Die LucaApp. Alter Wein in neuen Schläuchen?

Verfasst von Andreas Zimmer
app-6096162_1920.jpg

Ich gehöre ja zu denen, die mit den #Fanta4 aufgewachsen sind, obwohl mir persönlich #FettesBrot immer näher stand. Es waren die goldenen Jahre des Deutschen HipHops mit intellektuellen Flows und Skills, die heute kaum noch einen Platz in den Charts finden würden. Schade. Dieser Tage habe ich aber immer wieder das Pfeifen im Ohr zu „Ist es die da, die da, die da, die da, die? Ist es die da, die da, die da, oder die da? Ist es die da, die da, die da, die da, die? Oder die da?“ 

Und zwar immer dann, wenn ich #Smudo („Ich bin kein Sma…“ :-)) sehe. Er macht gerade wieder von sich Reden und unterstützt nach Kräften die #lucaApp, die vor wenigen Wochen mit einem Pilotprojekt in Jena das Licht der Welt erblickt hat. Eine bessere PR kann man sich für die digitale Kontaktdatenerfassung und überhaupt die Digitalisierung in der Corona-Zeit nicht wünschen.

Denn: bisher wurde und wird da viel händisch gemacht. Im Sommer, einige werden sich erinnern, dass da mal etwas AUF hatte, wurden die Rückseite der Rechnung, leere Zettel, selbstgebastelte Flyer usw. genutzt. 

Mittlerweile überlegt offenbar sogar die Bundesregierung, die #lucaApp in den Königsstand zu erheben. 

Wir haben uns das mal angeschaut, was die #lucaApp überhaupt kann, ob es Alternativen gibt und wie mit ihr die geltenden Rechtsordnungen umgesetzt werden.

Was ist luca?

Zunächst ist die #lucaApp eine sog. Native App (es gibt sie auch als WebApp, aber nur optimiert für Safari). Das heißt man findet sie in den gängigen AppStores von Google und IOS. Entwickelt wurde sie 2020 vom Berliner Unternehmen neXenio, einer Ausgründung des Hasso-Plattner-Instituts, und pilotiert in Jena. Die #Fanta 4 waren in die Entwicklung von Anfang an eingebunden und Smudo ist, nach Selbstauskunft, mittlerweile einer Art "Pressesprecher" für die Anwendung.

Was unterscheidet luca von anderen Anwendungen?

Es gibt bisher verschiedene Unternehmen, die digitale Kontakterfassung anbieten. Zu den größten gehören:

RECOVER https://www.recoverapp.de/

BARCOV https://barcov.id/de/

DISH GUEST https://www.dish.co/DE/de/tools/guest/

QRONITON https://qroniton.eu/

DARF ICH REIN https://darfichrein.de/

SPOTLAY https://www.spotlay.de/

CORONA-ANMELDUNG https://corona-anmeldung.de

Sie funktionieren im Grunde genommen alle ziemlich ähnlich. Ein vom gastgebenden oder besuchten Ort zur Verfügung gestellter QR-Code wird durch den Gast/Besucher*in eingescannt. Damit ist er/sie am Ort erfasst. Auf Aufforderung des örtlichen Gesundheitsamtes werden die dadurch erzeugten Listen zur Kontaktnachverfolgung zur Verfügung gestellt. Alle diese Anwendungen sind nach Eigenaussage DSGVO-konform.

Diese bereits bestehenden Anwendungen bilden schon heute die Erfordernisse der Corona-Verordnungen der verschiedenen Bundesländer ab und digitalisiert diese.

Die Macher*innen der #lucaApp gehen nun einen Schritt weiter. Es wird nicht ein bestehender Prozess digitalisiert, sondern ein komplett neuer Prozess aufgesetzt: 

Zunächst einmal funktioniert luca für den Nutzer sehr ähnlich. Es gibt ein App, die man sich als Nutzer*in herunterlädt sowie für Nicht-Handynutzer*innen einen Token, also im Endeffekt einen physischen Schlüsselanhänger, mit dem man sich identifizieren kann.

Der entscheidende Unterschied kommt im Falle einer Infektion zum Tragen. Das Gesundheitsamt kontaktiert daraufhin den/die Infizierte/n. Die-/Derjenige gibt in der #lucaApp seine/ihre Kontakte frei. Das Gesundheitsamt entschlüsselt die Historie und erhält Zugriff auf die besuchten Orte der/des Infizierten. Die Orte werden kontaktiert und aufgefordert, die zeitlich relevanten Kontakte ebenfalls freizugeben. Das Gesundheitsamt erhält nun eine Liste und kann die Kontaktnachverfolgung einleiten. Klingt für mich zunächst plausibel und nachvollziehbar.

In den FAQs der luca-Website wird das allerdings etwas anders geschildert. Dort steht: „Tritt ein Infektionsfall ein, werden alle Gäste dieser Location informiert, die sich zur betreffenden Uhrzeit dort aufgehalten haben. Parallel werden die Gesundheitsämter informiert, die dann automatisch Zugriff auf die Daten der übrigen Gäste haben.“ Also doch automatisch oder über das Gesundheitsamt? Was ist, wenn ich meine Daten dem Gesundheitsamt nicht freigebe über die App? Dazu finde ich spontan nichts.

Der wesentliche Unterschied ist also das Kontakttagebuch, das entsteht, wenn ALLE die #lucaApp nutzen. Denn das Ziel von luca ist es, wie Smudo in der Sendung von Anne Will am 28.02.2021 deutlich machte, dass die Anwendung alleiniger Standard neben der Corona-Warn-App der Bundesregierung wird, die mit ihrer Bluetooth Technologie ander einen anderen Ansatz verfolgt.

Das erlaubt dann eine automatisierte, lückenlose Kontaktnachverfolgung, ohne dass das örtliche Gesundheitsamt sich auf mein Gedächtnis verlassen muss. Selbstverständlich würde auf die Freiwilligkeit der Freischaltung meines Kontakttagebuchs oder die Verschlüsselung meiner persönlichen Daten wert gelegt.

Das implizite Versprechen dahinter: wenn alle ihre Daten etwas mehr freigeben als bisher, können Infektionscluster noch stärker eingegrenzt und eingedämmt werden. Und dann wäre es vielleicht sogar möglich, die Grenze von 35 bzw. 50 Neuinfektionen zu verlassen, die bisher immer als Maximum der zeitaufwändigen händischen Kontaktnachverfolgung galten. Ob das ein Versprechen oder eine Forderung ist, wird allerdings nicht deutlich.

Darum funktioniert das System auch nur, wenn das örtliche Gesundheitsamt auch angebunden ist. Das muss nicht zwangläufig über die Schnittstelle Sormas der Gesundheitsämter passieren, sondern kann auch über die sog. digitale Einreiseanmeldung (DEA) erfolgen. Bisher sind ca. 40 Gesundheitsämter angebunden, mit 150 würden Gespräche laufen.

Die Herangehensweise lässt mich aufmerken: während sich die bisherigen Anbieter solcher digitalen Kontakterfassungen am gültigen Rechtsrahmen abarbeiten, wird hier durch die Betreiber*in der #lucaApp einfach einer neuer definiert und die Bundes- und Landesregierungen aufgefordert, den bestehenden neu zu gestalten. Typisch Start-Up, denke ich.

Wie verhält sich die luca App zur gültigen Eindämmungsverordnungen?

Ich bin ja kein Jurist, aber hatte in den vergangenen Monaten viel mit der Eindämmungsverordnung beruflich zu tun. Um das prüfen zu können, habe ich mir die App schnell mal installiert. Mit knapp 3,4 MB ist sie recht klein und schnell installiert. Edel kommt sie daher. Mit weißer Schrift auf schwarzem Grund. Das Versprechen lautet: „Du musst dir keine Sorgen um deine Daten mehr machen, wenn du Veranstaltungen, Kulturstätten, Restaurants, Cafés oder Bars besuchst.“ Das finde ich gut. Schnell noch die AGBs und die Datenschutzerklärung angeklickt….

Doch halt, da war doch was. Die Datenschutzerklärung schaue ich mir mal genauer an. „Wir können folgende Daten über Sie verarbeiten, welche u.a. notwendig sind um eine Nachverfolgung nach der Corona/COVID-19 Infektionsschutzverordnung benötigt werden“, steht in Absatz D, gefolgt von einer Aufzählung der Daten: Name, Anschrift, E-Mail-Adresse, Name des Gastronomen/Veranstalters, Datum, Beginn und Ende des Aufenthaltes, Geokoordinaten des Aufenthalts, Notizen, die man in der Tagebucheintragung eingetragen hat u.a.m.

Ich beginne zu grübeln: welche Infektionsschutzverordnung ist denn gemeint? Auf Bundesebene gibt es nur das Infektionsschutzgesetz. Da steht aber nichts von Kontaktdatenerhebung. Bleiben nur die der Länder.

Brandenburg weiß ich auswendig: Name, Mailadresse ODER Telefonnummer, wobei sich der Gast aussuchen können muss, was er einträgt. Das war´s. Mehr erlaubt unsere Landesdatenschutzbeauftragte nicht. Sparsame Erfassung von personenbezogenen Daten nennt sich das. Nicht zu viel, sondern gerade genug, um zu wissen, wie man die-/denjenige/n erreichen kann. Klar sind hier Tür und Tor auf für Manipulationen und Falschangaben. Deshalb steht in der Eindämmungsverordnung auch: Plausibilitätscheck durch den erfassenden Betrieb/Ort sowie Herausgabe nur auf Verlangen, dazu aber später mehr.

Ich checke kursorisch andere Bundesländern. Nordrhein-Westfalen: Name, Adresse, Telefonnummer und ggf. Sitzplan. Thüringen: finde nichts über die Art der Erfassung, sondern nur, dass erfasst wird. Sachsen: Name, Telefonnummer ODER Mailadresse und Postleitzahl plus zusätzliche Möglichkeit der analogen Erfassung sowie barrierefreie Erfassung. Sachsen-Anhalt: Name, vollständige Anschrift, Telefonnummer. Mecklenburg-Vorpommern: Name, Anschrift, Telefonnummer. Bayern: Name, Telefonnummer, Mailadresse ODER Anschrift.

Wer hätte das gedacht. Föderalismus auch hier. Alles ähnlich, aber nicht gleich. Unter dem Strich heißt das aber auch: luca erfasst mehr Daten von mir, als man für die Kontaktnachverfolgung in meinem Bundesland braucht. Ist das schlimm? Für mich als Nutzer erstmal nicht, denn ich willige ja ein, obwohl die genannte Rechtsgrundlage nicht existiert. Ich könnte mir aber vorstellen, dass es für den Gastronomen/Veranstaltungsstätte problematisch werden könnte, da das Zuviel an Datenerfassung möglicherweise eine Ordnungswidrigkeit darstellt. Und: die Daten werden 30 Tage aufbewahrt, bevor sie gelöscht werden. Die Verordnungen sehen meist 28 Tage vor.

Ich klicke aber einfach mal weiter. Als Nächstes gibt mir luca die Sicherheit: „Deine Daten werden verschlüsselt. Nur Gesundheitsämter können sie wieder entschlüsseln.“ Als Verbraucher finde ich das gut. Habe ich VERSTANDEN und klicke auf selbigen Button.

Jetzt mein Name und Vorname und weiter geht´s: Telefonnummer und dann optional Mailadresse (problematisch, zumindest in Brandenburg). Meine Nummer muss ich erstmal verifizieren und erhalte per SMS eine TAN, die ich eingeben muss, bevor ich fortfahren kann.

Erledigt und nach zwei Minuten Wartezeit liegt diese vor. Danach soll ich meine Adresse eingeben: „Gastgeber:innen müssen im Rahmen der Kontaktdatenerfassung in der Regel auch deine Adresse aufnehmen. Deshalb ist die Angabe der Adresse für die Nutzung von luca verpflichtend.“ Das stimmt schonmal zumindest in Brandenburg, Sachsen und Bayern (teilweise) nicht. Egal, ich will ja weiterkommen und gebe ein. Einmal auf WEITER und ich habs geschafft. Ich bin drin. „Das war´s schon!“ Jetzt könnte ich mich bei luca-Standorten einchecken, sagt mir die App. Welche das sind, sagt sie mir nicht. Als letztes Bild sehe ich einen persönlichen QR-Code, der meine Daten verschlüsselt anzeigt. Dieser kann nun an einem „luca-Standort“ gescannt werden oder ich kann selbst scannen.

Ingesamt kann ich leider der Anwendung zurzeit innerhalb der bestehenden Verordnung (Stand 07.03.2021) datenschutzrechtlich kein grünes Licht geben. Hier bedürfte es einer dringenden Nachbesserung, entweder von Seiten des Verordnungsgebers/geberin oder von luca. 

Wie ist die Anwendbarkeit für registrierungspflichtige Unternehmen zur Zeit?

Aber heute geht es ja nicht nur um die Gästesicht, sondern auch um die Sicht der Location. Denn ich bin ja für Tourismus in Brandenburg mit verantwortlich und probiere jetzt mal aus, wie das Gastgewerbe oder Kultureinrichtungen sich registrieren können. Zurück also zu www.luca-app.de Hier gibt’s weitere Informationen für Gäste, Betreiber und das Gesundheitsamt. Kann ich mich als Betrieb anmelden? Auf der Startseite kann man testen, ob luca bei mir verfügbar ist. 14482. „Leider ist luca bei dir noch nicht verfügbar. Gern informieren wir dich, sobald luca von deinem Gesundheitsamt unterstützt wird.“ 19322 Wittenberge. Geht nicht. 03042 Cottbus. Geht nicht. 15230 Frankfurt/Oder. Geht auch nicht.

Und nun? Ich habe eine App als Kunde, aber es gibt niemanden, der sie akzeptiert. Ich will unsere Firma registrieren, aber mein Gesundheitsamt ist nicht angeschlossen. Mmmhhh?? Was soll ich damit? Mich beschleicht das Gefühl, dass hier zunächst nur Nutzer:innen gesammelt werden, um mit der Menge an Nutzer:innen Einfluss zu nehmen. Jedenfalls kann ich jetzt gerade nichts damit anfangen.

Gesamtfazit

"Soll ich´s wirklich machen oder lass ich´s lieber sein", sangen Fettes Brot 1996, und das bleibt auch für mich die Gretchenfrage

PRO

  1. Ich mag Smudo.

  2. Die App ist wirklich schön designt und ganz einfach zu bedienen. Sie fühlt sich gut an.

  3. Man versteht recht schnell, was das System kann und wie es funktioniert.

  4. Die Anbindung der Gesundheitsämter ist ein technologischer Fortschritt und erleichtert die Kontaktnachverfolgung.

CONTRA

  1. Sie lässt sich nicht an Länderverordnungen anpassen.

  2. Die Anwendung erfasst zu viele personenbezogene Daten.

  3. Die Daten werden zu lange aufbewahrt.

  4. Sie funktioniert nur richtig gut, wenn das örtliche Gesundheitsamt mitmacht.

  5. Ich muss eine App installieren. Die Erstnutzung wird damit leicht erschwert.

  6. Ich finde keine Angaben zu Dingen wie „Auftragsdatenverarbeitung“ o.ä.

  7. Es wird die – zumindest geltende Verordnung in Brandenburg – nicht umgesetzt, denn diese fordert u.a. einen Plausibilitätscheck der Daten der eingecheckten Personen, was aufgrund der Verschlüsselung nicht möglich ist.

  8. Ich muss als Nutzer der Herausgabe der Daten zustimmen (jedenfalls in einer Erklärung der Seite, in den FAQs steht es ja anders). Diesen Fall sehen die Verordnungen zurzeit nicht vor.

  9. Die Erfahrungen aus der Corona-Warn-App lassen mich an dem Ziel zweifeln, dass alle erreicht werden können. Das sieht auch die neue Initiative "Wir für Digitalisierung" so (wenn auch nicht ganz uneigennützig).

Es gibt also noch einiges zu tun, bevor das bundesweit eingesetzt werden kann. Entweder harmonisiert man die Verordnungen in dem Punkt und ändert diese so ab, dass sie zur #lucaApp passen. Damit benachteiligt man aber andere Marktteilnehmer, die einige Funktionen der #lucaApp garnicht anbieten, da diese zurzeit ja auch nicht gesetzlich verlangt werden. Wie man hört, sind diese aber auch im Hintergrund dabei, ihre Systeme an die Gesundheitsämter anzuschließen. Oder man flexibilisiert die #lucaApp, aber dann gibt es nicht nur eine, sondern je nach Bundesland bis zu 16. man könnte auch die #lucaApp als Open Source der Allgemeinheit zur Verfügung stellen. Sicherlich gibt es auch noch andere Szenarien.

Was mich aber persönlich etwas stört, ist die Absolutheit, mit der die neue Anwendung angepriesen wird. Einem privatwirtschaftlichen Unternehmen nur aufgrund eines Versprechens, auch wenn es eins von Smudo ist, eine solche Marktmacht zu geben, indem die Anwendung monopolisiert wird, löst bei mir ein Fremdheitsgefühl aus. Andererseits will natürlich auch ich, dass die Corona-Pandemie best- und schnellstmöglich eingedämmt wird.

Prognosen sind schwierig, insbesondere wenn sie die Zukunft betreffen, deshalb abschließend meine Tipps für die Gegenwart

 Wenn Sie sich für digitale Kontaktnachverfolgung interessieren, dann nehmen Sie sich bitte folgende Prüffragen mit:

  • Gibt es laufende Kosten? Bzw. wer trägt die Kosten auch dauerhaft?

  • Ist der Service verlässlich und dauerhaft verfügbar? Sie haben schließlich nichts davon, wenn Sie sich für einen Anbieter entscheiden, der seinen Service bald wieder einstellt, weil sich doch kein Geld damit verdienen lässt.

  • Ist der Service so flexibel, dass er an laufend sich ändernde Rechtsordnungen angepaßt werden kann, die sich auch noch regional unterscheiden können?

  • Wer ist der Betreiber/die Betreiberin?

  • Möchte ich eine App, eine Desktoplösung, eine PWA (Progressive Web App)? Kann man Besucher auch „händisch“ nachtragen für den Fall, dass jemand kein Handy dabei hat?

  • Wo steht der Server? Optimalerweise ist das in der EU.

In diesem Sinne: es gibt zur Zeit mehr als eine, nämlich "dieda, dieda oder die".

Andreas Zimmer
Zurück

Hinaus aufs Land?

Weiter

Gedanken zum Tourismus nach Corona