Die App „Luca“ sowie Sänger Smudo sind derzeit in aller Munde. Die Lösung soll im Kampf gegen das Coronavirus helfen, Geschäfte, Restaurants oder sogar Konzerte wieder schrittweise sicher zu öffnen. Neben Lob – unter anderem vom baden-württembergischen Landesdatenschutzbeauftragten Dr. Stefan Brink – gibt es aber auch einige Kritik.
Der Inhalt im Überblick
Warum „Luca“?
Die Luca-App bietet den Vorteil, dass sich Nutzer nicht mehr mit Anschrift und Telefonnummer in Listen eintragen müssen, sondern die hinterlegten Daten beim Besuch von Theatern oder Restaurants mittels eines ständig wechselnden QR-Codes übermittelt werden. Die Daten werden auf dem Smartphone des Nutzers gespeichert und über den QR-Code mit dem Gastwirt oder Event-Anbieter ausgetauscht. Ein Zugriff auf die persönlichen Daten des Nutzers ist erst mit dessen ausdrücklicher Einwilligung möglich. Selbst der App-Betreiber kann nicht auf die Nutzerdaten zugreifen.
Vorreiter Mecklenburg-Vorpommern
Mecklenburg-Vorpommerns Ministerpräsidentin Manuela Schwesig (SPD) kündigte Ende letzter Woche an, dass man die App als erstes Bundesland flächendeckend, freiwillig und „kostenlos“ in allen Bereichen einsetzen will und so die „Zettelwirtschaft“ beenden werde. Die Landesregierung zahle die Lizenzgebühren für die Betreiber und für Menschen ohne Smartphone bestünde die Möglichkeit sich über einen Schlüsselanhänger „im Einzelhandel, Restaurant oder Fitness-Studio“ einzuloggen. Das Bundesland hat zwischenzeitlich eine Lizenz für „Luca“ erworben. Die Lizenz und der Betrieb für ein Jahr sollen insgesamt 440.000 Euro kosten.
Auch andere sind begeistert
Neben Mecklenburg-Vorpommerns Ministerpräsidentin Manuela Schwesig sind auch andere Politiker von der App des Berliner Start-Ups Nexenio begeistert. So setzte sich etwa Armin Laschet, der Ministerpräsident von Nordrhein-Westfalen, ebenfalls verstärkt für die Luca-App ein.
Unterstützung bekommt „Luca“ auch von vielen Forschern. Ute Teichert, die Direktorin der Akademie für öffentliches Gesundheitswesen, hält die App für „eine ideale Ergänzung“ zur Corona-Warn-App. Der Nutzer „kann laufend über QR-Codes persönliche Aufenthaltsorte und Begegnungen dokumentieren“ und so eine Art „digitales Kontakttagebuch“ erstellen. Teichert sieht einen Vorteil von „Luca“ insbesondere darin, dass Cluster-Zusammenhänge leichter entdeckt werden können:
„So lassen sich Superspreader schnell erkennen. Die vergangenen Monate haben gezeigt, dass Vollständigkeit der Daten und Geschwindigkeit die beiden entscheidenden Parameter im Kampf gegen die Pandemie sind.“
Auch der Datenschutz wird von Teichert gelobt: „in puncto Datenschutz befindet sich die App auf der sicheren Seite“, da der Nutzer die Datenhoheit behält und die Daten von „Luca“ verschlüsselt gespeichert werden.
Auch der baden-württembergische Landesdatenschutzbeauftragte, Dr. Stefan Brink, spricht „Luca“ viel Lob aus und bescheinigt ihm einen hohen Datenschutz-Standard:
„Als Datenschützer unterstütze ich die „Luca“-App aus voller Überzeugung. Dieses Tool ist eine wertvolle Ergänzung der bisherigen staatlichen Schutzmaßnahmen zur Nachverfolgung von Kontakten während der Pandemie. Wir haben die App technisch und rechtlich geprüft. Die App erfüllt unsere hohen Datenschutz-Standards. Die Dokumentation der erfolgten Kontakte wird auf technisch höchstem Stand verschlüsselt und es liegt allein in der Hand des Luca-Nutzers, ob, wann und mit wem er diese sensiblen Daten teilen möchte.“
Der frühere Datenschutzbeauftragte von Schleswig-Holstein, Dr. Thilo Weichert, lobte „Luca“ ebenfalls und betonte, dass er in den kurzzeitig wechselnden QR-Codes einen zusätzlichen Schutz der Nutzerdaten sehe.
Diese positiven Rückmeldungen haben in der letzten Woche zu einer intensiven Diskussion über die Einführung von „Luca“ als bundesweit einheitliche Lösung geführt.
Vorteile von „Luca“ als einheitliche Lösung
Bei einer bundesweiten Einführung von „Luca“ als einheitliche Lösung, gäbe es, wenn der Nutzer überall mit der App ein- und auscheckt, detaillierte Bewegungsprofile und damit genug Informationen um nachzuvollziehen, wo sie ein Identifizierter angesteckt haben könnte. Die von „Luca“ 14 Tage gespeicherten Daten zum Aufenthaltsort verbunden mit Name, Anschrift und Telefonnummer von Nutzern könnten mit Zustimmung des Infizierten an Gesundheitsämter übermittelt werden, um eine möglichst reibungslose Bearbeitung zu gewährleisten. Die Gefahr der zusammenhangslosen Erhebung einer Vielzahl von Daten durch verschiedene Apps bestünde bei der Einführung einer einheitlichen Lösung nicht.
Problematisch ist jedoch, dass die Corona-Verordnungen ein solches Vorgehen in den meisten Ländern bisher nicht zulassen.
Gesetzliche Regelungen notwendig
Es sind daher gesetzliche Regelungen auf Bundes- und auf Länderebene notwendig. Die verpflichtende Nutzung einer App ist bisher in keinem Gesetz vorgesehen, weshalb auch die Nutzung der Corona-Warn-App rein freiwillig ist und eben nicht zwingend. Dasselbe gilt auch für „Luca.“ Die Menschen müssen daher weiterhin die Wahl haben die App zu installieren oder die Papierform zu nutzen, so das Gesundheitsministerium von Nordrhein-Westfalen.
Zudem ist offen, wie hoch die Nutzungsbereitschaft von „Luca“ in der Gesellschaft ausfallen würde.
Nur nichts überstürzen
Im Zuge der Diskussion über die bundesweite Einführung von „Luca“ als einheitlich Lösung meldeten sich auch kritische Stimmen zu Wort. So warnten die in der Initiative „Wir für Digitalisierung“ organisierten Softwarefirmen vor einer allzu raschen Festlegung auf „Luca“.
Statt sich auf eine Lösung festzulegen, strebt die Initiative vielmehr eine „kollaborative, offene und gemeinsame Schnittstelle“ an. An diese könnten sich alle Kontaktdatenerfassungssysteme anbinden, darunter auch „Luca“. Über eine einheitliche Schnittstelle könnten die Kontaktdaten der verschiedenen Erfassungslösungen anschließend an Systeme der Gesundheitsämter übermittelt werden.
Fehlende Transparenz
Neben einer überstürzten Festlegung auf die App bemängeln einige Datenschützer auch die fehlende Transparenz von „Luca“. Insbesondere wird kritisiert, dass „Luca“ den Code nicht als Open Source zur Verfügung stellt. Transparenz sei eine Grundvoraussetzung, um das Vertrauen der Nutzer zu gewinnen. Die Einschätzung der Sicherheit von „Luca“ setzt eine genaue technische Systembeschreibung, den Quellcode und weitere Details voraus, so Dr. Tibor Jager, Professor für IT-Sicherheit und Kryptographie an der Bergischen Universität Wuppertal. Ohne entsprechende Informationen ist eine Prüfung, ob die App ihre Versprechen hält durch Experten oder fachkundige Nutzer nicht möglich.
Noch kein Ende der Zettelwirtschaft
Die Diskussion um „Luca“ ist noch nicht beendet. Die App bietet freilich einige Vorteile und selbstverständlich freut sich das Datenschützerherz bei so viel Lob von Experten. Jedoch sind noch einige wichtige Punkte, wie die Sicherheit und die gesetzliche Regelung der App-Nutzung, offen die zunächst geklärt werden müssen. Wir werden die weitere Entwicklung jedoch gespannt verfolgen.
Update 29.03.2021:Stellungnahme der DSK
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) hat sich in ihrer Stellungnahme Kontaktnachverfolgung in Zeiten der Corona-Pandemie – Praxistaugliche Lösungen mit einem hohen Schutz personenbezogener Daten verbinden auch ausführlicher mit dem Luca System beschäftigt. Die Ausführungen hören sich überwiegend positiv an. Derweil wird die Kritik aus Fachkreisen, sowohl aus technischer als auch rechtlicher Sicht, lauter.
„Der Datenschutzbeauftragte von Schleswig-Holstein, Dr. Thilo Weichert, lobte „Luca“ ebenfalls und betonte, dass er in den kurzzeitig wechselnden QR-Codes einen zusätzlichen Schutz der Nutzerdaten sehe.“ – Hoppla! Ist Thilo zurück? Frau Maren Hansen ist doch seit ein paar Jahren seine Nachfolgerin :-)
Oh, da hat sich wohl ein Fehler eingeschlichen. Natürlich muss es heißen: „Der frühere Datenschutzbeauftragte von Schleswig-Holstein, Dr. Thilo Weichert, lobte „Luca“ ebenfalls und betonte, dass er in den kurzzeitig wechselnden QR-Codes einen zusätzlichen Schutz der Nutzerdaten sehe.“ Wir haben den Text entsprechend angepasst.
Danke für Euren Bericht, der für mich – der die Luca APP seit Januar beobachtet und ‚testet‘ wieder neue Erkenntnisse bringt. Die vollständige Nutzung der APP erfordert, dass alle Gesundheitsämter mitmachen, da die Luca APP Nutzer überregional handeln.
Bodo Ramelow (Thüringen) erwähnte am 9.3.2021 noch hürden, da der Einsatz noch eine Ausschreibung bedürfte. Ein Portal welches die Daten sammelt/konvertiert und die Daten den Gesundheitsämtern zur Verfügung stellt, würde auch helfen – noch Luca bietet einen Rückkanal – d.h. im Infektionsfall kann über die verifizierte Telefonnummer sofort informiert werden. Zugegeben, mir sind keine anderen KontaktAPPs bekannt, warum auch? Luca bietet das war ich als Anwender brauche. Für Betreiber(Location) gibt es im Backend noch einiges zu verbessern.
Auch Bodo Ramelow (Thüringen) hat sich für die Luca APP ausgesprochen. Eine Festlegung bedarf seiner Meinung nach einer öffentlichen Ausschreibung.
Aus meiner Sicht ist die Luca APP ein vernünftiger Ansatz für eine effiziente und effektive Kontaktnachverfolgung in der Pandemie. Ich frage mich allerdings, warum man diese Möglichkeiten nicht bereits im vergangenen Jahr bei der Entwicklung der Corona-Warn-APP verfolgt hat.
Wenn ich jetzt noch höre, dass vor einer Entscheidung eine öffentliche Ausschreibung erfolgen muss – dem Föderalismus sei dank vermutlich auch noch in jedem der 16 Bundesländer getrennt – frage ich mich wann hier eine Entscheidung fallen soll… Bis dann auch noch die Auffassungen aller Reichsbedenkenträger berücksichtigt werden können, schreiben wir vermutlich das Jahr 2023 und die Pandemie ist (hoffentlich) vorbei oder aber zumindest anderweitig im Griff. Aber das Internet ist ja für uns weiterhin Neuland und Deutschland ein digitaltechnisches Entwicklungsland – ich glaube ich muss mich hiermit einfach abfinden (oder auswandern).
Oh mein Gott, alle Planlos! Zur Erinnerung der „Bund-Länder-Beschluss“ vom 3. März 2021!
Ein Auszug:
11. Die Länder stellen in ihren Verordnungen sicher, dass die verpflichtende Dokumentation zur Kontaktnachverfolgung auch in elektronischer Form, zum Beispiel über Apps erfolgen kann, wenn sichergestellt ist, dass Zeit, Ort und Erreichbarkeit der Kontaktperson hinreichend präzise dokumentiert werden und die Daten im Falle eines Infektionsgeschehens unmittelbar dem zuständigen Gesundheitsamt in einer nutzbaren Form zur Verfügung gestellt werden. Die Länder werden im Rahmen eines bundesweit einheitlichen Vorgehens ein System für die Digitalisierung der Kontaktnachverfolgung gemeinsam auswählen, dringlich vergeben und einführen sowie kostenlos zur Verfügung stellen. Die Länder und der Bund werden hierauf aufbauend das Backend für den Zugang zu den Gesundheitsämtern in das SORMAS-System beauftragen. Aufgrund der verfassungsrechtlichen Kompetenzverteilung und in Analogie zum ELSTER-Portal wird ein Land bestimmt, welches das Backend betreibt. Die Finanzierung des Backends sowie der Anschaffung und des Betriebes des ausgewählten und beauftragten Systems erfolgt für die kommenden 18 Monate durch den Bund.
Alles andere als eine Ausschreibung wäre korrupt.
Die Überschrift zu diesem Bericht ist g….ut ! Allein schon dafür : Danke.
Deutschland wird immer gespenstischer – erst die Masken-Raffkis im Bundestag, jetzt die App-Abzocker – wo soll das alles nur hinführen? Da dürfen Privatpersonen im öffentlich-rechtlichen Fernsehen ungeniert Werbung für eine kommerzielle App machen, die ausschliesslich darauf ausgelegt ist, maximalen Gewinn zu erwirtschaften. Da wird der Wettbewerb außer Kraft gesetzt und andere KontaktApps (von denen es ja einige gibt!) einfach abgeblockt, damit diese eine Firma aus dem SAP-Umfeld freie Bahn zur Gewinnmaximierung hat. Wird unser Land zur Bananenrepublik, in der sich die Starken mit allen (auch illegalen) Mitteln durchsetzen dürfen und alle blindlings hinterher rennen? Da wird einem ja Angst und bange …..
Ohne eine vernünftige datenschutzrechtliche Prüfung der App durch unabhängige, kompetente Organisationen würde ich nicht viel auf die App geben. Und glauben die Anwender wirklich das sich durch diese App Ansteckungen vermeiden lassen ? Das wäre schon sehr naiv, einzig die Kontaktverfolgung wird vereinfacht. Dadurch vermeidet man aber keine weiteren Ansteckungen. Und glaubt wirklich jemand, die Bürger geben in der App ihre korrekten Daten an wenn sie das in Zetteln von Restaurants, etc. anscheined kaum tun ? Last but not least, wie im vorherigen Kommentar beschreiben, darf es keine Schnittstelle geben, die nur einer App zur Verfügung steht. Die Software der Gesundheitsämter muss mit Sicherheit auch anderen Anbiteren als Luca offenstehen, ansonsten dürften sich bei Gerichten in Kürze die ersten Klagen gegen den ausschliesslichen Einsatz der App sammeln.