Trotz Datenschutzbedenken führte Hessen die Luca-App ein. Nun steht die Vertragsverlängerung an - oder die Kündigung. Während die Landesregierung noch überlegt, zeigt sich die Opposition entschieden.

Von Anna Lisa Lüft

Schnell, sicher, effizient: So sollte sie sein, die digitale Kontaktnachverfolgung durch die Luca-App. Im vergangenen April wurde die Smartphone-Anwendung eines privaten Start-ups in 13 Bundesländern eingeführt. Gesundheitsämter sollten Infektionsketten damit schneller nachvollziehen und brechen können.

Der hessischen Landesregierung war diese Verheißung viel Geld wert. 2,1 Millionen Euro zahlte sie für die Software und Lizenzen. Was folgte, könnte man dann allerdings eher mit dem Dreiklang Pleiten, Pech und Pannen umschreiben.

Über einen QR-Code können Nutzerinnen und Nutzer der Luca-App "einchecken". Bild © picture-alliance/dpa

IT-Experten äußerten scharfe Kritik, es kam zu Sicherheitslücken und Datenmissbrauch, zuletzt in Mainz: Die Polizei griff nach einem Todesfall in einer Kneipe auf Daten aus der Luca-App zu, um Zeugen ausfindig zu machen. Dazu gibt es Hinweise darauf, dass die Gesundheitsämter sie kaum nutzen.

Entscheidung muss bis Ende Februar fallen

War die App also eine Fehlinvestition? Diese Frage muss sich die Landesregierung nun stellen, denn der Vertrag mit der Betreibergesellschaft Culture4Life läuft nur noch bis Ende März. Bis 28. Februar müsste er aktiv gekündigt werden. Schleswig-Holstein hat das als erstes Bundesland bereits getan.

Für Hessen sei noch keine endgültige Entscheidung über eine Verlängerung getroffen, teilte das Sozialministerium auf Anfrage mit. Der Nutzen der Luca-App müsse immer angesichts des aktuellen pandemischen Geschehens bewertet werden. Derzeit stehe "der Schutz gefährdeter Gruppen und sensibler Einrichtungen im Fokus". Die Nachverfolgung von Infektionen in der Fläche spiele - anders als bei der App-Einführung im vergangenen Frühjahr - eine untergeordnete Rolle.

Hessenweit sind 36.877 Standorte für die Luca-App registriert. Weil die aktuelle Corona-Schutzverordnung des Landes Kontaktdatenerfassung nur für bestimmte Bereiche wie Krankenhäuser und Pflegeheime vorsieht, ist aber davon auszugehen, dass derzeit nicht an alle registrierten Standorte Luca aktiv einsetzen.

Opposition gegen Vertragsverlängerung

Wie oft die 24 hessischen Gesundheitsämter in den vergangenen Wochen Daten aus der App abgefragt haben, ist laut Betreiber nicht erfasst. Auch dem Digitalministerium liegen nur Daten aus dem vorigen Jahr vor. Demnach wurden im November rund 2.150 Kontaktdaten abgefragt - bei mehr als 60.000 Neuinfektionen im selben Zeitraum.

Die Linke-Fraktion im Landtag kritisiert, die Daten würden den Gesundheitsämtern in einer "schlecht strukturierten Form" geliefert. Dadurch werde ihnen die Arbeit nicht erleichtert, sondern erschwert. Der Datenschutz sei zudem unzureichend, das Geschäftsmodell undurchsichtig. Man spreche sich deswegen gegen eine Vertragsverlängerung für die Luca-App aus.

Auch SPD, FDP und AfD sprechen sich gegen eine Vertragsverlängerung aus. Den Sicherheitsrisiken durch die App stehe kein verhältnismäßiger Nutzen gegenüber, moniert der digitalpolitische Sprecher der AfD, Andreas Lichert: "Eine Vertragsverlängerung mit einem Hersteller, der primär Gewinnerzielungsabsichten verfolgt und es nicht schafft, Sicherheitslücken zu beheben, verbietet sich."

IT-Experte: Corona-Warn-App keine Alternative

Sowohl SPD als auch FDP finden, mit der Corona-Warn-App des Robert-Koch-Instituts und einer Erweiterung um ein Kontakttagebuch lägen dem Land bereits zwei Alternativen zur schnellstmöglichen Verfolgung von Infektionsketten vor. Und dafür brauche es kein Gesundheitsamt als zwischengeschaltete Ebene.

Für Ahmad-Reza Sadeghi, Professor für Systemsicherheit an der TU Darmstadt, ist die Corona-Warn-App dagegen keine Alternative. Im Gegensatz zur Luca-App nutze sie die Schnittstelle zu Google und Apple. Das widerspreche einem hohen Datenschutz-Anspruch. Lokale Check-in-Lösungen wie die der Luca-App sieht Sadeghi in dieser Hinsicht im Vorteil, weil sie nicht auf Dienste der Tech-Riesen zurückgreifen müssten.

Die Datenschutzbedenken gegenüber Luca sind indes nicht kleiner geworden. Zwar sei teilweise bei Sicherheitslücken nachgebessert worden, berichtet Sadeghi. Die technische Konstruktion des App-Systems an sich habe aber Schwachstellen. "Ohne gewisse Konstruktionsaspekte zu ändern, können diese auch nicht nachgebessert oder behoben werden", sagt der Darmstädter Professor.

Luca-App künftig monatlich kündbar

Eine Vertragsverlängerung halte er deswegen nur für empfehlenswert, wenn die Anwendung überarbeitet werde, beispielsweise in Zusammenarbeit mit Forscherteams. "Ich frage mich immer wieder, warum die hessischen Behörden Wissenschaftlerinnen und Wissenschaftler wie uns nicht kontaktieren, um sich in solchen Fragen unterstützen und beraten zu lassen", bemängelt Sadeghi.

Kritisch beurteilt der Experte für Systemsicherheit auch die hohen Kosten, die die Luca-Macher aufrufen. In diesem Punkt sind sie eigenen Angaben zufolge den Bundesländern bereits entgegengekommen. Pro Gesundheitsamt sollen künftig 9.000 Euro im Jahr fällig werden. Bisher lag der Preis bei 18.000 Euro.

Die Verträge sollen zudem nicht mehr für ein Jahr geschlossen werden, sondern monatlich kündbar sein, wie Culture4Life informierte. So sollen die Länder flexibel entscheiden können, ob akuter Bedarf zur Kontaktnachverfolgung besteht.