Gemeinsam das Leben erleben“ – dies ist der Slogan der neuen Kontaktverfolgungs-App Luca, die zurzeit in aller Munde ist. Obwohl erste öffentliche Ankündigungen zur App und ihrer Idee schon in das Jahr 2020 zurückreichen, hat sie breite öffentliche Aufmerksamkeit erst seit wenigen Wochen erlangt. Das Gesicht der App ist der Rapper Smudo von den „Fantastischen Vier“, der zusätzlich zur Corona-Warn-App eine Alternative schaffen wollte, um nicht nur Konzerte und Veranstaltungen wieder sicher durchführen zu können, sondern auch Restaurants und Geschäfte nach dem monatelangen Lockdown wieder für Kundinnen und Kunden zugänglich zu machen.

Die hinter Luca steckende Idee ist auf den ersten Blick einleuchtend einfach: Nutzerinnen und Nutzer melden sich nach dem Download auf das Smartphone mit ihren persönlichen Daten an, und wenn man öffentliche Räume wie Kinos oder Restaurants aufsucht, registriert man sich mit einem QR-Code. Sollte dann im Nachgang festgestellt werden, dass sich eine mit dem Coronavirus infizierte Person zur selben Zeit an dem Ort aufhielt, erfolgt eine Benachrichtigung. Mit diesem Verfahren sollen die papierbasierten Gästelisten, die man vor allem seit Sommer vergangenen Jahres überall vorfinden kann, der Vergangenheit angehören. Das bedeutet auf den ersten Blick nicht nur Vorteile für den Datenschutz, sondern auch eine schnellere Kontaktverfolgung und letztlich eine deutliche Entlastung für die Gesundheitsämter. Nicht zuletzt schafft das Konzept von Luca damit eine dringend benötigte Öffnungsperspektive, die bislang so nicht bestand. Darüber hinaus können auch private Zusammenkünfte mit Luca dokumentiert werden.

Wenn die Idee mit der App aber so einfach und gut ist, warum haben wir sie dann noch nicht flächendeckend eingeführt? Die Gründe dafür sind gleichermaßen vielfältig wie komplex. Zwar hat das Land Mecklenburg-Vorpommern als Vorreiter mittlerweile eine Lizenz für Luca gekauft, gerade in den vergangenen Tagen aber wurde immer mehr Kritik nicht nur am Programm, sondern auch an den dahinterstehenden Entwicklern und selbst an Smudo laut. Kern der Debatte sind zwei Aspekte: Zum einen dürfte es nicht möglich sein, die Benutzung der App für alle verpflichtend zu machen, da nicht jede und jeder ein kompatibles Smartphone besitzt. Eine Argumentation also, wie sie in ähnlicher Form auch schon mit Blick auf die Corona-Warn-App im vergangenen Jahr geführt wurde. Zum anderen werden immer mehr Zweifel an der Sicherheit und am Datenschutz von Luca laut. So ist die im vergangenen Jahr gestartete Corona-Warn-App im Gegensatz zu Luca ein Open-Source-Projekt. Das bedeutet, dass theoretisch jeder den hinter der Benutzeroberfläche stehenden Quellcode öffentlich einsehen kann. Damit ist es auch möglich, eventuelle Schwachstellen zu erkennen. Die technische Funktionsweise der Luca-App hingegen war als kommerzielles Produkt bisher nicht frei einsehbar. Unter dem massiven öffentlichen Druck der vergangenen Tage soll sich das aber bis Ende März ändern.

Ein weiterer Knackpunkt um die aktuellen öffentlichen Debatten um Luca ist außerdem die Verarbeitung und Übermittlung der durch die App gespeicherten und generierten Daten. Das sind nicht nur Kontaktdaten wie Name, Anschrift, Telefonnummer und Mailadresse, sondern auch so genannte „Metadaten“, die zwar auf den ersten Blick nicht unbedingt persönlicher Natur sind, aber mit den anderen Daten kombiniert eben doch Rückschlüsse auf Persönlichkeitsprofile zulassen. Teils ist dies technisch auch notwendig, um eine effektive Kontaktverfolgung für die Gesundheitsämter zu ermöglichen. Gestritten wird jedoch vor allem darüber, ob zwingend alle von Luca erhobenen Daten benötigt werden, und ob die Daten sicher gespeichert sind. Zwar geben die Entwickler an, gängige Verschlüsselungsstandards und ein ausgeklügeltes Sicherheitskonzept zu verwenden, erste Analysen von Experten legten jedoch verschiedene Probleme offen, unter anderem die zentrale Datenspeicherung an einem Ort – das gegenteilige Konzept der Corona-Warn-App.

Dass zurzeit allein die Luca-App derart ins öffentliche Rampenlicht gerückt ist, dürfte vor allem die Folge ihrer prominenten Unterstützung aus der Kulturszene sein. Daneben gibt es aber noch eine ganze Reihe ähnlicher Apps, die sich unter dem Dach der Initiative „Wir für Digitalisierung“ zusammengefunden haben. Ob diese Programme sicherer oder besser sind, kann man gegenwärtig noch nicht beurteilen.

Die letzte – und vielleicht auch wichtigste – Frage ist nun natürlich: Soll ich die Luca-App auf meinem Smartphone installieren? Zumindest haben sich in der Vergangenheit die Datenschutzaufsichtsbehörden teils grundsätzlich positiv zur Luca-App geäußert. Zwar ist in den vergangenen Tagen auch einiges an Kritik laut geworden, es gilt aber wie immer: Wenn etwas im Rampenlicht der Öffentlichkeit steht, wird es zumeist auch näher geprüft. Und das muss nicht zwingend schlecht sein, sondern kann ganz im Gegenteil auch Verbesserungen anregen, wie es aktuell für Luca der Fall ist.

Vor dem Hintergrund von Datenklau und Datenschutz beleuchten sie im WESER-KURIER regelmäßig Themen der digitalen Welt. Der Weyher Dennis-Kenji Kipker ist unter anderem als Vorstandsmitglied bei der Europäischen Akademie für Informationsfreiheit tätig#, der Stuhrer Volljurist Sven Venzke-Caparese arbeitet als Prokurist und Justiziar bei dem Bremer Unternehmen Datenschutz Nord.