„Wir erwarten eine hohe Akzeptanz“
Corona-Pandemie: Die Länder Niedersachsen und Bremen setzen bei der elektronischen Kontaktnachverfolgung auf die Luca-App. Sicherheitsexperten kritisieren die Macher.
Von Ulf Buschmann
Luca ist da – nicht als Sensationsgeburt, sondern als Instrument zur elektronischen Kontaktnachverfolgung. Die Luca-App aus Berlin erlebt zurzeit einen Hype, nachdem Smudo von den Fantastischen Vier das Produkt Anfang des Jahres in der ARD-Talkshow „Anne Will“ vorstellte. Sein Credo: Die Luca-App sei im Gegensatz zur von SAP und der Telekom entwickelten Corona- Warn-App in der Lage, Kontakte schnell nachzuverfolgen. Möglich sei dies durch eine verschlüsselte zentrale Speicherung der Nutzerdaten.
Inzwischen ist die Luca-App in allen Bundesländern im Einsatz. Laut einer Darstellung auf der Seite des Start-ups „culture4life“ sind auch Niedersachsen und Bremen dabei. Beide Länder haben einen zunächst auf ein Jahr befristeten Rahmenvertrag mit „culture4life“ geschlossen. Die niedersächsische Landesregierung lässt sich dies nach eigenen Angaben rund drei Millionen Euro kosten. Bremen hat laut einer Meldung des Radio Bremen-Magazins „buten und binnen“ 257.000 Euro auf den Tisch gelegt. Dies habe ein Sprecher des Bremer Finanzsenators Dietmar Strehl (Grüne) mitgeteilt.
Popularität und Einheitlichkeit
Mit im Boot sind auch die Landkreise im Nordwesten. Dies hat eine standardisierte Umfrage der Nord West Reportagen ergeben. Die meisten Landkreise nutzen die Möglichkeit der Rahmenlizenz des Landes mit „culture4life“. Warum gerade die Luca-App das Rennen in Sachen elektronischer Kontaktnachverfolgung gemacht hat, bringt der Landkreis Cuxhaven in seiner Antwort stellvertretend gut auf den Punkt: „Wir haben uns für diesen Anbieter entscheiden, weil wir durch die Bekanntheit der Anwendung und der Verwendung in vielen Bundesländern eine hohe Akzeptanz erwarten.“ Der Landkreis Diepholz schreibt, dass er „die Entscheidung für ein landesweit einheitliches System“ begrüße.
Schneller als das Land war die Stadt Oldenburg gewesen. Auf unsere Frage „Wenn Sie die Luca-App nutzen: Greifen Sie auf das Angebot des Landes Niedersachsen zurück, das einen einjährigen Vertrag mit den Herstellern geschlossen hat?“ antwortet Sprecher Stephan Onnen: „Nein, die Stadt Oldenburg hat eigenständig und unabhängig vom Land Niedersachsen eine Vereinbarung mit den Anbietern der Luca-App geschlossen. Wir haben das als Angebot für die Oldenburger Wirtschaft von uns aus angeschoben.“
Andere Apps fallen runter
Die Diskussion über die elektronische Kontaktnachverfolgung war insbesondere deshalb in Gang gekommen, weil die im Auftrag des Bundes entwickelte Corona-Warn-App bislang nicht dazu in der Lage war. Kneipen, Restaurants, Sportvereine und Kirchen führten deshalb pandemiebedingt Gästelisten auf Papier. Die Luca-App pries Smudo bei „Anne Will“ denn auch als eine Möglichkeit aus dem Lockdown an – und alle sprangen auf diesen Zug auf.
Dass andere auf dem Markt befindliche Apps zur Kontaktnachverfolgung beziehungsweise die Entwickler dahinter weitgehend auf der Strecke blieben, ist bislang eher am Rande zur Sprache gekommen. Dabei werfen die Suchmaschinen diverse Angebote aus. Hierzu zählen zum Beispiel „Vida“, „shapefruit“, „revover“ und „darfichrein“. Pikant dabei: „darfichrein“ ist bei einem sogenannten Hackaton der Bundesregierung im vergangenen Sommer entstanden. Und nicht nur das: Die Konkurrenten der Luca-App haben sich schon vor Wochen im Bündnis „Wir für Digitalisierung“ zusammengeschlossen. In diesem Portal sind über 30 Angebote beziehungsweise Apps zur Kontaktnachverfolgung aufgelistet.
Dass das Land Bremen fast 260.000 Euro für die Lizenz der Luca-App auf den Tisch legt, erzürnt auch Menschen in Bremen. Hintergrund: Die Bremer Gastrogemeinschaft hatte ebenfalls frühzeitig eine eigene App zur elektronischen Kontaktnachverfolgung mit Namen „Gast Bremen“ entwickeln lassen. Dafür gab es einen Zuschuss von der Senatorin für Wirtschaft, Arbeit und Europa.
Sicherheitsexperten sorgen sich
Doch nicht nur aus der Richtung gibt es Gegenwind für die Macher der Luca-App. Auch Sicherheitsexperten raufen sich angesichts der Architektur dahinter die Haare. „Gemeinsame Stellungnahme zur digitalen Kontaktnachverfolgung“ nennen sie das Dokument, das inzwischen von 460 Fachleuten unterschrieben ist. Die elektronische Kontaktnachverfolgung sei ein Instrument, die Corona-Pandemie in den Griff zu bekommen. Dieses hätten vor einem Jahr bereits 600 Wissenschaftler weltweit in einem offenen Brief an ihre Regierungen deutlich gemacht.
„Dabei wurde die Einhaltung grundlegender Entwicklungsprinzipien gefordert, die in Deutschland mit der Corona-Warn-App größtenteils vorbildlich umgesetzt wurden“, heißt es in der aktuellen Stellungnahme. Die Wissenschaftler nennen Zweckbindung, Offenheit und Transparenz, Freiwilligkeit sowie Risikoabwägung . „Das bereits in vielen Bundesländern eingesetzte LUCA-System erfüllt keine dieser Prinzipien“, urteilen die Sicherheitsexperten.
Der renommierte Chaos-Computer-Club (CCC) stimmt in das Lied der Sicherheitsexperten mit ein – und forderte in einer Mitte April veröffentlichten Mitteilung eine „Bundesnotbremse“ für die App aus Berlin: „Zweifelhaftes Geschäftsmodell, mangelhafte Software, Unregelmäßigkeiten bei der Auftragsvergabe: Der Chaos Computer Club (CCC) fordert das sofortige Ende der staatlichen Alimentierung von Smudos Steuer-Millionengrab ,Luca-App’.“
Eine Mail-Anfrage der Nord West Reportagen bei „culture4life“ zu den Vorwürfen und Zweifeln bleibt unbeantwortet. Auch telefonisch ist niemand erreichbar. „Die Mailbox des Teilnehmers ist voll“, lautet die elektronische Ansage.
Stellungnahme der Datenschützer
Und was sagen die Datenschützer? Die Verantwortlichen der Länder treffen sich regelmäßig im Rahmen der bundesweiten Datenschutzkonferenz (DSK). In der letzten Zusammenkunft ging es noch einmal um die elektronische Kontaktnachverfolgung, namentlich um die Luca-App. Die Datenschützer mahnen, „dass trotz einer dem Grunde nach tragfähigen Konzeption des Luca-Systems weitere technische Schutzmaßnahmen zur Verhinderung von sich aus missbräuchlichen Nutzungen ergebenden Risiken als erforderlich anzusehen sind.“
Und: „Angesichts der jüngst erfolgten funktionalen Erweiterung der Corona-Warn-App (CWA) hebt die DSK in der Entschließung ,Chancen der Corona-Warn-App 2.0 nutzen’ die mit der Nutzung der CWA verbundenen datensparsameren Möglichkeiten der Clustererkennung und Kontaktbenachrichtigung hervor und appelliert an die Länder, die CWA in ihre Konzepte zur Pandemiebekämpfung einzubinden sowie deren Nutzung zu fördern.“
So funktioniert die elektronische Kontaktnachverfolgung
Apps zur elektronischen Kontaktnachverfolgung funktionieren nach dem gleichen Prinzip: Besucher scannen beim Besuch von Hotels und Restaurants, bei Veranstaltungen oder beim Sport einen QR-Code. Dieser wird im Prinzip verschlüsselt gespeichert – entweder wie bei der Luca-App auf einem zentralen Server oder wie inzwischen auch möglich bei der Corona-Warn-App auf dem Smartphone. Wer kein solches Gerät hat, gibt seine Daten vor Ort an. Diese werden dann zum Beispiel per PC oder Laptop erfasst. Im Falle einer Covid-19-Infektion gibt es eine sogenannte Schnittstelle zu den jeweils zuständigen Gesundheitsämtern. Welche App in ihrem Bereich zum Einsatz kommt, kann die Behörde nicht vorschreiben.