Deutsche Märkte öffnen in 7 Stunden 39 Minuten
  • Nikkei 225

    27.001,52
    +262,49 (+0,98%)
     
  • Dow Jones 30

    31.880,24
    +618,34 (+1,98%)
     
  • BTC-EUR

    27.157,46
    -1.467,07 (-5,13%)
     
  • CMC Crypto 200

    658,56
    -16,31 (-2,42%)
     
  • Nasdaq Compositive

    11.535,27
    +180,66 (+1,59%)
     
  • S&P 500

    3.973,75
    +72,39 (+1,86%)
     

Luca-Chef: „Funktioniert die App perfekt? Sicher nicht“

·Lesedauer: 8 Min.
Luca-Chef Patrick Hennig hat Jahreslizenzen an 13 Bundesländer vergeben
Luca-Chef Patrick Hennig hat Jahreslizenzen an 13 Bundesländer vergeben

Es sind schwierige Wochen für Luca-Chef Patrick Hennig. Der Nutzen der mit Steuergeldern finanzierten App zur Kontaktnachverfolgung steht infrage. Viele Bundesländer zögern inzwischen, neue Verträge abzuschließen, weil die Städte die Daten der App zu selten nutzen. Und diese Woche wurde auch noch bekannt, dass die Polizei in mehr als 100 Ermittlungen auf persönliche Daten aus der Corona-Kontakterfassung zugegriffen hat. Hennig zufolge lief dies nur in einem Fall via Luca.

Herr Hennig, künftig müssen die Länder monatlich statt jährlich für die Verwendung von Luca in Behörden zahlen, der Preis wird zudem halbiert. Verramschen Sie Luca jetzt?

Mitnichten, den Wechsel haben wir schon im November angekündigt. Das Onboarding in den Ämtern ist getan, die initialen Kosten fallen weg. Für den Weiterbetrieb sind noch 40 bis 50 Prozent des bisherigen Preises nötig.

Vieles deutet darauf hin, dass Luca ausgemustert wird. Keines der 13 Bundesländer ist bereit, einen zweiten Jahresvertrag zu unterschreiben.

Die Jahresverträge waren nötig, um die Infrastruktur in den Behörden aufzubauen. Die steht nun, und die Lizenzen können nach Bedarf laufen. Der Wechsel war keine spontane Entscheidung, sondern wurde langfristig vorbereitet.

Hat schon ein Land den neuen Vertrag unterschrieben?

Wir sind dazu in Gesprächen.

13 Bundesländer haben insgesamt 21 Millionen Euro für die Jahreslizenzen gezahlt. Und vor Corona kannte Ihr Unternehmen kaum jemand. Sind Sie durch Luca reich geworden?

Reich an Erfahrung. Im Vergleich zu anderen IT-Systemen ist Luca kosteneffizient.

Im Sommer sagten Sie, es gäbe kein Luca-Geschäftsmodell nach der Pandemie. Bald kann man mit Luca auf seine Tickets und Speisekarten zugreifen und den Personalausweis vorzeigen. Wird Luca zweckentfremdet?

Das Virus wird noch eine Weile bleiben. Unser Ziel ist weiterhin, gesellschaftliches Leben zu ermöglichen. Ich werde Luca aber nicht zu einer Aktien-App umbauen. Denn wichtig für die Nutzer ist: Die Daten sind zweckgebunden, wir können damit nichts anderes anfangen und hätten auch gar keinen Zugriff. Jetzt geht es darum, dass Veranstalter und Gastronomen mit den Anforderungen wirtschaften können.

Aber die Länder haben die Millionen ja für eine App zur reinen Kontaktnachverfolgung ausgegeben ...

Die Millionen wurden dafür ausgegeben, dass wir die Struktur für die Ämter bereitstellen. Das tun wir weiterhin. Dazu zählte aber auch der sehr große Posten für die SMS-Verifizierungen, die jetzt nicht mehr so häufig gebraucht werden. Ob Luca andere Funktionen anbietet, die nicht staatlich finanziert sind, wird die Zukunft zeigen.

Mal ehrlich: Wer will in Ihrer App seinen Impfstatus und dann auch noch seinen Personalausweis hochladen?

Der Ausweis soll an das Luca-System hochgeladen werden. Die Daten werden nicht an zentraler Stelle lesbar gespeichert.

Aber beides würde über die App eines Startups gebündelt, das durch Datenschutzprobleme aufgefallen ist.

Luca hat keine Datenschutz-Probleme.

Im Frühjahr 2021 rieten 80 IT-Sicherheitsexperten in einem offenen Brief von der Verwendung ab, weil Luca nicht sicher sei.

Es ging um vier Anforderungen: Zweckbindung, Transparenz, Freiwilligkeit und Risikoabwägung. Luca hält sich an alle davon. Ich habe auch mit einigen aus dem Brief gesprochen, viele hatten dies eher als allgemeine Anforderungen verstanden und sich Luca nicht im Detail technisch angesehen. Aber die zentralen Aussagen, dass Luca dies nicht erfüllt und nicht sicher sei, sind nicht eingetreten. Noch mal: Die Daten waren immer zweckgebunden. Luca ist eines der sichersten Systeme in Deutschland.

Da würden Ihnen viele widersprechen. Beispielsweise diejenigen, die keine Lizenzen mehr unterschreiben.

Kein Bundesland ist der Meinung, dass Luca Datenschutzprobleme hat. Sicher, auch uns sind Fehler passiert. Aber die Dokumentation des Datenschutzes ist so umfassend wie bei wenigen anderen Systemen, unsere Verschlüsselung durchgängig, und die Gesundheitsämter sind verifiziert durch die Bundesdruckerei. Auch die Berliner Datenschutzbeauftragte hat kürzlich noch einmal bestätigt, dass es am Markt keine sichereren Alternativen gibt.

Und dennoch fragte die Mainzer Polizei unlängst Daten via Luca bei einem Amt im Zuge einer Ermittlung ab – und bekam diese auch. Wie sehr haben Sie sich über Behörden und Polizei aufgeregt?

Aufgeregt habe ich mich über keinen der beiden. Der Fall zeigt: Das Versprechen von Luca gilt. An zentraler Stelle sind keine Besucherdaten abgreifbar, und wir selbst können sie auch gar nicht einsehen. Bei Telekommunikationsanbietern oder Facebook und Google ist übrigens das Gegenteil der Fall. Dort können Staatsanwaltschaft und Behörden jeden Tag zentral Daten abgreifen.

Sie sagen, Luca sei sicher. Dass in mehr als 100 Ermittlungen Daten abgefragt wurden, zeigt doch das Gegenteil.

Die Fälle belegen, wie gut Luca Daten schützt. Anders ist es nicht zu erklären, dass nur in dem einen bekannten Fall in Mainz Daten aus dem Luca-System abgefragt wurden. Und dies auch nicht, indem Schutzmechanismen ausgehebelt oder gar die Verschlüsselung gebrochen wurden, sondern indem Strafverfolger und Amt unberechtigt eine Kernfunktion der Software missbraucht haben. Im Übrigen erreichen uns häufig Anfragen der Polizei, die wir natürlich ablehnen. In den vergangenen Monaten habe ich mit einigen Staatsanwälten gesprochen. Ich finde es schön, dass die Justiz nun klarstellt: Die Verwendung der Daten aus der Kontaktnachverfolgung zu Ermittlungsverfahren ist rechtswidrig. Ich hoffe, dass künftig keine Anfragen mehr kommen.

Trotzdem dürfte die Gruppe derjenigen, die bald freiwillig ihren Ausweis teilen, sehr klein sein.

Da bin ich anderer Meinung. 88 Prozent unserer Nutzer würden auch ihren Impfstatus mit dem zuständigen Amt teilen. Daten zu schützen heißt nicht, keine Daten zu nutzen. Und der Abgleich im Restaurant und das Hervorkramen des Ausweises ist aufwendig. Diesen Prozess kann man für alle vereinfachen und digitalisieren.

Sie sprechen von Unterstützung der Gastronomie im endemischen Zustand. Es gibt keinen Grund, warum man in Restaurants Kontaktdaten hinterlassen sollte, wenn nicht gerade Pandemie ist.

Wir haben aus den letzten zwei Jahren gelernt, dass es immer wieder zu Ausbrüchen kommen wird, vermutlich auch mit neuen Varianten. Dann ist es sinnvoll, wenn ein Amt durch neue Features Push-Nachrichten direkt an Betroffene schicken kann. Das heißt nicht, dass jeder überall einchecken muss. Klar ist: Wir brauchen mehr digitale Kommunikation, insbesondere im Gesundheitsbereich. Wenn ich sehe, dass Amtsärzte Briefmarken kleben, dann lässt mich das ehrlicherweise etwas ratlos zurück.

Ihre Anwendung ist ein knappes Jahr im Einsatz. Durch sie sollten Großveranstaltungen und Festivals wieder möglich sein.

Ich denke, die Bilanz kann sich sehen lassen. 330 Millionen Check-ins wurden durchgeführt, dadurch umgerechnet circa 1,5 Millionen Tonnen Holz in Papierform eingespart. Funktioniert Luca perfekt? Sicher nicht. Aber in vielen Ämtern sieht der Alltag eher so aus: Die Mitarbeiter zählen Labormeldungen von Hand und müssen mehrfache Duplikate herausfiltern. Deshalb schaffen sie es nicht mehr, positiv Getestete anzurufen und kommen gar nicht zur Nachverfolgung. Dieser Prozess hat sich nach zwei Jahren Pandemie kaum verändert. Ein Amtsleiter sagte mir kürzlich, dass bei ihm 3000 Labormeldungen auf Halde liegen, die er nicht abgearbeitet bekommt.

Andere Ämter sagen, Luca produziert nur Datenmüll.

Das kann nur sagen, wer sich damit nicht beschäftigt hat, die reine Erfassung der Kontaktdaten ist längst nicht mehr der Kern. Mit Warnungen und „Luca connect“ geht es um digitale Kommunikation. Im Herbst nutzten 200 von 300 Ämtern Luca aktiv. Heute dauert es teilweise über eine Woche, bis das Amt beim Infizierten anruft. Wer Luca deshalb als Sündenbock hinstellt – Okay. Aber das eigentliche Problem liegt woanders. Viele Behörden wurden von der Politik alleingelassen.

Am Ende bleibt der Eindruck: Ihr berühmter Investor, der Rapper Smudo, hat den Ländern die App aufgeschwatzt. Berlins Ex-Bürgermeister Michael Müller tat seine Ahnungslosigkeit ja offen kund, indem er sagte: „Ich habe Luca jetzt bestellt, ohne dass ich mich mit den technischen Details auskenne.“

Seine Verwaltungsexperten haben hingegen sehr genau hingeschaut. Luca ist aber in den Behörden selbst gestartet. Die ersten drei Amtsleiter, die Luca einsetzten, haben das Programm 150 weiteren Häusern vorgestellt. Ich erinnere mich noch gut an diese Zoom-Calls. So ist die Sache ins Rollen gekommen, und nicht, weil Smudo es den Landesgesundheitsministern aufgeschwatzt hat.

Dennoch bleibt Smudos Werbung, wieder auf Festivals zu spielen, Fiktion.

Selbst der Impfstoff hat uns das nicht vollständig zurückgebracht – und trotzdem ist er wichtig. Luca ist kein alleiniges Heilmittel.

Von Beginn an haben sich IT-Experten, etwa vom Chaos Computer Club, auf Sie eingeschossen und übergießen Ihr Unternehmen mit Häme. Wie erklären Sie sich das?

Da gibt es verschiedene Strömungen. Auch wirtschaftliche Interessen spielen eine Rolle. Wenn sogenannte IT-Sicherheitsexperten oder gar „Experten der Gesundheitsämter“ aber gleichzeitig Projektleiter einer Schnittstelle, oder aus Prinzip Verfechter rein dezentraler Systeme sind, weiß ich nicht, ob jede Kritik berechtigt ist.

Es arbeitet ja wohl nicht jeder Ihrer Kritiker bei der Konkurrenz.

Nein. Aber wenn das Niveau am Punkt angelangt ist, Aufkleber mit „Fuck Luca“ zu drucken, dann scheint unsere Sicherheit auch keiner mehr infrage zu stellen.

In diesem Zusammenhang haben Sie persönliche Drohungen bekommen.

Das ging bis hin zu Morddrohungen. Eine Erfahrung, die absolut neu für uns war.

Können Sie sich frei in Berlin bewegen?

Ja klar, aber was im letzten Jahr alles passiert ist, war teilweise verrückt. Sobald es um Luca geht, findet man im Netz die verrücktesten Theorien.

Nun melden die Ämter immer neue Rekord-Inzidenzen. Unter dem Strich muss man sagen: Luca kann das Infektionsgeschehen kaum beeinflussen.

Luca ist kein Impfstoff, sondern ein Tool, das gemeinsam mit vielen anderen angetreten ist, um es der Pandemie ein Stück schwerer zu machen. Ich glaube, die jetzige Welle wäre um einiges schlimmer, wenn wir weder Corona-Warn-App noch Luca hätten.

Aber es muss Sie doch wundern, dass niemand in der Politik sagt: Luca ist super, bitte weiter einsetzen.

Dann würde ich zum Beispiel mal Gesundheitsminister Lauterbach fragen, ob er glaubt, dass wir die Nachverfolgung einstellen sollten oder ob er der Meinung ist, dass es wichtig sei, jede Kontaktkette zu unterbrechen zum bestmöglichen Schutz aller.

Zur Person: Im Jahr 2015 gründete Patrick Hennig das Berliner Start-up Nexenio. Der heute 35-jährige Programmierer studierte in Potsdam und im portugiesischen Coimbra. Nexenio ist eine Ausgründung des Hasso-Plattner-Instituts, für das Hennig zuvor arbeitete. 13 Bundesländer zahlten für die Luca-Jahreslizenzen insgesamt 21 Millionen Euro.

Das Interview ist zuerst auf Welt.de erschienen.

Wir möchten einen sicheren und ansprechenden Ort für Nutzer schaffen, an dem sie sich über ihre Interessen und Hobbys austauschen können. Zur Verbesserung der Community-Erfahrung deaktivieren wir vorübergehend das Kommentieren von Artikeln.