c't 10/2021
S. 10
Aktuell
Pandemie vs. Datenschutz

Luca first, Bedenken second

Warum die Bundesländer bei der Pandemiebekämpfung auf lückenhafte Start-up-Software setzen

Statt die Gesundheitsämter ­ausreichend auszustatten, ­verschreiben sich viele Politiker ihrer Technikgläubigkeit. Weil die Corona-Warn-App über­zogene Erwartungen nicht ­erfüllen konnte, soll es jetzt die Luca-­App richten. Doch es droht ein Fiasko.

Von Holger Bleich

Die Geschichte der Apps zur Pandemiebekämpfung liest sich wie eine Parabel zur deutschen Coronapolitik: Sie ist durchzogen von falschen Heilsversprechen, später dann von teils böswillig geäußerter Enttäuschung und schlichter Ratlosigkeit. Als die von SAP und Deutscher Telekom als einzigartiges Open-Source-Projekt entwickelte Corona-­Warn-App (CWA) Mitte Juni verspätet zum Download bereitstand, war die erste Pandemiewelle bereits am verebben. Deshalb hatte sie es schwer, ihr Potenzial gleich unter Beweis zu stellen. „Es ist nicht die erste Corona-Warn-App weltweit, aber ich bin überzeugt, es ist die beste“, erklärte damals Kanzleramtschef Helge Braun (CDU).

Bis zum 8. April verzeichnete die CWA knapp 27 Millionen Downloads aus den Stores von Google und Apple. Wie viele Menschen sie nutzen, ist unbekannt, Folgendes weiß man aber: Mehr als zwölf Millionen Testergebnisse wurden über die App an Nutzer übermittelt. Zudem steigt die Bereitschaft infizierter Bürger, andere Personen über die App vor potenziell gefährlichen Begegnungen mit ihnen zu ­warnen. Seit dem 1.11.2020 haben von 566.955 positiv Getesteten immerhin 345.882, also 61 Prozent, ihr Testergebnis in der CWA freigegeben.

Gemessen an der Gesamtzahl von fast drei Millionen Infizierten seit Pandemiebeginn mag das wenig erscheinen. Und weil das gesamte Procedere völlig anonym abläuft, weiß niemand, wie viele Warnungen zu weiteren positiven Tests und damit zu Unterbrechungen von Infektionsketten geführt haben. Klar ist aber: Die App tut sehr zuverlässig genau das, wofür sie gedacht war, und sie dürfte schon viele Menschen vor einer Infektion oder gar vor schweren Covid-19-Verläufen bis hin zum Tod geschützt haben.

Seit dem Start der Corona-Warn-App am 16.6.2020 haben insgesamt 351.074 Nutzerinnen und Nutzer ihr positives Testergebnis geteilt (Stand: 7.4.2021).
Bild: RKI

Unlautere Forderungen

Dennoch steht die CWA seit Monaten in der Kritik, weil sie naturgemäß die von der Politik geschürten Erwartungen als technisches Allheilmittel nicht erfüllen kann – schon gar nicht in den Hochinzidenzphasen der zweiten und nun dritten Welle. Durch Talkshows tingelnde Politiker machen Bürgern weis, das Projekt sei am über allem stehenden Datenschutz gescheitert.

Immer wieder stellen sie unlautere Forderungen an die Corona-Warn-App, die diese aus mehreren Gründen nicht erfüllen kann. Der wichtigste: Als man sich im Frühjahr 2020 nach langer Evaluierung für den anonymisierten Austausch von Bluetooth-Beacons zur besten Methode zur Messung von Kontakten zwischen Personen entschieden hatte (GPS-Tracking etwa funktioniert nur im Freien), war klar, dass dazu die Hilfe von Google und Apple benötigt würde. Tatsächlich taten sich die beiden Betriebssystem-Produzenten zusammen und entwickelten gemeinsam ein API („Exposure Notification Framework“) für Android und iOS, auf das staatliche Tracing-Apps unter strengen Bedingungen zugreifen dürfen.

So ist es allen Bluetooth-Tracing-Apps schlicht untersagt, ortsbezogene Daten zu sammeln. Tun sie es dennoch, fliegen sie aus den Stores. Dass die CWA seit einiger Zeit mit jederzeit widerrufbarer Einwilligung der Nutzer manuell abfragt, in welchem Landkreis sich das Smartphone aufhält, ist zwar datenschutzrechtlich kein Problem, aber gegenüber Google und Apple bereits ein Ritt auf der Rasierklinge.

Mitte April etwa haben Google und Apple ein Update der britischen Tracing-­App blockiert, das die seit einem halben Jahr verfügbare Check-in-Funktion via QR-Code um ortsbezogene Informationen zur Cluster-Erkennung ergänzen sollte. Genau deshalb verzichtet die gerade in der CWA freigeschaltete Check-in-Funktion von vornherein auf die Erhebung von Ortsdaten. Ob die von Google und Apple vorgegebenen Regeln überzogen sind, mag dahingestellt sein. Mit deutschem Datenschutzrecht oder der DSGVO haben sie zumindest nichts zu tun, auch wenn das viele Politiker gerne behaupten.

Nachverfolgung und Quarantäne

Wenn es gerade passt, verweisen Politiker gerne darauf, wie effektiv „asiatische Länder“ Technik zur Pandemiebekämpung nutzen. Es werden allzu schnell Ressentiments von angeblich autoritätshörigen Bürgern bedient, denen datenschutzrechtliche Belange völlig fremd seien. Ein kurzer Blick nach Taiwan, das in diesem Zusammenhang oft als Musterbeispiel genannt wird, genügt, um derlei Gerede ad absurdum zu führen.

Im demokratisch regierten Inselstaat leben auf einer Fläche von 36.179 Quadratkilometern knapp 24 Millionen Einwohner. Damit ist die Bevölkerungsdichte doppelt so hoch wie in Deutschland. Zum Höhepunkt der zweiten Welle verzeichnete das Land am 13.11.2020 acht Neuerkrankungen, in Deutschland waren es am selben Tag 14.419 Neuinfektionen. Hierzulande wird gerne behauptet, dass Taiwans Erfolg auf ausgefeilten Tracking-Apps beruht. Das ist falsch. In Taiwan gibt es gar keine App zur Kontaktverfolgung.

Das Land setzt technische Mittel ex­trem gezielt ein, nämlich nur zur Durchsetzung der Quarantäne: Wer in das Land einreist oder positiv getestet wurde, erhält eine SIM-Karte, die er in ein aktives Handy stecken muss. Den Standort der Karte erfassen die Provider über Mobilfunkortung. Verlässt sie das definierte Quarantäne-Gebiet, schlägt das System Alarm – dann rückt umgehend die Polizei an und kann Strafen von mehreren 10.000 Euro verhängen. Zugegeben, dieses „Geofencing“ wäre mit EU-Datenschutzrecht wohl allenfalls mit Einwilligung in jedem Einzelfall vereinbar.

Doch der Erfolg Taiwans beruht in erster Linie auf ganz banalen Faktoren, auch aufgrund der Erfahrungen mit Sars: frühzeitige Einführung einer Maskenpflicht, sofortige Abschottung von Altenpflegeeinrichtungen und Krankenhäusern, konsequentes Testen und rigorose Ein­reisebedingungen etwa. Infektionsfälle werden konsequent nachverfolgt. Übrigens: Taiwan musste keine einziges Mal in den Lockdown.

My Name is Luca

In Taiwan, Südkorea und anderen demokratischen Staaten funktioniert die Pandemiebekämpfung so gut, weil die Politik früh wirksame Konzepte erarbeitet und die Gesundheitsämter mit den nötigen Mitteln ausgestattet hat, diese umzusetzen. Hierzulande ist das anders: Beispielsweise sehen die Coronaverordnungen der Bundesländer vor, dass jede Location, sei es der Biergarten, das Museum oder die Kirche, eingelassene Personen namentlich erfassen muss. So sollen die Gesundheitsämter Infektionsketten nachverfolgen können, wenn ein positiver Test zu einem bestimmten Zeitpunkt bekannt wird. In der Praxis sind die Ämter damit aber heillos überfordert. Die Nachverfolgung funktioniert nicht, geschweige denn die Überwachung von Quarantänemaßnahmen.

Um der resultierenden Zettelwirtschaft entgegenzutreten, entstanden Mit­te 2020 Dutzende funktionierende Smartphone-Check-in-Systeme, von de­nen sich keines durchsetzen konnte. Wie schon im Fall der Corona-Warn-App bedurfte es eines Heilsversprechens, diesmal dem des Fanta-4-Rappers Smudo. Er stellte in der Anne-Will-Talkshow Ende Februar Normalität und Öffnungen in Aussicht, wenn nur alle Check-ins künftig über das Luca-­App-System laufen.

Die Luca-App stammt vom Start-up Nexenio, auch die Fanta 4 haben kräftig in das System investiert. Plötzlich ist es in aller Politikermunde, und in zwei Monaten sammelte Nexenio rund 20 Millionen Euro von 13 Bundesländern ein, die ohne Ausschreibung eine Jahreslizenz bei Nexenio erwarben. Vor allem deswegen hängen die Luca-QR-Codes an immer mehr Eingängen. Mecklenburg-Vorpommern hat jüngst sogar seine Verordnung angepasst. Wörtlich heißt es im neuen § 13a (Maßnahmen zur regionalen Lockerung): „Die verpflichtende Dokumentation zur Kontaktnachverfolgung soll in elektronischer Form landeseinheitlich mittels Luca-­App erfolgen.“

Mit dem Claim ­„Gemeinsam das Leben erleben“ ­suggerieren die Luca-­Investoren (rechts: Smudo), dass die App Öffnungen in der ­Pandemie ermöglicht – und Politiker glaubten dem Heilsversprechen unbesehen.
Bild: Nexenio / Jens Oellermann

Schon wieder soll der Glaube an technische Lösungen überdecken, dass die Basics nicht stimmen. Luca stellt all das dar, was die CWA nie sein sollte: ein zentrales Erfassungssystem für sensible Bürgerdaten, etwa Bewegungsprofile und Gesundheitsatteste. Überdies wird diese Apparatur betrieben von einem privatwirtschaft­lichen, gewinnorientierten Start-up, das augenscheinlich vollkommen überfordert ist und deshalb derzeit weit davon entfernt, bei allen Nebenwirkungen wenigstens sein Heilsversprechen einlösen zu können.

Es verging seit Anfang März kaum ein Tag, an dem nicht neue, peinliche Schwächen des Systems an die Öffentlichkeit gelangten. Mal ging es um eine nicht funktionierende Check-out-Funktion, dann um eine Lücke, die Bewegungshistorien von Nutzern in die Hand von Check-in-Betreibern oder dem Luca-Anbieter selbst gibt. Landesdatenschutzbehörden, die Luca noch im Januar ein funktionierendes Verschlüsselungskonzept attestiert hatten, zogen reihenweise ihre Unterstützung zurück.

Nun sind die Bundesländer in der Bredouille, denn sie haben ihre umstrittenen Öffnungsmodelle untrennbar an Luca gekoppelt. Die Modellregion Weimar hat allerdings in einer ersten Bilanz erklärt, dass Luca keinen relevanten Beitrag zur Nachverfolgung leisten konnte, und überdies die Unterstützung durch den ­Betreiber nicht zufriedenstellend war.

Der Luca-Einsatz droht zum Fiasko zu werden. Angesichts der Sicherheitsprobleme sowie der seltsam abwiegelnden Kommunikation des Unternehmens Nexenio kann eigentlich momentan keine Kommune guten Gewissens Luca einsetzen. Der Chaos Computer Club hat sich aus der Debatte lange herausgehalten, um dann doch Mitte April drastisch Partei zu ergreifen: Unter der Überschrift „Luca-App: CCC fordert Bundesnotbremse“ leitet die Hacker-Vereinigung eine Abrechnung ein, in der sie sowohl die Vergabepraxis als auch die handwerklichen Mängel hart kritisiert: „Der CCC fordert das sofortige Ende der staatlichen Alimentierung von Smudos Steuer-Millionengrab ‚Luca-App‘.“

Nexenio antwortete dem CCC postwendend öffentlich: Luca sei ja ein „freiwilliges Angebot“. Und ja: „Die Luca-App kann ausgetrickst werden – wie viele andere Hilfsmittel gegen Corona auch.“ Das System sei „auf keinen Fall der alleinige Heilsbringer“. Das freilich klang bei Smudos Talkshow-Auftritten noch ganz anders. Es bleibt die Frage, ob man sich auf die Luca-­App einlassen soll, um Läden oder Restaurants betreten zu dürfen. Angesichts der Menge an Schwächen des zentralen Erfassungssystems ist es vorerst wohl sicherer, wo immer möglich die guten alten Check-in-Zettel auszufüllen. (hob@ct.de)

Kommentare lesen (5 Beiträge)