Digitale Kontaktverfolgung Darf ich ohne Luca-App jetzt nicht mehr zu Ikea?

Luca wird klug beworben und heftig kritisiert. Inzwischen haben viele Bundesländer Lizenzen gekauft, Firmen wie Ikea und Apollo setzen auf die App. Muss sie bald jeder installieren?
Eingang einer Kieler Ikea-Filiale: Derzeit soll man nur mit FFP-Maske, negativem Schnelltest und Luca-App kommen

Eingang einer Kieler Ikea-Filiale: Derzeit soll man nur mit FFP-Maske, negativem Schnelltest und Luca-App kommen

Foto:

xim.gs / imago images

Seit Wochen wird im Netz hitzig über Luca gestritten, eine neue App zur digitalen Nachverfolgung von Kontakten. Die einen halten das Projekt, dessen öffentliches Gesicht Rapper Smudo von den Fantastischen Vier ist, für einen Heilsbringer im Kampf gegen Corona. Mit diesem Hilfsmittel, so die Annahme, rücken Veranstaltungen und eine Öffnung von Läden und Restaurants in greifbare Nähe. Andere wiederum halten die App bestenfalls für untauglich zur Pandemiebekämpfung, schlimmstenfalls für gefährlich.

In der tiefsten Coronamüdigkeit sind die Hoffnungen, die auf dem Programm liegen, inzwischen ähnlich hochgesteckt wie damals vor der Einführung der Corona-Warn-App. Und diese Hoffnung auf Normalität und Geselligkeit nach Monaten der Isolation nährt Luca mit dem Werbeslogan »Gemeinsam das Leben erleben«.

Befürworter erhoffen sich, dass Luca dank Anbindungen an die örtlichen Gesundheitsämter die Kontaktverfolgung beschleunigt, indem die App unter anderem die Zettelwirtschaft in Geschäften und Restaurants abschafft oder zumindest eindämmt. Am Dienstagabend hieß es von Luca, sein System werde bis Anfang Mai in circa 300 Gesundheitsämtern eingeführt, die Betreiber sprechen von einem »wichtigen Schritt zur Digitalisierung« der Ämter. Andere, darunter Künstlerinnen und Künstler, aber auch Unternehmen halten Luca pragmatischer für die beste Chance darauf, dass in Coronazeiten bald überhaupt wieder Events stattfinden.

IT-Experten äußern schwere Bedenken

Zugleich gibt es aber auch massive Vorbehalte gegen Luca, vor allem unter IT-Sicherheitsexperten. Der Chaos Computer Club (CCC) zum Beispiel, Deutschlands wichtigste Hackervereinigung, forderte am Dienstagabend einen sofortigen Stopp von Luca, mehr dazu lesen Sie hier. Auch wer sich auf Twitter unter dem Hashtag #LucaApp umsieht, begegnet breit gefächerter Kritik, die App und das System drumherum seien fehleranfällig und ließen sich überlisten. Viele kleine Geschichten machen die Runde , etwa von Jan Böhmermann, der aus der Ferne nachts im Osnabrücker Zoo einchecken konnte , von Nutzern, die sich problemlos mit Fake-Nummern registrieren konnten , von einer virtuellen Party mit vermeintlich 600.000 Gästen  oder von einer Nutzerin, die davon berichtet , eine ganze Nacht in einem Kaufhaus als anwesend registriert gewesen zu sein – weil kein Check-out stattfand.

Die Luca-Betreiber reagieren auf derartige Vorfälle gelassen: Natürlich könne die App »missbräuchlich genutzt werden«, sagten sie etwa zu Böhmermanns Zoobesuch, aber auch »Masken können richtig oder falsch getragen werden«. Eine missbräuchliche Nutzung helfe »uns als Gesellschaft« nicht aus der Pandemie, so die Macher der App, man setze auf einen verantwortungsvollen Umgang mit den Hilfsmitteln.

Zur eher grundsätzlichen Kritik am System Luca gehört, dass bislang nur ein Teil des Codes zur Prüfung durch Dritte bereitsteht, aber auch, dass Luca im Unterschied zur Corona-Warn-App auf eine zentrale Datenverwaltung setzt . Dadurch kommt dem Start-up dahinter vergleichsweise viel Verantwortung zu. Allein die Metadaten , die bei Luca anfallen, wären für manche Geschäftemacher, Kriminelle, Strafverfolger oder Geheimdienste wohl hochinteressant.

Bedenken schürt bei einigen auch Lucas Durchmarsch bis in die Corona-Landesverordnungen einzelner Bundesländer binnen weniger Wochen. Zahlreiche Bundesländer haben sich ohne Ausschreibung für den Kauf von Jahreslizenzen für die App entschieden, insgesamt fließen fast 20 Millionen Euro . Und das, so die Kritiker, obwohl noch viele Fragen offen sind.

Marketing-Geniestreich oder wichtiges Werkzeug?

Um die App entsteht schon jetzt, während sie mit mittlerweile mehr als 3,3 Millionen Downloads zum Nutzungshöhenflug ansetzt, eine Art Glaubenskrieg: Ist Luca vor allem ein Marketing-Geniestreich  oder tatsächlich ein entscheidendes Werkzeug für die kommenden Monate? Die Datenschutzexpertin Theresa Stadler, die zum Lager der Luca-Kritikerinnen zählt, sagte am Dienstag im Podcast »She likes Tech« , sie finde es bedenklich, dass die Debatte über Luca kein fachlicher Streit mehr sei, sondern in Richtung einer »PR-Schlacht« abzudriften drohe.

In diesen Tagen kommt Luca derweil langsam auch bei der breiten Bevölkerung an. Noch vor einigen Wochen arbeiteten nur wenige Gesundheitsämter mit Lucas System zusammen, Testorte wie Sylt, Föhr und Amrum  waren für viele Menschen weit weg. Andernorts ergab die Nutzung der App kaum Sinn, zumal auch Restaurantöffnungen in der dritten Welle eher nicht angesagt sind. Nun aber taucht Luca in so mancher Landesverordnung auf. Zudem teilen beliebte Handelsunternehmen wie Ikea und Thalia nun mit, dass man bei Besuchen in ihren Läden nun Luca nutzen kann oder soll. Oder gar muss?

Hier beantworten wir die wichtigsten Fragen zur aktuellen Situation:

Braucht man Luca jetzt zum Einkaufen?

Einige bekannte Handelsketten wie Ikea, Galeria Karstadt Kaufhof, Thalia und Apollo setzen Luca schon jetzt ein – teils bundesweit, teils an einigen Standorten. Dabei variiert, wie entschieden auf eine Nutzung der App gepocht wird.

Auf den Websites der Berliner Ikea-Filialen etwa heißt es explizit , für einen Möbelhausbesuch sei künftig ein negatives Corona-Schnelltest-Ergebnis sowie eine FFP2-Maske erforderlich, aber auch Luca. Auf SPIEGEL-Anfrage bestätigt Ikea, dass man es mit Luca ernst meint: »An den Standorten, an denen wir die Luca-App implementiert haben, prüfen Mitarbeitende vor Betreten des Einrichtungshauses, ob die App und damit die Kontaktnachverfolgung aktiviert und gewährleistet ist«, schreibt die Möbelkette und verweist auf lokale Verordnungen und Beschlüsse, die beispielsweise auch in Rostock zu einem Einsatz von Luca geführt hätten.

Die Prüfungen am Eingang beschreibt Ikea so, dass Kundinnen und Kunden seinen Mitarbeiterinnen und Mitarbeitern eine Bestätigung ihres Check-ins per Luca vorzeigen sollen. Mit höheren Wartezeiten am Einlass rechnet das Unternehmen dadurch nicht. Kundinnen und Kunden, die das Möbelhaus wieder verlassen, will Ikea durch Mitarbeiterinnen und Mitarbeiter, aber auch durch »deutlich sichtbare Kommunikation auf Aufstellern, Plakaten etc.« darauf hinweisen, sich wieder auszuchecken.

Das liest sich, als sei Luca alternativlos. Das Unternehmen schreibt dem SPIEGEL aber auch: »Sollte es Kund*innen nicht möglich sein, ihre Kontaktdaten digital über die Luca-App zu erfassen, so bieten wir entsprechend der lokalen Vorgaben alternative Registrierungsmöglichkeiten an, wie beispielsweise das Ausfüllen eines Kontaktdatenblattes vor Ort.«

Bei Apollo-Optik ist Luca mehr Option als Vorgabe. »Wir ermöglichen es unseren Kundinnen und Kunden, die App zu nutzen«, sagt Firmenchef Jörg Ehmer dem SPIEGEL. »Gleichzeitig gibt es aber keinerlei Verpflichtung dazu. In den Fällen, in denen regional für uns eine Kontaktdatenerfassung vorgeschrieben ist, bieten wir auch einen anderen Weg an – für Menschen, die kein digitales Endgerät nutzen möchten, haben wir einen papiergestützten Prozess etabliert.« Kontrollen zum Thema Luca will Apollo nicht durchführen.

Von der Buchhandelskette Thalia heißt es, man setze auf einen »freiwilligen« Check-in per Luca. Zugleich verweist das Unternehmen darauf, dass es selbst die Gesundheitsämter vor Ort kontaktieren müsse, um zu klären, ob die Luca-App vor Ort genutzt werden dürfe oder nicht. »Manchmal wird die Genehmigung dann unproblematisch erteilt«, so Thalia, »in anderen Fällen sind die Gesundheitsämter technisch noch gar nicht in der Lage, die App-Daten zu nutzen. Wir plädieren dafür, diesen Aufwands-Irrsinn für Behörden und Unternehmen zu beenden und die Luca-App als bundesweiten Standard zu etablieren.«

Thalia betont, dass die Daten zur Kontaktnachverfolgung jenseits von Luca auch bei Online-Terminvereinbarungen oder direkt in der Buchhandlung per Formular erhoben würden. Check-ins über Luca würden sich Mitarbeiterinnen und Mitarbeiter am Smartphone der Kundinnen und Kunden zeigen lassen.

Werden auch andere Ketten nachziehen?

Es ist davon auszugehen, dass einige Unternehmen und Einzelhändler dem Beispiel der großen Firmen folgen, obwohl etwa mit Nordrhein-Westfalen das bevölkerungsreichste Bundesland Luca bislang keine Sonderstellung einräumt . Interessant wird Luca für Händlerinnen und Händler aber dadurch, dass es wohl schon jetzt die aktuell am weitesten verbreitete Check-in-App ist, sodass die Wahrscheinlichkeit, Kundinnen und Kunden durch einen Einsatz von Luca zu verschrecken, sinkt.

Mit jeder Einrichtung, die auf Luca setzt, steigt so die Wahrscheinlichkeit, dass weitere ebenfalls auf Luca schwenken, obwohl es bundesweit Dutzende andere Check-in-Apps gibt. Grundsätzlich – je nach den Vorgaben im Bundesland – könnten Geschäfte aber natürlich auch Check-ins mit mehreren Apps erlauben. Auch die Corona-Warn-App soll noch im April eine Check-in-Funktion für Veranstaltungen bekommen.

Kommt man ohne Luca bald nirgendwo mehr rein?

Unternehmerisch betrachtet dürften Firmen kein Interesse daran haben, Kundinnen und Kunden auszuschließen, nur weil diese eine bestimmte Software nicht nutzen wollen. Zugleich drängen manche Politikerinnen und Politiker auf eine tiefe Verankerung Lucas im öffentlichen Leben. In Mecklenburg-Vorpommern  beispielsweise soll Luca außer in Geschäften und Restaurants auch in Kirchen und Moscheen, bei Parteiveranstaltungen sowie bei Trauungen und Beerdigungen und sogar privaten Zusammenkünften zur Dokumentation und Nachverfolgung von Kontakten verwendet werden. Solche Vorgaben dürften Luca-Verweigerern tatsächlich eine Teilhabe am täglichen Leben erschweren, und sei es nur für einige Monate.

Anne Roth, netzpolitische Referentin der Linksfraktion im Bundestag, hat am Freitag den Einsatz von Luca in einer Berliner Filiale von Galeria Karstadt Kaufhof kritisiert. »Anfangs hieß es, solche Apps müssten unbedingt freiwillig sein«, schrieb Roth auf Twitter. »Die Bundesländer – und hier Berlin – müssen unbedingt regeln, dass die Weigerung, Luca zu benutzen, nicht dazu führen darf, von etwas ausgeschlossen zu werden.«

Bedeutet ein Ende von Corona auch das Ende von Luca?

Was die Zukunft von Luca angeht, positioniert sich Ikea eindeutig: »Selbstverständlich verfolgen wir keine Pläne, die Luca-App über den aktuellen und pandemiebedingten Zweck hinaus weiter einzusetzen.«

Apollo-Chef Ehmer dagegen sagt, wenn es ein Bedürfnis der Kundinnen und Kunden gebe, einen derartigen Dienst auch nach der Pandemie nutzen zu wollen, dann sei so etwas »gut denkbar«. Man glaube aber, »dass die Entwicklung derartiger Apps voranschreiten wird und dass es noch deutliches Verbesserungspotenzial gibt«: »Ob und gegebenenfalls welche Anwendung sich durchsetzen wird, muss sich erst noch zeigen.«

Von Thalia heißt es, über einen längerfristigen Einsatz von Luca, werde man nach der Pandemie »im Rahmen der rechtlichen Möglichkeiten und der Fähigkeiten von Luca entscheiden«: »Nach der Krise ist ja bekanntlich vor der Krise.«

Die Sorge, Luca könnte als dominante digitale Infrastruktur auch nach der Pandemie erhalten bleiben, treibt viele Kritikerinnen und Kritiker der App um. Auf der Website von Luca  ist unter dem Punkt »Mögliche Erweiterungen« davon die Rede, dass »optional« auch »Meldescheine, negative Testergebnisse, Tickets und andere Informationen« in die App integriert werden könnten.

Das alles klingt, als wollten die Macherinnen und Macher von Luca ein IT-System etablieren, das über die reine Kontaktverfolgung während der Pandemie hinaus zum Einsatz kommen könnte. Im Vergleich zu anderen Systemen wäre dieses durch die Unterstützung aus der Politik von vornherein in einer sehr vorteilhaften Marktposition.

Welche Daten erfasst Luca?

Anders als die Corona-Warn-App erhebt Luca personenbezogene Daten. Luca erfordert beim Einrichten eine Registrierung mit der Telefonnummer, außerdem werden Kontaktdaten wie Name und Adresse abgefragt (an diesen Stellen sind prinzipiell aber auch Fantasie-Eingaben möglich). Wer will, kann zusätzlich auch eine E-Mail-Adresse eingeben.

Die Betreiberinnen und Betreiber von Geschäften haben nach den Check-ins per QR-Code keinen Zugriff auf die Daten, diese sind verschlüsselt. Auch die Luca-Betreiber können sie nach eigenen Angaben nicht einsehen. Das zuständige Gesundheitsamt wiederum könnte auf die Daten von Besucherinnen und Besuchern eines Geschäfts zugreifen, wenn ein positiv getesteter Luca-Nutzer seine sogenannte Besuchshistorie der vergangenen 14 Tage teilt und darin jenes Geschäft auftaucht. Das Gesundheitsamt könnte dann die per Luca an jenem Ort und zur fraglichen Zeit erfassten Kontaktdaten digital abrufen, braucht dafür aber auch noch eine Erlaubnis der Betreiberin oder des Betreibers.

Kann man Luca eigentlich auch ohne App nutzen?

Ja, Luca lässt sich alternativ auch über eine Web-App nutzen . Prinzipiell existieren für den Fall, dass man kein passendes Handy besitzt oder nutzen möchte, auch Luca-Schlüsselanhänger  (die gerade jedoch im Fokus einer Sicherheitslücke standen). Kostenlos verteilt werden solche Anhänger derzeit beispielsweise in Lübeck. Ebenso ist es laut Luca möglich, seine Daten per Kontaktformular ins Luca-System einzuspeisen, etwa über ein Gerät, das ein Ladenbesitzer bereitstellen könnte.

Hilft Luca denn bei der Pandemiebekämpfung?

Diese Frage zählt zu den größten Streitfragen um die App überhaupt. Denn entscheidend dafür werden verschiedene Faktoren sein: Es beginnt bei der Frage, wie gut das Luca-System in einem wirklich breiten Praxiseinsatz funktioniert, und reicht bis zur Frage, ob die Gesundheitsämter überhaupt in der Lage sind, die vielen von der App gelieferten Daten sinnvoll und zeitnah auszuwerten.

Hinzu kommt, dass Luca in einem entscheidenden Punkt auf Freiwilligkeit setzt. Denn damit das Luca-Konzept aufgeht, müssen Corona-Infizierte dem Gesundheitsamt ihre Besuchshistorie zur Verfügung stellen. Schon in die Corona-Warn-App allerdings, wo sich positive Testergebnisse anonym hinterlegen lassen, trägt nur ein Teil der positiv Getesteten sein Ergebnis ein – was dazu führt, dass in vielen Fällen Menschen nicht gewarnt werden, obwohl sie nach der Logik des Systems eine Warnung bekommen sollten.

Update, Mittwoch, 9.50 Uhr: Wir haben den Text um einen Hinweis auf die Sicherheitslücke bei den Luca-Schlüsselanhängern sowie die Forderung des Chaos Computer Clubs, Luca sofort zu stoppen, ergänzt.