Google, Apple und die Luca-App

Warum tolerieren Google und Apple bei der Luca-App gravierende Regelverletzungen, während sie andere Anbieter für weit weniger aus den App-Stores werfen? Die seltsame Rolle der Gatekeeper in der Luca-Affäre. Teil 1

Vor etwas mehr als einem Jahr ging es um die Frage, zentrale oder dezentrale Datenhaltung bei der noch zu erstellenden Corona-Warn-App. Bundesgesundheitsminister Spahn warb für eine zentrale Lösung und erklärte großes Unverständnis für alle, die daran glauben, "dass Daten, die bei Apple und Google aufgehoben sind, bei amerikanischen Großkonzernen, besser geschützt sind als Daten, die in Deutschland auf Servern auch staatlich kontrolliert liegen".

Wissenschaft, IT-Experten und Silicon Valley selbst belehrten ihn eines Besseren, die dezentrale Lösung der Corona-Warn-App setzte sich durch, auch weil Google und Apple das Modell bevorzugten...

Mächtiger als die Politik

Anke Domscheit-Berg, Bundestagsabgeordnete der Linkspartei, hatte das mit markigen Worten vorhergesagt: "Entweder die Bundesregierung verabschiedet sich sofort von ihrer bisherigen Wahl. Oder sie muss erst schmerzhaft erfahren, dass Apple nicht auf die Wünsche aus Berlin eingeht."(Tagesschau).

Auch der Deutschlandfunk schreibt rückblickend von der "großen Bevormundung durch Google und Apple" und fragt: "Eine effektive Corona-Warn-App, die ihr Potenzial voll ausschöpft, scheiterte bislang vor allem an den Vorgaben zur Daten-Schnittstelle von Google und Apple. Die beiden Konzerne sollten mit Blick auf die Zukunft sehr genau prüfen, ob sie die richtige Entscheidung getroffen haben." ( Deutschlandfunk)

Vielleicht hat sich die dezentrale Architektur bei der Corona-Warn-App nur durchgesetzt, weil die Verwaltung der Gesundheits- und Bewegungsdaten von Millionen Anwendern dank der DSGVO selbst den beiden US-Megakonzernen zu heikel gewesen wäre?

Ob das stimmt, wissen nur die Chefetagen in Cupertino und Mountain View. Doch gerade die vielen aktuellen Meldungen über Fehler und Versagen des Luca-App-Systems zeigen mehr und mehr die Überlegenheit der CWA, die direkt Kontakte warnt, ohne zentrale Datenspeicherung und ohne die schon vor Luca überlasteten Gesundheitsämter zu benötigen. Trotzdem wird Luca noch verwendet.

Willkür oder Strategie?

Als Deutschland kurz vor Weihnachten 2020 auf die Freigabe des genaueren und energiesparenderen "Bluetooth Low Energy"(BLE)-Verfahrens wartete, machte sich mehr und mehr Unmut breit, dass Deutschland in solch einer wichtigen Angelegenheit auf amerikanische Konzerne angewiesen sei und somit abhängig. Der Begriff des "Gatekeepers" machte die Runde. Er stammt ursprünglich aus der Nachrichtenforschung. Diese "Türsteher, Schleusenwärter oder Torwächter (...) entscheiden: Was wird der Öffentlichkeit vorenthalten, was wird weiterbefördert?" (Wikipedia)

Nicht wirklich zufällig um die gleiche Zeit machten sich zwei Apps auf, der Corona-Epidemie eine weitere Alternative entgegenzustellen: Sie hießen "Kontakt-Tagebuch" und "Luca-App". Ihre Chancen standen schlecht, hatten Google und Apple sich doch schon im Mai 2020 geeinigt, pro Land nur eine Kontakt-Tracing-App zuzulassen, wegen der Schwere der Situation, und zwar nur eine solche, die quasi mit offiziellem Stempel daherkam.

Dem musste sich die App von Stefan Trauth natürlich beugen. Zwar war sein "Kontakt-Tagebuch" einige Wochen im Apples App-Store, mit 14.000 Usern und einer guten Bewertung von 4,7, doch plötzlich erhielt er die Nachricht, Apple würde die App demnächst entfernen, Verstoß gegen die App-Store-Richtlinien, Begründung:

Apps, die Kontaktverfolgung im Zusammenhang mit der Coronapandemie anbieten, können nur von staatlichen Institutionen angeboten werden. (Apple zu Telepolis)

Im Gespräch mit dem Autor erklärt Trauth:

"Ich wollte nur einen kleinen Beitrag leisten, meinen Notizblock auf dem Smartphone haben. Ich hatte kein kommerzielles Interesse, aber auch keine Chance, ohne Ok von einer Institution."

Apple löschte die App nach mehreren Wochen des Schriftwechsels und Telefonaten mit Apple und mehreren Iterationen:

Ich habe alles raus, was Corona-related war, die ganze App zu einem reinen Notizbuch verändert, nichts hat geholfen. Irgendwann hatte ich das Gefühl, meine Gesprächspartner kannten die App gar nicht im Detail, ich glaube nicht, dass ich auch nur einmal mit jemand gesprochen habe, der wirklich selbst ein Review gemacht hat.

Auch Googles Regeln sind hart, wenn es um Corona-Apps geht, Apples Erklärung für die harte Entscheidung ("Apps zur Kontaktverfolgung der Coronapandemie nur von staatlichen Institutionen, wie die Corona-Warn-App") scheint auch sinnvoll.

Die zweite angesprochene kleine App ist die Luca-App - und ihre Geschichte unterscheidet sich massiv vom "Kontakt-Tagebuch". Sie, so Apple zu Telepolis, "habe alle Anforderungen erfüllt". Für diesen Satz brauchte Apples Pressestelle Monate, Google schweigt bis heute. "Meine App war offensichtlich für die Reviewer mit Corona verbunden, die Luca-App zumindest am an Anfang nicht", vermutet Trauth.

Staatliche Institutionen? Mindestens bis März Fehlanzeige. Und Luca? Da steht das ganz offensichtlich in den Nutzungsbedingungen - frisch upgedatet, die neue Version gilt ab 12. August:

1.2 Die luca Dienste dienen allgemein der Unterstützung bei der Kontaktnachverfolgung im Rahmen der Bekämpfung der COVID-Pandemie und im Verhältnis zur/zum Nutzer:in der für die/den Nutzer:in bequemen und verschlüsselten Datenübermittlung bei Besuchen von Gastgebern, zur Erstellung der eigenen Kontaktdokumentation und Teilen dieser mit dem zuständigen Gesundheitsamt sowie zur Unterstützung der Speicherung von Testergebnissen bzw. Impf- oder Genesenenausweisen zum Vorzeigen bei zur Einsicht autorisierten Stellen.
(...)
3. Nutzungsrechte | Nutzungsbeschränkungen
3.1 Nach Maßgabe des Nutzungsvertrages gewährt luca der/dem Nutzer:in während der Vertragslaufzeit ein einfaches, nicht übertragbares, nicht unterlizenzierbares, Recht, die Dienste zum Zwecke der einfachen und bequemen Kontaktnachverfolgung im Rahmen von Maßnahmen zur Eindämmung der aktuellen Ausbreitung des Coronavirus SARS-CoV-2 und etwaiger Mutationen zu nutzen. Außerdem kann die luca App genutzt werden, um Testergebnisse, Genesenen- oder Impfdokumente zu speichern und bei Bedarf zur Kontrolle autorisierten Stellen vorzulegen.

Warum haben Google und Apple also das Kontakt-Tagebuch gelöscht, die Luca-App aber geduldet? Sollten die Konzerne das schlicht "übersehen" haben, wirft das Fragen auf bezüglich der Kontrollmechanismen. Jede andere Erklärung aber dürfte schwierig zu verargumentieren sein. Haben die Luca-App-Macher es vielleicht geschafft, die Konzerne hinters Licht zu führen?

Waren die Luca-Entwickler nur gerissener?

In der Tat: Wer den Werdegang der Luca-App in App- und Play-Store verfolgt und mit der Webseite der Anbieter vergleicht, der stellt schnell fest, dass Nexenio es tunlichst vermieden hat, Begriffe wie "Corona" oder "Covid", in der Beschreibung zu verwenden. Wenig überraschend ist die App in "Dienstprogramme" gelistet.

Die Absicht, eine App ausdrücklich fürs Contact Tracing zu entwickeln, kommerziell und gewinnorientiert, als Konkurrenz zur offiziellen Corona-Warn-App des Bundes und ohne Connections zu staatlichen Institutionen war in den App-Stores lange nicht zu erkennen, vielleicht wurde es geschickt kaschiert.

"Alle Anforderungen erfüllt", sagt Apple. Heute stehen "Gesundheitsämter" und "Kontaktnachverfolgung" in den Beschreibungen, Corona und Covid tauchen nur in den Bewertungen auf (und natürlich auf der Luca-App-Webseite und in der App). Apple wie auch Google scheinen hier mit zweierlei Maß zu messen, oder ist ihnen diese App sprichwörtlich über den Kopf gewachsen?

Damit nicht genug, bei der Luca-App tolerieren die beiden Konzerne unerklärlicherweise noch diverse weitere Regelverletzungen. Im Februar nahm Apple zahlreiche Apps aus dem Store, weil man bereits im März 2020 festgelegt habe, dass Impfzertifikate und Coronatestnachweise nur dann auf das iPhone dürfen, wenn die Apps von Gesundheitsbehörden anerkannt sind - oder gleich von einer Behörde stammen.

Apps mit Bezug zum Thema Corona und Covid-19 müssten "ausschließlich aus anerkannten Quellen stammen", um die Verbreitung von Falschinformationen zu verhindern, Corona-Trittbrettfahrer und Covid-Glücksritter auszuschließen. Die Klagen von Entwicklern wegen Monopolmissbrauchs ließen nicht lange auf sich warten.

Das jedoch dürfte weder Apple (24 Milliarden Dollar Umsatz mit dem App-Store) noch Google (12 Milliarden Dollar) wenig stören (Zahlen von Statista), viel eher stört da vielleicht das zu erwartende Medienecho, würde man mehr als 20 Millionen Deutschen Premiumkunden (Herstellerangabe) plötzlich ein Spielzeug nehmen, nur weil dessen Hersteller sich nicht an die Regeln hält. Der Shitstorm träfe sicher auch Google oder Apple.

Versicherer warnen, Google und Apple halten still

Auch die zigfach nachgewiesene, gefährlich schlechte Qualität der Software, die sogar Angriffe auf angeschlossene Gesundheitsämter ermöglicht, die Veröffentlichung fragwürdiger Tracing-Daten (dank des zentralen Datenmodells hat der Hersteller die Deutungshoheit) oder das offensichtliche Versagen der App im Juli 2021, in zahlreichen Events und Locations, ist offensichtlich immer noch kein ausreichendes Signal für Google und Apple, einzuschreiten oder auch nur genauer hinzuschauen.

Abertausende kritische Tweets ließen sich ja noch als überzogene, private Meinungen abtun, nicht aber die Einwände von Wissenschaftlern oder gar der Parteilichkeit unverdächtige IT-Haftpflichtversicherungen wie Exali, die die Luca-App als abschreckendes Beispiel nennen:

Hinter der Luca-App steht ein Privatunternehmen, dessen System die Bewegungs- und Kontaktdaten der Nutzer:innen erfasst und zentralisiert und auf Vorrat sammelt und speichert. Mit der Luca-App sind nicht nur falsche oder manipulierte Check-ins der Nutzer:innen möglich, sondern auch Fake-Anmeldungen. Die von den Luca-Entwickler:innen beworbene doppelte Verschlüsselung der Kontaktdaten kann gar nicht funktionieren, da sich aufgrund der anfallenden Metadaten Bewegungsprofile der Nutzer:innen erstellen lassen. Die Datensammlung an einer zentralen Stelle birgt ein massives Missbrauchspotential, sowie das Risiko von Datenleaks.

Zu diesen Punkten kommen die zahlreichen Sicherheitslücken und Bugs, die mehrere IT-Fachleute in den letzten Wochen aufdeckten. Anders als bei der CWA steht hinter der Luca-App ein Privatunternehmen, dass sich aus der neXenio GmbH (Entwicklung), der culture4life GmbH (Inhaber), sowie "Kulturschaffenden" wie der Gruppe "Die Fantastischen Vier" zusammensetzt. Diese sind privatwirtschaftliche Unternehmen und verwalten die Daten, die App und die zugehörige Infrastruktur in Eigenregie. Die CWA dagegen ist eine offiziell von der Bundesregierung zur Verfügung gestellte App, hinter der kein Privatunternehmen steht und die zudem auch keinerlei personenbezogene Daten speichert.