BERLIN/MÜNCHEN – Die App der Länder zur Kontrolle des Verhaltens ihrer Bürger ist aus vielerlei Gründen in Verruf geraten. Im Frühjahr stehen die Verlängerungen der Jahres-Lizenzen an:
Viel versprochen, wenig gehalten. So scheint die Bilanz nach einem Jahr Luca-App zu lauten. Hinzu kommt, daß immer mehr Bürger begreifen, daß derartige Apps, mit denen behauptet wird, sie würden „Freiheit“ ermöglichen, tatsächlich die freien Gesellschaft in eine Passierschein-Gesellschaft umgebaut wird.
.
Dubiose Ausschreibung, hohe Kosten
In einem Interview mit der Zeitung die WELT gibt der Leiter des Gesundheitsamts in Berlin Neukölln einen tiefen Einblick in die Tätigkeit seines Amts und erhebt schwere Vorwürfe gegen die Politik allgemein. In diesem Beitrag wird auch die Finanzierung offengelegt. Immerhin ist Bayern der größte Lizenznehmer und bezahlt hierfür 5 Millionen Euro pro Jahr:
.
Die Versprechen zur App
Der Anspruch an die Luca-App lautete:
„Die App Luca hat hierbei unter anderem aufgrund ihres hohen Automatisierungsgrads und ihrer besseren Systemsicherheit den Zuschlag erhalten. Sie soll die schrittweise Rückkehr zur Normalität, insbesondere im Bereich der Gastronomie, Kunst und Kultur sowie des Sports, ermöglichen. Damit können die bayerischen Gesundheitsämter sowie teilnehmende Organisationen und Unternehmen das System kostenfrei nutzen. Auch die Anwenderinnen und Anwender brauchen nichts zu bezahlen. Das System erleichtert den Gesundheitsämtern die Kontaktnachverfolgung nach dem Auftreten einer Corona-Infektion erheblich. Außerdem können Nutzer bei Luca direkt über die App eine digitale Warnung erhalten, wenn sie mit einer bestätigt infizierten Person in Kontakt waren.“
Auch Landtag hat sich z.B. im Rahmen von Anfragen mit der Luca-App beschäftigen müssen. die Antworten vom
- 30.07.2021 Drucksache 18/16385;
- 25.10.2021 Drucksache 18/18693;
- 23.07.2021 Drucksache 18/16330
sind einschlägig. Bei Fragen, die darin bereits behandelt wurden wird um ergänzende Antwort über die Ereignisse in der Zwischenzeit gebeten.
Bereits am 11.12.2020 hat die AfD die Nutzung von Gästelisten aus Papier durch die Polizei abgefragt und herausgefunden, daß die Staatsregierung der Polizei durch eine Spitzfindigkeit dennoch den Zugang zur diesen Listen verschafft hatte:
„Von dieser Zweckbindung, die sich an die Gastronomiebetriebe richtet, unberührt bleibt die Nutzung der Gästelisten in eng definierten Ausnahmefällen nach den jeweils geltenden gesetzlichen Regelungen (vgl. für den Bereich der Strafverfolgung § 4 Abs. 3 Satz 3 der 7. BayIfSMV).„ Frage 2.3. Drucksache 18/10437
Da zuvor mit dem Begriff „Zweckbindung“ doch eigentlich klar der Eindruck erweckt worden war, der Staat würde auf diese Daten nicht zugreifen, danach aber bekannt gegeben wurde, daß dies doch geschah, ist bei vielen Bürgern gleich zu Beginn der Sammlung von Namen und Adressen verloren gegangen.
Vier Monate später wurde dies automatisiert.
Staatsministerin Judith Gerlach, zuständig für Digitales meinte am 15.04.2021 Bayerischer Landtag:
In einem Interview mit der Zeitung die WELT gibt der Leiter des Gesundheitsamts in Berlin Neukölln einen tiefen Einblick in die Tätigkeit seines Amts und erhebt schwere Vorwürfe gegen die Politik allgemein.
So wird in dem Beitrag auch die Finanzierung offengelegt:
.
Die Nutzung der App durch die Gesundheitsbehörden
Eine völlig andere Seite ist die Nutzung der App durch die Gesundheitsämter selbst:
Bis Mitte August nutzte gemäß des Spiegel die Hälfte der Gesundheitsämter die App nicht und es wurden gemäß Spiegel bei bis dahin 140.000 Neuinfektionen durch die LucaApp 60 Kontakte nachverfolgt
Ein Umstand, den die Staatsregierung am 27.10.2021 in der Antwort auf eine Anfrage der AfD unter den Tisch fallen ließ
„Für die Luca-App liegen dem Staatsministerium für Gesundheit und Pflege (StMGP) Auswertungen für Bayern erst ab Anfang September 2021 vor: Demnach haben bayerische Gesundheitsämter zwischen Anfang September und Mitte Oktober 2021 über 5 000 Kontaktdatenabfragen über die Luca-App durchgeführt. Im gleichen Zeitraum wurden in Bayern rund 3 500 Warnhinweise über die Luca-App verschickt. Nach Angaben des Betreibers wurden seit Bereitstellung weiterer Funktionalitäten in Bayern in den letzten 14 Tagen (Stand 25.10.2021) 32 220 Kontaktdaten abgefragt und 22 383 Systemhinweise über die Luca-App verschickt“ (Drucksache 18/18693)
Und dieser Tage wurde bekannt, daß trotz eines dann doch noch eingeführten Verbots des Bundes diese Daten zur Strafverfolgung zu nutzen, die Polizei in Mainz dies dennoch tat:
All das bekommt der App gar nicht gut:
.
Kritik an er Sicherheit der App
Von Anfang an gab es Kritik an der App und Probleme mit der App.
Diese faden sogar Eintrag in eine Online-Enzyklopädie
Die DSGVO-Konformität sah in der Praxis jedoch offenbar ganz anders aus:
Der Chaos Computer Club bezeichnete die Luca App jedenfalls als mangelhaft und führte hierfür folgende Gründe an:
„Die bisher gefundenen Schwachstellen und Peinlichkeiten der Luca-App sind ein bunter Strauß der Inkompetenz: Bei der Registrierung soll die Telefonnummer per SMS „validiert” werden. Millionen Euro müssen verschiedene Bundesländer für den Versand aufbringen. Eine handwerklich fehlerhafte Implementierung macht die Validierung jedoch unwirksam. Die Folge: Das massenhafte Erstellen von Fake-Accounts ist ebenso einfach wie deren Check-in an beliebigen Orten. Es droht nicht weniger als der Kollaps des kompletten Luca-Systems. Die für Menschen ohne Smartphone zu hunderttausenden angeschafften Luca-Schlüsselanhänger verraten bei jedem Scan die vollständige zentral gespeicherte Location-Historie. „Wer den QR-Code scannt, kann nicht nur künftig unter Ihrem Namen einchecken, sondern auch einsehen, wo Sie bisher so waren”, bestätigte Linus Neumann die heute von Bianca Kastl und Tobias Ravenstein veröffentlichte Schwachstelle „Lucatrack”. „Die Schwachstelle ist offensichtlich und unnötig. Sie zeugt von einem fundamentalen Unverständnis grundlegender Prinzipien der IT-Sicherheit. Hier wurde – mal wieder – mit der heißen Nadel gestrickt, statt eine wohlüberlegte Lösung zu bauen”, so Neumann weiter.
Entgegen den Versprechungen des Sicherheitskonzepts ist das Luca-Backend potenziell jederzeit in der Lage, einzelne Geräte eindeutig zu identifizieren und ihnen alle Check-ins zuzuordnen...
Bis heute ist nur ein Teil des Quellcodes des Gesamtsystems öffentlich. Inwieweit dieser Teil überhaupt noch mit der produktiven Umgebung übereinstimmt, ist unklar.“
Behörden reagieren nur auf das, was ihnen von außen zugetragen wird
Die Behörden schauten jedoch offenbar eher weg: So berichtet der „Spiegel“, daß sich das Bundesinnenministerium weigerte eine Prüfung der Luca-App durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) durchzuführen. Die schwache Begründung: die Bundesländer seien die Vertragspartner der Betreiberfirma der App.
Anlaß war eine Bitte des Landes Hessen, sowohl die Server, als auch die System-Infrastruktur der App zu überprüfen. Vertrauen baut man anders auf.
Die Bundeshändler haben jedoch in der Regel keine mit dem BSI vergleichbare Behörde zur Überprüfung der App, wie der „Spiegel“ anmerkt. Das Bundesministerium verweist hierzu auf Firmen, die die Länder mit Tests beauftragen könnten sowie Selbst-Überprüfungen der App-Macher, die das Land verlangen könne. „
Anders in Bayern. Dort existiert ein Landesamt für Sicherheit in der Informationstechnik und das Ergebnis von dessen Prüfung ist, daß das Ergebnis nicht mitgeteilt wird, sondern allgemein auf einen Prozess verwiesen wird, statt auf ein Ergebnis:
Franz Bergmüller befragt die Staatsregierung
1. Überlastung von Gesundheitsämtern / Abteilungen des LGL
1.1. Welche Gesundheitsämter in Bayern / Abteilungen des LGL haben ab 1.1.2020 Überlastungsanzeigen erhoben, oder werden solche ggf. in absehbarer Zeit erheben (Bitte chronologisch aufschlüsseln, Zeitpunkt der Anforderung von Personal offenlegen und die Dauer der Überlastung offenlegen, falls Personalanforderungen zu umfangreich, bitte für die Gesundheitsämter der Landkreise/Städte AÖ; BGL; TS; EBE; ED; RO; M; MÜ offenlegen)?
1.2. Welche Gesundheitsämter in Bayern / Abteilungen des LGL sind ab 1.1.2020 mindestens zeitweise mindestens einem Teil der Anforderungen aus §§ 9; 10; 11 des Infektionsschutzgesetzes nicht nachgekommen oder haben „Die Kontaktnachverfolgung Covid-Infizierter … größtenteils eingestellt. Das System ist schon vor Wochen zusammengebrochen – nicht nur bei uns.„, (Bitte chronologisch aufschlüsseln und die Dauer der Überlastung offenlegen)?
1.3. Welche Maßnahmen hat die Staatsregierung jeweils eingeleitet, um die Überlastung abzubauen, bzw. hat die Staatsregierung umgesetzt, um die Gesundheitsämter in die Lage zu versetzen, die Vorgaben aus §§ 9; 10; 11 des Infektionsschutzgesetzes während der bevorstehenden Omikron-Welle erfüllen zu können (Bitte voll umfänglich für ganz Bayern und für jedes der Gesundheitsämter der Landkreise AÖ; BGL; TS; EBE; ED; RO; M; MÜ offenlegen)?
2. Nichterfüllung der Vorgaben aus §§ 9; 10; 11 des Infektionsschutzgesetzes
2.1. Für welche Städte/Landkreise in Bayern traf die Aussage „Jetzt konzentrieren wir uns stattdessen auf geschlossene Systeme: also Ausbrüche in medizinische Einrichtungen, Gemeinschaftsunterkünften und Hotels.“ seit 1.1.2021 mindestens zeitweise zu (Bitte für den Zeitraum ab 1.1.2022 bis zum Zeitpunkt der Beantwortung dieser Anfrage – bitte dessen Datum angeben – taggenau offenlegen)?
2.2. Aus welchen Gründen teilt die Staatsregierung die für den Leiter des Gesundheitsamts Berlin-Neukölln getroffene Wertung „Um es klar zu sagen: Der epidemiologische Nutzen der Nachverfolgung steht in keinem Verhältnis zum Aufwand – und ist auch nicht mehr sinnvoll.„, oder teilt sie nicht (Bitte begründen)?
2.3. Wie lauten die auf Basis von §§ 9 Abs. 1 o) und §§ 11 Abs. 1 k) von der Staatsregierung an das RKI übermittelten Daten zu „Überweisung, Aufnahme und Entlassung aus einer Einrichtung nach § 23 Absatz 5 Satz 1, gegebenenfalls intensivmedizinische Behandlung und deren Dauer“
3. Parallellen mit Neukölln
3.1. Welche der folgenden Aussagen des Leisters des Gesundheitsamts in Berlin Neukölln trifft seit 1.1.2021 mindestens teilweise auf mindestens eines der Gesundheitsämter in Bayern zu: „Ein Amt besteht in der Regel aus fünf Fachbereichen – die können nicht untereinander kommunizieren, weil die Software dazu so spezifisch ist und so schlecht, dass sie kein Interface bietet. …. Die Behörden werden von der vorgesetzten Software kastriert.„
3.2. Welche der folgenden Aussagen des Leisters des Gesundheitsamts in Berlin Neukölln trifft seit 1.1.2021 mindestens teilweise auf mindestens eines der Gesundheitsämter in Bayern zu: „Ein Amt besteht in der Regel aus fünf Fachbereichen – die können nicht untereinander kommunizieren… Auch zwischen Ämtern, die in verschiedenen Landkreisen liegen, klappt das nicht. Die Behörden werden von der vorgesetzten Software kastriert.„
3.3. Wie hat die Staatsregierung den in 3.1. / 3.2. abgefragten Mängeln abgeholfen, beispielsweise auch im Personalschlüssel gemäß der z.B. für Berlin geltenden Einschätzung „Der gängige Personalschlüssel „25 Mitarbeiter auf 100.000 Einwohner“ reicht bei einer Inzidenz zwischen 0 bis 50 aus, darüber sind es eher 40″)?
4. Corona-Warn-App: Luca-App
4.1. In welcher Art und Weise wurde der Kauf der Luca-App öffentlich ausgeschrieben (Bitte hierbei auch alle Gründe offenlegen aus denen heraus die Lucca-App dem „digitalen Impfpass“ des Landrats von Altötting, Erwin Schneider vorgezogen wurde)?
4.2. In welcher Art und Weise wurde der Datenschutzbeauftragte Bayerns beim Erwerb und der Konzeptionierung der App und beim Roll-out eingebunden (Bitte chronologisch aufschlüsseln und begründen)?
4.3. Welche der vom Chaos-Computer-Club im Vorspruch bemängelten und vom BayLDA am 5.5.2021 mit den worten „Die bislang in der Öffentlichkeit dargestellten Kritikpunkte sind nach derzeitiger Einschätzung des BayLDA entweder durch organisatorische Anpassungen beim Veranstalter, durch bessere Informationen der Luca-Nutzer sowie durch weiteren Ausbau der Cybersicherheitsmaßnahmen des Anbieters auszuräumen oder werden durch die dargestellten Schritte und Maßnahmen der Nachbesserung und Fortentwicklung berücksichtigt“ bestätigten Defizite der Luca-App wurden bisher tatsächlich abgestellt (Bitte für jedes dort erwähnte Defizit einzeln offenlegen)?
5. Sicherheitsprüfungen durch den Freistaat (I)
5.1. Welche Prüfungs- und Kontrollrechte in Sachen Datenschutz hat der Freistaat betreffend der von ihm lizensierten Lucca-App nicht (Bitte vollumfänglich mit Grund, z.B. weil diese Kontrollrechte durch den Lizenzvertrag ausgeschlossen sind, offenlegen)?
5.2. Welche Prüfungen der Luca-App hat die Staatsregierung bisher außer die, die in der Drucksache 18/16385 und in der Offenlegung des BAyLDA am 5. Mai 2021 offen gelegt wurden, selbst durchgeführt, oder von Dritten durchführen lassen (Bitte vollumfänglich chronologisch unter Angabe des Prüfungsergebnisses und den Voraussetzungen für eine Einsichtnahme in das Prüfungsergebnis offenlegen)?
5.3. Welche Ergebnisse hat bisher jedes Ergebnis der durch die Lizenzpartner der Lucca-App durchgeführten Whitebox-Penetrationstest durch Drittanbieter auf Sicherheitslücken chronologisch offenlegen (Bitte hierbei Art und Umfang dieses Tests lückenlos beschreiben)?
6. Sicherheitsprüfungen durch den Freistaat (II)
6.1. Durch welche Überprüfungen hat die Staatsregierung die von den Herstellern der App gemachten Zusagen zur Sicherheit und deren Testergebnisse bisher selbst einer Überprüfung unterzogen (Bitte vollzählig offenlegen)?
6.2. Hat die Staatsregierung eine Prüfung des Gesamtsystems inklusive aller Komponenten der dahinter stehenden IT-Infrastruktur durch eine staatliche Stelle durchgeführt, oder durchführen lassen (Bitte begründen)?
6.3. Für welche Gesundheitsämter in Bayern kann man vor dem Hintergrund der in 4.1 bis 6.2 abgefragten Gegenstände die Beschreibung „Was die Luca-App angeht: ja. In Neukölln haben wir nie Daten darüber erhalten noch abfragen können. Jetzt zeigt sich, dass es bei bundesweit vielen Ämtern ähnlich ist. Die Anwendung spielt im Behördenalltag keine Rolle.“ mindestens in Teilen auch anwenden?
7. Verlängerung der Lizenz für die Luca-App
7.1. Welchen Nutzen hat die Luca-App dem LGL und den bayerischen Gesundheitsämtern seit ihrer Einführung gebracht (Bitte hierbei den Zeitpunkt, offenlegen, an dem jedes Gesundheitsamt Bayerns mit dem Luca-System ausgestattet war, sowie die Zahl der Bestätigungs-SMS, die das System, versandt hat, um einen Nutzer zu verifizieren und die gegenüber dem Freistaat abgerechnet wurden)?
7.2. Wie viele Kontakte konnte das LGL und jedes der Gesundheitsämter AÖ; BGL; EBE; ED; TS; RO-Land/Stadt; M-Land/Stadt; MÜ bis zum Zeitpunkt der Beantwortung dieser Anfrage durch die LucaApp nachverfolgen?
7.3. Aus welchen Gründen wird die Staatsregierung die Luca-App weiter lizensieren, oder nicht?
8. Nutzung der Daten aus der Luca-App durch die Polizei
8.1. In wie vielen Fällen nutzte die Polizei in Bayern die Aufzeichnungen zur Kontaktnachverfolgng bei Dritten, sei es, daß diese in Gestalt von Zetteln geführt werden, sei es, daß sie z.B. per Puca-App automatisiert geführt werden (Bitte Tabelle aus Drucksache 18/10437 Frage 3 ergänzen; die Ausführungen aus Drucksache 18/18542 Frage 70 sind bekannt und brauchen zur Entlastung beider Seiten nicht wiederholt werden)?
8.2. Welche Mindestbedingungen müssen nach Ansicht der Staatsregierung erfüllt sein, um auch unter Berücksichtigung des Verbots aus § 28a Abs. 4 Sätze 3 bis 6 IfSG, wonach Kontaktdaten, welche von Kunden, Gästen oder Veranstaltungsteilnehmern zur Nachverfolgung von Infektionsketten erhoben worden sind – § 28 a Abs. 1 Satz 1 Nr. 17 IfSG -, nicht für andere Zwecke als der Kontaktnachverfolgung gemäß § 25 Abs. 1 IfSG verwendet werden dürfen, dennoch auf die Daten der Luca-App zugreifen zu können (z.B. Zugriff nur möglich bei Straftaten, gerichtliche Anordnung, schweren Gewalttaten, Terrorismus o.ä.)?
8.3. Aus welchen Gründen meint die Staatsregierung, daß die Nutzung dieser Daten aus der Luca-App die Bürger nicht abschreckt die Luca-App zu nutzen?