Was "luca" anders macht als die Corona-Warn-App

Stand:

Politiker und Künstler werben für die App "luca". Sie soll die Kontaktverfolgung erleichtern, für Besuche von Veranstaltungen, Gastronomie und nach privaten Treffen.

Das Wichtigste in Kürze:

  • Die Corona-Warn-App (CWA) der Bundesregierung kann Anwender über ein mögliches Infektionsrisiko informieren. Danach müssen sie selbst aktiv werden und sich zum Beispiel auf Covid-19 testen lassen. Sie arbeitet vollkommen ohne personenbezogene Daten.
  • Bei "luca" müssen Anwender einige Daten von sich angeben und die App aktiv nutzen, z.B. durch Erfassung ihres Aufenthaltsorts. Mit diesen Daten können Gesundheitsämter bei Bedarf Kontakt aufnehmen.
  • Personenbezogene Daten werden in der App gespeichert und sollen für Außenstehende nicht so leicht zu lesen sein wie Einträge auf Papier.
  • Vor allem seit Veröffentlichung eines Teils des Quellcodes gibt es Kritik an Sicherheit und Datenschutz bei "luca".
On

Neben der offiziellen Corona-Warn-App der Bundesregierung soll die App "luca" dabei helfen, gesellschaftliches Leben in der Pandemie wieder zu ermöglichen. Prominente und Politiker werben schon für sie. Was macht sie anders als die offizielle Corona-Warn-App (CWA) der Bundesregierung? Ein Überblick.

Worin unterscheiden sich die Corona-Warn-App (CWA) und "luca" in der Anwendung?

Die CWA arbeitet nach ihrer Installation mit eingeschaltetem Bluetooth selbstständig im Hintergrund. Anwender bleiben dabei anonym, kein Gesundheitsamt kann über die CWA mit ihnen Kontakt aufnehmen. Anders bei "luca": Luca bietet neben einer Kontaktnachverfolgung auch eine Art Kontaktdatenverwaltung. Hier werden neben persönlichen Daten auch Aufenthaltsorte gesammelt. Darüber hinaus können so in einem Infektionsfall auch die Gesundheitsämter, die "luca" an ihr System angebunden haben, die Kontaktpersonen informieren.

Die CWA kann über ein Infektionsrisiko informieren, falls infizierte Personen die App ebenfalls verwenden, stets ihr Bluetooth eingeschaltet hatten und ihr positives Testergebnis in der App eingetragen haben. Es gibt bestenfalls eine Information über ein Infektionsrisiko – damit müssen Anwender selbst aktiv werden und sich mit ihren Hausärzten oder Gesundheitsämtern in Verbindung setzen. Bei "luca" können Gesundheitsämter auf Kontaktdaten zugreifen und Anwender informieren.

Wer steckt hinter den Apps?

Die CWA ist die offizielle App der deutschen Bundesregierung, entwickelt von SAP und der Deutschen Telekom. Hinter "luca" steckt die Berliner culture4life GmbH und damit ein kommerzieller Anbieter. Außerdem sind Kulturschaffende wie die Band "Die Fantastischen Vier" beteiligt und die neXenio GmbH, die aus dem Hasso-Plattner-Institut der Universität Potsdam hervorgegangen ist.

Wie wird das Erstellen von Bewegungsprofilen verhindert?

Bei der Corona-Warn-App (CWA) können keine Bewegungsprofile einzelner Anwender erstellt werden, weil weder personenbezogene Daten noch Standorte erhoben werden. Das ist auch der Fall, wenn man der neu eingeführten "Datenspende" zustimmt.

Bei "luca" erklären die Betreiber, dass alle Daten auf Servern in Deutschland verschlüsselt gespeichert würden und ausschließlich Gesundheitsämter die Daten wieder entschlüsseln könnten. Somit sei es nicht möglich, dass Geschäftsleute oder die App-Anbieter auf persönliche Daten der Nutzer zugreifen könnten. Deshalb wäre auch beispielsweise das Nutzen der Daten zu Werbezwecken nicht möglich. Inzwischen ist der gesamte "luca"-Quellcode öffentlich. Die Datenschutzbeauftragten des Bundes und der Länder und auch andere Datenschutz- und Sicherheitsexperten kritisieren, dass sämtliche gesammelten Daten zentral gespeichert werden. Das könnte sie anfällig für Missbrauch machen. Insgesamt ist das Risiko angesichts des praktischen Nutzens der App trotz einiger berechtigter Kritikpunkte in der aktuellen Krise wohl vertretbar.

Wie funktioniert "luca"?

Die App-Entwickler wenden sich an verschiedene Nutzergruppen. Eine davon sind Verbraucher. Sie müssen nach Installation der App auf dem Smartphone einmalig ein Profil anlegen und Daten wie Namen und Telefonnummer eintragen. Damit wird ein sich minütlich ändernder QR-Code erstellt, der dem Endgerät (z.B. Smartphone) zugeordnet ist und mit dem das Einchecken bei Betreibern von beispielsweise Lokalen, Veranstaltungsstätten oder Geschäften möglich ist – vorausgesetzt, diese nutzen ebenfalls die "luca"-App. Dazu wird entweder vom jeweiligen Betreiber der generierte QR-Code eingescannt oder aber die Betreiber stellen selbst einen QR-Code ihres Ortes zur Verfügung, den die Verbraucher einscannen, um ihre Anwesenheit zu speichern. So wird erfasst, wer zu welchem Zeitpunkt bei ihnen war. Die Namen und Kontaktdaten der Scans können sie aber nach Angaben der App-Betreiber nicht sehen – ein Vorteil gegenüber Einträgen auf Papier. Die Betreiber der App erklären, dass Orte längstens 30 Tage gespeichert blieben.

Als weiteres Anwendungsbeispiel für "luca" werden auf der zugehörigen Internetseite private Treffen genannt. Und wer die App nicht installieren möchte oder kein Smartphone hat, könne über eine Web-Anwendung oder mit einem Schlüsselanhänger einchecken.

Welche Rolle spielen die Gesundheitsämter bei "luca"?

"luca" ist keine App der Gesundheitsämter oder anderer Behörden. Die Betreiber bieten aber an, ihre Anwendung an Systeme der Ämter anzubinden. Darin unterscheide sich "luca" von anderen vergleichbaren Apps auf dem Markt. Dann könnte es im Falle einer Corona-Infektion zum Beispiel so laufen: Das zuständige Gesundheitsamt tritt mit der infizierten Person in Kontakt, die freiwillig dem Gesundheitsamt die Liste der besuchten Orte freigibt. Dazu erhält sie eine Transaktionsnummer (TAN). Das Gesundheitsamt bittet die betroffenen Betreiber der besuchten Orte, die zeitlich relevanten Besuchereinträge freizugeben. Danach kann das Amt alle Kontaktpersonen informieren.

Politiker werben für "luca" – könnte sie zur Pflicht werden?

Eine Nutzungspflicht ist äußerst unwahrscheinlich, auch die staatliche Corona-Warn-App ist freiwillig. Aber es ist denkbar, dass sich Wirte oder Veranstalter auf ihr Hausrecht berufen und eine Nutzung der App verlangen. Die Coronaschutzverordnung des Landes NRW z.B. regelt, dass auch die Datenerfassung auf Papier möglich sein muss. Geschäftsleute mit "luca"-App können also allenfalls ihre Kunden bitten, die Daten darin erfassen zu dürfen.