Datenschutzexperte über die Luca-App: „Haufenweise Sicherheitslücken“
Bei der Kontaktverfolgungs-App Luca werden immer mehr Probleme deutlich. Der Datenschutzexperte Malte Engeler beschreibt die App als Überwachungssystem.
taz: Herr Engeler, was müsste passieren, damit Sie sich die Luca-App auf dem Smartphone installieren?
Malte Engeler: Ich glaube, man müsste mich schon unter Gewaltandrohung dazu zwingen.
So schlimm?
Ja, absolut. Es ist ein System, das an zentraler Stelle sehr sensible Informationen erfasst, nämlich wer sich wann wo und auf welcher Art von Veranstaltung aufgehalten hat. Das kann auch eine Betriebsratsversammlung sein oder ein Gottesdienst. Dazu kommen haufenweise Sicherheitslücken und Datenschutzverstöße. Aber abgesehen von diesen beiden Punkten – ich sehe überhaupt keinen Bedarf.
Das scheinen viele Nutzer:innen anders zu sehen. Mitte April gab es mehr als 3 Millionen Downloads und auch von der alternativ zur App angebotenen Schlüsselanhängern sind mindestens mehrere Tausend im Umlauf.
Ich bezweifle, dass es tatsächlich einen Bedarf der Bevölkerung nach der Luca-App gibt. Es gibt einen Bedarf nach Wiedererlangung grundsätzlicher Freiheiten. Die Luca-App ist ein Symbol, ein Versprechen. Und das wird natürlich dankend angenommen.
37 Jahre alt, ist Rechtswissenschaftler und Richter am Schleswig-Holsteinischen Verwaltungs-gericht. Zuvor war er mehrere Jahre im Bereich der nationalen und europäischen Datenschutzaufsicht tätig.
Sie ist ja auch – bei allen Unzulänglichkeiten in Sachen Technik und Datenschutz – eine Lösungsidee für ein reales Problem: Bei der Zettelwirtschaft in Restaurants haben immer wieder Gäste falsche Daten angegeben und manche Betreiber:innen wenig Wert darauf gelegt, dass diese Zettel nicht in fremde Hände geraten.
Das stimmt, die Luca-App löst das Problem, dass wir unsere Daten auf Zettel schreiben müssen. Ich glaube aber nicht, dass es das Problem ist, das wir lösen müssen. Denn eigentlich sollte es darum gehen: Wie können wir möglichst viele Ansteckungen verhindern? Es geht also darum, Teilnehmende einer Veranstaltung zu warnen, bei der es einen Infektionsfall gab. Damit die nicht ihrerseits weitere Menschen anstecken. Und wenn man da eine technische Lösung will, ist zum Beispiel die Check-in-Funktion der Corona-Warn-App besser.
Wieso?
Zum einen, weil sie die Teilnehmenden einer Veranstaltung direkt warnt. Und nicht den Umweg über die Gesundheitsämter geht, was ja den Prozess verzögert. Und zum anderen, weil sie das auf sehr datensparsame Weise tut. Bei Luca werden sehr sensible Informationen an zentraler Stelle gespeichert. Das ist bei der Corona-Warn-App nicht der Fall.
Die Gesundheitsämter zu umgehen, könnte auch ein Nachteil sein. Wenn etwa Warnungen über die App weniger ernst genommen werden als via Gesundheitsamt.
Das ist eine Befürchtung, ja, aber das muss nicht so sein. Und wenn sich andererseits mehr Menschen von der datensparsamen Corona-Warn-App überzeugen lassen und sie nutzen, könnte sie unterm Strich sogar mehr Infektionsketten stoppen. Aber das ist alles viel Spekulation in dem Bereich, schließlich haben wir noch nicht einmal einen Anhaltspunkt dafür, dass Luca das Infektionsgeschehen überhaupt beeinflussen kann. Und es gibt ein weiteres Problem: Man muss davon ausgehen, dass mit dem Luca-System etwas geschaffen wird, das nach der Pandemie nicht einfach wieder verschwindet. Es gibt jetzt schon Geschäftsmodelle, die sich in den Werbematerialien von Luca finden, die nach der Pandemie bleiben werden.
Und zwar?
Beispielsweise als Impfnachweis oder als ein System, das künftig bei Großveranstaltungen zum Einsatz kommt.
Das klingt erst mal nicht so problematisch.
Man muss sich bewusst machen, dass es sich hier um ein Überwachungssystem handelt. Und die Erfahrung zeigt: Einmal geschaffene Überwachungssysteme werden nicht wieder abgeschafft. Sondern, selbst wenn ihr ursprünglicher Zweck eines Tages nicht mehr vorhanden sein sollte, für andere Zwecke verwendet.
Wie kommt es eigentlich, dass es damals bei der Corona-Warn-App eine breite Diskussion um Datenschutz und Vertrauen gab, die dazu führte, dass die App eine privatsphärefreundliche Open-Source-Anwendung wurde und jetzt kaufen staatliche Stellen reihenweise Luca-Lizenzen?
Ich glaube, die Corona-Warn-App war einfach ein kleiner Ausreißer. Auch ich habe damals gehofft, es wäre der Anfang von einem Umdenken, aber das war es nicht. Wahrscheinlich war bei der Corona-Warn-App der ausschlaggebende Punkt, dass Google und Apple …
… also die Betreiber der beiden maßgeblichen Smartphone-Betriebssysteme …
… technisch auf das datensparsame, dezentrale Modell gesetzt haben. Die Politik war also gezwungen, sich für dieses Modell zu entscheiden. Mit Überzeugung hatte das anscheinend nichts zu tun.
Es gibt jetzt schon Läden und Restaurants, die sagen: Ohne Luca kommt ihr bei mir nicht rein.
Ja, und da wir in Deutschland Vertragsfreiheit haben, wird das zulässig sein. Der Weg dagegen kann aber Protest sein, den man diesen Läden oder Lokalen entsprechend kommuniziert.
Aber wie kann es sein, dass der Staat Bürger:innen über diesen Umweg quasi zwingt, eine nicht legal einsetzbare App zu suchen?
Das frage ich mich auch. Ich glaube, die Politik will einfach ein System, mit dem sie Hoffnung aussenden kann. Ob dieses System funktioniert, scheint vollkommen gleichgültig zu sein. Und es blendet einen wichtigen Aspekt aus: Wir haben aufgehört darüber zu reden, dass es auch eine Möglichkeit gibt, ohne diese Technologien auszukommen. Denn die sind ja nur Krücken, weil unsere Infektionszahlen viel zu hoch sind, um Infektionsketten noch manuell nachverfolgen zu können und es trotzdem den Wunsch nach Öffnungen gibt.
Müsste es da nicht eine staatliche Stelle geben, die sagt: „Stopp, so geht das nicht“?
Wir haben es hier auch mit einem Versagen der Datenschutzaufsichtsbehörden zu tun. Ein System, das technisch so eklatant schlecht ist wie die Luca-App, müsste von den Behörden von Beginn an entsprechend hart angegangen werden. Stattdessen machen nun ein Haufen Ehrenamtliche in ihrer Freizeit den Job, auf die Lücken hinzuweisen. Das kann nicht sein.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Anschlag in Magdeburg
„Eine Schockstarre, die bis jetzt anhält“
Bundestagswahl 2025
Parteien sichern sich fairen Wahlkampf zu
Exklusiv: RAF-Verdächtiger Garweg
Meldung aus dem Untergrund
Streit um Russland in der AfD
Chrupalla hat Ärger wegen Anti-Nato-Aussagen
Bundestagswahl am 23. Februar
An der Wählerschaft vorbei
Nach dem Anschlag in Magdeburg
Rechtsextreme instrumentalisieren Gedenken