Seite 2: Was ist die Luca-App?

Inhaltsverzeichnis

Die Luca-App soll Papierlisten zur Erfassung von Kontaktdaten digitalisieren und die Kontaktverfolgung erleichtern. Nutzerinnen und Nutzer können in der Smartphone-App Namen, Telefonnummer und E-Mail-Adresse eingeben und anschließend dort via QR-Code einchecken, wo sie sonst auch ihre Daten hinterlassen müssten. Denn die Corona-Schutzverordnungen der Länder sehen vor, dass beispielsweise in der Gastronomie die anwesenden Personen dokumentiert werden müssen. Die App soll den Gesundheitsämtern ermöglichen, im Infektionsfall Kontaktpersonen schneller zu finden, weil sie die Daten digital bekommen.

Das Sicherheitskonzept verspricht dabei, dass die Daten doppelt verschlüsselt werden – einmal mit einem Schlüssel des Gesundheitsamts und ein weiteres Mal mit dem Schlüssel des Gastgebers. Greift ein Gesundheitsamt auf einen Datensatz zu, werden die darin auftauchenden Nutzerinnen und Nutzer außerdem in der App gewarnt – und sollen sich idealerweise schon isolieren können, noch bevor das Gesundheitsamt sie offiziell kontaktiert. Einen solchen Rückkanal besitzen bisher nur die CWA und Luca.

Wo wird die Luca-App bereits eingesetzt?

Die Luca-Betreiber sprechen Stand Mitte April von vier Millionen Registrierungen in der App und 81.000 Standorten, die den Check-In anbieten. Auf der Seite der Gesundheitsämter seien demnächst 300 von insgesamt 375 an das Luca-System angeschlossen. Doch nicht alle von ihnen nutzen schon eine Kontaktverfolgungs-Software wie Sormas, in die die Luca-Daten direkt eingespeist werden können – denn die Sormas-Einführung hinkt immer noch hinterher. Als gesamtes Bundesland hatte zuerst Mecklenburg-Vorpommern eine Luca-Lizenz für rund 440.000 Euro erworben, das Land Berlin unterschrieb einen Vertrag über rund eine Million Euro. Inzwischen haben 13 der 16 Bundesländer angekündigt, die App nutzen zu wollen. Teils sind die Verträge bereits unterschrieben, in einigen Bundesländern soll die App zunächst bei "Modellversuchen" einzelner Kommunen eingesetzt werden. Auch in Bundesländern wie Nordrhein-Westfalen ohne Luca-Landeslizenz setzen einzelne Kreise und Städte auf das System.

Nach Recherchen von Netzpolitik.org sind für einjährige Luca-Lizenzen bislang mindestens rund 20 Millionen Euro von den Ländern zugesichert worden. Spitzenreiter ist demnach Bayern, das als eines der letzten hinzugekommenen Länder 5,5 Millionen Euro zahlen soll.

Laut einem Bericht von Zeit Online von Anfang April habe es für den Einsatz von Luca "vielerorts" keine öffentlichen Ausschreibungen gegeben, wie sie normalerweise bei staatlichen Aufträgen vorgeschrieben sind. Eine "Markterkundung" des Landes Mecklenburg-Vorpommern war zu dem Ergebnis gekommen, dass Luca "die beste verfügbare technische Lösung" und mit keinem anderen System vergleichbar sei, weshalb man sich für eine Direktvergabe entschieden habe. Der Vergleich zwischen den Anbietern beruhte laut Zeit Online jedoch nur auf deren Werbematerialien. Nach der Beschwerde eines konkurrierenden Anbieters (siehe unten) prüfe nun die Vergabekammer von Mecklenburg-Vorpommern, ob die Vergaberichtlinien eingehalten wurden.

Soll Luca die CWA ersetzen?

Geht es nach dem Bundesgesundheitsministerium und den Luca-Betreibern, sollen sich die Apps nicht ersetzen, sondern ergänzen. Auf Anfrage bestätigen beide einen Bericht der Süddeutschen Zeitung, dass die QR-Codes, die für den Check-In gescannt werden müssen, künftig sowohl von der CWA als auch von Luca erkannt werden sollen. Damit könnten Nutzerinnen und Nutzer den QR-Code mit einem Scan in beiden Apps hinterlegen. Luca soll nach Betreiberangaben die Funktion Mitte April erhalten, die CWA noch im selben Monat. "Die anonyme Eventregistrierung der CWA ist hauptsächlich für private Events gedacht", ergänzt dazu eine Sprecherin des Gesundheitsministeriums. "Die Luca-App hilft, der Zettelwirtschaft in Restaurants etc. zu begegnen und bei Corona-Fällen schnell das Gesundheitsamt über weitere Kontakte zu informieren." Laut der Dokumentation der Check-In-Funktion der CWA handelt es sich dabei um einen offenen Standard, sodass auch andere App-Anbieter ihre QR-Codes mit der CWA kompatibel machen können.

Welche Kritik gibt es an der Luca-App?

Im Februar hatte der baden-württembergische Datentschutzbeauftragte, Stefan Brink, der Luca-App einen "hohen Datenschutz-Standard" bescheinigt. Danach wuchs jedoch die Kritik – auch, weil ein detailliertes Sicherheitskonzept und die versprochene Quellcode-Veröffentlichung zunächst auf sich warten ließen. Eine Analyse von ZEIT ONLINE kam zu dem Schluss: "Luca ist leider auch keine Lösung". Zu intransparent und lückenhaft sei das Verschlüsselungskonzept, zu riskant die zentrale Datenhaltung, bemängelten Sicherheitsexperten und Datenschützerinnen.

Auch Forscherinnen und Forscher von der Hochschule EPFL in Lausanne, die teils CrowdNotifier mitentwickelt haben, kritisieren Luca in einem ausführlichen Papier: Das System sei zu stark auf den zentralen Server der privaten Betreiberfirma ausgerichtet, auf dem alle gesammelten Daten zusammenlaufen. Dort sei es trotz Verschlüsselung prinzipiell möglich, Nutzerinnen und Nutzer zu tracken, beispielsweise über die IP-Adressen ihrer Smartphones, und dies mit pseudonym gespeicherten Daten zu verknüpfen. So könnten unter anderem Bewegungsprofile erstellt werden. Das alles berge Missbrauchspotenzial für Angreifer, staatliche Stellen oder gar kommerzielle Interessen, und mögliche Datenlecks könnten zu sozialer Stigmatisierung führen.

In einer Stellungnahme zu den Vorwürfen, die heise online vorliegt, betonen die Luca-Betreiber, dass bei einer Einführung auf Landes- oder gar Bundesebene nicht mehr ihr Unternehmen Nexenio, sondern die Bundesdruckerei die Vergabe von Schlüsseln an die Gesundheitsämter übernehme. Um an Kontaktdaten im Klartext zu kommen, müssten staatliche Stellen aber mehrere Schlüssel gleichzeitig abgreifen, wofür die Betreiber ein gesetzliches Verwertungsverbot für denkbar halten.

Zum Thema IP-Adressen erklären die Betreiber: "Das Luca-System nutzt solche Metadaten nicht zur Deanonymisierung der Nutzer." Dies widerspreche dem eigenen Kryptokonzept. Allerdings sei ein Missbrauch "bei quasi jeder Browser- oder App-Nutzung theoretisch möglich." Die EPFL-Studie sieht die Privatsphäre von Infizierten besonders in Gefahr, weil der Luca-Server erfahre, wer seine Kontakthistorie mit dem Gesundheitsamt teile und welche Aufenthaltsorte abgefragt werden - wobei die Luca-Betreiber in ihrer Antwort schreiben, solche Anfragen beträfen nicht zwingend nur Infizierte. Dennoch sieht die Studie in diesem Wissen Missbrauchs- und Erpressungspotenzial. In Zukunft wollen die Luca-Entwickler nun nachbessern und auf wechselnde User-IDs setzen, um eine Identifizierung zu erschweren. Auf weitere Kritikpunkte antworten sie lediglich, dass bei sensiblen politischen oder religiösen Treffen schließlich auch Papierlisten verwendet werden könnten – und behaupten, dass manche Datenbanken der Gesundheitsämter "teilweise deutlich schlechter geschützt" seien als das Luca-System.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.

Umfragen immer laden Umfrage jetzt laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Inzwischen hat sich unter den Datenschutzbehörden der Länder eine Arbeitsgruppe gebildet, die sich dem Thema digitale Kontaktverfolgung annehmen und Anforderungen an Check-In-Apps formulieren soll. Federführend ist Berlin, wo auch Nexenio seinen Sitz hat, beteiligt sind außerdem die Datenschutzbehörden aus Nordrhein-Westfalen, Rheinland-Pfalz, Mecklenburg-Vorpommern und Baden-Württemberg. In einer gemeinsamen Stellungnahme der Konferenz der deutschen Datenschutzbehörden (DSK) haben sie Ende März die Kritik an der zentralisierten Struktur von Luca bekräftigt. Es bestehe das "Risiko" einer "schweren Beeinträchtigung für die Einzelnen und das Gemeinwesen", weswegen man mit den Betreibern eine dezentrale Speicherung erörtern wolle.

Mitte April haben IT-Expertinnen und -Experten um Bianca Kastl und Tobias Ravenstein eine Sicherheitslücke in Luca-Schlüsselanhängern aufgedeckt, durch die sie die Kontakthistorie einzelner Nutzer vollständig auslesen konnten. Die Anhänger mit aufgedrucktem QR-Code sollen Luca auch ohne Smartphone nutzbar machen; die Lücke wurde nach Betreiberangaben umgehend geschlossen. Trotzdem forderte der Chaos Computer Club anschließend den sofortigen Stopp der Luca-App, da diese zu viele technische Mängel aufweise, die Vergabe intransparent und das Geschäftsmodell "zweifelhaft" sei.

Ende März haben die Luca-Entwickler parallel zu der Kritik begonnen, ihren Quellcode auf der Plattform GitLab zu veröffentlichen. Bis Mitte April wurden nach der Android-App auch die iOS-Version und als letztes auch die Web- und Serverkomponenten des Systems offengelegt. Unabhängige Untersuchungen des Codes stehen derzeit allerdings noch aus.