Luca App auf dem Smartphone

Luca App: Datenschutz vs. Pandemiebekämpfung?

Kontaktverfolgung als Schlüssel zur Pandemiebekämpfung? Hier setzt die neue App Luca an. Was sich gut anhört, ist aus Datenschutz-Sicht bei dem App-Anbieter Luca aber teilweise kritisch zu bewerten.

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

2021-03-15

Logo
  • Autorin: Kathrin Strauß
    Ursprünglich aus dem Fotografie- & Medien-Bereich kommend, beobachtet Kathrin nun als TÜV-zertifizierte Datenschutzbeauftragte für datenschutzexperte.de alle Entwicklungen der digitalen Datenschutzwelt und macht auch schwierige juristische Sachverhalte zugänglich.

Smudo, Mitglied der Rapgruppe Die Fantastischen Vier, löste eine Welle der Begeisterung aus, als er öffentlich die App Luca vorstellte. Die App, mit der Menschen in Lokalen, bei Konzerten oder Familientreffen eine Art Kontakttagebuch erstellen können, soll Infektionsherde aufspüren und somit nicht nur Infektionsketten unterbrechen, sondern der Schlüssel zum Ende der Corona-Pandemie darstellen. Doch ist es so einfach?
 

Wie funktioniert Kontaktverfolgung mit der Luca App?

Das Luca System setzt, wie manch andere App, die während der Corona-Pandemie erfunden wurde, auf Kontaktnachverfolgungen. So sollen Menschen im Fall eines Corona-Ausbruchs schnell mittels der App vom zuständigen Gesundheitsamt gewarnt werden können. Und so funktioniert die App:

  • Die App Luca wird auf dem Smartphone installiert.

  • Anschließend werden der eigene Name, die Adresse sowie die Telefonnummer in der App hinterlegt. Dies dient dazu, dass jede:r im Fall der Fälle vom zuständigen Gesundheitsamt kontaktiert werden kann.

  • Nun müssen die Nutzer:innen, sobald sie in einen Laden oder ein Konzert gehen, einfach nur einen QR-Code mit Luca scannen. Wird der Ort wieder verlassen, erfasst die App dies auf Wunsch mittels GPS.

  • Für private Treffen wie Familienfeiern kann man eigenständig einen QR-Code in der App erstellen, der von allen Anwesenden, die die App verwenden, benutzt werden kann.

  • Die Daten werden verschlüsselt an zwei deutsche Server übermittelt und dort zwei Wochen lang gespeichert. Im Infektionsfall kann darauf von den Gesundheitsämtern zugegriffen werden – so wird die Kontaktnachverfolgung einfach gestaltet.
     

Luca App & Datenschutz: Wie sicher ist die neue Corona-App?

Die Idee der Kontaktnachverfolgung wurde wiederholt und von verschiedenen Expert:innen und App-Entwickler:innen als Grundstein des Kampfes gegen das Coronavirus ausgemacht. Das Problem an der Sache ist jedoch, dass durch das Erfassen des Standorts der Nutzer:innen ein Bewegungsprofil erstellt werden kann und diese sich somit gläsern machen. Dieses Problem ist bekannt: Laut des Berliner Start-up Nexenio, das Smudos App-Idee umsetzte, haben bei Luca weder die App-Entwickler:innen noch Dritte Zugang zu den gespeicherten Daten. Die von den App-Nutzer:innen erfassten Daten werden zudem auf deutschen Servern gespeichert, die von der Bundesdruckerei organisiert werden sollen.

Nach dem Willen von Politikern, wie NRW-Ministerpräsident Armin Laschet, soll die Luca-App nun flächendeckend eingeführt werden. Und ja, die Macher:innen der App brauchten nach Angaben Smudos gerade mal vier Monate, alle knapp 380 Gesundheitsämter an die App anzubinden. Wo also ist der Haken?

Das Problem aus Datenschutz-Sicht ist, dass die Bewegungsprofile und auch die GPS-Ortung, sofern gewünscht, teilweise hoch sensible personenbezogene Daten erfassen. Nach Aussagen der App-Entwickler:innen wird der Datenschutz bei Luca großgeschrieben. Dennoch wird der Quellcode der App nicht offengelegt und die App wird somit zu einer Blackbox für die übermittelten Daten. Nach SZ-Recherchen haben Datenschutzbehörden, die sich mit dem Datenschutz bei Luca auseinandersetzten, bisher nur die Datenflüsse gesehen – die nicht mit dem übereinstimmen, was auf der Luca-Website kommuniziert wird, denn die Datenflüsse „seien viel zu groß“. Was also passiert mit den Daten in der App?
 

Wie sicher sind meine Daten in der Luca App?

Es gibt keinen öffentlich einsehbaren Code und damit keine Transparenz darüber, wie die App die erhaltenen Daten verarbeitet. Daher ist eine abschließende Beurteilung aus Datenschutz-Sicht schwierig. Denn wenn die App bundesweit ausgerollt werden würde, dann würde sie die Anwender:innen in alle Lebensbereiche mit begleiten – vom Arzt über die Kirche oder Moschee bis hin zu Therapiesitzungen. Alle diese Informationen sind (besonders) schützenswerte personenbezogene Daten, die von einer App verarbeitet werden, deren Funktionsweise nicht nachvollziehbar ist.

Hinzu kommt, dass eine flächendeckende Einführung der App mit Steuergeldern finanziert werden würde. Eine Offenlegung des Quellcodes ist in einem solchen Szenario bei Einführung einer technischen Anwendung eigentlich Pflicht. Öffentliche Gelder, öffentlicher Code sozusagen.

Zudem steht hinter der App nur ein einziges Unternehmen – bei anderen bundesweit eingeführten Lösungen wie der Corona Warn App half ein ganzes Heer aus Expert:innen, Datenschützer:innen, Ethiker:innen und anderen Wissenschaftler:innen mit, nicht nur eine epidemiologisch und virologisch sinnvolle, sondern auch eine moralisch und ethisch bestmöglich App-Lösung zu kreieren. Wird hier bei Luca eine Ausnahme gemacht?
 

Welche Datenschutz-Vorteile oder Nachteile bietet die Luca App gegenüber der Corona Warn App?

Die Luca App will eine flächendeckende Lösung gegen das Corona-Problem darstellen. Ansätze dieser Art gibt es auch bei der Corona Warn App der Bundesregierung. Ihr wurden allerdings Ansätze, die die Luca App verfolgt, aus Datenschutzgründen untersagt. Fest steht also: die Funktionsweise der Luca App ist gut und sinnvoll, aber sie ist nicht die erste App, die diesen Ansatz verfolgt. Andere wurden mangels prominenter Fürsprecher:innen bisher nicht beachtet oder aufgrund sehr hoher datenschutzrechtlicher Anforderungen in ihrer Funktion eingeschränkt. Und das ist gut so, denn (sensible) personenbezogene Daten wie Name, Adresse, Telefonnummer und Bewegungsprofile müssen geschützt werden. Vor allem dann, wenn eine App nicht open source ist und es keine Möglichkeit gibt, herauszufinden, was die App mit den Daten machen. Klingt umständlich? Klingt nach Demokratie.

 

Update vom 15.04.21: Der sog. Luca-Schlüsselanhänger offenbarte eine größere Sicherheitslücke. Via Schwachstelle in der Software des Luca-Systems soll es theoretisch möglich gewesen sein, nachzuvollziehen, wann und wo Menschen mit dem Schlüsselanhänger mittels QR-Code eingecheckt hatten. Bisher seien über 100.000 dieser Schlüsselanhänger ausgegeben worden, wie der Hersteller Nexenio bestätigte. Nexenio erklärte unmittelbar nach Bekanntwerden dieser Sicherheitslücke, diese umgehend geschlossen zu haben. Dennoch nimmt die Kritik an der Luca-App weiter zu, nicht zuletzt, da die von der App erhobenen Daten zentral auf einem Server gespeichert werden. Zweifach verschlüsselt zwar, aber dennoch zentral. Dies stelle ein potenzielles Sicherheitsrisiko dar, wie eine Analyse eines Forschungsteam der Universität EPFL in Lausanne aufzeigte.

Zudem deckte die Plattform netzpolitik.org auf, dass zahlreiche deutsche Bundesländer bisher mehr als 20 Millionen Euro für Lizenzen an der App gezahlt haben – intransparent dabei sind aber sowohl die schwankenden Kosten, die pro Bundesland für die App gezahlt wurden, als auch über die Geschwindigkeit der Vergabeverfahren sowie die fehlenden Ausschreibungen. Nun prüfen die ersten Vergabekammern nach Beschwerden eines konkurrierenden Anbieters bereits, ob alle Richtlinien bei der Vergabe eingehalten wurden. Ein Ergebnis hierzu steht noch aus.
 

Autorin: Kathrin Strauß
Artikel veröffentlicht am: 15.03.2021

 

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr