Alexander Dix

Mit Apps gegen Corona – Was bringen Luca und Corona-Warn-App?


ZD-Aktuell 2021, 04441   Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) lud am 15.3.2021 zu einem Gespräch zwischen Wissenschaft, App-Anbietern und Datenschutzexperten ein, bei dem ausgelotet werden sollte, wie auch die nächste Generation technologischer Hilfsmittel einen wirksamen Beitrag zur Überwindung der Pandemie leisten kann, ohne die Freiheitsrechte einzuschränken.

Der Vorsitzende der Europäischen Akademie und ehemalige Bundesbeauftragte für den Datenschutz Peter Schaar moderierte die Veranstaltung gemeinsam mit Dr. Dennis-Kenji Kipker, dem wissenschaftlichen Geschäftsführer des Instituts für Informations-, Gesundheits- und Medizinrecht (IGMR) der Universität Bremen und Mitglied des EAID-Vorstands. Zunächst führte Schaar inhaltlich in das Thema ein und wies darauf hin, dass die Corona-Warn-App trotz mittlerweile 26 Mio. Downloads zunehmend in der Kritik stehe, da sie die Kontaktverfolgung durch die Gesundheitsämter nicht erleichtere. Mittlerweile würde zunehmend über weitere Apps diskutiert, die Kundenkontakte und Restaurantbesuche erfassen und sich zur Erkennung von Infektionsclustern eignen.

Patrick Hennig, Gründer und Managing Director der Nexenio GmbH, dem wirtschaftlichen Träger der Luca-App, erläuterte zunächst, welchen Zweck die Luca-App neben der Corona-Warn-App verfolgt. Ihr primäres Ziel sei es, den Gesundheitsämtern die Kontaktverfolgung zu erleichtern. Die Situation in den Gesundheitsämtern sei sehr unterschiedlich, diese seien den Entwicklern der Luca-App dankbar gewesen, dass endlich jemand mit ihnen spreche. Hennig sprach sich gegen eine Verknüpfung der Corona-Warn-App mit der Luca-App aus. Die Gesundheitsämter bekämen über die Luca-App nur im Infektionsfall Kontaktdaten. Diese App sei gemeinsam mit dem Gesundheitsamt Jena entwickelt worden und komme mittlerweile in mehr als 40 Gesundheitsämtern bundesweit im Einsatz. In der Praxis erfolge die manuelle Kontaktaufnahme des Gesundheitsamts zu den Betroffenen mit einer Verspätung von mehreren Tagen. Die Luca-App soll diese Zeitspanne verkürzen, Bürger*innen und Gesundheitsämter näher zusammenbringen und gleichzeitig den digitalen Prozess in den Gesundheitsämtern verbessern. Letztlich sei aber die Digitalisierung in den Gesundheitsämtern wichtiger als jede App. Geplant sei auch eine Integration der Luca-App mit der nicht flächendeckend in den Gesundheitsämtern eingesetzten Software SORMAS. Die App speichert zunächst lokal die personenbezogenen Anmeldedaten der Nutzer*innen und die Besuchshistorie, insbesondere die Check-Ins mittels gescannter QR-Codes in Restaurants, Geschäften oder Pflegeheimen. Beim Scannen des QR-Codes übermitteln die Nutzer*innen zugleich den Betreibern der Restaurants etc. ihre Kontaktdaten, deren Erfassung bisher durch die Corona-Verordnungen der Länder noch in Schriftform vorgeschrieben ist. Dabei werden die Kontaktdaten in einem ersten Schritt mit einem bundesweit einheitlichen Tageschlüssel der Gesundheitsämter verschlüsselt. Anschließend verschlüsselt der Betreiber der Einrichtung diese Daten zusätzlich mit seinem Betreiberschlüssel und sendet sie zusammen mit seiner Betreiber-ID und einer Trace-ID an das Luca-System. Die so entstehende Besuchshistorie wird auf den Smartphones (bzw. Schlüsselanhängern für Menschen ohne Smartphone) der Nutzenden gespeichert. Diese können im Fall einer Infektion die Daten freiwillig und selektiv dem Gesundheitsamt zugänglich machen. Im Fall einer gemeldeten Infektion werden die Luca-Nutzer*innen gefragt, ob sie ihre Daten freigeben wollen (wozu sie nicht verpflichtet sind). Ob jemand die Luca-App nutzt, muss das Gesundheitsamt erfragen. Falls die Bereitschaft besteht, schickt er oder sie dem Gesundheitsamt über die App eine Transaktionsnummer (TAN), mit der dieses die Besuchshistorie und die Kontaktdaten bei den Restaurants oder Pflegeheimen selektiv abrufen und entschlüsseln kann. Die doppelte Verschlüsselung der Daten schließe zugleich den direkten Zugriff der Polizei auf die Daten aus. Nach Angaben von Hennig nutzen derzeit etwa 2.000 Einrichtungen die Luca-App.

Ein anderes Konzept vertrat Jan Kus, Gründer von „recover“ und der Initiative „Wir für Digitalisierung“, der zunächst darauf hinwies, dass seit November 2020 ca. 50 hard- und softwaregestützte Systeme zur Erfassung von Kontaktdaten entwickelt worden seien. Die Initiative „Wir für Digitalisierung“ ist im März 2020 aus dem von der Bundesregierung unterstützten „WirVsVirus-Hackathon“ hervorgegangen und besteht aus einer Vielzahl von engagierten Programmierern, Startups, Interessensgemeinschaften und Verbänden. Ihr zentrales Anliegen ist die Schaffung einer einheitlichen, offenen Schnittstelle für die Gesundheitsämter in Form einer „Daten-Drehscheibe“, über die sie auf digitale Kontaktdaten unabhängig davon zugreifen können, mit welcher der zahlreichen Apps und Erfassungssysteme die Restaurantbetreiber oder Veranstalter diese Daten erfassen. Diese Daten-Drehscheibe werde seit Mai 2020 entwickelt. Zugleich betonte Kus, eine personenbezogene Erfassung von Kontaktdaten sei zur digitalen Pandemiebekämpfung nicht erforderlich, wie das Vorbild der Schweizer App CrowdNotifier zeige. Allerdings verlangten die aktuellen deutschen Corona-Schutz-Verordnungen dies aber, bei deren Umsetzung man den Gastronomen und Veranstaltern helfen wolle. Gegenwärtig werden rd. 12.000 Betriebe und Einrichtungen durch unterschiedliche Kontaktdatenerfassungssysteme abgedeckt. Auf diesem dezentralen Prozess sollte jede neue Lösung aufsetzen. Die Gesundheitsämter, von denen erst etwa zwei Drittel mit der SORMAS-Software ausgestattet seien, benötigten ein einfaches System, zumal mit einer flächendeckenden Einführung von SORMAS nicht in absehbarer Zeit zu rechnen sei. Deshalb sei die schnelle Einführung einer offenen Schnittstelle notwendig, die alle Gesundheitsämter nutzen könnten. Ein zentrales System der – ohnehin problematischen - Kontaktdatenerfassung hielt Kus nicht für sinnvoll. Dem Einwand, dass für die Nutzer*innen eine einheitliche App benutzerfreundlicher sein könnte, begegnete Kus mit dem Hinweis, dass es um eine einheitliche Basis gehe, die die Anbindung unterschiedlicher Apps erlaube, wie sie die Restaurants oder sonstigen Einrichtungen gegenwärtig anbieten. Jeder Smartphone-Nutzer verwende schon heute eine Vielzahl von Apps, auch zur Kontaktdatenerfassung. Letztlich sei der QR-Code in den Gaststätten oder Konzertsälen das einheitliche Interface. Zudem erhöhten unterschiedliche Dienstangebote den Wettbewerb und Innovationsdruck. In Köln erprobe die Initiative „Wir für Digitalisierung“ gleichwohl gegenwärtig eine einheitliche App.

Auf die Nachfrage, ob eine zentrale Speicherung der Kontaktdaten auf einer Daten-Drehscheibe dies nicht zum lohnenden Ziel für Cyber-Angriffe mache, betonte Kus, die Daten würden nicht zentral gespeichert, sondern von der Drehscheibe nur abgefragt und „durchgeroutet“. Hinsichtlich der Lebensspanne der Apps zur Kontaktverfolgung hob Kus hervor, dass man sich an der Schweizer App CrowdNotifier orientiere, die keine Kontaktdaten über das Ende der Pandemie hinaus speichere. Hinsichtlich der Sicherheitskonzepts für die Daten-Drehscheibe verwies Kus darauf, dass in den nächsten Tagen die ersten Betreiber an die Drehscheibe angeschlossen würden, das Integrationskonzept als Open Source auf GitHub veröffentlicht sei und kontinuierlich weiterentwickelt werde. Kus lud die Macher der Luca-App ausdrücklich ein, sich an der Daten-Drehscheibe zu beteiligen.

Marit Hansen, die Landesbeauftragte für den Datenschutz und Leiterin des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, machte darauf aufmerksam, dass gegenwärtig längerfristige Infrastrukturentscheidungen für künftige Pandemien getroffen würden. In diese Entscheidungen seien die Datenschutzbehörden ebenso wenig wie in die Entwicklung der „Daten-Drehscheibe“ einbezogen worden. Solche Infrastrukturentscheidungen ließen auch das Mantra der Freiwilligkeit auf Dauer als fragwürdig erscheinen. Man habe schon bei der Corona-Warn-App ähnliche Diskussionen über zentrale und dezentrale Ansätze geführt wie jetzt bei der personalisierten Kontakt-Registrierung. Gegen eine zentrale Lösung auf europäischer Ebene spräche auch die Tatsache, dass Sicherheitsprobleme dann alle NutzerInnen in Europa betreffen würden.

Hansen hob hervor, dass Datenschutzbehörden keine Unbedenklichkeitserklärungen für digitale Lösungen in der Pandemie abgeben könnten. Apps mit weitgehend anonymem Proximity-Tracing sollten nicht mit Anwendungen zum personenbezogenen Tracking verknüpft oder vermengt werden. Monopole seien auch aus der Sicht des Datenschutzes abzulehnen, zumal viele Apps auch einen spezifischen Mehrwert hätten. Zwei parallel zu nutzende Apps hielt sie für praktikabel, nicht aber vierzig unterschiedliche Anwendungen. Auch die Gesundheitsämter mit ihrer sehr unterschiedlichen Ausstattung hätten dann wahrscheinlich Probleme mit der Schlüsselverwaltung. Standardisierung und Zertifizierung von digitalen Lösungen bezeichnete sie als Königsweg, denn der einzelne Nutzer oder die Nutzerin könnten kaum beurteilen, welche App datenschutzkonform sei. Auch Hansen unterstrich, dass die personenbezogene Erhebung von Kontaktdaten fachlich nicht erforderlich sei. Die Corona-Schutz-Verordnungen müssten deshalb im Hinblick auf die Datensparsamkeit verändert werden.

Die technischen Aspekte der Luca-App beleuchtete Prof. Dr. Marian Margraf, FU Berlin, Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) und Mit-Entwickler des Kryptokonzepts von Luca. Dabei stand das Verschlüsselungskonzept der Luca-App im Vordergrund, das ein vom Bundesamt für die Sicherheit in der Informationstechnik empfohlenes hybrides Verschlüsselungsverfahren vorsehe. Die doppelte Verschlüsselung stelle sicher, dass zunächst weder der Betreiber eines Restaurants noch das Luca-System die Kontaktdaten der App-Nutzer erfahre. Margraf ging auch auf die Kritik an der Erzeugung eines bundesweit einheitlichen Tagesschlüssels für die Gesundheitsämter ein und begründete dies mit der Schwierigkeit, dass das Luca-System nicht das jeweils zuständige Gesundheitsamt kenne. So sei für einen App-Nutzer aus Kiel, der ein Berliner Restaurant besuche, nicht das Gesundheitsamt in Kiel, sondern in Berlin zuständig. Nach Angaben von Margraf steht die Veröffentlichung des Krypto- und Sicherheitskonzepts der Luca-App bevor; die Veröffentlichung des Source-Codes der App sei für Ende März geplant, die der Datenschutz-Folgenabschätzung für Mitte April. Weitere Verbesserungen, die organisatorische Vorgaben technisch absichern sollen, seien geplant. Hennig ergänzte, dass die Herausgabe der von Luca verwendeten digitalen Zertifikate in Zukunft durch die Bundesdruckerei als „trusted third party“ erfolgen solle, auch in Mecklenburg-Vorpommern, wo der flächendeckende Einsatz der Luca-App bevorstehe. Man wolle die dadurch entstehenden Kosten allerdings nicht der „gebeutelten Branche“ von Gastwirten und Veranstaltern aufbürden. Sobald der Rechtsrahmen dies zulasse, könnte auch bei Luca jederzeit auf die Erhebung personenbezogener Daten verzichtet werden.

Abschließend nahm der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Prof. Dr. Johannes Caspar, zu den rechtlichen Aspekten von digitalen Lösungen zur Pandemiebekämpfung Stellung. Er unterstrich, dass eine Entscheidung des Bundesgesetzgebers über den Umfang der Datenerhebung und ihre Konsequenzen in der Pandemie überfällig sei. Der Bund habe die konkurrierende Gesetzgebungskompetenz, von dieser aber bisher nur rudimentär Gebrauch gemacht. Stattdessen seien die wesentlichen Regelungen den Ländern überlassen worden, die in ihren Corona-Schutz-Verordnungen die Erhebung ganz unterschiedlicher Datensätze vorgeschrieben hätten. Der Eintritt in Restaurants und Museen werde vielfach mit der Angabe von Namen und Telefonnummern „bezahlt“. Die bisher vorgesehene Pflicht zur Führung von schriftlichen Listen hätte zu erheblichen Datenschutzproblemen geführt, die durch digitale Lösungen entschärft werden könnten. Das müsse der Gesetzgeber aber entsprechend regeln. Gegenwärtig sei z.B. der Einsatz der Luca-App zur Verarbeitung personenbezogener Daten durch öffentliche Stellen wie die Gesundheitsämter noch nicht rechtskonform. Zudem müsse der Gesetzgeber für ein absolutes Zweckentfremdungsverbot sorgen, wie sie etwa das Autobahn-Maut-Gesetz schon enthält. Die Daten, die zur Pandemiebekämpfung erhoben würden, seien ungleich sensitiver als die bei der Autobahn-Maut erhobenen Daten. Auf diese Weise könne Vertrauen und Akzeptanz in der Gesellschaft hergestellt werden, was zugleich zu einer breiteren Nutzung solcher Instrumente führen würde. Die Datenschutz-Grundverordnung sei zu unspezifisch, um die notwendigen Fragen eindeutig zu beantworten. Die Konferenz der unabhängigen Datenschutzbehörden habe eine Taskforce unter Beteiligung von Berlin, Hamburg, Mecklenburg-Vorpommern und Rheinland-Pfalz gebildet, die gegenwärtig Grundsätze für die Datenerhebung im Rahmen der Pandemie im Allgemeinen und für die Luca-App im Besonderen formuliere. Die Datenschutzaufsichtsbehörden hätten großes Interesse daran, die Digitalisierung in diesem Bereich zu ermöglichen und nicht etwa zu verhindern. Der Datenschutz verstehe sich auch in diesem Zusammenhang als Partner und nicht als Bremser.

Resümierend hielt Schaar fest, dass komplexe rechtliche und technologische Probleme in einer Krisensituation nach schnellen Lösungen verlangten. Hier hätten die zahlreichen kleinen Entwickler von Apps zur Kontaktverfolgung gewisse Vorteile gegenüber den schwerfälligen „Tankern“ Telekom und SAP. Der rechtliche Rahmen hätte zum Start der Corona-Warn-App möglicherweise noch ausgereicht, weil bei ihr kaum personenbezogene Daten erhoben werden. Jetzt aber sei eine bundeseinheitliche Rechtsgrundlage – wie von Caspar gefordert – unumgänglich, die auch eine Zweckentfremdung der Daten ausschließen müsse. Außerdem müsse der Gesetzgeber dem Gebot der Privacy by Design und der Datenminimierung Rechnung tragen. Es sei zu begrüßen, dass auch die Entwickler der Luca-App kein Monopol anstrebten und bereit seien, auf die Erhebung personenbezogener Daten zu verzichten, sobald dies rechtlich zulässig sei. Angesichts der Entwicklung der Pandemie sei davon auszugehen, dass die diskutierten Probleme mindestens bis zum nächsten Jahr relevant blieben.

 

Dr. Alexander Dix ist ehemaliger Berliner Beauftragter für Datenschutz und Informationsfreiheit und Mitglied im Vorstand der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID).