Corona und die App-Heilsbringer

Vor einigen Monaten hatte ich in meinem Beitrag „Und immer wieder grüßt der Datensammler“ noch darüber geschrieben, dass es scheinbar eine Art ungeschriebenes Gesetz gibt, nachdem alle paar Monate wieder ein Unternehmen oder der Staat gleich selbst versuchen, irgendeine Art von Dienst oder Gesetz/Verordnung zu etablieren, die Ihnen möglichst viel Datenzugriff und eine Umgehung des Datenschutzes ermöglicht.

Und tja was soll ich sagen, es ist wieder soweit! Nachdem das Gesundheitsministerium damals, als es um die Einführung der Corona-Warn-App ging, erst unter massivem Druck – vor allem von Google und Apple, deren Betriebssystem und Hardwaretreiber dafür ja gebraucht werden – seine ursprüngliche Idee aufgab, eine zentrale Datenerfassung einzubauen, kommt etwas ähnliches jetzt, da es um Öffnungsschritte geht, wieder auf. Im Rampenlicht steht dabei vor allem die App „Luca“, die zuletzt auch prominente Unterstützung von Smudo erhalten hat. Hersteller ist ein eher kleines Startup, das seine App aber gleich für ein paar Millionen an einige Bundesländer verkauft hat. Doch Luca ist nicht die einzige App, die „Normalität“ verspricht, sobald man sie nutzt.

Worum geht es eigentlich genau bei der Luca-App?

Wir sind inzwischen seit mehr als einem Jahr in der Corona-Pandemie und über 5 Monate im Dauerlockdown ohne wirkliche Perspektive. Zwar kommt die Impfkampagne langsam in Gang, aber das ist bisher auch die einzige Hoffnung, dass man irgendwann wieder halbwegs normal leben kann. Und in dieser Situation, in der eigentlich alle nur noch genervt sind und sich wünschen wieder mehr Normalität zu bekommen, platzieren einige Anbieter allen voran Nexenio ihren App-Dienst. Das Versprechen ist, durch die Nutzung wieder in Bars, Theater, Konzerte u.Ä. zu dürfen. Dabei soll sich jeder Gast in der jeweiligen Lokalität über einen QR-Code sozusagen einloggen, so dass im Falle einer Corona-Infektion alle dort Anwesenden vom Gesundheitsamt identifiziert werden könnten und in Quarantäne geschickt werden könnten. Also das was bisher über die Zettel und Listen in den Gaststätten, Bars und anderen Einrichtungen gelöst wurde. Oder eben auch nicht, wenn falsche Adressen und Namen eingegeben wurden.

Soweit das Prinzip, das Problem ist aber die Vorgehensweise. Erstens muss das Gesundheitsamt dennoch alle Einträge prüfen, auch wenn eine App genutzt wird und verifiziert werden die Daten von der App auch nur rudimentär (nur die Telefonnummer, die man mit ein paar Kniffen auch vorgaukeln kann). Es ist also fraglich, was der wirkliche Mehrwert ist. Zweitens gäbe es die Möglichkeit über sogenannte Code-Injections (Schlüsselzeichen und Wörter z.B. im Namen) zu versuchen auf die an die App angeschlossenen Server der Gesundheitsämter zuzugreifen und diese dann fernzusteuern. Andere Versuche zeigen, dass durch massenhaftes Einscannen von abfotographierten QR-Codes das System zum Absturz gebracht werden kann, wie als wären 1 Millionen Gäste in einer Bar, physisch unmöglich. Drittens missachten die Entwickler zentrale Sicherheitsvorkehrungen und der Code ist auch nur ausschnittsweise einsehbar.

Am schwersten wiegt aber, dass eine privatwirtschaftliche Firma Daten so vieler Menschen sammelt und dadurch weiß, wer wann wo und mit wem war. Zusätzlich werden noch die Standortdaten per GPS abgegriffen und das „nur“ um Papierlisten zu ersetzen. Der Chaos Computer Club fordert daher zu Recht eine „Notbremse“ für Luca (hier auch ein Interview mit dem CCC-Sprecher Neumann in der SZ). Und auch in anderen Medien wird die App kontrovers diskutiert und teilweise von der Nutzung abgeraten (z.B. hier bei der taz, bei der SZ, der Zeit (Artikel 1 und Artikel 2) oder der FAZ). Die Berliner Datenschutzbeauftragte, die leider im Laufe des Jahres aufhören wird, rät dringend vom Einsatz des Systems ab. Dennoch haben ihre Parteikollegen und allen voran der Berliner Senat es sehr eilig mit der Einführung des zweifelhaften Systems.

Was tun die Bundesländer?

Die vorgebrachten Bedenken und Unsicherheiten haben keines der Käufer-Bundesländer bisher davon abgehalten, das System zu kaufen und teilweise (wie in Mecklenburg) massiv zu pushen. Laut netzpolitik.org wurden für die ein Jahr gültige Lizenz von den kaufenden Bundesländern zusammen 20 Millionen Euro! gezahlt. Die Gesundheitsämter werden nun quasi gezwungen ein schlechtes System anzubinden, obwohl nicht klar ist, welche Sicherheitsrisiken damit für das bisher nur für den amtlichen Datenverkehr vorgesehene Sormas-System entstehen. Sich dagegen als Gesundheitsamtschef zu wehren, bedeutet viel Mut und Überzeugung, da man nicht nur seinen obersten Dienstherren (Ministerpräsident:in) sondern auch die Betreiber von Gaststätten, Bars etc, die sich von der App eine Wiedereröffnung ihrer Betriebe erhoffen, gegen sich aufbringt.

Aktuell haben ca. 3 Millionen Menschen die App heruntergeladen, die Corona-Warn-App ist deutlich verbreiteter. Dass eine Firma mit so einer großen Datenbasis enorme Macht erhält, noch dazu, wenn die Bundesländer die Nutzung verpflichtend für Öffnungen machen wollen, scheint egal zu sein. Vielmehr scheint der ehemalige Wahlwerbespruch einer Partei von 2017 zu gelten „Digitalisierung first, Bedenken second“. Weil es die meisten Bundesländer auch besonders eilig hatten, wurden auch keine normalen Ausschreibungsverfahren eingehalten und es wurden keine anderen Wettbewerber in Betracht gezogen. Eigentlich ein Fall für den Rechnungshof.

Die App liefert keinen wirklichen Mehrwert zu den Alternativen

Alternative Dienste hätte es zwar genug gegeben, aber diese wurden nirgendwo erhört und hatten natürlich auch nicht so einen bekannten Fürsprecher wie Smudo. Dass Smudo aus Eigeninteresse handelt, da er nicht nur Musiker sondern auch noch Investor der Firma ist, geschenkt. Die Corona-Warn-App vom Bund kann nach dem letzten Update ebenfalls für die Nutzung in Lokalitäten und die Warnung aller Anwesenden beim Infektionsfall genutzt werden, aber ohne Daten der Anwesenden zu sammeln. Laut Luca-Entwicklern sei das aber schlecht, da dann die Gesundheitsämter keine Kontaktdaten bekämen, sondern Infizierte sich selbst melden müssten. Abgesehen davon, dass die Gesundheitsämter bereits jetzt schon überlastet sind, verfängt das Argument trotzdem nicht, da Personen über das Scannen falscher QR-Codes oder anderer Umgehungsmechanismen auch digital (nicht nur in den ausgelegten Listen) falsche Angaben machen könnten.

In dem oben verlinkten Artikel der Zeit wird zudem ein Mitarbeiter des Gesundheitsamtes Bodensee zitiert, der sagt, dass mit den reinen Kontaktdaten – selbst wenn sie korrekt sind – noch nicht viel gewonnen wäre. Andere Faktoren müssten herangezogen werden, um zu beurteilen, wie hoch das Risiko der Begnung war und ob die Personen isoliert gehören. Dafür braucht man Mitarbeiter und keine App. Zudem erklärt der Gesundheitsdienst-Mitarbeiter, dass in seienm Zuständigskeitsbereich während der gesamten Pandemie bisher nur 3mal! Kontaktlisten eingesammelt werden mussten. Da stellt sich noch mehr die Frage, wie solch massive Privatsphäreeingriffe rechtlich und politisch legitimiert werden, wenn das System am Ende keinen wirklichen Nutzen bringt und im Endeffekt nur digitale Listen erstellt werden.

Aber ohnehin sieht Nexenio die Corona-Kontaktnachverfolgung nur als Zwischenschritt. Nachdem Pläne zum weiteren Geschäftsaufbau bekannt geworden sind, soll das Luca-System dann nach der Pandemie als Ticketsystem oder als digitalen Impfpass genutzt werden; die Daten vieler Deutschen hätte man dann ja schon. Allein diese Pläne untergraben jedes Vertrauen, die App zu nutzen und lassen das ohnehin schon eigenartige Vergabeverfahren noch merkwürdiger erscheinen.

In diesem Sinne

Corona ermüdet alle langsam und die Meisten wünschen sich nichts sehnlicher, als ein Stückchen Normalität wiederzuerlangen. Und genau dieses Bedürfnis wird mit fragwürdigen digitalen Anwendungen bedient. Dabei erhalten wir vielleicht (auch das ist nicht sicher) wieder etwas mehr normalen Alltag zurück, zahlen aber mit der Preisgabe unserer persönlichsten Daten und Vorlieben. Auf diesen schlechten Deal sollte keiner eingehen, und wenn uns die Politik davor nicht schützen will, sondern dies vielmehr noch durchboxt, bleibt nur der persönliche Boykott. Schließlich geht es um die Wiederherstellung unserer Grundrechte, die nicht an die Nutzung einer App gekoppelt werden darf und soll. Im Notfall landet dies – wie so vieles – bei den Verfassungsgerichten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.