Deutschland
Ermittler griffen unrechtmäßig Daten ab – Ist die Luca-App jetzt "mausetot"?
Die Luca-App soll die Nachverfolgung von Corona-Kontaktpersonen erleichtern helfen. Doch seit Markteintritt gibt es massive Kritik an Sicherheit und Datenschutz der digitalen Applikation. Nun griff die Polizei in Rheinland-Pfalz auf die App-Daten zu, um Zeugen in einem Todesfall ausfindig zu machen.
Sie soll in Zeiten der Corona-Krise die "Kontaktpersonennachverfolgung" erleichtern. Ganz dem digitalen Zeitgeist entsprechend, sollte die auf dem Mobiltelefon zu installierende Luca-App den Nutzern ermöglichen, quasi ein virtuelles Tagebuch über Kontakte zu führen – und dadurch auch eine schnelle Rückverfolgung möglicher Corona-Kontakte ermöglichen. Restaurantbesitzern und Event-Veranstaltern soll sie helfen, die gesetzlich vorgeschriebene Erfassung der Kontakte der Besucher möglichst effektiv vorzunehmen.
Entwickelt vom Berliner Start-up neXenio, an dem auch der deutsche Hip-Hop-Entertainer Smudo beteiligt ist, sorgte letzterer durch einen Talkshow-Marathon für das nötige Marketing. Doch das Unbehagen blieb, was nicht zuletzt an datenschutzrechtlichen Zweifeln und entsprechender Kritik liegt, auch wenn der "Datenschutz bei Luca großgeschrieben" werde, wie die App-Entwickler zu Protokoll gaben.
Der Chaos Computer Club forderte Mitte April gar eine "Bundesnotbremse" für die Luca-App:
"Zweifelhaftes Geschäftsmodell, mangelhafte Software, Unregelmäßigkeiten bei der Auftragsvergabe: Der Chaos Computer Club (CCC) fordert das sofortige Ende der staatlichen Alimentierung von Smudos Steuer-Millionengrab 'Luca-App'."
"Für den Umgang mit hochsensiblen Gesundheits- und Bewegungsdaten" verbiete "sich der ländersubventionierte Roll-Out ungeprüfter Software von selbst", waren die Experten überzeugt. Smudo wies die umfangreiche Kritik zurück und behauptete u.a.:
"Der CCC ist recht schrill in seinen Behauptungen. Tatsächlich ist es so, dass Luca sehr sicher ist. Es gibt keine gravierenden Sicherheitsmängel. Die Daten werden dezentral verschlüsselt."
Derweil erklärte Luca-CEO Patrick Hennig vor wenigen Tagen gegenüber der Berliner Zeitung, dass man nun beabsichtige, mittels der hauseigenen App auch die Daten von "Impf- und Personalausweis zusammenführen" zu wollen.
"Seit einiger Zeit muss man zusätzlich zum Impf- oder Genesenenausweis auch den Personalausweis oder Pass vorzeigen. Das wollen wir in Luca auch einfach zusammenführen. Dann muss man vielleicht bald nur noch sein Handy zeigen. Und ich gehe davon aus, dass es diese ganzen Anforderungen noch ein paar Jahre geben wird."
Impfausweis und Personalausweis sollen zusammengeführt und zur Dauereinrichtung werden. Chef der Luca-App rechnet damit, noch jahrelang im Geschäft zu bleiben. https://t.co/k8uSa4P4KD
— Norbert Häring (@norberthaering) January 10, 2022
Doch jetzt könnte der Luca-App das endgültige Aus drohen. Wie Recherchen des SWR zutage förderten, konnte die Mainzer Polizei bei Ermittlungen auch "ohne rechtliche Grundlage auf Daten der Luca-App" zurückgreifen. Nach dem Verlassen einer Gaststätte war ein Besucher Ende November dermaßen unglücklich gestürzt, dass er wenige Tage später an seinen schweren Verletzungen verstarb. Auf der Suche nach Zeugen griff die Polizei dann demzufolge auf Daten der Luca-App einer Mitarbeiterin der Gaststätte zu.
"Später, so die Mitarbeiterin, habe sie dann via Luca-App eine Bitte des Gesundheitsamtes Mainz um Datenfreigabe bezüglich der am 29. November anwesenden Gäste erhalten. Dieser habe sie stattgegeben."
Insgesamt 21 Zeugen wurden auf diese Weise ausfindig gemacht. Das Abgreifen der mittels der Luca-App gesammelten Daten ist jedoch aus datenschutzrechtlichen Gründen unzulässig. Entsprechende Daten dürfen auch nicht für die Strafverfolgung eingesetzt werden. Wie die Staatsanwaltschaft Mainz erklärte, wäre aber das Vorgehen mit der Polizeibehörde abgestimmt gewesen und leider vor dem Hintergrund "einer fehlerhaften Bewertung des Infektionsschutzgesetzes erfolgt". Die Staatsanwaltschaft entschuldigte sich dafür bei den Betroffenen.
Die Culture4Life GmbH, zu der Luca gehört, teilte mit:
"Wir verurteilen diesen Missbrauch der für den Infektionsschutz erhobenen Daten der Luca-App."
Fast täglich erreichten das Unternehmen Anfragen von Polizei und Staatsanwaltschaft zu Daten von Nutzern dieser App. Sie würden immer gleich beantwortet – nämlich "dass wir keine Daten liefern können, weil wir aufgrund des Verschlüsselungskonzepts technisch keinen Zugriff darauf haben".
Die Daten könnten nur bereitgestellt werden, wenn das jeweilige Gesundheitsamt und der jeweilige Betrieb in einem Infektionsfall gleichzeitig ihr Einverständnis erteilen und ihre individuellen Schlüssel anwenden, um die Daten zu entschlüsseln, erklärte das Unternehmen. Die Daten seien dann "nur für das jeweilige Gesundheitsamt einsehbar".
Im vorliegenden Fall habe wohl das Gesundheitsamt auf Druck oder Bitten der Polizei einen Infektionsfall simuliert und so das Einverständnis des Betriebes für die Bereitstellung der Daten eingeholt. Die Staatsanwaltschaft erklärte zu dem bekanntgewordenen Fall: "Es wird sichergestellt, dass die entsprechenden Daten nicht weiter genutzt werden".
Es seien keine weiteren Fälle bekannt, in denen auf Kontaktdaten der Luca-App zurückgegriffen worden wäre. Eine entsprechende Prüfung sei veranlasst worden. Die Mitarbeiter der Staatsanwaltschaft würden zur Beachtung der rechtlichen Vorgaben sensibilisiert, der behördliche Datenschutzbeauftragte sei informiert und eingebunden worden. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz soll ebenfalls informiert werden.
Löscht die #LucaApp!
— Niema Movassat (@NiemaMovassat) January 8, 2022
Nunmehr rufen Politiker verschiedener Fraktionen Nutzer dazu auf, die Luca-App von ihren Smartphones zu löschen und den auslaufenden Vertrag mit dem Anbieter nicht zu verlängern. Niema Movassat, Mitglied im Parteivorstand der Linken und ehemaliger Bundestagsabgeordneter, forderte auf dem Kurznachrichtendienst Twitter: "Löscht die Luca-App!"
Der netzpolitische Sprecher der Grünen-Fraktion im Landtag von Baden-Württemberg, Alexander Salomon, zeigte sich überzeugt:
"Was die Warnung und die Nachverfolgung angeht, ist die Luca-App mausetot."
Auf Twitter forderte er ebenfalls: "Deinstalliert die #LucaApp. Sofort."
Deinstalliert die #LucaApp. Sofort.Und dann umgehend die @coronawarnapp nutzen👍.
— Alexander Salomon (@salomon_alex) January 7, 2022
Auch der digitalpolitische Sprecher der FDP, der baden-württembergische Landtagsabgeordnete Daniel Karrais, sah gleichfalls erneut Datenschutz- und Sicherheitsprobleme der Luca-App bestätigt. Zudem verwies er darauf, dass das Land Baden-Württemberg für die einjährige Nutzung der Software bis zum kommenden März einen Betrag von 3,7 Millionen Euro zahle.
Wie es auf der Webseite des Anbieters heißt, haben sich zum aktuellen Zeitpunkt mehr als 40 Millionen Menschen als Luca-Nutzer registrieren lassen.
Als Alternative gilt für Salomon, Karrais und weitere Kritiker der Luca-App die kostenfreie "Corona-Warn-App". Bei dieser handelt es sich um ein Projekt im Auftrag der Bundesregierung. Entwickelt wurde die Corona-Warn-App von den Unternehmen SAP und Deutsche Telekom AG unter Beteiligung von rund 25 weiteren Unternehmen. Herausgeber der App ist das Robert Koch-Institut (RKI).
Mehr zum Thema - Das Bundesinnenministerium untersagte die Überprüfung der Luca-App
Durch die Sperrung von RT zielt die EU darauf ab, eine kritische, nicht prowestliche Informationsquelle zum Schweigen zu bringen. Und dies nicht nur hinsichtlich des Ukraine-Kriegs. Der Zugang zu unserer Website wurde erschwert, mehrere Soziale Medien haben unsere Accounts blockiert. Es liegt nun an uns allen, ob in Deutschland und der EU auch weiterhin ein Journalismus jenseits der Mainstream-Narrative betrieben werden kann. Wenn Euch unsere Artikel gefallen, teilt sie gern überall, wo Ihr aktiv seid. Das ist möglich, denn die EU hat weder unsere Arbeit noch das Lesen und Teilen unserer Artikel verboten. Anmerkung: Allerdings hat Österreich mit der Änderung des "Audiovisuellen Mediendienst-Gesetzes" am 13. April diesbezüglich eine Änderung eingeführt, die möglicherweise auch Privatpersonen betrifft. Deswegen bitten wir Euch bis zur Klärung des Sachverhalts, in Österreich unsere Beiträge vorerst nicht in den Sozialen Medien zu teilen.