Das Ende des Luca-Skandals

Verhaltensanalysen, Mustererkennung und warum eine offensichtlich dysfunktionale App Deutschland monatelang beschäftigen konnte

Die Luca-App hat geholfen, wenn auch nur ein wenig. Nach einer Umfrage des Spiegels berichteten die befragten Gesundheitsämter von genau 60 Fällen, in denen die Kontaktnachverfolgung mit Luca erfolgreich war. Dafür haben deutsche Bundesländer über 20 Millionen Euro Steuergelder ausgegeben. Wie konnte es so weit kommen?

Trotz Afghanistan-Krise und Bundestagswahlkampf finden sich zunehmend auch Meldungen über Probleme mit der Luca-App in den Massenmedien. (Hier eine ausführliche Timeline mit Karte.) Das Misstrauen gegenüber der Luca-App wächst: Berliner Datenschützer und Gesundheitsämter üben harsche Kritik, die ehemalige Modellregion Weimar steigt aus, Nordrheinwestfalen überarbeitet seine Coronaschutzverordnung und macht Luca faktisch unnötig, streng genommen sogar verboten, in Rostock beschäftigt sich ein Gericht erneut mit der Ausschreibung, Gesundheitsämter tippen lieber Daten ein, als sich auf Lucas automatische Datenübermittlung zu verlassen. Mehrarbeit ist programmiert.

Experten wie der Chaos Computer Club Freiburg zeigen in Live-Statistiken, dass die Einsatzzahlen, die vom Hersteller und via dpa über Luca verbreitet werden, massivst nach unten korrigiert werden müssen. Von 20 Millionen Usern könne bei Weitem nicht die Rede sein und kaum ein Gesundheitsamt nutzt das Luca-System.

Hessen und das Bundesinnenministerium streiten sich darüber, ob der Steuerzahler auch noch ein Security-Audit für Luca beim Bundesamt für Sicherheit in der Informationstechnik bezahlen soll – über ein halbes Jahr nach der Anschaffung der Software.

Was Experten und Wissenschaftler seit Monaten vorhersagten, ist jetzt messbar geworden: Die Luca-App ist nicht geeignet, eine hilfreiche Rolle in der Kontaktnachverfolgung bei der Pandemiebekämpfung zu spielen, die Anschaffung war maximal überstürzt und unüberlegt.

Merkels Fehler

Aber wie konnte es überhaupt so weit kommen? Dass die Luca-App und ihr Hersteller, das Berliner Startup Nexenio immer wieder auf unglaubliche Weise von Fehlern, Lücken, Missverständnissen, Lügen und Falschaussagen profitieren konnten, liegt sicher an der Kernkompetenz, die viele Analysten Nexenio zugestehen: PR und Marketing. Sicherheitsforscher sind sich sicher: Die "Autobahn ins Gesundheitsamt" (Nexenio-PR) funktionierte leider nie, entgegen allen Versprechen.

Berlins Regierender Bürgermeister Michael Müller, der SPD-Kanzlerkandidat Olaf Scholz, der CDU-Kanzlerkandidat Armin Laschet, diverse Landesfürsten: Zahlreiche Politiker stellten sich hinter die Luca-App.

Erst recht seit Bundeskanzlerin Merkel erklärt hatte, der Bund würde die Kosten übernehmen, wenn sich die Länder auf eine App zur Kontaktnachverfolgung einigten. Beobachter halten es für überaus unglücklich, dass Merkel wenige Tage später ausdrücklich die Luca-App lobend erwähnte.

Auch Malu Dreyer, Ministerpräsidentin von Rheinland-Pfalz, bestätigte: "Bürger, Geschäfte, Betriebe und Kultureinrichtungen könnten die App kostenfrei nutzen, der Bund übernehme für die ersten eineinhalb Jahre die Kosten."

Diese Ansagen trugen dazu bei, dass sich 13 Länder, teils ohne Ausschreibungen für die Anschaffung von Luca entschieden.

Eine andere App zu kaufen, hätte womöglich bedeutet, auf den Kosten sitzenzubleiben, bei Luca gab es immerhin die Chance, dass der Bund noch dafür aufkommt – jeder gute Politiker würde das für seine Wähler und Steuerzahler so entscheiden.

Nur Gesundheitsminister Spahn war da noch skeptisch, vermutlich weil unter seiner Verantwortung ja die 60 Millionen Steuer-Euro teure Corona-Warnapp entwickelt wurde. Die aber ließ bis Ostern genau das Feature vermissen, das von vielen Seiten schon lange angefragt war: Kontaktnachverfolgung in Restaurants, Kneipen, bei Events – genauer das Einchecken via QR-Code. Spahns Nichtstun eröffnete den Markt für die fehlerbehaftete Luca-App.

Ausschreibungskriterien

Doch damit die Luca-App (abseits von, aber auch in Ausschreibungen) erfolgreich sein konnte, musste sie noch mehrere Hürden nehmen, die die Konkurrenz gerissen hatte. Beispielsweise sollten die Gesundheitsämter automatisiert über die E-Health-Software Sormas angebunden sein, sicher verschlüsselt und für die Bürger mussten Apps in Googles und Apples App-Stores bereitstehen.

Gegen die Entscheidung klagt in Rostock seit Monaten die österreichische Cube GmbH, die selbst eine vergleichbare App am Start hatte, aber "weil Eile geboten war" nicht berücksichtigt wurde.

Gleich mehrere Konkurrenten legten offiziell bei Apple und Google Beschwerde ein, weil sie das Wettbewerbsrecht verletzt sahen angesichts der Formulierungen und Beschreibungen, die der Hersteller in den Appstores verwendet hatte.

Mehrere solcher Schreiben liegen der Telepolis-Redaktion vor, Google und Apple reagierten nicht. Mittlerweile haben nicht nur Berliner Datenschützer und Gesundheitsämter nachgewiesen, dass die Verschlüsselung der Luca-App nicht funktioniert und selbst versierte Anwender überfordert. Auch Äußerungen der Entwickler sorgten für Zweifel an der Krypto-Kompetenz des Herstellers (z.B. "doppelt verschlüsselte Keys").

Und SORMAS? Konkurrenten wie die App "Recover" vom Hersteller Railslove konnten Ihre Apps schon früh im Januar in die API integriereren.

Koos hatte Screenshots der Unternehmenssuchmaschine NorthData getwittert, die Geschäftsbeziehungen von Nexenio zeigte, in denen sich eine falsche Verbindung eingeschlichen hatte.

Aber auch ein genauer Blick auf die Ausschreibungen wirft mehr Fragen auf als er beantwortet. Schon im April berichtet Netzpolitik.org detailliert darüber, wie sich die 20 Millionen für Luca verteilen und wer die Verhandlungen führte: "Ende März folgten zehn weitere Bundesländer, für die der IT-Dienstleister Dataport die Verhandlungen mit Luca geführt hat."

Dataport ist "der Informations- und Kommunikations-Dienstleister der öffentlichen Verwaltung für die vier Bundesländer Hamburg, Schleswig-Holstein, Bremen und Sachsen-Anhalt sowie für die Steuerverwaltungen in Mecklenburg-Vorpommern und Niedersachsen, es gehört zu seinem Aufgabenbereich, solche Abschlüsse zu ermöglichen.

Schulcloud mit Verhaltensanalyseexperten

Nexenio ist eine Ausgründung des Hasso-Plattner-Instituts, genauer von Direktor und Geschäftsführer Professor Christoph Meinel, der schon mal per E-Mail an seinem Institut für Jobs bei Nexenio wirbt, ohne auf seine finanzielle Beteiligung zu verweisen.

Wie seine noch auf der Nexenio-Webseite erwähnten "Co-Gründer" Hennig und Berger hält er immer noch Anteile an Nexenio, faktisch also auch an der Luca-App-Firma Culture4life1.

Zusammen mit ihrem Professor haben die beiden Doktoranden eine lange Liste an akademischen Papers verfasst, fast ausschließlich aus dem Bereich social profiling, Vorhersage von Verhalten in sozialen Netzwerken, aber auch Emotionsanalysen und Sentiment Analysis (Beispiel Hennig, siehe Abbildungen)

Bild 1 von 2

Abbildungen (2 Bilder)

Nach der Kooperation mit der Bundesdruckerei rund um den sicheren Cloudspeicher Bdrive (2019) schaffte es Nexenio auch in die HPI-Schulcloud, wo die Firma mit der Expertise in der Verhaltensanalyse in Verträgen als externer Datenverarbeiter aufgeführt ist (Beispielverträge: Hedwig-Bollhagen-Gymnasium, Gutenberg Oberschule, Heinrich-Mann-Gymnasium Erfurt ...).

Nexenio erhalte "pseudonymisierte nutzungsbezogene Daten". Im November 2020 übernahm Dataport (zusammen mit seinen Partnern Bechtle, Ionos und Capgemini) Betrieb, Support und Weiterentwicklung der Schulcloud vom HPI (Interview mit Prof. Meinel und Dataport-CEO Bizer).

Nach vier Jahren Förderung durch den Bund übernahm im Juli 2021 Dataport die HPI-Schulcloud mit über 4.000 Schulen und 1,4 Millionen Lehrkräften, Schülern und Schülerinnen.

Mustererkennung

Wie aber konnten so viele seltsame Zufälle dafür sorgen, dass ein "Startup", das vermutlich schon bei den ersten ernsthaften Tests, die bei Anschaffungen der öffentlichen Hand üblich wären, aus der engeren Wahl herausgefallen wäre, mehr als 20 Millionen Euro einsammeln konnte?

Vielleicht liegt es an der wahren Kernkompetenz der Luca-Macher: Sie verstehen es, ein System zu ihren Gunsten zu nutzen, so wie es erfolgreiche Populisten wie Donald Trump oder Minister wie Andreas Scheuer schaffen.

Vielleicht hat sich Armin Laschet am US-Präsidenten ein Beispiel genommen. Die Bekenntnisse des CDU-Kanzlerkandidaten zur Luca-App gipfeln dieser Tage darin, dass er zwar "mit Smudo telefoniert" hat, aber den NRW-Grünen nicht sagen will, worüber.

Auch Andreas Scheuer ist ja noch immer im Amt. Er ist übrigens womöglich schuld daran, dass es keinen Luca-Untersuchungsausschuss geben wird. Zu klein ist die Summe von 20 Millionen, erklären Bundestagsabgeordnete. Einen Untersuchungsausschuss, den gebe es erst ab ein paar hundert Millionen Schaden.