Luca-App: Hilfe oder Belastung von Gesundheitsämtern?

Patrick Hennig zu Fragen des Datenschutzes, Kontakten zur Politik und dem Nutzen seiner Anwendung für die Fachbehörden (Teil 2)

Im ersten Teil dieses Interviews sagte der Geschäftsführer des Berliner Start-ups Nexenio, die Entwickler der Luca-App zur Kontaktnachverfolgung hätten erst spät Kenntnis von den Anforderungen des Datenschutzes bekommen und deshalb keine Datenschutzfolgenabschätzung bereitstellen können. Diese sei noch in Prüfung, man habe sie erst im Februar 2021 in Angriff genommen, als mehr Gesundheitsämter ins Spiel kamen. Die Datenschutzfolgenabschätzung werde zudem nur in Teilen veröffentlicht.

Seit wann stehen Sie und die Entwickler der Luca-App im Kontakt mit Datenschützern, die den Code prüfen?

Patrick Hennig: Die Datenschützer prüfen vor allem die datenschutzrechtlichen Bereiche. Mit der Datenschutzbehörde in Thüringen waren wir bereits im November im Kontakt, als uns von dort bestätigt wurde, dass das System so eingesetzt werden kann. Im Winter hat uns dann der Datenschutz Baden-Württemberg kontaktiert, mit denen es einen sehr konstruktiven Austausch gab, ebenfalls mit Schleswig-Holstein. Auch mit der Berliner Datenschutzbehörde sind wir in einem sehr guten Austausch und unterhalten uns gerade über die Roadmap von Luca und was man noch verbessern kann. Ein System ist ja nie perfekt und nie fertig.

Was macht die Bundesdruckerei, was das Hasso-Plattner-Institut (HPI) im Rahmen von Entwicklung, Ausgestaltung und Verbreitung der Luca-App? Wie und wann waren die beiden Institutionen in die Entwicklung involviert? Waren oder sind die Bundesdruckerei und das HPI auch finanziell oder anderweitig involviert?

Patrick Hennig: Wir beziehen beispielsweise die Zertifikate von der Bundesdruckerei und die Unterstützung zur Anbindung an die Gesundheitsämter, sind also deren Kunde. Diese Services sind frei verfügbar. Als HPI-Ausgründung halten wir natürlich immer Kontakt und tauschen uns auch über Ideen rund um Luca aus.

Wird es in Deutschland eine Pflicht zur Luca-App geben?

Patrick Hennig: Nein, das halte ich für ausgeschlossen. Das geht rechtlich nicht und ich halte es auch wirklich für falsch. Wir können in der Pandemie nur etwas erreichen, wenn wir auf die Eigenverantwortung jedes Einzelnen setzen, dann können wir Freiheiten wieder gewinnen. So ist das auch mit Luca.

Das Land Mecklenburg-Vorpommern scheint das anders zu sehen. In der dortigen Corona-Verordnung findet sich schon seit 1. April folgender Satz (§ 13):

Die verpflichtende Dokumentation zur Kontaktnachverfolgung soll in elektronischer Form landeseinheitlich mittels der LUCA-App erfolgen.

Auch vier Regionen Schleswig-Holsteins Sylt, Büsum, Eckernförde und Schlei starten ein "Tourismusprojekt" bei dem laut Twitter-User Nils Ehnert die Luca-App in bestimmten Situationen verpflichtend ist. Mit solch staatlicher Unterstützung wird jede App zur Goldgrube für den Hersteller, auch wenn drei der vier Regionen den Start aufgrund des Pandemiegeschehens verschoben haben.

Aber Hennig hat Recht: Eine Pflicht zu Luca-App oder einer anderen bestimmten App ist höchst problematisch, sowohl aus Gründen des Datenschutzes, der Barrierefreiheit wie auch der Diskriminierung von Menschen ohne Smartphone. Die für diese Fälle vorgesehenen Schlüsselanhänger kann man, so der CCC, hinsichtlich der Sicherheit und des Datenschutzes nicht empfehlen. Zudem funktioniert das QR-Code-System nur bei einer Online-Verbindung, anders als die Corona-Warn-App. Bei dieser Anwendung verlangt nur der Rückkanal eine Internetverbindung.

Weil aber das Luca-System Daten zentral speichert, muss es online arbeiten – eine in Deutschland nicht immer gewährleistbare Voraussetzung. Dass das auch mit einer anderen, dezentralen Architektur geht, zeigt der alternative Design-Entwurf von Andreas Dewes.

"Die Luca-App ist ausdrücklich nicht als Konkurrenz zur Warn-App des Bundes geplant", sagt der Hip-Hoper Smudo im NDR, sie solle "die Arbeit der Gesundheitsämter erleichtern". Gibt es Erfahrungswerte aus den Behörden, wie viel Zeitersparnis zu erwarten ist und bei welchen Inzidenzwerten die App diesen Zweck erfüllt?

Patrick Hennig: In der manuellen Erfassung dauert es etwa eine Minute, eine Kontaktperson mit zusätzlichen Funktionen in das Verwaltungssystem einzutragen. Ein durchschnittlicher Indexfall hat schon einmal bis zu 50 Kontaktpersonen. Mittels Luca geht das dann mit wenigen Klicks und binnen Minuten.

Im Moment ist die Inzidenz insgesamt zu hoch. Das sagen alle Wissenschaftler. Im Austausch zwischen Politik und Wissenschaft muss der gesellschaftliche Diskurs geführt werden, wie Öffnungsstrategien aussehen und wann sie angebracht sind. Wir haben uns sehr viel mit Epidemiologen ausgetauscht. Da gibt es ja sehr viele und sehr gute Ideen, wie und bei welchen Zahlen die Pandemie kontrolliert werden kann und welche Rolle Testen, Nachverfolgen und Isolieren von Infizierten dabei spielen.

Die Namen der Epidemiologen, die für die Luca-App-Entwickler als Experten dienten, sind Telepolis nicht bekannt, aber Linus Neumann vom Chaos Computer Club ist sich sicher: Contact Tracing wie bei der Luca-App ist nicht unbedingt sinnvoll. "Wir überlasten damit nur die Gesundheitsämter mit Informationen, die diese nicht als relevant einschätzen", erklärt er gegenüber Radio Eins

Die Macht des Contact Tracings bei der Pandemie würde katastrophal überschätzt. In Weimar habe man in einem Probezeitraum über 655 Kontakte gesammelt, aber nicht einer davon sei vom Gesundheitsamt als relevant eingestuft worden.

Und wer überhaupt glaubt, dass eine solche App einen relevanten Beitrag zur Eindämmung der Pandemie leisten kann, der sollte sich mal anschauen, wie das mit den Schulöffnungen abgeht, denn da sind die relevanten Probleme.

Linus Neumann

Die Gesundheitsämter sind nur teilweise mit dem Software-System zur Kontaktnachverfolgung Sormas (Surveillance Outbreak Response Management and Analysis System) ausgestattet, an das die Luca-App ihre Daten liefert. Noch Ende Dezember waren das nur 109 (PDF) von knapp 400. Wie genau läuft die Übermittlung der Daten? Per CSV-Datei oder per REST-API? Verschlüsselt und wenn ja wie?

Patrick Hennig: Es gibt eine eigenständige Luca-Fachanwendung, die das Schlüsselmanagement übernimmt, damit bereits im Smartphone Daten so verschlüsselt werden können, dass nur das Gesundheitsamt darauf zugreifen kann. Damit ist Luca unabhängig von Sormas. Sollte das Gesundheitsamt kein Sormas haben, gibt es auch Austauschformate für andere Systeme über klassische CSV-Dateien.

Die Übertragung geht nicht über unser Backend an andere Systeme. Erst nach der Entschlüsselung passiert die Übertragung im Gesundheitsamt. Bei einer REST-Schnittstelle, über Zertifikat oder Nutzername/Passwort und HTTPS.

Gerade im Bereich der Verschlüsselung, der Ablage und des Transfers von Schlüsseln/Keys, Zertifikaten und dank fest einprogrammierter Passworte haben sich in den letzten Wochen viele Schwachstellen finden lassen. Viele Details und Anhaltspunkte auch zu technischen Schwächen finden sich in dem mittlerweile auf bald 550 Tweets angewachsenen Thread von @honkhase. Hinter dem Twitter-Handle verbirgt sich Manuel Atug, der Sprecher des Arbeitskreises kritische Infrastrukturen (AG KRITIS), der an der Recherche zu diesem Faktencheck beteiligt war.

Über die tatsächlichen Zahlen der Sormas-Anwender gibt es unterschiedliche Quellen. Die Sormas-Webseite spricht von 322 und einer flächendeckenden Versorgung. Auffällig sind hier vor allem die Lücken in Sachsen und Niedersachsen.

Die reine Anzahl an Installationen dürfte daher wenig Aussagekraft haben, spannender wäre der Beitrag, den das Gespann Luca-Sormas tatsächlich zum Tracing zu leisten vermag. Das geschieht in Gesundheitsämtern heute wie vor einem Jahr über Telefonate, eine Auswertung von Listen aus der Gastronomie findet nicht statt, in der Regel haben die Mitarbeiter am Telefon gerade mal Zeit, Kontakte ersten Grades abzufragen. Schon beim Lehrer einer infizierten Schülerin wird meist nicht mehr nach seinen Kontakten im relevanten Zeitraum gefragt.

Genauere und aktuellere Zahlen in Echtzet liefert die Webseite http://luca.denken.io von Ralf Rottmann (@Ralf). Sie baut auf einer Schwachstelle der Luca-App auf und listet alle Gesundheitsämter auf, "die zurzeit von der Luca-App-Schnittstelle als im System bekannt gemeldet werden".

"Sie wird jeweils in dem Moment, in dem diese Seite aufgerufen wird, vom Luca System angefordert, ist also immer aktuell", erklärt Rottmann auf der Webseite. Außerdem zeigt die Seite auch die Gesamtzahl der Tracing-Anfragen. Möglich ist das, weil die Luca-App-Schnittstelle diese Daten frei zugänglich macht.

In einer Kleinen Anfrage der FDP-Bundestagsfraktion wird gefragt: "Ist nach Kenntnisstand der Bundesregierung ausgeschlossen, dass über die Luca-App ein Datenaustausch mit Strafverfolgungsbehörden erfolgen kann, falls eine Nutzung der App für einen staatlichen Auftrag infrage käme?" Können Sie das technisch ausschließen?

Patrick Hennig: Ja, es ist technisch ausgeschlossen, dass wir irgendwelche Daten herausgeben können. Und es ist technisch ausgeschlossen, dass das Gesundheitsamt alleine oder ein Betreiber mit Zwang Daten herausgeben können. Das ist der Sinn des Kryptokonzeptes des Luca-Systems. Insbesondere schließt Luca vor allem den "kurzen Dienstweg" aus, das heißt, Ordnungsbehörden können nicht einfach ein Restaurant betreten und eben mal die Aushändigung von Anwesenheitslisten verlangen.

Luca-Gegner würden eine Aussage wie diese vermutlich als "überspezifisches Dementi" abtun. Doch das greift zu kurz: Hennig kann (nur) ausschließen, dass "wir irgendwelche Daten herausgeben". Damit meint er wohl die Betreiber der Luca-App. Auch ein Event-Betreiber oder das Gesundheitsamt "alleine" könnten nicht gezwungen werden, Daten herauszugeben.

Der Vorteil gegenüber analogen Listen und dem kurzen Dienstweg ist korrekt, doch haben diese ein eindeutiges Verfallsdatum und verlassen die Location nicht, außer im Ernstfall, der aber von den Gesundheitsämtern so gut wie nie angefordert wird. Fraglich ist auch, ob das Krypto-Konzept den angesprochenen Sinn erfüllt. IT-Experten, auch der Chaos-Computer-Club, sind in ihrer abschließenden Bewertung anderer Meinung. Die bisherigen Erfahrungen mit der noch jungen Software geben keinen Anlass zu großem Vertrauen.

Mittlerweile prüft auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) das Luca-Konzept: "Experten kritisieren, die Länder hätten die App übereilt gekauft", schreibt der Spiegel dazu.

Immer mehr Datenschützer – wie Johannes Caspar, Hamburgs Beauftragter für Datenschutz, in der Süddeutschen Zeitung – kommen zu ähnlichen Einschätzungen, und das nicht nur angesichts des nicht vorliegenden Quelltextes. Caspar: "Die datenschutzrechtlichen Dokumentationen müssen vor der Inbetriebnahme erstellt und das Risiko für die Rechte und Freiheiten der betroffenen Personen müsse bekannt sein.

Die Datenschutzfolgenabschätzung sei noch nicht bekannt gegeben, sie sei aber für eine datenschutzrechtliche Bewertung unerlässlich. "Dies sollte dringend nachgeholt werden; insbesondere, da die App in einigen Kommunen und Ländern bereits zum Einsatz kommt".

Ebenso verärgert über die Missachtung geltenden Rechts durch den Hersteller bei gleichzeitiger Finanzierung durch Steuermittel zeigt sich auch die Bundestagsabgeordnete und Digitalisierungs-Expertin Elvan Korkmaz-Emre (SPD) in einer Debatte über Künstliche Intelligenz im Bundestag (Video hier, ca. ab 2:30 Minuten):

Die Datenschutzgrundverordnung ist dabei das Versprechen, dass Technologie unsere Werte der analogen Welt beinhaltet. Und wer diesen nicht genügt, und das gilt auch aus aktuellem Anlass für zum Beispiel die luca.app, darf eben nicht zugelassen werden. Und wer sich dann noch mehrfach falsch äußert, oder billigend Sicherheitslücken in Kauf nimmt, sollte auch nicht mit Steuermitteln unterstützt werden. Vertrauen allein etwa in die Selbstverpflichtung von Herstellern, macht am Ende keine gute Technologie und das gilt auch gerade für KI. Der Gesetzgeber macht die Vorgaben, nicht die Technologie und auch kein Rapper!

Korkmaz-Emre ist Mitglied im Ausschuss für Verkehr und digitale Infrastruktur, im Ausschuss Digitale Agenda sowie in der Enquete-Kommission "Künstliche Intelligenz".

In Mecklenburg-Vorpommern fragt die Abgeordnete Eva-Maria Kröger von der Fraktion DIE LINKE: "Welche vertraglichen Regelungen mit den Betreibern der Luca-App untermauern das Bestreben der Landesregierung, eine möglichst große Verbreitung der digitalen Kontaktnachverfolgung zu realisieren?" - Gibt es solche Regelungen? Gibt es Bestimmungen in Verträgen, die die "Kunden" anhalten, Werbung für die Anwendung zu machen?

Patrick Hennig: Es ist wie bei allen Systemen so, dass diese nur funktionieren, wenn diese möglichst breitflächig eingesetzt werden. So ist dies auch bei Luca. Ich glaube, es ist unrealistisch, jemand zu verpflichten, aber natürlich machen gemeinsame Kommunikationswege Sinn. Ich glaube, kein Bundesland würde aufgrund einer Verpflichtung Werbung machen.

In einem der Telepolis vorliegenden Version des Mustervertrages vom März 2021 finden sich folgende Paragrafen:

Den Ablauf des Modellvorhabens vereinbaren die Parteien wie folgt:

1.5.1 Während der Laufzeit dieses Kooperationsvertrages wird culture4life die Software in der Modellregion kostenlos zur Nutzung durch die Modellregion und ihre Eigenbetriebe, Bürger*innen, Unternehmen, Verbände, Kultureinrichtungen zur Verfügung stellen. Das Recht von culture4life, die Software außerhalb der Modellregion ggf. nach eigenem Ermessen zu kommerzialisieren, bleibt hiervon unberührt.

1.5.2 Die Modellregion wird geeignete Maßnahmen ergreifen, um den flächendeckenden Einsatz der Software in der Modellregion durch Gesundheitsbehörden, Wirtschafts- und Kulturverbände, Unternehmen (insb. Gastronomie) sowie Trägern von Pflegeeinrichtungen zu fördern.

1.5.3 Die Modellregion wird die Software in angemessener Weise einer breiten Öffentlichkeit bekannt machen und diese in angemessener Weise bewerben. Entsprechende Pressemitteilungen, Marketingkonzepte und sonstige Maßnahmen werden die Parteien gemeinschaftlich erarbeiten.

Als Vertreter von culture4life nennt der Mustervertrag Patrick Hennig und Marcus Trojan. Leider konnte Nexenio der Telepolis bis zum Redaktionsschluss keinen Mustervertrag zur Gegenprüfung zur Verfügung stellen.