Corona-App Luca: Check-in mit Datenschutzproblemen?

„Im Moment rate ich von der Benutzung ab.“ Klare Worte von Marit Hansen, Landesdatenschutzbeauftragte von Schleswig-Holstein. Sie beziehen sich auf die Corona-App Luca, die derzeit in aller Munde und bereits auf vielen Smartphones installiert ist.

Man scannt einen QR-Code ein, der am Einlass von Restaurants, Geschäften oder möglichen Event-Bereichen aushängt und dokumentiert damit seine Anwesenheit. Ist eine Rückverfolgung nötig, wird ein beim Einloggen erzeugter digitaler Schlüssel verwendet, der das ganze Verfahren nach Auskunft des App-Entwicklers neXenio zu einem auch aus datenschutzrechtlicher Perspektive sicheren Verfahren machen soll.

Auf den Urlaubsinseln an der Nordseeküste wurden bereits mehrere hundert Anhänger verteilt, die auch analog – also ohne Smartphone – eine Kontaktdokumentation mit dem Luca-System ermöglichen. Die regionale Tourismusbehörde ist des Lobes voll – zumal Schleswig-Holstein die touristische Modellregion für die Anwendung der neuen App ist, die derzeit von dem Rapper Smudo auf allen Kanälen promotet wird. Und nun also der Warnhinweis von Marit Hansen. Zu viele Meldungen über Schwachstellen bei Luca seien bei ihr eingegangen. Wo liegt das Problem?

Der CCC schlägt Alarm

Schon kurz nach dem einsetzenden Hype um Luca setzte die Kritik aus dem IT-Lager ein. Weil die Entwickler ihren Firmensitz in Berlin haben, sind zuerst einmal die dortigen Datenschützer für eine Prüfung dieser Vorwürfe zuständig. Dabei handelt es sich vornehmlich um Einwände des Chaos Computer Clubs (CCC), der die Nutzung von Luca sofort gestoppt sehen will. Wegen einer „nicht abreißenden Serie von Sicherheitsproblemen“ seien Steuergelder für diese App verschwendet.

So fordert der CCC in seinem einschlägig bekannten Alarmismus eine „Bundesnotbremse“. Luca sei ein „Steuer-Millionengrab“, das sich durch ein zweifelhaftes Geschäftsmodell, mangelhafte Software sowie Unregelmäßigkeiten bei der Auftragsvergabe auszeichne. Im schrillen Ton fordert der in Hamburg ansässige Verein, der in der digitalen Welt einen angesehenen, wenn auch umstrittenen Ruf pflegt, ein umgehendes Moratorium mit einer Überprüfung der Vergabepraktiken durch den Bundesrechnungshof und ein sofortiges Ende des App-Zwangs.

Schützenhilfe von Maja Smoltczyk

Die Digitalexperten des CCC monieren beispielsweise, dass bereits 20 Millionen Euro an Steuermitteln für die Lizenzierung und Nutzung von Luca ausgegeben wurden, obwohl keine der zehn Prüfkriterien des CCC für Kontaktverfolgungs-Apps erfüllt seien. Erst würden die Entwickler aus der Steuerkasse schöpfen, dann aber sei die „ungenierte“ kommerzielle Nutzung geplant. Der Regierende Bürgermeister von Berlin habe sogar für Luca gezahlt, ohne eine technische Prüfung abzuwarten und zugegeben, „dass ich mich nicht mit den technischen Details auskenne“. Dies vor dem Hintergrund der Bedenken, die auch die Berliner Datenschutzbeauftragte Maja Smoltczyk angemeldet hatte – etwa weil Bewegungsdaten von Nutzern gespeichert würden. Es bestünden „beträchtliche Risiken, die bislang nicht beseitigt sind.“

Zentrale Datenspeicherung laut CCC kritisch

Fragewürdige Vergabepraxis, handwerkliche Mängel, zweifelhafter Nutzen und die Nichtberücksichtigung von Alternativen sind das Eine. Die hier interessierende Datenschutzseite der Luca-App greift der CCC mit der Feststellung an, dass der zentrale Ansatz dieser Anwendung „verschiedenste Missbrauchspotenziale“ biete. Alle Nutzerdaten von Luca werden bei den Betreibern zentral gespeichert, was ein Echtzeit-Monitoring aller Check-ins ermögliche. Die Betreiber könnten aktiv eingreifen und unter anderem Daten löschen.

Die Entwickler selbst halten diese Vorwürfe für „überzogen“. Die App könnte „ausgetrickst werden – wie viele andere Hilfsmittel gegen Corona auch“. Patrick Hennig, Mitgründer und CEO von neXenio, gibt Probleme beim analogen Login-Anhänger zu und stellt die CCC-Angriffe auf Luca in einen größeren Zusammenhang: „Aus unserer Sicht ist das Fundamentalkritik an zentralen Datenspeicherungssystemen, die im Übrigen aber an vielen Stellen des gesellschaftlichen Lebens, wie bei Telekommunikationsanbietern, Kreditkartenunternehmen und auch im Gesundheitswesen vielerorts zum Einsatz kommen.“ Die erforderliche Absicherung gegen Missbrauch sei bei Luca gegeben. Nach Angaben des Unternehmens nutzen bereits vier Millionen Deutsche die App. Jetzt beschäftigt sich mit ihr nach Angaben des Spiegel das Bundesamt für Sicherheit in der Informationstechnik (BSI).