Langsam wird es eng für die Macher der Luca-App: Seit Wochen mehrt sich die Kritik an der von Hiphoper Smudo prominent präsentierten App zur Verfolgung von Kontakten, die ein mit dem Coronavirus infizierter Smartphone-Nutzer hatte, bevor die Infektion festgestellt wurde, und die er folglich angesteckt haben könnte.
Auch wenn es im Prinzip in beiden Fällen darum geht, welche Personen sich im fraglichen Zeitraum über den Weg gelaufen sind, ist die Funktionsweise der beiden Tools doch ganz unterschiedlich: Während die Corona-Warn-App einen dezentralen Ansatz verfolgt, Begegnungen nur anonymisiert mit einem Code protokolliert und ausschließlich auf dem Smartphone der Nutzer speichert, gibt es bei der Luca-App eine zentrale Speicherung, die beispielsweise Rückschlüsse darauf zulässt, wer alles zu einer bestimmten Zeit an einem bestimmten Ort war. Unterm Strich ist die Luca-App nicht mehr und nicht weniger als die Digitalisierung der Papierlisten, wie sie im vergangenen Sommer am Eingang zahlreicher Gastronomiebetriebe lagen – bestenfalls noch verbunden mit dem darüberliegenden Sichtschutz, der verhindern soll, dass neue Gäste die Namen der übrigen Gäste sehen können.
Datenschützern ist dies schon seit Wochen ein Dorn im Auge, doch zunächst konnten die Befürworter der Luca-App damit argumentieren, dass diese Check-in-Funktion per QR-Code von der Corona-Warn-App nicht abgedeckt wird. Das ist inzwischen seit Mitte April aber auch Geschichte (Version 2.0.x). Und selbst das Erstellen entsprechender Veranstaltungs-QR-Codes ist so intuitiv, dass es wohl jeder Veranstalter, Geschäfts- oder Restaurantinhaber hinbekommt, sobald es dazu mal wieder die Gelegenheit gibt. Übrigens sind die so erstellten QR-Codes mit denen der Luca-App kompatibel, die Check-ins der Nutzer selbst sind dies freilich nicht.
Staat investiert über 20 Millionen Euro in die Luca-App
Und an dieser grundsätzlich unterschiedlichen Art des Trackings scheiden sich auch die Geister. Zahlreiche Bundesländer haben für insgesamt mehr als 20 Millionen Euro Jahreslizenzen der Luca-App erworben: 5,5 Millionen aus Bayern, 3,7 Millionen aus Baden-Württemberg, zwei Millionen aus Hessen, eine aus Sachsen-Anhalt, darüber hinaus ist Geld aus Niedersachsen, Schleswig-Holstein, Bremen, Hamburg, Mecklenburg-Vorpommern, Berlin, Brandenburg und Sachsen-Anhalt mit im Boot. Kritisiert wird dabei nicht nur die intransparente Vergabepraxis.
Denn während inzwischen vor allem die Politiker selbst sich für die Luca-App stark machen oder sie zumindest zu rechtfertigen versuchen, haben beispielsweise über 70 deutsche IT-Sicherheitsexperten in einer gemeinsamen Stellungnahme die Luca-App kritisiert. Das Schreiben, über das Zeit Online zuerst berichtete, befürwortet prinzipiell den Einsatz digitaler Werkzeuge zur Kontaktverfolgung, spricht sich jedoch hier vor allem für die ja bestehende dezentrale Corona-Warn-App aus. Die Grundprinzipien Zweckbindung, Transparenz, Freiwilligkeit und Risikoabwägung bei der Datenerfassung würden von der Luca-App indes nicht erfüllt. Insbesondere wird die Erfassung von Bewegungs- und Kontaktdaten in großem Umfang und auf einem zentralen Server kritisiert, was ein massives Missbrauchspotential nach sich ziehen könne. „Es ist nicht zu erwarten, dass dies einem Startup, das bereits durch zahlreiche konzeptionelle Sicherheitslücken, Datenleaks und fehlendes Verständnis von fundamentalen Sicherheitsprinzipien aufgefallen ist, besser gelingen sollte“, heißt es in der Stellungnahme.
Und das Argument ist in der Tat nicht von der Hand zu weisen, denn wenn selbst große weltweit agierende Finanzdienstleister, Social-Media-Plattformen und Industrieunternehmen es nicht ausreichend schaffen, die Daten ihrer Kunden zu schützen, dann dürfte gerade ein solches Startup Begehrlichkeiten bei Hackern wecken. Die von den Initiatoren der Luca-App beworbene doppelte Verschlüsselung verhindert schon angesichts der vorhandenen Metadaten nicht das Anlegen von Bewegungsprofilen.
Zahlreiche Sicherheitslücken und Intransparenz
Kein Vertrauen haben die Sicherheitsexperten in die Luca-App noch aus anderen Gründen: So war es schon zu Beginn möglich, Sicherheitslücken aufzufinden (was freilich auch auf andere Programme zutreffen dürfte) und so zumindest für einzelne Nutzer einzelne Touchpoints abzufangen. Das Unternehmen hatte darüber hinaus erst im Laufe der Zeit das System etwas transparenter gemacht. Was bleibt, so die Unterzeichner, ist die Abhängigkeit von einem einzelnen Partner und die damit verbundene Möglichkeit, die Daten pseudonymisiert im Nachgang für kommerzielle Zwecke zu nutzen.
Die Kritik ist nicht neu: Auch der Chaos Computer Club hatte bereits vor Wochen eine „Bundesnotbremse“ für die Luca-App gefordert und ähnliche Gründe und Schwachstellen angeführt wie die genannten Sicherheitsexperten. „In den vergangenen Wochen wurden eklatante Mängel in Spezifikation, Implementierung und korrekter Lizenzierung der Luca-App aufgedeckt. Die nicht abreißende Serie von Sicherheitsproblemen und die unbeholfenen Reaktionen des Herstellers zeugen von einem grundlegenden Mangel an Kompetenz und Sorgfalt“, erklären die Datenschützer und fordern eine Abkehr von der Strategie der Landesregierungen.
Jetzt hat sich auch der Landesdatenschutzbeauftragte von Mecklenburg-Vorpommern in die Debatte eingeschaltet. Die Landesdatenschützer sehen grundsätzlich keinen Grund, vor der App zu warnen, geben aber zu, dass entscheidende Punkte beim Datenschutz immer noch offen seien. Zuständig dafür seien aber nicht sie, sondern die Kollegen in Berlin, weil die Firma dort ihren Hauptsitz hat.
Welche Daten brauchen die Gesundheitsämter wirklich?
Problematisch ist all das aber auch noch aus einem juristischen Grund: Denn viele Unternehmen nutzen die App bereits verpflichtend für Kunden (etwa Ikea) und die Gesundheitsämter sollen personenbezogene Daten bekommen, die ihnen in der kumulierten Form die Corona-Warn-App nicht liefern kann. Eine rein dezentrale und anonymisierte Lösung ist nämlich gemäß der Corona-Verordnungen der Länder nicht vorgesehen. Welche Daten die Gesundheitsämter aber genau benötigen, dazu haben weder diese noch das Robert Koch-Institut (RKI) nähere Angaben gemacht. Gegebenenfalls müsste hier eine entsprechende Gesetzesänderung her, damit wir in diesem Sommer nicht wieder in das Zeitalter der Teilnehmerlisten auf Papier (mit nicht verifizierbaren Fantasienamen) zurückfallen.
Bemerkenswert ist allerdings auch, dass außerhalb der IT- und Digital-Bubble auch die Corona-Warn-App in der Wahrnehmung, was den Datenschutz betrifft, denkbar schlecht wegkommt. Eine Untersuchung der Privathochschule Hertie School belegt jetzt, dass unter den Anwendern, die die App nicht nutzen, 15 Prozent besorgt um den Datenschutz der App sind – jeweils mit ziemlich gleicher Bewertung von Corona-Warn-App und Luca-App. Immerhin 79 Prozent der Befragten kennen die Corona-Warn-App, 38 Prozent haben sie selbst auf dem Smartphone und nutzen sie. Unter den Nichtnutzenden glauben aber 57 Prozent, dass sie nichts bringe. Es bleibt viel zu tun für das Image von Tracing-Apps. Die anhaltende Kritik an der Luca-App und das Festhalten an ihr seitens der Politik könnte somit auch der Akzeptanz der (ebenfalls mit dem Staat in Verbindung gebrachten) Corona-Warn-App schaden.
Nicht reden, machen! Getting things done!
Die Luca-App ist nicht perfekt, aber es gibt sie seit letztem Jahr im Gegensatz zur entsprechenden Corona-App Funktion. Diese App frühzeitig zu benutzen hätte Leben gerettet und die ewigen Lockdowns reduziert. Zu warten bis alles perfekt ist und keiner mehr was zum Meckern findet, ist nicht das Gebot der Stunde, Herr Weidemann.
@Josef:
-Luca: Wenn ich mit 2000 anderen in einem Tiergarten bin, und einer ist positiv, bekommt das Gesundheitsamt 2000 Datensätze. Was machen die wohl damit? Ignorieren, weil aussagelos.
-Corona Warn App: Wenn ich mit 2000 anderem in einem Tiergarten bin, meldet die App nur positiv, wenn ein Infizierter in meinem Bluetooth-Umkreis von ein paar Meter war.
Welche der beiden Systeme macht nun mehr Sinn?