taz.de -- Streit um Luca-App in Berlin: Sicher ist anders

Stundenlang befragen Abgeordnete den Senat, Datenschützer, Entwickler. Ergebnis: Es gibt schlechtere Anbieter, aber sicher ist die Luca-App nicht.

Berlin taz | Die Liste der Fragen ist selbst für ein umstrittenes Thema ungewöhnlich lang: Mehr als eine Stunde dauert allein die erste Fragerunde zum Thema Luca-App im Ausschuss für Datenschutz des Abgeordnetenhauses – wohlgemerkt ohne die Antworten. Die App wurde von der Öffentlichkeit weitgehend unbemerkt in Berlin von Senat, Nutzer:innen und Gesundheitsämtern [1][in den letzten Tagen an den Start gebracht].

Eingeladen, die Umstände der Einführung zu erklären, sind an diesem Montagnachmittag unter anderem Vertreter des Entwicklers Culture4Life GmbH, die für den Betrieb zuständige Senatsverwaltung für Gesundheit und Berlins Landesbeauftragte für den Datenschutz, Maja Smoltczyk. Am Ende, nach knapp zweieinhalb Stunden, sind viele neue Informationen über Luca bekannt.

Und trotzdem zieht der Datenschutzexperte der Linken, Sebastian Schlüsselburg, ein ernüchterndes Fazit: „Es sind noch nicht alle Datenschutzprobleme gelöst“, schreibt er bei Twitter. „Trotzdem ist sie an die Gesundheitsämter angeschlossen worden. Das ist ein Problem.“

Die Luca-App soll den Ämtern ermöglichen, die Kontakte von bestätigten Covid-Infizierten nachzuverfolgen. Dafür muss, wer etwa ein Geschäft oder ein Museum besucht – künftig auch ein Theater oder ein Kino – mittels der App seine persönlichen Daten kontaktlos beim Inhaber oder Betreiber hinterlassen. So sollen händisch ausgefüllte Kontaktbögen ersetzt und die Nachverfolgung im Falle eines Falles beschleunigt werden. Die Nutzung von Luca ist laut Senat nicht verpflichtend, wird aber sowohl Bürger*innen wie Geschäften wärmstens empfohlen.

Anders als bei der mit bis zu 70 Millionen Euro entwickelten Corona-Warn-App des Bundes, die bisher eine solche Nachverfolgung nicht leisten kann, werden die Daten bei Luca zentral verwaltet. Ein Problem, wie Datenschützerin Smoltczyk am Montag noch einmal betont: „Wo eine Vielzahl personenbezogener Daten zentral gespeichert werden, kann auch eine Vielzahl dieser Daten entwendet werden.“ Besonders pikant: Durch die Auflistung zahlreicher Aufenthaltsorte ließen sich fast schon Bewegungsprofile einzelner Personen erstellen.

Doch es gibt laut Smoltczyk noch zahlreiche weitere Probleme: Das System lasse sich manipulieren; so könnten sich Personen in Listen von Veranstaltungen eintragen, [2][auf denen sie gar nicht gewesen sind]. Für Geschäftsinhaber sei unklar, ob ein Datenabruf wirklich von einem Gesundheitsamt komme oder von jemand anderem. Zudem würden Kunden nicht genügend über die Nutzungsbedingungen und den Datenschutz aufgeklärt.

„Ein bunter Strauß an Problemen, die zum großen Teil lösbar sind“, fasst Maja Smoltczyk zusammen und fügt hinzu: „Aber eben auch gelöst werden müssen.“ Immerhin gebe es dafür die Bereitschaft des Entwicklers, betonte sie – das sei in so mancher Senatsverwaltung in Berlin nicht der Fall. Smoltczyk geht davon aus, dass es mindestens bis Sommer dauern werde, bis Luca datenschutzkonform sein kann.

Umstrittener Erwerb

Viele Unklarheiten ranken sich zudem um den Erwerb einer Lizenz für die App, für die Berlin rund 1,2 Millionen Euro allein für 2021 zahlt. Der Regierende Bürgermeister Michael Müller (SPD) hatte dies Ende März bekannt gegeben, und es wirkte so, als habe er weitgehend auf eigene Faust gehandelt. Im Ausschuss wird ihm deshalb, sogar von einem Mitglied der eigenen Partei, unterstellt, von dem Thema (zu) wenig Ahnung zu haben.

Laut einem Vertreter der Senatsverwaltung für Gesundheit von Senatorin Dilek Kalayci (SPD) stellt sich der Erwerb ein bisschen anders dar. Nach der Konferenz der Ministerpräsident*innen mit Kanzlerin Angela Merkel (CDU) am 3. März, bei der der Beschluss für den Erwerb eines digitalen Nachverfolgesystem gefallen sei, habe man sich intensiv mit den zahlreichen auf dem Markt befindlichen Apps beschäftigt. Luca sei für die Gesundheitsämter am passendsten, so das Ergebnis. Zudem sei es „derzeit das effektivste System“.

Auch die Bezirke, unter deren Hoheit die Ämter stehen, hätten sich für Luca stark gemacht. Das bestätigt Neuköllns Stadtrat Falko Liecke (CDU): „Ich kenne keinen Bezirk, der diese App nicht nutzen will.“ Und was die Finanzierung angeht, gibt es offenbar die Zusage des Bundes, die Kosten für die nächsten 18 Monate zu übernehmen.

Selbst für Patrick Hennig vom Luca-Entwickler Culture4Life GmbH steht außer Frage, „dass solche Systeme missbraucht werden können“. Was aktuell in der Kritik stehe, seien vielfach aber keine konzeptionellen Fehler, sondern bewusste Entscheidungen. „Wir wollten nicht, dass Geodaten oder der Personalausweis überprüft werden müssen“, sagt er. Auch sei wichtig gewesen, dass die Betreiber der Geschäfte keinen Zugriff auf die Daten der Kunden hätten. Nach seiner Auskunft hätten inzwischen 4,3 Millionen Menschen die App heruntergeladen; bundesweit 230 Gesundheitsämter würden sich an das Luca-System anschließen lassen.

Datenschutz einbeziehen

„Wir haben von Anfang an versucht, die Datenschutzbehörden einzubeziehen“, betont Hennig. Die jüngsten Zugeständnisse – etwa die inzwischen komplette Offenlegung des Quellcodes – seien indes nicht selbstverständlich. „Das ist ein sicherheitskritisches System; da veröffentlicht man nicht nebenbei den Quellcode.“ Insgesamt vier Wochen lang würden die persönlichen Daten gespeichert, verrät Hennig, und erklärt: „Das System ist sicher.“ Um dann hinzuzufügen: „Es kann noch sicherer werden.“

Vielfach geteilt wird im Ausschuss die Aussage von Sabine Smentek. Sie ist als Staatssekretärin in der Senatsinnenverwaltung für die Digitalisierung der Verwaltung zuständig. „Grundsätzlich ist es besser, erst die Lösung für ein Problem zu suchen, und dann das Produkt“, sagt sie.

Die Notwendigkeit für Lösungen hat die Politik jedoch zu spät erkannt, genauso wie die Option, die Corona-Warn-App in diese Richtung weiterzuentwickeln. Nun steigt der Druck, neben den Geschäften auch der Kultur bald die Möglichkeit zu bieten, coronasicher wieder Angebote machen zu können für Veranstaltungen vor Publikum.

20 Apr 2021

LINKS

AUTOREN

TAGS

ARTIKEL ZUM THEMA

Linke, Grüne und Datenschützer drängen darauf, den Vertrag mit der Nachverfolgungs-App zu kündigen. Diese habe nur die negativen Erwartungen erfüllt.

Bei der Kontaktverfolgungs-App Luca werden immer mehr Probleme deutlich. Der Datenschutzexperte Malte Engeler beschreibt die App als Überwachungssystem.

Die mangelhafte Digitalisierung gefährde die Arbeitsfähigkeit der Berliner Verwaltung, kritisiert Karin Klingen, Präsidentin des Rechnungshofs.

Theater müssen wegen Corona geschlossen bleiben, Museen dürfen öffnen: Wer soll das verstehen? Es muss ein Lockdown her, der diesen Namen verdient.

Spätestens im Juni soll eine Impfung oder ein negativer Test per App nachgewiesen werden können. Bundesregierung setzt auf Open-Source-Lösung.

Die App zur Kontaktverfolgung ist Ende der Woche in ganz Berlin einsatzbereit, sagt die Senatskanzlei. Dabei sind viele Datenschutzfragen ungeklärt.

In Hamburg soll die privatwirtschaftliche Luca-App Infektionsketten ermitteln. Dabei hat der Datenschützer Bedenken.

Die Luca-App zur Corona-Kontaktnachverfolgung ist fehleranfällig – und hat Sicherheitslücken, wie ein Trick von Jan Böhmermann gezeigt hat.