Das Dilemma mit der LUCA-App

Zunächst ist die „LUCA-App“ laut Hersteller als Ergänzung zur offiziellen Corona-Warn-App gedacht. Die an Gesundheitsbehörden vertriebene LUCA-App soll eine digitale Registrierung als Anwesender bei Veranstaltungen, in Restaurants, Geschäften, Einrichtungen oder bei privaten Treffen ermöglichen. Statt handschriftlich – „Check-In“ auf digitalem Weg mittels einscanbarer QR-Codes. Dabei wird eine verschlüsselte Gast-ID zusammen mit Standortdaten, Datum und Uhrzeit gespeichert und eine Kontakthistorie der sich treffenden oder in der Nähe befindlichen Personen erzeugt.

Die LUCA-App nutzende Gesundheitsämter können nach der Bestätigung der Personendaten eine gespeicherte Kontakthistorie digital abrufen und sich damit die Kontaktnachverfolgung per Telefon und anderen Wegen sparen. Die Macher der App sind ein Privatunternehmen mit Gewinnerzielungsabsicht.

Die App wurde relativ schnell aus den Boden gestampft, und es gibt massive Kritiken in Punkto Sicherheit dieser App von Datenschutzaktivisten, dem Chaos Computer Club und Wissenschaftlern, insbesondere aus dem IT-Bereich. Sie wird auch von der MLPD abgelehnt.

So heißt es in einer Stellungnahme zur LUCA-App von führenden Wissenschaftlern aus dem IT-Bereich vom 29. April 2021 mit 77 Erstunterzeichnern und 493 weiteren Unterzeichnern: „Damit entsteht eine Abhängigkeit von einem einzelnen Privatunternehmen mit Gewinnerzielungsabsicht als Betreiber des Systems. Es wurde ein intransparent entwickeltes System in Betrieb genommen und selbst leicht zu findende Sicherheitslücken konnten erst im laufenden Betrieb entdeckt werden.“¹

Viel Geld für wenig Nutzen und sehr große Risiken – so lässt sich die Stellungnahme zur LUCA-App von den 77 Sicherheitsforschenden zusammenfassen: „Gleichzeitig erfasst das LUCA-System in großem Umfang Bewegungs- und Kontaktdaten: wer war wo, mit welchen Personen am selben Ort, und wie lange. Die Daten werden zentralisiert und auf Vorrat bei einem Privatunternehmen gesammelt und gespeichert. Die viel beworbene doppelte Verschlüsselung der Kontaktdaten liefert schon deshalb nicht die versprochene Sicherheit, da sich Bewegungsprofile der Nutzerinnen und Nutzer allein aufgrund der anfallenden Metadaten erstellen lassen. Eine solche umfassende Datensammlung an einer zentralen Stelle birgt massives Missbrauchspotenzial und das Risiko von gravierenden Datenleaks.“ ²

Im Widerspruch dazu steht, dass die Datenschutzbeauftragten der Länder diese Kritiken mehr oder weniger ignorieren. Und dass die Anbindung der Gesundheitsämter von 13 Bundesländern mit zusammen 22 Millionen Euro teuer bezahlt werden. Nur Thüringen, Sachsen und Nordrhein-Westfalen haben die LUCA-App nicht angeschafft.

Schutz vor Corona, ja – Auflösung des Datenschutzes, nein!