Streit um Luca-App in Berlin: Sicher ist anders

Stundenlang befragen Abgeordnete den Senat, Datenschützer, Entwickler. Ergebnis: Es gibt schlechtere Anbieter, aber sicher ist die Luca-App nicht.

Eine Frau mit Maske hält ein Handy vor einen QR-code

In einigen Geschäften in Berlin ist Luca schon im Einsatz Foto: Christoph Soeder/dpa

BERLIN taz | Die Liste der Fragen ist selbst für ein umstrittenes Thema ungewöhnlich lang: Mehr als eine Stunde dauert allein die erste Fragerunde zum Thema Luca-App im Ausschuss für Datenschutz des Abgeordnetenhauses – wohlgemerkt ohne die Antworten. Die App wurde von der Öffentlichkeit weitgehend unbemerkt in Berlin von Senat, Nut­ze­r:in­nen und Gesundheitsämtern in den letzten Tagen an den Start gebracht.

Eingeladen, die Umstände der Einführung zu erklären, sind an diesem Montagnachmittag unter anderem Vertreter des Entwicklers Culture4Life GmbH, die für den Betrieb zuständige Senatsverwaltung für Gesundheit und Berlins Landesbeauftragte für den Datenschutz, Maja Smoltczyk. Am Ende, nach knapp zweieinhalb Stunden, sind viele neue Informationen über Luca bekannt.

Und trotzdem zieht der Datenschutzexperte der Linken, Sebastian Schlüsselburg, ein ernüchterndes Fazit: „Es sind noch nicht alle Datenschutzprobleme gelöst“, schreibt er bei Twitter. „Trotzdem ist sie an die Gesundheitsämter angeschlossen worden. Das ist ein Problem.“

Die Luca-App soll den Ämtern ermöglichen, die Kontakte von bestätigten Covid-Infizierten nachzuverfolgen. Dafür muss, wer etwa ein Geschäft oder ein Museum besucht – künftig auch ein Theater oder ein Kino – mittels der App seine persönlichen Daten kontaktlos beim Inhaber oder Betreiber hinterlassen. So sollen händisch ausgefüllte Kontaktbögen ersetzt und die Nachverfolgung im Falle eines Falles beschleunigt werden. Die Nutzung von Luca ist laut Senat nicht verpflichtend, wird aber sowohl Bür­ge­r*in­nen wie Geschäften wärmstens empfohlen.

Maja Smoltczyk, Datenschützerin

„Es handelt sich um einen bunten Strauß von Problemen, die zum großen Teil lösbar sind, aber eben auch gelöst werden müssen.“

Anders als bei der mit bis zu 70 Millionen Euro entwickelten Corona-Warn-App des Bundes, die bisher eine solche Nachverfolgung nicht leisten kann, werden die Daten bei Luca zentral verwaltet. Ein Problem, wie Datenschützerin Smoltczyk am Montag noch einmal betont: „Wo eine Vielzahl personenbezogener Daten zentral gespeichert werden, kann auch eine Vielzahl dieser Daten entwendet werden.“ Besonders pikant: Durch die Auflistung zahlreicher Aufenthaltsorte ließen sich fast schon Bewegungsprofile einzelner Personen erstellen.

Doch es gibt laut Smoltczyk noch zahlreiche weitere Probleme: Das System lasse sich manipulieren; so könnten sich Personen in Listen von Veranstaltungen eintragen, auf denen sie gar nicht gewesen sind. Für Geschäftsinhaber sei unklar, ob ein Datenabruf wirklich von einem Gesundheitsamt komme oder von jemand anderem. Zudem würden Kunden nicht genügend über die Nutzungsbedingungen und den Datenschutz aufgeklärt.

„Ein bunter Strauß an Problemen, die zum großen Teil lösbar sind“, fasst Maja Smoltczyk zusammen und fügt hinzu: „Aber eben auch gelöst werden müssen.“ Immerhin gebe es dafür die Bereitschaft des Entwicklers, betonte sie – das sei in so mancher Senatsverwaltung in Berlin nicht der Fall. Smoltczyk geht davon aus, dass es mindestens bis Sommer dauern werde, bis Luca datenschutzkonform sein kann.

Umstrittener Erwerb

Viele Unklarheiten ranken sich zudem um den Erwerb einer Lizenz für die App, für die Berlin rund 1,2 Millionen Euro allein für 2021 zahlt. Der Regierende Bürgermeister Michael Müller (SPD) hatte dies Ende März bekannt gegeben, und es wirkte so, als habe er weitgehend auf eigene Faust gehandelt. Im Ausschuss wird ihm deshalb, sogar von einem Mitglied der eigenen Partei, unterstellt, von dem Thema (zu) wenig Ahnung zu haben.

Laut einem Vertreter der Senatsverwaltung für Gesundheit von Senatorin Dilek Kalayci (SPD) stellt sich der Erwerb ein bisschen anders dar. Nach der Konferenz der Mi­nis­ter­prä­si­den­t*in­nen mit Kanzlerin Angela Merkel (CDU) am 3. März, bei der der Beschluss für den Erwerb eines digitalen Nachverfolgesystem gefallen sei, habe man sich intensiv mit den zahlreichen auf dem Markt befindlichen Apps beschäftigt. Luca sei für die Gesundheitsämter am passendsten, so das Ergebnis. Zudem sei es „derzeit das effektivste System“.

Auch die Bezirke, unter deren Hoheit die Ämter stehen, hätten sich für Luca stark gemacht. Das bestätigt Neuköllns Stadtrat Falko Liecke (CDU): „Ich kenne keinen Bezirk, der diese App nicht nutzen will.“ Und was die Finanzierung angeht, gibt es offenbar die Zusage des Bundes, die Kosten für die nächsten 18 Monate zu übernehmen.

Patrick Hennig, Culture4Life

„Es steht außer Frage, dass solche Systeme missbraucht werden können.“

Selbst für Patrick Hennig vom Luca-Entwickler Culture4Life GmbH steht außer Frage, „dass solche Systeme missbraucht werden können“. Was aktuell in der Kritik stehe, seien vielfach aber keine konzeptionellen Fehler, sondern bewusste Entscheidungen. „Wir wollten nicht, dass Geodaten oder der Personalausweis überprüft werden müssen“, sagt er. Auch sei wichtig gewesen, dass die Betreiber der Geschäfte keinen Zugriff auf die Daten der Kunden hätten. Nach seiner Auskunft hätten inzwischen 4,3 Millionen Menschen die App heruntergeladen; bundesweit 230 Gesundheitsämter würden sich an das Luca-System anschließen lassen.

Datenschutz einbeziehen

„Wir haben von Anfang an versucht, die Datenschutzbehörden einzubeziehen“, betont Hennig. Die jüngsten Zugeständnisse – etwa die inzwischen komplette Offenlegung des Quellcodes – seien indes nicht selbstverständlich. „Das ist ein sicherheitskritisches System; da veröffentlicht man nicht nebenbei den Quellcode.“ Insgesamt vier Wochen lang würden die persönlichen Daten gespeichert, verrät Hennig, und erklärt: „Das System ist sicher.“ Um dann hinzuzufügen: „Es kann noch sicherer werden.“

Vielfach geteilt wird im Ausschuss die Aussage von Sabine Smentek. Sie ist als Staatssekretärin in der Senatsinnenverwaltung für die Digitalisierung der Verwaltung zuständig. „Grundsätzlich ist es besser, erst die Lösung für ein Problem zu suchen, und dann das Produkt“, sagt sie.

Die Notwendigkeit für Lösungen hat die Politik jedoch zu spät erkannt, genauso wie die Option, die Corona-Warn-App in diese Richtung weiterzuentwickeln. Nun steigt der Druck, neben den Geschäften auch der Kultur bald die Möglichkeit zu bieten, coronasicher wieder Angebote machen zu können für Veranstaltungen vor Publikum.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Wir würden Ihnen hier gerne einen externen Inhalt zeigen. Sie entscheiden, ob sie dieses Element auch sehen wollen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Wir würden Ihnen hier gerne einen externen Inhalt zeigen. Sie entscheiden, ob sie dieses Element auch sehen wollen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Die Coronapandemie geht um die Welt. Welche Regionen sind besonders betroffen? Wie ist die Lage in den Kliniken? Den Überblick mit Zahlen und Grafiken finden Sie hier.

▶ Alle Grafiken

Mit der taz Bewegung bleibst Du auf dem Laufenden über Demos, Diskussionen und Aktionen in Berlin & Brandenburg. Erfahre mehr

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de

Ihren Kommentar hier eingeben