Corona-Apps: Die wichtigsten Fragen und Antworten im Überblick

Apps wie die Corona-Warn-App oder Luca sollen bei der Pandemiebekämpfung helfen. Wir geben einen Überblick über Unterschiede und die Vor- und Nachteile.

Lesezeit: 18 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 179 Beiträge

(Bild: heise online / RKI / luca-app.de)

Update Stand:
Von
  • Simon Koenigsdorff
Inhaltsverzeichnis

Immer wieder richtet sich die Hoffnung in der Pandemiebekämpfung auf digitale Lösungen. Mit der Corona-Warn-App im vergangenen Sommer und nun Check-In-Systeme wie Luca sollen Lockerungen begleitet werden – doch insbesondere über Luca scheiden sich die Geister. Wir beantworten die wichtigsten Fragen zu den unterschiedlichen Apps und der laufenden Debatte.

[Update 29.3.2021, 13.30]: Wir haben die Liste der Bundesländer, die die Luca-App einsetzen wollen, aktualisiert, den Abschnitt zur Kritik an Luca präzisiert und mehrere Abschnitte um Statements der Berliner Datenschutzaufsicht ergänzt.

[Update 31.03., 11:15 Uhr]: Wir haben eine Stellungnahme der Datenschutzkonferenz zu Luca sowie die Veröffentlichung des Quellcodes ergänzt.

[Update 06.04., 12:00 Uhr]: Wir haben die Frage "Kann ich in den Apps auch Testergebnisse hinterlegen?" sowie einen Medienbericht über die Vergabe von Luca-Lizenzen ergänzt.

[Update 15.04., 10:15 Uhr]: Wir haben eine Sicherheitslücke in Luca-Schlüsselanhängern und den aktuellen Stand beim Einsatz von Luca in den Bundesländern und der Quellcode-Veröffentlichung von Luca ergänzt.

Ja, doch bei den aktuell diskutierten Apps geht es um mehrere Zwecke: die Warnung von anderen und die Erfassung von Kontaktdaten. Die Corona-Warn-App (CWA) des Bundes gibt es bereits seit vorigem Jahr. Sie soll Nutzerinnen und Nutzer alarmieren, wenn sie direkten Kontakt mit einer infizierten Person hatten. Dazu misst sie via Bluetooth, ob sich zwei Smartphones mit installierter App über einen gewissen Zeitraum nahe beieinander befinden. Wird ein Kontakt registriert und eine beteiligte Person später positiv auf Corona getestet, bekommen Risikokontakte eine Meldung in der App. Sie gilt als besonders datenschutzfreundlich, weil dabei keinerlei persönliche Daten anfallen.

Doch bereits seit vergangenem Jahr wurde gefordert, die CWA um neue Funktionen wie die Erkennung von Infektionsclustern zu erweitern – weil zum Beispiel Menschen, die sich durch Aerosole auch über größere Distanzen anstecken können, nicht erfasst werden. Insgesamt wurde die CWA über 26 Millionen Mal heruntergeladen und verfügt seit den letzten Updates über Zusatzfunktionen wie ein privates Kontakttagebuch und eine freiwillige "Datenspende" an das Robert Koch-Institut.

Lesen Sie auch

Nach Ostern soll die CWA um eine Check-In-Funktion zur Clustererkennung ergänzt werden. Funktionieren soll das für die Nutzerinnen und Nutzer ähnlich wie Luca und andere digitale Gästelisten (siehe unten): Sie scannen beim Betreten eines Restaurants, einer Veranstaltung oder auch bei privaten Treffen einen QR-Code mit ihrem Smartphone ein. Der Unterschied: Auch hier werden in der CWA keine persönlichen Kontaktdaten hinterlassen – im Gegensatz zu Luca und ähnlichen Systemen.

Gibt später eine infizierte Person ihr Testergebnis in der CWA frei, werden nicht nur die Kontakte gewarnt, die sich in der Nähe aufgehalten haben, sondern auch diejenigen, die zur selben Zeit am selben Ort eingecheckt waren. Das Gesundheitsamt ist nicht involviert, garantiert gewarnt werden die Kontakte jedoch auch nicht: Die Freigabe eines positiven Tests ist in der CWA freiwillig, nicht alle machen davon Gebrauch. Ähnliche, anonyme Konzepte benutzen Systeme in Großbritannien und das Protokol CrowdNotifier, auf dem die Schweizer App NotifyMe basiert.

Zwischenzeitlich war zwar auch ein Papier der CWA-Entwickler bekannt geworden, das vorsah, in Zukunft auch Kontaktdaten in der App zu erheben und den Gesundheitsämtern zugänglich zu machen, doch auf Anfrage teilte das Bundesgesundheitsministerium nun mit, dass eine "automatisierte Datenübermittlung nicht vorgesehen" sei – schließlich liege die hohe Akzeptanz der CWA auch daran, dass sie datensparsam sei. Bis Ende April soll es außerdem möglich sein, zusätzlich auch Schnelltestergebnisse in der CWA zu dokumentieren (siehe unten).

Lesen Sie auch

Die Luca-App soll Papierlisten zur Erfassung von Kontaktdaten digitalisieren und die Kontaktverfolgung erleichtern. Nutzerinnen und Nutzer können in der Smartphone-App Namen, Telefonnummer und E-Mail-Adresse eingeben und anschließend dort via QR-Code einchecken, wo sie sonst auch ihre Daten hinterlassen müssten. Denn die Corona-Schutzverordnungen der Länder sehen vor, dass beispielsweise in der Gastronomie die anwesenden Personen dokumentiert werden müssen. Die App soll den Gesundheitsämtern ermöglichen, im Infektionsfall Kontaktpersonen schneller zu finden, weil sie die Daten digital bekommen.

Lesen Sie auch

Das Sicherheitskonzept verspricht dabei, dass die Daten doppelt verschlüsselt werden – einmal mit einem Schlüssel des Gesundheitsamts und ein weiteres Mal mit dem Schlüssel des Gastgebers. Greift ein Gesundheitsamt auf einen Datensatz zu, werden die darin auftauchenden Nutzerinnen und Nutzer außerdem in der App gewarnt – und sollen sich idealerweise schon isolieren können, noch bevor das Gesundheitsamt sie offiziell kontaktiert. Einen solchen Rückkanal besitzen bisher nur die CWA und Luca.

Die Luca-Betreiber sprechen Stand Mitte April von vier Millionen Registrierungen in der App und 81.000 Standorten, die den Check-In anbieten. Auf der Seite der Gesundheitsämter seien demnächst 300 von insgesamt 375 an das Luca-System angeschlossen. Doch nicht alle von ihnen nutzen schon eine Kontaktverfolgungs-Software wie Sormas, in die die Luca-Daten direkt eingespeist werden können – denn die Sormas-Einführung hinkt immer noch hinterher. Als gesamtes Bundesland hatte zuerst Mecklenburg-Vorpommern eine Luca-Lizenz für rund 440.000 Euro erworben, das Land Berlin unterschrieb einen Vertrag über rund eine Million Euro. Inzwischen haben 13 der 16 Bundesländer angekündigt, die App nutzen zu wollen. Teils sind die Verträge bereits unterschrieben, in einigen Bundesländern soll die App zunächst bei "Modellversuchen" einzelner Kommunen eingesetzt werden. Auch in Bundesländern wie Nordrhein-Westfalen ohne Luca-Landeslizenz setzen einzelne Kreise und Städte auf das System.

Nach Recherchen von Netzpolitik.org sind für einjährige Luca-Lizenzen bislang mindestens rund 20 Millionen Euro von den Ländern zugesichert worden. Spitzenreiter ist demnach Bayern, das als eines der letzten hinzugekommenen Länder 5,5 Millionen Euro zahlen soll.

Laut einem Bericht von Zeit Online von Anfang April habe es für den Einsatz von Luca "vielerorts" keine öffentlichen Ausschreibungen gegeben, wie sie normalerweise bei staatlichen Aufträgen vorgeschrieben sind. Eine "Markterkundung" des Landes Mecklenburg-Vorpommern war zu dem Ergebnis gekommen, dass Luca "die beste verfügbare technische Lösung" und mit keinem anderen System vergleichbar sei, weshalb man sich für eine Direktvergabe entschieden habe. Der Vergleich zwischen den Anbietern beruhte laut Zeit Online jedoch nur auf deren Werbematerialien. Nach der Beschwerde eines konkurrierenden Anbieters (siehe unten) prüfe nun die Vergabekammer von Mecklenburg-Vorpommern, ob die Vergaberichtlinien eingehalten wurden.

Geht es nach dem Bundesgesundheitsministerium und den Luca-Betreibern, sollen sich die Apps nicht ersetzen, sondern ergänzen. Auf Anfrage bestätigen beide einen Bericht der Süddeutschen Zeitung, dass die QR-Codes, die für den Check-In gescannt werden müssen, künftig sowohl von der CWA als auch von Luca erkannt werden sollen. Damit könnten Nutzerinnen und Nutzer den QR-Code mit einem Scan in beiden Apps hinterlegen. Luca soll nach Betreiberangaben die Funktion Mitte April erhalten, die CWA noch im selben Monat. "Die anonyme Eventregistrierung der CWA ist hauptsächlich für private Events gedacht", ergänzt dazu eine Sprecherin des Gesundheitsministeriums. "Die Luca-App hilft, der Zettelwirtschaft in Restaurants etc. zu begegnen und bei Corona-Fällen schnell das Gesundheitsamt über weitere Kontakte zu informieren." Laut der Dokumentation der Check-In-Funktion der CWA handelt es sich dabei um einen offenen Standard, sodass auch andere App-Anbieter ihre QR-Codes mit der CWA kompatibel machen können.

Im Februar hatte der baden-württembergische Datentschutzbeauftragte, Stefan Brink, der Luca-App einen "hohen Datenschutz-Standard" bescheinigt. Danach wuchs jedoch die Kritik – auch, weil ein detailliertes Sicherheitskonzept und die versprochene Quellcode-Veröffentlichung zunächst auf sich warten ließen. Eine Analyse von ZEIT ONLINE kam zu dem Schluss: "Luca ist leider auch keine Lösung". Zu intransparent und lückenhaft sei das Verschlüsselungskonzept, zu riskant die zentrale Datenhaltung, bemängelten Sicherheitsexperten und Datenschützerinnen.

Auch Forscherinnen und Forscher von der Hochschule EPFL in Lausanne, die teils CrowdNotifier mitentwickelt haben, kritisieren Luca in einem ausführlichen Papier: Das System sei zu stark auf den zentralen Server der privaten Betreiberfirma ausgerichtet, auf dem alle gesammelten Daten zusammenlaufen. Dort sei es trotz Verschlüsselung prinzipiell möglich, Nutzerinnen und Nutzer zu tracken, beispielsweise über die IP-Adressen ihrer Smartphones, und dies mit pseudonym gespeicherten Daten zu verknüpfen. So könnten unter anderem Bewegungsprofile erstellt werden. Das alles berge Missbrauchspotenzial für Angreifer, staatliche Stellen oder gar kommerzielle Interessen, und mögliche Datenlecks könnten zu sozialer Stigmatisierung führen.

In einer Stellungnahme zu den Vorwürfen, die heise online vorliegt, betonen die Luca-Betreiber, dass bei einer Einführung auf Landes- oder gar Bundesebene nicht mehr ihr Unternehmen Nexenio, sondern die Bundesdruckerei die Vergabe von Schlüsseln an die Gesundheitsämter übernehme. Um an Kontaktdaten im Klartext zu kommen, müssten staatliche Stellen aber mehrere Schlüssel gleichzeitig abgreifen, wofür die Betreiber ein gesetzliches Verwertungsverbot für denkbar halten.

Zum Thema IP-Adressen erklären die Betreiber: "Das Luca-System nutzt solche Metadaten nicht zur Deanonymisierung der Nutzer." Dies widerspreche dem eigenen Kryptokonzept. Allerdings sei ein Missbrauch "bei quasi jeder Browser- oder App-Nutzung theoretisch möglich." Die EPFL-Studie sieht die Privatsphäre von Infizierten besonders in Gefahr, weil der Luca-Server erfahre, wer seine Kontakthistorie mit dem Gesundheitsamt teile und welche Aufenthaltsorte abgefragt werden - wobei die Luca-Betreiber in ihrer Antwort schreiben, solche Anfragen beträfen nicht zwingend nur Infizierte. Dennoch sieht die Studie in diesem Wissen Missbrauchs- und Erpressungspotenzial. In Zukunft wollen die Luca-Entwickler nun nachbessern und auf wechselnde User-IDs setzen, um eine Identifizierung zu erschweren. Auf weitere Kritikpunkte antworten sie lediglich, dass bei sensiblen politischen oder religiösen Treffen schließlich auch Papierlisten verwendet werden könnten – und behaupten, dass manche Datenbanken der Gesundheitsämter "teilweise deutlich schlechter geschützt" seien als das Luca-System.

Inzwischen hat sich unter den Datenschutzbehörden der Länder eine Arbeitsgruppe gebildet, die sich dem Thema digitale Kontaktverfolgung annehmen und Anforderungen an Check-In-Apps formulieren soll. Federführend ist Berlin, wo auch Nexenio seinen Sitz hat, beteiligt sind außerdem die Datenschutzbehörden aus Nordrhein-Westfalen, Rheinland-Pfalz, Mecklenburg-Vorpommern und Baden-Württemberg. In einer gemeinsamen Stellungnahme der Konferenz der deutschen Datenschutzbehörden (DSK) haben sie Ende März die Kritik an der zentralisierten Struktur von Luca bekräftigt. Es bestehe das "Risiko" einer "schweren Beeinträchtigung für die Einzelnen und das Gemeinwesen", weswegen man mit den Betreibern eine dezentrale Speicherung erörtern wolle.

Mitte April haben IT-Expertinnen und -Experten um Bianca Kastl und Tobias Ravenstein eine Sicherheitslücke in Luca-Schlüsselanhängern aufgedeckt, durch die sie die Kontakthistorie einzelner Nutzer vollständig auslesen konnten. Die Anhänger mit aufgedrucktem QR-Code sollen Luca auch ohne Smartphone nutzbar machen; die Lücke wurde nach Betreiberangaben umgehend geschlossen. Trotzdem forderte der Chaos Computer Club anschließend den sofortigen Stopp der Luca-App, da diese zu viele technische Mängel aufweise, die Vergabe intransparent und das Geschäftsmodell "zweifelhaft" sei.

Ende März haben die Luca-Entwickler parallel zu der Kritik begonnen, ihren Quellcode auf der Plattform GitLab zu veröffentlichen. Bis Mitte April wurden nach der Android-App auch die iOS-Version und als letztes auch die Web- und Serverkomponenten des Systems offengelegt. Unabhängige Untersuchungen des Codes stehen derzeit allerdings noch aus.

Luca ist nicht die erste Anwendung, die die Corona-Kontaktlisten digitalisieren will. Erste Systeme sind bereits beim WirVsVirus-Hackathon der Bundesregierung vor einem Jahr entstanden, seitdem existieren dutzende kleine und große Anbieter – oft mit kommerziellem Hintergrund. Systeme wie e-guest setzen auf Smartphone-Apps, andere wie darfichrein.de oder recover laufen nur als eine Art Kontaktformular im Browser – doch Standard ist, dass zuerst ein QR-Code gescannt werden muss. Nutzerinnen und Nutzer sehen so nicht immer auf den ersten Blick, welches System an welchem Ort zum Einsatz kommt.

Viele der Anbieter haben sich der Initiative "Wir für Digitalisierung" angeschlossen, die nicht damit einverstanden, dass Luca hervorgehoben wird. Als Alternative schlagen sie eine gemeinsame Plattform vor, auf der die Gesundheitsämter über eine Schnittstelle die Kontaktlisten vieler oder aller Anbieter anfordern können, wenn sie eine Infektionskette verfolgen wollen. Die Plattform soll in Köln in einem ersten Testlauf beim dortigen Gesundheitsamt eingesetzt werden.

Ende März hat sich die Thüringer Landesregierung dazu entschieden, von dem ursprünglich geplanten Einsatz von Luca abzusehen und auf eine "offene Schnittstelle" zu setzen. Das Finanzministerium hatte argumentiert, man wolle die bereits vorhandenen Lösungen nutzen und "das Engagement der vielen Start-ups würdigen und unterstützen". Darüber hinaus sei dies kostengünstiger als die insgesamt 10,5 Millionen Euro, die die anderen Bundesländer zusammengenommen für eine Jahreslizenz von Luca veranschlagt haben. Auch das Land Nordrhein-Westfalen setzt seit April für die Öffnungsversuche in "Modellkommunen" auf eine "Pluralität" von Corona-Check-In-Apps mit gemeinsamer Schnittstelle.

Das Grundproblem, dass alle erfassten Kontaktdaten – wenn auch verschlüsselt – auf einem zentralen Server landen, teilen fast alle Anbieter von digitaler Kontaktdatenerfassung. Laut der baden-württembergischen Datenschutzaufsicht soll Missbrauch verhindert werden, indem weder App-Betreiber noch Gastgeber die Daten unverschlüsselt sehen können, sondern nur das Gesundheitsamt. Doch in der Praxis unterscheiden sich die Umsetzungen und Verschlüsselungskonzepte der Anbieter zum Teil erheblich. Auch hier ist Open Source die absolute Ausnahme (zum Beispiel recover), sodass unabhängige Überprüfungen bisher schwierig sind, auch wenn alle Anbieter versprechen, die Daten sicher und DSGVO-konform zu speichern. Immerhin erschwert das bundesweite Infektionsschutzgesetz seit Dezember die Zweckentfremdung der Kontaktdaten durch die Polizei, doch im vergangenen Jahr kam es auch schon zu mehreren Datenlecks bei Anbietern von digitalen Corona-Kontaktlisten.

Wer sowohl die CWA nutzt als auch an verschiedenen Orten einchecken möchte, braucht künftig womöglich mehrere Apps. Sollte Luca tatsächlich flächendeckend eingeführt werden und die Pflicht zur Datenerfassung bestehen bleiben, wären es dann zumindest zwei – eine eindeutige Entscheidung für ganz Deutschland gibt es bislang aber noch nicht. Doch sowohl Luca als auch viele andere Check-In-Systeme funktionieren auch als Webapps beziehungsweise ausschließlich im Browser, sodass nicht in jedem Fall Apps heruntergeladen werden müssen.

In der CWA konnten von Anfang an die Ergebnisse der "normalen" PCR-Tests erfasst werden. Nur so funktioniert im Infektionsfall die Warnung der Kontaktpersonen, die die CWA ebenfalls nutzen. Künftig soll es auch möglich sein, die Ergebnisse von Schnelltests in der CWA zu hinterlegen. Angekündigt wurde die Funktion für den Monat April, zunächst sind unter anderem die Schnelltestsysteme der Bundesvereinigung der Apothekerverbände, der Drogeriemarktkette dm und der Galeria-Kaufhäuser angebunden. Auch beteiligt ist der Anbieter Doctorbox, der bereits im Tübinger "Modellversuch" von Öffnungen mit Testpflicht zum Einsatz kommt. Später soll auch der Impfstatus in der App erfasst werden können.

Auch die Luca-App kooperiert seit Ende März mit einem ersten Anbieter von Schnelltests. Laut Pressemitteilungen der Luca-Betreiber und des Unternehmens Ticket I/O sollen zunächst die Ergebnisse von 250 Schnelltestzentren in der App dokumentiert werden können. Die Betreiber betonen dabei, dass die Daten der Testergebnisse trotz des zentralisierten Konzepts von Luca nur lokal auf dem Smartphone bleiben sollen. Beim Check-In werde jedoch die Information dokumentiert, dass ein negatives Ergebnis vorhanden war.

Geplant ist eine Integration von Schnelltests auch bei anderen Apps - angekündigt hat sie beispielsweise der bayerische Anbieter Darfichrein. Auch Jan Kus, Geschäftsführer der Firma hinter der Open-Source-Lösung Recover, bestätigt gegenüber heise online entsprechende Pläne. Allerdings wolle Recover vor allem die Ergebnisse von Selbsttests erfassen, die zuhause und nicht in einem Schnelltestzentrum gemacht werden können.

Wie die Beispiele aus der Schweiz und Großbritannien zeigen, müssen Gesundheitsbehörden nicht zwingend auf Kontaktlisten von öffentlichen Orten wie Restaurants oder Veranstaltungen zugreifen können – vorausgesetzt, die Kontaktpersonen werden via App gewarnt und halten sich auch ohne behördliche Kontrollen an die Pflicht zur Selbstisolation. Bei hohen Inzidenzen und überlasteten Gesundheitsämtern steht umgekehrt die Frage im Raum, ob diese mit begrenzten Ressourcen viele Kontaktpersonen schnell genug persönlich erreichen können.

Sowohl Datenschützerinnen als auch die App-Entwickler von Luca und recover würden eine anonyme Lösung eigentlich vorziehen, erklärten sie Mitte März bei einer Online-Konferenz. Auch von der Berliner Datenschutzaufsicht heißt es, dass eine rein pseudonyme Clusterkennung ohne Kontaktdaten aus Datenschutzsicht "deutlich zu bevorzugen" sei - aber nur, wenn dieses System gleich effektiv sei wie die bisherige Praxis der Gesundheitsämter.

Doch dafür müsste die Rechtslage in allen Bundesländern geändert werden. Im Moment ist eine rein anonyme Kontaktverfolgung in keiner Landesverordnung vorgesehen. Auch wenn nun die CWA eine solche anonymisierte Funktion erhalten soll, hält das Bundesgesundheitsministerium bisher keine rechtlichen Anpassungen für nötig – es handele sich lediglich um ein freiwilliges Zusatzangebot und "ersetzt daher auch nicht entsprechende landesrechtliche Vorgaben".

(anw)