Berlin - Die Luca-App wird seit Wochen als möglicher Heilsbringer in der Corona-Pandemie diskutiert. Sie verspricht schnelle und andauernde Lockerungen in der Corona-Krise und gibt damit auch vielen Berliner Gastronomen und Veranstaltern neue Hoffnung. Die App, die erst durch den Musiker Smudo der Band Die Fantastischen Vier bekannt wurde, soll eine digitale Kontaktnachverfolgung garantieren und Infektionsketten durchbrechen. Dafür müssen Nutzer persönliche Daten in der App eingeben. Mit den daraus erzeugten QR-Codes können die App-Nutzer im Restaurant, Theater oder Café einchecken. Wird einer der Gäste später positiv auf Corona getestet, wird das Gesundheitsamt kontaktiert. 

Brandenburg und Mecklenburg-Vorpommern haben bereits Verträge mit den Betreibern der App abgeschlossen. Auch weitere Bundesländer wie Berlin und Sachsen-Anhalt planen, die Lizenzen der App einzukaufen. Und der Berliner Bezirk Mitte plant bereits, die Luca-App in einem Modellprojekt für Öffnungen von Restaurants und Geschäften ein. Doch kann die App auch das erfüllen, was sie verspricht?

Luca-App hat Sicherheitslücken

„Nur weil ein berühmter Sänger mal bei Anne Will saß, schließen Bundesländer Millionenverträge mit einem Start-up ab. Sie wollen den Bürgern Hoffnung geben, aber viel Sinn macht es dennoch nicht“, sagt die Netzexpertin und Politikerin Anke Domscheit-Berg (Linke). Denn auch die staatlich finanzierte Corona-App werde am 16. April eine Check-in-Funktion mit QR-Codes einführen. „Die Corona-Warn-App wurde bereits für mehrere Millionen Euro bezahlt. Sie arbeitet anonym, datensparsam und trotzdem effektiv“, so Domscheit-Berg. „Die App wurde bereits mehr als 26 Millionen Mal heruntergeladen, von einem Drittel der Deutschen. Darauf sollte man aufbauen und nicht einfach eine neue App einführen.“ Dass die Corona-Warn-App erst so spät um die Check-in-Funktion erweitert wurde, muss zu Recht kritisiert werden. Es ist somit nicht verwunderlich, dass die Luca-App nun im Scheinwerferlicht steht.

Dabei hat die Luca-App Sicherheitslücken und macht IT-Sicherheitsexperten skeptisch, da der Quellcode nicht öffentlich gemacht wird. IT-Forscher der Eidgenössischen Technischen Hochschule Lausanne und der Radboud-Universität Nijmegen veröffentlichten am 22. März eine Analyse der Datensicherheit von Luca. Sie kritisieren den zentralisierten Ansatz. Wer die App kontrolliere, könne die Daten der Nutzer missbrauchen.

Das Luca-System erfasst die Kontaktdaten der Nutzer und tauscht die Daten im Infektionsfall direkt mit den Gesundheitsämtern aus. Die Macher behaupten, dass das direkt in der Software Sormas erfolgt. Doch laut des ARD-Politikmagazins „Kontraste“ arbeiten bisher nur rund 90 Gesundheitsämter tatsächlich mit der Software. Bei den allermeisten sei Sormas nicht aktiv, sondern im Testbetrieb. Die an die Gesundheitsämter übermittelten Daten werden daher weiter von den Mitarbeitenden eingetippt. „Die Gesundheitsämter sind bereits überlastet. Sie mit noch mehr Daten über die Luca-App zu überfordern, bringt nichts“, so Domscheit-Berg.

Neues Check-in-System bei der Corona-Warn-App

Das Check-in-System der Corona-Warn-App würde die Nutzer hingegen direkt informieren. Die Kontaktdaten bleiben anonym, keine Zeit geht durch den Umweg über die Gesundheitsämter verloren. „Dass Bund und Länder lieber auf risikobehaftete zentrale Speicherung setzen, obwohl es eine mögliche datensparsame Alternative gibt, die die gleiche Funktionalität bietet, ergibt keinen Sinn“, so Domscheit-Berg.

Warum die Luca-App dennoch so hochgelobt werde? „Die Entwicklung mit der Luca-App ist eine Ablenkungsdebatte vom staatlichen Versagen in dieser Pandemie. Das zeigt auch die Debatte um den angeblich zu starken Datenschutz, der die Pandemiebekämpfung hemmt“, sagt Domscheit-Berg. „Dass immer noch nicht alle über 80-Jährigen einen Impftermin bekommen konnten, dass die Gesundheitsämter unterbesetzt sind und dass viel zu spät kostenlose Schnelltests eingeführt wurden – das alles hat nichts mit dem Datenschutz zu tun“, so die Linke-Politikerin. 

Datenschutz werde über die Gesundheit gestellt

Zunehmend werden Stimmen laut, die weniger Datenschutz im Kampf gegen Corona fordern. Dazu zählen unter anderem prominente Politiker wie die frühere Bundesfamilienministerin Kristina Schröder (CDU), Tübingens Oberbürgermeister Boris Palmer (Grüne) oder der Hamburger CDU-Chef Christoph Ploß. Auch die Vorsitzende des Ethikrats Alena Buyx ist davon überzeugt: Der Datenschutz müsse zur Pandemie-Bekämpfung eingeschränkt werden.

Die Kritik zielt dabei immer wieder auf die Corona-Warn-App. Der Vorwurf der Kritiker: Die App sei aufgrund des zu strengen Datenschutzes in der Pandemie wertlos. So bezeichnete etwa Baden-Württembergs Ministerpräsident Winfried Kretschmann (Grüne) die Corona-Warn-App lediglich als „eine Krücke“ in der Corona-Krise. 

Die Forderung: Tracking statt Tracing

Im Gegensatz zur Luca-App wurde die Corona-Warn-App seit ihrer Einführung im Juni 2020 nie hochgelobt. Doch ist die App tatsächlich so schlecht wie ihr Ruf? Um das beantworten zu können, sollte man erst einmal einen Blick auf die Funktion der Corona-Warn-App werfen: Per Bluetooth-Technik misst sie den Abstand und die Begegnungsdauer zwischen Personen, die die App installiert haben. Wenn eine Person positiv auf das Coronavirus getestet wurde und das der App übermittelt, werden die anderen Nutzer, die in den vergangenen Tagen in der Nähe der betroffenen Person waren, darüber informiert. Das alles geschieht anonym. Zu keinem Zeitpunkt erlaubt dieses Verfahren das sogenannte Tracking, Rückschlüsse auf die Nutzer oder deren Standort. 

Anders funktionieren Tracking-Apps. Diese merken sich mittels Ortung, wer sich wann und wo getroffen hat – etwa über GPS. Der Philosoph und ehemalige Staatsminister Julian Nida-Rümelin forderte bereits mehrfach, in der Pandemie zu tracken, die Daten an die Gesundheitsämter zu übermitteln und dafür einen verminderten Datenschutz auf Zeit einzuführen. Doch bisher stehe der Datenschutz im Weg, so Nida-Rümelin.

„Das stimmt so nicht. Ein freiwilliges Tracking wäre schon jetzt datenschutzkonform möglich“, so Jochim Selzer vom Chaos Computer Club. Datenschutz sei nicht der Grund, warum Tracking bei der Pandemie-Bekämpfung keine Anwendung finde. Position-Tracking per Funkzellen-, Wlan-, oder GPS-Ortung sei sehr ungenau, jedenfalls wesentlich ungenauer als das Tracking per Bluetooth. „Wer jemals Google Maps benutzt hat, weiß, wie ungenau die Anzeige des eigenen Standortes oft ist“, erklärt Selzer. Auch ein Blick in die eigene „Zeitachse“ bei Google Maps zeige, wie grob die Bewegungsdaten beim Tracking ausfallen. „Die Abstandsmessung per Bluetooth ist nicht perfekt, aber wesentlich genauer als GPS. Und sie hat den Vorteil, dass sie bereits in iOS und Android eingebaut ist. Nicht der Datenschutz, sondern die Grenzen des technisch Machbaren sprechen gegen das Tracking“, sagt Selzer.

Talkshow-Mythos Taiwan

Durch die Talkshows geistert zudem immer wieder das Gerücht, dass man in asiatischen Ländern die Lage viel besser im Griff habe, weil der Datenschutz dort keine Rolle spiele. Das sei faktisch falsch, so Selzer. Japan nutze architektonisch die gleiche Warn-App wie Deutschland und Südkorea überwacht mit seiner App nur die Quarantäne. Ein Contact-Tracking wie in Deutschland finde überhaupt nicht statt.

Während die taiwanesische Regierung kontrolliert, um die Infektionszahlen auf niedrigem Niveau zu halten, warten die Verantwortlichen in Deutschland erst einmal ab, bis die Situation weitgehend außer Kontrolle geraten ist. Das ist kein Problem des zu strengen Datenschutzes, das ist ein Problem der Politik.

Jochim Selzer, Chaos Computer Club

Gerade Taiwan wird immer wieder als Musterbeispiel zum Tracking herangezogen. „Dabei nutzt Taiwan gar keine Contact-Tracing-App“, so Selzer. In Taiwan ist allein die Einreise strikt geregelt, diese beginnt mit einer zweiwöchigen Quarantäne in speziell dafür vorgesehenen Hotels. Die Quarantäne wird mithilfe einer eigens dafür ausgehändigten SIM-Karte überwacht. Ansonsten sind im Alltag kaum Einschränkungen zu bemerken, abgesehen vom Fiebermessen vor dem Betreten der U-Bahn. „Davon, dass Taiwan den Datenschutz aufgeben muss, um die Infektionszahlen im Griff zu haben, kann jedenfalls nicht die Rede sein“, so Selzer. Der Erfolg für eine erfolgreiche Pandemiebekämpfung liege dort vielmehr in der Herangehensweise der Politik und der Durchsetzung von bestimmten Maßnahmen. „Während die taiwanesische Regierung kontrolliert, um die Infektionszahlen auf niedrigem Niveau zu halten, warten die Verantwortlichen in Deutschland erst einmal ab, bis die Situation weitgehend außer Kontrolle geraten ist. Das ist kein Problem des zu strengen Datenschutzes, das ist ein Problem der Politik“, so Selzer. 

„Für die Aussage, der Datenschutz stünde der Pandemiebekämpfung im Wege, gibt es keinerlei Belege“, meint auch der Bundesdatenschutzbeauftrage Ulrich Kelber. Mit solchen Aussagen zerstöre man das Vertrauen der Bürger in ihr eigenes Grundrecht. Ähnlich wie Domscheit-Berg sieht er dabei eine Ablenkung „von den eigentlichen Vollzugsdefiziten in der Pandemiebekämpfung“, so Kelber. „Natürlich ist der Datenschutz kein absolutes Recht. Einige Leute vermitteln aber den Eindruck, alle Grundrechte würden in der Pandemie eingeschränkt, nur der Datenschutz nicht. Schon diese Grundannahme ist falsch“, sagt der Bundesdatenschutzbeauftragte. „Datenschutz steht als Grundrecht nicht für sich allein und auch nicht über allen anderen. In jedem Fall muss abgewogen werden – und das tun wir.“ Bei jeder Maßnahme prüfe man, ob sie erforderlich, geeignet und verhältnismäßig sei. „Manchmal stellt man dann fest, dass man mit einer datenschutzfreundlichen Lösung zum gleichen oder sogar zu einem besseren Ergebnis kommt“, so Kelber.

Datenschutz hemme Innovationen

Die Debatte um den angeblich zu strengen Datenschutz wurde bereits lange vor Corona geführt. Insbesondere von der Wirtschaft wird er als eine Bremse für Innovationen angesehen. „Wir neigen gerade in Deutschland dazu, sehr risikoavers zu denken, gerade was den Datenschutz angeht“, sagt auch Rebekka Weiß, Juristin beim Digitalverband Bitkom. Eine Bitkom-Studie aus dem Jahr 2020 zeigt, dass jedes zweite Unternehmen aus Datenschutzgründen auf Innovationen verzichte. Oft haben die Unternehmen Angst vor bevorstehenden Sanktionen, die ihnen drohen könnten.

Ein Grund sei die Verunsicherung über die Datenschutzgrundverordnung (DSGVO). Jeder EU-Mitgliedstaat lege die DSGVO anders aus, erklärt Weiß. Doch auch hier ist nicht der Datenschutz an sich das Problem, sondern vielmehr die unterschiedliche Auslegung der DSGVO. Gerade in der Forschung und im Gesundheitsbereich würden den Wissenschaftlern und Gründern so oft Steine in den Weg gelegt. „Wir brauchen eine Vereinheitlichung, damit auch länderübergreifende Forschungen möglich sind“, so die Juristin. Problematisch sei vor allem, dass es allein 18 Datenschutzaufsichtsbehörden in Deutschland gebe und nicht nur eine, wie in vielen anderen Ländern. „Wir benötigen dringend eine Harmonisierung in Deutschland. Die Aufsichtsbehörden müssen sich mehr abstimmen und besser kommunizieren, damit Unternehmen nicht verunsichert sind“, sagt Weiß.

Auch die Linken-Politikerin Domscheit-Berg unterstützt eine einheitlichere Interpretation der DSGVO in den Bundesländern und EU-Mitgliedstaaten. Wie Weiß befürwortet Domscheit-Berg neue Konzepte, um die Forschung zu erleichtern, etwa einen sicheren Austausch von Gesundheitsdaten über Datentreuhänder. „Da kann man dann entscheiden, dass man seine Daten der Wissenschaft und nicht den Pharmaunternehmen überlässt“, so Domscheit-Berg. Sie fordert daher die baldige Schaffung entsprechender Rechtsgrundlagen.

Datenschutz sorge für Standortnachteil

Ein weiteres Problem: Die Einwilligung, persönliche Daten für ein Forschungsprojekt freizugeben, könne man jederzeit widerrufen. „Das ist für ein Forschungsprojekt eher schwierig“, meint Weiß. Forschungsprojekte werden daher oft in anderen Ländern durchgeführt, da man dort zu schnelleren und günstigeren Ergebnissen kommt. „Aus unserer Sicht, der Wirtschaftsperspektive, geht das gar nicht. Das führt zu einem klaren Standortnachteil“, so die Juristin. Hier müsse über neue Konzepte nachgedacht werden. 

An diesen werde bereits gearbeitet, versichert der Bundesdatenschutzbeauftragte Ulrich Kelber. Für die Forschung im Krebsbereich gebe es etwa epidemiologische und klinische Krebsregister in den jeweiligen Bundesländern, deren Daten für die Forschung genutzt werden können. In einem aktuellen Gesetzgebungsvorhaben soll ein überwiegender Teil auch bundesweit zentral zusammengeführt werden. „Demnächst wird es jeder gesetzlich versicherten Person zudem möglich sein, die Einwilligung zur anonymisierten Verwendung von Daten aus der eigenen elektronischen Patientenakte für die Forschung freizugeben“, so Kelber.

„Das Vertrauen und die Akzeptanz der betroffenen Patienten ist besonders wichtig. Dieses Vertrauen kann durch die Einhaltung geltender Bestimmungen zum Datenschutz erreicht werden“, sagt Ulrich Kelber. Denn Gesundheitsdaten sind sensibel und schützenswert, sowohl in der Forschung, als auch in der Kontaktnachverfolgung in der Pandemie. Der Datenschutz, so scheint es nach dieser Recherche, ist an sich weder in der Forschung noch in der Pandemie das grundlegende Problem. Dieses scheint vielmehr in der unterschiedlichen Interpretation des Datenschutzes, der mangelnden Aufklärung in der Bevölkerung, in den Fehlentscheidungen in der Politik und an der schleppenden Digitalisierung zu liegen. Datenschutz ist nicht nur ein deutsches, sondern ein europäisches Grundrecht. Dieses aushebeln zu wollen ist nicht nur gefährlich, sondern scheint vor allem eines zu sein: unnötig.