Datenschutzexperte über die Luca-App: „Haufenweise Sicherheitslücken“

Bei der Kontaktverfolgungs-App Luca werden immer mehr Probleme deutlich. Der Datenschutzexperte Malte Engeler beschreibt die App als Überwachungssystem.

Ein Mann mit Gesichtsmaske klebt auf einen Tisch in einem Café QR Codes

Auch in Cafés kommt die Luca-App zum Einsatz, wie hier am Timmendorfer Strand Foto: Christian Charisius/dpa

taz: Herr Engeler, was müsste passieren, damit Sie sich die Luca-App auf dem Smartphone installieren?

Malte Engeler: Ich glaube, man müsste mich schon unter Gewaltandrohung dazu zwingen.

So schlimm?

Ja, absolut. Es ist ein System, das an zentraler Stelle sehr sensible Informationen erfasst, nämlich wer sich wann wo und auf welcher Art von Veranstaltung aufgehalten hat. Das kann auch eine Betriebsratsversammlung sein oder ein Gottesdienst. Dazu kommen haufenweise Sicherheitslücken und Datenschutzverstöße. Aber abgesehen von diesen beiden Punkten – ich sehe überhaupt keinen Bedarf.

Das scheinen viele Nut­ze­r:in­nen anders zu sehen. Mitte April gab es mehr als 3 Millionen Downloads und auch von der alternativ zur App angebotenen Schlüsselanhängern sind mindestens mehrere Tausend im Umlauf.

Ich bezweifle, dass es tatsächlich einen Bedarf der Bevölkerung nach der Luca-App gibt. Es gibt einen Bedarf nach Wiedererlangung grundsätzlicher Freiheiten. Die Luca-App ist ein Symbol, ein Versprechen. Und das wird natürlich dankend angenommen.

37 Jahre alt, ist Rechtswissenschaftler und Richter am Schleswig-Holsteinischen Verwaltungs-gericht. Zuvor war er mehrere Jahre im Bereich der nationalen und europäischen Datenschutzaufsicht tätig.

Sie ist ja auch – bei allen Unzulänglichkeiten in Sachen Technik und Datenschutz – eine Lösungsidee für ein reales Problem: Bei der Zettelwirtschaft in Restaurants haben immer wieder Gäste falsche Daten angegeben und manche Be­trei­be­r:in­nen wenig Wert darauf gelegt, dass diese Zettel nicht in fremde Hände geraten.

Das stimmt, die Luca-App löst das Problem, dass wir unsere Daten auf Zettel schreiben müssen. Ich glaube aber nicht, dass es das Problem ist, das wir lösen müssen. Denn eigentlich sollte es darum gehen: Wie können wir möglichst viele Ansteckungen verhindern? Es geht also darum, Teilnehmende einer Veranstaltung zu warnen, bei der es einen Infektionsfall gab. Damit die nicht ihrerseits weitere Menschen anstecken. Und wenn man da eine technische Lösung will, ist zum Beispiel die Check-in-Funktion der Corona-Warn-App besser.

Wieso?

Zum einen, weil sie die Teilnehmenden einer Veranstaltung direkt warnt. Und nicht den Umweg über die Gesundheitsämter geht, was ja den Prozess verzögert. Und zum anderen, weil sie das auf sehr datensparsame Weise tut. Bei Luca werden sehr sensible Informationen an zentraler Stelle gespeichert. Das ist bei der Corona-Warn-App nicht der Fall.

Die Gesundheitsämter zu umgehen, könnte auch ein Nachteil sein. Wenn etwa Warnungen über die App weniger ernst genommen werden als via Gesundheitsamt.

Das ist eine Befürchtung, ja, aber das muss nicht so sein. Und wenn sich andererseits mehr Menschen von der datensparsamen Corona-Warn-App überzeugen lassen und sie nutzen, könnte sie unterm Strich sogar mehr Infektionsketten stoppen. Aber das ist alles viel Spekulation in dem Bereich, schließlich haben wir noch nicht einmal einen Anhaltspunkt dafür, dass Luca das Infektionsgeschehen überhaupt beeinflussen kann. Und es gibt ein weiteres Problem: Man muss davon ausgehen, dass mit dem Luca-System etwas geschaffen wird, das nach der Pandemie nicht einfach wieder verschwindet. Es gibt jetzt schon Geschäftsmodelle, die sich in den Werbematerialien von Luca finden, die nach der Pandemie bleiben werden.

Und zwar?

Beispielsweise als Impfnachweis oder als ein System, das künftig bei Großveranstaltungen zum Einsatz kommt.

Das klingt erst mal nicht so problematisch.

Man muss sich bewusst machen, dass es sich hier um ein Überwachungssystem handelt. Und die Erfahrung zeigt: Einmal geschaffene Überwachungssysteme werden nicht wieder abgeschafft. Sondern, selbst wenn ihr ursprünglicher Zweck eines Tages nicht mehr vorhanden sein sollte, für andere Zwecke verwendet.

Wie kommt es eigentlich, dass es damals bei der Corona-Warn-App eine breite Diskussion um Datenschutz und Vertrauen gab, die dazu führte, dass die App eine privatsphärefreundliche Open-Source-Anwendung wurde und jetzt kaufen staatliche Stellen reihenweise Luca-Lizenzen?

Ich glaube, die Corona-Warn-App war einfach ein kleiner Ausreißer. Auch ich habe damals gehofft, es wäre der Anfang von einem Umdenken, aber das war es nicht. Wahrscheinlich war bei der Corona-Warn-App der ausschlaggebende Punkt, dass Google und Apple …

also die Betreiber der beiden maßgeblichen Smartphone-Betriebssysteme …

… technisch auf das datensparsame, dezentrale Modell gesetzt haben. Die Politik war also gezwungen, sich für dieses Modell zu entscheiden. Mit Überzeugung hatte das anscheinend nichts zu tun.

Es gibt jetzt schon Läden und Restaurants, die sagen: Ohne Luca kommt ihr bei mir nicht rein.

Ja, und da wir in Deutschland Vertragsfreiheit haben, wird das zulässig sein. Der Weg dagegen kann aber Protest sein, den man diesen Läden oder Lokalen entsprechend kommuniziert.

Aber wie kann es sein, dass der Staat Bür­ge­r:in­nen über diesen Umweg quasi zwingt, eine nicht legal einsetzbare App zu suchen?

Das frage ich mich auch. Ich glaube, die Politik will einfach ein System, mit dem sie Hoffnung aussenden kann. Ob dieses System funktioniert, scheint vollkommen gleichgültig zu sein. Und es blendet einen wichtigen Aspekt aus: Wir haben aufgehört darüber zu reden, dass es auch eine Möglichkeit gibt, ohne diese Technologien auszukommen. Denn die sind ja nur Krücken, weil unsere Infektionszahlen viel zu hoch sind, um Infektionsketten noch manuell nachverfolgen zu können und es trotzdem den Wunsch nach Öffnungen gibt.

Müsste es da nicht eine staatliche Stelle geben, die sagt: „Stopp, so geht das nicht“?

Wir haben es hier auch mit einem Versagen der Datenschutzaufsichtsbehörden zu tun. Ein System, das technisch so eklatant schlecht ist wie die Luca-App, müsste von den Behörden von Beginn an entsprechend hart angegangen werden. Stattdessen machen nun ein Haufen Ehrenamtliche in ihrer Freizeit den Job, auf die Lücken hinzuweisen. Das kann nicht sein.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Die Coronapandemie geht um die Welt. Welche Regionen sind besonders betroffen? Wie ist die Lage in den Kliniken? Den Überblick mit Zahlen und Grafiken finden Sie hier.

▶ Alle Grafiken

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.