Luca-App – warum sich Rapper besser für Kulturschaffende als für Apps einsetzen

Anfang des Jahres durfte Smudo in keiner Talkshow fehlen. Die Kontaktnachverfolgungs-App eines Start-Ups war zu bewerben – schließlich wollten wir doch auch alle wieder in die drei großen Ks: Kneipe, Kino und Konzerte.
Datenschützern brennt beim Begriff
»Kontaktnachverfolgung« – ohne die pandemiebedingte Notwendigkeit abzustreiten – die Sicherung durch. Schlussendlich ist die »Luca-App« jedoch schlechter als ihr herbeilobbyierter Ruf. Ihr Einsatz kostet unnötigerweise Steuergeld, ist mehrfach erfolgreich angegriffen worden und widerspricht genau den Datenschutz-Grundsätzen, die bei der staatlich beauftragten »Corona-Warnapp« – auch dank des gesellschaftlichen Drucks – sehr gut umgesetzt wurden.

Zu wissen, wann sich wer mit wem wo trifft, ist eine hochinteressante Information. Mit diesen Informationen verdienen Unternehmen wie Google, Facebook und Amazon Geld. Mit diesen Informationen könnten Kriminelle Rückschlüsse darauf ziehen, ob man sich innerhalb der nächsten 2 Stunden in den eigenen vier Wänden aufhalten wird. Mit diesen Informationen könnten Geheimdienste Rückschlüsse ziehen und Druck auf Menschen aufbauen, denen sie ansonsten nicht habhaft werden könnten.
Genau deshalb sind Standortdaten besonders schützenswerte personenbezogene Daten.

Der Datenschutz sagt: Es ist alles verboten – außer das, was erlaubt ist. Diese »Spielregel« gilt auch in der Pandemie. Und zur Eindämmung der Pandemie ist es wichtig, dass die Kontaktpersonen von Infizierten nachvollzogen, informiert und getestet werden können. Diese Notwendigkeit wurde bereits im Frühjahr 2020 erkannt und mit – ja: auch aufgrund der durch den Gegenwind der Datenschützer*innen notwendigen Nachbesserungen – einiger Verspätung im Juni 2020 fertig gestellt.
Wichtig war, dass es keinen zentralen Knotenpunkt (Server) gibt, der alle Kontaktinformationen aller Benutzer*innen kennt. Der Server meldet lediglich die (anonymisierte) Liste der positiv Getesteten und die Geräte prüfen, ob diese sich in Reichweite des eigenen (Bluetooth-)Funksignals befunden haben. Das geht auch nur dort, denn: Informationen über die (Bluetooth-)Kontakte sind lediglich auf den Geräten der mittlerweile 20 Millionen Benutzer*innen gespeichert.

Mit dem Druck zu Öffnungen kam auch die Idee, nicht auf Basis des Bluetooth-Signals, sondern auch auf Basis des gemeinsamen Aufenthaltsortes – also einem Ladenlokal, eines Restaurants oder eines Tagungsortes – die Anwesenden digitalisiert erfassen zu können. Hierzu sollte ein sogenannter Check-In mittels QR-Codes genutzt werden. Und eben hier kam Smudo ins Spiel und warb für die Luca-App – mit Erfolg. Dreizehn Bundesländer – darunter auch Schleswig-Holstein – haben die App gekauft, Gastronom*innen und Einzelhändler*innen die Nutzung in durch die Verordnungen vorgeschrieben und die Gesundheitsämter damit ausgestattet.
Gleichzeitig gab es viel berechtigte Krimtik am Einsatz der App.

Einerseits, werden – anders als die Corona-Warnapp – Daten zentral vorgehalten und die App als auch die zusätzlich eingesetzten Schlüsselanhänger sind angreifbar.
Das rächt sich schnell, als beispielsweise im April herauskam, dass es durch eine Sicherheitslücke mittels eines Fotos der »Luca-Schlüsselanhänger« möglich war, den Bewegungsverlauf der Person bis zu 30 Tage zurückzuverfolgen. Bedenkt man, dass beispielsweise auch Selbsthilfegruppen die Besucher*innen mittels Luca dokumentieren, könnte das durchaus brisant werden. Weitere Fälle von Sicherheitslücken wurden bekannt. Jüngste Entwicklung der »Pannenserie«: durch komplexere Angriffsmethoden wären sogar die Rechner in den Gesundheitsämtern über die Schnittstelle zur App angreifbar gewesen.
Expert*innen vom Chaos Computer Club fordern mittlerweile, die Verträge mit den Betreibern von Luca wegen Schlechtleistung zu kündigen.

Andererseits, weil so eine zweite App-Infrastruktur angeschafft, bezahlt und genutzt werden musste, obwohl die Corona-Warnapp das gleiche Feature – den Check-In mittels QR-Codes am Aufenthaltsort – kurze Zeit später ebenfalls anbot.
Knapp 22 Millionen Euro müssen die Länder für die Luca-App bis Ende 2021 aufbringen, in Schleswig-Holstein war es allein eine Million. Geld, das unnötig einem Start-Up in die Kasse gespült wird und welches am Ende für notwendige Maßnahmen fehlt. Die Landesregierungen hoffen, dass der Bund die Kosten trägt. Besonders an den Kliniken in unserem Kreisgebiet sieht man aber, dass man sich auf Zusagen der unionsgeführten Gesundheitsministeriums nicht verlassen sollte.

Dass es auch anders geht, zeigen immer wieder einzelne Einzelhändler*innen und Gastronom*innen. Viele bieten – zusätzlich zur vorgeschriebene Luca-App – auch die Registrierung per Corona-Warnapp an. Ein Service, der aus Erwägungen des Datenschutzes äußerst positiv zu bewerten ist. Außerdem ist es nahezu in allen Fällen möglich, sich »ganz klassisch« mit Stift und Papier anzumelden.
Vereinzelt soll es auch Fälle gegeben haben, in denen eine Registrierung per Papier aufgrund des »Mehraufwandes« abgelehnt wurde. In diesen Fällen kann jede*r selbst entscheiden, welche Konsequenzen er oder sie daraus zieht.

Quellen: