CEO der Luca-App im "Kampf gegen Windmühlen"

Patrick Hennig zur Debatte über die Anwendung seiner Firma, Gespräche mit Experten und das Verhältnis zur Corona-Warn-App

"Work hard, play hard", lautet das Motto des Berliner Start-ups Nexenio, das von Patrick Hennig und Philipp Berger geleitet wird. Als Spin-Off des Hasso-Plattner-Instituts und in Zusammenarbeit mit der Bundesdruckerei sieht sich der SAP-Partner als "Nexus, als Verbindung zwischen dem Forschungsgeist der neuen Generation und Unternehmen". Nexenio ist "gemeinsam mit Kulturschaffenden", wie der Stuttgarter Hip-Hop-Gruppe Die Fantastischen Vier Teil der Initiative Culture4life, die die Luca-App entwickelt und promotet.

Die Kontakt-Tracing-Applikation will sichere Adressübermittlung via QR-Codes in direkter Kommunikation mit den Gesundheitsämtern bewerkstelligen und so für Events, Locations und jede Art Veranstaltungen "schnelle und lückenlose Kontaktrückverfolgung" bieten und die Arbeit der Ämter beschleunigen.

Luca stand in den letzten Wochen stark in der Kritik, weil Tester wie der Chaos-Computer-Club zahlreiche weitere Lücken, Schwachstellen und Datenlecks fanden, viele davon technischer Natur, viele aber auch systemisch-organisatorische Fehler. Zugleich hatten Hoteliers, Gastronomen, Datenschützer und Behörden Jahreslizenzen erworben. Doch viele, die zunächst ankündigten, die Luca-App zu verwenden, ruderten zurück und warten nun ab.

Dennoch haben die Betreiber bereits bis zu 25 Millionen Euro aus Steuergeldern eingenommen, ohne dass abschließende Tests von Datenschützern oder Ausschreibungen vorgenommen wurden – und obwohl zahlreiche Alternativen auf dem Markt vorhanden waren.

Ein Grund für den auch den Hersteller überraschenden, großen Erfolg ist sicher das Alleinstellungsmerkmal "Smudo": Der Rapper macht Gratis-Werbung zur besten Sendezeit und bespielt viele Medien. Hochkarätige PR-Profis und gute Kontakte in die Politik können sicher auch nicht alle Konkurrenten vorweisen.

Angesichts dessen überraschen jedoch viele der Fehler, die der Hersteller in den letzten Wochen machte, auch und gerade in Sachen PR. Für die Kommunikation bei der Luca-App zuständig ist laut seinem Twitter-Account Markus Bublitz von haebmau.de, der PR-Agentur Haeberlein und Maurer in München. Deren Professionalität steht außer Frage. Da passt es so gar nicht ins Bild, wenn Bubitz, Berger, Hennig und Smudo Kritiker persönlich in sozialen Medien oder Interviews angreifen. Darüber beschwerten sich nicht nur Journalisten, sondern auch Linus Neumann vom Chaos-Computer-Club, nachdem dieser vor der Luca-App gewarnt hatte:

Das Verhalten der Luca-App-Verantwortlichen gab immer wieder Anlass zu Verwunderung. Auch in den Vorgesprächen für das folgende Telepolis-Interview bot uns Nexenio-CEO Hennig immer wieder die Zusendung der Datenschutzfolgeabschätzung an. Allerdings vermochte er weder dieses Dokument noch einen Mustervertrag bereitzustellen – obwohl der in journalistischen Kreisen bereits kursiert.

Henning: "Aktueller Stand mit der Berliner Behörde ist, dass Sicherheitskonzept und DSFA nach erfolgter Prüfung auszugsweise veröffentlicht werden sollen, ähnlich wie bei der Corona-Warn-App. Bei der ist ja nur ein Auszug veröffentlicht." Die Aussage ist so nicht ganz korrekt, ist die CWA-DSFA doch (hier Version 1.7. vom 2.3.21, PDF mit 149 Seiten) von Anfang an in Open Source transparent öffentlich und gemeinsam entwickelt worden (siehe Abbildung).

Wir haben erst im September angefangen, als wir in Gesprächen mit Gesundheitsämtern festgestellt haben, dass für die die Nachverfolgung aufwendig war und im November/Dezember haben wir dann den ersten PoC live genommen. Im Januar war die Aussage noch, dass es keine DSFA benötigt, da wir keine Gesundheitsdaten verarbeiten und das System erst von 3 Gesundheitsämtern genutzt wurde. Wir wussten ja auch nicht wohin das führt. Da dann ab Anfang Februar jedoch mehr und mehr GAs hinzukamen haben wir dann eine DSFA gemacht. Ich bin aber gerade dran, das wir bereits die öffentliche Version vorab die geben können.

Patrick Hennig im Vorgespräch

Derlei Unstimmigkeiten finden sich noch an mehreren Stellen folgenden Interview. Wir haben Patrick Hennig dazu um eine weitere Stellungnahme gebeten, zur Motivation seiner inkorrekten Aussage aber keine Antwort erhalten. Stattdessen kam die erneute Ankündigung:

Es gibt kaum Systeme in Deutschland die eine DSFA veröffentlichen, wir werden aber auch das machen.

Angesichts der schwierigen Faktenlage hat sich Telepolis entschieden, das komplette Interview mit Faktenchecks und redaktionellen Kommentare zu publizieren. Das Interview führte Markus Feilner via E-Mail, die wenigen Stellen, an denen der Originaltext gekürzt wurde, sind kenntlich gemacht. Das komplette Interview werden wir dem letzten Teil dieser Serie vollständig als Pdf-Datei anhängen.

Herr Hennig, Sie sind Geschäftsführer der Firma Nexenio, und laut NDR "einer der Köpfe" hinter der Luca-App. Damit unsere Leser Ihre Antworten besser einordnen können: Wie sehen sie sich selbst? Sind sie Programmierer, Security- oder Datenschutzexperte, Marketingmensch oder klassischer Manager?

Patrick Hennig: Meine Wurzeln liegen im IT-System Engineering, aktuell arbeite [ich] am allerliebsten an Luca. (...)

Die Luca-App war zuletzt viel in den Medien: Nach über einem Jahr Entwicklung, was würden Sie denn heute rückblickend anders machen?

Patrick Hennig: Rückblickend würde ich sagen, dass wir früher Open Source hätten wählen können und die Community hätten einbeziehen sollen. Das haben wir sehr spät – ich hoffe nicht zu spät – gemacht. Wir wussten am Anfang überhaupt nicht, ob unsere Idee auf offene Ohren trifft. Wir haben sie im Sommer entwickelt, dann kam der zweite – der "November-Lockdown" – in dem wir ja im Grunde immer noch sind.

In dieser Zeit war es schwer, Gehör zu finden, weil natürlich andere Themen erst einmal im Vordergrund standen. In dieser Zeit haben wir uns darauf konzentriert, mit den Gesundheitsämtern zu sprechen, uns mit Virologen und Epidemiologen auszutauschen und die Idee weiterzuentwickeln. Da hatten wir Open Source nicht auf dem Schirm, sondern gerade sozusagen einen Kampf gegen die Windmühlen geführt. Die mediale Aufmerksamkeit kam dann viel später. Wir freuen uns, dass das Projekt jetzt Open Source ist.

Wir haben Herrn Hennig nach der Identität der genannten Virologen und Epidemiologen gefragt und werden diese Informationen nachreichen, sobald wir sie erhalten. Die Luca-App tauchte erstmals im September im Apple-Store auf.

In Google Play erschien die App erst im Dezember, wie die Versionshistorie von Appbrain.com zeigt. Die schweizerisch/niederländische Firma von zwei Ex-Google-Engineers sammelt Informationen aus der Google-Playstore-Welt, die Google nicht dauerhaft vorhält und erzeugt dazu statistische Darstellungen.

Welche Erfahrungswerte technischer und organisatorischer Natur haben sie aus dem Luca-Geschäft 2020 und den mutmaßlichen Pilot-Projekten mitgenommen, die beispielsweise auf Sylt und in Jena durchgeführt wurden?

Patrick Hennig: In Sommer und Herbst 2020 haben wir ja vor allem erst einmal ganz viel Gespräche geführt, Zeit und Ressourcen investiert und uns mit Epidemiologen und Virologen ausgetauscht. Wir haben mit Salzlandkreis die Schlüsselanhänger entwickelt, auf Sylt haben wir gesehen, wie ein guter Rollout in die Kommune funktioniert. Und beginnend in Jena haben wir ganz viel über die Anforderungen der Gesundheitsämter gelernt. Diese Gespräche haben unsere Idee der Luca-App sehr stark geprägt.

Auch die Schlüsselanhänger stehen mittlerweile im Fokus der Debatte um die Datensicherheit und der Qualität des gewählten Ansatzes. Nachdem bekannt wurde, dass sich die aufgedruckten QR-Codes für eine Vielzahl von Missbrauchsarten wie Stalking und Doxxing, aber auch Angriffe auf Veranstalter und Personen ausnützen lassen, stellt sich die Frage, welche Optionen beispielsweise Auftraggebern wie der Stadt Lübeck bleiben. Die verschickte tausende Schlüsselanhänger, trotz Warnungen von Experten, im Vertrauen auf die Aussage des Herstellers, die Fehler gefixt zu haben.

Die Datenschützer in Thüringen (hier der Link zum Salzlandkreis) sind kürzlich von ihrer einstmals positiven Einschätzung abgekehrt. In Jena klagt der Blindenverband über mangelnde Barrierefreiheit, während Kulturschaffende sich über die Bürokratie beschweren.

Eine Öffnung, Lockerung oder Verbesserung der Corona-Situation sei auch nach einem halben Jahr mit Luca nicht in Sicht. Ein Gutachten der Stadt Weimar vom 12. April sieht da auch wenig Potenzial (Seite 3), selbst wenn die technischen Probleme gefixt würden Auf Seite 32 des Gutachtens heißt es: "Im Rahmen des Testmodells ergaben sich einige Fragestellungen. Die an Luca gestellten Fragen wurden nicht in zufriedenstellender Ausführlichkeit beantwortet. Auch das Fehlen eines telefonischen Supports, um eine schnelle Lösungsfindung zu generieren, störte im Modellversuch. Von anderen Fachverfahrensherstellern im selben Preissegment sind bessere Kommunikationsformen bekannt (z.B. Ticketsystem)."

Wann gab es den ersten Kontakt mit Bundesregierung, Landesregierungen, Kommunen oder deren Organen bezüglich der luca.app oder mit ihr verwandten Themen, Aufträgen, Problemen oder Verträgen?

Patrick Hennig: Wir haben bereits im September erste Gespräche mit möglichen Testregionen geführt, im Oktober haben wir das erste Pilotprojekt in Jena gestartet, dann kamen schnell Sylt und der Salzlandkreis dazu. Im November kam dann der zweite Lockdown, da gab es auf politischer Ebene natürlich erst mal andere Themen. In dieser Zeit haben wir uns viel mit Virologen und Epidemiologen ausgetauscht und das System noch mal einen großen Schritt weiterentwickelt. Anfang Februar haben wir das System bei ca. 100 Gesundheitsämtern und im Rahmen der Gesundheitsministerkonferenz vorgestellt. Kurz zuvor gab es erste Gespräche mit dem Bundesgesundheitsministerium.

Das scheint auch eine Antwort auf die Anfrage von MdB Anke Domscheit-Berg (DIE LINKE) zu bestätigen. Die Frage stammt aus dem Fragenkatalog vom 6. April und ist in Drucksache 19/28338 veröffentlicht:

Unklar bleiben dabei aber mehrere Punkte: Laut Hennig war die Politik ab November "mit anderen Themen" beschäftigt, laut Bundesregierung habe man die Konzepte im "vierten Quartal" im Bundesgesundheitsministerium verfolgt. Beides ist sehr vage gehalten, es stellt sich die Frage, warum die Bundesregierung, allen voran das Gesundheitsministerium nach erfolgten Kontakten mit Unternehmen den Einbau einer ähnlichen Funktion in die Corona-Warn-App nicht forcierte.

Für nexenio eröffnete sich erst so das Geschäftsfeld (wohl auch zur Überraschung des Anbieters). Das zaghafte Vorgehen des Ministeriums (vergleichbare Apps gibt es etwa in Österreich schon seit August) fiel auch drei Grünen-Abgeordneten auf, deren Frage nach den erstmaligen Vorschlägen von Telekom und SAP aber unbeantwortet blieb (Drucksache 19/27503 (PDF)):

Außerdem bestätigt Hennig, bereits im September Kontakt "mit möglichen Testregionen" gehabt zu haben und man hat vermutlich auch die Corona-Relevanz der App erkannt. Warum sonst sollte man mit Virologen und Epidemiologen reden?

In der Antwort auf eine Kleine Anfrage der Grünen im Deutschen Bundestag vom 11.3.2021 kündigt die Bundesregierung die Cluster-Erkennung für die Corona-Warn-App für "in den kommenden Wochen" an. Seit wann wussten Sie davon, dass ihr größter Konkurrent auf dem Markt eine dem Kern der Luca-App nahekommende Funktion bekommen wird?

Patrick Hennig: Die CWA ist keine Konkurrenz zu Luca. (…) Von der QR-Code-Funktion haben wir wie alle anderen auch im Februar aus der Presse erfahren. (…) CWA und Luca sind zwei starke Tools in der Eindämmung der Pandemie, die sich ergänzen.

"Ergänzen" klingt nach Beteiligung und Kooperation an und bei der Entwicklung von offenen Standards, wie sie die Bundesregierung seit 2020 empfiehlt. Dass sich Luca etwa noch Ende März im Gastronomie-Journal als "offener Standard" präsentiert – "Luca ist ein offener Standard zum sicheren Informationsaustausch mit den Gesundheitsämtern und garantiert dabei maximale Datensicherheit, da ausschließlich dezentrale Schlüssel verwendet werden" –, überraschte angesichts der wenigen bis dahin veröffentlichen Details und der heutigen Aussage, dass die Entwickler Open Source schlicht "nicht auf dem Radar" hatten.

Gegen die Theorie, dass alles seien Flüchtigkeitsfehler, spricht die Tatsache, dass Nexenio ein zum Patent angemeldetes Sicherheitskonzept verpflichtend zur Benutzung vorgegeben hat – das ist in etwa das Gegenteil von offenen Standards.

Die Optionen wären vorhanden: Bereits im März versammelte sich in der Initiative "Wir für Digitalisierung" eine lange Liste von Anbietern, mit dem Ziel, einen wirklich offenen Standard für die Kontaktnachverfolgung zu entwickeln. Alternative, offene Konzepte lägen vor, beispielsweise Iris vom "Innovationsverbund Öffentliche Gesundheit" (Inög) (Iris-Konzeptpapier vom März 2021 (PDF)). Fun Fact: Inög ist eine Lobbyorganisation, die auch für die Luca-App und die Kontakt-Tracking-Software Sormas für die Gesundheitsämter Werbung macht.

Die offenen Standards, die Schwächen der luca.app und das wenig vertrauenerweckende Verhalten von Nexenio und culture4life scheinen derzeit zu einem Umdenken zu führen: Auch Thüringen will jetzt doch offen ausschreiben, bezeichnet Iris als guten Weg und will "auf jeden Fall ein offenes System".

Tagesschau.de zitiert das Finanzministerium Thüringen mit den Worten: "Wir sehen vergaberechtliche Probleme, wenn man sich nur auf einen Anbieter festlegt.". Auch deshalb erwägen viele Konkurrenten der Luca-App derzeit Klagen, wie beispielsweise Burkhard Hau, Geschäftsführer der Anwendung Intrada der Tagesschau erklärt: "Wir wollen einfach nur einen fairen Wettbewerb."

Teil 2 des Interviews beschäftigt sich mit dem Datenschutz, den Nutzen für die Gesundheitsämter. "Wir überlasten damit nur die Gesundheitsämter mit Informationen, die diese nicht als relevant einschätzen." (Linus Neumann im Podcast).

In Teil 3 geht es um Fehler in der Software-Entwicklung: Tests und Entwicklungsmodelle sowie Opensource.