Luca-CEO: „Wir wollen Impf- und Personalausweis zusammenführen“

Seit gut einem Jahr gibt es Luca. Der Hass auf die App ist fast so groß wie ihr Erfolg. Gründer Patrick Hennig zieht Bilanz und sagt, was er als Nächstes plant.

Patrick Hennig
Patrick HennigSuzanne de Carrasco

Die Luca-App ist mit mehr als 40 Millionen Nutzer eine der erfolgreichsten Apps Deutschlands. Millionen Menschen checken mit ihr regelmäßig in Restaurants und bei Veranstaltungen ein. Gleichzeitig reißt die Kritik von Datenschützern nicht ab. CEO Patrick Hennig spricht über den Hintergrund der Vorwürfe, die Auswirkungen von Omikron und die nächsten Schritte.

Herr Hennig, seit gut einem Jahr gibt es nun die Luca-App. Von Anfang an wurde sie von heftiger Kritik begleitet: Sicherheit, Datenschutz und Verlässlichkeit wurden moniert. Der Wikipedia-Eintrag zu Luca besteht zu mehr als der Hälfte aus Vorwürfen. Haben sich die vielen Bedenken mittlerweile gelegt?

Nein, die Kritik ist sogar immer noch genau die gleiche, obwohl keine der Befürchtungen sich bewahrheitet hat. Das Verschlüsselungskonzept hat sich bewährt. Es war im Luca-System selbst noch nie auch nur ein einziger Kontakt gefährdet. In welcher Anwendung wird ein Nutzer heute denn bitte noch informiert, sobald jemand auf seine Daten Zugriff erhält, damit weiß der Nutzer jederzeit, wer wann und wie Einsicht hatte? Wir haben damit von Beginn an ein völlig neues Level an Transparenz etabliert. Das Konzept sollten wir auch in andere Bereiche übertragen. Die Daten gehören den Bürgerinnen und Bürgern, und der Nutzer sollte entscheiden, was mit seinen Daten passiert. Als wir angefangen haben, wurde auch behauptet, Menschen wären nicht bereit, ihre Gesundheitsinformationen über eine App wie Luca zu teilen. Kürzlich haben wir dazu bei Civey eine Umfrage in Auftrag gegeben. Das Ergebnis: 88,2 Prozent der geimpften Bürger wären bereit, ihren Impfstatus mit dem zuständigen Gesundheitsamt zu teilen. Das zeigt, die Menschen haben kein Problem damit, ihre Daten zu übermitteln. Ich glaube, die Bevölkerung will digitale Tools nutzen. Das tut sie ja sowieso über Facebook und Google. Aber ich glaube, die öffentliche Diskussion, die wir dazu haben, die lautstarke, die veröffentlichte Meinung verfälscht oftmals das Bild.

In Sachen Datenschutz schien es aber doch gewisse Lücken zu geben. Ein deutscher Komiker hatte sich beispielsweise unter falschem Namen nachts an einem Ort eingeloggt, an dem er gar nicht war.

Das war kein Datenschutz-Problem. War jemand in Gefahr? Im Zweifel hätte das Gesundheitsamt auf dem Handy von Jan Böhmermann angerufen und herausgefunden, dass die Sache nicht stimmt. Mehr hätte nicht passieren können. Im Übrigen stellen die Gesundheitsämter kaum fest, dass Nutzer in der App falsche Angaben zu ihrem Namen machen, obwohl das theoretisch ginge. Und anders als bei der Nachverfolgung mit Zettel und Stift muss bei Luca zumindest die Handynummer korrekt sein, sonst funktioniert das Einchecken gar nicht. Die Gegenmaßnahme, um zu verhindern, dass Jan Böhmermann als Michi Bick im Zoo von Osnabrück eincheckt, ginge nur über die Überprüfung der GPS-Daten und des Personalausweises. Das kann doch keiner ernsthaft wollen, denn es steht einfach nicht im Verhältnis zum möglichen Schaden. Es ist also keine Lücke, sondern eine bewusste Entscheidung zur Datensparsamkeit.

Gibt es denn andere Schwachstellen, von denen Sie wissen?

Wir werden fast jeden Tag von der Polizei oder der Staatsanwaltschaft angerufen, weil sich Tatverdächtige angeblich irgendwo kurz vor, nach oder während einer Tat eingecheckt haben. Es geht um alles Mögliche: Einbrüche, Diebstahl, Raub, sogar Mord. Die Beamten wollen von uns dann die Nutzerdaten haben. Ich kann gut schlafen, weil ich weiß, dass wir selbst keinen Zugriff auf die Kontaktdaten haben. Früher konnte die Polizei einfach ins Restaurant gehen und um die Herausgabe der Daten bitten. Aber das ist nicht mehr möglich. Nur, wenn sie die digitalen Schlüssel bei Gesundheitsamt und dem Ort des Check-ins zusammen führen, indem Sie im Gesundheitsamt einen Infektionsfall simulieren, können sie vom Gesundheitsamt persönliche Daten erhalten. In einem kürzlich bekannt gewordenen Fall der Polizei Mainz wurde dieses Vorgehen auch von der Staatsanwaltschaft als unrechtmäßig eingeschätzt. Auch alle Anfragen diesbezüglich an uns laufen komplett ins Leere, weil wir einfach keinen Zugriff auf die Daten haben. Wir konnten also durch das luca System viele unberechtigte Zugriffe von Polizei und Staatsanwaltschaft verhindern.

In einem Gastbeitrag für die Welt schrieben Sie kürzlich: „Jedes kleine Start-up weiß heute mehr über seine Nutzer als wir über das Infektionsgeschehen in der größten Krise unserer Zeit. Wie kann das sein?“ Ist es der Datenschutz?

Es geht auch um Datenschutz, aber vor allem geht es um Ideologie und die Geschichte, die in der Öffentlichkeit erzählt wird – um die Drohgebärde, die aufgebaut wird. Wir haben jetzt ein Jahr lang darüber geredet, was alles nicht funktioniert, da gibt es so langsam auch nichts Neues mehr. Aber wir sollten endlich einmal souverän darüber reden, was gut funktioniert. Wo gab es gute Erfahrungen? Wie schafft man es eigentlich, diese Erfolgsgeschichten auf die ganzen Gesundheitsämter zu übertragen? Ich bin ein Fan des Datenschutzes – nur wird er meiner Meinung nach oft missverstanden: Datenschützen bedeutet nicht, sie gar nicht zu nutzen.

Schlecht funktioniert derzeit die Datenerhebung beim RKI. Seit mehreren Wochen kann es keine verlässlichen Infektionszahlen mehr vorlegen. Gleichzeitig bleibt die Zahl täglich übermittelter Neuinfektionen mit um die 60.000 sehr hoch. Könnte Luca dem RKI helfen?

Vor kurzem haben wir dem RKI angeboten, die Kommunikation auf Basis von Labor-Meldungen, die an die Gesundheitsämter gehen, zu digitalisieren und somit auch die Zahl der Neuinfektionen digital zu filtern und zu ermitteln. Wir arbeiten gerne mit dem RKI zusammen – das sieht man ja beispielsweise am Luca-Code, den wir an die Corona-Warn-App angepasst haben. Denn eigentlich sind die Systeme, die die Ämter nutzen, gut, sie müssten nur besser vernetzt sein. Die Mitarbeiter in den Gesundheitsämtern leisten täglich wirklich Unglaubliches. Nur kriegen sie pro Person teilweise bis zu fünf Meldungen. Das können Schnelltests, PCR-Tests, Genomsequenzierungen oder Erstkontakt-Hinweise sein, teilweise schlicht Duplikate. Im Gesundheitsamt sitzen die Leute, die wissen, was zu tun ist. Aber die beschäftigen wir mit Briefmarkenkleben und endlosem Telefonieren und Duplikatefiltern, weil wir nicht einfach digital kommunizieren können. Warum musst du einen Brief kriegen, warum einen Anruf? Warum kannst du nicht einfach über eine App eine Push-Nachricht bekommen?

Wie sähe Ihrer Meinung die Lage aus, wenn Luca flächendeckend von den Gesundheitsämtern eingesetzt würde?

Vor allem würden die ganzen Tests und Laborergebnisse, sobald sie im Gesundheitsamt sind, zu 70 bis 80 Prozent direkt digital innerhalb von Minuten (und nicht Tagen) per Push-Nachricht zugestellt werden, gemeinsam mit ersten Handlungsempfehlungen. Kontaktpersonen würden direkt digital kontaktiert werden, sowohl im privaten als auch im öffentlichen Bereich. Das ist ganz wichtig. Und ich will noch als Nutzer einen Schritt weitergehen. Beispielsweise zurückmelden, welche Symptome ich habe. Jede Kommunikation eben digital statt anlog per Brief.

Patrick Hennig
Patrick HennigSuzanne de Carrasco

Was müsste denn passieren, damit Luca hier richtig genutzt werden könnte?

Die Politik müsste den Gesundheitsämtern sagen: „Ihr müsst das einheitlich nach einem bestimmten Workflow digital umsetzen.“ Zum Beispiel habe ich gestern gehört, dass in Sachsen die Gesundheitsämter abgefragt wurden, ob sie die Kontaktnachverfolgung in 80 Prozent der Fälle innerhalb von 48 Stunden hinbekommen. Alle Gesundheitsämter mussten das wohl verneinen. Das zeigt doch, es liegt nicht an der Technik. Man braucht entweder mehr Ressourcen oder bessere Prozesse.

Es geht also um ein Ressourcenproblem. Brauchen Gesundheitsämter einfach mehr Mitarbeiter?

Generell ist es schon auch ein Personalproblem. Die großen Gesundheitsämter können sich so was leisten. Aber das Gesundheitsamt Hintertupfingen nicht. Außerdem ist die Finanzierung der Ämter überall unterschiedlich geregelt. Bayern ist das einzige Land, wo ein Großteil der Gesundheitsämter direkt vom Land gesteuert wird. Ich kenne Fälle, da kannten Bundesländer nicht einmal die E-Mail-Adressen der eigenen Gesundheitsämter. Das heißt, sie haben oftmals selbst keinen Kontakt zu allen Gesundheitsämtern.

Haben Sie dort auch direkten Kontakt zu politischen Entscheidern?

Wir stehen ständig im Austausch mit den Ländern, die Verträge mit Luca geschlossen haben. Mit Mitarbeitern aus den zuständigen Ministerien in Bayern haben wir beispielsweise seit der Einführung von Luca jeden Montag einen Call.

Trotzdem sind die Zahlen in Bayern immer wieder sehr hoch.

Dort gab es andere Probleme. Beispielsweise die Inzidenzen in den Nachbarländern. Aber auch in Bayern wurde in vielen Bereichen die Nachverfolgung eingestellt und zeitgleich kurz vor dem Herbst die Clubs in Innenräumen aufgemacht. Das Gute ist, in diesen Bereichen wurde konsequent nachverfolgt und es sind viele Infektionen sichtbar geworden, die sonst im Verborgenen geblieben wären.

Die Situation bei den Ämtern ist eben nicht deutschlandweit dieselbe. Wo läuft es denn noch gut?

Neben Bayern auch in Baden-Württemberg, bevor man dort die Verantwortung abgegeben hat und den Gesundheitsämtern gesagt hat, dass sie keine Nachverfolgung mehr machen sollen. Aber auch in Niedersachsen oder Hamburg klappt das zum Beispiel sehr gut. In Hamburg hat man den Prozess einfach in digitale Workflows zerlegt und daher können die jetzt statt Experten für die Kontakt-Nachverfolgung auch Bundeswehrsoldaten mit reinnehmen. Weil: Dann macht ein neuer Mitarbeiter eine kurze Schulung für den Teilprozess. Dann kriegt man die Aufgaben-Tickets und kann sofort unterstützen. Dafür müssen Mitarbeiter nicht den ganzen Gesundheits-Case verstehen oder Arzt sein.

Und wie sieht es in Berlin aus?

Was in Berlin in Friedrichshain-Kreuzberg passiert, ist schon gut. Ich glaube, bis vor kurzem haben sie Luca noch genutzt. Kann durchaus sein, dass sie jetzt auch völlig überlastet sind. Dort wurden bisher viele Gäste über Luca gewarnt, auch wenn es gar nicht notwendig war, immer Kontaktdaten abzurufen. Friedrichshain-Kreuzberg hat es richtig eingesetzt, um Menschen entsprechend einfach zu warnen. In Neukölln beispielsweise wurde Luca bisher meines Wissens gar nicht genutzt, damit wird folglich auch kein Gast bei einem möglichen Risiko gewarnt.

Berlin hat seit kurzem eine neue Regierung. Franziska Giffey hat explizit gesagt, sie möchte den Wirtschaftsstandort stärken, pragmatische Lösungen bei der Pandemiebekämpfung finden und hat einen sogenannten Chief Digital Officer ernannt. Alle drei Punkte sind für Luca relevant. Wird sich die Lage mit Giffey verbessern?

Also ich glaube schon, dass die Digitalisierung der Verwaltung politisch gewollt ist. Aber das ist natürlich eine große Aufgabe. Meine Erwartungen sind relativ gering und können daher leicht übertroffen werden, wir stehen jederzeit bereit, mit den Erfahrungen aus dem letzten Jahr zu helfen – damit meine ich gar nicht Luca als Lösung. Wir teilen gerne, was wir im letzten Jahr alles gesehen und erlebt haben.

Haben Sie mal überlegt, Berlin zu verlassen?

Das Thema haben wir noch nie konkret diskutiert. Aber wir hatten schon manche – nach unserem Eindruck – ideologisch geprägte Datenschutz-Diskussion in Berlin, die uns ab und zu nachdenklich gemacht hat und die sicher auch in der Vergangenheit einiges verhindert hat. Umso mehr freut es uns, dass die Datenschutzbeauftragte in einer der letzten Ausschusssitzungen es richtig eingeordnet hat, dass Luca eines der sichersten Systeme ist, die es derzeit am Markt gibt.

Was ist denn das Problem mit den Datenschützern?

Wenn eine Datenschutzbehörde beispielsweise deutlich macht, dass sie jede Art von zentralem System der Datenspeicherung für gefährlich hält, dann wird es schwierig. Oft habe ich auch den Eindruck, dass diese Positionen politisch besetzt werden. Es geht um teils komplexe technische Vorgänge. Da ist Expertise zwingend.

Wie sieht derzeit eigentlich die Konkurrenzsituation für Luca aus?

Es gibt noch ein paar andere Lösungen, aber ich glaube nicht, dass sie eingesetzt werden, da sie auch nicht weiterentwickelt wurden, um Personen digital zu warnen. Wir haben übrigens auch die Corona-App mit den meisten Nutzern in Deutschland und ergänzen uns auch gut mit der Corona-Warn-App, die aber eine völlig andere Funktion als Luca hat. Luca zählt bis heute mehr als 40 Millionen registrierte Bürgerinnen und mehr als 450.000 registrierte Standorte. Seit Mai letzten Jahres wurden über Luca mehr als 330 Millionen Check-ins digital durchgeführt. In mehr als 550.000 Fällen haben Gesundheitsämter nach einer individuellen Risikobewertung der Umstände vor Ort über Luca eine Warnmeldung ausgelöst. Und mehr als 3500-mal haben Gesundheitsämter Betriebe um die Herausgabe von Kontaktdaten gebeten.

Experten sagen durch die Bank: Alle werden, ja sollen sich infizieren. Dann würde die Pandemie zur Endemie. Was bedeutet das für Luca, ist die App überhaupt noch sinnvoll?

Nun, wir wollen aber nicht, dass alle sich gleichzeitig infizieren. Hierbei kommt es auch darauf an, dass die Bürgerinnen und Bürger selbstverantwortlich handeln können. Wenn Sie aber von einer App nur gesagt bekommen, dass es vor fünf Tagen ein Risiko gab und sie deswegen daheimbleiben sollen, dann kann damit keiner etwas anfangen. Der Ort und die Zeit sind die wichtigsten Angaben, sowohl für die Gesundheitsämter als auch für Kontaktpersonen. Da es einen Unterschied macht, ob ich zehn Minuten im Freien am Bahnsteig oder mit 100 Personen im engen Raum war, braucht es diese Angaben. Nur dann können wir auch selbst das Risiko einschätzen. Wir müssen, wie zu Beginn der Pandemie, als es noch gar keine Impfstoffe gab, die Welle flach halten. Man sieht, was passiert, wenn die Nachverfolgung komplett eingestellt wird, zum Beispiel in Schleswig-Holstein. In einer Disco gab es einen Fall und 800 Leute sollten in Quarantäne. Aber sie konnten sie nicht erreichen. Es handelte sich womöglich um mehrere Omikron-Fälle. Also haben sie in mühevoller Handarbeit aus dem Ticketsystem der Disco die Leute, die Tickets gekauft haben, herausgesucht. Dann haben sie E-Mail-Adressen rausgenommen, zweckentfremdet und die Leute kontaktiert. Da waren wir schon mal viel weiter vor einem halben Jahr.

Und dennoch wird die Pandemie nicht ewig dauern. Gibt es Pläne für Luca für danach?

Zuallererst sind wir gerade dabei, die Gesundheitsämter weiter zu unterstützen, denn die benötigen, gerade wenn die Quarantäne verkürzt werden soll, deutlich bessere Daten. Dann wollen wir den Prozess der Prüfung von Nachweisen für Restaurants und Veranstalter vereinfachen. Es war und ist unser Ziel, gesellschaftliches und gemeinsames Leben in Zeiten der Pandemie wieder zu ermöglichen. Hier wollen wir allen Beteiligten bestmöglich helfen und zur Seite stehen, um dieses Ziel zu erreichen. Seit einiger Zeit muss man zusätzlich zum Impf- oder Genesenenausweis auch den Personalausweis oder Pass vorzeigen. Das wollen wir in Luca auch einfach zusammenführen. Dann muss man vielleicht bald nur noch sein Handy zeigen. Und ich gehe davon aus, dass es diese ganzen Anforderungen noch ein paar Jahre geben wird.

Vielen Dank für das Gespräch.

Anmerkung der Redaktion: Das Interview wurde am 8. Januar 2022 aktualisiert.

Dieser Text ist in der Wochenendausgabe der Berliner Zeitung erschienen – jeden Sonnabend am Kiosk oder hier im Abo.