Niedergang der Luca-App: Daten auf dem Wühltisch

Flap, flap, flap. Wie ein Kartenhaus fällt in diesen Wochen die Daseinsberechtigung für die Luca-App, die Gesundheitsämtern bei der Kontaktnachverfolgung helfen sollte, in sich zusammen. Ein Bundesland nach dem anderen lässt die Verträge mit der zugehörigen Firma culture4life auslaufen oder kündigt sie. Das Unternehmen bietet jetzt schon 50-prozentige Rabatte plus monatliche Kündbarkeit der Verträge an. Die Luca-App, im vergangenen Frühjahr noch in Talkshows zum großen Hoffnungsträger für die Eindämmung der Pandemie geredet, liegt auf dem Wühltisch.

Der Sinn der App, das kurz zur Erinnerung, bestand vor allem darin, die Kontaktnachverfolgung von mit Sars-CoV-2 infizierten Personen durch die Gesundheitsämter von Stift, Papier, Fax und Exeltabellen auf QR-Codes und digitale Übertragungswege umzustellen. Vor einem Jahr erlebte die App ihren Hype-Höhepunkt und durchlief dann den klassischen Hype-Cycle in abgekürzter Form: Nach dem Höhepunkt, der beispielsweise den damals Regierenden Bürgermeister von Berlin einigermaßen sachkenntnisbefreit sagen – und vermutlich auch so entscheiden – ließ: „Ich will jetzt endlich auch diese Luca-App haben“, ging es ziemlich schnell runter ins Tal der Enttäuschungen: Die Gesundheitsämter stellten bald fest, dass es mit der App nicht einfacher wird, sondern im Gegenteil die Daten von Kontaktpersonen vor allem mehr werden und dabei nicht unbedingt von besserer Qualität sind. Flap.

Si­cher­heits­for­sche­r:in­nen deckten Lücke um Lücke auf und Jan Böhmermann zeigte einen Hack für An­fän­ge­r:in­nen, der diverse Konzeptfehler der App auf einmal veranschaulichte. Flap. Im November entschied dann das Oberlandesgericht Rostock, dass die Direktvergabe der Luca-Lizenz durch das Land Mecklenburg-Vorpommern vergaberechtswidrig war und damit unwirksam ist. Flap. Straf­ver­fol­ge­r:in­nen greifen in mindestens einem Fall auf persönliche Daten von Luca-Nutzer:innen zu – ohne Rechtsgrundlage. Der Fall schlägt Wellen über Deutschland hinaus. Flap, flap.

Und nun, wo die Pandemie in Europa in ihr drittes Jahr geht, die Zahlen in vorher nicht gekannte Höhen steigen und die Gesundheitsämter es schon lange aufgegeben haben, noch annähernd hinterherzukommen, kündigen reihenweise Bundesländer die Verträge mit culture4life oder verzichten auf Verlängerung. Zu einem Plateau der Produktivität, das der Hype-Cycle eigentlich zum Ende hin noch vorsieht und in dem sich das gehypte Produkt auf realistischem Niveau bewährt, kam es nicht. Oder muss man sagen: noch nicht?

„Gewöhnungseffekt wird bleiben“

Einer, der nicht nur Luca, sondern auch das System dahinter früh kritisiert hat, ist der Jurist und Datenschutzexperte Malte Engeler. Er sagt: „Einerseits haben wir uns daran gewöhnt, beim Betreten öffentlicher Orte Spuren zu hinterlassen. Wir haben das gesellschaftlich akzeptierte Maß an Überwachung erhöht. Dieser Gewöhnungseffekt wird bleiben, fürchte ich.“ Zwar ist aus den meisten Landesverordnungen nach und nach die Pflicht verschwunden, eine Kontaktnachverfolgung über das Erheben persönlicher Daten zu regeln. Das machte den Weg frei für den Einsatz der Corona-Warn-App auch bei Veranstaltungen oder in Restaurants.

Diese App funktioniert, ohne dass Nut­ze­r:in­nen persönliche Daten hinterlassen oder angeben. Doch, so Engeler: „Luca ist als App noch immer da und mit ihr auch die Daten der vielen Millionen (Zwangs-) Nutzer*innen.“ Für die weitere Speicherung und Verwendung dieser Daten werde von Seiten der Luca-Betreibergesellschaft und ihrer Investoren jetzt fieberhaft nach einer Rechtfertigung gesucht werden. Eine Idee, die anscheinend schon früh im vergangenen Jahr bei dem Unternehmen kursierte, wie Hinweise vom Chaos Computer Club und der Transparenz-Plattform fragdenstaat im vergangenen April zeigten.

Rechtfertigung für Datenspeicherung

Und tatsächlich: Die Akteure hinter der Luca-App arbeiten daran. So skizzierte culture4life im Januar pünktlich zur Diskussion darüber, ob die Kombination aus Impfungen und Omikron die Pandemie in absehbarer Zeit zur Endemie machen werde, ein paar Ideen dazu, wie es weitergehen könnte. „Bürger:innen können über die luca App ihrem zuständigen Gesundheitsamt ihren Impfstatus freiwillig mitteilen“, heißt es da. Das wäre also eine Verarbeitung von Gesundheitsdaten, für die noch einmal strengere Regeln gelten, und für die Nut­ze­r:in­nen dem Anbieter in besonderem Maße vertrauen können sollten.

Weiter im Ideenfundus der Luca-Macher: „Mit der Funktion einer digitalen ID, basierend auf dem Personalausweis, wie es bereits in anderen Ländern möglich ist, will luca eine wesentliche Vereinfachung für Gastronomen und Veranstalter ermöglichen.“ Die Rede ist davon, dass Be­su­che­r:in­nen sich mit der ID, mit der ihr detaillierter Corona-Impfstatus verknüpft ist, sowie eventuell benötigten Tickets für den Eintritt gegenüber Veranstaltern ausweisen könnten. Während also etwa der Bundesgesundheitsminister sich gegenüber der Idee eines Registers, das den Impfstatus von Personen katalogisiert, aus Datenschutzgründen jüngst gerade abgeneigt gezeigt hat, will Luca das – auf freiwilliger Basis – werden. Samt noch ein paar mehr personenbezogener Informationen.

„Maximalst unsympathisch“

„Das Perfide ist ja, dass Luca ohne die Pandemie niemals so viele Millionen Nut­ze­r*in­nen hätte“, sagt Engeler. Er bezeichnet es als „maximalst unsympathisch, diese mit Steuermitteln finanzierte Zwangs-User-Basis jetzt zur Grundlage für ein völlig Pandemie-unabhängiges Geschäft zu verwerten“. Die Kosten aller Bundesländer, die das Luca-System einsetzten, belaufen sich Berichten zufolge auf über 20 Millionen Euro. Kosten, auf denen die Länder sitzen bleiben, weil der Bund sie nicht übernimmt, obwohl das zwischenzeitlich im Raum stand.

Dies in Kombination mit der überschaubaren Unterstützung der App plus der Tatsache, dass die bundeseigene Corona-Warn-App mittlerweile längst ebenfalls eine Check-in-Funktion für Veranstaltungen und Lokalitäten bekommen hat, dürfte die Motivation der Länder, auf das Wühltischangebot der Luca-Unternehmer einzugehen, weiter verringern.

Ausgabe von Millionen an Steuergeld

„Ohne den PR-Erfolg der Luca-App, dem auch viele Po­li­ti­ke­r:in­nen zu unkritisch zum Opfer fielen, würden heute nicht so viele nutzlose Luca-Codes an Türen hängen, die nach wie vor fleißig mit Luca-Apps gescannt werden, ohne dass irgendjemand irgendetwas mit den dabei erzeugten Daten anfangen wird“, kritisiert die Linken-Netzpolitikerin und Bundestagsabgeordnete Anke Domscheit-Berg. „Von öffentlichen Auftraggebern erwarte ich mehr Sorgfalt und Vorsicht bei der Ausgabe von Millionen Euro Steuergeldern.“ Nun komme es darauf an, dass die aufgebaute Datenbasis nicht zweckentfremdet werde, dass also zur Pandemiebekämpfung erhobene Daten nicht einfach in den Datenpool einer künftigen Ticketing-App mit Ausweisfunktion laufen.

Nun kann es manchmal hilfreich sein, wenn Kartenhäuser einstürzen. Es lässt sich etwas daraus lernen. Anke Domscheit-Berg hält dem Negativbeispiel Luca als Positivbeispiel die Corona-Warn-App entgegen: Open Source, transparente Entwicklung, eine Bereitschaft, auf Feedback einzugehen, und eine Beteiligung von Datenschützer:innen. „Das sollte ein Vorbildprozess für die Entwicklung von Software durch die öffentliche Hand sein“, sagt Domscheit-Berg.

Alleine: Die Corona-Warn-App ist eine Ausnahme. Engeler: „Eigentlich kann man aus Luca nur die Lehre ziehen, dass wir in Deutschland ein ganz grundsätzliches digitalpolitisches Problem haben.“ Die Probleme seien seit den 1980er Jahren, in denen Deutschland entschied, statt auf die leistungsfähigeren Glasfaserkabel auf Kupferkabel für den Netzausbau zu setzen, die gleichen: „Klüngelei, falsche Prioritäten und kurzfristiges Denken.“ Seine Hoffnung: „Ein Unternehmen, das sich derart unfähig erwiesen hat, sichere IT zu bauen, wird es hoffentlich am Markt schwer haben.“