Zum Hauptinhalt springen
08.03.2021

Luca-App – Nutzen, technische und rechtliche Aspekte

Anlass

Seit knapp zwei Wochen ist die Luca-App [I] zur schnelleren und effizienteren Kontaktnachverfolgung in aller Munde. Durch die Pandemie gebeutelte Branchen wie Kultur und Gastronomie erhoffen sich viel von der App, die endlich Öffnungen und Lockerungen ermöglichen soll. Die ersten Bundesländer wollen die App schon flächendeckend einsetzen, nun wird aber auch die bundeseinheitliche Nutzung diskutiert.

Die App funktioniert so: Normale Nutzerinnen und Nutzer, die Luca als Gast nutzen möchten, tragen ihre Kontaktdaten in die App ein. Betreiberinnen und Betreiber von Restaurants, Geschäften und anderen Lokalitäten tragen ihre Adresse in die App ein. Gäste scannen beim Betreten der entsprechenden Örtlichkeit einen QR-Code, oder ihr QR-Code wird gescannt und checken so ein. Beim Verlassen der Lokalität können sie manuell auschecken oder – wenn die Option aktiviert ist – automatisch ausgecheckt werden, sobald sie sich eine gewisse Distanz vom Ort entfernt haben. Die Check-in-Datensätze liegen dann beim Gastgeber. Dieser kann sie laut Hersteller aber nicht entschlüsseln und so nicht auf die persönlichen Daten der Gäste zugreifen. Die Daten werden laut Selbstbeschreibung der App auf deutschen Servern verschlüsselt gespeichert und nach 30 Tagen gelöscht. Sollte es in einem Betrieb eine gemeldete SARS-CoV-2-Infektion geben, können die Betreiberinnen und Betreiber die Check-in-Datensätze an das Gesundheitsamt übermitteln. Das kann die Datensätze dann entschlüsseln und die betroffenen Nutzerinnen und Nutzer mit den angegebenen Daten schnell kontaktieren.

Nutzerinnen und Nutzer können bei einer eigenen Infektion auch die Daten aus der Luca-App an die Gesundheitsämter übermitteln, sodass die Ämter sehen können, in welchen Geschäften oder anderen Läden die Person war, die entsprechenden Lokalitäten informieren und gegebenenfalls deren Datensätze anfragen. Luca soll also einen Beitrag zur schnelleren und lückenloseren Kontaktverfolgung, dem Contact Tracing, leisten.

Trotz des momentanen Hypes sind noch einige weiterführende Fragen zu der App offen. Wie sieht es rechtlich aus, wenn Lokalitäten die Nutzung der App verpflichtend machen wollen? Gibt es datenschutzrechtliche Bedenken? Solche Datensätze wecken oft auch Begehrlichkeiten von anderer Seite, sei es bei Kriminellen oder Strafverfolgungsbehörden – wie zum Beispiel in Singapur, wo die Polizei entgegen anfänglicher Ankündigungen mittlerweile auch auf die Daten aus der TraceTogether App zugreifen darf [II], oder auch hier in Deutschland, wo beispielsweise die Polizei in Bayern Kontaktdaten von Gästelisten auch bei den Ermittlungen zu Kleinverbrechen benutzt hat [III].

Und wie ist die App aus technischer Perspektive zu beurteilen? Da Luca nicht Open Source ist, der Code also nicht für jedermann einsehbar, ist es für unabhängige Stellen schwer, die Sicherheit der App zu beurteilen – die Betreibenden geben auf der Homepage der App aber Kooperationen mit renommierten Institutionen aus dem Bereich der IT-Sicherheit an. Zuletzt stellt sich die wichtige Frage nach der Nützlichkeit der App für Gesundheitsämter, und inwiefern die anfallenden Daten schnell und effektiv genutzt werden können.

Aus diesem Grund haben wir Expertinnen und Experten aus diesen Bereichen angefragt, um Einschätzungen aus rechtlicher und technischer Perspektive sowie mit Blick auf die Anwendung der App in Gesundheitsämtern zu liefern.

Übersicht

     

  • Dr. Dennis-Kenji Kipker, Wissenschaftlicher Geschäftsführer, Institut für Informationsrecht (IGMR), Universität Bremen
  •  

  • Prof. Dr. Anne Riechert, Professorin für Datenschutzrecht und Recht in der Informationsverarbeitung, Frankfurt University of Applied Sciences
  •  

  • Prof. Dr. Tibor Jager, Professor für IT-Sicherheit und Kryptographie, Bergische Universität Wuppertal
  •  

  • Dr. Thilo Weichert, Mitglied des „Netzwerks Datenschutzexpertise“ und früherer langjähriger Datenschutzbeauftragter von Schleswig-Holstein
  •  

  • Prof. Dr. Maximiliane Wilkesmann, Professorin für Arbeits- und Organisationssoziologie, Fakultät Sozialwissenschaften, Technische Universität Dortmund
  •  

  • Prof. Dr. Uwe Wilkesmann, Professor für Organisationsforschung und Weiterbildungsmanagement und Direktor des Zentrums für HochschulBildung, Technische Universität Dortmund
  •  

  • Dr. Ute Teichert, Direktorin der Akademie für Öffentliches Gesundheitswesen, Düsseldorf und Vorsitzende des Bundesverbandes der Ärztinnen und Ärzte des Öffentlichen Gesundheitsdienstes e.V.
  •  

  • Prof. Dr. Gérard Krause, Leiter der Abteilung Epidemiologie, Helmholtz-Zentrum für Infektionsforschung (HZI), Braunschweig
  •  

Statements

Dr. Dennis-Kenji Kipker

Wissenschaftlicher Geschäftsführer, Institut für Informationsrecht (IGMR), Universität Bremen

Zur Frage, inwiefern es für Geschäfte juristisch möglich wäre, die Nutzung der Luca-App für Kunden verpflichtend zu machen:
„Anknüpfungspunkt sind hier die Corona-Schutzverordnungen der Länder, die die Regelungen zur Kontaktverfolgung in privaten Betrieben enthalten und deshalb angepasst werden müssten. Zahlreiche dieser Verordnungen enthalten entweder keinen Hinweis auf eine elektronische Datenerfassung, oder sehen die elektronische Datenerfassung nur als zusätzliches Mittel zu den ‚Pen and Paper‘-Methoden (die Angabe von Name und Adresse auf Papier; Anm. d. Red.) vor. Insoweit besteht nur ein geringer Anreiz für Geschäfte oder Restaurants, nach gegenwärtiger Rechtslage die App-Nutzung verpflichtend zu machen. Es hat aber bereits politisch erste Ankündigungen gegeben, die Corona-Verordnungen entsprechend anzupassen. Die Betreiber von Gaststätten und Gewerbe stehen datenschutzrechtlich selbst jedoch erst einmal grundsätzlich außen vor, da sie, anders als bei papierbasierten Verfahren, keinen Zugriff auf die personenbezogenen Daten in Luca erhalten. Hier ist allein der Nutzungsvertrag des Benutzers mit Luca ausschlaggebend, der auch die Rechtsgrundlagen zur Datenverarbeitung enthält. Eine generelle Pflicht zur Nutzung der App halte ich daher aus folgenden Gründen für schwierig:“

„Nicht alle Personen verfügen über ein kompatibles Smartphone – einige Personen könnten bei einer Verpflichtung somit bestimmte Einrichtungen nicht mehr aufsuchen.“

„Zwar beruft Luca sich nicht auf die freiwillige Einwilligung als Rechtsgrundlage zur Datenverarbeitung, wohl aber zur Erfüllung eines privatrechtlichen Vertrages mit dem App-Betreiber – hier einen allgemeinen Kontrahierungszwang (die gesetzliche Pflicht, ein Vertragsangebot anzunehmen; Anm. d. Red.) zu bestimmen, halte ich nicht für vertretbar.“

„Wie bereits erwähnt verarbeiten außerdem nicht die Restaurants oder Geschäfte die Daten der Gäste und Kunden, sondern Luca selbst. Hier wird ohne konkrete gesetzliche Pflicht das Interesse vermutlich eher gering sein, dem Kunden die Installation der App aufzwingen wollen – und selbst wenn dem so wäre, könnte man beispielsweise eine alternative Gaststätte aufsuchen, wo das nicht der Fall ist.“

„Daher wird Luca vermutlich eher ein Zusatzangebot zu ‚Pen and Paper‘ in der Kontaktverfolgung bleiben.“

„Die bisherige Eintragung in Listen und die Verwendung von Luca sind zwei verschiedene Dinge: Die Eintragung in die Listen ist schon seit Langem geltende Rechtspflicht, die Nutzung von Luca hingegen nicht, und wird meiner Meinung nach aus oben genannten Gründen auch nicht zur Rechtspflicht werden können. Mit Blick auf die Diskriminierung von Personen stellen sich dieselben Probleme, die auch schon letztes Jahr für die Corona-Warn-App diskutiert wurden, da nicht alle ein Smartphone haben und auch nicht haben müssen. Das ist auch einer der Gründe, warum keine Pflicht zur Nutzung der Corona-Warn-App besteht.“

Zur Frage nach dem Datenschutz bei der Luca-App:
„Auch wenn das Thema Datenschutz im Zusammenhang mit allen Corona-Apps immer wieder gerne aufgegriffen wird, halte ich dieses für den konkreten Fall erst einmal unproblematisch, und das aus folgenden Gründen:“

„Luca legt eine umfassende Datenschutzerklärung vor, die auch öffentlich ohne Installation einsehbar ist.“

„Die Daten werden nach Auskunft des Betreibers verschlüsselt gespeichert und wohl auch in der EU beziehungsweise in Deutschland verarbeitet.“

„Es werden, soweit ersichtlich, nicht inflationär Daten auf Vorrat erhoben.“

„Nicht zuletzt steht Luca im Rampenlicht der Öffentlichkeit und kann es sich deshalb nicht leisten, durch einen schlecht gestalteten Datenschutz aufzufallen.“

„Einzig und allein könnte man kritisieren, dass Luca nicht Open Source ist. Aber ein Großteil der Programme ist das nicht, und daraus kann man keinen pauschalen Vorwurf fehlenden Datenschutzes machen.“

Zur Frage, inwiefern es wahrscheinlich ist, dass andere Behörden wie Strafverfolgungsbehörden auch auf die gesammelten Daten aus der Luca-App zugreifen wollen und was die Rechtsgrundlage dafür wäre:
„Man sagt mit Blick auf staatliche Datenverarbeitung immer so schön: ‚Wo ein Trog ist, da sammeln sich auch die Schweine.‘ Ich halte es deshalb nicht für ausgeschlossen, dass Daten, die eigentlich zur Kontaktverfolgung bestimmt sind, auch für andere Zwecke allgemeiner staatlicher Sicherheit genutzt werden. Schon für die ‚klassischen‘ Kontaktlisten ist im Sommer vergangenen Jahres bekannt geworden, dass unter anderem die bayerische Polizei die Corona-Kontaktdaten auch für nicht damit im Zusammenhang stehende Ermittlungsarbeiten genutzt hat. Genaue Auskünfte für Rechtsgrundlagen gab es seinerzeit nicht. Natürlich ist es Ermittlungsbehörden, beispielsweise gestützt auf Generalklauseln im Gefahrenabwehrrecht oder aus strafprozessualen Gründen, nicht völlig unmöglich, auf derlei Datenbestände zuzugreifen. Die Frage, die sich hier aber stellt, ist eine andere: Wenn wir eine möglichst effektive Pandemiebekämpfung wollen, und das Ziel haben, dass sich die Leute bestenfalls freiwillig auf angebotene technische Lösungen einlassen, müssen wir auch Anreize dafür schaffen. Und alles andere als ein Anreiz dürfte es wohl sein, dass personenbezogene Daten im Anschluss zur Profilbildung jenseits der Corona-Kontaktverfolgung genutzt werden.“

Prof. Dr. Anne Riechert

Professorin für Datenschutzrecht und Recht in der Informationsverarbeitung, Frankfurt University of Applied Sciences

Zur Frage, inwiefern es für Geschäfte juristisch möglich wäre, die Nutzung der Luca-App für Kunden verpflichtend zu machen:
„Zu unterscheiden sind zwei verschiedene Szenarien. Soll die Nutzung einer App zum Schutz vor Gesundheitsgefahren verpflichtend eingeführt werden, liegt ein Eingriff in das informationelle Selbstbestimmungsrecht vor, sodass dies einer gesetzlichen Grundlage bedarf, aus der sich die Voraussetzungen und der Umfang der Beschränkungen klar für die Bürgerinnen und Bürger ergeben – zum Beispiel auch mit Blick auf die Dauer und sinkende Infektionszahlen. Der Gesetzgeber müsste dabei die Verhältnismäßigkeit wahren und Maßnahmen zur Wahrung der Grundrechte und Grundfreiheiten der betroffenen Person treffen. Dies umfasst unter anderem auch, dass eine Überwachung sowie Kontrolle der Bürgerinnen und Bürger ausgeschlossen ist, was durch eine dezentrale und verschlüsselte Speicherung von Kontaktdaten auf dem eigenen Mobiltelefon unterstützt werden kann.“

„Soll hingegen ein Geschäft, Museum oder ähnliches für den Publikumsverkehr geöffnet werden, sind derzeit die in den Bundesländern geltenden Verordnungen und Stufenpläne zur Kontakterfassung im Zusammenhang mit Corona zu beachten: Die Nutzung einer App kann einen Geschäftsinhaber grundsätzlich nicht von bestehenden Dokumentationspflichten zur Kontaktnachverfolgung entbinden und wäre aufgrund ihrer Freiwilligkeit kein geeignetes Mittel, um etwaige Rechtspflichten zu erfüllen (siehe hierzu auch den folgenden Absatz).“

Zur Frage, welche Probleme mit einer Verpflichtung zur Nutzung einer solchen App verbunden wären:
„Derzeit gibt es kein Gesetz zur verpflichtenden Nutzung einer App. Die Nutzerinnen und Nutzer der App müssen also einwilligen, bevor ein Zugriff auf die Daten erfolgt und sie teilen ihre Daten damit freiwillig. Es darf aber auch kein faktischer Zwang entstehen, eine App zu installieren oder zu nutzen. Dies gilt sowohl bei Restaurantbesuchen als auch im Beschäftigungsverhältnis. Daher kann (wie oben dargestellt) die Einführung einer App einen Geschäftsinhaber ebenfalls nicht von etwaigen Rechtspflichten entbinden, die Kontaktnachverfolgung zu dokumentieren und sicherzustellen. Um dies in der Praxis sicherzustellen, könnte eine Abwägung dahingehend erfolgen, ob eine Sanktionsmöglichkeit für den Fall in Betracht kommen kann, dass Personen benachteiligt werden, die keine App zur Kontaktnachverfolgung installiert haben. Grundsätzlich gilt: Gemäß Artikel 1 Absatz 2 DSGVO [1] schützt die Datenschutzgrundverordnung die Grundrechte und Grundfreiheiten natürlicher Personen. Daher ist bei einer Datenverarbeitung auch zu prüfen, ob das Recht auf Nichtdiskriminierung betroffen sein könnte.“

Zur Frage nach dem Datenschutz bei der Luca-App:
„Der Landesbeauftragte für Datenschutz und Informationsfreiheit von Baden-Württemberg hat die App technisch und rechtlich geprüft und ihr einen hohen Datenschutz-Standard bescheinigt [2].“

Zur Frage, inwiefern es wahrscheinlich ist, dass andere Behörden wie Strafverfolgungsbehörden auch auf die gesammelten Daten aus der Luca-App zugreifen wollen und was die Rechtsgrundlage dafür wäre:
„Eine Strafverfolgungsbehörde hat sich in der Vergangenheit die Kontaktliste eines Restaurants zu Beweiszwecken aushändigen lassen [3]. Mit Blick auf digitale Informationen, die etwa auf einem Mobiltelefon gespeichert sind, soll die Sicherstellung gemäß § 94 Absatz 1 StPO [4] gestattet sein [5]. Bei einer installierten App müssten die Kontaktdaten allerdings zunächst entschlüsselt werden. Grundsätzlich ist in diesem Zusammenhang zu beachten, dass dezentral auf einem Mobiltelefon gespeicherte Kontaktdaten, die der Nachverfolgung von Infektionsrisiken dienen, nicht dem Fernmeldegeheimnis unterliegen und keine Gesundheitsdaten darstellen. Beschlagnahme- und Verwertungsverbote könnten daher ausdrücklich gesetzlich geregelt werden.“

Prof. Dr. Tibor Jager

Professor für IT-Sicherheit und Kryptographie, Bergische Universität Wuppertal

„Ob und inwiefern die Luca-App ihre Versprechen erfüllt, kann man von außen zu diesem Zeitpunkt leider nicht einschätzen. Die Entwickler der Luca-App haben bislang weder eine genaue technische Systembeschreibung noch Quellcode oder andere Details vorgelegt.“

Zur Frage, wie Sicherheit und Transparenz der App zu beurteilen ist:
„Eine Lehre aus der Diskussion um die Corona-Warn-App war ja, dass Transparenz eine Grundvoraussetzung dafür ist, das Vertrauen der Nutzer zu gewinnen – ganz besonders wenn es um die Erfassung sensibler Daten geht. Daher ist es wichtig, dass eine unabhängige Überprüfbarkeit durch Dritte ermöglicht wird. Dafür müssen Quellcodes und eine vollständige technische Systembeschreibung veröffentlicht werden.“

„Bei der Luca-App ist das noch nicht der Fall. Daher kann man von außen gesehen auch noch nicht beurteilen, ob und wie gut das versprochene Prinzip ‚Privacy by Design‘ tatsächlich umgesetzt ist. Ich will aber betonen, dass ich zu diesem Zeitpunkt keine Andeutungen machen kann und will, ob dies nun der Fall ist oder nicht.“

„Da sich die App schon seit längerer Zeit in Entwicklung befindet und ja von Anfang an für die Erfassung sensibler Daten gedacht war, ist es allerdings schon ein Versäumnis, dass Transparenz nicht von vorneherein mitbedacht wurde.“

„Es ist im Übrigen auch sehr schwer, Sicherheitslücken in einem System zu finden, das man selbst entworfen und entwickelt hat. Das ist ein weiterer Grund, warum die Veröffentlichung von Quellcodes und weiterer Systemdokumentation sinnvoll ist, um eine unabhängige Überprüfung zu ermöglichen.“

Zur Frage, ob eine App zur Cluster-Erkennung und Nachverfolgung von Kontakten auch dezentral hätte funktionieren können:
„Ja, zum Beispiel die Schweizer NotifyMe App [6] schlägt dafür einen konkreten Ansatz vor. Diese App adressiert im Kern das gleiche Problem wie die Luca-App.“

„Hier wäre eine internationale Kooperation vielleicht sinnvoller gewesen als das Rad in mehreren Ländern parallel neu zu erfinden. Durch Zusammenarbeit und Bündelung von Ressourcen und Fachwissen würde man vermutlich schneller zur bestmöglichen Lösung kommen. Die Anforderungen an eine solche App sind in der Schweiz oder anderen Ländern ja nicht grundsätzlich anders als in Deutschland.“

Zur Frage, inwiefern sich durch Zusammenführung der durch die App gespeicherten Daten mit anderen Daten Bedenken für die Privatsphäre ergeben könnten:
„Die Kernfrage hierbei ist immer: Wo und wie genau werden die Daten gespeichert?“

„Einfach zu sagen ‚die Daten sind verschlüsselt‘ genügt nicht, denn irgendwer muss ja auch den Schlüssel haben. Hier gibt es viele Möglichkeiten, wie man das umsetzen kann. Man kann einen guten Schutz der Daten erreichen. Aber wenn man es falsch macht, dann kann es sein, dass der Schutz, auf den sich die Nutzer verlassen, nicht erreicht wird.“

„Um dies unabhängig bewerten zu können, ist eine transparente öffentliche Beschreibung der App und ihrer Systemumgebung essenziell.“

„Eine Funktionalität wie die der Luca-App hätte meines Erachtens schon lange in die Corona-Warn-App integriert werden können und sollen. Ich denke der Hauptantrieb der Entwickler der Luca-App ist, dass das einfach nicht passiert ist.“

„Dass sich die Bundesregierung, die ja auch die Corona-Warn-App entwickeln ließ, nicht in der Verantwortung sieht, fand ich überraschend. Die unterschiedlichen Ansätze von Corona-Warn-App und der Luca-App ergänzen sich gut und ließen sich gut in einer gemeinsamen App vereinigen.“

„Im Ergebnis haben wir nun zwei Corona-Apps, die unterschiedliche Arten der Kontaktnachverfolgung umsetzen. Und vielen Nutzern ist vielleicht nicht klar, dass die eine App die andere nicht ersetzen kann, sondern dass sich beide Ansätze sinnvoll ergänzen.“

„Vor allem aber muss man bei der Diskussion um Corona-Apps immer mitberücksichtigen, dass eine technische Lösung nicht mehr als eine Ergänzung zu anderen Maßnahmen sein kann. Ein Virus ist kein technisches Problem, das man mit Technik allein lösen kann. Eine App kann nur ein Baustein in einem Gesamtkonzept sein, aber nicht alleiniger Heilsbringer.“

„Viel wichtiger sind sinnvolle Maßnahmen und deren Umsetzung. Andere Länder haben das vorgemacht, sie sind mittlerweile wieder nahezu frei von Kontaktbeschränkungen und anderen Einschränkungen des täglichen Lebens.“

Dr. Thilo Weichert

Mitglied des „Netzwerks Datenschutzexpertise“ und früherer langjähriger Datenschutzbeauftragter von Schleswig-Holstein

„Wenn man, wie anlässlich der Corona-Pandemie in bestimmten Risikoräumen, schon Kontaktdaten sammeln muss, um Infektionsketten nachzuverfolgen, dann kann dies mit der Luca-App in einer datenschutzfreundlichen Weise erfolgen. Die Nutzung der App ist für Betreiber einer Lokation, etwa einer Gastronomie, eines Kinos, einer Kulturveranstaltung oder eines Ladengeschäfts, freiwillig. Auch für die Gäste ist die Nutzung freiwillig. Einem privaten Betreiber ist es erlaubt, nur solche Gäste zu akzeptieren, die die Luca-App installiert haben beziehungsweise sich bereit erklären, sich über ein bei der Luca-Anwendung alternativ vorgesehenes Kontaktformular einzutragen.“

„In Corona-Bekämpfungsverordnungen ist teilweise geregelt, dass die Öffnung eines Geschäfts voraussetzt, dass eine Kontaktverfolgung möglich ist. Hierzu kann die Luca-App eingesetzt werden. In den Landesverordnungen kann derzeit die Luca-App nicht als einziges Tool zur Kontaktverfolgung verpflichtend gemacht werden, da dadurch andere Lösungen ‚vom Markt‘ ausgeschlossen würden. Die Luca-App ist aber ein Kontaktverfolgungstool, das die Tracing-Funktion voll erfüllt und zugleich ein hohes Maß an Datenschutz sicherstellen kann. Deshalb können für die App sowohl die Gesundheitsämter, die Schnittstellen zur Anwendung einrichten, Lokationsbetreiber und auch der App-Anbieter selbst gezielt werben.“

„Luca sieht Alternativen vor für Gäste, die kein Handy mit der Software haben. Das ist gut so. Damit verbunden ist die Angabe von Kontaktdaten, die aber zum Beispiel nur über einen QR-Code erschlossen werden können. Darin liegt keine unzulässige Diskriminierung, da das Ziel der Kontaktverfolgung und der damit bezweckten Coronabekämpfung diese Anforderung rechtfertigt. Mit der Luca-App kann dieses Tracingziel datenschutzfreundlich realisiert werden.“

„Die App hat schon ein hohes Datenschutzniveau durch die Verwendung von kurzfristig wechselnden QR-Codes und der Verschlüsselung der Daten. Wünschenswert wäre, wenn alle Komponenten Open Source wären, sodass eine breite kritische Hinterfragung ermöglicht wird. Eventuell wären noch eine weitergehende pseudonyme Nutzung und weitere Verbesserungen möglich. Angesichts der Dringlichkeit einer praktikablen, wirksamen technischen Lösung darf und soll das die aktuelle Nutzung aber nicht ausschließen.“

„Ein mit SARS-CoV-2 infizierter Nutzer muss gemäß der bisherigen Luca-Konzeption seine Check-in-Historie gegenüber dem Gesundheitsamt freigeben. Ein polizeilicher Zugriff auf die decodierten Daten beim Gesundheitsamt für allgemeine Zwecke der Strafverfolgung sollte durch die dort bestehende strenge Zweckbindung ausgeschlossen sein. Mit dem Luca-Verfahren ist zudem ausgeschlossen, wie dies in der Vergangenheit mit den Gästelisten passiert ist, dass die Polizei auf Kontaktdaten bei den Lokationsbetreibern zweckwidrig zugreift.“

Prof. Dr. Maximiliane Wilkesmann

Professorin für Arbeits- und Organisationssoziologie, Fakultät Sozialwissenschaften, Technische Universität Dortmund

„Für Bürger*innen, die durch die Pandemie-bedingten Einschränkungen ermüdet und emotional erschöpft sind, kann Luca einen Lichtblick in der Wiederherstellung von Alltag sein und neue Perspektiven eröffnen, weil die App als proaktives, eigenverantwortliches Instrument konzipiert ist, das eine niedrigschwellige, umfassende tagesaktuelle Kontaktnachverfolgung ermöglicht. Ein Erfordernis dabei ist die klare politische Positionierung für die Einführung der App im Sinne eines gesamtdeutschen, gesundheitspolitischen Konzepts, sprich die gleichzeitige Einbindung und Nutzung der App von Gesundheitsämtern, Bürger*innen sowie Orten des öffentlichen und privaten Lebens. Die App kann zudem dabei helfen, Bürger*innen aus einer begründeten Unsicherheit herauszuführen, ohne eine unbegründete Sicherheit (Überschätzung und Leichtsinn) zu provozieren [7].“

„Die Luca-App kann vor allem für Schnelligkeit in der Kontaktverfolgung durch die Gesundheitsämter sorgen, welche essenziell für die Identifizierung von Superspreadern bei der Bekämpfung der Covid-19-Pandemie ist. Einher geht dies mit einem weiteren erforderlichen Digitalisierungsschub in den Gesundheitsämtern. Aus meiner eigenen Forschung und der Beschäftigung mit Wissen und Nichtwissen im Gesundheitswesen weiß ich, dass gerade im medizinischen Bereich nach wie vor Faxgeräte eine zentrale Rolle bei der Übermittlung von Gesundheitsinformationen spielen.“

„Voraussetzungen für einen Erfolg sind die flächendeckende Nutzung der App, die erstens in der bundesweiten Integration in das Kontaktpersonen-Management-System (SORMAS-ÖGD-COVID-19) bei den Gesundheitsämtern liegt, zweitens in der Verbreitung der QR-Codes in allen öffentlichen und privaten Bereichen zum Ein- und Auschecken und drittens in der Akzeptanz durch die Gesamtbevölkerung, die eine umfassende Informations- und Kommunikationskampagne erfordert. Hier sollten neben dem Zurückgewinn von Freiheitsrechten auch Vorteile eines besseren Datenschutzes thematisiert werden. Nur so kann zum einen möglichst schnell eine kritische Masse an Nutzer*innen erreicht und zum anderen Insellösungen in Form von verschiedenen Apps vermieden werden.“

Zur Frage, inwiefern es wahrscheinlich ist, dass andere Behörden wie Strafverfolgungsbehörden auch auf die gesammelten Daten aus der Luca-App zugreifen wollen und was die Rechtsgrundlage dafür wäre:
„Das Problem sehe ich in der vorliegenden datentreuhänderischen Konstellation nicht. Anstatt diese Diskussion zu eröffnen beziehungsweise zu befeuern, sollten die Chancen der Nutzung und Freiheitsgewinne im Vordergrund stehen. Die Chance liegt vor allem in der Gewinnung epidemiologischer Zusammenhänge, sprich an welchen Orten, in welchen Zeiträumen ist ein besonders hohes Infektionsrisiko vorhanden. Nur so lassen sich gezielte, evidenzbasierte Maßnahmen – zum Beispiel Schließungen – zur Bekämpfung der Pandemie ableiten, die wiederum für eine höhere Akzeptanz in der breiten Bevölkerung sorgen können.“

Prof. Dr. Uwe Wilkesmann

Professor für Organisationsforschung und Weiterbildungsmanagement und Direktor des Zentrums für HochschulBildung, Technische Universität Dortmund

„Apps werden immer dann genutzt, wenn sie für einen selbst einen Nutzen haben. Ist der eigene Nutzen nicht deutlich, dann haben technische Applikationen ein Legitimations- und Anwendungsproblem. Die Luca-App könnte deswegen eine Lücke füllen, die die Corona-App hinterlassen hat.“

„Zum einen hat die Luca-App einen sehr konkreten Nutzen für jeden Einzelnen. Wenn aufgrund ihrer Nutzung Restaurantbesuche oder Trainings in Fitness-Zentren möglich werden, dann werden die Nutzerzahlen in die Höhe gehen. Allerdings ist dafür eine kritische Masse an Nutzern notwendig. Eine Legitimität der App ist darüber hinaus durch die Entwickler (Ausgründung aus einem Forschungsinstitut und bekannte Band) gegeben.“

„Zum anderen geben scheinbar viele Menschen ihre Informationen bereitwilliger und häufiger an private Anbieter weiter als an den Staat. Dies überrascht aus der Sicht der Tradition der politischen Theorie in Kontinental-Europa, die immer eher holistisch, vom Staat hergedacht hat als die individualisierte politische Theorietradition im anglo-amerikanischen Raum. Dennoch zeigt die tatsächliche Informationsweitergabe in den sozialen Medien, wie großzügig mit privaten Informationen umgegangen wird.“

„Im Gegensatz dazu müssen zum Beispiel die Daten, die die Statistischen Landesämter erheben, in einem solchen Umfang anonymisiert werden, dass sie kaum noch zu wissenschaftlichen oder steuerungspolitischen Auswertungen verwendet werden können und somit ihrer eigentlichen Funktion fast beraubt werden.“

Dr. Ute Teichert

Direktorin der Akademie für Öffentliches Gesundheitswesen, Düsseldorf und Vorsitzende des Bundesverbandes der Ärztinnen und Ärzte des Öffentlichen Gesundheitsdienstes e.V.

„Die Luca-App ist ein extrem einfach zu erstellendes digitales Kontakttagebuch, das auch auf älteren Smartphones funktioniert und sogar analoge Schlüsselanhänger für Menschen ohne Smartphone unterstützen soll. Damit wäre die gesamte Bevölkerung erreichbar. Wer die App benutzt, kann laufend über QR-Codes persönliche Aufenthaltsorte und Begegnungen dokumentieren. Das ist besser und vollständiger als ein aus dem Gedächtnis erstelltes Tagebuch. Sie ist also eine ideale Ergänzung zur Corona-Warn-App.“

„Durch die Verschiebung der Zettelwirtschaft, zum Beispiel in der Gastronomie, hin zur digitalen Erfassung wird eine schnelle Bereitstellung der benötigten Daten erst möglich. Durch die automatische Anbindung der Gesundheitsämter an die Luca-App erhalten diese dann ‚per Knopfdruck‘ den vollständigen Datensatz. Dabei ist sofort klar, ob es am betreffenden Ort bereits weitere Infektionen gab und sich möglicherweise ein Cluster gebildet hat. Solche Zusammenhänge sind bisher schwer zu entdecken, weil zum Beispiel der eine Infektionsfall in einem Restaurant von einer anderen Person im Gesundheitsamt bearbeitet wird als der zweite Fall. Bei der Luca-App ist dagegen ohne Zeitverzögerung der gesamte Überblick sichtbar. So lassen sich Superspreader schnell erkennen.“

„Die vergangenen Monate haben gezeigt, dass Vollständigkeit der Daten und Geschwindigkeit die beiden entscheidenden Parameter im Kampf gegen die Pandemie sind.“

„Wenn ein Gesundheitsamt das Kontaktpersonen-Management-System SORMAS nutzt, erscheint der Fall direkt in der Datenbank, ohne dass jemand noch etwas händisch eingeben muss. Das ist fantastisch. Aber auch Gesundheitsämter, die SORMAS noch nicht nutzen, können ihre Systeme schnell und unkompliziert direkt an die Luca-App anbinden. Das Gesundheitsamt in Jena, sowie weitere ungefähr 40 der insgesamt rund 400 Gesundheitsämter nutzen diese Möglichkeiten bereits. In anderen, zum Beispiel in Rostock und auch in Düsseldorf, ist man bei der Umsetzung. Der Anschluss wird in dieser Woche erfolgen.“

„Indem die Luca-App die Daten verschlüsselt und lediglich auf dem Mobiltelefon lokal speichert, behält der/die Nutzer:in die Datenhoheit und ist in puncto Datenschutz auf der sicheren Seite. Dieser Ansatz tritt den Begehrlichkeiten Dritter entgegen, egal ob dies andere Behörden, datenhungrige Konzerne oder Hacker sind. Denn nur im Infektionsfall gibt der/die Betreffende selbst seine Kontakthistorie frei – und zwar nur für das zuständige Gesundheitsamt.“

„Luca funktioniert schon jetzt, es muss nichts mehr neu programmiert werden, und die App kann als Tool zur Pandemiebekämpfung sofort eingesetzt werden.“

Prof. Dr. Gérard Krause

Leiter der Abteilung Epidemiologie, Helmholtz-Zentrum für Infektionsforschung (HZI), Braunschweig

„Ganz unabhängig vom einzelnen Produkt können Systeme, die bestimmte Expositionen, Aufenthalte, Kontakte und Teilnahme an Veranstaltungen dokumentieren, helfen, die Infektionsketten vollständiger zurückzuverfolgen. Im Folgenden möchte ich diese Systeme produktneutral als digitale Veranstaltungs-Teilnahme-Dokumentations-Systeme (VTD) bezeichnen, wobei auch eine private Zusammenkunft oder ein Gaststättenbesuch als Veranstaltung gilt. Im Gegensatz zur sogenannten Corona Warn-App (CWA), die einen Proxy für physische Nähe zwischen App-Nutzern misst, dokumentieren die VTD-Systeme konkrete Expositionen. VTD wird bisher in nichtdigitaler Form betrieben und hat den Nachteil, dass im Bedarfsfall das Zusammentragen der Daten sehr zeit- und arbeitsaufwändig sowie fehleranfällig ist. Ein digitales VTD-System kann, je nachdem wie es gestaltet ist, in Bezug auf Datenschutz und Datensicherheit sowohl deutlich besser, als auch deutlich schlechter als ein papierbasiertes VTD-Verfahren sein.“

„Aus Sicht der Gesundheitsämter – und auch der Bürgerinnen und Bürger – sind Akzeptanz und Stabilität der Schnittstellen vermutlich besser, wenn ein digitales VTD-System im Einsatz ist – statt je nach Art der Veranstaltung und Ort als Kunde oder Amt unterschiedliche VTD-Systeme nutzen zu müssen. Als Analogie hilft die Gedankenübung, wie nützlich und akzeptiert die CWA wäre, wenn diese nicht aus einer einheitlichen Anwendung, sondern einer Vielzahl diverser Warn-Apps in Kombination mit einem einheitlichen Gateway bestehen würde.“

Auf die Frage, wie gut eine Anbindung der App an die Gesundheitsämter und das Surveillance Outbreak Response Management and Analysis System (SORMAS) funktionieren kann:
„Je nachdem, wie diese digitalen VTD-Systeme ausgestaltet sind, reduzieren diese den Aufwand, diese Daten in das SORMAS des Gesundheitsamtes zu übertragen. Insgesamt verbessert dies die Datenlage für die Gesundheitsämter und stellt einen Beitrag zu Verbesserung der Infektionsketten-Rückverfolgung dar. Einen allzu hohen Effekt auf die konkrete Eindämmung der Pandemie sollte man sich daraus aber nicht erhoffen.“

„Das Luca-System gehört zu den digitalen VTD-Systemen, bei denen die technische Einbindung zu SORMAS bereits besteht. Aufgrund der Tatsache, dass SORMAS eine Open-Source Software mit einer öffentlich zugänglichen Schnittstelle ist, stellt eine solche Verbindung grundsätzlich keine technische Herausforderung dar. Dem Helmholtz-Zentrum für Infektionsforschung (HZI) ist nicht bekannt, ob Luca oder irgendein anderes digitales VTD-System seine Verbindung zu SORMAS bereits von einer Datenschutzbehörde hat prüfen lassen. Das jeweilige Gesundheitsamt muss einer solchen Verbindung allerdings explizit zustimmen. Soweit dem HZI bekannt, sind derartige Verbindungen zwischen SORMAS und einem digitalen VTD-System noch in keinem Gesundheitsamt mit Echtdaten im Betrieb.“

Angaben zu möglichen Interessenkonflikten

Dr. Dennis-Kenji Kipker: „Es bestehen keine Interessenskonflikte.“

Prof. Dr. Anne Riechert: „Interessenkonflikte liegen keine vor.“

Dr. Thilo Weichert: „Interessenkonflikte bestehen nicht.“

Prof. Dr. Maximiliane Wilkesmann: „Keine Interessenkonflikte.“

Prof. Dr. Uwe Wilkesmann: „Keine Interessenkonflikte.“

Prof. Dr. Gérard Krause: „Von 2000 bis 2013 war ich Fachgebiets- beziehungsweise Abteilungsleiter im Robert-Koch Institut und in dieser Funktion maßgeblich an der Bewältigung epidemischer Lagen von nationaler Tragweite beteiligt (zum Beispiel SARS 2003, H5N1 Influenza 2009, EHEC 2011). Meine Abteilung am HZI ist Empfänger von Drittmitteln zu COVID-19-Forschung unter anderem von folgenden Ministerien: Bundesministerium für Bildung und Forschung, Bundesministerium für Gesundheit, Bundesministerium für wirtschaftliche Zusammenarbeit und Entwicklung, Niedersächsisches Ministerium für Soziales, Gesundheit und Gleichstellung, Niedersächsisches Ministerium für Wissenschaft und Kultur. Seit 2015 bin ich wissenschaftlicher Leiter des digitalen ‚Surveillance Outbreak Response Management and Analysis System‘ (SORMAS), welches in Gesundheitsämtern in Deutschland und im Ausland für das Fall- und Kontaktpersonenmanagement zum Einsatz kommt. SORMAS ist open source und steht ohne Lizenzgebühren frei zur Verfügung. Außerdem folgendes Patent: Low Bandwidth Database Synchronization (LBDS): Ein Verfahren zur mobilen Datenbanksynchronisierung in Regionen ohne Internetanbindung.“

Alle anderen: Keine Angaben erhalten.

Literaturstellen, die von den Experten zitiert wurden

[1] Datenschutz-Grundverordnung (DSGVO): Art. 1 DSGVO Gegenstand und Ziele.

[2] Brink S (17.02.2021): LfDI Stefan Brink unterstützt die Nutzung der„luca“-App gegen Corona. Pressemitteilung.

[3] Iskandar K (12.07.2020): Weitergabe der Gästenamen verboten – oder doch erlaubt? Frankfurter Allgemeine Zeitung.

[4] Strafprozeßordnung: § 94, Sicherstellung und Beschlagnahme von Gegenständen zu Beweiszwecken. Dejure.org.

[5] Blechschmitt L (2018): Strafverfolgung im digitalen Zeitalter. MMR 2018, 361, 364.

[6] NotifyMe. Dezentral gespeicherte Check-Ins für Meetings & Events. Website der App.

[7] Wilkesmann M et al. (2019): Nichtwissen stört mich (nicht). Zum Umgang mit Nichtwissen in Medizin und Pflege. Springer VS Verlag.

Literaturstellen, die vom SMC zitiert wurden

[I] Luca. Website der App.

[II] Sokolov D (05.01.2021): Daten aus Singapurs Covid-Tracing stehen Polizei offen. Heise online.

[III] Osel J (02.09.2020): Polizei nutzte Corona-Gästelisten auch bei Ermittlungen zu Kleinkriminalität. Süddeutsche Zeitung.