App ins Konzert, App ins Theater!
Ohne digitales Einchecken kein kulturelles Leben: Die Bundesländer favorisieren die Luca-App, doch die Corona-Warn-App führt beim Datenschutz.
Hat die Covid-19-Pandemie einen solchen Ausnahmezustand verursacht, dass auf Mindeststandards im Datenschutz verzichtet werden sollte? Viele meinen: ja. Gelassenheit aber war noch immer die beste Haltung auch in hektischsten Zeiten. Mit Gelassenheit sollte man auch die beiden Apps vergleichen, die beispielhaft stehen für den Umgang mit der Pandemie. Denn die Corona-Warn-App (CWA) und die Luca-App wurden nicht nur für unterschiedliche Zwecke entwickelt; sie stehen auch für zwei Ansätze an politischer Haltung, die beide dringend in den Ring des politischen Diskurses steigen müssen.
Wenn der Rapper Smudo sein digitales Baby, die Luca-App, verteidigt und dabei die Dokumentationspflicht gegenüber den Gesundheitsämtern als ihre wichtigste Funktion benennt, hat er Recht. Und ebenso hat er Recht, wenn er auf die datenschutzrechtlich katastrophalen Zustände des vergangenen Sommers aufmerksam macht: die Meldezettel, die wir beim Besuch von Restaurants und Cafés gleich reihenweise ausfüllten und die jederzeit abfotografiert und missbraucht werden konnten.
Damit aber wird es zum Glück vorbei sein, sobald der Lockdown zu Ende ist und wir wieder überall einchecken müssen, wo Menschen zusammenkommen. Im Café, im Biergarten, im Restaurant, im Theater, im Konzert, in der Kunsthalle. Dann wird die Luca-App Pflicht sein und mit ihr die zentrale Speicherung aller Kontaktdaten auf den Servern der App. Das Problem: 20 abfotografierte Adressen sind nichts im Vergleich zu einer Riesendatenbank mit Bewegungsprofilen aus der ganzen Republik, die im worst case durchaus wie ein komplette Facebook-Datenbank jederzeit durch einen Hack in den Handel geraten können.
Wie gesagt, den Machern der Luca-App muss man nicht vorwerfen, dass sie genau das Feature bereitstellen, das von staatlicher Seite herbeigesehnt wurde: die automatische Kontaktnachverfolgung möglichst vieler Menschen, und zwar mit allen Daten in einer Datenbank sowie geschmeidigen Automatismen bei der Weiterleitung dieser Daten, sobald eine Infektion das nötig macht.
Und doch: Das hätte man auch mit der Corona-Warn-App haben können, wenn auch ganz anders und gleichzeitig ähnlich. Die User hätten alle Informationen dezentral auf den jeweiligen Handys, gespeichert; sie müssten im Falle einer Infektion jeweils aktiv den Info-Button drücken, um ihre Kontakte der letzten 14 Tage über ihre Erkrankung anonym zu informieren. Die Gesundheitsämter wären bei dieser Informationskette außen vor. Der Preis, den wir User alle dafür zahlen müssten, wäre: aktive, dem Gemeinwohl verantwortliche Mündigkeit. Aktives Tagebuchführen in der Corona-Warn-App. Bei einer Infektion sofortiges Informieren der Kontakte. Weder das eine noch das andere erfolgte in der Vergangenheit zufriedenstellend, kein Wunder also, dass seit dem vergangenen Herbst die Entmündigung der User vorangetrieben wurde. Die Corona-Warn-App sei ein zahnloser Tiger, hieß es in Talkshows, Interviews und Zeitungskommentaren, die App habe auf ganzer Linie versagt.
Doch ist die Niederlage der Corona-Warn-App damit noch lange nicht besiegelt. Sie hat enorme Fähigkeiten, die Luca alt aussehen lassen: Ihre Bluetooth-Kommunikation der sich begegnenden Smartphones macht aus einem Einchecken mehrerer Menschen beim gleichen Event überhaupt erst einen Nahkontakt, was bei einem 5000er-Konzert wichtig ist für die konkrete Beurteilung einer potenziellen Infektionsgefahr. Und die Zukunft bringt noch mehr Vorteile: Demnächst wird die Corona-Warn-App die Ergebnisse von Schnelltests importieren können, und auch geimpfte Personen werden in der App ihren Impfpass mit sich tragen. Kann sein, dass die Corona-Warn-App mit diesen Features dann oft überhaupt erst den Zutritt zu Events ermöglicht.
Wozu dann die Luca-App? Die Antwort ist klar: Sie hat der Corona-Warn-App Beine gemacht. Die kann nämlich inzwischen auch den QR-Code für Meetings, private Partys, Theaterbesuchte und Konzertgänge. In Zukunft sollen die QR-Codes beider Apps sogar miteinander kommunizierten können. Die Luca-App ist die App gewordene, berechtigte Kritik an der Corona-Warn-App und ihrer User. Und die auf Effizienz bauenden Länderchefs haben – meistens gegen das Votum ihrer Datenschutzbeauftragten – in den vergangenen Monaten Smudos App eingekauft haben und setzen diese auch schon ein, in Landratsämtern, Gesundheitsämtern, kurz: in den Behörden. Doch auch die Luca-App muss nachbessern.
Der Quellcode war nicht offen zugänglich und konnte deshalb auch nicht von unabhängigen Kontrolleuren überprüft werden. Inzwischen wurde das geändert. Auch eine inhaltliche Überprüfung durch den Chaos Computer Club steht deshalb noch aus. Und das Bundesamt für Sicherheit in der Informationstechnik antwortete kulturnews auf Anfrage, man könne „derzeit kein Datum nennen“, wann die Überprüfung der luca-App abgeschlossen sei. Man kann den Einsatz der App zum jetzigen Zeitpunkt übereilt nennen. Man kann sich aber auch zurücklehnen und schauen, wie die beiden Apps miteinander klarkommen und wie sie sich gegeneinander behaupten. Im Datenschutz genauso wie in der Effizienz.
Jürgen Wittner
Rapper Smudo im Interview über die Luca-App
Smudo, du hast in den 1980ern am C64 programmiert. Siehst du dich noch in der Lage, die gegen die Luca-App vorgebrachte Kritik aus Sicht des Programmierers nachzuvollziehen?
Smudo: Ja, natürlich.
Welche der Kritik des Chaos Computer Clubs kannst du noch am ehesten nachvollziehen?
Smudo: Ich teile die Kritik in zwei Gruppen. Die eine ist die Fundamentalkritik, da wird von der Philosophie her kritisiert, dass man die Daten auf jeden Fall dezentral halten soll. Das geht in diesem Fall gar nicht, weil Luca die Dokumentationspflicht gegenüber den Gesundheitsämtern, die es zu erledigen gilt, digital abwickelt. Um im Bild zu sprechen: Man kann keinen Rettungsring designen, den man nicht anfassen darf.
Und die Kritik ist nicht ok?
Smudo: Aus Sicht des Datenschutzes vollkommen in Ordnung. Eine zentrale Speicherung ist aber auch ok, wenn die Daten ausreichend gesichert sind. Bei Homebanking, Finanzprodukten zum Beispiel und auch bei Gesundheitssoftware ist das üblich. Wenn man theoretisch den Tresor erbeuten kann, sollte man ihn nicht aufbekommen. Und das ist bei Luca der Fall, hier sind die Daten ausreichend geschützt.
Der Chaos Computer Club hat nun schon vor einem Jahr und lange vor der Einführung der Corona-Warn-App in seinem Anforderungskatalog gesagt, dass alle Daten dezentral und verschlüsselt gelagert werden müssen. Grundsätzlich solle man Vertrauen zu keiner Firma habe, die Daten zentral lagert.
Smudo: Die Dokumentationspflicht bedeutet ja, dass man zum Beispiel in ein Restaurant geht und dort seine Daten hinterlässt, damit man nachvollziehen kann, wer im Restaurant anwesend war, als ein hinterher positiv Getesteter dort gesessen hat. Das ist ein Prozess, der über die Gesundheitsämter geht. Natürlich kann ich sagen: Kontakterkennung kann ich doch anonym machen. So, wie es die Corona-Warn-App macht. Das stimmt. Aber die Dokumentationspflicht geht eben nicht so. Jetzt kann man den Case der Dokumentationspflicht durchaus doof finden. Aber diese Kritik richtet sich ja nicht gegen die Funktionalität der Luca-App, sondern gegen den Gesetzgeber.
Kannst du dir eine Zusammenarbeit von Corona-Warn-App und Luca-App vorstellen?
Smudo: Daran wird aktuell gearbeitet. Die Corona-Warn-App und Luca sollen beide die gleichen QR-Codes nutzen können. Beim Doku-Pflicht-Check-In mit Luca sollen die Daten in die CWA übernommen werden können, denn die Corona-Warn-App kann die Doku-Pflicht nicht erfüllen.
Interview: Jürgen Wittner