Luca:Die teure App, die wenig bringt

Pandemie-Frust: Forscher will mehr Freiräume für Jugend

Es ist viel los an einem Abend in der Simon-Dach-Straße in Berlin-Friedrichshain.

(Foto: Christophe Gateau/dpa)

Um die viel gehypte App gibt es jede Menge Zoff. Kritiker fordern bessere Nutzungsdaten und veröffentlichen eigene Statistiken. Erste Gesundheitsämter beenden die Luca-Nutzung wieder.

Von Max Muth

Die Versprechungen waren gigantisch. Eine neue App sollte dafür sorgen, dass der Lockdown im März verantwortungsvoll gelockert werden kann. Mit Luca, so erzählte es Rapper Smudo, der Gesellschafter bei der Firma hinter der App ist, sollten Bürger sich einfach in Restaurants, Verkehrsmitteln und Kultureinrichtungen einchecken. Falls einer von ihnen später positiv auf Corona getestet würde, werde die Kontaktnachverfolgung durch die Gesundheitsämter dadurch ein Kinderspiel. Die Folge: weniger Lockdown, mehr Freiheit. Die Corona-Warn-App (CWA), die zu dem Zeitpunkt schon über 25 Millionen Bürger installiert hatten, sei keine Konkurrenz, sondern eine Ergänzung, so Smudo. Denn der anonyme Ansatz der CWA verhindere, dass die Daten bei den Gesundheitsämtern landen.

Wenige Monate später ist von den Versprechen nicht viel übrig. Kaum ein Tag vergeht, an dem nicht vor allem aus der Ecke des Chaos Computer Clubs (CCC) teils heftige Kritik an der Luca-App geübt wird: grobe Sicherheitsbedenken, Datenschutzprobleme, Inkompetenz, Täuschung. Die Vorwürfe sind teils heftig, die bekannten Probleme aber auch. So gelang es etwa Sicherheitsforschern, zu zeigen, dass mithilfe eines manipulierten Datensatzes Schadsoftware auf die Systeme von Gesundheitsämtern geschickt werden konnte. Andere fanden heraus, dass ein guter Teil der positiven Bewertungen der Luca-App in den Appstores von Kunden stammt, die dachten, sie bewerteten die besuchten Restaurants ("lecker!"). CCC-Mitglied und IT-Sicherheitsfachmann Manuel Atug sammelt in einem Nachrichtenstrang auf Twitter sämtliche Probleme der App. Über 800 Nachrichten umfasst der Strang mittlerweile. Zuletzt wurde dort den Luca-Betreibern vorgeworfen, ihr eigenes Verschlüsselungskonzept nicht zu verstehen.

Ämter nutzen die App kaum

Vielleicht hängt die Menge und Intensität der Vorwürfe an die App-Macher auch damit zusammen, dass es mit der Corona-Warn-App eigentlich eine technische Lösung für die Nachverfolgung von Infektionen gibt, an der der CCC datenschutztechnisch und sicherheitsmäßig nichts auszusetzen hatte. Wenn sich die Politik dann weitgehend ungeprüft eine angebliche Wunder-App einkauft, die sich zudem bald als deutlich weniger potent als beworben herausstellt, kann man schon mal allergisch reagieren.

Schlangenöl, so nennen IT-Sicherheitsforscher in Anlehnung an mittelalterliche Scharlatane technische Lösungen, die Dinge versprechen, die sie dann nicht halten. Genau dafür halten viele Experten die Luca-App, für Schlangenöl, und zwar sehr teures. Über 20 Millionen Euro haben 13 Bundesländer bislang für Lizenzen ausgegeben. Medienberichte gaben den Zweiflern zuletzt Futter. So beschwerten sich Verantwortliche von Berliner Gesundheitsämtern unter anderem in der SZ über mangelnden Nutzen der App und schlechte Kommunikation der Betreiber. Und eine Umfrage des Freiburger CCC bei über 300 Gesundheitsämtern, die Luca nutzen könnten, zeigte jüngst: Zwar macht die App größtenteils keine großen Probleme, tatsächlich genutzt wird sie jedoch kaum. Anstatt den Gesundheitsämtern Arbeit abzunehmen, lade Luca den Ämtern eher zusätzliche Arbeit auf, sagt Jens Rieger vom Freiburger CCC. "Diese App tut einfach nicht, was sie vorgibt zu tun, nämlich dabei zu helfen, schnell Infektionsketten zu durchbrechen."

Denn selbst wenn es nach einer Infektion über Luca Daten von Kontakten gebe, müsse noch einiges passieren, bis ein Gesundheitsamt deswegen warnt, sagt Rieger. Das Amt muss den Nutzer fragen, ob er überhaupt Luca nutzt und falls ja, mithilfe einer TAN dessen Daten freischalten. Erst dann wird versucht, Betreiber der besuchten Orte zu kontaktieren. Klappt das, müssen die Betreiber mithilfe ihres Schlüssels die Daten anderer Besucher freischalten. Dass das alles so funktioniert, ist alles andere als sicher. Ein Disko-Betreiber in Bad Doberan hatte seinen Schlüssel zuletzt verlegt und verhinderte so eine Luca-Nachverfolgung von acht Infektionen im Landkreis Rostock. Nicht für alle diese Schwierigkeiten ist der Betreiber der App verantwortlich, sie machen aber deutlich, dass die Versprechen vom März, dass Luca ein Game-Changer für die Gesundheitsämter sein würde, wohl überzogen waren. Der Spiegel erfuhr durch eine Umfrage bei den Ämtern, dass die App bislang erst in 60 Fällen bei der Kontaktverfolgung geholfen habe. Bei 130 000 Infektionen wohlgemerkt.

Experten fordern Kontrolle durch die Länder

In Nordrhein-Westfalen könnte die Luca-Nutzung für Gastronomen demnächst sogar rechtlich problematisch werden. Seit Freitag ist die Nachverfolgung von Kontakten dort nicht mehr Teil der Corona-Schutzverordnung, für die Erhebung der Daten ohne Einwilligung fehlt also die Rechtsgrundlage. Luca habe die Betreiber in einer Mail darüber informiert, schreibt Luca-Sprecher Markus Bublitz auf Twitter. Von einem rechtlichen Risiko ist in den Mails allerdings keine Rede.

Auf der Webseite von Luca liest man dagegen nur Erfolgsmeldungen: 25 Millionen Downloads, über 50 Millionen Check-ins in den vergangenen 14 Tagen sowie rund 15 000 verschickte Warnhinweise. Doch Experten bezweifeln die Aussagekraft der Zahlen. "Downloads sind nicht Nutzer", sagt Rieger. Er und andere Mitglieder des CCC analysieren seit Wochen öffentlich verfügbare Daten der Luca-App und kommen zu anderen Ergebnissen. Rieger schätzt, dass nur rund sechs Millionen Menschen täglich aktiv Luca nutzen, die Zahl der Check-ins sei noch deutlich geringer, rund 1 bis 1,5 Millionen. Die Betreiberfirma von Luca, Nexenio, nennt auf Nachfrage andere Zahlen. Schon allein die Zahl der in den letzten 30 Tagen aktiven Android-Geräte liege im zweistelligen Millionenbereich.

Auch "15 000 verschickte Warnhinweise" klinge Rieger zufolge besser, als es ist. Oft ergebe eine Prüfung durch das Gesundheitsamt, dass die Luca-Daten nutzlos sind, weil Betreiber zu große Räume mit nur einem Luca-Check-in abdecken, oder Nutzer nicht wieder ausgecheckt wurden. Recherchen der Freiburger zufolge werden zwischen 10 und 20 Prozent der Nutzer nicht wieder aus Locations ausgecheckt. Für die Ämter heißt das zusätzliche Prüfarbeit.

Dass ein App-Verkäufer wie Nexenio versucht, sich größer zu machen, als er ist, hält Rieger für wenig überraschend. Er sieht jedoch die Landesregierungen in der Verantwortung, den Nutzen von Luca objektiv zu bewerten. Mit den Zahlen, die Luca derzeit liefert, sei das aber nicht möglich. Dabei werde diese Bewertung jetzt immer dringender. Im Februar steht vielerorts die Entscheidung an, ob Verträge mit Luca verlängert werden. "Solange Luca von der Politik als wichtiger Baustein in der Pandemiebekämpfung gesehen wird, werden wir weniger über nachgewiesenermaßen sinnvolle Maßnahmen wie Masken und Abstandsregelungen reden", sagt Rieger.

Erste Landkreise scheinen sich indes die Kritik an Luca zu Herzen zu nehmen. Sowohl die Stadt Weimar als auch der Ennepe-Ruhr Kreis konnten als Modellkreise Luca bislang kostenlos nutzen. Beide beschlossen jedoch, das Angebot nicht weiter nutzen zu wollen. Auch in Berlin formiert sich Widerstand. Die Datenschutzbeauftragte des Landes, Maja Smoltczyk berichtete am Dienstag im Abgeordnetenhaus von zahlreichen Datenschutz-Mängeln der App. Auf Nachfrage schloss sie auch ein "Einschreiten" ihrer Behörde explizit nicht aus.

© SZ/hf
Zur SZ-Startseite

Lesen Sie mehr zum Thema

Süddeutsche Zeitung
  • Twitter-Seite der SZ
  • Facebook-Seite der SZ
  • Instagram-Seite der SZ
  • Mediadaten
  • Newsletter
  • Eilmeldungen
  • RSS
  • Apps
  • Jobs
  • Datenschutz
  • Kontakt und Impressum
  • AGB