Luca-App startet in Berlin: Konsum first, Datenschutz second

Die App zur Kontaktverfolgung ist Ende der Woche in ganz Berlin einsatzbereit, sagt die Senatskanzlei. Dabei sind viele Datenschutzfragen ungeklärt.

Eine Frau hält ihr Handy vor einen QR-Code

Am Alexanderplatz wird Luca bereits genutzt: Eine Frau scannt den entsprechenden QR-Code Foto: dpa

BERLIN taz | Es ist schon absurd: Im vergangenen Jahr wurde monatelang diskutiert, wie die Corona-Warn-App des Bundes aufgebaut sein soll, damit sie zum einen genutzt wird, zum anderen dem Datenschutz Genüge tut. Ein Ergebnis: Bisher wurde die App – Stand Anfang dieser Woche – 27 Millionen Mal heruntergeladen (was natürlich nicht bedeutet, dass auch 27 Millionen Menschen sie nutzen, aber das nur am Rande).

Bei der Luca-App der Berliner culture4life GmbH, die den Gesundheitsämtern die digitale Nachverfolgung der Kontaktpersonen von Infizierten ermöglichen soll, läuft die Debatte leider anders herum. Die App, bisher mehr als drei Million mal heruntergeladen, kann ab sofort in vielen Bezirken Berlins von Geschäften, Museen, etc. sowie deren Be­su­che­r*in­nen verwendet werden – obwohl klar ist, dass beim Datenschutz deutlicher Nachholbedarf besteht.

Das könnte zum Problem werden, sagte der grüne Abgeordnete und Sprecher für Digitales, Stefan Ziller, der taz: „Bei mangelhaftem Datenschutz wird Luca nicht genutzt“, ist er sich sicher.

Am kommenden Montag will sich der Datenschutz-Ausschuss des Abgeordnetenhauses deshalb auf Antrag der rot-rot-grünen Regierungskoalition mit dem Programm beschäftigen. „Digitalisierung der Gesundheitsämter und digitale Kontaktnachverfolgung per App“ heißt es auf der Tagesordnung unter Punkt 3.

Die App: Wer Geschäfte, Restaurants und Kulturveranstaltungen besuchen will, muss dort seine Kontaktdaten hinterlassen, um im Fall eines Coronafalls einer ebenfalls anwesenden Person informiert werden zu können. Bisher erfolgt das in Berlin entweder händisch auf Papier, manchmal auch beim Kauf der Eintrittskarten im Netz. Mit der Luca-App sollen die Daten gleich digital vorliegen, indem sich Besucher per gescanntem QR-Code über ihr Handy registrieren. Der Clou: Bei einem Coronafall kann das zuständige Gesundheitsamt auf die Daten zugreifen und Kontaktpersonen ausfindig machen. Dieser Zugriff auf Daten macht die App anfälliger für Missbrauch.

Für Cluster: Im Unterschied zur Corona-Warn-App des Bundes, die Kontakte mit anderen Nut­ze­r*in­nen dieser App aufzeichnet, zeichnet die Luca-App registrierte Besuche von Orten auf. Weil auf diese Weise alle Besucher eines möglichen Infektions-„Hotspots“ (Cluster) ermittelt werden können, spricht man auch von Cluster-Erkennung. (taz)

Wie so oft in der Pandemie kommt das Parlament damit ein paar Schritte zu spät. Ende März hatte der Regierende Bürgermeister Michael Müller (SPD) weitgehend eigenmächtig eine Luca-Lizenz für Berlin erworben. Kostenpunkt: knapp 1,2 Millionen Euro allein für das Jahr 2021. Die meisten anderen Bundesländer hatten sich damals schon oder haben sich inzwischen ebenfalls für das von Popmusiker Smudo heftig beworbene Programm entschieden.

Unterstützung für diesen Kurs erhält Müller aus dem Haus von Wirtschaftssenatorin Ramona Pop (Grüne). Dort habe man sich von Anfang an für technische Lösungen der Kontaktnachverfolgung eingesetzt, heißt es auf taz-Anfrage. Und weiter: „Der Senat nimmt die Diskussion um Datenschutz ernst, aber in einer Pandemie überwiegen aus unserer Sicht die Vorteile einer digitalen Kontaktnachverfolgung ohne Zeitverlust.“

Die Gesundheitsämter melden Vollzug

Anders als von vielen befürchtet deutet bisher einiges darauf hin, dass das System, das Gesundheitsämter, Geschäfte und andere Einrichtungen mit deren Be­su­che­r*in­nen und Kunden vernetzt, in Berlin auch wirklich laufen wird. „Unser Gesundheitsamt wäre soweit“, heißt es etwa aus Friedrichshain-Kreuzberg. Und aus Pankow meldet Stadtrat Torsten Kühne (CDU): „Das Bezirksamt hat alle technischen und rechtlichen Voraussetzungen für den Einsatz der Luca-App mittlerweile geschaffen.“ Seit Montag liege auch das nötige Zertifikat der Bundesdruckerei vor. Über diese fälschungssicheren Kommunikations-Zertifikate erfolgt der verschlüsselte Zugriff auf die Luca-Server.

Stefan Ziller, Grüne

„Wenn die Kontaktnachverfolgung das Entscheidende dieser App ist, muss man sicherstellen, dass die Daten geschützt sind.“

Bis Ende dieser Woche sollen dann alle Bezirke angebunden sein, verspricht Senatssprecherin Melanie Reinsch. Und fordert auf zum munteren Download: „Alle Bürgerinnen und Bürger sowie alle Betreibenden mit Publikumsverkehr in Berlin können ab sofort die Luca App herunterladen beziehungsweise sich für Luca Locations registrieren.“

Verpflichtend sei das natürlich nicht, so Reinsch. Aber ihre Einschätzung ist deutlich: „Die digitale Variante über das Luca-System stellt aktuell für die Betreibenden, die Besucherinnen und Besucher und für die Gesundheitsämter die effizienteste digitale Variante dar, weshalb die Nutzung dieses Systems empfohlen wird.“ Schließlich ist die Erfassung von Kundendaten laut der Coronaverordnung verpflichtend.

Haben sich die Be­trei­be­r*in­nen bei Luca registriert, können die Geschäfte, Museen sowie perspektivisch auch die derzeit wegen der hohen Corona-Inzidenz geschlossenen Kneipen, Theater, Restaurants und Clubs beim Einlass auf die vielfach von Hand (und bisweilen schlichtweg falsch) ausgefüllten papiernen Zettel mit Kontaktdaten verzichten. Stattdessen registrieren sich Be­su­che­r*in­nen digital mittels eines QR-Codes.

Im Falle einer gemeldeten Corona-Infektion eines Gastes greift das zuständige Gesundheitsamt auf die gespeicherten Daten zu und ermittelt mögliche Kontaktpersonen. Ein Schritt, der – zumindest bisher – mit der Corona-Warn-App des Bundes nicht möglich ist. Ein Fehler, wie der Grüne Ziller meint: „Der Bund hätte die App stringenter weiterentwickeln müssen.“

Dieser Zugriff der Luca-App auf persönliche Daten macht Datenschützer jedoch schon lange hellhörig, auch weil die Ent­wick­le­r*in­nen diesen Aspekt lange vernachlässigten – ein häufiges Problem bei privatwirtschaftlich entwickelten Programmen dieser Art. Kritiker etwa aus dem Chaos Computer Club (CCC) und anderen Organisationen störten sich zunächst vor allem daran, dass Daten im Gegensatz zur anonymen Corona-Warn-App zentral gespeichert werden. Dies wecke Begehrlichkeiten bei Strafverfolgungsbehörden und Geheimdiensten. Am Mittwoch rief der CCC dazu auf, für die Luca-App keine Steuergelder mehr auszugeben. Sprecher Linus Neumann sprach von einer „nicht abreißenden Serie von Sicherheitsproblemen“.

Außerdem wurde bemängelt, dass die App nicht quelloffen, also open source, entwickelt wurde. Aber auch nachdem die Luca-Entwickler die Öffnung zusagten und diese nun sukzessive umsetzen, änderte das wenig an der Kritik – im Gegenteil. Schnell wurde klar, dass die App nicht sauber mit den Lizenzen von verwendeten Open-Source-Komponenten umgegangen war. „Dass der Quellcode erst auf öffentlichen Druck veröffentlicht wird, halte ich für schwierig“, sagt Ziller. Generell gelte in Hinblick auf den Datenschutz: „Da sind viele Fragen offen.“

Der Abgeordnete warnt indes vor Zeitdruck: „Wenn die Kontaktnachverfolgung das Entscheidende dieser App ist, muss man sicherstellen, dass die Daten geschützt sind. Da darf es keine Kompromisse geben.“

Ähnlich hatte sich der Datenschutzexperte der Linken, Sebastian Schlüsselburg, in der taz geäußert: „Ich verlange, dass vor Beginn der Nutzung der App sämtliche noch offenen datenschutzrechtlichen Fragen geklärt werden gemeinsam mit der Berliner Datenschutzbeauftragen Maja Smoltczyk.“ Dafür ist es nun zu spät.

Selbst in der Senatskanzlei gibt man Nachbesserungsbedarf beim Datenschutz zu. „Der Hersteller steht in engem Kontakt sowohl mit der Bund-Länder-Taskforce der Datenschutzaufsichtsbehörden sowie mit dem Bundesgesundheitsministerium, um das Luca-System stetig weiterzuentwickeln und sicherer zu machen“, betont Sprecherin Reinsch.

Denn nicht nur die Abgeordneten erhöhen den Druck, sondern auch die Bezirke. „Das Bezirksamt geht davon aus, dass die seitens der Landesbeauftragten für Datenschutz geäußerten Hinweise zum Einsatz der Luca-App durch den Senat geklärt wurden beziehungsweise zeitnah werden“, so Pankows Stadtrat Kühne. Smoltczyk hatte unter anderem gefordert, die Hürden für Hacker zu erhöhen.

Die App ist kein Allheilmittel

Kühne dämpft zugleich die hohen Erwartungen an die App. Da diese keinen Abstand zwischen Personen misst, sondern nur erfasst, wer sich zeitgleich an einem Ort aufhält, ist „ihr Einsatz bei Einrichtungen mit einer größeren Anzahl von Be­su­che­r*in­nen oder Kun­d*in­nen nur begrenzt sinnvoll“. Das jeweilige Hygienekonzept, sprich Abstand und Maske, müsse trotz Luca sowieso strikt eingehalten werden.

„Es wäre durch die Gesundheitsämter nicht leistbar, Hunderte Personen, die sich zeitgleich mit einer positiv getesteten Person an einem Ort aufgehalten haben, zu kontaktieren, um hier aufwendige Recherchen bezüglich der einzelnen Aufenthaltsorte und Abstände innerhalb einer Einrichtung durchzuführen“, so Kühne. Bei größeren Einrichtungen sei es deshalb sinnvoll, einzelne Bereiche zu schaffen, wo man gesondert per App eincheckt.

Wahrscheinlich ist Luca aber auch gar nicht der letzte Schluss in dieser Debatte. „Die Luca-App hat zügig eine digitale Lösung aufgezeigt und ist damit auch Türöffner für weitere Anbieter, die ähnliche Apps entwickelt haben“, so ein Sprecher von Wirtschaftssenatorin Pop. Zudem gebe es die Ankündigung, die Corona-Warn-App des Bundes zu erweitern. „Das sind positive Entwicklungen, die zu begrüßen sind“, erklärte der Sprecher weiter. „Ob es den Gesundheitsämtern gelingt, Schnittstellen zu zahlreichen Systemen zu etablieren, wird sich zeigen.“

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Wir würden Ihnen hier gerne einen externen Inhalt zeigen. Sie entscheiden, ob sie dieses Element auch sehen wollen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Wir würden Ihnen hier gerne einen externen Inhalt zeigen. Sie entscheiden, ob sie dieses Element auch sehen wollen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Die Coronapandemie geht um die Welt. Welche Regionen sind besonders betroffen? Wie ist die Lage in den Kliniken? Den Überblick mit Zahlen und Grafiken finden Sie hier.

▶ Alle Grafiken

Mit der taz Bewegung bleibst Du auf dem Laufenden über Demos, Diskussionen und Aktionen in Berlin & Brandenburg. Erfahre mehr

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de

Ihren Kommentar hier eingeben