Neue Corona-SchutzverordnungSachsen erlaubt Check-in per Corona-Warn-App

Restaurants und Geschäfte müssen bisher die Kontaktdaten ihrer Gäste sammeln. Die Corona-Verordnungen der Länder schreiben es vor, damit mögliche Infizierte rechtzeitig gefunden werden können. Sachsen zeigt jetzt als erstes Bundesland, dass es auch anders geht.

Handy und Maske liegen auf dem Tisch
Kontaktdaten nicht mehr nötig: In Sachsen reicht es aus, wenn Gäste sich per Corona-Warn-App in Geschäfte und Restaurants einchecken. Vereinfachte Pixabay Lizenz

Sachsen ermöglicht als erstes Bundesland, die Corona-Warn-App für die rechtlich verbindliche Kontaktnachverfolgung einzusetzen. So steht es in der neuen Corona-Schutzverordnung, die das sächsische Kabinett heute verabschiedet hat und die ab Montag in Kraft tritt. Für Betreiber von Cafés, Restaurants oder Geschäften reicht es dann aus, ihre Gäste mit der Corona-Warn-App einzuchecken. Eine Registrierung mit Namen und Adressen, wie sie bisher von der Verordnung vorgeschrieben war, ist dann nicht mehr notwendig.

„Veranstalter und Betreiber sollen vorrangig digitale Systeme, insbesondere die Corona-Warn-App für die Kontakterfassung einsetzen“, heißt es in der neuen Verordnung. „Zusätzlich ist eine analoge Form der Kontakterfassung (…) anzubieten.“ Wer Kontaktdaten auf Zetteln sammelt, soll weiterhin Name, Telefonnummer oder E-Mail-Adresse und Anschrift sowie Zeitraum und Ort festhalten. Dies war bisher für jede Form der Kontaktnachverfolgung vorgesehen und schloss die anonym arbeitende Corona-Warn-App als Lösung aus.

Empfehlung der Datenschützer*innen

Sachsen kommt damit als erstes Land der Empfehlung des Bundesdatenschutzbeauftragten Ulrich Kelber nach. Er hatte vergangene Woche gefordert, „dass auch die Corona-Warn-App zur Registrierung bei Geschäften und in der Gastronomie genutzt werden kann“. Sie solle gleichberechtigt mit anderen Apps zum Einchecken in Restaurants zugelassen werden, sagte Kelber im Interview mit der Zeit. Er würde den Ländern empfehlen, ihre Corona-Verordnungen entsprechend zu ändern.

Auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden hatte die Länder zuvor schon gebeten, zu überprüfen, ob auch ein Check-In per Corona-Warn-App rechtlich ausreichend wäre.

13 Länder setzen auf Luca-App

Die Entscheidung in Sachsen findet vor dem Hintergrund eines Streites um die digitale Kontaktnachverfolgung statt, der in den vergangenen Wochen zunehmend erbittert geführt wird. Auf der einen Seite steht die offizielle Corona-Warn-App des Bundes, die anonym vor einem riskanten Kontakt mit einer infizierten Person warnt. Sie ist besonders datenschutzfreundlich, weil Nutzer*innen anonym bleiben – und hat seit Mitte April ebenfalls eine lang geforderte Check-In-Funktion zur Erkennung von Infektionsclustern.

Auf der anderen Seite stehen inzwischen 13 Bundesländer, die trotzdem in der Kontaktnachverfolgung auf eine andere Lösung setzen: Die Luca-App. Die prominent von Rapper und Investor Smudo beworbene App soll die bisherige Zettelwirtschaft ersetzen, mit der Geschäfte und Gastronomie ihre Gäste dokumentierten. In Luca müssen sich Nutzer*innen allerdings mit ihren persönlichen Daten anmelden: Telefonnummer, Name und Adresse. So soll später sichergestellt werden, dass das Gesundheitsamt sie im Fall eines Infektionsrisikos persönlich erreichen kann. Die Daten werden verschlüsselt auf einem zentralen Server gespeichert.

Forscher*innen für Corona-Warn-App

IT-Expert*innen hatten das Konzept von Luca in den vergangenen Wochen hart kritisiert und zahlreiche Sicherheitslücken nachgewiesen. Der Hackerverein Chaos Computer Club ging so weit, eine „Bundesnotbremse“ für den Einsatz von Luca zu fordern. Sicherheitsforscher*innen warnen, dass Luca als zentrales System mit großer Wahrscheinlichkeit rekonstruieren kann, welches Gerät und damit welche Person sich hinter Check-ins verbirgt.

Im Fall der Schlüsselanhänger, die Menschen ohne Smartphone das Einchecken mit Luca ermöglichen sollen, fanden IT-Fachleute der Gruppe LucaTrack Mitte April eine gravierende Sicherheitslücke, die es ermöglichte, Bewegungsprofile von Nutzer*innen zu erstellen. Zuletzt meldeten über siebzig führende IT-Sicherheitsforscher*innen Zweifel an der Sicherheit und am Nutzen der Luca-App an und forderten, stattdessen die Corona-Warn-App für die Kontaktnachverfolgung zu nutzen.

Sachsen ist neben Nordrhein-Westfalen und Thüringen das einzige Bundesland, das sich gegen den Kauf einer Luca-Lizenz entschieden hatte und stattdessen auf eine Vielfalt von Systemen für die Kontaktdatenerfassung von Gästen setzt. Solange die Schutzverordnungen jedoch vorschreiben, dass Veranstalter*innen die Kontaktdaten ihrer Gäste vorhalten müssen, scheidet die Corona-Warn-App hierfür aus. Das ändert die Landesregierung aus CDU, Grünen und SPD jetzt.

Die 13 Bundesländer, die Verträge für Luca abgeschlossen haben, sagten auf Nachfrage von netzpolitik.org vergangene Woche, sie planten keine Änderungen ihrer Schutzverordnungen in diese Richtung. Die Corona-Warn-App allein reiche für die Kontaktnachverfolgung nicht aus, da sie keine persönlichen Daten an die Gesundheitsämter übermittle. Bislang ist jedoch ungeklärt, ob diese Daten die Ämter wirklich weiterbringen. Kritiker*innen verweisen darauf, dass die Behörden mit der Vielzahl an Kontaktinformationen überfordert sein könnten. Denn Luca digitalisiere zwar den bislang analogen Prozess der Papier-Gästelisten. Es fehle aber weiterhin schlicht an Software und Personal, um die Daten für händische Überprüfungen nutzbar zu machen.

Kunstkollektiv zeigt Schwachstelle von Luca

Wie einfach es zudem ist, das Luca-System mit nutzlosen Daten zu fluten, illustriert eine neue Aktion des Kunst- und Aktivismuskollektivs Peng. Unter dem Namen Luci-App zeigt die Gruppe, wie man sich über Luca mit einer beliebigen Identität in Restaurants oder Geschäften anmelden kann. „Mit unserer Luci-App kannst du beliebig oft bei Luca einchecken. Wer und wo du bist, kannst du völlig frei wählen“, schreibt die Gruppe auf ihrer Webseite.

Das Problem ist lange bekannt und wird auch von den Luca-Machern anerkannt. Es kann allerdings gar nicht behoben werden, denn es ist konzeptionell: Luca verspricht zwar die Telefonnummern von Nutzer*innen zu verifizieren. Ob die sonstigen Daten stimmen, kann das Unternehmen nicht überprüfen, da sie lediglich verschlüsselt auf den Servern gespeichert werden. Den Datensalat zum Schluss bekäme also nur das empfangende Gesundheitsamt zu sehen.

Auch die Aktivist*innen enden daher mit einer Empfehlungen für die Corona-Warn-App, die sei „anonym, dezentral und schneller“.

Update: Ursprünglich hatten wir eine ältere Version der Verordnung zitiert, in der von „Kontaktnachverfolgung“ die Rede war. In der verabschiedeten Fassung steht „Kontakterfassung“. Wir haben die Stelle entsprechend geändert.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

9 Ergänzungen

  1. Sehr gut – ich hoffe die anderen Länder ziehen mit.

    Was ich mich allerdings bei aller Zettelwirtschaft im letzten Jahr gefragt hatte: Warum eigentlich Name UND (Mail ODER Phone) UND Adresse? Zur Kontaktaufnahme würde ja lediglich Mail oder Telefonnummer ausreichen. Eine Behörde der Stadt Hamburg hat mir dazu auf Twitter geantwortet, dass zur Zuordnung des verantwortlichen Gesundheitsamtes auch eine Adresse benötigt würde. Das würde dann eine PLZ rechtfertigen, nicht aber Name und volle Adresse. Keine weitere Antwort bekommen.

  2. Das Bittere ist halt, daß Politiker entscheiden, bar jeder Vernunft.
    Und diejenigen, die Luca „gekauft“ haben, werden nie die jeweilige Verordnung zu Gunsten der CWA ändern. Das wäre ja ein Eingeständnis, voreilig Millionen Euro zum Fenster rausgeschmissen zu haben.

    1. Naja, die CWA war halt „spät“. Man kann schon noch begründen, dass die CWA doch sehr schön die Anforderungen erfüllt, und es allmählich bundesweit zum Einsatz kommt.

      Da wurden schon andere Sachen begründet, die in anderem Maßstab verrückt, dumm und Gefährlich sind, oder sich in ganz anderen Größenordnungen abspielen.

  3. „Zuletzt meldeten über siebzig führende IT-Sicherheitsforscher*innen Zweifel an der Sicherheit“
    Interressiert doch keinen!

    „Trotz vieler Sicherheitsbenken ist die Luca App jetzt in Potsdam aktiv.
    >> Oberbürgermeister Schubert: Von der Datenschutzbeauftragten habe es ein klares „GO“ gegeben und das sei relevant. <<
    So wird beim rbb berichtet."

    Ich frage mich in dem Zusammenhang ob Brandenburg nicht Mitglied der DSK ist, oder ob die die APPs verwechselt haben, wenn es ein so klares GO gibt.

  4. Sehr gut. Hoffentlich zeigen die es den Anderen, dass es auch ohne Luca funktioniert.
    Was ich allerdings bei dem Einsatz, wie er in Sachsen stattfindet, schwierig finde ist, dass es keine Möglichkeit gibt jemanden zu warnen, sobald jemand Infiziert ist, der die App nicht nutzt.
    Es sollte imho dir Möglichkeit geben, dass sich das Gesundheitsamt an den Betreibet des Betriebs wendet und (über eine TAN oder ähnliches) alle, die eingecheckt waren gemeldet werden.

    1. Daten von Gästen ohne CWA müssen ja immer noch händisch erfasst werden und 14 Tage gespeichert werden. Wenn jemand einen positiven Test bekommt, wird er beim Gesundheitsamt auch Angaben über diesen Besuch machen müssen und das Gesundheitsamt kann dann die Daten anfordern.

  5. Kleiner technischer Hinweis: die Daten in der CWA arbeiten nicht anonymisiert, sondern pseudonymisiert. Wäre es anonym, könnte keinerlei Benachrichtigung stattfinden.

    1. Naja, das kommt immer drauf an, was wie verglichen wird, und wer über welche Daten verfügt.

      Prinzipiell ist sicherlich nicht mehr drin als Pseudonym.

      Handyzugriff+Mitschnitt: Hier wäre in den meißten Fällen nicht mahl Pseudonymität drinnen.
      Bluetooth: durch ständig geänderte Token sind es zunächst nur relativ kurze Wegstücke (etwa 10 Minuten, wenn das nicht geändert wurde). Gegenüber anderen Telefonen wird es wohl für den groben Fall über längere Zeit gesehen damit quasi anonym. Betreiben jetzt alle Montioring mit Antennenwald und vielleicht sogar noch Fotos an Knotenpunkten, wird das wieder relativiert.
      Download der Schlüssel von Infizierten: Download selbst ist vielleicht IP und Zweck und Zeitpunkt.
      Melden des Status Infiziert: Hier verbinden sich alle Wegstücke, und aufgezeichnete Token können diesem Schlüssel pseudonym zugeordnet werden, für Infizierte. Kann ein Bild oder eine Finanztransaktion oder spezifische Logins der Strecke und der Person zugeordnet werden, wird es noch enger.

      Als würde ich sagen „fast ziemlich anonym bis zur Infiziertenmeldung“. Allerdings kommen Android/IOS/? noch dazu, so dass Anonymität besser nicht vermutet werden sollte. Alleine die Kombination aufgeschnappter Token und der Beschleunigungsdaten eines Busses, aufgezeichnet mittels Smartphone, ließe sich vielleicht einiges zurückrechnen, wenn man jetzt Antennen oder viele Leute mit Smartphones zur Verfügung hat, kann man da mal gucken, was man so machen kann. Kameras sind eher auffälliger und Datenintensiver, also wohl kostspieliger, also wäre das hier auch für weniger dicke Datensammler geeignet. Ob sich das wirklich lohnt… vielleicht findet eine Detektei irgendwann heraus, dass es eine Person gibt, die ein bestimmtes Ein- und Ausstiegsverhalten zu ungefähren Zeitpunkten auf der Linie X hat…

      Tatsächlich wäre es zu überlegen, die Schlüssel öfter dezidiert zu wechseln, abhängig von der Zahl der empfangenen Token, von Beschleunigung und Geschwindigkeit. Kann man sicherlich auch Fehler bei machen und das Gegenteil erreichen :).

      1. Das wird den User freuen :), die Kaschierfunktion braucht Zugriff aus: Beschleunigungssensoren, Hygrometer, Höhenmesser, Temperatur, Schritt- und Herzfrequenz, WLAN Intensitätsmessung (wegen nicht-Appnutzern) usw…

        Optional ist da natürlich einiges denkbar. z.B. könnte einen Versuch wert sein, Menschenmengen ab einer gewissen Größe auf ein Optimum aufzublasen, in dem fake ids gesendet werden. Ob Sendeleistung künstlich variiert werden sollte, ist noch eine andere Frage. Zudem könnte man allgemein fake ids senden, bis ein potentieller Kontakt in die Nähe der Schwelle kommt, bzw. genügend viele, wobei dann ein neuer Schlüssel fällig wird, und vielleicht will das Gerät gerne die Zufallsids eine kurze Weile weiterführen. Für Innenräume müsste ein temporäres Aussetzen aktiv angestoßen werden, oder es werden doch andere Überlegungen fällig.

        Dabei muss immer überlegt werden, ob das mehr Schadet als nutzt. Z.B. die Erkennung signifikant verschlechtern, Ortung oder Verfolgung letztlich einfacher machen, Betterielaufzeit, etc. Und es gibt Details…

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.