Zuerst der Skandal um die mutmaßliche Billig-Programmierung, die auf zusammengeklaubten Open-Source-Elemente zurückgriff – und nun erhebliche Lücken bei der Datensicherheit: Der Wirbel um die von „Fanta4“-Frontmann Smudo gehypte „Luca“-App, die von mehreren Bundesländern in blindem Aktionismus angeschafft wurde und sich als smarte, zwischen „kreativer“ Privatwirtschaft und „hippen“ Künstlern in Eigenregie entwickelte Kardinallösung für kontrollierte „Lockerungen“ empfiehlt, nimmt kein Ende. Nun schlagen Datenschützer Alarm.
Es kommt langsam knüppeldick für Smudo und seine Entwicklerfreunde vom Berliner Programmierer-Startup neXenio, die unter der Aufsicht ihres Maintainers Culture4Life GmbH die Kontaktpersonennachverfolgungsapp zusammengebastelt haben. „Luca“ wurde als ausgereiftes und gegenüber der staatlichen Corona-App verbessertes Konzept dargestellt, indem es vor allem auf „Locations“ und mögliche Clustererkennung reagiert, anstatt, wie die 60-Millionen-„Bundeswarnapp“, auf Einzelkontakte über Bewegungsprofile („proximity tracing„). Der Teufel steckt jedoch im Detail – und die Risiken im für den normalen User gar nicht nach nachvollziehbaren Quellcode. Der Hamburger Datenschutzbeauftragte Johannes Caspar wirft den Anbietern der Luca-App nun mangelnde Transparenz vor.
Kein einsehbarer Quellcode
Dabei gehe es gerade darum, mit den Corona-Apps Offenheit und Nachvollziehbarkeit gegenüber der Öffentlichkeit zu erreichen. „Ohne den Quellcode ist nicht einsehbar, wie eine Software funktioniert„, so Caspar derin „Rheinischen Post„: Unzweifelhaft müssten datenschutzrechtliche Dokumentationen vor der Inbetriebnahme erstellt und das Risiko für die Rechte und Freiheiten der betroffenen Personen bekannt sein, fordert der Datenschutzbeauftragte. „Ein Instrument – die Datenschutzfolgenabschätzung – wurde bis zum heutigen Tage noch nicht bekannt gegeben und ist für eine datenschutzrechtliche Bewertung unerlässlich. Dies sollte dringend nachgeholt werden; insbesondere, da die App in einigen Kommunen und Ländern bereits zum Einsatz kommt„, kritisiert Caspar die App entschieden.
In der Konsequenz bedeuten die Sicherheitsbedenken, dass Luca theoretisch also doch zur Spionage genutzt werden könne – weil niemand wirklich zuverlässig nachvollziehen kann, was mit den über ihn erfassten Daten letztlich passiert. War die Verschleierung und Intransparenz womöglich einer der Gründe, dass soviele Länder prompt „die Katze im Sack“ kauften und die App zur Kontaktverfolgung bereits einsetzen – so wie Mecklenburg-Vorpommern, Thüringen und Baden-Württemberg -, bzw, etliche weitere Länder wie Niedersachsen, Bremen, Hamburg, Schleswig-Holstein, Hessen, Rheinland-Pfalz, Sachsen-Anhalt, Brandenburg und das Saarland ihren Einsatz konkret planen?
Neben den Gesundheitsämtern dürften sich bestimmt auch die Landesverfassungsschutzämter dankbar erweisen, wenn im Zuge des Corona-Kontaktmonitorings allerlei nützlicher Daten-„Beifang“ eingeholt wird. (DM)