Kontakt-Nachverfolgung: Lob für Luca, Telekom und SAP halten dagegen

Die Länder beraten, ob sie die Luca-App flächendeckend zum Kontakt-Tracing einsetzen wollen. Die Corona-Warn-App könnte entsprechend aufgerüstet werden.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 450 Beiträge

(Bild: Elizaveta Galitckaia / Shutterstock.com)

Update
Von
  • Stefan Krempl
Inhaltsverzeichnis

Bund und Länder haben in der ersten Märzwoche vereinbart, dass im Kampf gegen die Coronavirus-Pandemie "die verpflichtende Dokumentation zur Kontaktnachverfolgung auch in elektronischer Form, zum Beispiel über Apps erfolgen kann". Im Licht der Öffentlichkeit steht dabei momentan vor allem die Luca-App des Berliner Startups Nexenio, für das insbesondere Smudo von den Fanta Vier trommelt.

Die Mobilanwendung hat viele Fans. Durch den Lockdown gebeutelte Branchen wie Gastronomie und Kultur erhoffen sich von ihr einen großen Schritt hin zu Öffnungskonzepten. Mecklenburg-Vorpommerns Ministerpräsidentin Manuela Schwesig (SPD) kündigte am Sonntag an, dass man die Luca-App als erstes Bundesland flächendeckend, freiwillig und "kostenlos" flächendeckend in allen öffnungswilligen Bereichen einsetzen und so die "Zettelwirtschaft" beenden werde. Lizenzgebühren für die Betreiber zahle die Landesregierung, Menschen ohne Smartphone könnten sich über einen Schlüsselanhänger "im Einzelhandel, Restaurant oder Fitness-Studio" einloggen. Die Lizenz und der Betrieb für ein Jahr sollen zusammen 440.000 Euro kosten, heißt es in dem bereits am Freitag geschlossenen Vertrag.

Die Leiter der Staats- und Senatskanzleien der Länder beraten aktuell mit dem Chef des Bundeskanzleramts, Helge Braun (CDU), über eine mögliche bundeseinheitliche Lösung. Zeit, Ort und Erreichbarkeit der Kontaktperson müssten damit "hinreichend präzise dokumentiert werden und die Daten im Falle eines Infektionsgeschehens unmittelbar dem zuständigen Gesundheitsamt in einer nutzbaren Form zur Verfügung gestellt werden", hatte es vorab geheißen. Denkbar sei aber auch, "ein technisches Gateway für den Zugang zu den Gesundheitsämtern" zu entwickeln und etwa an Sormas anzugliedern.

Eine Initiative von Startups, die eigene Lösungen für digitale Check-ins anbieten, hat sich gegen eine exklusive bundesweite Einführung der Luca-App ausgesprochen. Am Sonntag schalteten sich mit T-Systems (Deutsche Telekom) und SAP auch die Hauptentwickler der auf das Unterbrechen von Infektionsketten ausgerichteten Corona-Warn-App (CWA) ein. Sie bieten laut einer heise online vorliegenden Skizze an, mit einem "Open Standard Gateway" eine "offene Plattform für die digitale Kontaktnachverfolgung" zu bauen.

Ein entsprechendes System sei bereits zu 80 Prozent entwickelt und werde vom saarländischen SAP-Partner Abat+ zusammen mit dem CWA-Konsortium vorangetrieben, heißt es in dem Papier. Betriebskonzepte und Netzwerkdesign inklusive des Übergangs in das gesicherte Bundesnetz seien in Arbeit. Sämtliche einschlägigen existierenden Anwendungen von "Darf ich rein" über "Bin da" bis Luca würden "proaktiv über eine Community eingebunden und in den notwendigen Anpassungsarbeiten unterstützt".

"Die CWA kann ebenfalls kurzfristig für den Rollout der Funktion ertüchtigt werden und dann neben den anderen Apps zum Einsatz kommen", schreiben T-Systems und SAP. Diese sollte die Funktion mit ihrer "massiven Nutzerbasis" von 26 Millionen zusätzlich zu einer voraussichtlich im April kommenden Cluster-Erkennung ebenfalls implementieren, um wirklich "flächig eine strukturierte Öffnung" von Events und Lokationen zu unterstützen. Die Plattform werde in das Open-Source-Programm der CWA aufgenommen und auf GitHub publiziert. Die Gesundheitsämter würden zunächst einfach durch einen portalbasierten Zugriff angebunden. Ein Download der Listen für einen Import in Sormas werde unterstützt, eine tiefere Integration könne erfolgen.

Bisher hatte das Bundesgesundheitsministerium eine Check-in-Option über die Corona-Warn-App abgelehnt, um die Freiwilligkeit des Einsatzes zu bekräftigen. Die geplante Cluster-Option sieht nun vor, dass Nutzer mit einem QR-Code in Örtlichkeiten und bei Veranstaltungen einchecken können. Damit sollen sie Kontakte desselben Events über eine Infektion warnen können, auch wenn diese weiter als zwei Meter von Ihnen entfernt sind und die normale Bluetooth-Messung so nicht greift. Kontaktdaten werden aber nicht ans Gesundheitsamt übermittelt.

Viele Forscher unterstützen derweil das Team Luca, verweisen aber auch noch auf offene Fragen. Für Ute Teichert, Direktorin der Akademie für öffentliches Gesundheitswesen, ist die App "ein extrem einfach zu erstellendes digitales Kontakttagebuch. Wer sie benutze, "kann laufend über QR-Codes persönliche Aufenthaltsorte und Begegnungen dokumentieren". Es handle sich so um "eine ideale Ergänzung" zur CWA.

Cluster-Zusammenhänge sind laut Teichert bisher schwer zu entdecken, weil zum Beispiel der eine Infektionsfall in einem Restaurant von einer anderen Person im Gesundheitsamt bearbeitet wird als ein anderer. Bei der Luca-App sei dagegen ohne Zeitverzögerung ein Überblick möglich: "So lassen sich Superspreader schnell erkennen. Die vergangenen Monate haben gezeigt, dass Vollständigkeit der Daten und Geschwindigkeit die beiden entscheidenden Parameter im Kampf gegen die Pandemie sind." Sormas könne schnell und unkompliziert eingebunden werden.

"Das Gesundheitsamt in Jena sowie weitere ungefähr 40 der insgesamt rund 400 Gesundheitsämter nutzen diese Möglichkeiten bereits", weiß Teichert. Indem die App die Daten "verschlüsselt und lediglich auf dem Mobiltelefon lokal speichert", behalte der Nutzer die Datenhoheit und sei "in puncto Datenschutz auf der sicheren Seite". Dieser Ansatz trete Begehrlichkeiten Dritter entgegen, "egal ob dies andere Behörden, datenhungrige Konzerne oder Hacker sind".

Der Datenschutzbeauftragte von Baden-Württemberg, Stefan Brink, bescheinigt der App einen hohen Schutzstandard. So schätzt auch Thilo Weichert, Mitglied des Netzwerks Datenschutzexpertise, die Lösung ein. "Eventuell wären noch eine weitergehende pseudonyme Nutzung und weitere Verbesserungen möglich", meint der frühere Datenschutzbeauftragte Schleswig-Holsteins. Mit dem Luca-Verfahren sei aber zumindest ausgeschlossen, "dass die Polizei auf Kontaktdaten bei den Lokationsbetreibern zweckwidrig zugreift".

Bei einer Datenverarbeitung sei immer auch zu prüfen, "ob das Recht auf Nichtdiskriminierung betroffen sein könnte", gibt dagegen die Frankfurter Datenschutzrechtlerin Anne Riechert zu bedenken. Es dürfe auch "kein faktischer Zwang entstehen", eine Mobilanwendung zu installieren. Dies gelte auch im Beschäftigungsverhältnis. Die Nutzung einer App könne einen Geschäftsinhaber ferner grundsätzlich nicht von bestehenden Dokumentationspflichten zur Kontaktnachverfolgung entbinden, die zusätzliche Zettelwirtschaft bliebe also wohl erhalten.

Beschlagnahme- und Verwertungsverbote könnten ferner noch gesetzlich geregelt werden, weiß Riechert. "Natürlich ist es Ermittlungsbehörden, beispielsweise gestützt auf Generalklauseln im Gefahrenabwehrrecht oder aus strafprozessualen Gründen, nicht völlig unmöglich, auf derlei Datenbestände zuzugreifen", ergänzt der Bremer Informationsrechtler Dennis-Kenji Kipker. Er halte es nicht für ausgeschlossen, dass die Kontaktinformationen "auch für andere Zwecke allgemeiner staatlicher Sicherheit genutzt werden".

"Ob und inwiefern die Luca-App ihre Versprechen erfüllt, kann man von außen zu diesem Zeitpunkt leider nicht einschätzen", bedauert Tibor Jager, der Wuppertaler Professor für IT-Sicherheit und Kryptographie. Die Entwickler hätten bislang "weder eine genaue technische Systembeschreibung noch Quellcode oder andere Details vorgelegt." Transparenz sei aber eine Grundvoraussetzung dafür, das Vertrauen der Nutzer zu gewinnen. Eine App zur Cluster-Erkennung und zum Tracing könne auch dezentral funktionieren, wie NotifyMe zeige.

"Einfach zu sagen 'die Daten sind verschlüsselt' genügt nicht", betont Jäger. Irgendwer müsse ja den Schlüssel haben. Bei der Kryptographie-Anwendung passierten oft Fehler. Vor allem müsse man bei der App-Diskussion immer mitberücksichtigen, "dass eine technische Lösung nicht mehr als eine Ergänzung zu anderen Maßnahmen sein kann". Auch das der SPD nahestehende D64-Digitalzentrum forderte, die Luca-Anbieter müssten den Quellcode aller Komponenten des Dienstes als Open Source veröffentlichen. Einen "Generalschlüssel" zum Zugriff auf alle Daten dürfe es nicht geben. Smudo sprach von der "respektlosen Anspruchshaltung", ein über Monate entwickeltes "geistiges Eigentum" rauszurücken. Open Source brauche Personal, um es richtig zu machen. Der Rapper bat um "Geduld statt Arroganz".

[Update v. 09.03.2021, 08:10 Uhr]: Kosten für die Lizenz und den Betrieb der Luca-App in Mecklenburg-Vorpommern ergänzt.

(olb)