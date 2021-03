Es klingt verlockend, was Smudo da vergangene Woche in der Talkshow von Anne Will erzählte: Statt ein ganzes Land im Lockdown gefangen zu halten, sollen wir bald alle wieder in Konzerte gehen können, ins Restaurants oder ins Stadion. Möglich machen soll das eine App, die der Rapper von den Fantastischen Vier mit entwickelt hat. Sie heißt Luca und soll die Papierlisten ersetzen, mit der Gastronomen und Veranstalter derzeit den Auflagen für die Kontaktverfolgung nachkommen.

Das Prinzip von Luca: Nutzer:innen können sich in der App mit Namen und Kontaktdaten registriert. Betreten sie anschließend einen Ort, können sie dort das Handy zücken und einen QR-Code scannen lassen. Ihre Daten werden danach verschlüsselt gespeichert. Wird eine Person später positiv getestet, ruft das Gesundheitsamt an und bittet sie um die Freigabe der Kontakthistorie auf ihrem Telefon. Es bekommt eine Liste aller Orte, die diese Person in den vergangenen 14 Tagen besucht hat und kann dort wiederum die verschlüsselten Gästelisten von den Betreibern anfordern. Wer zur gleichen Zeit dort war, bekommt eine SMS mit der Anweisung, sich sofort zu isolieren. Das Ganze kann binnen Stunden passieren statt wie bisher mit tagelanger Verspätung.

Statt Stift und Papier

Luca löst damit im Grunde ein Problem, das die Politik bereits vor fast einem Jahr geschaffen hat. Seit dem Frühjahr verpflichten die Corona-Verordnungen der Bundesländer die Betreiber von Restaurants und Veranstaltungen, persönliche Daten ihrer Gäste zu sammeln, damit die Gesundheitsämter im Fall einer Covid-19-Infektion weitere Kontaktpersonen identifizieren können.

Das Ergebnis waren die berüchtigten Corona-Gästelisten. Aus Datenschutzperspektive ein Desaster, weil nicht nur die Veranstalter selbst, sondern auch nachfolgende Gäste Telefonnummern und Namen einsehen können. Laut dem Spiegel verzeichneten die Landesdatenschutzbeauftragten mehr als 730 Beschwerden dazu allein im vergangenen Sommer und Herbst.

Luca ist nicht die einzige so genannte Check-In-App, mit der sich digitale Gästelisten führen lassen. Sie scheint aber derzeit diejenige zu sein, die am besten auf die Bedürfnisse der Gesundheitsämter zugeschnitten ist. Tatsächlich sei Luca vor allem eine Software für die Gesundheitsämter, sagt Patrick Hennig. Seine Firma NeXenio hat die App gemeinsam mit Smudo entwickelt und habe von Beginn an viele Gespräche mit den Ämtern geführt. Auf Sylt wird Luca bereits erprobt. Auch das Gesundheitsamt in Jena testet die Software schon länger in einem Modellbetrieb.

Mit Hilfe von Luca, sagt Hennig, könnten die Ämter vor allem Zeit sparen. Das System ist über eine Schnittstelle mit dem Programm SORMAS verbunden, das viele Ämter bereits zur Kontaktverfolgung nutzen. Statt stundenlang Papierlisten abzutippen und anschließend die Personen abzutelefonieren, reichten wenige Klicks, um alle Risikokontakte auf den Bildschirm zu bekommen und über ihre Telefonnummer zu benachrichtigen.

Oberste Amtsärztin plädiert für Luca

Dass ein Startup die Vorzüge seines eigenen Produktes lobt, ist zu erwarten. Doch die Macher von Luca begeistern inzwischen nicht nur Politiker:innen wie NRW-Ministerpräsidenten Armin Laschet, der bereits Ende Februar für die App warb. Sie konnten auch Deutschlands oberste Amtsärztin Ute Teichert für sich gewinnen. „Was ich gesehen habe, ist faszinierend“, sagt Teichert. „Es ist rasend schnell und erleichtert die Arbeit enorm.“ Im Gesundheitsamt Jena, wo Luca bereits seit vergangenem Jahr erprobt wird, sei man begeistert. Wenn es jetzt darum gehe, Menschen schneller in Quarantäne zu bekommen, sei Luca ein Segen.

32 der 375 Ämter in Deutschland arbeiten bereits mit Luca. Allerdings haben die wenigsten davon die Software bislang tatsächlich im Einsatz erprobt. Noch sind Restaurants, Kinos und die meisten weiteren möglichen Einsatzorte schließlich geschlossen. In Sylt warte man nun auf die Lockerungen, sagt Teichert, um das System zu testen, 90 Prozent aller Orte auf der Insel seien bereits registriert. An anderen Stellen sei man weniger geneigt. In Rheinland-Pfalz wurde gerade ein Versuch mit Luca abgesagt – weil die Ämter nicht mitmachen wollten.

Teichert sieht die App und die SMS-Benachrichtigungen nicht als Ersatz für die Anrufe des Gesundheitsamtes. Aber: „Im Moment muss ich alle anrufen. Währenddessen rennen die Leute herum und stecken andere an.“ Mit Luca könne man nicht nur schneller eine erste Warnung abschicken, es seien auch alle Kontaktdaten schneller auf dem Bildschirm. Das beschleunige das gesamte Verfahren.

Mecklenburg-Vorpommern prescht vor

Seit Smudo bei Anne Will saß, ist ein regelrechter Hype um die App entstanden – nicht zuletzt befeuert von Politiker:innen, die in Luca eine Lösung sehen. Diverse Datenschutzbeauftragte hatten sie zuvor schon abgesegnet.

Ursprünglich hieß es, die Ministerpräsident:innen der Länder wollten sich vergangenen Montag auf den bundesweiten Einsatz von Luca verständigen. Auch der Chef der Bundeskanzleramtes Helge Braun plädiert für eine einheitliche Lösung – und vieles deutet darauf hin, dass das Luca werden könnte.

Am Mittwoch gab Mecklenburg-Vorpommern bekannt, als erstes Bundesland eine Lizenz für Luca erworben zu haben. Die acht Gesundheitsämter des Landes nutzen bereits SORMAS und können ab Freitag nun auch Luca verwenden. Die Kosten für die Lizenz: 440.000 Euro. Auch in Thüringen, wo Jena die App bereits in einem Modellversuch einsetzt, soll kommende Woche eine Entscheidung fallen.

Kritik von Datenschützer:innen

Doch es gibt noch ein Problem: Bislang ist der Quellcode der App nicht offen zugänglich. Die Macher haben lediglich ein Sicherheitskonzept im Netz veröffentlicht. Ob sie die hohen Sicherheitsstandards, von denen sie sprechen, auch tatsächlich einhalten, lässt sich so von außen nicht überprüfen. Für eine App, die sensible Bewegungs- und Gesundheitsdaten verwalten will, reiche das nicht aus, sagen Kritiker:innen.

So schrieb die Bundestagsabgeordnete Anke Domscheit-Berg (Linke) auf Twitter, die App sei „intransparent“. „Für mich ist damit keine Vertrauenswürdigkeit in die Luca-App gegeben.“ Sie forderte, alle Informationen zur Verschlüsselung und den Komponenten offen zu legen. Auch der SPD-nahe Verein D64 hatte diese Forderung an eine bundesweite Check-in-App gestellt. Mitglieder des Chaos Computer Clubs wollten keine Aussage zur Sicherheit der App abgeben, so lange der Code nicht öffentlich sei.

Laut Patrick Hennig seien bisher vor allem laufende Patentverfahren ein Hindernis gewesen, um den Quellcode der App zu öffnen. Zu den Forderungen, öffentlich finanzierte Software solle auch öffentlich zugänglich sein, sagte er gegenüber netzpolitik.org: „Der Code gehört ja nicht dem Staat, wir haben das selber gemacht und finanziert.“ Mittlerweile scheinen sich die Macher:innen von Luca dem Druck gebeugt zu haben: Gestern Abend gaben sie bekannt, der Quellcode von App und Backend werde bis Ende März veröffentlicht.

Ablenkungsmanöver der Großen Koalition

Damit wäre zumindest einer der Kritikpunkte ausgeräumt. Sicherheitslücken, wie sie jetzt schon in Luca gefunden wurden, könnten dann von vielen Augenpaaren entdeckt werden. Das Prinzip hatte sich schon bei der Corona-Warn-App bewährt.

Die Kritik an Luca beschränkt sich jedoch nicht auf mangelnde Transparenz. Viele glauben, die App sei vor allem eine Nebelkerze, ein Ablenkungsmanöver von Politiker:innen, die trotz der beginnenden dritten Infektionswelle Läden und Restaurants wieder öffnen wollen. „Man kann die Pandemie nicht mit einer App lösen“, sagt Anke Domscheit-Berg. Der Jurist Malte Engeler schreibt auf Twitter, das Problem lege weder bei der Macher:innen von Luca noch in der App selbst, es sei vor allem die mangelnde Ausstattung der Gesundheitsämter, die eine Kontaktverfolgung unmöglich macht.

Auch Ute Teichert betont, mit Luca allein sei es nicht getan: „Wir sind mitten in der Pandemie, die Zahlen werden wieder steigen. Luca funktioniert, das kann man einsetzen und so Zeit gewinnen.“ Trotzdem müsse mehr getan werden, um die Gesundheitsämter besser auszustatten. Eigentlich sollten laut dem im Juni beschlossenen „Pakt für den öffentlichen Gesundheitsdienst“ auch 5.000 neuen Stellen geschaffen werden, das laufe bislang schleppend. Was funktioniere, sei die Verteilung der darin vorgesehenen 800 Millionen Euro für Digitalisierung. Daraus hätten die Ämter nun mehr Gelder für die Ausstattung bekommen.

Bislang kostet der Einsatz von Luca die Ämter nichts, Mecklenburg-Vorpommern ist die Ausnahme. Die Einführung und Betreuung übernimmt die Bundesdruckerei, die an Luca beteiligt ist. Auf Dauer müsse das aber natürlich auch Geld bringen, sagt Entwickler Patrick Hennig. Ob nun alle weiteren Bundesländer Lizenzen erwerben oder auch einzelne Städte und Landkreise das tun können, ist unklar.

Warum nicht die Corona-Warn-App?

Einige fragen sich nun, warum es noch eine App braucht, wo Deutschland doch bereits eine offizielle Corona-Warn-App hat. In England hat etwa die Corona-Warn-App eine Check-In-Funktion, Nutzer:innen können sich mit ihr in Orte anmelden und werden später über mögliche Infektionsrisiken gewarnt. In Deutschland hatten Expert:innen diese „Clustererkennung“ seit langem gefordert, sie soll laut Bundesgesundheitsministerium nach Ostern kommen.

Die Corona-Warn-App bleibt aber weiter anonym, sie kann also nicht die Namen und Kontaktdaten sammeln, die Check-In-Apps wie Luca an das Gesundheitsamt übermitteln. Einige Stimmen hatten davor gewarnt, die Funktionen zu vermischen. Sonst entstünden womöglich offene Fragen über die Pseudonymität der Nutzer:innen der Corona-Warn-App, sagte der Bundesdatenschutzbeauftragte Ulrich Kelber. Stattdessen spreche nichts dagegen, auch zwei oder drei datenschutzkonforme Apps zur Pandemiebekämpfung zu verwenden.