Datenschützer sind nicht begeistert von der Luca-App

Geschäfte mit Luca

Die Luca-App wird als Ausweg aus der Covid-19-Pandemie und Retterin der Kulturindustrie vermarktet und gefeiert. Dabei ließen sich mit ihr nur jene Infektionen nachverfol­gen, die bereits bestanden haben.
Kommentar Von

Das Prinzip der App Luca ist einfach: Wer zum Beispiel eine Kneipe, ein Konzert oder ein Museum besucht, scannt einen QR-Code und trägt sich auf diese Weise in eine digitale Liste ein. Sollte sich herausstellen, dass sich an diesem Ort zur gleichen Zeit eine mit Sars-CoV-2 infizierte Person aufgehalten hat, werden alle, die diesen Code gescannt hatten, per App informiert, ebenso wie das Gesundheitsamt.

Anzeige

Das klingt zu schön, um wahr zu sein. Wegen ihrer zahlreichen technischen Sicherheitslücken sind Datenschützer und IT-Expertinnen nicht begeistert von der App: Die gesammelten personenbezogenen Daten könnten in falsche Hände geraten und missbraucht werden. Es sei fraglich, ob die Daten ausreichend geschützt werden und ob das Konzept, mit dem Daten verschlüsselt und die Sicherheitsschlüssel verteilt werden, ausreichend ist.

Unter anderem ist es möglich, sich von beliebigen Orten aus anzumelden. Dies führte Fernsehmoderator Jan Böhmermann in der vergangenen Woche anschaulich vor, der sowohl entsprechende Fotos von QR-Codes aus dem Osnabrücker Zoo als auch aus dem Modehaus in Bohmte via Twitter verbreitete, mit denen sich Menschen an diesen beiden Orten einchecken konnten. Man kann durch Ausprobieren von Webadressen an Daten diverser Standorte und ihrer Besucher und Besucherinnen gelangen und sich unter ausgedachter oder fremder Identität im System anmelden. Außerdem lässt sich das System zum Versenden von Spam-SMS missbrauchen.

Einige Datenschutzbehörden gaben zunächst positive Stellungnahmen zu Luca ab, änderten diese jedoch stillschweigend auf ihren Websites, nachdem sie sich näher mit dem System befasst hatten. Die meisten Bundesländer haben bereits Lizenzen für die App erworben – ohne vorherige Ausschreibung und ausreichende datenschutzrechtliche Prüfung. Dabei gibt es zahlreiche andere Anbieter vergleichbarer Systeme, und eine ähnliche Funktion wird gerade in die offizielle Corona-Warn-App des Robert-Koch-Instituts eingebaut.

Als die Entwickler den Programmcode der App als Open Source veröffentlichten, taten sie dies mit einer so eingeschränkten Lizenz, dass es für professionelle Analysten und Journalisten nicht möglich gewesen wäre, über gefundene Fehler zu berichten. Zudem haben die Entwickler das Urheberrecht verletzt, indem sie einen fremden Programmcode verwendeten, dessen beiliegende Urheberrechtshinweise jedoch einfach löschten. Das erhöht nicht gerade das Vertrauen.

Trotz dieser recht umfangreichen und durchaus handfesten Kritikpunkte hat Michael Bernd Schmidt, Teilhaber an Luca und besser bekannt unter dem Künstlernamen Smudo, den wahren Grund für all die Vorwürfe gefunden. »Ich führe die Schärfe der Angriffe gegen uns auch auf eine Kränkung der Szene zurück, die aus der mangelnden Pflege der Corona-Warn-App resultiert«, sagte er dem Handelsblatt zufolge. Der Rapper der Gruppe Die Fantastischen Vier hat den Eindruck, dass die App als Sündenbock herhalten muss, und findet absurd, »was für eine Phantasie aufgebracht wird, was wir alles im Schilde führen könnten«.

»Im Schilde führen« ist leider das treffende Stichwort, denn genau darum geht es beim Datenschutz: Wenn Firmen, die gewinnorientiert wirtschaften, mit personenbezogenen Daten hantieren, sollte man nicht darauf vertrauen müssen, dass sie sorgsam mit diesen Daten umgehen werden. Das gilt ganz besonders, wenn eine Datenbank Informationen darüber enthält, wann und wo Millionen Menschen sich aufgehalten haben und wer von ihnen mit Sars-CoV-2 infiziert war. Ein besonderer Vertrauensvorschuss ist nicht angebracht bei einem Start-up, das in so kurzer Zeit so viele Fehler gemacht hat.