Digitale KontaktnachverfolgungCorona-Warn-App kann QR-Codes von Luca nutzen

Die Corona-Warn-App kann ab sofort die QR-Codes der Luca-App mitnutzen. Diese bleibt aber in den meisten Corona-Verordnungen weiter der Standard in der digitalen Kontaktverfolgung. Nutzlos ist die neue Funktion trotzdem nicht.

Luca-QR-Code zwischen Kaffeetassen und Kuchenstücken.
Hier haben in Zukunft auch Nutzer:innen der Corona-Warn-App die Möglichkeit zur digitalen Kontaktnachverfolgung. – Alle Rechte vorbehalten IMAGO / Norbert Neetz

Die Corona-Warn-App kann ab sofort auch QR-Codes scannen, die ursprünglich für die Luca-App gedacht waren. Nutzer:innen müssen für die neue Funktion nichts an den Einstellungen der App verändern. Bislang mussten Veranstalter:innen für beide Apps jeweils eigene QR-Codes für den Check-in zur Verfügung stellen. Alle Luca-Codes, die nach dem 25. Mai ausgestellt worden sind, erlauben nun auch den Check-in mit der Corona-Warn-App. Umgekehrt kann Luca die QR-Codes der Corona-Warn-App aber nicht nutzen.

Melden Nutzer:innen ein positives Testergebnis, warnt die Corona-Warn-App allerdings nur ihre eigenen Nutzer:innen, nicht die der Luca-App. Das liegt an den unterschiedlichen Systemen, auf denen beide Apps basieren.

Die Corona-Warn-App funktioniert ohne die Angabe persönlicher Daten. Wer sich mit einem QR-Code eincheckt und anschließend ein positives Testergebnis in der App meldet, warnt automatisch alle anderen Nutzer:innen, die sich zur selben Zeit mit dem selben QR-Code eingecheckt hatten.

Apps können nicht untereinander warnen

Das Ganze passiert bei der Corona-Warn-App dezentral, das bedeutet, dass keine zentrale Instanz die Daten der Nutzer:innen sammelt. Die App kennt die Namen der Nutzer:innen nicht und kann sie daher auch nicht weitergeben. Neben der Check-in-Funktion können Nutzer:innen auch über Bluetooth gewarnt werden, wenn sie sich mit ihrem Smartphone physisch in der Nähe einer Person aufgehalten haben, die ein positives Testergebnis an die App gemeldet hat.

Im Gegensatz dazu funktioniert die Luca-App nur mit persönlichen Daten. Wer sich über Luca an einem Ort eincheckt, gibt seine Daten an die Betreiber:innen weiter. Im Falle einer Infektion informiert die Luca-App die Gesundheitsämter, welche Personen sich gemeinsam mit der infizierten Person an einem Ort aufgehalten haben. Das Gesundheitsamt warnt dann die Betroffenen.

Aus diesem Grund kann die Corona-Warn-App nicht einfach die Luca-Nutzer:innen mitwarnen: Sie hat keinen Zugriff auf persönliche Daten und tauscht sich deshalb auch nicht mit dem Gesundheitsamt aus. Erst wenn das Gesundheitsamt von einer Infektion bei einer Veranstaltung erfährt, können auch Nutzer:innen der Luca-App gewarnt werden.

Datensparsame Kontaktverfolgung nur in wenigen Bundesländern

Für eine Kontaktnachverfolgung mithilfe von persönlichen Daten, wie sie die Corona-Verordnungen der meisten Bundesländer vorschreiben, braucht es also weiterhin die Luca-App. Seit die Check-in-Funktion der Corona-Warn-App im April 2021 an den Start ging, fordern Datenschützer:innen, auch deren pseudonyme, datensparsame Kontaktnachverfolgung zu erlauben.

Bislang ist das aber nur in wenigen Bundesländern möglich. In den meisten Bundesländern reicht der Check-in über die Corona-Warn-App weiterhin nicht aus. Die meisten Veranstalter:innen müssen für eine digitale Nachverfolgung also weiter darauf bestehen, dass sich Besucher:innen mit der Luca-App einchecken. Die Alternative für Menschen, die die Luca-App nicht nutzen möchten, sind Kontaktformulare auf Papier.

Die neue Funktion der Corona-Warn-App ist trotzdem nicht nutzlos. Wer sich freiwillig zusätzlich mit der Corona-Warn-App eincheckt, erlaubt eine schnellere Nachverfolgung im Falle einer Infektion – zumindest bei anderen Nutzer:innen der App. Weil die App nicht den Umweg über das Gesundheitsamt nehmen muss, kann sie deutlich schneller warnen und ist nicht anfällig für eine mögliche Überlastung des öffentlichen Gesundheitsdienstes im Angesicht steigender Infektionszahlen. Dass nun auch die Luca-Codes mitgenutzt werden können, erlaubt diesen freiwilligen Check-in nun an Orten, die nicht explizit auf die Corona-Warn-App setzen.

Zweifelhafter Datenschutz bei der Luca-App

Versprochen war die gemeinsame Nutzung der QR-Codes schon seit April 2021. Damals sagte der Luca-Chef Patrick Henning gegenüber der Tagesschau, die Behebung des Fehlers werde zwei bis drei Wochen in Anspruch nehmen. Daraus sind nun mehrere Monate geworden. Auf der Webseite der Corona-Warn-App heißt es dazu, der Prozess habe einige Zeit in Anspruch genommen, um das hohe Datenschutzniveau der Corona-Warn-App zu gewährleisten.

Ein hohes Datenschutzniveau war im Zusammenhang mit der Luca-App nicht immer gegeben. Immer wieder wurden desaströse Sicherheitslücken bekannt, IT-Sicherheitsforscher:innen warnten vor ihrem Einsatz. Auch ihr Nutzen wird immer wieder angezweifelt.

11 Ergänzungen

  1. Für mich als Veranstalter in Niedersachsen, wo die Luca-App wegen der persönlichen Daten leider Pflicht ist (alternativ natürlich der gute alte Zettel…), ist diese neue Funktion der CWA tatsächlich eher, sagen wir mal, unglücklich bis kontraproduktiv. Nun muss ich prüfen, ob sich Leute auch wirklich einchecken, *und* neu zusätzlich auch noch prüfen, ob sie dafür auch die richtige App nutzen (niemand wird beides parallel machen). Noch mehr Arbeit – aber vor allem: noch mehr umfangreiche Erklärungen, warum das eine (weiterhin) sein muss und das andere nur eine zusätzliche Option ist, obwohl der reine Scan-Vorgang ja nun geht. Heißt: App-Wechsel (unser Publikum ist eher älter und nicht so versiert) und ein neuer Scan-Vorgang, der dann gerne mal wieder dauert und rumnervt. Echt eine blöde Situation für alle Beteiligten.

  2. „Die meisten Veranstalter:innen müssen für eine digitale Nachverfolgung also weiter darauf bestehen, dass sich Besucher:innen mit der Luca-App einchecken.“

    Ich verstehe die Anklage nicht.
    Was ist denn an der politisch gewollten Millionenverschwendung für eine
    „Auch ihr Nutzen wird immer wieder angezweifelt. “ Software falsch?

    1. Welche Anklage? An Luca ist bekanntlich vieles falsch und problematisch, aber die Corona-Verordnungen lassen Veranstaltern in vielen Bundesländern leider keine Wahl. Ich mache mich also strafbar, wenn ich die CWA als Check-in-Software zulasse, auch wenn ich das gerne würde.

    2. Niemand muss darauf bestehen, das jemand die ranzige Luca App benutzt, und niemand muss diese Datenschutz und Geldverbrennungsdebakel nutzen. da die Gesundheitsämter, zumindest in BaWü i. A. keine Kontaktverfolgung mehr machen, ist das sowieso völlig überflüssig. Mal ganz abgesehen davon, dass die Funktion in der Corona Warn App noch gar nicht released ist.

  3. Ich habe kein „Luca“.
    Ich traue „Luca“ auch nicht: ich will keinerlei Daten von mir im Luca-System haben. (Auch nicht von handgeschriebenen Listen/ Kontaktformularen ins Luca-Webfrontend abgetipp!)
    Ich habe noch nicht einmal ein „handelsübliches“ Smartphone.
    Letzteres will ich, aufgrund der Geschäftsmodelle (Big-Data) der IT-Tech-Konzerne nicht haben.
    Wenn ich nun lese:
    „Zugang nur mit Luca“: Kann mir der Veranstalter dann den Zutritt verweigern?
    Ich könnte das noch durchaus auf andere digitale Themenbereich ausweiten: Zwangsdigitalisierung auf Basis propritärer Systeme, welche Big-Data als Geschäftsmodell nutzen.
    Ich habe aktuell bereits schon Probleme, weil ich mich nicht auf diese Weise zwangsdigitalisieren lassen möchte und somit ständig Daten-Produkte und -Projekte entsprechend hinterfrage.

  4. Ich finde es schade, dass es keinen allgemeinen Standard für die QR-Codes gibt (keine Ahnung wie einfach oder schwer das technisch ist).
    In Sachsen erlaubt die Verordnung zwar die Kontaktnachverfolgung ohne persönliche Daten, also mittels Corona-Warn-App. Sachsen ist aber auch nicht auf den Luca-Zug aufgesprungen, so dass es hier noch verschiedene andere Apps gibt. Und deren Codes sind meiner Erfahrung nach leider nicht mit der CWA kompatibel…

    1. Naja, Standards gibt es schon, aber halt bloß für allgemeinere Fälle (d.h. QR-Codes selber sind ja bereits ein Standard, für signiertes JSON, was häufig in QR-Codes gepackt wird, gibt es JWT, usw.).

      Gute Frage, wie schwierig es wäre, speziell für Corona-Veranstaltungstracking einen Standard aufzusetzen.

      1. Es gibt sogar Standards für die CheckIn-Codes der CWA bzw. deren Implementation durch andere Apps. Diese Möglichkeit steht prinzipiell jeder anderen App offen, nicht nur Luca, allerdings ist Luca wohl das prominenteste Beispiel und mWn auch bisher als einzige für die Interoperabilität freigeschaltet. Im Github der CWA sind mehr Details zu finden: CWA > Documentation > Event Registration

  5. Ich warte auf Grund des Chipmanges immer noch auf mein Librem5, und kann da keine der Apps auf meinem 10 Jahre alten Nokia N900 läuft keine der Apps nutzen. Daher bleibt mir nur die Papierform.

  6. @Green: „„Zugang nur mit Luca“: Kann mir der Veranstalter dann den Zutritt verweigern?“
    Klar. Ist ja deren Haus(recht).
    Was die Verweigerung eines Pseudosmartphone angeht, geht es mir da ähnlich.
    Neuester Spaß: Eines der Museen meiner Heimatstadt bietet für Leute ohne Luca-App eine ausgedruckte Papierliste… von Luca.
    Schön mit Logo in der Ecke – die werden dann wohl auch in besagtem Luca Frontend eingetippt.
    „Lustiges“ Detail: unten auf dem Zettel durfte ich ankreuzen, ob ich die Datenschutz-Bestimmungen akzeptiere. Auf meine Frage, ob ich die vorher einmal einsehen darf, gab es Verwirrung an der Kasse, dann Papiergeraschel, dann das Herbeiholen der Vorgesetzten, und dann die Auskunft: Haben wir nicht da, aber die können sie auf der Luca-homepage nachlesen.

    Super.
    Hab dann das Kreuz verweigert. Werde mir am nächsten freien Tag mal die Mühe machen und beim Museumsvorstand nachfragen, ob & auf welcher Grundlage die jetzt meine Daten speichern…

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.