Datenschutz der Luca App in der Kritik – wie sicher ist der Dienst?
Beim Gang ins Restaurant, Café oder Kino kam man im vergangenen Jahr nicht um sie herum: die Luca App. Immer wieder stand die Anwendung wegen Bedenken beim Datenschutz in der Kritik, nicht zuletzt, weil die Polizei missbräuchlich Daten abfragen konnte. In diesem Artikel gehen wir der Kritik nach und erläutern, wie es um die Sicherheit der App gestellt ist.
Was ist die Luca App und wie funktioniert sie?
Die Luca App ist ein Tool, das eine schnelle Kontaktdaten-Verwaltung und -Nachverfolgung für Geschäfte, Restaurants und Veranstaltungen ermöglicht und dabei die Gesundheitsämter einbindet und deren Arbeit vereinfachen soll.
Die Luca App verfügt über drei zentrale Schnittstellen – den Gastgeber, den Nutzer/Gast und die Gesundheitsämter. User melden sich einmalig in der App mit ihren Daten auf dem Smartphone an. Die Luca App generiert daraus einen sich minütlich ändernden QR-Code, der dem Gerät des Users zugeordnet ist. Mit diesem digitalen Pass kann sich der Nutzer dann einchecken – egal, ob Café, Restaurant, Veranstaltung oder Familientreffen.
Alles, was der Gastgeber dafür benötigt, ist ebenfalls ein Smartphone, auf dem die Luca App installiert ist. Per Scan meldet man sich dann beim Gastgeber an. Wenn der Gast den Ort wieder verlässt, wird er automatisch ausgeloggt. Im Falle einer Infektion, werden alle Gäste, die sich zu einer bestimmten Zeit vor Ort befunden haben, benachrichtigt. Parallel werden die Gesundheitsämter informiert, die dann automatisch Zugriff auf die Daten der übrigen Gäste haben. Die App bietet ihren Usern außerdem ein Kontakt-Tagebuch. Hier kann bis zu 30 Tage zurückliegend verfolgt werden, wo man sich aufgehalten hat. Für alle, die kein Smartphone besitzen, gibt es zudem einen analogen Schlüsselanhänger.
Welche persönlichen Daten fragt die Luca App ab?
Die Nutzer der Luca App müssen ihre personenbezogenen Daten wie Name, Adresse und Telefonnummer angeben und die App aktiv nutzen, indem z. B. der Aufenthaltsorte erfasst wird.
Laut App-Betreiber werden die generierten Daten dezentral verschlüsselt. Das heißt, sie werden auf die drei Schnittstellen aufgeteilt: Gastgeber, User und Gesundheitsamt. Kommt es zum Infektionsfall, müssen die Daten durch ein Gesundheitsamt entschlüsselt werden. Dazu muss diese Entschlüsselung mindestens einmal freigegeben werden – entweder durch die User selbst, oder durch den Gastgeber. Im Kontakt-Tagebuch werden Check-ins der letzten 30 Tage gespeichert. Check-ins der vergangenen 14 Tage können mit Gesundheitsämtern geteilt werden, wenn sich ein User infizieren sollte
Datenschutz-Kritik: Wie sicher sind deine Daten auf der Luca App?
Im Laufe der Coronapandemie kam die Luca App an vielen Orten zum Einsatz, doch immer wieder macht der Dienst auch wegen Datenschutzbedenken auf sich aufmerksam. Der Quellcode der App ist vollständig auf GitLab unter einer Open-Source-Lizenz veröffentlicht. So kann der Code auch von unabhängiger Seite geprüft werden.
Die App wurde seit ihrer Einführung im März 2021 von Problemen mit der Cybersicherheit, dem Datenschutz und sogar Datenlecks geplagt, was dazu führte, dass sich Hunderte von IT-Experten in einer gemeinsamen Erklärung gegen ihre Nutzung aussprachen. Luca, so schrieben sie im April 2021, hat eine problematische zentralisierte Architektur. Außerdem sei es undurchsichtig und proprietär (das heißt, es schafft eine Abhängigkeit von einem einzigen privaten Unternehmen, mit der Absicht, als Betreiber des Systems Profit zu machen). Die Nutzung ist dennoch de facto verpflichtend, was gegen viele der Grundsätze zur Wahrung der Privatsphäre und der Rechte verstößt, die etwa bei der Entwicklung der deutschen Corona-Warn-App festgelegt wurden.
Auch der Chaos Computer Club (CCC) übte scharfe Kritik an der Luca-App und forderte ein sofortiges Ende ihres Einsatzes und eine umfassende Untersuchung der App aufgrund von Unregelmäßigkeiten bei der Auftragsvergabe sowie einer Reihe von Fehlern und Schwachstellen. Nutzer konnten so etwa an Orten einchecken, an denen sie noch nie waren – unter anderem im Osnabrücker Zoo. Und warum wurden bestehende dezentrale Alternativen nicht einmal in Betracht gezogen?
Auch im Google Play Store sind mehrere gefälschte Luca Apps aufgetaucht. Laut Chip ist es mit den QR-Codes, die in den gefälschten Apps generiert werden, offenbar sogar möglich, sich bei einigen Betreibern anzumelden, die dann annehmen, dass die echte Luca App verwendet wird.
Trotz der Kontroversen wurde die App von mindestens 282 der 375 deutschen Gesundheitsbehörden angenommen, wie eine Umfrage der WELT unter den 16 Landesgesundheitsministerien ergab. Insgesamt haben die Bundesländer fast 22 Millionen Euro für Lizenzen ausgegeben, um die Nutzung der von Nexenio entwickelten App für ein Jahr zu ermöglichen, schreibt Netzpolitik.
Laut WELT wurde die Luca-App mehr als 7,4 Millionen Mal heruntergeladen – das bedeutet aber nicht, dass die App von 7,4 Millionen Menschen genutzt wird. Genauer gesagt, geben die Entwickler keine Daten über den tatsächlichen Beitrag der App zur Ermittlung von Kontaktpersonen weiter.
Sichere Alternativen zur Luca App
Nach vieler Kritik an der Luca App suchen viele Nutzer nach Alternativen, um sich ihrer Daten sicher zu sein. Aber welche ist die beste Alternative? Wir zeigen dir die wichtigsten.
Corona-Warn-App
Die Corona-Warn-App ist die wohl am meisten datenschutzkonforme App im Bereich der Nachverfolgung. In erster Linie ist die Corona-Warn-App, wie der Name sagt, zum Warnen gedacht. Im Falle von Risikobegegnungen wirst du von der App informiert. Neben dem Einspeisen von Testergebnissen und einem Kontakttagebuch, gibt es auch eine Check-in-Funktion. Per QR-Code des Gastgebers kannst du dich per App ganz einfach registrieren. Die Besuche werden im Anschluss im Kontakttagebuch registriert. Die App arbeitet mit Pseudonymen und sammelt keine personenbezogenen Daten.
Notify Me
Die App Notify Me dient in erster Linie dazu, dich zu benachrichtigen, wenn du einem Ansteckungsrisiko ausgesetzt warst. Dennoch kannst du dich damit natürlich auch registrieren. Insofern ähnelt die Anwendung in der Funktionsweise der Corona-Warn-App. Notify Me ist eine Open-Source-Software, die dezentral operiert. Beim Einchecken wird lediglich eine verschlüsselte ID auf deinem Gerät gespeichert – sonst nichts. Im Falle einer Risikobegegnung wirst du benachrichtigt. Der Abgleich der IDs mit denen anderer Nutzer geschieht anonym.
Hello Q
Hello Q ist speziell für Kulturveranstaltungen gemacht – das heißt, die App eignet sich für Besucher von Konzerten, Theater und Kinos. Im Gegensatz zu den meisten anderen Luca App Alternativen geschieht das Einchecken hier nicht durch das Scannen eines QR-Codes. Stattdessen erstellst du mit der App einen eigenen Code. Dieser wird wiederum vom Veranstalter eingescannt. Die Liste mit den Informationen aller Besucher wird dezentral codiert und an die Gesundheitsämter übertragen. Das macht die App besonders sicher.
E-Guest
Die App ist in erster Linie für Betriebe gedacht, die Besucherdaten festhalten müssen. Dies macht die Anwendung datenschutzkonform, das heißt: auf Servern, die in Deutschland stehen. Die gespeicherten Informationen werden mit einem Pseudonym anonymisiert und verschlüsselt. Daneben stehen noch eine ganze Reihe weiterer Features zur Auswahl. Unterm Strich ist E-Guest eine praktische App zur Registrierung – sowohl für Gäste als auch für Gastronomen.
Update: Luca App und das digitale Restaurant
Die Luca App spielte wie die Corona-Warn-App eine wichtige Rolle in Zeiten der Pandemie. Hier lag der Fokus auf der Kontaktnachverfolgung in der Gastronomie. Dies hat sich mit Ende der Pandemie geändert. Daher wurde die App für diesen Nutzen eingestellt. Nach eigenen Angaben löschte Luca sämtliche Daten aus dem Luca-System, die seit Beginn der App erfasst und verschlüsselt gesichert wurden. Im Februar riefen Menschen auf Twitter zudem zu einem „Luca-Lösch-Tag“ auf.
Luca musste sich nach dem Ende der Kontaktnachverfolgung etwas Neues ausdenken und positionierte sich neu. Mit Luca soll nun der Restaurantbesuch digitaler werden, man soll unter anderem über die App bezahlen können. Das Unternehmen hob bei der Investorensuche die Nutzung der bestehenden Nutzerbasis im Wachstumsplan hervor. Luca konnte aber die verschlüsselten Nutzerdaten, die im Rahmen der Kontaktnachverfolgung an rein diesen Zweck gebunden waren, wie oben bereits erwähnt, nicht speichern. Diese mussten mit Ende der Nachverfolgung vollständig gelöscht werden. Das geht aus der Datenschutzgrundverordnung hervor, wo gesagt wird, dass Unternehmen die Daten ihrer Nutzer nur für den vereinbarten Zweck nutzen dürfen. Ändert sich der Zweck der App, muss der User neu einwilligen.
So kannst du für die Sicherheit deiner Kontaktdaten sorgen
- Informiere dich darüber, bei welchem Dienst du deine Kontaktdaten hinterlässt. Eine schnelle Suche im Internet kann dir vieles über den Dienstanbieter sagen. Ist er vertrauenswürdig? Gibt es bereits Kritik an ihm? Dann solltest du lieber nach Alternativen suchen.
- Gib online nur das Nötigste von dir preis. Leicht zugängliche Daten können dazu beitragen, dass jemand Informationen über dich sammelt und sie für Cyberangriffe verwendet.
- Software-Updates sind das A und O. Aktualisiere regelmäßig deine Geräte und leg dir ein gutes Antivirenprogramm.
- Verwende ein VPN. Eine VPN-Software hilft dir, deine Identität zu verbergen und verhindert, dass Hacker deine Daten abfangen, insbesondere, wenn du im öffentlichen WLAN surfst. Die Bedrohungsschutz-Funktion von NordVPN blockiert außerdem Webseiten, die dafür bekannt sind, dass sie Schadsoftware hosten.
Sichere jetzt deine Daten mit NordVPN. Probier es einfach aus mit unserer 30-Tage-Geld-zurück-Garantie.