piwik no script img

Niedergang der Luca-AppDaten auf dem Wühltisch

Die Luca-App fliegt vielerorts aus dem Kanon der Pandemiebekämpfung. Doch die Macher suchen nach Rechtfertigungen, die Daten weiterzuverwenden.

Was passiert mit den in der Pandemie gespeicherten Daten? Foto: Oliver Ruether/laif

Flap, flap, flap. Wie ein Kartenhaus fällt in diesen Wochen die Daseinsberechtigung für die Luca-App, die Gesundheitsämtern bei der Kontaktnachverfolgung helfen sollte, in sich zusammen. Ein Bundesland nach dem anderen lässt die Verträge mit der zugehörigen Firma culture4life auslaufen oder kündigt sie. Das Unternehmen bietet jetzt schon 50-prozentige Rabatte plus monatliche Kündbarkeit der Verträge an. Die Luca-App, im vergangenen Frühjahr noch in Talkshows zum großen Hoffnungsträger für die Eindämmung der Pandemie geredet, liegt auf dem Wühltisch.

Der Sinn der App, das kurz zur Erinnerung, bestand vor allem darin, die Kontaktnachverfolgung von mit Sars-CoV-2 infizierten Personen durch die Gesundheitsämter von Stift, Papier, Fax und Exeltabellen auf QR-Codes und digitale Übertragungswege umzustellen. Vor einem Jahr erlebte die App ihren Hype-Höhepunkt und durchlief dann den klassischen Hype-Cycle in abgekürzter Form: Nach dem Höhepunkt, der beispielsweise den damals Regierenden Bürgermeister von Berlin einigermaßen sachkenntnisbefreit sagen – und vermutlich auch so entscheiden – ließ: „Ich will jetzt endlich auch diese Luca-App haben“, ging es ziemlich schnell runter ins Tal der Enttäuschungen: Die Gesundheitsämter stellten bald fest, dass es mit der App nicht einfacher wird, sondern im Gegenteil die Daten von Kontaktpersonen vor allem mehr werden und dabei nicht unbedingt von besserer Qualität sind. Flap.

Si­cher­heits­for­sche­r:in­nen deckten Lücke um Lücke auf und Jan Böhmermann zeigte einen Hack für An­fän­ge­r:in­nen, der diverse Konzeptfehler der App auf einmal veranschaulichte. Flap. Im November entschied dann das Oberlandesgericht Rostock, dass die Direktvergabe der Luca-Lizenz durch das Land Mecklenburg-Vorpommern vergaberechtswidrig war und damit unwirksam ist. Flap. Straf­ver­fol­ge­r:in­nen greifen in mindestens einem Fall auf persönliche Daten von Luca-Nutzer:innen zu – ohne Rechtsgrundlage. Der Fall schlägt Wellen über Deutschland hinaus. Flap, flap.

Und nun, wo die Pandemie in Europa in ihr drittes Jahr geht, die Zahlen in vorher nicht gekannte Höhen steigen und die Gesundheitsämter es schon lange aufgegeben haben, noch annähernd hinterherzukommen, kündigen reihenweise Bundesländer die Verträge mit culture4life oder verzichten auf Verlängerung. Zu einem Plateau der Produktivität, das der Hype-Cycle eigentlich zum Ende hin noch vorsieht und in dem sich das gehypte Produkt auf realistischem Niveau bewährt, kam es nicht. Oder muss man sagen: noch nicht?

„Gewöhnungseffekt wird bleiben“

Einer, der nicht nur Luca, sondern auch das System dahinter früh kritisiert hat, ist der Jurist und Datenschutzexperte Malte Engeler. Er sagt: „Einerseits haben wir uns daran gewöhnt, beim Betreten öffentlicher Orte Spuren zu hinterlassen. Wir haben das gesellschaftlich akzeptierte Maß an Überwachung erhöht. Dieser Gewöhnungseffekt wird bleiben, fürchte ich.“ Zwar ist aus den meisten Landesverordnungen nach und nach die Pflicht verschwunden, eine Kontaktnachverfolgung über das Erheben persönlicher Daten zu regeln. Das machte den Weg frei für den Einsatz der Corona-Warn-App auch bei Veranstaltungen oder in Restaurants.

Diese App funktioniert, ohne dass Nut­ze­r:in­nen persönliche Daten hinterlassen oder angeben. Doch, so Engeler: „Luca ist als App noch immer da und mit ihr auch die Daten der vielen Millionen (Zwangs-) Nutzer*innen.“ Für die weitere Speicherung und Verwendung dieser Daten werde von Seiten der Luca-Betreibergesellschaft und ihrer Investoren jetzt fieberhaft nach einer Rechtfertigung gesucht werden. Eine Idee, die anscheinend schon früh im vergangenen Jahr bei dem Unternehmen kursierte, wie Hinweise vom Chaos Computer Club und der Transparenz-Plattform fragdenstaat im vergangenen April zeigten.

Rechtfertigung für Datenspeicherung

Und tatsächlich: Die Akteure hinter der Luca-App arbeiten daran. So skizzierte culture4life im Januar pünktlich zur Diskussion darüber, ob die Kombination aus Impfungen und Omikron die Pandemie in absehbarer Zeit zur Endemie machen werde, ein paar Ideen dazu, wie es weitergehen könnte. „Bürger:innen können über die luca App ihrem zuständigen Gesundheitsamt ihren Impfstatus freiwillig mitteilen“, heißt es da. Das wäre also eine Verarbeitung von Gesundheitsdaten, für die noch einmal strengere Regeln gelten, und für die Nut­ze­r:in­nen dem Anbieter in besonderem Maße vertrauen können sollten.

Weiter im Ideenfundus der Luca-Macher: „Mit der Funktion einer digitalen ID, basierend auf dem Personalausweis, wie es bereits in anderen Ländern möglich ist, will luca eine wesentliche Vereinfachung für Gastronomen und Veranstalter ermöglichen.“ Die Rede ist davon, dass Be­su­che­r:in­nen sich mit der ID, mit der ihr detaillierter Corona-Impfstatus verknüpft ist, sowie eventuell benötigten Tickets für den Eintritt gegenüber Veranstaltern ausweisen könnten. Während also etwa der Bundesgesundheitsminister sich gegenüber der Idee eines Registers, das den Impfstatus von Personen katalogisiert, aus Datenschutzgründen jüngst gerade abgeneigt gezeigt hat, will Luca das – auf freiwilliger Basis – werden. Samt noch ein paar mehr personenbezogener Informationen.

„Maximalst unsympathisch“

„Das Perfide ist ja, dass Luca ohne die Pandemie niemals so viele Millionen Nut­ze­r*in­nen hätte“, sagt Engeler. Er bezeichnet es als „maximalst unsympathisch, diese mit Steuermitteln finanzierte Zwangs-User-Basis jetzt zur Grundlage für ein völlig Pandemie-unabhängiges Geschäft zu verwerten“. Die Kosten aller Bundesländer, die das Luca-System einsetzten, belaufen sich Berichten zufolge auf über 20 Millionen Euro. Kosten, auf denen die Länder sitzen bleiben, weil der Bund sie nicht übernimmt, obwohl das zwischenzeitlich im Raum stand.

Dies in Kombination mit der überschaubaren Unterstützung der App plus der Tatsache, dass die bundeseigene Corona-Warn-App mittlerweile längst ebenfalls eine Check-in-Funktion für Veranstaltungen und Lokalitäten bekommen hat, dürfte die Motivation der Länder, auf das Wühltischangebot der Luca-Unternehmer einzugehen, weiter verringern.

Ausgabe von Millionen an Steuergeld

„Ohne den PR-Erfolg der Luca-App, dem auch viele Po­li­ti­ke­r:in­nen zu unkritisch zum Opfer fielen, würden heute nicht so viele nutzlose Luca-Codes an Türen hängen, die nach wie vor fleißig mit Luca-Apps gescannt werden, ohne dass irgendjemand irgendetwas mit den dabei erzeugten Daten anfangen wird“, kritisiert die Linken-Netzpolitikerin und Bundestagsabgeordnete Anke Domscheit-Berg. „Von öffentlichen Auftraggebern erwarte ich mehr Sorgfalt und Vorsicht bei der Ausgabe von Millionen Euro Steuergeldern.“ Nun komme es darauf an, dass die aufgebaute Datenbasis nicht zweckentfremdet werde, dass also zur Pandemiebekämpfung erhobene Daten nicht einfach in den Datenpool einer künftigen Ticketing-App mit Ausweisfunktion laufen.

Nun kann es manchmal hilfreich sein, wenn Kartenhäuser einstürzen. Es lässt sich etwas daraus lernen. Anke Domscheit-Berg hält dem Negativbeispiel Luca als Positivbeispiel die Corona-Warn-App entgegen: Open Source, transparente Entwicklung, eine Bereitschaft, auf Feedback einzugehen, und eine Beteiligung von Datenschützer:innen. „Das sollte ein Vorbildprozess für die Entwicklung von Software durch die öffentliche Hand sein“, sagt Domscheit-Berg.

Alleine: Die Corona-Warn-App ist eine Ausnahme. Engeler: „Eigentlich kann man aus Luca nur die Lehre ziehen, dass wir in Deutschland ein ganz grundsätzliches digitalpolitisches Problem haben.“ Die Probleme seien seit den 1980er Jahren, in denen Deutschland entschied, statt auf die leistungsfähigeren Glasfaserkabel auf Kupferkabel für den Netzausbau zu setzen, die gleichen: „Klüngelei, falsche Prioritäten und kurzfristiges Denken.“ Seine Hoffnung: „Ein Unternehmen, das sich derart unfähig erwiesen hat, sichere IT zu bauen, wird es hoffentlich am Markt schwer haben.“

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Mehr zum Thema

16 Kommentare

 / 
Kommentarpause ab 30. Dezember 2024

Wir machen Silvesterpause und schließen ab Montag die Kommentarfunktion für ein paar Tage.
  • Die Corona-Warnapp ist keine Glanzleistung: sie kam reichlich spät, und die laufenden Kosten für den Betrieb sind astronomisch hoch. Bisher rund 130 Mio Euro hat sie verschlungen!



    Entwickelt von SAP und T-Systems, also daher nicht weiter verwunderlich.

    Andere Länder hatten ihre Warnapp deutlich schneller und günstiger! Die CWA ist in der Verfügbarkeit eher Mittelfeld, was einfach der deutschen Wurstigkeit geschuldet ist. Immerhin gab es sie noch deutlich früher als das Pendant im Vereinigten Königreich.

    Luca wurde nur deswegen groß, weil die CWA ursprünglich keinen Check-In besaß, und viele Gastronomen einfach auf die Zettelwirtschaft keine Lust hatten. Es hat für viele das Leben einfacher gemacht, aber die Gesundheitsämter sind ja noch irgendwo in den 70ern ohne Internet stecken geblieben, also ist der Nutzen da doch eher gering.

    Und zum Thema Deutschland hat ein digitalpolitisches Problem: ja, das hat es. Das ist auch schon lange bekannt. In kaum einem Land sonst in Europa ist seit dem Aufkommen des Internets die Gesetzgebung durchgängig so internetfeindlich wie bei uns. NetzDG, Leistungsschutzrecht, Art. 13 Uploadfilter, Abmahnungsindustrie und vieles mehr. Da ist es doch kein Wunder, dass gute Entwickler lieber ihre Firmen im Ausland gründen, wo der Staat sie durchgängig weniger mit sinnfreien Regelungen von Internetausdruckern drangsaliert als in Deutschland.

  • Anwesenheitsverfolgung geht doch heute so, zuletzt im Restaurant: "Sind Sie geimpft?" -- "Ja, doppelt und geboostert." -- "Können Sie das nachweisen?"

    Das kann ich, und hole drei digitale Impfzertifikate auf Papier hervor. Der Kellner guckt kurz, ob ein QR-Code drauf ist, liest den aber nicht ein, und will auch meinen Ausweis nicht sehen.

    Für so einen Blödsinn braucht man doch nun wirklich keine App.

  • Hier fehlen doch einige Arguemnte. Das größte Problem sind dann erst einmal die Datenschützer, die in ihrer Selbstherrlichkeit den Zusammenhang von massivem Datenschutz und Nutzen von Daten bestreiten. Die Luca App konnte doch nur auf den Markt kommen, weil man aus Datenschutzgründen bei der CWA (Corona Warn App) auf eine zentrale Speicherung verzichten mußte. Die gesetzlichen Forderungen zur Bereithaltung der Daten für die Gesundheitsämter konnte daher nicht durch die CWA erfolgen und Luca sprang in die Breche. Nach den Beschreibungen der CWA werden die Daten trotz Einbuchung nicht weiter gegeben, der Anspruch des Gesetzes kann also nicht erfüllt werden. Durch die Vermischung von Kernfunktion und freiwilliger Datenspende ist die Datennutzung der CWA datenschutzrechtlich nicht mehr nachvollziehbar. Das Datenschutzrechtliche Problem ist doch die Nutzung der Daten, da ist es nachrangig ob die Daten auf einem Blatt Papier oder in einer App gesammelt werden. Da muss der Datenschutz klarer geregelt werden. Falls staatliche Stellen über das Nutzungszeil hinwegsetzen und entgegen den Vorstellungen des Gesetzgebers die Daten nutzen müsste ein Aufschrei durch die Datenschutzszene gehen. Leider ist nur ein unverständliches Grumeln zu hören. Das liegt auch an dem deutschen Sonderweg durch das Recht auf Anonymität Datenschutz herstellen zu wollen. Der Missbrauch von Daten muss empfindlich bestraft werden, die Verfügbarkeit von Daten begrenzen zu wollen scheitert immer wieder. Das Problem begann damit, dass das Internet nichts vergisst. Falls ich einen Zeitungsartikel ausschneide kann diese Information auch keiner zurückholen. Im Endeffekt sehen ca 98% der Internetnutzer nur das was Google zeigt. Andere Daten finden nur noch Spezialisten, wenn man keinen Spezialisten hat, der die Speicher im Internet austrickst indem er die unerwünschte Information durch andere Informationen überschreibt. Die Nutzung von Kupferkabel ist oft sinnvoll, was hat das mit Datenschutz zu tun?

  • Klar: Luca-App ist blöse, aber warum wird im Text immer von einer Zwngsnutzung gesprochen? Da war und ist doch freiwillig?

  • Es gibt viele Apps, bei denen man seine persönlichen Daten abladen kann, wenn man das möchte. Und das ein privatfinanziertes Projekt mit den branchenüblichen "Time-to-Market"-Anforderungen Sicherheitsmängel aufweist, ist auch nicht außergewöhnlich.



    Es absolut in Ordnung und nachvollziehbar, dass Smudo dort mitmacht.

    Problematisch ist die Tatsache, dass Politiker sich in Smudos Licht sonnen wollen und deswegen offenbar jegliche Regeln zur Kontrolle der Ausgabe von Steuergeldern über Bord werfen.

    Ich musste die Luca-App einmal nutzen und habe mein Profil danach direkt wieder gelöscht. Ich gehe im Moment davon aus, dass meine Daten wie angegeben nach 28 Tagen gelöscht wurden.

    Die Corona-Warn-App ist im Punkt Datenschutz sicher ein Positiv-Beispiel. Ich verwende sie immer noch. Die hat aber pro Jahr auch 60 Millionen gekostet. Und darüber sollte man vielleicht nochmal nachdenken.

  • Hallo Smudo,



    hallo,alles klar,



    dein Konto wuchs ja stetig,



    seit letztem Jahr.



    Und ich muss dir sagen,



    von Anfang an war klar,



    es gibt sehr viele Fragen,



    und das ist war.

    Ist es die App,



    die der Allgemeinheit nützt ,



    oder die App,



    die nur Investoren untersützt.



    Ist es die App,



    die allen helfen kann,



    nein, die App ist



    ein riesen Flopp, Mann.

    Es war die App, die App, die App



    die viele dastehn lässt,



    wie ein Depp, ein Depp, ein Depp....

    • 9G
      95820 (Profil gelöscht)
      @Klaus Waldhans:

      Es war 'ne Rapp-App



      und jeder Depp Depp



      musste sie haben.



      Beim Geld-Vergraben



      half Politik



      das war der Trick.



      Kretsche und Co



      beim Griff ins Klo



      ganz vorne dran



      oh, welch ein Wahn.

      (Warten auf Donnerstag)

      • @95820 (Profil gelöscht):

        Doch jetzt macht es Flap Flap Flap



        mit Depp-Rap-App



        und hoffentlich ist diese Datenkrake dann bald endlich weg weg weg

  • Es gibt viele Apps, bei denen man seine persönlichen Daten abladen kann, wenn man das möchte. Und das ein privatfinanziertes Projekt mit den branchenüblichen "Time-to-Market"-Anforderungen Sicherheitsmängel aufweist, ist auch nicht außergewöhnlich.



    Es absolut in Ordnung und nachvollziehbar, dass Smudo dort mitmacht.

    Problematisch ist die Tatsache, dass Politiker sich in Smudos Licht sonnen wollen und deswegen offenbar jegliche Regeln zur Kontrolle der Ausgabe von Steuergeldern über Bord werfen.

    Ich musste die Luca-App einmal nutzen und habe mein Profil danach direkt wieder gelöscht. Ich gehe im Moment davon aus, dass meine Daten wie angegeben nach 28 Tagen gelöscht wurden.

    Die Corona-Warn-App ist im Punkt Datenschutz sicher ein Positiv-Beispiel. Ich verwende sie immer noch. Die hat aber pro Jahr auch 60 Millionen gekostet. Und darüber sollte man vielleicht nochmal nachdenken.

  • Luca hin, Luca her -- die App muss doch nur als Sündenbock für all die Fehler in der Pandemiebekämpfung herhalten (wofür sie sich, zugegeben, auch vorzüglich eignet).



    Viele Fehler waren unvermeidbar, manche von Anfang an offensichtlich.

    Aber der illiberale Trend und damit die Idee nicht nur hinter Luca begleitet uns doch schon seit über 20 Jahren: wieviele der nach 9/11 eingeführten Datensammlungen, Einschränkungen, Überwachungsapparate sind je auf Sinnhaftigkeit überprüft und wieder abgebaut worden?

  • Was sagt eigentlich Smudo dazu?

  • 9G
    95820 (Profil gelöscht)

    „Das Unternehmen bietet jetzt schon 50-prozentige Rabatte plus monatliche Kündbarkeit der Verträge an.“ Die könnten ja noch eine Autogrammstunde mit Smudo obenauf legen. Und ein Kilo Räucheraal und eine Tüte überreife Bananen… Und ein Freikonzert der Fanta4 auf dem Hamburger Fischmarkt



    de.wikipedia.org/wiki/Aale-Dieter



    taz.de/Kritik-an-L...n-Berlin/!5827211/

  • Tja, das passiert wenn sich Politik (wie so oft) über den Rat von Experten hinwegsetzt. Hätte man alles vorher wissen können, bzw. wusste man.

  • Mal blöd gefragt: Wo ist die App Zwang gewesen? Ich habe eigentlich immer alternativ meine Daten auf Papier hinterlegen können (was eigene Probleme mit sich bringt, aber das ist ein anderes Thema)