenland Juli 2020
Nationale Lösung – Irland August 2020
EU-Instrument – Italien Mai 2021
EU-Instrument – Malta Juli 2021
EU-Instrument – Slowenien August 2021
EU-Instrument – Frankreich Dezember 2021

Anmerkung: Länder, die das digitale Reiseformular übernommen haben, sind fett gedruckt.

Quelle: Europäischer Rechnungshof.

32 Das digitale COVID-Zertifikat der EU war das vierte von der Kommission entwickelte Instrument. Da das Zertifikat mit dem Impfgeschehen in der EU verknüpft war, konnte die Arbeit daran erst später als an den anderen Instrumenten beginnen. Gespräche zwischen der Kommission und den Mitgliedstaaten über ein COVID-19-Impfzertifikat wurden bereits seit November 2020 im eHealth-Netzwerk15 (siehe Kasten 1) geführt, wo Estland versuchsweise das erste digital verifizierbare Impfzertifikat vorstellte.

33 Am 21. Dezember 2020 empfahl die Europäische Arzneimittel-Agentur die Zulassung des ersten Impfstoffs, und wenige Tage später wurde EU-weit mit den Impfungen begonnen. Einen Monat später, am 28. Januar 2021, einigten sich die EU-Staaten auf grundlegende Leitlinien für einen interoperablen Impfnachweis zu medizinischen Zwecken16, eine eindeutige Zertifikatskennung und die Grundlagen eines Vertrauensrahmens.

34 In der politischen Einigung vom 20. Mai 2021 zwischen dem Europäischen Parlament und dem Rat der EU über die Verordnung über das digitale COVID-Zertifikat der EU wurde Ende Juni als Termin für die Umsetzung festgelegt. Daher musste die Kommission die technische Entwicklung parallel zur gesetzgeberischen Arbeit an der Verordnung vorantreiben17. Dass sie bei der technischen Architektur auf ihre Erfahrung mit dem Kontaktnachverfolgungs-Gateway zurückgreifen konnte, hat die Entwicklung des Instruments beschleunigt. Am 17. März 2021 konnte die Kommission ihren Vorschlag für den Rechtstext18 fertigstellen. Sieben Länder begannen am 1. Juni 2021 mit der Nutzung des digitalen COVID-Zertifikats der EU, d. h. einen Monat vor Inkrafttreten der Verordnung, die es Unionsbürgern und Personen mit Wohnsitz in der EU ermöglichte, ihre Zertifikate überall in der EU ausstellen, überprüfen und anerkennen zu lassen. Am 1. Juli waren alle EU-/EWR-Mitgliedstaaten (außer Irland, das wegen eines Cyberangriffs auf seinen nationalen Gesundheitsdienst im Mai 2021 erst am 14. Juli 2021 hinzukam) an das Gateway für das digitale COVID-Zertifikat der EU angebunden.

35 Das Europäische Parlament und der Rat nahmen die Verordnung am 14. Juni 2021 an, nicht einmal drei Monate nach dem ursprünglichen Vorschlag19. Angesichts der Tatsache, dass es im Gesetzgebungsverfahren durchschnittlich fast 18 Monate dauert, bis EU-Rechtsvorschriften in erster Lesung angenommen sind, war dies sehr rasch20. Daher konnte das digitale COVID-Zertifikat der EU zu Beginn der Sommerferienzeit eingeführt werden, als die Impfkampagne überall auf dem Kontinent Fahrt aufnahm: Am 10. Juli 2021 verfügte die EU über ausreichende Impfstoffmengen für 71 % ihrer erwachsenen Bevölkerung.

Bei der Entwicklung einiger Instrumente konnte die Kommission die Vorbehalte mancher Mitgliedstaaten nicht ausräumen

36 Da die Instrumente rasch bereitgestellt werden sollten, um das Reisen während der COVID-19-Pandemie zu erleichtern, begann die Kommission mit ihrer Entwicklung ohne vorherige Folgenabschätzungen. Damit werden üblicherweise die erwartbaren Folgen politischer Maßnahmen bewertet, und es wird festgestellt, ob überhaupt Bedarf an der Maßnahme der EU besteht. Die Leitlinien für eine bessere Rechtsetzung21 sehen vor, dass die Kommission unter normalen Umständen vor der Vorbereitung einer neuen Verordnung eine Folgenabschätzung vornimmt. Allerdings wird in den Leitlinien auch eingeräumt, dass es unter außergewöhnlichen Umständen, etwa in einer Krisensituation, die eine schnelle Reaktion verlangt, unmöglich oder unangemessen sein kann, alle in den Leitlinien vorgesehenen Schritte zu befolgen.

37 Die Kommission nahm zwar keine Folgenabschätzung vor, aber im Rahmen von Arbeitsgruppen wurden die Mitgliedstaaten zum Kontaktnachverfolgungs-Gateway und zum digitalen Zertifikat konsultiert. Bereits im Dezember 2020 untersuchte eine technische Untergruppe innerhalb des eHealth-Netzwerks die bestehenden Optionen zur Unterstützung der Entwicklung von digitalen Impfzertifikaten und zur Erleichterung des Informationsaustauschs zwischen den Mitgliedstaaten. Vor der Entwicklung der anderen Instrumente führte die Kommission keine derartig detaillierten Konsultationen durch. Die Erhebung des Hofes hat bestätigt, dass nicht alle Mitgliedstaaten ein Interesse daran hatten, alle in dieser Prüfung berücksichtigten EU-Instrumente anzuwenden.

38 Der Erhebung des Hofes zufolge begründete knapp die Hälfte der 11 Mitgliedstaaten, die nach eigenen Angaben das Reiseformular nicht verwendet haben, dies mit datenschutzrechtlichen und anderen rechtlichen Bedenken. Drei Mitgliedstaaten gaben an, dass sie bereits eigene nationale Reiseformulare entwickelt hatten, die auf ihren Bedarf zugeschnitten waren, und dass sie keinen Vorteil darin sahen, auf EU-Lösungen umzusteigen.

39 In den Konsultationen der „Healthy Gateways“ im Oktober 2021 und März 2022 waren die Ansichten der Mitgliedstaaten zum Nutzen des Reiseformulars geteilt. Fünf Mitgliedstaaten nutzten mindestens eines der Instrumente, und 10 Mitgliedstaaten zeigten Interesse daran, während 12 Mitgliedstaaten sie eher nicht nutzen wollten, von denen zwei (Dänemark und Schweden) gar kein Interesse daran hatten.

40 Als das Kontaktnachverfolgungs-Gateway im September 2020 einsatzbereit war, beteiligten sich nicht alle Mitgliedstaaten daran. Sie schlossen sich erst nach und nach an, sofern sie dazu bereit und ihre eigenen Anwendungen fertiggestellt waren. Mitte November 2020 hatten sechs Mitgliedstaaten ihre Apps eingebunden. Andere folgten allmählich, und im Juli 2021 waren 19 Mitgliedstaaten an das Gateway angebunden.

Die Kommission nahm Datenschutzbedenken ernst und wandte gute IT-Sicherheitskonzepte an

41 Zwei wesentliche Risiken sind bei der Entwicklung von Instrumenten zur Verwaltung von Gesundheitsdaten22 zu beachten:

  1. Datenschutz: Gesundheitsdaten gelten als hoch sensibel und bilden in der Datenschutz-Grundverordnung der EU eine besondere Kategorie personenbezogener Daten23. Daher müssen Instrumente, die solche Daten verwalten, spezielle Sicherheiten und Kontrollen zum Schutz der gespeicherten und übermittelten Daten vorsehen. Der Hof hat die Datenschutz-Folgenabschätzungen für die Instrumente untersucht und geprüft, ob der Umgang mit personenbezogenen Daten durch die angewandten Verfahren minimiert wurde.
  2. IT-Sicherheit: Durch die Digitalisierung von Gesundheitsdiensten und den Zugang zu digitalen Gesundheitsakten steigt das Risiko für Cyberangriffe, da potenzielle neue Zugriffspunkte für Cyberkriminelle entstehen. Der Hof hat deshalb geprüft, ob die Instrumente unter Einhaltung bewährter Sicherheitsverfahren entwickelt und betrieben wurden24.

42 Unter Datenschutzaspekten sind die teilnehmenden Mitgliedstaaten für EU-weite Anwendungen wie das Kontaktnachverfolgungs-Gateway und einige spezielle Funktionen des digitalen COVID-Zertifikats der EU (im Sinne der Datenschutz-Grundverordnung) gemeinsam „Verantwortliche“. Sie entscheiden gemeinsam, wie und zu welchen Zwecken personenbezogene Daten verarbeitet werden, und führen entsprechende Kontrollen ein. Die Mitgliedstaaten müssen jeweils Datenschutz-Folgenabschätzungen zur Ermittlung und Minderung von Risiken vornehmen, die bei der Nutzung solcher Anwendungen zur Verarbeitung personenbezogener Daten entstehen. Die Kommission, die in ihrem Namen als „Datenverarbeitende“ agiert, half den Mitgliedstaaten bei der Vorbereitung ihrer Datenschutz-Folgenabschätzungen für die in diese Prüfung einbezogenen EU-Instrumente durch die Bereitstellung von Unterlagen und Vorlagen25. Die Verwendung dieser Vorlagen war den Mitgliedstaaten freigestellt und konnte von der Kommission nicht überwacht werden.

43 Sowohl das digitale COVID-Zertifikat der EU als auch das Kontaktnachverfolgungs-Gateway waren technisch so aufgebaut, dass die Erhebung personenbezogener Daten über die zentralen Gateways der EU auf ein Mindestmaß begrenzt wurde. Im Falle des digitalen COVID-Zertifikats der EU verblieben die personenbezogenen Daten von Unionsbürgern in den nationalen Systemen und unter der Zuständigkeit des jeweiligen Mitgliedstaates. Das zentrale Gateway erhielt nur die verschlüsselten Informationen (und später die Widerrufslisten), die die nationalen Behörden zur Überprüfung der Gültigkeit der Zertifikate benötigten. Im Kontaktnachverfolgungs-Gateway wurden nur anonymisierte personenbezogene Daten in Form von Zufallskennungen, sogenannten Schlüsseln, verarbeitet, die durch die Kontaktnachverfolgungs-Apps generiert wurden. Dadurch wurden Datenschutzrisiken erheblich verringert.

44 Die Verordnung über das digitale COVID-Zertifikat der EU sah kein Standardverfahren für den Widerruf von Zertifikaten vor, die sich beispielsweise als gefälscht herausstellen. Die teilnehmenden Länder konnten eine technische Lösung ihrer Wahl nutzen. Die Kommission war für die Bewertung der Zuverlässigkeit dieser Lösungen unter dem Aspekt des Datenschutzes nicht verantwortlich.

45 Damit ein widerrufenes Zertifikat in anderen Ländern auch als solches erkannt wurde, mussten die Mitgliedstaaten bilaterale Informationen in Form von Widerrufslisten austauschen. Im Rahmen seiner Prüfung äußerte der Hof Bedenken, ein solcher bilateraler Austausch mit verschiedenen Beteiligten und Widerrufslösungen sei ineffizient, zumal es immer mehr neue Zertifikate gebe.

46 Als Reaktion auf diese Bedenken veröffentlichte die Kommission am 30. März 2022, acht Monate nach Einführung des digitalen COVID-Zertifikats der EU, technische Spezifikationen und Regeln für die Schaffung eines effizienteren Mechanismus zum Austausch von Widerrufslisten über das zentrale Gateway. In diesen Spezifikationen wurden drei Technologien für die Übermittlung der Widerrufslisten von nationalen Datenbanken an die Anwendungen zur Überprüfung von Zertifikaten empfohlen. Bei korrekter Anwendung der vorgeschlagenen Lösungen ist davon auszugehen, dass die Privatsphäre geschützt wird, wobei Datenschutzbelange mit einer dieser Lösungen (Bloom-Filter) sehr viel besser berücksichtigt werden als mit den beiden anderen26. Die Nutzung dieser Lösungen war allerdings freiwillig, und die Kommission war nicht befugt, zu überprüfen, ob die Mitgliedstaaten sie anwandten.

47 Risiken für die IT-Sicherheit lassen sich durch einen strukturierten IT-Sicherheitsrahmen angehen und verringern27. Dieser Rahmen umfasst üblicherweise verschiedene Elemente (u. a. Governance-Regelungen, Sicherheitsmaßnahmen, Anforderungen und Standards). Außerdem gehören dazu bewährte Verfahren wie die aktive Suche nach Schwachstellen (Schwachstellenscans) und Sicherheitstests (Penetrationstests).

48 Die Kommission verfügt über einen eigenen IT-Sicherheitsrahmen28 für alle Informationssysteme in ihren Datenzentren einschließlich der Gateways für die Kontaktnachverfolgung und für das digitale COVID-Zertifikat der EU. Dabei werden internationale Standards29 eingehalten. Die Kommission muss eine Risikoabschätzung für jedes IT-System vornehmen, relevante Risiken durch einen IT-Sicherheitsplan abdecken und eine Reihe formaler Sicherungsmaßnahmen und Sicherheitsstandards anwenden.

49 Die Kommission traf vernünftige Maßnahmen, um die IT-Sicherheit beim Kontaktnachverfolgungs-Gateway sicherzustellen. Spezialisten unterzogen den Aufbau des Gateways und den Quellcode einer Sicherheitsbewertung, als das System in Betrieb genommen wurde, (im Oktober 2020) und fanden keine Schwachstellen. Dreimal wurde ein ethisches Hacking durchgeführt, um wirklich Gewissheit hinsichtlich der Sicherheit des Gateways zu erlangen.

50 Außerdem legte die Kommission Mindestsicherheitsanforderungen für nationale Kontaktnachverfolgungs-Apps fest, die mit der Austauschplattform des Gateways verbunden werden. Die vom Hof vorgenommene Analyse dieser Sicherheitsarchitektur und die Antworten der befragten Mitgliedstaaten ergaben, dass das technische Verfahren zur Verbindung nationaler Systeme mit dem EU-Gateway (Onboarding) strukturiert war und dass IT-Sicherheitsaspekte berücksichtigt wurden.

51 Am Gateway für das digitale COVID-Zertifikat der EU wurden von der Generaldirektion Informatik Schwachstellenanalysen und von einem unabhängigen Auftragnehmer zusätzliche Penetrationstests durchgeführt. Die Tests haben bestätigt, dass durch die Gestaltung des zentralen Gateways ein hohes Sicherheitsniveau sichergestellt ist. Die meisten Beanstandungen betrafen eher die Infrastruktur als den Quellcode. Den aufgedeckten Schwachstellen wurde nachgegangen. Die Experten, die die Penetrationstests durchgeführt hatten, empfahlen eine vollständige Überprüfung weiterer Komponenten, auch solcher, die auf nationaler Ebene verwendet werden können (z. B. der Impfzertifikatsservice oder mobile Apps). Diese zusätzliche Prüfung wurde im April 2022 abgeschlossen; die Sicherheitsarchitektur des Instruments wurde dadurch nicht infrage gestellt.

52 Mitgliedstaaten und Drittländer, die sich an der Rahmenregelung für das digitale COVID-Zertifikat der EU beteiligten, erstellten die Zertifikate in ihrem jeweiligen nationalen System. Wenn sich Unberechtigte Zugriff auf ein nationales System verschafft hätten, hätte die Gefahr bestanden, dass in betrügerischer Absicht gültige, aber gefälschte Zertifikate ausgestellt worden wären. Durch die weite Verbreitung solcher Zertifikate hätte das Vertrauen in das digitale COVID-Zertifikat der EU und damit die Freizügigkeit beeinträchtigt werden können, da möglicherweise zusätzliche Einschränkungen wiedereingeführt worden wären. Deshalb musste sichergestellt sein, dass die nationalen Systeme angemessene Sicherheitskontrollen beinhalteten.

53 Was die Sicherheitskontrollen innerhalb der Systeme der teilnehmenden Länder betrifft, so verließ sich die Kommission auch auf Fragebögen zur Eigenbewertung, die von den Ländern ausgefüllt wurden. Sie war jedoch nicht berechtigt, die tatsächliche Einhaltung der Anforderungen zu überprüfen (etwa durch Einsicht in Berichte über Schwachstellenscans, Prüfberichte, Aktionspläne oder internationale Zertifizierungen). Insoweit bestand eine Einschränkung der Gewissheit hinsichtlich des Sicherheitsstatus der nationalen Systeme.

54 Die vom Hof durchgeführten Interviews haben bestätigt, dass sich in einem Nicht-EU-Land ein Zwischenfall im Bereich der IT-Sicherheit ereignet hat. Die nationale Lösung, die das Land gewählt hatte, wies eine Schwachstelle auf, sodass sich unberechtigte Nutzer Zugriff auf die App verschaffen und auf nationaler Ebene gefälschte Zertifikate erstellen konnten, bis das Problem aufgedeckt und behoben wurde. Laut dem Vorfallbericht des betroffenen Landes ging es dabei nur um eine Handvoll Zertifikate.

55 Es gibt keine technische Lösung, mit der sich alle Risiken ausschließen lassen könnten, und selbst hochmoderne Sicherheitskontrollen können zugangsberechtigte Mitarbeitende nicht daran hindern, zu betrügen und gefälschte Zertifikate auszustellen.

56 Für die Meldung von Vorkommnissen wie gefälschten Zertifikaten und das Vorgehen dagegen ist daher ein schneller Informationsaustausch zwischen zuständigen Behörden unerlässlich. Die vom Hof befragten Mitgliedstaaten und Nicht-EU-Länder gaben an, dass die Meldung solcher Vorkommnisse einige Zeit in Anspruch nahm, da es schwierig war, die richtigen Ansprechpartner in anderen Ländern ausfindig zu machen.

57 Für das digitale Reiseformular der EU und die Austauschplattform wurden die folgenden empfohlenen IT-Sicherheitsverfahren30 angewandt: Zwei-Faktor-Authentifizierung, sichere Kommunikationsprotokolle, Firewalls für die Web-Apps und Kontrollen der physischen Zugangssicherheit. Der Auftragnehmer führte auch eine IT-Risikobewertung durch und legte ein strukturiertes Verfahren für die Aufnahme von Ländern in das System fest.

58 Der erste Penetrationstest des Systems fand aber erst im März 2022 statt, ein Jahr, nachdem das erste Land angebunden worden war. Nach dem Test entwickelte der externe Dienstleister einen Umsetzungsplan zur Behebung der festgestellten Mängel. Somit war das System ein Jahr lang mit nicht erkannten Schwachstellen in Betrieb.

Unterschiedliche Wirkung der EU-Instrumente zur Reiseerleichterung während der COVID-19-Pandemie

59 In diesem Abschnitt wird untersucht, ob die EU-Instrumente das Reisen innerhalb der EU während der ersten Jahre der COVID-19-Pandemie erleichtert haben. Insbesondere untersuchte der Hof, ob die Instrumente

  1. in großem Umfang von den Mitgliedstaaten genutzt wurden (was eine Voraussetzung für die Wirkung der Instrumente ist) und
  2. die Koordinierung und den Informationsaustausch zwischen den Mitgliedstaaten hinsichtlich der Verhängung von Reisebeschränkungen verbessert und damit zwei zuvor festgestellte Hindernisse für das Reisen innerhalb der EU beseitigt haben31.

60 Der Hof hat die Daten zur Anwendung der Instrumente durch die Mitgliedstaaten zusammengetragen und analysiert. Außerdem verglich er die vor und nach der Einführung des digitalen COVID-Zertifikats der EU von den Mitgliedstaaten verhängten Reisebeschränkungen.

Das Reiseformular der EU und das Kontaktnachverfolgungs-Gateway hatten aufgrund ihrer begrenzten Nutzung in den Mitgliedstaaten nicht die beabsichtigte Wirkung

61 Die EU-Instrumente hätten in großem Umfang genutzt werden müssen, um die beabsichtigte Wirkung zu erzielen. Tabelle 2 vermittelt einen Überblick über die Anwendung der Instrumente in den einzelnen Mitgliedstaaten. Demnach wurde nur das digitale COVID-Zertifikat der EU in allen Mitgliedstaaten verwendet.

Tabelle 2 – Anwendung der zur Unterstützung der Freizügigkeit entwickelten EU-Instrumente in den Mitgliedstaaten

  Kontaktnach­verfolgungs-Gateway Digitales Reiseformular der EU Digitales COVID-Zertifikat der EU Austausch von Reiseformularen
Belgien        
Bulgarien        
Tschechien        
Dänemark        
Deutschland        
Estland        
Irland        
Griechenland        
Spanien        
Frankreich        
Kroatien        
Italien        
Zypern        
Lettland        
Litauen        
Luxemburg        
Ungarn        
Malta        
Niederlande        
Österreich        
Polen        
Portugal        
Rumänien        
Slowenien        
Slowakei        
Finnland        
Schweden        

Quelle: Europäischer Rechnungshof.

62 Das digitale Reiseformular der EU und die Austauschplattform wurden von den Mitgliedstaaten nicht ausreichend genutzt, um eine signifikante Wirkung hinsichtlich der Eindämmung von COVID-19 und der Erleichterung eines sicheren Reisens zu erzielen.

63 Das digitale Reiseformular32 der EU wurde nur von vier Mitgliedstaaten verwendet, während 17 Mitgliedstaaten bei ihrer nationalen Lösung blieben. Von knapp 27 Millionen Formularen, die bis Februar 2022 ausgestellt wurden, stammten 91,6 % (24,7 Millionen) aus Italien.

64 Auch die Austauschplattform wurde nur in geringem Umfang genutzt. Obwohl sie theoretisch für den Austausch von Informationen von jeder nationalen Plattform genutzt werden konnte, wurde sie überwiegend von den Ländern in Anspruch genommen, die auch das EU-Reiseformular verwendeten. Mit nur drei ausgetauschten Formularen im Jahr 2021 und gerade einmal 253 Formularen in den ersten beiden Monaten 2022 beschränkte sich die Nutzung der Plattform insgesamt weiterhin auf einen unerheblichen Umfang. Nur eines dieser 256 Formulare stammte nicht aus Spanien.

65 Die Mitgliedstaaten machten in ganz unterschiedlichem Maße Gebrauch von Kontaktnachverfolgungs-Apps. In einigen Mitgliedstaaten wurden gar keine solchen Apps eingeführt. Und wo es eine Kontaktnachverfolgungs-App gab, wurde sie von der Bevölkerung eher zurückhaltend angenommen. Insgesamt wurden in der EU 74 Millionen Kontaktnachverfolgungs-Apps heruntergeladen (Stand Oktober 2021). Allerdings fehlen statistische Angaben auf EU-Ebene, wie viele Menschen sie auch wirklich genutzt haben.

66 Bis zum 22. Mai 2022 gab es mehr als 522 Millionen33 bestätigte COVID-19-Fälle, und 55 Millionen Schlüssel waren heruntergeladen worden. Den Daten aus dem Kontaktnachverfolgungs-Gateway zufolge wurden die Instrumente zur Kontaktnachverfolgung in den Mitgliedstaaten unterschiedlich genutzt. Beispielsweise wurden 83 % der Schlüssel allein von Nutzenden in Deutschland heruntergeladen (siehe Anhang II).

67 Im Großen und Ganzen wurden die vom Hof untersuchten Instrumente entwickelt, um neuen Erfordernissen Rechnung zu tragen, sodass es recht schwierig war, durchweg Synergien zwischen ihnen zu schaffen. Das digitale EU-Reiseformular und die Austauschplattform beispielsweise sind untrennbar miteinander verbunden, wurden aber getrennt entwickelt (durch die gemeinsame Aktion „EU Healthy Gateways“ bzw. die Agentur der Europäischen Union für Flugsicherheit). Ebenso wurden Leitlinien dazu, wie das digitale COVID-Zertifikat der EU mit Reiseformularen verknüpft werden kann, auf EU-Ebene nach Einführung der beiden Instrumente zur Verfügung gestellt, und die Leitlinien sind bislang noch nicht umgesetzt worden.

68 Da die Instrumente kurzfristig einsatzfähig sein sollten, sind keine flexiblen Verfahren vorgesehen, um sie auch längerfristig nutzen oder schnell reaktivieren zu können, falls sie künftig noch einmal gebraucht werden. So läuft beispielsweise die derzeitige Rechtsgrundlage für das digitale COVID-Zertifikat der EU im Juni 2023 aus und müsste vom Europäischen Parlament und vom Rat auf Vorschlag der Kommission erneuert werden. Im Rahmen der Prüfung des Hofes wies die Kommission darauf hin, dass es sowohl rechtlich als auch technisch extrem schwierig wäre, das Zertifikatssystem kurzfristig wieder einzuführen.

Die Mitgliedstaaten haben das digitale COVID-Zertifikat der EU in großem Umfang genutzt, was das Reisen erleichtert hat

69 Das EU-Gateway für das digitale COVID-Zertifikat der EU wurde am 1. Juni 2021 mit sieben eingebundenen Mitgliedstaaten in Betrieb genommen. Anderthalb Monate später waren alle 27 Mitgliedstaaten angeschlossen. Die von der Kommission vorgeschlagene Lösung stieß auch außerhalb der EU auf großes Interesse. Bis Juli 2022 hatten 45 Nicht-EU-Länder und außereuropäische Gebiete den EU-Rahmen für das digitale COVID-Zertifikat der EU angenommen.

70 Bis zum 13. Oktober 2021 hatten die Mitgliedstaaten 585 Millionen Zertifikate ausgestellt. Fünf Monate später waren es 1,7 Milliarden Zertifikate, überwiegend (1,1 Milliarden) Impfzertifikate. Diese Zahl überstieg die Bevölkerungszahl der EU, da eine Person mehrere Zertifikate besitzen konnte (beispielsweise zwei vor einer Impfung ausgestellte Testzertifikate). Nach jeder verabreichten Impfdosis, einer Genesung oder einem Test wurde ein digitales COVID-Zertifikat der EU ausgestellt. Das digitale COVID-Zertifikat der EU wurde in den Mitgliedstaaten nicht nur verwendet, um das Reisen zu erleichtern, sondern auch, um den Zugang zu öffentlichen Räumen wie Restaurants oder Theatern zu steuern. Abbildung 4 enthält eine Aufschlüsselung der 1,7 Milliarden digitalen COVID-Zertifikate der EU nach Mitgliedstaaten.

Abbildung 4 – Von den Mitgliedstaaten insgesamt ausgestellte digitale COVID-Zertifikate der EU (Stand März 2022)

Quelle: Europäischer Rechnungshof auf der Grundlage von Daten der Kommission.

71 Die in diesem Bericht berücksichtigten Instrumente sollten ein sicheres Reisen erleichtern. Viele Mitgliedstaaten hatten wegen der Pandemie beschlossen, verschiedene Reisebeschränkungen einzuführen. Wie der Hof in seinem Sonderbericht über Freizügigkeit in der EU während der COVID-19-Pandemie34 festgestellt hat, galten im Juni 2021 in den Mitgliedstaaten nach wie vor viele unkoordinierte Reisebeschränkungen, darunter PCR-Tests, Quarantäneregelungen und Zugangsverbote.

72 Bis das digitale COVID-Zertifikat der EU in Kraft trat, richteten sich die Einreisebeschränkungen für Reisende tatsächlich danach, welches Gesundheitsrisiko in dem geografischen Gebiet bestand, aus dem sie einreisten. Dies änderte sich im Juli 2021 mit der Einführung der Verordnung über das digitale COVID-Zertifikat der EU; danach betrafen die Restriktionen zunehmend einzelne Personen anstelle geografischer Gebiete, und entscheidend war vor allem, ob die betreffende Person ein gültiges Zertifikat vorweisen konnte.

73 Abgesehen von dieser Veränderung in der Art der Reisebeschränkungen wurde mit der Verordnung über das digitale COVID-Zertifikat der EU auch ein neuer formaler Mechanismus zur Verbesserung des Informationsaustauschs über derartige Restriktionen eingeführt. Seit Inkrafttreten der Verordnung müssen die Mitgliedstaaten die Kommission und die anderen Mitgliedstaaten unterrichten, wenn sie zusätzliche Beschränkungen einführen wollen. Dabei sind die Gründe sowie Umfang und Dauer der neuen Beschränkungen anzugeben. Bis März 2022 hatten 13 Mitgliedstaaten entsprechende Informationen übermittelt.

74 Im Juli 2021 ergab die von der Kommission durchgeführte Konsultation zu Reisebeschränkungen, dass in allen Mitgliedstaaten (außer Griechenland, Ungarn und Italien, die erst später geantwortet haben) für Inhaber eines digitalen COVID-Zertifikats der EU keine Beschränkungen mehr galten. Abbildung 5 sind die Unterschiede hinsichtlich der Reisebeschränkungen vor und unmittelbar nach der Einführung des Zertifikatssystems (Juni und Juli 2021) zu entnehmen. In der Erhebung des Hofes waren 12 der 13 Befragten der Meinung, dass das digitale COVID-Zertifikat der EU zur Koordinierung der Reisebeschränkungen zwischen den Mitgliedstaaten beigetragen habe.

Abbildung 5 – Vereinfachter Überblick über Einreisebeschränkungen der 27 EU-Mitgliedstaaten

Quelle: Europäischer Rechnungshof auf der Grundlage von Angaben der Kommission.

Schlussfolgerungen und Empfehlungen

75 Der Hof kommt zu dem Schluss, dass die Kommission trotz ihrer begrenzten Zuständigkeit in der öffentlichen Gesundheitspolitik rasch geeignete technische Lösungen zur Erleichterung des Reisens in der EU während der COVID-19-Pandemie vorgeschlagen hat. Die Wirkung einiger dieser Instrumente hängt jedoch von der Bereitschaft der Mitgliedstaaten ab, sie auch anzuwenden. Während das digitale COVID-Zertifikat der EU großen Zuspruch erhielt und wirksam zur Erleichterung des Reisens beigetragen hat, war die Wirkung der anderen Instrumente wegen ihrer begrenzten Nutzung eher mäßig.

76 Für die Entwicklung der Instrumente hat die Kommission umgehend 71 Millionen Euro mobilisiert und dazu mehrere Finanzierungsquellen kombiniert und auf bestehende Rahmenverträge zurückgegriffen, statt neue Ausschreibungen zu veröffentlichen. Die Instrumente waren im Hinblick auf ihren Verwendungszweck einzigartig, sodass es keine vergleichbaren Systeme gibt (Ziffern 2127).

77 Die Kommission stellte das Kontaktnachverfolgungs-Gateway und das digitale COVID-Zertifikat der EU zeitnah bereit. Das Gateway, mit dem die Interoperabilität von Kontaktnachverfolgungs-Apps ermöglicht werden sollte, wurde im Oktober 2020 in Betrieb genommen, sieben Monate, nachdem die Weltgesundheitsorganisation COVID-19 zu einer Pandemie erklärt hatte. Erfahrungen mit dem Kontaktnachverfolgungs-Gateway kamen der technischen Entwicklung des digitalen COVID-Zertifikats der EU zugute, und die Entwicklung des Zertifikats war abgeschlossen, noch bevor die Mitgliedstaaten ihre Impfpläne vollständig umgesetzt hatten. Das Gesetzgebungsverfahren zur Annahme der Verordnung über das digitale COVID-Zertifikat der EU lief ebenfalls sehr viel schneller ab als üblich (Ziffern 2835).

78 Die Kommission konnte nicht alle Vorbehalte der Mitgliedstaaten gegen die Anwendung des Reiseformulars der EU ausräumen, das erst bereitstand, als mehrere Mitgliedstaaten schon eigene Instrumente entwickelt hatten. Dies hatte zur Folge, dass die EU-Lösungen nur von fünf Mitgliedstaaten genutzt wurden (Ziffern 3640).

Empfehlung 1 – Gründe für die geringe Nutzung des digitalen Reiseformulars der EU angehen

Die Kommission sollte die Gründe für die geringe Nutzung des digitalen Reiseformulars der EU und der Austauschplattform angehen und eine stärkere Anwendung dieser Instrumente durch die Mitgliedstaaten in künftigen Phasen der COVID-19-Pandemie fördern.

Zieldatum für die Umsetzung: Dezember 2023

79 Insgesamt hat die Kommission Datenschutzanforderungen und bewährte Verfahren der IT-Sicherheit bei der Gestaltung der Instrumente berücksichtigt. Bei den EU-Instrumenten wird die Verwendung personenbezogener Daten auf ein Minimum reduziert (Ziffern 4243). Sicherheitsrisikobewertungen und Penetrationstests wurden im Allgemeinen systematisch durchgeführt. Nur beim digitalen Reiseformular der EU gab es einige verzögerte Sicherheitstests, sodass das Instrument ein Jahr lang mit nicht erkannten Schwachstellen in Betrieb war (Ziffern 4751 und 5758).

80 Länder, in denen das digitale COVID-Zertifikat der EU verwendet wurde, sollten Listen gefälschter Zertifikate bilateral über verschiedene Kommunikationskanäle austauschen. Dieser Ansatz beeinträchtigt das Verfahren zur Sperrung gefälschter Zertifikate. Im März 2022 schlug die Kommission praktikable Lösungen für dieses Problem vor, deren Anwendung jedoch freiwillig ist (Ziffern 4446). Zudem nimmt die gegenseitige Information der Länder über Vorkommnisse, die eine schnelle Reaktion erfordern (z. B. gefälschte Zertifikate), zu viel Zeit in Anspruch (Ziffern 5556).

Empfehlung 2 – Kommunikation über Vorkommnisse im Zusammenhang mit dem digitalen COVID-Zertifikat der EU effizienter gestalten

Die Kommission sollte die direkte Kommunikation zwischen den offiziellen Kontaktpersonen der einzelnen Länder, die sich an dem System des digitalen COVID-Zertifikats der EU beteiligen, vereinfachen, um in dringenden Fällen im Zusammenhang mit den Zertifikaten eine effizientere Kommunikation zu ermöglichen.

Zieldatum für die Umsetzung: Juni 2023

81 Da die beim digitalen COVID-Zertifikat der EU verwendeten Codes von den nationalen Systemen der teilnehmenden Länder generiert wurden, war es wichtig, dass diese Systeme über geeignete Sicherheitskontrollen verfügen. Die Kommission verließ sich dabei auf von den teilnehmenden Ländern vorgenommene Eigenbewertungen der IT-Sicherheit, da sie nicht berechtigt ist, die Einhaltung der Sicherheitsanforderungen zu überprüfen. Dies schränkt die Gewissheit hinsichtlich des Sicherheitsstatus der nationalen Systeme ein (Ziffern 5254).

82 Das EU-Reiseformular und das Kontaktnachverfolgungs-Gateway hatten nicht die beabsichtigte Wirkung, da sie nur in begrenztem Umfang genutzt wurden. Nur vier Mitgliedstaaten nutzten das digitale Reiseformular der EU, während die anderen bei ihren nationalen Lösungen blieben. Mit nur drei ausgetauschten Formularen im Jahr 2021 und gerade einmal 253 Formularen in den ersten beiden Monaten 2022 wurde die Plattform für den Austausch von Reiseformularen insgesamt weiterhin nur in unerheblichem Umfang genutzt. Die Nutzung des Kontaktnachverfolgungs-Gateways seitens der Mitgliedstaaten war durch die begrenzte Anwendung von Kontaktnachverfolgungs-Apps in den Mitgliedstaaten beeinträchtigt. Zum größten Teil ging der Traffic von einem einzigen Land aus (Ziffern 6167).

83 Die in die Prüfung des Hofes einbezogenen Instrumente wurden aufgrund neuer Gegebenheiten entwickelt und werden unabhängig voneinander genutzt. In Anbetracht der Vielzahl nationaler Lösungen für Reiseformulare war es besonders schwierig, für eine einheitliche Anwendung der EU-Instrumente zu sorgen. Die Instrumente waren zudem als kurzfristige Reaktion auf die Gesundheitskrise konzipiert. Es gibt keine spezifischen Verfahren für ihre längerfristige Anwendung oder eine schnelle Reaktivierung für den Fall, dass sie noch einmal gebraucht werden. Die derzeitige Rechtsgrundlage für das digitale COVID-Zertifikat der EU läuft im Juni 2023 aus und müsste im normalen Gesetzgebungsverfahren der EU erneuert werden (Ziffer 68).

84 Der Hof stellte fest, dass das digitale COVID-Zertifikat der EU wirksam zur Erleichterung des Reisens während der COVID-19-Pandemie beigetragen hat. Die Mitgliedstaaten und mehrere Nicht-EU-Länder haben die Zertifikate in großem Umfang genutzt, und bis März 2022 wurden in den EU-/EWR-Ländern mehr als 1,7 Milliarden digitale COVID-Zertifikate der EU ausgestellt. Außerdem stellte der Hof fest, dass die Mitgliedstaaten ihre Reisebeschränkungen innerhalb eines Monats nach Inkrafttreten der Verordnung über das digitale COVID-Zertifikat der EU erheblich vereinheitlicht hatten. So hatten alle Mitgliedstaaten die Reisebeschränkungen für Unionsbürger aufgehoben, die mit dem digitalen COVID-Zertifikat der EU nachweisen konnten, dass sie vollständig geimpft oder kürzlich negativ getestet oder von einer COVID-19-Infektion genesen waren.

85 Darüber hinaus wurden der Informationsaustausch und die Koordinierung in Bezug auf Reisebeschränkungen durch das digitale COVID-Zertifikat der EU verbessert, da die geltende Verordnung vorsieht, dass Mitgliedstaaten, wenn sie Reisebeschränkungen einführen wollen, dies begründen und die anderen Mitgliedstaaten darüber unterrichten müssen (Ziffern 6974).

Empfehlung 3 – Relevante EU-Instrumente für künftige Krisen vorbereiten

Die Kommission sollte

  1. feststellen, welche EU-Instrumente während der COVID-19-Pandemie für die Menschen und die Mitgliedstaaten besonders hilfreich waren, und Verfahren vorbereiten, damit sie im Falle künftiger Krisen schnell reaktiviert werden können;
  2. durch Synergien oder Vereinfachungen dafür sorgen, dass die zur Erleichterung der grenzübergreifenden Kontaktverfolgung in Krisen verwendeten EU-Instrumente für Unionsbürger einfacher zugänglich gemacht werden;
  3. gemeinsam mit den Mitgliedstaaten feststellen, ob weitere Instrumente für potenzielle künftige Krisen gebraucht werden.

Zieldatum für die Umsetzung: September 2023 für Empfehlungen a) und c) und September 2024 für Empfehlung b)

Dieser Bericht wurde von Kammer III unter Vorsitz von Frau Bettina Jakobsen, Mitglied des Rechnungshofs, am 22. November 2022 in Luxemburg angenommen.

 

Für den Rechnungshof

Tony Murphy
Präsident

Anhänge

Anhang I – Beschreibung der EU-Instrumente, die ein sicheres Reisen während der COVID-19-Pandemie erleichtern

EU-Datenabgleichsdienst (European Federation Gateway Service)

Der EU-Datenabgleichsdienst ist ein System, das Interoperabilität zwischen den nationalen Kontaktnachverfolgungs-Apps ermöglicht. Die nationalen Kontaktnachverfolgungs-Apps wurden entwickelt, um die Bürger über potenzielle Risikokontakte zu informieren und zur Unterbrechung der Infektionsketten von COVID-19 beizutragen.

Kontaktnachverfolgungs-Apps dienen dazu, laufend Kontakte zu in der Nähe befindlichen anderen Nutzenden der App zu erfassen. Zum Schutz der Privatsphäre generieren die Apps alle 15 Minuten einen Schlüssel (eine Kennung) für die nutzende Person. Die Apps nutzen Bluetooth, um andere Smartphones in der Nähe zu erkennen und Schlüssel auszutauschen. Jede Begegnung mit einem anderen Nutzer führt zu einem Austausch der Schlüssel zwischen den Nutzern. Diese Schlüssel werden auf den Smartphones der beiden Nutzer gespeichert.

Wenn eine Person positiv auf COVID-19 getestet wird und dies in der App angibt, werden alle Schlüssel der letzten 14 Tage an den nationalen Back-End-Server ihres Landes übermittelt. Von dort aus werden die Schlüssel der infizierten Person an die Apps aller anderen Nutzer übermittelt, wo sie mit den im Smartphone gespeicherten Schlüsseln abgeglichen werden. Wenn eine Übereinstimmung gefunden wird, erhalten Nutzende, die sich in der Nähe der infizierten Person aufgehalten haben, eine Warnmeldung.

Die meisten Mitgliedstaaten haben sich für diesen dezentralen Ansatz entschieden, bei dem die Kombination der Schlüssel von infizierten Personen an die Apps der Nutzenden übermittelt wird und der Abgleich auf dem jeweiligen Smartphone erfolgt. In einigen Mitgliedstaaten mit einem stärker zentralisierten Konzept werden die Schlüssel und die Geräte der Nutzenden auf den zentralen nationalen Servern abgeglichen.

Die nationalen Kontaktnachverfolgungs-Plattformen, die den dezentralisierten Ansatz verfolgen und kompatible technologische Bausteine verwenden, können anonymisierte Schlüssel von infizierten Personen über das EU-Kontaktnachverfolgungs-Gateway untereinander austauschen. So ermöglicht das Gateway Reisenden, ihre nationale Kontaktnachverfolgungs-App auch bei Reisen in anderen Ländern zu nutzen, die an das EU-Gateway angebunden sind.

Digitales Reiseformular

Gesundheitsbehörden nutzen Reiseformulare, um die Kontaktnachverfolgung zu erleichtern, wenn Menschen auf ihrer Reise per Flugzeug, Bahn, Schiff oder Bus mit einer ansteckenden Krankheit in Kontakt kommen. Die Weltgesundheitsorganisation und die Internationale Zivilluftfahrtorganisation hatten schon bei früheren Seuchenausbrüchen (insbesondere Ebola) mit der Entwicklung solcher Formulare begonnen.

Früher erfolgte die Ausstellung der von den Ländern geforderten Reiseformulare meist in Papierform. Papierformulare haben allerdings erhebliche Nachteile: Sie können unleserlich sein, und für die automatisierte Verarbeitung müssen die Einträge manuell in den Computer eingegeben werden. Dies war für viele Länder Anlass, elektronische Fassungen zu entwickeln. Das digitale Reiseformular der EU ist eine Web-Anwendung, die entwickelt wurde, um die Verwendung von Reiseformularen bei grenzübergreifenden Bedrohungen wie COVID-19 zu vereinfachen.

Reisende geben Informationen zu ihrer Reise online ein und erhalten umgehend einen einmaligen QR-Code. Der Code kann von den zuständigen Behörden in den Zielländern gescannt werden, um zu überprüfen, ob die Passagiere die geforderten Angaben gemacht haben. Das digitale Format soll die Datenerhebung und den Datenaustausch zwischen Interessenträgern erleichtern und beschleunigen, um die Effizienz und die Wirksamkeit der Kontaktnachverfolgung zu erhöhen.

Austausch von Reiseformularen

Wenn eine reisende Person positiv auf COVID-19 getestet wurde, müssen die von einem Land im Reiseformular erhobenen Daten möglicherweise sicher an andere betroffene Länder übermittelt werden, und zwar ausschließlich zur COVID-19-Kontaktnachverfolgung. Wegen der Grenzen des bestehenden europäischen Systems für den Austausch von Gesundheitsdaten (Frühwarn- und Reaktionssystem) beschloss die Kommission, eine spezielle Plattform für den Austausch von Reiseformulardaten zwischen nationalen Systemen zu entwickeln.

Die Austauschplattform ermöglicht eine sichere Übertragung verschlüsselter Daten zwischen zuständigen nationalen Behörden, ohne Daten zu speichern. Die Behörden der Mitgliedstaaten können die Anbindung an die Plattform über Systeme der EU oder über nationale Systeme für digitale Reiseformulare herstellen.

Digitales COVID-Zertifikat der EU

Das digitale COVID-Zertifikat der EU gilt als Nachweis, dass jemand gegen COVID-19 geimpft oder auf das Virus getestet wurde oder von einer COVID-Infektion genesen ist. Diese Zertifikate werden von den zuständigen nationalen Behörden ausgestellt.

Die Zertifikate können in Papierform oder elektronisch ausgestellt werden. In beiden Fällen enthalten sie einen QR-Code zum Schutz vor Fälschungen. Die Sicherheit der Lösung basiert auf öffentlichen und privaten kryptografischen Schlüsseln. Es gibt zwei Schlüssel: einen privaten, der zur digitalen Signatur des QR-Codes verwendet wird, und einen öffentlichen, der die Überprüfung der digitalen Signatur ermöglicht.

Jede ausstellende Behörde hat ihren privaten und einen entsprechenden öffentlichen Schlüssel. Die privaten Schlüssel werden sicher gespeichert, und die öffentlichen Schlüssel werden in der zentralen nationalen Datenbank bereitgehalten. Die zuständige Behörde stellt ihr System zur Ausstellung von Zertifikaten den relevanten Akteuren im Gesundheitssektor (z. B. Krankenhäusern und Testzentren) nach Genehmigung zur Verfügung, damit sie die Zertifikate digital signieren können.

Die Anwendungen zur Überprüfung der Authentizität des digitalen COVID-Zertifikats der EU erhalten die öffentlichen Schlüssel von den nationalen Datenbanken. Die nationalen Datenbanken tauschen öffentliche Schlüssel mit anderen Ländern über das Gateway für das digitale COVID-Zertifikat der EU aus. So ermöglicht das Gateway die gegenseitige Überprüfung der Zertifikate zwischen verschiedenen Ländern.

Anhang II – Nutzung der Kontaktnachverfolgungs-Apps in der EU

Kontaktnachverfolgungs-Apps wurden in der EU ganz unterschiedlich angenommen. Nur in zwei Mitgliedstaaten wurde die Kontaktnachverfolgungs-App von mehr als 50 % der Bevölkerung heruntergeladen. Die folgenden Zahlen geben Aufschluss über die unterschiedliche Situation in den Mitgliedstaaten, in denen dezentrale Kontaktnachverfolgungs-Apps genutzt wurden.

Zahl der heruntergeladenen Kontaktnachverfolgungs-Apps in Prozent der Bevölkerung

Quelle: Europäischer Rechnungshof auf der Grundlage öffentlich zugänglicher Daten der Kommission und ausgewählter Mitgliedstaaten.

Dass die App heruntergeladen wurde, bedeutet nicht zwangsläufig, dass die Kontaktnachverfolgung auch wirklich genutzt wird, denn dazu müssen die Apps aktiv sein, und wer positiv auf COVID-19 getestet wurde, muss bereit sein, dies in der App anzugeben. Sobald sich eine Person ein positives Testergebnis meldet, werden die entsprechenden Schlüssel in das Kontaktnachverfolgungs-Gateway hochgeladen. Den Daten aus dem Gateway zufolge wurde die Kontaktnachverfolgung je nach Mitgliedstaat unterschiedlich genutzt. Nach der Zahl der auf das Gateway hochgeladenen Schlüssel ist festzustellen, dass die Schlüssel zum überwiegenden Teil aus einem einzigen Land stammen.

Anteil an allen auf das Kontaktnachverfolgungs-Gateway der EU hochgeladenen Schlüssel

Quelle: Europäischer Rechnungshof auf der Grundlage öffentlich zugänglicher Daten des EU-Datenabgleichsdienstes (Oktober 2020 - Mai 2022).

Glossar

Grenzkontrolle: Kontrolle und Überwachung von Personen, die eine Grenze überqueren oder zu überqueren beabsichtigen.

Penetrationstest: Methode zur Bewertung der Sicherheit eines IT-Systems, bei der versucht wird, Sicherheitseinrichtungen mit üblicherweise von Angreifern verwendeten Instrumenten und Verfahren zu durchbrechen.

Schengen-Raum: Gruppe von 26 europäischen Ländern, die Pass- und Einwanderungskontrollen an ihren gemeinsamen Grenzen abgeschafft haben.

Schwachstellenscan: Überprüfung von Netzwerkeinrichtungen, Computersystemen und Anwendungen, um etwaige Probleme und Schwachstellen aufzudecken.

Verantwortlicher: im Sinne der Datenschutz-Grundverordnung Person oder Einrichtung, die festlegt, wie und zu welchen Zwecken personenbezogene Daten verarbeitet werden sollen.

Antworten der Europäischen Kommission

https://www.eca.europa.eu/de/Pages/DocItem.aspx?did=62947

Prüfungsteam

Die Sonderberichte des Hofes enthalten die Ergebnisse seiner Prüfungen zu Politikbereichen und Programmen der Europäischen Union oder zu Fragen des Finanzmanagements in spezifischen Haushaltsbereichen. Bei der Auswahl und Gestaltung dieser Prüfungsaufgaben ist der Hof darauf bedacht, maximale Wirkung dadurch zu erzielen, dass er die Risiken für die Wirtschaftlichkeit oder Regelkonformität, die Höhe der betreffenden Einnahmen oder Ausgaben, künftige Entwicklungen sowie das politische und öffentliche Interesse abwägt.

Diese Wirtschaftlichkeitsprüfung wurde von Prüfungskammer III „Externe Politikbereiche, Sicherheit und Justiz“ unter Vorsitz von Bettina Jakobsen, Mitglied des Hofes, durchgeführt. Die Prüfung stand unter der Leitung von Baudilio Tomé Muguruza, Mitglied des Hofes. Herr Muguruza wurde unterstützt von seinem Kabinettchef Daniel Costa de Magalhães, dem Attaché Ignacio Garcia de Parada Miranda, dem Leitenden Manager Alejandro Ballester Gallardo, dem Aufgabenleiter Piotr Senator und den Prüfenden João Coelho, Mirko Iaconisi, Ionna Topa und Andrej Minarovic. Michael Pyper leistete sprachliche Unterstützung.

Von links nach rechts: Daniel Costa De Magalhães, Andrej Minarovic, Ignacio García de Parada Miranda, João Coelho, Ioanna Topa, Piotr Senator, Baudilio Tomé Muguruza, Mirko Iaconisi und Michael Pyper.

Endnoten

1 Artikel 20 Absatz 2 Buchstabe a und Artikel 21 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union.

2 Richtlinie 2004/38/EG.

3 Artikel 168 Absatz 7 des Vertrags über die Arbeitsweise der Europäischen Union.

4 Artikel 17 des Vertrags über die Europäische Union (EUV).

5 Artikel 4 Absatz 2 Buchstabe k, Artikel 6 Buchstabe a und Artikel 168 AEUV.

6 Richtlinie 2011/24/EU über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung.

7 Sonderbericht 13/2022.

8 Sonderbericht 19/2022.

9 Erklärung der Kommission vom 15. Juni 2021.

10 Abbildung 4 im Sonderbericht 13/2022.

11 Leitlinien für Grenzmanagementmaßnahmen zum Schutz der Gesundheit und zur Sicherstellung der Verfügbarkeit von Waren und wesentlichen Dienstleistungen, C(2020) 1753 final, ABl. C 86 I vom 16.3.2020.

12 Mitteilungen der Kommission C(2020) 3250, C(2020) 3251 und C(2020) 3139.

13 Empfehlung (EU) 2020/1475 des Rates.

14 Durchführungsbeschluss (EU) 2021/858 der Kommission.

15 Elektronische Gesundheitsdienste und COVID-19, Website der Europäischen Kommission.

16 eHealth Network, Guidelines on verifiable vaccination certificates – basic interoperability elements, 12.3.2021.

17 Verordnung (EU) 2021/953.

18 Vorschlag für eine Verordnung, COM(2021) 0130 final.

19 Verfahren 2021/0068/COD.

20 Activity Report „Development and Trends of the Ordinary Legislative Procedure“, Europäisches Parlament.

21 Better Regulations Guidelines, SWD(2017) 0350, 7. Juli 2017.

22 ENISA, Taking Care of Health Data.

23 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates.

24 ISACA, Certified Information System Auditor review manual, 2019; International Organization for Standardization / International Electrotechnical Commission standards 27001.

25 Draft Data Protection Risk Assessment (DPRA-DRAFT).

26 eHealth Network, EU DCC Revocation – B2A Communication between the Backend and the Applications, Abschnitt 4.6.3.

27 ISACA, „Certified Information System Auditor review manual“, 2019.

28 Beschluss (EU, Euratom) 2017/46 der Kommission über die Sicherheit von Kommunikations- und Informationssystemen in der Europäischen Kommission; Implementing rules, C(2017) 8841 final.

29 Internationale Organisation für Normung / Internationale Elektrotechnische Kommission, Normen 27001, 27002, 27005 und 27035.

30 Internationale Organisation für Normung / Internationale Elektrotechnische Kommission, Norm 27001.

31 Sonderbericht 13/2022, Ziffern 69–75.

32 Digitales Reiseformular der EU.

33 Weekly epidemiological update on COVID-19 – 25 May 2022, World Health Organisation.

34 Sonderbericht 13/2022.

Kontakt

EUROPÄISCHER RECHNUNGSHOF
12, rue Alcide De Gasperi
1615 Luxemburg
LUXEMBURG

Tel. +352 4398-1
Kontaktformular: eca.europa.eu/de/Pages/ContactForm.aspx
Website: eca.europa.eu
Twitter: @EUAuditors

Zahlreiche weitere Informationen zur Europäischen Union sind verfügbar über Internet, Server Europa (https://europa.eu).

Luxemburg: Amt für Veröffentlichungen der Europäischen Union, 2023

PDF ISBN 978-92-847-9222-1 ISSN 1977-5644 doi:10.2865/430764 QJ-AB-22-027-DE-N
HTML ISBN 978-92-847-9213-9 ISSN 1977-5644 doi:10.2865/8414 QJ-AB-22-027-DE-Q

URHEBERRECHTSHINWEIS

© Europäische Union, 2023

Die Weiterverwendung von Dokumenten des Europäischen Rechnungshofs wird durch den Beschluss Nr. 6-2019 des Europäischen Rechnungshofs über die Politik des offenen Datenzugangs und die Weiterverwendung von Dokumenten geregelt.

Sofern nicht anders angegeben (z. B. in gesonderten Urheberrechtshinweisen), werden die Inhalte des Hofes, an denen die EU die Urheberrechte hat, im Rahmen der Lizenz Creative Commons Attribution 4.0 International (CC BY 4.0) zur Verfügung gestellt. Dies bedeutet, dass die Weiterverwendung mit ordnungsgemäßer Nennung der Quelle und unter Hinweis auf Änderungen im Allgemeinen gestattet ist. Personen, die Inhalte des Hofes weiterverwenden, dürfen die ursprüngliche Bedeutung oder Botschaft nicht verzerrt darstellen. Der Hof haftet nicht für etwaige Folgen der Weiterverwendung.

Eine zusätzliche Genehmigung muss eingeholt werden, falls ein bestimmter Inhalt identifizierbare Privatpersonen zeigt, z. B. Fotos von Hofbediensteten, oder Werke Dritter enthält.

Wird eine solche Genehmigung eingeholt, so hebt diese die oben genannte allgemeine Genehmigung auf und ersetzt sie; auf etwaige Nutzungsbeschränkungen wird ausdrücklich hingewiesen.

Um Inhalte zu verwenden oder wiederzugeben, an denen die EU keine Urheberrechte hat, kann es erforderlich sein, eine Genehmigung direkt bei den Urheberrechtsinhabern einzuholen.

Software oder Dokumente, die von gewerblichen Schutzrechten erfasst werden, wie Patente, Marken, eingetragene Muster, Logos und Namen, sind von der Weiterverwendungspolitik des Hofes ausgenommen.

Die Websites der Organe der Europäischen Union in der Domain „europa.eu“ enthalten mitunter Links zu von Dritten betriebenen Websites. Da der Hof keinerlei Kontrolle über diese Websites hat, sollten Sie deren Bestimmungen zum Datenschutz und zum Urheberrecht einsehen.

Verwendung des Logos des Hofes

Das Logo des Europäischen Rechnungshofs darf nur mit vorheriger Genehmigung des Hofes verwendet werden.

DIE EU KONTAKTIEREN

Besuch
In der Europäischen Union gibt es Hunderte von „Europa Direkt“-Zentren. Ein Büro in Ihrer Nähe können Sie online finden (european-union.europa.eu/contact-eu/meet-us_de).

Per Telefon oder schriftlich
Der Europa-Direkt-Dienst beantwortet Ihre Fragen zur Europäischen Union. Kontaktieren Sie Europa Direkt

  •  über die gebührenfreie Rufnummer: 00 800 6 7 8 9 10 11 (manche Telefondienstanbieter berechnen allerdings Gebühren),
  •  über die Standardrufnummer: +32 22999696,
  •  über das folgende Kontaktformular: european-union.europa.eu/contact-eu/write-us_de.

INFORMATIONEN ÜBER DIE EU

Im Internet
Auf dem Europa-Portal finden Sie Informationen über die Europäische Union in allen Amtssprachen (european-union.europa.eu).

EU-Veröffentlichungen
Sie können EU-Veröffentlichungen einsehen oder bestellen unter op.europa.eu/de/publications. Wünschen Sie mehrere Exemplare einer kostenlosen Veröffentlichung, wenden Sie sich an Europa Direkt oder das Dokumentationszentrum in Ihrer Nähe (european-union.europa.eu/contact-eu/meet-us_de).

Informationen zum EU-Recht
Informationen zum EU-Recht, darunter alle EU-Rechtsvorschriften seit 1951 in sämtlichen Amtssprachen, finden Sie in EUR-Lex (eur-lex.europa.eu).

Offene Daten der EU
Das Portal data.europa.eu bietet Zugang zu offenen Datensätzen der Organe, Einrichtungen und sonstigen Stellen der EU. Die Datensätze können zu gewerblichen und nicht gewerblichen Zwecken kostenfrei heruntergeladen werden. Über dieses Portal ist auch eine Fülle von Datensätzen aus den europäischen Ländern abrufbar.