Verstößt auch die Luca-App gegen den Datenschutz?

In einer Erklärung der Landesdatenschutzbehörde des Landes Schleswig-Holstein wird die Nutzung der neuen Corona-App namens Luca nicht empfohlen.

Man scannt einen QR-Code ein, der am Einlass von Restaurants, Geschäften oder möglichen Event-Bereichen aushängt und dokumentiert damit seine Anwesenheit. Ist eine Rückverfolgung nötig, wird ein beim Einloggen erzeugter digitaler Schlüssel verwendet, der das ganze Verfahren nach Auskunft des App-Entwicklers neXenio zu einem auch aus datenschutzrechtlicher Perspektive sicheren Verfahren machen soll. Auf den Urlaubsinseln an der Nordseeküste wurden bereits mehrere Hundert Anhänger verteilt, die auch analog – also ohne Smartphone – eine Kontaktdokumentation mit dem Luca-System ermöglichen. Die regionale Tourismusbehörde ist des Lobes voll – zumal Schleswig-Holstein die touristische Modellregion für die Anwendung der neuen App ist, die derzeit von dem Rapper Smudo auf allen Kanälen promotet wird. Aber andererseits die Warnung von Marit Hansen. Sie zeigt sich vor allem deswegen besorgt, weil es viele offizielle Meldungen zu vermutlichen Schwachstellen der Luca App gibt.

Der Chaos Computer Club meldet sich lautstark

Kaum war Luca in aller Munde, hagelte es bereits derbe Kritik von IT-Experten. Die Entwickler sitzen mit ihrem Unternehmen in Berlin, daher war es zunächst einmal Sache der dortigen Datenschützer sich mit der Carola-App-Alternative zu beschäftigen. Dabei handelt es sich vornehmlich um Einwände des Chaos Computer Clubs (CCC), der die Nutzung von Luca sofort gestoppt sehen will. Wegen einer „nicht abreißenden Serie von Sicherheitsproblemen“ seien Steuergelder für diese App verschwendet. So fordert der CCC in seinem einschlägig bekannten Alarmismus eine „Bundesnotbremse“. Luca sei ein „Steuer-Millionengrab“, das sich durch ein zweifelhaftes Geschäftsmodell, mangelhafte Software sowie Unregelmäßigkeiten bei der Auftragsvergabe auszeichne. Ziemlich lautstark ließ der Hamburger Verein vernehmen, dass er ein Moratorium ebenso fordere wie eine strenge Überprüfung aller Modalitäten rund um die Auftragsvergabe durch den Bundesrechnungshof. Des Weiteren sollte jede Art von Zwang, die App aufs Handy zu laden, sofort unterbleiben.

Maja Smoltczyk schaltet sich ein

Die IT-Tüftler aus dem Chaos Computer Club führen zur Begründung beispielsweise an, dass bereits die Summe von 20 Millionen Euro aus dem Staatssäckel geflossen seien, obwohl die App Luca nicht mal eine der zehn Prüfkriterien erfülle, die der CCC für Kontaktverfolgungs-Apps aufgestellt hat. Erst würden die Entwickler aus der Steuerkasse schöpfen, dann aber sei die „ungenierte“ kommerzielle Nutzung geplant. Der Regierende Bürgermeister von Berlin habe sogar für Luca gezahlt, ohne eine technische Prüfung abzuwarten, und zugegeben, dass er sich „nicht mit den technischen Details auskenne“. Dies vor dem Hintergrund der Bedenken, die auch die Berliner Datenschutzbeauftragte Maja Smoltczyk angemeldet hatte – etwa weil Bewegungsdaten von Nutzern gespeichert würden. Nach ihrer Ansicht gibt es noch viele ungeklärte Fragen und große Risiken, die einer Aufklärung bedürfen.

Ein wichtiger Punkt ist die Datenspeicherung

Nicht nur die eigenartige Vergabepraxis führte der CCC an, auch Fehler bei der Programmierung sowie die Tatsache, dass keine alternativen Apps berücksichtigt worden sind, stößt den IT-Experten auf. Die hier interessierende Datenschutzseite der Luca-App greift der CCC mit der Feststellung an, dass der zentrale Ansatz dieser Anwendung „verschiedendste Missbrauchspotenziale“ biete. Alle Nutzerdaten von Luca werden bei den Betreibern zentral gespeichert, was ein Echtzeit-Monitoring aller Check-ins ermögliche. Die Betreiber könnten aktiv eingreifen und unter anderem Daten löschen. Die Entwickler selbst halten diese Vorwürfe für „überzogen“. Die App könnte „ausgetrickst werden – wie viele andere Hilfsmittel gegen Corona auch“. Patrick Hennig, Mitgründer und CEO von neXenio, gibt Probleme beim analogen Log-in-Anhänger zu und stellt die CCC-Angriffe auf Luca in einen größeren Zusammenhang: „Aus unserer Sicht ist das Fundamentalkritik an zentralen Datensicherungssystemen, die im Übrigen aber an vielen Stellen des gesellschaftlichen Lebens, wie bei Telekommunikationsanbietern, Kreditkartenunternehmen und auch im Gesundheitswesen, vielerorts zum Einsatz kommen.“ Die Macher von Luca behaupten, dass eine ausreichende Absicherung gegen Missbrauch der App berücksichtigt worden sei. Inzwischen sind bundesweit nach Angaben des Unternehmens schon vier Millionen User registriert. Inzwischen ließ der Spiegel verlautbaren, dass sich das Bundesamt für Sicherheit in der Informationstechnik derzeit mit Luca und möglichen Sicherheitsmängeln beschäftigt.