Mit der Luca-App ist ein Tool zur digitalen Kontaktnachverfolgung entwickelt worden, das mittlerweile von vielen Bundesländern, darunter auch Bayern, lizenziert ist und unter anderem von Gastronomie und Kulturbetrieb genutzt wird. Doch Luca polarisiert: Neben Fürsprechern gibt es kritische Stimmen zu Sicherheit und Datenschutz der App.
Im Rahmen des bundesweiten Digitaltags 2021 brachte die bidt Werkstatt digital Vertreter unterschiedlicher Perspektiven zusammen. Es diskutierten Patrick Hennig (Gründer und CEO der neXenio GmbH (Entwickler der Luca-App)), Andreas Sachs (Technischer Referatsleiter des Landesamts für Datenschutzaufsicht), Dr. Ben Stock (Forschungsgruppenleiter am CISPA Helmholtz-Zentrum für Informationssicherheit) und Michael Will (Präsident des Landesamts für Datenschutzaufsicht). Moderiert wurde die Veranstaltung von Felix Freiling, Professor für Computer Science an der FAU Erlangen-Nürnberg und Direktoriumsmitglied des bidt.
Apps können auf unterschiedliche Weise einen Beitrag zur Bekämpfung der Pandemie leisten, betonte Felix Freiling in seinem Impulsvortrag. Im Wesentlichen gibt es dabei zwei Konzepte: das Proximity Tracing und das Contact Tracing. Die Corona-Warn-App basiert auf dem Konzept des Proximity Tracing und ermöglicht eine räumlich-zeitliche Abstandsmessung. Das Ziel der Luca-App hingegen ist das gezielte Nachverfolgen von Kontakten, das auf dem sogenannten Contact Tracing beruht und die Gesundheitsämter unterstützen soll. In der anschließenden Diskussion ging es um die Fragen, wie digitale Technologien dazu beitragen können, die Pandemie zu bekämpfen, und welche konkreten Risiken bei Datenschutz und Sicherheit bestehen.
Ausgewählte Zitate
1. Technische Sicherheit und Sicherheitskonzepte
Patrick Hennig: Klares Ziel der Luca-App war es, die Gesundheitsämter zu entlasten. Die App soll die Prozesse der Kontaktnachverfolgung digitalisieren, die Erfassung vereinfachen, die Qualität der Daten erhöhen und den Gesundheitsämtern dabei helfen, Infektionsketten schneller nachzuverfolgen.
Die zentrale Datenhaltung der Luca-App wird durch drei Schlüssel abgesichert. Seit April 2021 statten wir die Gesundheitsämter mit einem Zertifikat der Bundesdruckerei aus. Damit sind wir in der Lage zu verhindern, dass die Schlüssel kompromittiert werden.
Michael Will: Als Datenschutzaufsichtsbehörde sehen wir unsere Aufgabe darin, klare Anforderungen an den Datenschutz zu definieren und die Staatsregierung bei ihren Entscheidungen zu beraten. Wir zeigen, wo die Luca-App das Vertrauen rechtfertigt oder gegebenenfalls begründeter Anlass zu Skepsis besteht.
Andreas Sachs: Wir haben mit dem Quellcode der Luca-App das System nachgebaut, um die Funktionsweise zu validieren und Sicherheitsmängel zu entdecken. Die zentrale Fragestellung für uns war: Sind die gesetzlichen Anforderungen an den Datenschutz eingehalten? Das Verschlüsselungskonzept der Luca-App sorgt dafür, dass der Betreiber keinen Zugriff auf die Klardaten hat.
Ben Stock: Jedes komplexe System hat Schwachstellen und kann kompromittiert werden. Das gilt auch für die Luca-App. Die Gefahr dabei ist, dass nach aktuellem Stand die Sicherheit der Verschlüsselung davon abhängt, dass die Luca-Server nicht kompromittiert werden können.
2. Die öffentliche Diskussion um die Luca-App
Michael Will: Ich habe nicht verstanden, warum Luca auf so viel Ablehnung stößt. Aus unserer Sicht ging es um eine unparteiliche Beurteilung, ob und in welcher Form die gesetzlichen Anforderungen umgesetzt wurden.
Andreas Sachs: Für uns stellte sich nicht die Frage, ob wir Kontaktdaten brauchen, sondern nur, welche Schwachstellen es beim Zugriff auf die Daten gibt.
Patrick Hennig: Ich glaube, dass wir mit der App den eigentlichen Zweck erfüllt haben, nämlich die Anbindung der Gesundheitsämter. Am Ende konnten wir mit der Kontaktnachverfolgung durch Luca die Pandemie deutlich besser bekämpfen.
Ben Stock: Ist die Zweckbindung der Daten in Luca wirklich sichergestellt? Es werden zum Beispiel Daten aus dem Impfzertifikat genutzt, um Luca-Daten zu validieren.
3. Welchen Beitrag kann die Luca-App zur Pandemiebekämpfung leisten?
Michael Will: Wichtig ist aus meiner Sicht eine breite Akzeptanz der App. Die Nutzung ist komplett freiwillig, kein Restaurant darf Luca oder eine andere App zur Pflicht machen. Deshalb sind alle Beteiligten gut beraten, die Fragen auszuräumen und über Zweifel aufzuklären. Wir verstehen uns hier als neutraler Counterpart.
Andreas Sachs: Wir schauen uns Luca und andere Tools zur Kontaktdatenerfassung ganz genau an, um Lücken zu bewerten. Was mir dabei wichtig ist: Die Verantwortung trägt nicht der Betreiber allein. Auch alle anderen Akteure wie die Gastronomie und die Gesundheitsämter sollten sich ihrer Verantwortung bewusst werden.
Patrick Hennig: Wir tun gut daran, die Corona-Warn-App und die Luca-App nicht gegeneinander auszuspielen, sondern alles dafür zu tun, dass sie sinnvoll und sicher eingesetzt werden. Beide haben ihre Berechtigung und ihre Stärken.