Luca-App startet in Berlin: Konsum first, Datenschutz second
Die App zur Kontaktverfolgung ist Ende der Woche in ganz Berlin einsatzbereit, sagt die Senatskanzlei. Dabei sind viele Datenschutzfragen ungeklärt.
Bei der Luca-App der Berliner culture4life GmbH, die den Gesundheitsämtern die digitale Nachverfolgung der Kontaktpersonen von Infizierten ermöglichen soll, läuft die Debatte leider anders herum. Die App, bisher mehr als drei Million mal heruntergeladen, kann ab sofort in vielen Bezirken Berlins von Geschäften, Museen, etc. sowie deren Besucher*innen verwendet werden – obwohl klar ist, dass beim Datenschutz deutlicher Nachholbedarf besteht.
Das könnte zum Problem werden, sagte der grüne Abgeordnete und Sprecher für Digitales, Stefan Ziller, der taz: „Bei mangelhaftem Datenschutz wird Luca nicht genutzt“, ist er sich sicher.
Am kommenden Montag will sich der Datenschutz-Ausschuss des Abgeordnetenhauses deshalb auf Antrag der rot-rot-grünen Regierungskoalition mit dem Programm beschäftigen. „Digitalisierung der Gesundheitsämter und digitale Kontaktnachverfolgung per App“ heißt es auf der Tagesordnung unter Punkt 3.
Die App: Wer Geschäfte, Restaurants und Kulturveranstaltungen besuchen will, muss dort seine Kontaktdaten hinterlassen, um im Fall eines Coronafalls einer ebenfalls anwesenden Person informiert werden zu können. Bisher erfolgt das in Berlin entweder händisch auf Papier, manchmal auch beim Kauf der Eintrittskarten im Netz. Mit der Luca-App sollen die Daten gleich digital vorliegen, indem sich Besucher per gescanntem QR-Code über ihr Handy registrieren. Der Clou: Bei einem Coronafall kann das zuständige Gesundheitsamt auf die Daten zugreifen und Kontaktpersonen ausfindig machen. Dieser Zugriff auf Daten macht die App anfälliger für Missbrauch.
Für Cluster: Im Unterschied zur Corona-Warn-App des Bundes, die Kontakte mit anderen Nutzer*innen dieser App aufzeichnet, zeichnet die Luca-App registrierte Besuche von Orten auf. Weil auf diese Weise alle Besucher eines möglichen Infektions-„Hotspots“ (Cluster) ermittelt werden können, spricht man auch von Cluster-Erkennung. (taz)
Wie so oft in der Pandemie kommt das Parlament damit ein paar Schritte zu spät. Ende März hatte der Regierende Bürgermeister Michael Müller (SPD) weitgehend eigenmächtig eine Luca-Lizenz für Berlin erworben. Kostenpunkt: knapp 1,2 Millionen Euro allein für das Jahr 2021. Die meisten anderen Bundesländer hatten sich damals schon oder haben sich inzwischen ebenfalls für das von Popmusiker Smudo heftig beworbene Programm entschieden.
Unterstützung für diesen Kurs erhält Müller aus dem Haus von Wirtschaftssenatorin Ramona Pop (Grüne). Dort habe man sich von Anfang an für technische Lösungen der Kontaktnachverfolgung eingesetzt, heißt es auf taz-Anfrage. Und weiter: „Der Senat nimmt die Diskussion um Datenschutz ernst, aber in einer Pandemie überwiegen aus unserer Sicht die Vorteile einer digitalen Kontaktnachverfolgung ohne Zeitverlust.“
Die Gesundheitsämter melden Vollzug
Anders als von vielen befürchtet deutet bisher einiges darauf hin, dass das System, das Gesundheitsämter, Geschäfte und andere Einrichtungen mit deren Besucher*innen und Kunden vernetzt, in Berlin auch wirklich laufen wird. „Unser Gesundheitsamt wäre soweit“, heißt es etwa aus Friedrichshain-Kreuzberg. Und aus Pankow meldet Stadtrat Torsten Kühne (CDU): „Das Bezirksamt hat alle technischen und rechtlichen Voraussetzungen für den Einsatz der Luca-App mittlerweile geschaffen.“ Seit Montag liege auch das nötige Zertifikat der Bundesdruckerei vor. Über diese fälschungssicheren Kommunikations-Zertifikate erfolgt der verschlüsselte Zugriff auf die Luca-Server.
Stefan Ziller, Grüne
Bis Ende dieser Woche sollen dann alle Bezirke angebunden sein, verspricht Senatssprecherin Melanie Reinsch. Und fordert auf zum munteren Download: „Alle Bürgerinnen und Bürger sowie alle Betreibenden mit Publikumsverkehr in Berlin können ab sofort die Luca App herunterladen beziehungsweise sich für Luca Locations registrieren.“
Verpflichtend sei das natürlich nicht, so Reinsch. Aber ihre Einschätzung ist deutlich: „Die digitale Variante über das Luca-System stellt aktuell für die Betreibenden, die Besucherinnen und Besucher und für die Gesundheitsämter die effizienteste digitale Variante dar, weshalb die Nutzung dieses Systems empfohlen wird.“ Schließlich ist die Erfassung von Kundendaten laut der Coronaverordnung verpflichtend.
Haben sich die Betreiber*innen bei Luca registriert, können die Geschäfte, Museen sowie perspektivisch auch die derzeit wegen der hohen Corona-Inzidenz geschlossenen Kneipen, Theater, Restaurants und Clubs beim Einlass auf die vielfach von Hand (und bisweilen schlichtweg falsch) ausgefüllten papiernen Zettel mit Kontaktdaten verzichten. Stattdessen registrieren sich Besucher*innen digital mittels eines QR-Codes.
Im Falle einer gemeldeten Corona-Infektion eines Gastes greift das zuständige Gesundheitsamt auf die gespeicherten Daten zu und ermittelt mögliche Kontaktpersonen. Ein Schritt, der – zumindest bisher – mit der Corona-Warn-App des Bundes nicht möglich ist. Ein Fehler, wie der Grüne Ziller meint: „Der Bund hätte die App stringenter weiterentwickeln müssen.“
Dieser Zugriff der Luca-App auf persönliche Daten macht Datenschützer jedoch schon lange hellhörig, auch weil die Entwickler*innen diesen Aspekt lange vernachlässigten – ein häufiges Problem bei privatwirtschaftlich entwickelten Programmen dieser Art. Kritiker etwa aus dem Chaos Computer Club (CCC) und anderen Organisationen störten sich zunächst vor allem daran, dass Daten im Gegensatz zur anonymen Corona-Warn-App zentral gespeichert werden. Dies wecke Begehrlichkeiten bei Strafverfolgungsbehörden und Geheimdiensten. Am Mittwoch rief der CCC dazu auf, für die Luca-App keine Steuergelder mehr auszugeben. Sprecher Linus Neumann sprach von einer „nicht abreißenden Serie von Sicherheitsproblemen“.
Außerdem wurde bemängelt, dass die App nicht quelloffen, also open source, entwickelt wurde. Aber auch nachdem die Luca-Entwickler die Öffnung zusagten und diese nun sukzessive umsetzen, änderte das wenig an der Kritik – im Gegenteil. Schnell wurde klar, dass die App nicht sauber mit den Lizenzen von verwendeten Open-Source-Komponenten umgegangen war. „Dass der Quellcode erst auf öffentlichen Druck veröffentlicht wird, halte ich für schwierig“, sagt Ziller. Generell gelte in Hinblick auf den Datenschutz: „Da sind viele Fragen offen.“
Der Abgeordnete warnt indes vor Zeitdruck: „Wenn die Kontaktnachverfolgung das Entscheidende dieser App ist, muss man sicherstellen, dass die Daten geschützt sind. Da darf es keine Kompromisse geben.“
Ähnlich hatte sich der Datenschutzexperte der Linken, Sebastian Schlüsselburg, in der taz geäußert: „Ich verlange, dass vor Beginn der Nutzung der App sämtliche noch offenen datenschutzrechtlichen Fragen geklärt werden gemeinsam mit der Berliner Datenschutzbeauftragen Maja Smoltczyk.“ Dafür ist es nun zu spät.
Selbst in der Senatskanzlei gibt man Nachbesserungsbedarf beim Datenschutz zu. „Der Hersteller steht in engem Kontakt sowohl mit der Bund-Länder-Taskforce der Datenschutzaufsichtsbehörden sowie mit dem Bundesgesundheitsministerium, um das Luca-System stetig weiterzuentwickeln und sicherer zu machen“, betont Sprecherin Reinsch.
Denn nicht nur die Abgeordneten erhöhen den Druck, sondern auch die Bezirke. „Das Bezirksamt geht davon aus, dass die seitens der Landesbeauftragten für Datenschutz geäußerten Hinweise zum Einsatz der Luca-App durch den Senat geklärt wurden beziehungsweise zeitnah werden“, so Pankows Stadtrat Kühne. Smoltczyk hatte unter anderem gefordert, die Hürden für Hacker zu erhöhen.
Die App ist kein Allheilmittel
Kühne dämpft zugleich die hohen Erwartungen an die App. Da diese keinen Abstand zwischen Personen misst, sondern nur erfasst, wer sich zeitgleich an einem Ort aufhält, ist „ihr Einsatz bei Einrichtungen mit einer größeren Anzahl von Besucher*innen oder Kund*innen nur begrenzt sinnvoll“. Das jeweilige Hygienekonzept, sprich Abstand und Maske, müsse trotz Luca sowieso strikt eingehalten werden.
„Es wäre durch die Gesundheitsämter nicht leistbar, Hunderte Personen, die sich zeitgleich mit einer positiv getesteten Person an einem Ort aufgehalten haben, zu kontaktieren, um hier aufwendige Recherchen bezüglich der einzelnen Aufenthaltsorte und Abstände innerhalb einer Einrichtung durchzuführen“, so Kühne. Bei größeren Einrichtungen sei es deshalb sinnvoll, einzelne Bereiche zu schaffen, wo man gesondert per App eincheckt.
Wahrscheinlich ist Luca aber auch gar nicht der letzte Schluss in dieser Debatte. „Die Luca-App hat zügig eine digitale Lösung aufgezeigt und ist damit auch Türöffner für weitere Anbieter, die ähnliche Apps entwickelt haben“, so ein Sprecher von Wirtschaftssenatorin Pop. Zudem gebe es die Ankündigung, die Corona-Warn-App des Bundes zu erweitern. „Das sind positive Entwicklungen, die zu begrüßen sind“, erklärte der Sprecher weiter. „Ob es den Gesundheitsämtern gelingt, Schnittstellen zu zahlreichen Systemen zu etablieren, wird sich zeigen.“
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Putins Atomdrohungen
Angst auf allen Seiten
BGH-Urteil gegen Querdenken-Richter
Richter hat sein Amt für Maskenverbot missbraucht
Umweltfolgen des Kriegs in Gaza
Eine Toilettenspülung Wasser pro Tag und Person
+++ Nachrichten im Ukraine-Krieg +++
Biden genehmigt Lieferung von Antipersonenminen
BSW stimmt in Sachsen für AfD-Antrag
Es wächst zusammen, was zusammengehört
Absagen vor Kunstsymposium
Logiken der Vermeidung