piwik no script img

taz zahl ich

Datenschutzexperte über die Luca-App„Haufenweise Sicherheitslücken“

Bei der Kontaktverfolgungs-App Luca werden immer mehr Probleme deutlich. Der Datenschutzexperte Malte Engeler beschreibt die App als Überwachungssystem.

Ein Mann mit Gesichtsmaske klebt auf einen Tisch in einem Café QR Codes
Auch in Cafés kommt die Luca-App zum Einsatz, wie hier am Timmendorfer Strand Foto: Christian Charisius/dpa
Interview von Svenja Bergt

taz: Herr Engeler, was müsste passieren, damit Sie sich die Luca-App auf dem Smartphone installieren?

Malte Engeler: Ich glaube, man müsste mich schon unter Gewaltandrohung dazu zwingen.

So schlimm?

Ja, absolut. Es ist ein System, das an zentraler Stelle sehr sensible Informationen erfasst, nämlich wer sich wann wo und auf welcher Art von Veranstaltung aufgehalten hat. Das kann auch eine Betriebsratsversammlung sein oder ein Gottesdienst. Dazu kommen haufenweise Sicherheitslücken und Datenschutzverstöße. Aber abgesehen von diesen beiden Punkten – ich sehe überhaupt keinen Bedarf.

Das scheinen viele Nut­ze­r:in­nen anders zu sehen. Mitte April gab es mehr als 3 Millionen Downloads und auch von der alternativ zur App angebotenen Schlüsselanhängern sind mindestens mehrere Tausend im Umlauf.

Ich bezweifle, dass es tatsächlich einen Bedarf der Bevölkerung nach der Luca-App gibt. Es gibt einen Bedarf nach Wiedererlangung grundsätzlicher Freiheiten. Die Luca-App ist ein Symbol, ein Versprechen. Und das wird natürlich dankend angenommen.

Auf dem Bild ist Malte Engeler, Richter und Rechtwissenschaftler in Schleswig Holstein zu sehen
Bild: privat
Im Interview: Malte Engeler

37 Jahre alt, ist Rechtswissenschaftler und Richter am Schleswig-Holsteinischen Verwaltungs-gericht. Zuvor war er mehrere Jahre im Bereich der nationalen und europäischen Datenschutzaufsicht tätig.

Sie ist ja auch – bei allen Unzulänglichkeiten in Sachen Technik und Datenschutz – eine Lösungsidee für ein reales Problem: Bei der Zettelwirtschaft in Restaurants haben immer wieder Gäste falsche Daten angegeben und manche Be­trei­be­r:in­nen wenig Wert darauf gelegt, dass diese Zettel nicht in fremde Hände geraten.

Das stimmt, die Luca-App löst das Problem, dass wir unsere Daten auf Zettel schreiben müssen. Ich glaube aber nicht, dass es das Problem ist, das wir lösen müssen. Denn eigentlich sollte es darum gehen: Wie können wir möglichst viele Ansteckungen verhindern? Es geht also darum, Teilnehmende einer Veranstaltung zu warnen, bei der es einen Infektionsfall gab. Damit die nicht ihrerseits weitere Menschen anstecken. Und wenn man da eine technische Lösung will, ist zum Beispiel die Check-in-Funktion der Corona-Warn-App besser.

Wieso?

Zum einen, weil sie die Teilnehmenden einer Veranstaltung direkt warnt. Und nicht den Umweg über die Gesundheitsämter geht, was ja den Prozess verzögert. Und zum anderen, weil sie das auf sehr datensparsame Weise tut. Bei Luca werden sehr sensible Informationen an zentraler Stelle gespeichert. Das ist bei der Corona-Warn-App nicht der Fall.

Die Gesundheitsämter zu umgehen, könnte auch ein Nachteil sein. Wenn etwa Warnungen über die App weniger ernst genommen werden als via Gesundheitsamt.

Das ist eine Befürchtung, ja, aber das muss nicht so sein. Und wenn sich andererseits mehr Menschen von der datensparsamen Corona-Warn-App überzeugen lassen und sie nutzen, könnte sie unterm Strich sogar mehr Infektionsketten stoppen. Aber das ist alles viel Spekulation in dem Bereich, schließlich haben wir noch nicht einmal einen Anhaltspunkt dafür, dass Luca das Infektionsgeschehen überhaupt beeinflussen kann. Und es gibt ein weiteres Problem: Man muss davon ausgehen, dass mit dem Luca-System etwas geschaffen wird, das nach der Pandemie nicht einfach wieder verschwindet. Es gibt jetzt schon Geschäftsmodelle, die sich in den Werbematerialien von Luca finden, die nach der Pandemie bleiben werden.

Und zwar?

Beispielsweise als Impfnachweis oder als ein System, das künftig bei Großveranstaltungen zum Einsatz kommt.

Das klingt erst mal nicht so problematisch.

Man muss sich bewusst machen, dass es sich hier um ein Überwachungssystem handelt. Und die Erfahrung zeigt: Einmal geschaffene Überwachungssysteme werden nicht wieder abgeschafft. Sondern, selbst wenn ihr ursprünglicher Zweck eines Tages nicht mehr vorhanden sein sollte, für andere Zwecke verwendet.

Wie kommt es eigentlich, dass es damals bei der Corona-Warn-App eine breite Diskussion um Datenschutz und Vertrauen gab, die dazu führte, dass die App eine privatsphärefreundliche Open-Source-Anwendung wurde und jetzt kaufen staatliche Stellen reihenweise Luca-Lizenzen?

Ich glaube, die Corona-Warn-App war einfach ein kleiner Ausreißer. Auch ich habe damals gehofft, es wäre der Anfang von einem Umdenken, aber das war es nicht. Wahrscheinlich war bei der Corona-Warn-App der ausschlaggebende Punkt, dass Google und Apple …

also die Betreiber der beiden maßgeblichen Smartphone-Betriebssysteme …

… technisch auf das datensparsame, dezentrale Modell gesetzt haben. Die Politik war also gezwungen, sich für dieses Modell zu entscheiden. Mit Überzeugung hatte das anscheinend nichts zu tun.

Es gibt jetzt schon Läden und Restaurants, die sagen: Ohne Luca kommt ihr bei mir nicht rein.

Ja, und da wir in Deutschland Vertragsfreiheit haben, wird das zulässig sein. Der Weg dagegen kann aber Protest sein, den man diesen Läden oder Lokalen entsprechend kommuniziert.

Aber wie kann es sein, dass der Staat Bür­ge­r:in­nen über diesen Umweg quasi zwingt, eine nicht legal einsetzbare App zu suchen?

Das frage ich mich auch. Ich glaube, die Politik will einfach ein System, mit dem sie Hoffnung aussenden kann. Ob dieses System funktioniert, scheint vollkommen gleichgültig zu sein. Und es blendet einen wichtigen Aspekt aus: Wir haben aufgehört darüber zu reden, dass es auch eine Möglichkeit gibt, ohne diese Technologien auszukommen. Denn die sind ja nur Krücken, weil unsere Infektionszahlen viel zu hoch sind, um Infektionsketten noch manuell nachverfolgen zu können und es trotzdem den Wunsch nach Öffnungen gibt.

Müsste es da nicht eine staatliche Stelle geben, die sagt: „Stopp, so geht das nicht“?

Wir haben es hier auch mit einem Versagen der Datenschutzaufsichtsbehörden zu tun. Ein System, das technisch so eklatant schlecht ist wie die Luca-App, müsste von den Behörden von Beginn an entsprechend hart angegangen werden. Stattdessen machen nun ein Haufen Ehrenamtliche in ihrer Freizeit den Job, auf die Lücken hinzuweisen. Das kann nicht sein.

40.000 mal Danke!

40.000 Menschen beteiligen sich bei taz zahl ich – weil unabhängiger, kritischer Journalismus in diesen Zeiten gebraucht wird. Weil es die taz braucht. Dafür möchten wir uns herzlich bedanken! Ihre Solidarität sorgt dafür, dass taz.de für alle frei zugänglich bleibt. Denn wir verstehen Journalismus nicht nur als Ware, sondern als öffentliches Gut. Was uns besonders macht? Sie, unsere Leser*innen. Sie wissen: Zahlen muss niemand, aber guter Journalismus hat seinen Preis. Und immer mehr machen mit und entscheiden sich für eine freiwillige Unterstützung der taz! Dieser Schub trägt uns gemeinsam in die Zukunft. Wir suchen auch weiterhin Unterstützung: suchen wir auch weiterhin Ihre Unterstützung. Setzen auch Sie jetzt ein Zeichen für kritischen Journalismus – schon mit 5 Euro im Monat! Jetzt unterstützen

Themen #Coronavirus #Luca-App #Datenschutz #Urheberrecht #Coronavirus
Feedback Kommentieren Fehlerhinweis
Mehr zum Thema
Zwei Hände halten Smartphones aneinander

Mängel der Luca-App

Ein lehrreiches Debakel

Kommentar von Svenja Bergt
Reihenweise beschafften Verwaltungen die Nachverfolgungs-App Luca, obwohl diese gravierende Sicherheitsmängel aufweist.
Eine Frau blickt auf ihr Handy, auf dem die Corona-Warn App geöffnet ist

Ein Jahr Corona-Warn-App

Keine große Liebe

Kolumne Digital Naives von Malaika Rivuzumwami
Vor einem Jahr ging die Corona-Warn-App an den Start. Ein wirklicher Erfolg wurde sie nie. Auch weil es andere Konkurrenten gab.
Eine Frau sitzt an einem Tisch und hält ein Smartphone in der Hand - auf dem Tisch ein Kaffee mit Herz im Schaum, ein Cookie und ein Laptop

Mit Instagram die Welt verändern

Herzchen für den Konsumverzicht

Kolumne Wir retten die Welt von Svenja Bergt
Reparieren, regional kaufen, Ökostrom nutzen – wie oft scheitert das Wünschenswerte daran, dass es niemand mitbekommt? Das lässt sich ändern.

coronavirus

Fünf Jahre nach Ausbruch der Covid-19-Pandemie

Schattenhafte Umrisse einer Person die im Gegenlicht unter eine durchsichtigen Plastikfolie kämpft

Fünf Jahre nach Pandemiebeginn

„Ich fühlte mich verraten von den Erwachsenen“

Einsamkeit, Frust, Zusammenhalt: Sieben Jugendliche erzählen, wie sie auf die Coronazeit zurückblicken – und was sie daraus heute noch beschäftigt.

25.1.2025

Christian Drosten steht im weißen Kittel im Labor an eine Zentrifuge gelehnt

Christian Drosten

„Je mehr Zeit vergeht, desto skeptischer werde ich“

Hatte die Coronapandemie ihren Ursprung in der Natur oder im Labor? Virologe Christian Drosten ist überzeugt: China könnte für Klarheit sorgen.
Von Manuela Heim

24.1.2025

Eine Personengruppe steht vor einer urbanen Landschaft. Eine männliche Person blick betroffen zu Boden, ein Mann im Zentrum, der Ankläger, blickt ruhig nach vorne.

Umstrittener Impfstoff-Deal

Gericht weist „Pfizergate“-Klage gegen von der Leyen ab

Ein Belgier hatte die EU-Kommissionschefin wegen Korruption beim Einkauf von Covid-Impfstoff verklagt – erfolglos. Es laufen aber noch weitere Klagen.
Von Eric Bonse

24.1.2025

10 Wochen im Probeabo

taz digital + wochentaz print testen

Wahre Liebe und heiße Flirts: Wir schauen auf die politische Reality Deutschlands – jede Woche mit Schwerpunktthema und auf täglichen Sonderseiten zur heißen Phase des Wahlkampfs.
Jetzt bestellen

19 Kommentare

 / 
  • U

    Neben all den hinlänglich beschriebenen Mängeln beim Datenschutz, beim Verfahren und der Funktionalität wird immer wieder vergessen, das hier auch ein eklatanter Verstoss gegen das Vergaberecht stattfindet. Ich hoffe, das die jetzt angestrengten Verfahren da Konseqoenzen haben werden.

  • FN

    Sehr gut, Malte Engeler.



    Wenn ich drei Daumen hätte, gäbs drei nach oben.



    So muss ich es bei zweien belassen.

  • N

    Ihr werdet so lange rumquengeln, bis Luca das gleiche Schicksal ereilt, wie die Corona App: Deinstallation.



    Das wir Corona im Gegensatz zu Ländern wie Taiwan, Korea, NZ & Australien nie in den Griff kriegen werden, hat nicht nur was mit unserem kaputten förderalen System zu tun.



    Wir machen alle fleißig mit...

  • BB

    Die Bundes- und Landesregierungen zeigen wieder mal, dass für sie "Digitalisierung" nur das wahllose Einkaufen von Produkten bedeutet.

    Ausgewählt wird schlicht, wer das bessere Powerpoint liefert. Konzept? Fehlanzeige. Einfach nur Pfusch.

    So kämpft nach wie vor jede Schule, jede Uni für sich selbst, Behörden und Ämter müssen trotz zahlloser Millionensummen für Beraterfirmen in den letzten Jahrzehnten und steigender Lizenzkosten für miese Software weiter Papier abheften und Faxe schicken, Dienstleistungen für Bürger gibt's nicht, und jetzt diese bodenlose Luca-App.

    Aber schuld an diesem Komplettversagen ist natürlich der Datenschutz....Klar.

    • TB
      @Bernd Berndner:

      In dem Fall war nicht mal Powerpoint ausschlaggebend, sondern der eigentlich längst verblichene Ruhm eines abgehalfterten Rappers. Laschet und Müller kannten den Namen noch. Paßt von der Generation her, alle drei 1960er.

    • N
      @Bernd Berndner:

      Wie gut das es Leute wie sie gibt, die nicht nur rummeckern, sondern dann auch wissen wie man es besser macht.

      Meckerpötte haben wir nämlich schon genug.

  • W

    Vielleicht sollte einmal sehr deutlich klargestellt werden, daß es da zwei grunsätzlich verschiedene Ansichten gibt, was Sicherheitslücken sind.

    Es gibt da nämlich auch noch diejenigen in sehr erlauchten Stellungen, die es als ein Sicherheitsproblem ansehen, wenn keine groben Lücken enthalten sind, durch die man Menschen durch die Hintertür bespitzeln kann.

  • TZ

    Wozu ist eigentlich das BSI da?

    Die Branche ist voller Schlangenöl, das ist hinlänglich bekannt. Politiker*innen scheinen einen Faible für ebendieses zu haben (oder es wird *hust* Wirecard nachgeholfen, was weiss ich).

    Da ist es doch der Job des BSI zu sagen "moment mal: da waren keine Profis am Werk. Nachbessern oder..."

  •

    Eigentlich ein sehr schönes Interview, das aber ein paar in der Praxis problematische Punkte einfach ausspart: Die CWA taugt zur Kontaktkettenverfolgung bei Veranstaltungen nicht, weil sie einfach dazu technisch nicht geeignet ist und die dauerhafte Verwendung nicht zu garantieren ist. Die Abschätzung der Infektionswahrscheinlichkeit über Kontaktdauer und Signalstärke ist statistisch bestenfalls ausreichend bei vielen zufälligen Kontakten zur Verringerung der Zahl unbemerkter Infektionen, und auch das nur, wenn praktisch alle sie benutzen. In Läden und bei Veranstaltungen ist das einfach nicht genug und auch unmöglich zu kontrollieren, deshalb Kontaktdatenerfassung mit Formularen.

    Das führt aber dazu, dass Leute ihre persönlichen Kontaktdaten ständig irgendwelchen Leuten in die Hand drücken müssen, die dafür die völlig falsche Stelle sind. Nicht nur Frauen gefällt es nicht, ständig irgendwelchen Kellnern, Wirten und Minijobbern einen Zettel mit ihrem vollständigen Namen, ihrer Wohnanschrift und ihrer Telefonnummer in Klartext zu geben. Dass die Luca-App dann persönlich und unmittelbar erst einmal als eine Verbesserung empfunden wird, weil diese Daten dann eben NICHT jeder vor Ort lesen kann, sollte einen nicht wundern. Schneller und komfortabler ist es auch, weil man nicht immer wieder und wieder irgendwelche Zettel ausfüllen muss.

    Die CWA wäre dafür bestenfalls dann ein Ersatz, wenn sichergestellt wäre, dass JEDER sie benutzt (und auch nicht heimlich beendet oder deinstalliert oder sein Handy ausmacht), denn sonst ist sie sinnlos. Wenn die Hälfte der Leute auf einer Veranstaltung die App benutzt und die andere Hälfte Zettel ausfüllt, ist das prinzipiell nicht zusammenzuführen, weil das völlig unterschiedliche Ansätze sind. Ein später positiv Getesteter mit CWA kann (freiwillig) die anderen App-Benutzer warnen, aber die, die Zettel ausgefüllt haben, erreicht er damit prinzipiell nicht. Und umgekehrt dasselbe.

    Luca-App und Zettel dagegen kann man zusammenführen.

    • TB
      @Mustardman:

      Bei den Zetteln ist es doch so: Man hinterläßt seine echte Email-Adresse, damit man im Notfall kontaktiert werden kann, alle anderen Daten sind fake. Oder hat das irgendjemand mal anders gehandhabt?

  • W

    Bei aller Liebe, aber bei einer weltweiten Pandemie, in der die alten Leute sterben wie die Fliegen, hat der Datenschutz Pause.

    • J
      @Wonneproppen:

      Was ist daran schwer zu verstehen, dass es datenschutzfreundliche Lösungen gibt?



      Söder und Co. machen den Datenschutz zum Problem, weil er ihrem Überwachungsfetisch entgegen steht und weil sie so vom eigenen Versagen ablenken.

    • HF
      @Wonneproppen:

      Ja, aber auch nur Pandemiespezifische und nur bei nachweislicher Pandemiebekämpfungswirkung. Diese LucaApp erfüllt jedoch nicht mal die Winkungssicherheit, daher ist es schon sehr problematisch.

      Vor allem aber muss es gesichert sein, dass diese Trackingutensilien nacher nicht zu kommerziellen oder staatlichen Diensten zweckentfremdet wird.

      Bin ich als smartphoneloser Mensch in Zukunft eigentlich gezwungen alle in der App gestellten nachweise immer in Papierform mit mir rumzuschleppen oder werde ich, wenn ich am kulturellen Leben teilhaben möchte, gezwungenermaßen ein solches Gerät mit mir tragen müssen?

      • W
        @Horstl Fambacher:

        Die App ist ein Angebot, keine Pflicht.

        "Vor allem aber muss es gesichert sein, dass diese Trackingutensilien nacher nicht zu kommerziellen oder staatlichen Diensten zweckentfremdet wird".

        Wenn es hilft, Verbrecher (nicht Eierdiebe) zu fangen, bin ich gern bereit, Daten zu teilen. Nennt sich Zivilcourage. Werbung stört mich nicht.

  • AB

    Hier gibt es eine Stellungnahme des Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg zur möglichen Zweckentfremdung Luca App: rollenspiel.social...106097082068684532

    Und ich habe eine Grobschätzung der Auswirkung der Corona-Warn-App auf den R-Wert versucht:

    Da seit September¹ 20% der Infektionen über die App geteilt wurden, 33% aber darüber bestätigt wurden, können wir abschätzen, dass 20%x33% der Neuinfizierten über die App gewarnt wurden, so dass die Infektionskette durchbrochen wird, etwa 6,6%. Die Frage ist jetzt, wie viele von ihnen auch vom Gesundheitsamt gewarnt werden, und wie viele von da ab regelmäßig Schnelltests machen.

    ¹ de.wikipedia.org/w...sts_im_Warn-Server

    Diese 6,6% könnten bei Überlastung der Gesundheitsämter (⇒ CWA als erste Meldung durchbricht die Infektionskette) bedeuten, dass R um 0,06 sinkt. Das wäre die Hälfte der Reduzierung der Neuinfektionen von Mitte Dezember bis Mitte Februar: Von 25.000 auf 8000 pro Tag. Ohne CWA wären wir sehr grob geschätzt im Februar noch bei 16.500 Infektionen pro Tag gewesen, so dass die CWA in den 60 Tagen grob linear extrapoliert² bis zu 255.000 Infektionen verhindert haben könnte.

    ²: braucht eig. exp

    Das völlig unintuitive hier ist, dass diese Effektivität quadratisch in der Nutzung der App läuft: Wenn nicht 33% der Neuinfizierten die App hätten, sondern 50%, würden nicht bis zu 6,6%, sondern bis zu 15% der Infektionsketten durchbrochen, und bei 60% Nutzung bis zu 21%.

    60% Nutzung hätte im Bestfall den Anstieg im März komplett unterbinden können.

    Der reale Effekt ist allerdings sehr wahrscheinlich kleiner, weil Gesundheitsämter ja auch warnen.

    •
      @Arne Babenhauserheide:

      Mich würde mal interessieren, wie viele Infektionsketten dadurch unterbrochen wurden, dass das Gesundheitsamt einen positiv Getesteten befragt hat, dieser angegeben hat, vor ein paar Tagen in einem Restaurant gewesen zu sein, das Gesundheitsamt dann alle Kontaktdaten dieses Tages aus diesem Restaurant angefordert hat, dann mithilfe von Sitzplänen, Tischnummern und Uhrzeit eventuelle Kontaktpersonen ausfindig gemacht hat, diese aufgrund der (hoffentlich korrekten) Kontaktdaten kontaktiert und rechtzeitig zu einem Test und nach dessen Ergebnis fallweise in Quarantäne geschickt hat...

      Meine Vermutung ist: So gut wie nie. Das ist einfach fast unmöglich zu leisten. Sowas geht entweder vollautomatisch oder gar nicht, denn das ist sonst praktisch in jedem Fall personalaufwendige Detektivarbeit mit Tagen an Verzögerung in jedem Schritt. Irrsinn.

  • AW

    Das mit der Überwachung ist ja der Sinn der Sache, Gesundheitsamt, das freiwillige Datenschutz abgenickte hat ja eher nicht so funktioniert. Und dann nützt es nix. Datenschutz kann man auch masslos übertreiben, z.b. indem man Microsoft Teams, was funktioniert, jetzt an Schulen untersagt. Weil die CIA die Hausaufgaben mitliest. Schlimm

    • TB
      @Aldi Wolf:

      "Es gibt jetzt schon Läden und Restaurants, die sagen: Ohne Luca kommt ihr bei mir nicht rein."

      Wenn man mich nicht reinläßt, weil ich gar kein Handy besitze, dann kann mich der Laden mal. Er verliert dann ja nicht nur mich als Kunden, sondern auch meinen Freundeskreis, weil man sich halt nur da trifft, wo alle reinkommen.

    • TB
      @Aldi Wolf:

      Daß MS-Teams an Schulen verwendet wird, oder Zoom, etc. ist eine Riesenfrechheit. Mit den Kindern kann man's ja machen, deren Datenschutz ist uns egal. Auch toll als Vorbildfunktion der Schule: Weil man selbst die Digitalisierung verschlafen hat, nimmt man eben was illegales. OK, wenn ich mein Abitur verschlafen habe, werde ich halt kriminell.

meistkommentiert

1

Kanzler Olaf Scholz über Bundestagswahl

„Es darf keine Mehrheit von Union und AfD geben“

2

Weltpolitik in Zeiten von Donald Trump

Schlechte Deals zu machen will gelernt sein

3

Einführung einer Milliardärssteuer

Lobbyarbeit gegen Steuergerechtigkeit

4

Wahlarena und TV-Quadrell

Sind Bürger die besseren Journalisten?

5

+++ Nachrichten im Ukraine-Krieg +++

Trump macht Selenskyj für Andauern des Kriegs verantwortlich

6

Werben um Wech­sel­wäh­le­r*in­nen

Grüne entdecken Gefahr von Links