InfektionsschutzgesetzCorona-Warn-App könnte Luca bald obsolet machen

Die Check-in-App von Rapper Smudo hat Beef mit den Ampel-Parteien: Mit einer Änderung im Infektionsschutzgesetz könnte die staatliche Corona-Warn-App zum Regelfall für die Kontaktverfolgung werden.

Smudo und Luca
Rapper-Promi Smudo bei der Präsentation der Luca-App im November 2020 – Alle Rechte vorbehalten IMAGO / Steffen Schellhorn

Seit Beginn der Pandemie stellt die Kontaktnachverfolgung die Gesundheitsämter in Deutschland vor eine Herausforderung. Erleichtern sollte das die Check-in-App Luca, die vom Rapper Smudo beworben und in 13 Bundesländern eingesetzt wird. Allerdings ist die App, die eine rasche Registrierung in Lokalen und anderen Orten ermöglicht, wegen technischer Mängel und Sicherheitsproblemen umstritten.

Nun setzen die Ampel-Parteien SPD, Grüne und FDP im geänderten Infektionsschutzgesetz Schritte, die Luca bald obsolet machen könnten. Eine Beschlussempfehlung des Hauptausschusses im Bundestag [PDF] räumt den Ländern explizit die Möglichkeit ein, “dass die Nachverfolgung und Unterbrechung von Infektionsketten vorrangig durch die Bereitstellung der QR-Code-Registrierung für die Corona-Warn-App des Robert Koch-Instituts erfolgt.”

Es handle sich um einen überfälligen Schritt, denn die Ampel mache die Corona-Warn-App (CWA) damit endlich zur vollwertigen Alternative für die Registrierung beim Restaurantbesuch, twitterte Henning Tillmann vom netzpolitischen Verein D64. Eine Einschätzung, die SPD-Vorsitzende Saskia Esken umgehend retweetete.

Bei Veranstaltungen einchecken kann man mit der Corona-Warn-App seit dem Frühjahr 2021, seit einigen Tagen geht dies nun auch mit QR-Codes, die ursprünglich für Luca gedacht waren. Das bedeutet, dass der Umstieg von einer App auf die Andere praktisch nahtlos verlaufen kann.

13 Bundesländer nutzen bislang Luca

Unklar war zunächst, ob die Länder mitziehen und die Corona-Warn-App zum Standard für Check-ins machen. Sie könnten ihre eigenen Coronaschutzverordnungen entsprechend anpassen, eine Pflicht dazu besteht aber nicht. Einige Bundesländer wie Sachsen und Baden-Württemberg erlauben bereits, die datensparsamere CWA als Alternative zu Luca zu verwenden. Immerhin ein Bundesland dürfte ohnehin bald auf Luca verzichten. Das Oberlandesgericht Rostock hatte vergangene Woche den 440.000 Euro teuren Ankauf der App durch die Landesregierung wegen des freihändigen Vergabeverfahrens für unwirksam erklärt.

Insgesamt 13 Bundesländer hatten Verträge über die Nutzung der Luca-App für mehr als 20 Millionen Euro unterschrieben. Allerdings zeigte rasch nach der Einführung eine Recherche von netzpolitik.org, dass die durch die App produzierten Daten von den Gesundheitsämtern kaum genutzt werden. Auch eine Umfrage des SPIEGEL bei rund 200 Gesundheitsämtern kam zum Schluss, dass sie kaum eine Arbeitserleichterung bringt.

Das könnte sich mit der flächendeckenden Einführung der Corona-Warn-App ändern: Denn während bei Luca hinterlegte Daten bei den Gesundheitsämtern landen, die dann Kontakte quasi “händisch” nachverfolgen müssen, alarmiert die CWA direkt alle Kontaktpersonen, wenn einer ihrer Nutzer:innen einen positiven Testnachweis in die App lädt. Das dürfte den Aufwand für die Kontaktnachverfolgung immens erleichtern.

12 Ergänzungen

    1. Ich finde es schön dreisst, dass man sich so einfach bedient und dem Erfinder der Lucca App rauswirft.
      Ohne diese App hätte unsre Regierung noch schlechter da gestanden!
      Ich verstehe Smudo gut!
      Warum sollte er nicht belohnt werden für sein Engagement?
      Ich würde das auch nicht so einfach hinnehmen.

      1. Jetzt noch Fanposts oben drauf, ich glaub’ es nicht, doch les’ ich’s schon.

        Also geleistete Teile werden sicherlich bezahlt, nicht aber nicht geleistete Teile. Dass das Businessmodell mit Drölmioschnell dann nicht klappt… naja, Geld genug hammse jetzt schon gemacht, um die Vergabe selbst prüfen zu lassen, und vorbereitet zu sein.

        Ansonsten hätte das technisch nicht passieren dürfen, diese App im Handstreich überall einzuführen. Grandioses Versagen. Krisen-Bunga-Bunga. Es gibt unzählige andere Ansätze und die CWA hätte man dazu viel früher aufbauen können, man hatt’se aber liegen lassen. Das ist doppeltes Versagen auf Staatsseite, allerdings hat die Räpp hier kaum bis nicht so viel gebracht. Ist auch nicht schwer zu verstehen, dass Meldungen aus einem Riesenraum nichts bringen, wenn alle mit dem selben Code eingecheckt sind. Damit kann das Gesundheitsamt genau nichts anfangen, bis wir dann bei Häuserblockquarantäne sind, wie es die Chinesen machen. Die CWA in ihrer Grundfassung wäre da sinnvoller gewesen, vielleicht noch mit einem Gebäudemodus, oder ZUSÄTZLICHEM verknüpftem Veranstaltungsmodus.

  1. gibt es ein Gesetz das mich verpflichtet im Besitz eines Smart Phones zu sein ? Ich besitze gültigen Impfpass und Personalausweiß .

  2. Ich finde es richtig, auf die CWA zu setzen. Doch sollten wir RTs der Saskia Esken nicht zu hoch bewerten. Zumal der D64 ein SPD-naher Verein ist; auch wenn Henning den Tweet abgesetzt hat. Unabhängig ist der Verein meiner Meinung nicht.

  3. Gibt es bei der CWA auch eine Möglichkeit sich nur per Webbrowser (also per Webapp) einzuloggen? (Hintergrund: Die Luca-Web-App erlaubt das einchecken per Webbrowser. Das ist gut, weil manche Veranstaltungsorte verlangen, dass die Person eingecheckt ist und die CWA und die Luca Android App-Versionen nur auf neueren Android Versionen laufen.)

    Sollte die CWA verpflichtend werden, dann bräuchte ich dafür ein neues Gerät, wenn es keine Webapp gibt. Ist ein Nachteil der Aktion.

    1. Webapp geht nicht mit dem Datenschutzkonzept.

      Woher soll ihr Gerät identifizierbar sein (pseudonym, temporär)?
      – Geräteident via Browser?
      – Kamera + QR-Code lesen via Browser?
      – Ihre Daten beim Webdienst gespeichert?
      – Oder die Person identifizieren (eigentlicher Sinn)…

      Theoretisch könnte man sowas auch noch bauen, das läuft dann aber so ab:
      – Sie erstellen einen anonymen Account (Politik: GEFAHR, GEFAHR!), um temporäre IDs austauschen zu können. Alles was der Webdienst an der Stelle hat, ist eine unter Ihrer kontrolle befindliche Emailadresse und die temporäre ID.
      – Das Restaurant registriert sich auch bei dem Webdienst.
      – Sie gehen mit ihrem Browser auf den Webdienst und melden sich bei dem Restaurant an, die Seite zeigt einen scanbaren QR-Code an, der vom Personal des Restaurants gescannt und verifiziert wird (die haben dann eine App, die für das Restaurant prüfen kann).
      – Warnungen erhalten Sie per Email, oder sie hinterlegen noch eine Telefonnummer (extra Registrierung, Risiko), oder nur bei Einloggen.

      Das wäre eine völlig andere Infrastruktur mit jeder Menge Datenberührungspunkten…

      1. Fdroid hat CWA und Impfdings Apps aus Sourcen gebaut verfügbar. So soll es eigentlich auch sein, wenn man nicht selbst compilieren will+-kann.

        1. Danke für die wissensreichen Antworten!

          Ja, die Fdroid-Versionen sind mir bekannt und es ist super, dass diese die Verwendung auf mehr Mobilgeräten erlauben! (Passt bei mir leider noch nicht, ich werde wohl – für die Umwelt ungünstig – das Mobiltelefon wechseln müssen.)

          Die Datenschutz-Risiken der Konstruktion einer Webanwendung sind mir auch bekannt. Trotzdem ist es ein Vorteil, dass ich mich entscheiden kann, lieber so meine Kontaktdaten anzugeben, als andere Verfahren oder deren Nachteile in Kauf zu nehmen. Und eine Entscheidung nur auf eine CWA-App oder eine Variante davon zu gehen, schließt zumindest eine kleine Gruppe aus, die nun eingeschlossen ist.

          1. Es ginge schon ohne Kontaktdaten, sogar Email müsste nicht zwingend in Klartext gespeichert sein (Salt/Hash/Krypto). Macht man vom “Nichts” gebrauch, werden halt einige Sachen wie Verifikation einen Schritt komplizierter. Zugriffe bleiben natürlich, dennoch: besser als Luca u.ä. geht immer.
            Der eigentlich Punkt ist allerdings, dass das eine zusätzliche Infrastruktur ist, bei der sich dann noch Fragen anschließen, z.B. wie groß die nun skalieren muss, und ob eine Integration in/mit der CWA nötig ist, vor allem für die Anbieterseite.

            Entscheidender ist die Abkehr von stumpfen Kontaktdaten – hier sollte eher eine anonyme Funktion für den E-Perso eingeführt werden, mit getrennter Infrastruktur, so dass nicht wie in Testzentren sogenannte “Datensätze” abhanden kommen können. Wenn dann so eine Stelle Daten halten muss, können die über ein Einweginterface in eine Datenbank reingehen, zurück nur auf Papier :).

            Naja lange Rede kurzer Sinn… die Politik ist ziemlich großflächig mit fast allen Flossen im Weg, im Moment. Es wäre am Anfang schon alles Mögliche möglich gewesen, inklusive Gesetzesanpassungen. Gesetze deren einziger Zweck DIESE PANDEMIE ist, bei ziemlich genau Null Seiteneffekten.

          2. Bei mir läuft die von Google befreite CWA problemlos unter einem seit zwei Jahren nicht mehr gepflegten Lineage OS. Eventuell gibt es ja ein aktuelleres Build für dein Gerät. Manchmal lohnt es sich auch, die von /e/ OS unterstützten Geräte anzusehen (https://doc.e.foundation/devices). Das basiert auch auf Lineage, unterscheidet sich aber ein bisschen von deren Liste unterstützter Geräte.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.