Kostenloses Online-Seminar "Nahrungsergänzung im Alter" am 3. Dezember um 15 Uhr. Jetzt hier anmelden und bequem von zuhause aus teilnehmen.

Was "luca" anders macht als die Corona-Warn-App

Stand:

Politiker und Künstler haben für die App "luca" geworben, als sie an den Start ging. Sie soll die Kontaktverfolgung erleichtern, für Besuche von Veranstaltungen, Gastronomie und nach privaten Treffen. Es gibt aber auch Kritik.

Das Wichtigste in Kürze:

  • Die Corona-Warn-App (CWA) der Bundesregierung kann Anwender über ein mögliches Infektionsrisiko informieren. Danach müssen sie selbst aktiv werden und sich zum Beispiel auf Covid-19 testen lassen. Sie arbeitet vollkommen ohne personenbezogene Daten.
  • Bei "luca" müssen Anwender einige Daten von sich angeben und die App aktiv nutzen, z.B. durch Erfassung ihres Aufenthaltsorts. Mit diesen Daten können Gesundheitsämter bei Bedarf Kontakt aufnehmen.
  • Personenbezogene Daten werden in der App gespeichert und sollen für Außenstehende nicht so leicht zu lesen sein wie Einträge auf Papier.
  • Vor allem seit Veröffentlichung eines Teils des Quellcodes gibt es Kritik an Sicherheit und Datenschutz bei "luca".
Zwei Smartphones mit den Apps luca und Corona-Warn-App
On

Neben der offiziellen Corona-Warn-App der Bundesregierung soll die App "luca" dabei helfen, gesellschaftliches Leben in der Pandemie wieder zu ermöglichen. Prominente und Politiker haben zu ihrem Start Anfang 2021 für sie geworben. Was macht sie anders als die offizielle Corona-Warn-App (CWA) der Bundesregierung? Ein Überblick.

Worin unterscheiden sich die Corona-Warn-App (CWA) und "luca" in der Anwendung?

Die CWA arbeitet nach ihrer Installation mit eingeschaltetem Bluetooth selbstständig im Hintergrund. Anwender bleiben dabei anonym, kein Gesundheitsamt kann über die CWA mit ihnen Kontakt aufnehmen. Anders bei "luca": Luca bietet neben einer Kontaktnachverfolgung auch eine Art Kontaktdatenverwaltung. Hier werden neben persönlichen Daten auch Aufenthaltsorte gesammelt. Darüber hinaus können so in einem Infektionsfall auch die Gesundheitsämter, die "luca" an ihr System angebunden haben, die Kontaktpersonen informieren.

Die CWA kann über ein Infektionsrisiko informieren, falls infizierte Personen die App ebenfalls verwenden, stets ihr Bluetooth eingeschaltet hatten und ihr positives Testergebnis in der App eingetragen haben. Es gibt bestenfalls eine Information über ein Infektionsrisiko – damit müssen Anwender selbst aktiv werden und sich mit ihren Hausärzten oder Gesundheitsämtern in Verbindung setzen. Bei "luca" können Gesundheitsämter auf Kontaktdaten zugreifen und Anwender informieren.

Wer steckt hinter den Apps?

Die CWA ist die offizielle App der deutschen Bundesregierung, entwickelt von SAP und der Deutschen Telekom. Hinter "luca" steckt die Berliner culture4life GmbH und damit ein kommerzieller Anbieter. Außerdem sind Kulturschaffende wie die Band "Die Fantastischen Vier" beteiligt und die neXenio GmbH, die aus dem Hasso-Plattner-Institut der Universität Potsdam hervorgegangen ist.

Wie wird das Erstellen von Bewegungsprofilen verhindert?

Bei der Corona-Warn-App (CWA) können keine Bewegungsprofile einzelner Anwender erstellt werden, weil weder personenbezogene Daten noch Standorte erhoben werden. Das ist auch der Fall, wenn man der neu eingeführten "Datenspende" zustimmt.

Bei "luca" erklären die Betreiber, dass alle Daten auf Servern in Deutschland verschlüsselt gespeichert würden und ausschließlich Gesundheitsämter die Daten wieder entschlüsseln könnten. Somit sei es nicht möglich, dass Geschäftsleute oder die App-Anbieter auf persönliche Daten der Nutzer zugreifen könnten. Deshalb wäre auch beispielsweise das Nutzen der Daten zu Werbezwecken nicht möglich. Inzwischen ist der gesamte "luca"-Quellcode öffentlich. Die Datenschutzbeauftragten des Bundes und der Länder und auch andere Datenschutz- und Sicherheitsexperten kritisieren unter anderem, dass sämtliche gesammelten Daten zentral gespeichert werden (siehe unten). Das könnte sie anfällig für Missbrauch machen. Trotz einiger berechtigter Kritik: Angesichts des praktischen Nutzens der App scheint nach aktuellem Stand das Risiko in der aktuellen Krise wohl vertretbar zu sein.

Wie funktioniert "luca"?

Die App-Entwickler wenden sich an verschiedene Nutzergruppen. Eine davon sind Verbraucher. Sie müssen nach Installation der App auf dem Smartphone einmalig ein Profil anlegen und Daten wie Namen und Telefonnummer eintragen. Damit wird ein sich minütlich ändernder QR-Code erstellt, der dem Endgerät (z.B. Smartphone) zugeordnet ist und mit dem das Einchecken bei Betreibern von beispielsweise Lokalen, Veranstaltungsstätten oder Geschäften möglich ist – vorausgesetzt, diese nutzen ebenfalls die "luca"-App. Dazu wird entweder vom jeweiligen Betreiber der generierte QR-Code eingescannt oder aber die Betreiber stellen selbst einen QR-Code ihres Ortes zur Verfügung, den die Verbraucher einscannen, um ihre Anwesenheit zu speichern. So wird erfasst, wer zu welchem Zeitpunkt bei ihnen war. Die Namen und Kontaktdaten der Scans können sie aber nach Angaben der App-Betreiber nicht sehen – ein Vorteil gegenüber Einträgen auf Papier. Die Betreiber der App erklären, dass Orte längstens 30 Tage gespeichert blieben.

Als weiteres Anwendungsbeispiel für "luca" werden auf der zugehörigen Internetseite private Treffen genannt. Und wer die App nicht installieren möchte oder kein Smartphone hat, könne über eine Web-Anwendung oder mit einem Schlüsselanhänger einchecken.

QR-Code in der Corona-Warn-App (CWA)

Mittlerweile kann die CWA auch QR-Codes lesen, die für die "luca"-App gedacht sind. Damit können Sie Ihren Aufenthaltsort lokal auf Ihrem Smartphone speichern. Diese Infos können aber nicht ans Gesundheitsamt gelangen und Sie können somit nicht direkt kontaktiert werden. Ist in Ihrem Bundesland die Kontaktdatenerfassung Pflicht, reicht die CWA dafür nicht aus.

Mehr zu "luca"-Codes in der CWA erklärt das Robert Koch-Institut in diesen FAQ. Sinn und Funktion der QR-Codes in der CWA erklären wir in diesem Artikel.

Welche Rolle spielen die Gesundheitsämter bei "luca"?

"luca" ist keine App der Gesundheitsämter oder anderer Behörden. Die Betreiber bieten aber an, ihre Anwendung an Systeme der Ämter anzubinden. Darin unterscheide sich "luca" von anderen vergleichbaren Apps auf dem Markt. Dann könnte es im Falle einer Corona-Infektion zum Beispiel so laufen: Das zuständige Gesundheitsamt tritt mit der infizierten Person in Kontakt, die freiwillig dem Gesundheitsamt die Liste der besuchten Orte freigibt. Dazu erhält sie eine Transaktionsnummer (TAN). Das Gesundheitsamt bittet die betroffenen Betreiber der besuchten Orte, die zeitlich relevanten Besuchereinträge freizugeben. Danach kann das Amt alle Kontaktpersonen informieren.

Politiker werben für "luca" – könnte sie zur Pflicht werden?

Eine Nutzungspflicht ist äußerst unwahrscheinlich, auch die staatliche Corona-Warn-App ist freiwillig. Aber es ist denkbar, dass sich Wirte oder Veranstalter auf ihr Hausrecht berufen und eine Nutzung der App verlangen. Die Coronaschutzverordnung des Landes NRW z.B. regelt, dass auch die Datenerfassung auf Papier möglich sein muss. Geschäftsleute mit "luca"-App können also allenfalls ihre Kunden bitten, die Daten darin erfassen zu dürfen.

Sicherheitsbedenken bei "luca"

Nachdem der Quellcode der App veröffentlicht wurde, gab es Kritik von Datenschützern und IT-Fachleuten. So warf der Chaos Computer Club im April 2021 den Betreibern "Handwerkliche Mängel und Schwachstellen" vor. Ende Mai 2021 demonstrierte ein Sicherheitsforscher in einem YouTube-Video, wie Angreifer über "luca" die Daten von Gesundheitsämtern abgreifen und diese erpressen könnten. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärt auf Twitter, dass es das Angriffs-Szenario für plausibel hält. Die culture4life GmbH hat "luca" nach eigenen Angaben kurzfristig so angepasst, dass "böswillige Angreifer:innen diese Excel-Lücke nicht mehr ausnutzen können".

Warnung vor Fake-Apps

Wie bei populären Apps üblich, sind auch seit dem Hype um "luca" neue Apps in Googles Play Store aufgetaucht, die den gleichen Namen nutzen und nicht von der culture4life GmbH stammen. Deshalb sehen Sie genau hin, wer die gesuchte App anbietet! Das wird direkt unter dem Namen der App angezeigt. In einigen Fällen sollen solche Apps ausschließlich dazu dienen, Daten von Ihrem Gerät auszuspionieren, ohne einen sinnvollen Zweck zu erfüllen.

Gleiches gilt für die Corona-Warn-App. Bei der echten wird "Robert Koch-Institut" als Herausgeber angezeigt:

Screenshot aus dem Google Play Store: Corona-Warn-App, Robert-Koch-Institut

Wird Ihnen eine echte App bei der Suche im Play Store nicht angezeigt, kann das verschiedene Gründe haben. Einer wäre, dass Ihr Betriebssystem zu alt ist. Die offizielle Corona-Warn-App arbeitet auf Android ab Version 6, "luca" ab Android 5. Ein anderer Grund könnte eine aktivierte Altersbeschränkung für Apps sein. Fake-Apps geben meistens 0 als Altersgrenze an und tauchen dann in Suchergebnissen auf, wenn die echten Apps eine höhere Alterseinstufung haben. Die CWA und "luca" sind im Google Play Store beide ab 0 Jahren verfügbar.