• Start der Luca-App in Potsdam: Einchecken statt Zettelwirtschaft

Start der Luca-App in Potsdam : Einchecken statt Zettelwirtschaft

In Potsdam kann seit 3. Mai die Luca-App zur Kontaktnachverfolgung genutzt werden. Datenschützer sehen Probleme, auch Informatikexperten sind kritisch.

Erste Geschäfte in Potsdam nutzen die Luca-App.
Erste Geschäfte in Potsdam nutzen die Luca-App.Foto: Sebastian Gabsch PNN

Potsdam - Die Vorbereitungen zum Anschluss Potsdams an die Luca-App laufen bereits länger, seit Anfang vergangener Woche ist die App zur Kontaktnachverfolgung laut Stadt auch aktiv. Aber wird sie von Gewerbetreibenden und Potsdamer*innen genutzt? Was sagen die Datenschützer? Und was unterscheidet sie von der Corona-Warn-App, mit der man neuerdings ebenfalls an Orten "einchecken" kann? Ein Überblick über die wichtigsten Fragen.

Wer nutzt in Potsdam die Luca-App zur Kontakterfassung?

Darüber hat die Stadtverwaltung keine Erkenntnisse, wie Stadtsprecher Jan Brunzlow auf PNN-Anfrage sagt. Auch Zahlen dazu, wie viele Potsdamer*innen die App nutzen, hat die Stadt nicht. "Die App wird privat auf Endgeräte geladen und installiert." Bislang seien noch keine Kontakte über die App identifiziert worden, so der Stadtsprecher. "Technisch und rechtlich sind wir auf die Nutzung vorbereitet, zum Einsatz kam die Software noch nicht."

Bei den Geschäftstreibenden ist man angesichts des derzeit sehr begrenzten Kundenaufkommens im Zuge der Testpflicht noch zurückhaltend. "Das wird erst etwas bringen, wenn wir wieder halbwegs normal öffnen können", sagt Matthias Müller, Vorstandschef der Aktionsgemeinschaft Babelsberg und Inhaber einer Parfümerie, auf Anfrage. Einzelne Läden arbeiteten bereits mit der Luca-App. "Das ist einfacher als diese Zettelwirtschaft mit Adresserfassung." Auch beim Innenstadt-Händlerverbund Ici Potsdam stehen derzeit andere Sorgen im Vordergrund, es gehe zunächst um klare Perspektiven für Gewerbetreibende, sagte Vorstand Eike Neubarth den PNN: „Wir wünschen uns, dass wir jetzt darüber sprechen, wie es in Zukunft weitergeht.“ 

Was sagen die Datenschützer?

Die haben nach wie vor schwerwiegende Bedenken. Mit dem Betreiber der App seien mehrere Punkte vereinbart worden, an denen nachgebessert werden soll, wie die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder in einer Stellungnahme Ende April bekannt gab. Bis zur Korrektur des Systems seitens des Anbieters könnten die Gesundheitsämter "nicht von der Korrektheit der ihnen vorgelegten Kontaktdaten ausgehen", betonen die Datenschützer.

Wie bewerten Datenschützer die Luca-App?
Wie bewerten Datenschützer die Luca-App?Foto: Christoph Soeder/dpa

Weitere technische Schutzmaßnahmen seien "insbesondere im Bereich der durchgängig verschlüsselten Kontaktdaten" erforderlich. Die Datenschützer hatten bereits im März moniert, dass alle Gesundheitsämter den gleichen Schlüssel zur Entschlüsselung der Daten hätten. Im Zuge des nun geplanten weitverbreiteten Einsatzes sei die Gefahr eines Missbrauch noch größer.

Worin liegen die Gefahren des Missbrauchs?

Ein Missbrauchsrisiko bestehe zudem, weil man bei Inbetriebnahme der App auf dem Smartphone "Fake-Identitäten" anstelle der eigenen verwenden könne, so die Datenschützer. Das könne dazu führen, dass eine Person missbräuchlich und ohne ihr Wissen in das System eingetragen wird und dann "im Zuge der Kontaktnachverfolgung von einem Gesundheitsamt angesprochen und unter Umständen sogar verpflichtet wird, ihre Wohnung nicht oder nur unter bestimmten Bedingungen zu verlassen, obwohl es nie zu einem Kontakt mit einer infizierten Person gekommen ist", so die Datenschutzbehörden. Die zur Verhinderung eines solchen Vorgehens eingesetzte Rufnummernüberprüfung lasse sich "für technisch versierte Angreifer umgehen und kann ihrerseits zur Belästigung von Personen missbraucht werden, die dann SMS-Nachrichten mit Bestätigungscodes erhalten".

Eine dritte Missbrauchsquelle sehen die Datenschützer "bei Aushang ausgedruckter QR-Codes durch Veranstalter". Denn darüber könnten sich Personen massenhaft in das System eintragen, ohne sich tatsächlich am angegebenen Ort aufgehalten zu haben. "Daraus können sich Überlastungen der Gesundheitsämter mit Daten ergeben, die für die Kontaktnachverfolgung nutzlos sind, ohne dass dies von vornherein erkannt werden kann." Ein Kontaktnachverfolgungssystem, das nicht in der Lage sei, den Gesundheitsämtern valide Daten zu liefern, werde seinem Zweck nicht gerecht, betonen die Datenschützer. Es müsse abgesichert werden, "dass zumindest das Gesundheitsamt beim Kontakt-Tracing missbräuchliche Einträge erkennen kann".

Ausgedruckte und ausgehängte QR-Codes können missbräuchlich verwendet werden.  (Code gepixelt)
Ausgedruckte und ausgehängte QR-Codes können missbräuchlich verwendet werden.  (Code gepixelt)Foto: Philipp von Ditfurth/dpa

Grundsätzlich kritisch sehen die Datenschützer nach wie vor die zentrale Datenspeicherung. Nicht alle Risiken würden durch die eingesetzten zweistufigen Verschlüsselungsmechanismen ausgeräumt. Über einen qualifizierten Angriff gegen die zentralen IT-Systeme des Dienstes könne "die Funktionsweise des Luca-Systems manipuliert" werden. Im schlimmsten Fall könnten die Angreifenden dann "in großem Umfang Daten über die Anwesenheit von Personen bei Veranstaltungen etc. entschlüsseln und ausleiten".

Erhebliche Bedenken gibt es auch in der Fachöffentlichkeit. Einen offenen Brief, der für die Luca-App die gleichen Sicherheitsprinzipien wie für die Corona-Warn-App fordert, haben mittlerweile mehr als 450 Wissenschaftler*innen und Fachleute, darunter auch mehrere Informatiker*innen der Universität Potsdam, unterzeichnet. Auch der IT-Chef im Potsdamer Rathaus, Thomas Morgenstern-Jehia, teilte ihn im Kurznachrichtendienst Twitter. Die Fachleute fordern unter anderem eine Zweckbindung, die eine technische Verknüpfung der App "mit anderen Geschäftsmodellen, Anwendungsmöglichkeiten und Profitinteressen" ausschließt oder technisch unmöglich macht.

Empfiehlt die Stadt die Luca-App dann überhaupt noch?

Ja. Man werbe dafür, "die digitale Kontaktnachverfolgung zu nutzen und somit für die Händlerinnen und Händler wie auch für das Gesundheitsamt die Arbeit zu erleichtern", sagt Stadtsprecher Brunzlow. Die Debatte zum Datenschutz verfolge man, "aber maßgeblich für die datenschutzrechtliche Bewertung eines solchen digitalen Angebots sind für uns als Kommune die Aussagen der Datenschutzbeauftragten". 

Kann ich nicht einfach die Corona-Warn-App nutzen?

Jein. Auch die Corona-Warn-App hat mittlerweile eine vergleichbare Funktion - Gewerbetreibende oder Veranstalter können einen QR-Code erstellen, Gäste oder Kund*innen dann "einchecken". Meldet eine der eingecheckten Personen später ein positives Testergebnis, werden die anderen anonym benachrichtigt. 

Die Corona-Warn-App des Bundes ist kein vollwertiger Ersatz für Luca.
Die Corona-Warn-App des Bundes ist kein vollwertiger Ersatz für Luca.Foto: Christoph Dernbach/dpa

Der aus Datenschutzsicht erfreuliche Aspekt - eine Benachrichtigung ohne Beteiligung der Gesundheitsämter und ohne die Weitergabe personenbezogener Daten - reiche zur Erfüllung der Anforderungen der Corona-Eindämmungsverordnung des Landes aber eben nicht aus, betont Sven Müller, der Sprecher der Landesdatenschutzbehörde, auf PNN-Anfrage. Die Nutzung der Eincheck-Funktion der Corona-Warn-App entbindet also nicht von der Abgabe der Kontaktdaten auf anderem Weg, etwa in einer Kontaktliste. Kontaktdaten können über die Corona-Warn-App nicht abgegeben werden, erklärt auch Stadtsprecher Jan Brunzlow: "Dadurch kann auch kein Gesundheitsamt mit Kontaktpersonen eines Infizierten in Kontakt treten." Die Datenschützer empfehlen den Ländern aber ausdrücklich eine Berücksichtigung der Corona-Warn-App "als ergänzende Möglichkeit zur Benachrichtigung potentiell infizierter Personen und zur Clustererkennung".

Mehr lesen? Hier die PNN gratis testen.