Digitale KontaktverfolgungMehr als 20 Millionen Euro für Luca

Zahlreiche Bundesländer wollen mit der App eine Rückkehr zum normalen Alltag ermöglichen und haben Verträge mit den Betreibern abgeschlossen. Doch es mehrt sich die Kritik an fehlenden Vergabeverfahren und hohen Kosten.

Egal ob beim Parteitreffen, in der Moschee oder im Konzert: Wenn es nach den Machern geht, sollen Nutzer:innen künftig via Luca ihre Daten hinterlassen. Gemeinfrei-ähnlich freigegeben durch unsplash.com Rendy Novantino

Die Betreiber von Luca erhalten mehr als 20 Millionen Euro von den Bundesländern, in denen die App landesweit eingesetzt werden soll. Das geht aus Antworten hervor, die netzpolitik.org von den zuständigen Staatskanzleien und Ministerien erhalten hat. So zahlt etwa Bayern 5,5 Millionen Euro für eine Jahreslizenz, in Hessen sind es mehr als zwei Millionen, in Sachsen-Anhalt rund eine Million.

Luca soll die Papierlisten ersetzen, mit denen Veranstalter und Gastronomie bisher Daten für die Kontaktverfolgung der Gesundheitsämter sammeln. Als erstes hatte Mecklenburg-Vorpommern Anfang März angekündigt, die App landesweit einzusetzen und eine Jahreslizenz für 440.000 Euro erworben. Kurz darauf unterschrieb das Land Berlin einen Vertrag über eine Million Euro. Ende März folgten zehn weitere Bundesländer, für die der IT-Dienstleister Dataport die Verhandlungen mit Luca geführt hat.

Vergangene Woche gab Bayern seine Entscheidung für Luca bekannt und zahlt mit 5,5 Millionen den höchsten Preis für die Jahreslizenz. Es handelt sich um das bislang einzige Bundesland, das die Vergabe der App überhaupt ausgeschrieben hat. Die anderen Länder verweisen darauf, dass die Vergabeverordnung Ausnahmen zulassen, wenn eine besondere Dringlichkeit vorliege oder ohnehin nur ein Anbieter in der Lage sei, den Auftrag zu erfüllen.

So schreibt etwa Mecklenburg-Vorpommern: „Bei der Beschaffung eines Systems zur Kontaktnachverfolgung ging es uns um eine möglichst schnelle Lösung, die aber insbesondere unsere hohen Anforderungen an den Datenschutz erfüllen musste.  Eine sehr zeitaufwändige Ausschreibung, die in der Regel mehrere Monate dauert, kam für uns in diesem Fall ausnahmsweise nicht in Frage.“ Die Vergabe sei dort auf „Grundlage einer Marktrecherche“ erfolgt. Laut Zeit Online hat das zuständige Ministeriums für Energie, Infrastruktur und Digitalisierung dafür lediglich Textblöcke aus dem Internet zusammenkopiert.

Woher kommen die Preisunterschiede?

Luca-Kosten für die einzelnen Bundesländer:
Mecklenburg-Vorpommern: 440.000 €
Berlin: 1.200.000 €
Brandenburg 990.000 €
Niedersachsen: 3.000.000 €
Hessen: über 2.000.000 €
Rheinland-Pfalz: 1.726.000 €
Bremen: rund 260.000 €
Baden-Württemberg: 3.700.000 €
Schleswig-Holstein: rund 1.000.000 €
Saarland: 369.090 €
Bayern: 5.500.000 €
Sachsen-Anhalt: rund 1.000.000 €
Hamburg: 615.000 €
Gesamt: rund 21.800.000 € - Alle Rechte vorbehalten Luca / NeXenio

Wie kommt es zu den teils sehr unterschiedlichen Preisen, die die einzelnen Länder für die Nutzung von Luca zahlen? Heruntergebrochen auf die Einwohnerzahl schwanken diese zwischen rund 40 Cent pro Einwohner in Bayern und etwa 20 Cent in Mecklenburg-Vorpommern. Laut Patrick Hennig, Geschäftsführer der Firma neXenio, die Luca entwickelt, werden die Preise nicht allein auf Basis der Einwohnerzahl errechnet. Rund ein Drittel der Kosten sei für die SMS, die Luca an Nutzer:innen verschickt, um ihre Telefonnummern zu verifizieren. Da unklar ist, wie viele dieser Nachrichten tatsächlich anfallen werden, würden diese Kosten pauschal nach Einwohnerzahl abgerechnet.

Ein weiterer Teil sei für die Unterstützung und Infrastruktur der Gesundheitsämter, die Luca ebenfalls nutzen, um die Daten abzurufen und berechne sich aus der Zahl der Ämter pro Bundesland. Der Rest des Preises sei für die eigentlichen Softwarelizenzen des Systemkomponenten von Luca und deren Wartung. Dies sei „für das Bundesland abhängig von der Infrastruktur und wird aufgrund der Einwohnerzahl/Erfahrungswerten/erwartete Nutzung, etc. berechnet“, schreibt Hennig.

Die Kosten für Luca in den bislang 13 Bundesländern, die die App verwenden wollen, soll nach Angaben der rheinland-pfälzische Ministerpräsidentin Malu Dreyer der Bund übernehmen. Die Bundesregierung zahlte im Vorjahr 68 Millionen Euro für Entwicklung, Wartung und Betrieb der Corona-Warn-App, die ebenfalls eine Check-in-Funktion erhält.

Was ist Luca?

Die Luca-App soll ein Problem lösen, das die deutsche Politik geschaffen hat. Die Corona-Verordnungen der Bundesländer erlegen Lokalen und Veranstaltungsorten die Verpflichtung auf, Kontaktdaten ihrer Gäste für die Kontaktnachverfolgung zu sammeln. Bislang lief das an vielen Orten mit Stift und Papier, was für hunderte Beschwerde bei den Datenschutzbehörden sorgte.

In der Smartphone-App können sich Nutzer:innen mit ihrem Namen und ihren Kontaktdaten anmelden. Anschließend können sie per QR-Code überall dort eintreten, wo sie sonst ihre Daten hätten hinterlassen müssen. Die Daten werden verschlüsselt zentral auf Servern der App gespeichert. Wird eine Person später positiv auf Covid-19 getestet, kann sie dem Gesundheitsamt eine Liste aller Orte freigeben, die sie in den vergangenen 14 Tagen aufgesucht hat. Wer dann zum selben Zeitpunkt anwesend war, soll dann vom Gesundheitsamt kontaktiert werden. Luca funktioniert damit grundsätzlich anders als die Corona-Warn-App, die Daten dezentral auf den Geräten ihrer Nutzer:innen speichert.


Check-In per QR-Code? Alle Infos zum Hoffnungsträger Luca und zur Kritik an der App findet ihr hier.


Kritik an eiligen Verfahren

Von Anfang an gab es Kritik an der App. Ein Forschungsteam der Universität EPFL in Lausanne zeigte in einer Analyse auf, dass die zentrale Speicherung von Daten auf den Servern der Luca-Betreiber ein potentielles Sicherheitsrisiko darstelle. Auch könnten Nutzer:innen zu leicht de-anonymisiert werden. Wer das zentralisierte System nutze, müsse den Versprechen der Betreiber über Sicherheit und Anonymität vertrauen. Auch der Hamburger Datenschutzbeauftragte Johannes Caspar bemängelte, die Entwickler hätten noch nicht transparent genug gemacht, wie ihre Software eigentlich funktioniert.

Die Macher von Luca antworteten darauf mit einer Stellungnahme, die sie zunächst nur an die Presse schickten. Eine Datenschutzfolgenabschätzung gibt es für die App bislang nicht, sie soll nach Angaben von Geschäftsführer Hennig noch folgen.

Auch wundern sich derzeit viele der Konkurrenten von Luca über die Geschwindigkeit der Vergabeverfahren und die fehlenden Ausschreibungen. In Mecklenburg-Vorpommern prüft nach der Beschwerde eines konkurrierenden Anbieters die Vergabekammer derzeit, ob die Richtlinien eingehalten wurden.

In Thüringen, wo Luca bereits in verschiedenen Modellregionen getestet wird und ebenfalls als einheitliche Lösung im Gespräch war, hat die Landesregierung dagegen umgesteuert und gab vergangene Woche bekannt, eine offene Schnittstelle zu den Gesundheitsämtern bereitstellen zu wollen. Mit dieser könnten auch andere Systeme zu Kontaktdatenerfassung an die Ämter andocken. „Finanzministerin Heike Taubert konnte die Landesregierung davon überzeugen, von den bisherigen Plänen zur Beschaffung einer einzigen App-Lösung zur Gäste-Registrierung Abstand zu nehmen“, schreibt das Ministerium in einer Pressemitteilung.

Taubert verweist in der Mitteilung auch auf die Angemessenheit des Preises: „Zumal im Gegenzug Lösungen angeboten werden, die zum einen wesentlich kostengünstiger und zum anderen für erheblich kürzere Zeiträume, beispielsweise monatlich, abgeschlossen werden können“.

Update 14.4.: Wir haben Zahlen aus Rheinland-Pfalz in der Übersicht der Kosten ergänzt und die Überschrift entsprechend der Gesamtsumme angepasst.

Update 5.5.: Wir haben Zahlen aus dem Saarland in der Übersicht der Kosten ergänzt. Insgesamt haben die 13 Länder damit rund 21.800.000 Euro für eine Luca-Jahreslizenz ausgegeben.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

19 Ergänzungen

    1. Er bezog sich da auf die in seinem Prüfbericht vom 2.3. erwähnte „Muster-DSFA“ seitens der Luca-Betreibergesellschaft.
      Nach seiner Bewertung vom Februar müssten ggf. die Veranstalter, die die App einsetzen, eine DSFA erstellen.

      Auf Mastodon direkt auf die erwähnte DSFA angesprochen, sagte er, dass eine DSFA der Berliner Behörde vorliegt und von dieser geprüft wird.
      https://bawü.social/@lfdi/106042158772126356

      Mir ist aber nicht klar, ob man sich überhaupt schon auf eine Verantwortlichkeit für die Datenverarbeitung der Luca-App einigen konnte. Für die Luca-Betreibergesellschaft wäre die Berliner Behörde zuständig, da die Gesellschaft in Berlin ansässig ist. Ich bezweifle aber, dass man die Verantwortlichkeit allein beim privaten App-Betreiber festmachen kann. Also wird die DSFA wohl nicht das Papier wert sein und niemand mag die öffentlich herzeigen.

      Herr Brink betreibt m.E. gerade ein merkwürdiges Rückzugsgefecht, das in der Sache nur noch mehr Verwirrung stiftet. Ist halt blöd, wenn man ausgerechnet als Datenschutzbehörde beim Lobbyismus erwischt und auf Bundesebene vorgeführt wird.

  1. Ich habe mir mal erlaubt, den möglichen Pro-Kopf-Preis zu errechnen, sollte jede:r im Bundesland Luca nutzen. Die Bevölkerungzahlen stammen von Wikipedia und sind aus 2019. Die errechneten Beträge sind auf die zweite Kommastelle gerundet.

    Mecklenburg-Vorpommern: 440.000 € (0,27€/Kopf)
    Berlin: 1.200.000 € (0,33€/Kopf)
    Brandenburg 990.000 € (0,39€/Kopf)
    Niedersachsen: 3.000.000 € (0,36€/Kopf)
    Hessen: über 2.000.000 € (0,32€/Kopf)
    Rheinland-Pfalz: ?€
    Bremen: rund 260.000 € (0,38€/Kopf)
    Baden-Württemberg: 3.700.000 € (0,33€/Kopf)
    Schleswig-Holstein: rund 1.000.000 € (0,34€/Kopf)
    Saarland: ?€
    Bayern: 5.500.000 € (0,41€/Kopf)
    Sachsen-Anhalt: rund 1.000.000 € (0,45€/Kopf)
    Hamburg: 615.000 € (0,33€/Kopf)

    1. Das ganze muss jetzt natürlich noch in Relation zur Laufzeit der Lizenz gesetzt werden. Im Artikel oben scheint es sich in allen genannten Fällen um Jahreslizenzen zu handeln.
      Jetzt könnte man noch bedenken, dass nur etwa 2/3 der Bürger*innen ein Smartphone besitzen, und am Ende vielleicht die Hälfte davon Luca benutzen wird; dann ist man grob bei circa 1€ pro Nutzer*in, wenn man 0,33€ zu Grunde legt. Das wird dann natürlich von allen Nicht-Nutzer*innen „quersubventioniert“.

    2. Wir wissen doch das eine SMS mindestens 20 ct kostet.
      Insofern sind, die 30…40ct halt normale Handelsspanne.

      BTW:
      Wenn man massenweise SMS versenden will, liegen die Kosten m.W. im Sub-Cent bereich,
      es sind ja nur max. 140 Zeichen.

      OK, wenn die restliche Kosten bei Null liegen stimmt natürlich, dass die SMS die Hauptkosten darstellen, relativ…

  2. Ihr hättet auch noch auf die unrühmliche Rolle des LfDI BaWü im Luca-Theater eingehen können.

    Zum Entsetzen alle halbwegs Datenschutzgebildeten hat er am 17.2. direkt Werbung für die App gemacht und dabei über die Datenverarbeitung und den Umfang seiner Prüfungen alternative Fakten verbreitet.

    https://www.baden-wuerttemberg.datenschutz.de/lfdi-brink-unterstuetzt-nutzung-der-luca-app/

    „Die „luca“-App speichert die Daten und die Kontakte dezentral auf dem eigenen Smartphone und verschlüsselt sie, ein Zugriff darauf ist erst mit ausdrücklicher Einwilligung möglich. “

    „Wir haben die App technisch und rechtlich geprüft. Die App erfüllt unsere hohen Datenschutz-Standards. Die Dokumentation der erfolgten Kontakte wird auf technisch höchstem Stand verschlüsselt und es liegt allein in der Hand des luca-Nutzers, ob, wann und mit wem er diese sensiblen Daten teilen möchte.“

    https://bawü.social/@lfdi/105861267395707364

    Als es dann offensichtlich wurde, dass die Aussagen nicht haltbar sind, wurde im Nachgang am 1.4. sein Prüfbericht vom 2.3. veröffentlicht.

    https://www.baden-wuerttemberg.datenschutz.de/stellungnahme-des-landesbeauftragten-zur-luca-app-online/

    Im ct Datenschutz-Podcast von letzter Woche

    https://cdn.podigee.com/media/podcast_28304_auslegungssache_der_c_t_datenschutz_pdcst_episode_420157_art_5_2_die_al_capone_vorschrift.mp3?v=1617727462&source=feed

    erläutert er dann auch noch einmal, dass er als Ausgangspunkt für seine Prüfungen ein rein privatwirtschaftliches Verhältnis zwischen dem einzelnen Veranstalter und der Luca-Betreibergesellschaft gesehen haben will, an das nicht die gleichen Maßstäbe, wie an staatliches Handeln anzulegen sind. In diesem Verhältnis soll die Luca-Betreibergesellschaft der Auftragsverarbeiter sein und wenn überhaupt, läge die Pflicht zur Erstellung einer DSFA beim nutzenden Veranstalter.

    Da seine Stellungnahme vom 1.4. ausdrücklich die Vergabeentscheidung seiner Landesregierung erwähnt, darf man wohl davon ausgehen, dass ihm bei der Prüfung klar war, dass es um einen staatlichen Auftrag geht.

    Außerdem fällt es schwer, bei einem App-Konzept, in dem die zentral bei einem privaten Betreiber gespeicherten persönlichen Daten mit einem Schlüssel der Gesundheitsämter verschlüsselt werden und die GÄ Schnittstellen zum Datenabruf haben, eine Verantwortung des Staates zu übersehen.

    Nachdem nun eine Reihe von Bundesländern Luca-Lizenzen erworben haben, fragt man sich, wer denn nun die Verantwortung für die Verarbeitung der Daten im Luca-Konzept tragen könnte. Man wird da kaum den Staat aus der Verantwortung nehmen können und damit wäre das vollmundige Datenschutzversprechen des LfDI BaWü hinfällig und die darauf aufbauenden Investitionen ggf. umsonst getätigt. Ich hätte jedenfalls keine Idee, wie der Staat in Bezug auf die Luca-App seine Transparenzpflicht erfüllen will oder die Gesundheitsämter die Vertraulichkeit ihres Schlüssels gewährleisten wollen.

    Die nächste Trauergestalt im Luca-Theater ist dann die Datenschutzkonferenz und ihre Stellungnahme zur Luca-App
    https://nitter.cc/MalteEngeler/status/1376614493707501578#m

  3. „Die Daten werden verschlüsselt zentral auf Servern der App gespeichert. Wird eine Person später positiv auf Covid-19 getestet, kann sie dem Gesundheitsamt eine Liste aller Orte freigeben, die sie in den vergangenen 14 Tagen aufgesucht hat.“

    Das wird schon in Zweifel gezogen: erstens weil „verschlüsselt“ nicht viel bedeutet, wenn hinterher fast jeder den passender Schlüssel bekommt, und zweitens weil auch ohne „Freigabe“ der Nutzer*innen eine Dateneinsicht möglich ist. Diese „Freigabe“ ist ein reines Versprechen der Entwickler, ohne jegliche Absicherung.

  4. “ … Bayern seine Entscheidung für Luca bekannt und zahlt mit 5,5 Millionen den höchsten Preis für die Jahreslizenz. Es handelt sich um das bislang einzige Bundesland, das die Vergabe der App überhaupt ausgeschrieben hat.“
    In der kurzen Zeitspanne seit der Ankündigung von Söder, daß Bayern die Lizenz kauft, kann eine Ausschreibung (Erstellen der Ausschreibung, Veröffentlichung, Angebotsfrist, Auswertung/Bewertung, Vergabe …) doch gar nicht durchgezogen werden. Wurde ja im Text bereits angerissen.
    Bitte belehre mich eines Besseren.

    Und dann kaufen die Honks Jahreslizenzen. Was soll man davon halten.
    Ich als Optimist: Januar 2022, alle relevanten geimpft, Corona erträglich.
    Aber in jedem Kramerladen hängt ein QR-Code für Luca? Die Lizenz muß sich ja „lohnen“?

    1. Das nennt man (dort?) Risikomanagement. Eine Jahreslizenz heißt, dass man es spätestens nächstes Jahr getrost wegschmeißen kann, UND DANN AUCH NOCH GELD GESPART HAT!

        1. Durch die zeitliche Begrenzung :).

          Grobes Zitat Ministerpräsident: „Wir können noch viel schlimmere Maßnahmen verhängen…“

  5. Mir ist gerade wieder eingefallen was ich Anfang März dazu gelesen habe,
    https://www1.wdr.de/nachrichten/lockdown-kontaktverfolgung-sormas-apps-100.html

    Laut diesem Bericht und auch dem was ich bisher im Kommunalen Umfeld selber erlebt habe, können wohl nur ein Bruchteil der Gesundheitsämter die Daten nutzen. Wir ignorieren einfach mal den Personalmangel, der das verarbeiten der Daten ja sicherlich auch nicht einfacher macht.

    Dann ist die Berechnung des Preises aber schon weird, die Einwohnerzahlen werden mit rein gerechnet, auch die Gesundheitsämter, aber das steht irgendwie in keinem Verhältnis wenn es nicht von allen genutzt werden kann.

  6. Mir ist unerklärlich, wieso jetzt so viel Geld für ein privates Unternehmen ausgegeben wird, bei dem die Transparenz nicht gewährleistet ist. Alle Vorteile der Corona Warn App mit dezentraler Speicherung wurden hier völlig ignoriert und einfach per Dekret entschieden. Nur das wir jetzt nicht einmal die Wahl haben „Nein“ zu sagen.
    Man hätte diese Funktion einfach in die Corona Warn App integrieren können, ohne teure Lizenzen zu kaufen, damit wären die Kompatibilitätsprobleme mit verschiedenen und älteren Smartphones dann auch schon durch.

    Ich hoffe die Bundesregierung geht endlich den Open Source Weg und lässt ordentliche, transparente digitale Lösungen für die öffentliche Verwaltung und Kommunikation programmieren, die dann auch mit offenen Schnittstellen in zukünftigen Krisenzeiten genutzt werden kann.

  7. „Eine sehr zeitaufwändige Ausschreibung, die in der Regel mehrere Monate dauert,
    kam für uns in diesem Fall ausnahmsweise nicht in Frage.“

    Ich erinnere mich nicht mehr so genau: Wie sehr zeitaufwändig war einst die Ausschreibung für die CWA? War die nicht innert 6 Wochen von Null auf „gerade schon brauchbar“
    Warum war es dort, trotz der Eile Möglich, das Copyright mitzuerwerben?

    Welcher Zeitaufwand? Warum wurden den ganzen Sommer 2020 nichts, absolut garnichts getan, ausser das die manuellen Listen von einigen Polizisten als „Vertauensbildende Maßnahme“ zur Suche nach Kleinkriminellen und unfreiwilligen Zeugen mißbraucht wurde?
    Die Forderung nach „Checkin an Orten“ bestand doch schon von anfang an.

    Nicht übersehen:
    Das war der einzige Mißbrauch der Daten. Einfach weil diese Papierlisten zu unbequem zu durchsuchen waren und klar entsorgt wurden. Säumiges löschen liest sich leicht ferststellen, da jeder Eintrag ein Datum trug. Backups musten nicht gemacht werden.

    Aber so, auf einem Server, wo der eine Schlüssel eh schon in staatlicher Hand und der andere ebenso leicht gegattert werden könnte, wie einst die Papierliste selbst?

    Werden eigentlich immer noch beide Schlüssel von der Bundesdruckerei erzeugt?

  8. Angesichts des CDU-Maskenskandals wüde es nicht verwundern, wenn Teile der Politik an diesem Schmierenhandel aktiv fördernd beteiligt waren. Gibt es schon investigative Hinweise darauf?

Ergänzung an Mr. Tea Ergänzung abbrechen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.