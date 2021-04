Potsdam

Die Luca-App soll dabei helfen, die Kontaktverfolgung im Fall einer Corona-Infektion zu erleichtern. Zum Beispiel dann, wenn mehrere Menschen zugleich an einem Ort sind – im Restaurant, im Museum, bei einem Konzert. Seit vergangener Woche ist die App auch in Brandenburg offiziell im Einsatz. Neun Gesundheitsämter sind inzwischen an die Schnittstelle des Systems angeschlossen.

Bis Ende des Monats soll die App flächendeckend genutzt werden können. In Ostprignitz-Ruppin etwa können sich Kunden der Zulassungsbehörde seit voriger Woche über Luca registrieren. Die Zettelwirtschaft entfällt so für sie. In Cottbus kann man seine Daten beim Besuch des Tierparks über die Luca-App hinterlegen. In beiden Fällen, so heißt es aus den Verwaltungen, habe die Integration des Systems problemlos geklappt.

Datenschutzbeauftragte fordert Informationen ein

Doch je weiter sich das einfach klingende System verbreitet, desto mehr Kritiker melden sich zu Wort. Auch Brandenburgs Landesdatenschutzbeauftragte Dagmar Hartge hat Fragen. Sie hat das Gesundheitsministerium aufgefordert, nähere Details zum geplanten Einsatz der Kontaktverfolgungs-App zu liefern. In der Behörde will man sich derzeit nicht konkreter zu der neuen App äußern. Eine Empfehlung oder eine Warnung der Datenschutzbeauftragten gibt es nicht – weil es derzeit noch zu wenige Informationen gibt, wie es auf Anfrage hieß.

In einer gemeinsamen Stellungnahme der Konferenz der Datenschutzbehörden der Länder (DSK) heißt es, dass bei zentral betriebenen Diensten wie dem Luca-System „ein systematischer Nachweis der Sicherheit des Systems unerlässlich“ sei. Die Datenschützer empfehlen eine „möglichst dezentrale Speicherung der erfassten Daten“. Die Luca-App aber speichert die Daten ihrer Nutzer zentral. Sie sind dabei jedoch laut der Berliner Entwicklerfirma Nexenio doppelt verschlüsselt und anonymisiert. Entschlüsselt werden durch das Gesundheitsamt werden die Daten nur, wenn ein infizierter Nutzer dem zugestimmt hat.

Böhmermann nachts im Osnabrücker Zoo

Auf eine andere mögliche Schwachstelle machte in der Nacht auf Mittwoch der Moderator des ZDF Magazin Royale, Jan Böhmermann, aufmerksam. Mitten in der Nacht loggte er sich als Besucher des Osnabrücker Zoos ein, der die Luca-App zur Registrierung seiner Gäste nutzt. Wenig später teilte Böhmermann mit, er habe sich soeben erfolgreich von Potsdam-Babelsberg aus im Modehaus Brörmann in Bohmte (Niedersachsen) als Gast registriert. In beiden Fällen genügte ein abfotografierter QR-Code, um sich als vermeintlicher Gast des Zoos und der Boutique zu registrieren. Diese Codes hängen zum Beispiel in Schaufenstern von Geschäften oder finden sich auf Webseiten.

Böhmermann zeigte mit seiner Aktion, dass die App in diesem Punkt zu manipulieren ist. Möglich ist dies, da man zum Einchecken mit der Luca-App nur den QR-Code des Gastgebers braucht, die App aber selbst nicht mit Hilfe der Standortdaten überprüft, ob sich ein Besucher auch tatsächlich vor Ort befindet. Eine Standortprüfung ist nach Angaben der Entwickler auch nicht geplant.

Was Böhmermann hier zeigt, ist im Prinzip eine Umkehrung des Phänomens, das im vergangenen Sommer zu beobachten war: Wer mutwillig ist, kann die Corona-Schutzmaßnahmen unterlaufen. Als man beim Restaurantbesuch seine Kontaktdaten in eine papierne Liste eintragen musste, machten einige Gäste falsche Angaben, trugen sich als Donald Duck oder Mickey Mouse ein. Nun läuft es umgekehrt: Man wird Gast einer Einrichtung, wo man nie gewesen ist.

Das ist zwar sinnlos, könnte aber zu Problemen führen: Wenn sich beim Italiener um die Ecke aus Spaß Hunderte Fake-Besucher einloggen, die gar nicht vor Ort sind, könnte sich die Kontaktverfolgung durch das örtliche Gesundheitsamt im Fall einer echten Corona-Infektion als schwierig erweisen. Die Frage ist, wie realistisch ein solches Szenario ist.

Falscher Name: Ordnungswidrigkeit?

Einer der Entwickler der App, Nexenio-Chef Patrick Hennig, weist gegenüber der MAZ darauf hin, dass sich Böhmermann womöglich einer Ordnungswidrigkeit schuldig gemacht hat. Er habe sich schließlich über die App unter falschem Namen eingeloggt. „Dies ist möglich, da ja kein Personalausweis überprüft wird“, so Hennig. Die Telefonnummer des Smartphones, mit dem Böhmermann seine Aktion durchgeführt habe, sei aber verifiziert. „Das heißt, er wird auch kontaktiert, sollte es zu einer Infektion kommen.“

Am Sinn der App, wenn sie verantwortungsvoll genutzt wird, zweifelt das Unternehmen nicht: „Wer die App missbraucht, erhält im schlimmsten Fall eine Warnmeldung zu viel. Das Gesundheitsamt erhält einen unbrauchbaren Datensatz. Aber viele andere, die das System redlich genutzt haben werden eben auch gewarnt“, heißt es in einer Stellungnahme.

Ähnlich äußerst sich Dominik Lenz, Sprecher des Brandenburger Gesundheitsministeriums, das die App für rund eine Million Euro angeschafft hat, damit sie die kommunalen Gesundheitsämter nutzen können. „Es geht bei der Bekämpfung der Pandemie auch um die Eigenverantwortlichkeit der Menschen“, sagte er. Verpflichtend sei die App nicht. Es sei auch in Zukunft weiter möglich, sich beim Besuch von Einrichtungen mit Zettel und Papier zu registrieren.

Von Torsten Gellner