Fragwürdige Luca-App: Betreiber streben dank Datenflut nach neuen Geschäftsbereichen

Die Betreiber der Luca-App beschreiben diese als "eine Lösung, die ein schnelle, datenschutzkonforme Kontaktdatenverwaltung und Kontaktnachverfolgung für private Treffen und öffentliche Veranstaltungen, für Geschäfte und Gastronomie ermöglicht und dabei die Gesundheitsämter einbindet und deren Arbeit erheblich vereinfacht". Doch immer mehr Behörden sehen die Software weitestgehend als überflüssig zur Kontaktverfolgung von Corona-Ausbrüchen an, wie das Ärzteblatt am Dienstag nach einem öffentlichen Austausch der Lan­desregierung Baden-Württemberg mit Vertretern von Gesundheitsämtern, Softwareentwicklern sowie Experten des Chaos Computer Clubs (CCC) und des Deutschen Hotel- und Gaststättenverbands (DEHOGA) schrieb. Baden-Württemberg hatte diese App demnach im vergangenen Frühjahr ohne Ausschreibung und Wettbewerbsverfahren für 3,7 Millionen Euro erworben, und ohne eine fristgerechte Kündigung würde die Lizenz für die Software automatisch verlängert werden.

Ermittler griffen unrechtmäßig Daten ab – Ist die Luca-App jetzt "mausetot"?

Vor gut einem Jahr war die Luca-App mit hohen Erwartungen und entsprechenden Investitionen gestartet worden. Verträge mit 13 Bundesländern (alle außer Sachsen, Thüringen und Nordrhein-Westfalen) machten bislang ein Jahresvolumen von 20 Millionen Euro inklusive Mehrwertsteuer aus. Einzelne Bundesländer hatten die Lizenzen unter Umgehung der Ausschreibungspflicht für Millionenbeträge erstanden, für Berlin kostete die Software 1,2 Millionen Euro, für Bayern sogar 5,5 Millionen, jeweils für ein Jahr berechnet.

Vielerorts wurden die anfangs hohen Erwartungen nicht einmal annähernd erfüllt. Kritiker verweisen neben der skandalös unsauberen Vergabepraxis auf den insgesamt schon länger fragwürdigen Datenschutz sowie auf massive technische Defizite bei gleichzeitig geringem bis fehlendem Nutzen für die Gesundheitsämter.

Analog zu anderen Unternehmen, welche private Daten sammeln, erklärt für die Luca-App deren Betreiberfirma Culture4life, dass der Datenschutz höchste Priorität genieße. Das Unternehmen versichert den Anwendern, es sei "zur Wahrung Ihrer datenschutzrechtlichen Belange im Zusammenhang mit Ihrer Nutzung unserer Dienste verpflichtet, und ... jederzeit bestrebt, die Sicherheit und Integrität ... der personenbezogenen Daten in Übereinstimmung mit dem anwendbarem Datenschutzrecht zu wahren".

Daher verpflichte es sich den Angaben zufolge gegenüber den Nutzern, "Ihre personenbezogenen Daten ausschließlich zum Zwecke der Unterstützung bei der Kontaktnachverfolgung bzw. des Nachweises eines Testergebnisses, Impf- oder Genesenenausweises im Rahmen der Bekämpfung der COVID-Pandemie zu verarbeiten und nicht zu anderen Zwecken zu nutzen oder weiterzugeben".

Schon im letzten Frühjahr – kurz nach Start der App – hatte die Berliner Datenschutzbeauftragte Maja Smoltczyk auf datenschutzrechtliche Probleme und "beträchtliche Risiken" der App hingewiesen.

Im Januar ergab eine Umfrage des ZDF-Nachrichtenportals heute.de unter allen Staatsanwaltschaften und Landesdatenschutzbeauftragten zudem, dass Staatsanwaltschaften und Polizei seit 2020 über diese App in mehr als 100 Ermittlungsverfahren bundesweit auf persönliche Daten aus der Corona-Kontakterfassung zurückgegriffen haben – ohne ausreichende rechtliche Grundlage. Auch bei kleineren Delikten machte sich die Polizei offenbar die Datensammlung der Luca-App zunutze:

Am Mittwoch bestätigte eine Sprecherin des baden-württembergischen Sozialministeriums gegenüber der Deutschen Presse-Agentur, dass das Bundesland den Vertrag mit dem privaten Betreiber der Luca-App nicht verlängern werde. Die Bundesländer Berlin und Brandenburg gaben ihren Ausstieg aus dem Vertrag mit der Luca-App bereits früher im Januar bekannt, und auch die Bremer Gesundheitssenatorin Claudia Bernhard (Die Linke) hatte bereits erklärt, dass der Vertrag nicht verlängert werde. Schleswig-Holstein hat bereits gekündigt.

Zwischenzeitlich hatte der Geschäftsführer Patrick Hennig der Betreibergesellschaft Cultur4Life angekündigt, dass die Konditionen für Behörden attraktiver gestaltet werden. So sollten die Kosten pro Gesundheitsamt von bislang 18.000 Euro auf 9.000 Euro im Jahr reduziert und die Verträge leichter kündbar werden, "damit dem Gesundheits­schutz weiterhin maximal gedient sei".

Gleichzeitig blicken die Betreiber in die Zukunft und dabei auf weitere lukrative Geschäftsfelder, die auf ihrer bisherigen Tätigkeit und Nutzung der App aufbauen. Luca solle sich nun stärker als "Digitalisierungspartner" der Gastronomie und Kulturbranche positionieren, hieß es zu Beginn der vergangenen Woche unter der Überschrift "Luca bereitet sich auf die Endemie vor".

Schon im vergangenen April warnte der CCC, dass durch die Ein-Jahres-Verträge ein staatlich subventioniertes Geschäftsmodell mit privaten Daten aufgebaut werden könne und die Luca-Eigentümer für die Zeit "nach dem steuerlichen Geldregen" bereits "ungenierte Pläne zur weiteren Kommerzialisierung der Kontaktverfolgung haben".

Krise in Hotellerie und Gastronomie dauert länger als befürchtet

Mittlerweile hat der Betreiber nach eigenen Angaben etwa 40 Millionen Luca-Installationen auf Smartphones in Deutschland und unlängst angedeutet, dass er daraus etwas machen werde. Die bisherige Integration von Speisekarten in die App sei "nur der Anfang" der neuen Geschäftsausrichtung, hieß es kürzlich. Nach eigenen Angaben soll die Luca-App eine Vereinfachung bei Gastronomie und Events ermöglichen. Mit einer Art digitaler ID, die auf Daten aus dem amtlichen Personalausweis basiert, sollen Zugänge zu kontrollieren und Kontakte nachzuverfolgen sein.

Offenbar planten die Luca-Betreiber somit, längerfristig die Identitäts- und Zugangskontrollen samt Impf- oder Test-Nachweis aus einer Hand abzuwickeln. Die Culture4life GmbH hat sich im Register des Deutschen Patent- und Markenamts als Anbieter für zahlreiche Vorgänge neben Behördenarbeit und Gesundheitsmanagement samt Cloud-Speicherdiensten im Bereich Besuchermanagement und Einlasskontrolldienste registrieren lassen, unter anderem auch für Kultur- und Sportveranstaltungen, politische Veranstaltungen, Veranstaltungen für Bildungs- und Fortbildungszwecke sowie wissenschaftliche Tagungen.

"Obwohl Steuergelder großzügig eingesetzt werden, verbleiben Daten, App und Infrastruktur selbstverständlich in den Händen der privatwirtschaftlichen Betreiber", kritisierte der Chaos Computer Club bereits im April 2021.

In dieser Woche nun verkündeten die Luca-Betreiber das neue "Feature Luca Connect", mit dem "zielgenau im sicheren Austausch mit dem zuständigen Gesundheitsamt" persönliche Daten auch zur "priorisierten Kontaktnachverfolgung vulnerabler Gruppen" eingesetzt werden können. Die Mitteilung erfolgte vor dem Hintergrund der Gesundheitsministerkonferenz, bei der wiederum der Aufbau einer digitalen Meldeplattform ein wichtiges Thema war. Die Entwicklung der Technologie wurde vorausschauend im November begonnen, so dass die Firma Culture4Life jüngst verkünden konnte: "Mit dem neuen Feature Luca Connect stellt Luca diese Technologie ... bereits nächste Woche zur Verfügung."

Mehr zum Thema - Das Bundesinnenministerium untersagte die Überprüfung der Luca-App