Bereits im Sommer 2020 wurde im Auftrag der Bundesregierung und bezahlt mit Steuergeldern die „Corona-Warn-App“ veröffentlicht. Bei der Entwicklung der App gab es anfangs verschiedene Konzeptionsansätze, letztendlich wurden aber die grundlegenden Entwicklungsprinzipien Zweckbindung, Offenheit, Transparenz, Freiwilligkeit und Risikoabwägung beachtet. Herausgekommen ist eine App, die zwar anfangs ein paar „Kinderkrankheiten“ hatte, aber überwiegend schnell und effektiv vor Infektionsgefahren warnte, ohne dabei den Schutz der sensiblen persönlichen Daten der Nutzer zu vernachlässigen.
Dennoch entstand, durch eine geschickte Marketingkampagne getrieben, plötzlich in der Öffentlichkeit, vor allem aber in der Politik ein regelrechter Hype um die „Luca-App“. Anscheinend nur mit ihr sollte es möglich sein, dem Virus bei Veranstaltungen Einhalt zu gebieten. Auch das Land Hessen hat über 2 Millionen Euro Steuergelder für eine 1-Jahres-Lizenz ausgegeben.
Grundsätzlich ist es in unserem Sinne, wenn zur Bewältigung der Pandemie die modernen Möglichkeiten der Digitalisierung genutzt werden, um effektiver zu arbeiten oder Schwellen zu senken. Doch die „Luca-App“ als ein vermeintliches Allheilmittel in der Kontaktnachverfolgung und zur Unterbrechung von Infektionsketten hervorzuheben, ist der falsche Weg. Auch der Schwalm-Eder-Kreis unterstützt und fördert die Nutzung der App, zuletzt nachzulesen in der HNA vom 15.05.2021.
Diese Entwicklung sehen wir mit Sorge!
Die „Luca-App“ hat leider sehr viele Schwachpunkte, die gegen ihren Einsatz sprechen.
- Bereits der Ankauf der Lizenzen durch das Land Hessen erfolgte ohne Einhaltung der üblichen Vergaberichtlinien.
- Die App entspricht nicht den Richtlinien, die normalerweise an eine von öffentlichen Stellen eingesetzte Software gestellt werden.
- Die App ist nicht barrierefrei.
- Der Programmcode wurde erst nach massivem öffentlichen Druck etappenweise veröffentlicht und verstieß anfangs gegen das Urheberrecht, da er Code anderer Programmierer enthielt, ohne entsprechend lizensiert zu sein.
- Zahlreiche Sicherheitslücken wurden aufgedeckt, die vom Hersteller nur sehr zögerlich, teilweise auch bis heute gar nicht behoben wurden.
- Gleichzeitig erfasst die „Luca-App“ in großem Umfang Bewegungs- und Kontaktdaten: Wer hat sich wann und wo aufgehalten und wie lange. Die Daten werden zentralisiert und auf Vorrat bei einem auf Gewinnerzielung ausgerichteten Privatunternehmen gesammelt und gespeichert. Dies sieht u.a. auch der hessische Datenschutzbeauftragte sehr kritisch, wie er in Interviews u.a. mit der FAZ geäußert hat.
- Die viel beworbene doppelte Verschlüsselung der Kontaktdaten liefert schon deshalb nicht die versprochene Sicherheit, da sich Bewegungsprofile der Nutzerinnen und Nutzer allein aufgrund der anfallenden Metadaten erstellen lassen. Eine solche umfassende Datensammlung an einer zentralen Stelle birgt massives Missbrauchspotential und das Risiko von gravierenden Datenlecks. Ein wirksamer Schutz vor Hackerangriffen ist generell nicht möglich, dies zeigen zahlreiche Beispiele aus der Vergangenheit, zuletzt beim Lebensmittelhändler Tegut.
- Selbst ohne Nutzung der App ist man vor Erstellung eines detaillierten Bewegungsprofils nicht sicher. Nutzt man einen der entsprechenden Schlüsselanhänger, reicht einer versierten Person ein Foto des auf dem Anhänger befindlichen QR-Codes, um alle Nutzungen der vergangenen 30 Tage auszulesen.
- Nicht zu vergessen, anders als die „Corona-Warn-App“ vollzieht die „Luca-App“ keine Kontaktnachverfolgung, sondern sammelt nur die Daten und übermittelt diese an die Gesundheitsämter. Diese müssen die Daten dann selber noch auswerten.
- Mittels relativ einfacher Methoden, u.a. mit der „Luci-App“ kann man eine Vielzahl gefälschter Daten ins System einschleusen, die die Arbeit der Gesundheitsämter erschweren.
Und wie sieht es mit den Entwicklungsprinzipien aus, die bei der „Corona-Warn-App“ noch befolgt wurden, wenn auch nicht ganz freiwillig?
- Eine Zweckbindung, also der Einsatz nur für die Pandemiebekämpfung, ist nicht gegeben. Der Hersteller hat bereits Vorkehrungen für den Einsatz zur Ticketreservierung, Besuchermanagement und für Eintrittskarten getroffen. Da ist eine große Marktdurchdringung und Bekanntheit im Vorfeld sehr förderlich.
- Offenheit und Transparenz erfolgten wie oben bereits dargelegt nur widerstrebend und bruchstückhaft.
- Eine Freiwilligkeit ist nur dann gegeben, solange die App nicht die Voraussetzung zur Teilnahme am öffentlichen Leben ist; Mecklenburg-Vorpommern ist hier im negativen Sinne Vorreiter.
- Die Abwägung von Nutzen gegenüber Risiko fällt aufgrund des mangelhaften Datenschutzes ebenfalls negativ aus.
Aufgrund dieser massiven Mängel empfehlen wir der Kreisverwaltung eindringlich, auf die Nutzung der „Luca-App“ komplett zu verzichten. Ist der politische Wille für einen Verzicht nicht da, so sollte die App auf keinen Fall zur zwingenden Voraussetzung gemacht werden, um Zutritt zu Einrichtungen oder Veranstaltungen zu bekommen. Und anstatt diese App zu bewerben, sollten besser die Bürgerinnen und Bürger intensiv über Pro und Contra aufgeklärt werden, damit jeder für sich eine fundierte Entscheidung treffen kann.