Luca (App)

Luca (Markenschreibweise luca app) ist eine COVID-19-App zur Datenbereitstellung für eine Kontaktpersonennachverfolgung, um nach Auftreten einer Infektion mit dem Coronavirus SARS-CoV-2 mögliche Infektionsketten nachverfolgen und unterbrechen zu können. Die App kann dazu verwendet werden, um sich etwa beim Besuch eines Restaurants zu registrieren. Gesundheitsämter können später auf diese Daten zugreifen, um Gäste zu kontaktieren, die möglicherweise von einem Infektionsfall an diesem Ort betroffen sind.

Luca
Basisdaten
Hauptentwickler	culture4life GmbH
Entwickler	neXenio GmbH
Erscheinungsjahr	2021
Aktuelle Version	2.4.1 (Android – Google Play Store) 1. März 2022[1] 2.4.1 (iOS – Apple Store) 4. März 2022[2]
Betriebssystem	Android, iOS, WebApp im Browser
Lizenz	Apache-Lizenz; außer Android: GPLv3
deutschsprachig	ja
luca-app.de

Rechtsgrundlage für die Datenverarbeitung ist die Dauer der Feststellung einer epidemischen Lage von nationaler Tragweite § 28a Abs. 1 Nr. 18 des Infektionsschutzgesetzes (IfSG), unabhängig davon bis zum Ablauf des 19. März 2022 § 28a Abs. 7 Satz 1 Nr. 8, Abs. 10 IfSG. Eine Weitergabe der übermittelten Daten durch die zuständigen Stellen oder eine Weiterverwendung zu anderen Zwecken als der Kontaktnachverfolgung ist juristisch ausgeschlossen (§ 28a Abs. 4 Satz 6 IfSG). Anfragen von Polizei und Staatsanwaltschaft nach Nutzerdaten für Zwecke der Strafverfolgung erreichten den Betreiber nach eigenen Angaben jedoch „fast täglich“.^[3] Nachdem die Polizei in Mainz gemeinsam mit dem Gesundheitsamt bei der Suche nach Zeugen auf Daten aus der Luca-App zurückgegriffen hatte, riefen einige Politiker öffentlich dazu auf, die Luca-App von den mobilen Telefonen zu löschen.^[4]

Die App wurde schon zuvor auf Grund von Sicherheitslücken und Datenschutzmängeln von vielen Experten scharf kritisiert. Trotz diverser Mängel wurden die Lizenzen der App von mehreren Bundesländern eingekauft. Luca-generierte QR-Codes lassen sich auch mit der Corona-Warn-App scannen.

Die Entwicklung des Systems begann Ende 2020.^[5] Bis zum Auslaufen der Verträge mit den Bundesländern Ende März 2022 hatten sich laut Luca 450.000 Locations und etwa 40 Millionen Bürger registriert.^[5] Im April 2022 gaben die Betreiber bekannt, dass die Luca-App bis auf weiteres nicht mehr zur Kontaktverfolgung eingesetzt werden würde, und stattdessen in eine App zum „Buchen, Bestellen und Bezahlen in Restaurants oder auch Check-ins in Hotels“ umgewandelt werden sollte.^[5]

Funktionsweise

 

Diagramm, das den Aufbau der Luca-App verdeutlicht

Wer die Luca-App verwenden will, muss diese zunächst auf seinem mobilen Endgerät installieren, seinen Namen, seine Kontaktdaten sowie die Mobilfunknummer in der Luca-App registrieren. Dann kann z. B. beim Eintritt in ein Konzert oder beim Betreten eines Restaurants ein QR-Code gescannt werden, der zuvor vom Konzertveranstalter, Restaurantbetreiber oder – im Falle eines privaten Treffens – von einer Privatperson erzeugt wurde. Im Restaurant ersetzt das Scannen des Codes handschriftliche Gästelisten. Beim Scannen wird ein sogenannter Check-In des Besuchs erstellt. Damit sollen später Kontakte nachvollzogen und entstandene Infektionsketten ermittelt werden. Die so gesammelten Daten werden verschlüsselt bei Luca bzw. deren Dienstleistern abgelegt, und nach Angaben von Luca können nur die zuständigen Gesundheitsämter ausschließlich im Infektionsfall auf die Daten zugreifen.^[6] Dies ist im Infektionsschutzgesetz (IfSG) auch so vorgesehen, das jedoch die Weitergabe der Daten an Dritte ausschließt (§ 28a Abs. 4 IfSG). Dies hielt jedoch die Mainzer Polizei nicht davon ab, Daten aus der Luca-App mit Hilfe des örtlichen Gesundheitsamts zu bekommen, um sie für Ermittlungen zu verwenden.^[7]

Gästeregistrierung

 

Die Freiheitshalle Hof informiert über die Registrierungsmöglichkeit per Luca-App

Während der COVID-19-Pandemie mussten bestimmte Unternehmen nach den entsprechenden Verordnungen der Bundesländer die Kontaktdaten aller Gäste erfassen.^[8][9][10] Dies betraf die Gastronomie und – je nach Bundesland – Fitness-Studios, sonstige Sportveranstalter, Frisöre, Kinos, Theater, Konzertsäle, Senioren- und Pflegeheime, Kirchen etc. Diese Einrichtungen werden im Folgenden als Locations bezeichnet. Die Locations sollten im Infektionsfalle den Gesundheitsämtern Auskunft über Kontaktdaten erteilen. Dies sollte den Gesundheitsämtern ermöglichen Kontakte nachverfolgen zu können (s. u.), um Infektionsketten zu unterbrechen und die Ausbreitung von COVID-19 einzudämmen.

Gastronomen, Konzertveranstalter sowie andere Unternehmer, im Folgenden als Location-Betreiber bezeichnet, konnten die Kontaktdaten ihrer Gäste mit der Luca-App digital erfassen.^[11]

Jeder Gast registrierte sich in der Luca-App einmalig mit vollem Namen und Anschrift, ggf. E-Mail-Adresse sowie einer Mobilfunknummer. Die Mobilfunknummer wurde dabei mit einer TAN verifiziert.^[12] Für den Gast erzeugte die Luca-App einen QR-Code, der sich minütlich änderte.^[13] Diesen QR-Code konnte der Location-Betreiber beim Eintritt des Gastes scannen, um die Anwesenheit des Gastes zu erfassen. Alternativ konnten auch Betreiber für eine Location einen QR-Code erstellen, den die Gäste beim Eintritt scannen konnten.^[11]

Bei der Erfassung der Anwesenheit wurden die verschlüsselte Gast-ID, die Information über die Location sowie Datum und Uhrzeit gespeichert.^[14] Auf diese personenbezogenen Daten konnten nur die Gesundheitsämter zugreifen, nachdem die Daten durch den Location-Betreiber freigeben wurden. Weder der Location-Betreiber noch der Betreiber der Luca-App konnten auf die Daten zugreifen.^[6]

Die Luca-App konnte über Geofencing den Anwender auch selbständig an Locations ausbuchen. Dafür musste die Freigabe der Standortdaten im Mobiltelefon über die Systemeinstellungen aktiviert sein.^[12]

Außerdem konnte ein Anwender mit der Luca-App einen Code für ein privates Treffen (Familien- oder private Feier, Verabredung, spontane Treffen u. ä.) erstellen. Mit diesem Code konnten sich dann die anderen Teilnehmer für das Treffen registrieren.^[13]

2022 wurde die Kontaktdatenerfassung zur Infektionsverfolgung abgeschafft. Daher wird diese Funktionalität von der Luca App nicht mehr angeboten.

Kontakttagebuch

Epidemiologen und Virologen empfehlen, ein sogenanntes Kontakt-Tagebuch zu führen.^[15] Dabei sollten vor allem sog. Cluster-Situationen notiert werden, d. h., Situationen, von denen absehbar eine erhöhte Ansteckungsgefahr ausgeht, weil sich mehrere Menschen, z. B. in einem Innenraum, treffen. Das Kontakt-Tagebuch soll als Gedankenstütze dienen, mit deren Hilfe ein Infizierter dem Gesundheitsamt (oder direkt den Freunden, Verwandten oder Bekannten) mitteilen kann, wo bzw. mit wem er sich in den letzten 14 Tagen aufgehalten hat, damit das Gesundheitsamt eine Kontaktnachverfolgung (s. u.) durchführen kann.

Die Luca-App erzeugt aus den o. g. Check-Ins auf dem Smartphone des Anwenders eine sog. Historie,^[12] die dem empfohlenen Kontakt-Tagebuch entspricht. In der Historie werden diese Check-Ins gespeichert. Checkt ein Benutzer per Webinterface oder Schlüsselanhänger (s. o.) ein, wird die Historie auf einem Server des Luca-Systems angelegt.^[13] Die Daten der privaten Treffen werden im Infektionsfall nicht an das Gesundheitsamt übertragen, sondern dienen nur als Gedankenstütze.

Kontaktnachverfolgung

Kontaktverfolgung (Kontaktpersonennachverfolgung, engl. “contact tracing”) ist das Ermitteln und Nachverfolgen von Kontaktpersonen von Infizierten, also Personen, die Kontakt zu einem Infizierten hatten und sich daher infiziert haben könnten. Ziel ist, solche Kontaktpersonen zu finden und zu isolieren, bis entweder bestätigt ist, dass sie nicht infiziert sind (Freitesten), oder sie nicht mehr ansteckend sind (Quarantäne). Auf diese Weise sollen Infektionsketten unterbrochen werden.

Mit dem Luca-App-System können die Gesundheitsämter Kontaktpersonen von Infizierten schneller ermitteln: Wird ein Anwender der Luca-App positiv auf SARS-CoV-2 getestet, kann er seine Historie (Kontaktdatenbuch) dem Gesundheitsamt mittels einer zwölfstelligen Transaktionsnummer (TAN) freigeben. Dadurch sendet die Luca-App des Getesteten alle Veranstaltungsorte der letzten 14 Tage (laut der Programm-Historie) an das Luca-System.^[16] Ausnahme sind private Treffen (s. o.).

Das Gesundheitsamt fordert dann über das Luca-System die entsprechenden Veranstalter auf, die Kontaktdaten aller Gäste, die zur selben Zeit wie der Meldende am jeweiligen Veranstaltungsort waren, ans Gesundheitsamt zu übertragen. Die Veranstalter können dieser Aufforderung über das Webinterface des Luca-App-Systems folgen. Anschließend stehen die Kontaktdaten dem Gesundheitsamt über ein Webinterface zur Verfügung^[16] und können entweder in dieser Webanwendung verwendet oder in dessen System zur Kontaktnachverfolgung übernommen werden.^[13] Die o. g. Verifizierung der Mobilnummer soll sicherstellen, dass zumindest diese Nummer korrekt ist.

Damit erhält das Gesundheitsamt die Kontaktdaten aller Gäste, die in den letzten 14 Tagen zur selben Zeit am selben Ort wie der Meldende angemeldet (“checked in”) waren. Das Befragen des Infizierten, eventuelle Erinnerungslücken sowie das aufwendige und zeitintensive Beschaffen, Entziffern und Abgleichen handschriftlicher Gästelisten entfallen.

Risikokontakt-Warnung

Die Risikokontakt-Warnung soll Menschen warnen, die Kontakt mit einem Infizierten hatten und möglicherweise dadurch infiziert wurden, damit sie sich isolieren, testen und ggf. frühzeitig in Behandlung geben können.

Über die Luca-App werden im Zuge der Kontaktnachverfolgung (s. o.) Anwender alarmiert, die zur selben Zeit am selben Ort wie der Meldende registriert waren. Diese Alarmierung wird durch das jeweilige Gesundheitsamt ausgelöst. Falls ein Anwender die App nach dem jeweiligen Check-In deinstalliert hat, wird er per SMS informiert.^[13]

Anbindung der Gesundheitsämter

Die Kontaktnachverfolgung durch die Gesundheitsämter kann über das Webinterface des Luca-App-Systems für Gesundheitsämter erfolgen.^[13]

Zusätzlich gibt es eine Anbindung an die in den Gesundheitsämtern verwendeten Systeme zur Kontaktnachverfolgung. Diese erfolgt entweder über die Schnittstelle des jeweiligen Systems oder über Ex- und Import über bestimmte Standardformate.^[13] Das Luca-System ist nicht an die Schnittstellen von z. B. SORMAS^[17][18] oder OctoWare TN^[13] angeschlossen, sondern nutzt die Möglichkeit Standardformate zu importieren.

Voraussetzungen

Damit Veranstalter das Registrieren (Einchecken) mit der Luca-App anbieten können, muss das örtliche Gesundheitsamt ans Luca-System angeschlossen sein (siehe Verbreitung).^[13]

Anwender können die Luca-App nutzen, auch wenn das örtliche Gesundheitsamt noch nicht angeschlossen ist, entweder bei Reisen in Regionen, in denen die Veranstalter ans Gesundheitsamt angeschlossen sind oder für private Treffen (s. o.).^[13]

Personen, die kein kompatibles Smartphone haben oder die Luca-App nicht installieren wollen, können ihre Daten in einem Restaurant z. B. über ein Kontaktformular des Web-Interfaces der Luca-App eingeben. Die Luca-Web-App erzeugt daraus den Check-In. Alternativ können Anwender einen Schlüsselanhänger mit einem QR-Code erwerben, über den sie eingecheckt werden (beim Bestellvorgang werden dann die gleichen Daten wie in der App angegeben und auf dem Server des Systems hinterlegt^[14]).

Ohne die App können keine private Treffen (s. o.) initiiert werden, aber ein Ersteller privater Treffen kann Teilnehmer mit QR-Code-Schlüsselanhänger einchecken. Gäste, die die Luca-App auch nicht per Webinterface oder Schlüsselanhänger nutzen möchten, müssen sich weiterhin handschriftlich in Gästelisten eintragen.^[13]

Technische Umsetzung und Datenschutz

Laut Angaben des Betreibers der Luca-App werden „die generierten Daten […] dezentral verschlüsselt und teilen sich ebenfalls auf drei Schnittstellen auf: Gastgeber, Gast und Gesundheitsamt. Nur im Falle einer Infektion setzen sich die Daten wie bei einem Puzzlespiel zusammen und sind dann für das Gesundheitsamt lesbar. Gastgeber, Veranstalter, Betreiber, wir selbst, oder Dritte, haben zu keinem Zeitpunkt Zugriff auf die Daten. Die einzelnen Puzzleteile sind auf ISO-27001 zertifizierten Servern in Deutschland gespeichert.“

Aus der Darstellung des Gesamtsystems durch den Betreiber^{[19][11][12][13][11][6][20]} kann man folgendes Datenschutzkonzept schließen:

Auf dem Smartphone des Gastes liegen seine Kontaktdaten und seine Historie der letzten 30 Tage.

Auf den ISO-27001-zertifizierten Servern der Luca Betreiber^[21] liegen

• die Gast-Anwender-Datensätze, die die mit dem Schlüssel des Gesundheitsamts verschlüsselten Kontaktdaten eines Gast-Anwenders mit seiner Gäste-ID verknüpft;
• die Location-Datensätze mit den Kontaktdaten der Location;
• die Check-In-Datensätze, die die Location-ID und mit einer zufälligen Identifikationsnummer des Gastes (s. u.), mit dem Schlüssel des Gesundheitsamts verschlüsselte Gäste-ID sowie mit der Check-in- und -out-Zeiten verknüpft. Die Check-In-Datensätze werden nach 30 Tagen gelöscht.^[19][21]

Im Fall einer Infektion werden die Historie des Infizierten mit den Check-In-Daten der betroffenen Locations zusammengeführt. Für alle betroffenen Locations werden zudem diejenigen Anwender-Datensätze jeder Gäste zusammengeführt, die zur selben Zeit in der jeweiligen Location eingecheckt waren. Damit erhält das Gesundheitsamt alle Kontaktdaten von potenziellen Kontaktpersonen des Infizierten.

Dabei sind die personenbezogenen Check-In-Daten mehrfach verschlüsselt:^[13][22] Die User-ID (mit der in der Gast-Anwenderdatenbank die Kontaktdaten abgerufen werden können) wird auf dem Smartphone mit dem Schlüssel des Gesundheitsamtes verschlüsselt. Beim Check-In wird diese User-ID ein zweites Mal mit dem Schlüssel des jeweiligen Location-Betreibers verschlüsselt. Aufgrund der doppelten Verschlüsselung können weder Location-Betreiber noch der Betreiber des Luca-App-Systems die personenbezogenen Daten lesen.^[13] Das Gesundheitsamt kann die Kontaktdaten erst dann lesen, wenn sie vorher vom jeweiligen Location-Betreiber entschlüsselt wurden. Positionsdaten oder IP-Adressen werden nicht gespeichert.^[14]

Die in der App erzeugte temporäre Identifikationsnummer, aus der der QR-Code erzeugt wird und die in den Check-In-Datensätzen gespeichert wird, ändert sich minütlich.^[12] Dies soll verhindern, dass Bewegungsprofile gebildet werden können.

Wenn ein Infizierter seine Historie freigegeben hat (s. o.), fordert das Gesundheitsamt über das Luca-Backend-System bei den Location-Betreibern die verschlüsselte Gäste-IDs an (s. o.), die der jeweilige Location-Betreiber mit seinem Schlüssel entschlüsselt. Selbst zu diesem Zeitpunkt können weder Location-Betreiber noch der Betreiber des Luca-App-Systems die Gäste-IDs lesen, da diese immer noch mit dem Schlüssel des Gesundheitsamts verschlüsselt sind. Erst wenn das Gesundheitsamt diese Daten übernommen und entschlüsselt hat, sind diese – nur für das Gesundheitsamt – lesbar.^[16] Im März 2021 hat die Datenschutzkonferenz der Länder festgestellt, dass alle Gesundheitsämter denselben privaten Schlüssel zum Entschlüsseln der Daten erhalten.^[23] Das Rollout der Schlüssel übernimmt die Bundesdruckerei, die als Dienstleister des Betreibers und/oder der Gesundheitsämter fungiert.^[21][24]

Im Ergebnis kann, soweit das System nicht gehackt wird oder der private Schlüssel abhandenkommt, niemand die Check-In-Daten lesen, bis auf das Gesundheitsamt, und das nur dann, wenn (1) der Infizierte seine Historie freigegeben hat und (2) die jeweiligen Location-Betreiber die Checks-Ins zu den Zeiten, zu denen der Infizierte in der jeweiligen Location war, entschlüsselt haben.

Ersteller von privaten Treffen (s. o.) können die Namen der Teilnehmer sehen, die anderen Teilnehmer den Namen des Erstellers.

Der Hersteller hat das Ergebnis eines Penetrationstest durch die ERNW Enno Rey Netzwerke GmbH veröffentlicht.^[25] Danach wurden „bei der Sicherheitsbewertung des Luca-Umfelds […] in einem Penetrationstest mehrere Schwachstellen mit mittlerem und niedrigem Schweregrad identifiziert. […] Zum Zeitpunkt der Erstellung dieses Berichts waren alle zuvor identifizierten Probleme behoben. Es wurde ein zusätzliches Problem identifiziert.“^[25]

Der Landesbeauftragte für Datenschutz und Informationsfreiheit von Baden-Württemberg, Stefan Brink, hat nach Prüfungsauftrag durch die Regierung von Baden-Württemberg das Konzept der Luca-App (nicht jedoch, da Closed-Source, die Luca-App selbst), soweit zu dem Zeitpunkt bekannt, inhaltlich wie technisch geprüft und bescheinigte der Gesamtlösung im Februar 2021 hohe Datenschutz-Standards.^[26][27] „Die Dokumentation der erfolgten Kontakte wird auf technisch höchstem Stand verschlüsselt und es liegt allein in der Hand des luca-Nutzers, ob, wann und mit wem er diese sensiblen Daten teilen möchte.“^[27] Nachdem er für diese Aussage mit Verweis auf die fehlende Veröffentlichung des Quelltexts kritisiert wurde, bestätigte er, dass eine Überprüfung des Quelltexts nicht erfolgt war, seine Behörde aber geprüft habe, welche Daten fließen und wie sie verschlüsselt werden.^[28]

Am 26. März 2021 bescheinigte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, dass der Betreiber „nach derzeitiger Kenntnis der DSK“ mit dem Luca-System die Vorteile eines solchen Systems – Effizienzgewinn bei der Gesundheitsämtern und bei der Dokumentationspflichten der Location-Betreiber mit besserem Datenschutz sowie eine Risikokontakt – realisiert und bisher identifizierte Risiken „teilweise behandelt“ hat. Die DSK forderte das Unternehmen auf, weitere Anpassungen an dem System vorzunehmen, um den Schutz der teilnehmenden Personen weiter zu erhöhen. So will die DSK mit dem Betreiber klären, inwieweit die Datenspeicherung dezentralisiert werden könnte. Darüber hinaus fordert die DSK Verbesserungen beim Schlüsselmanagement, die Offenlegung des Quellcodes sowie einen systematischen Nachweis der Sicherheit des Systems gemäß DSGVO. Die DSK forderte darüber hinaus eine gesetzliche Regelung mit Vorgaben für eine bundesweit einheitliche datensparsame digitale Infektionsnachverfolgung.^[29]

Datenzugriff durch die Mainzer Polizei ohne Rechtsgrundlage

Am 7. Januar 2022 berichtete der SWR, die Mainzer Polizei habe für Ermittlungen ohne rechtliche Grundlage auf Daten der Luca-App zugegriffen.^[7] Gleich nach Bekanntwerden des Vorfalls forderte der Politiker Alexander Salomon (Bündnis 90/Die Grünen) die Bürger auf Twitter auf, die Luca-App sofort zu löschen und nur noch die Corona-Warn-App zu nutzen.^[30] Diesem Aufruf schloss sich Daniel Karrais (FDP) ebenfalls auf Twitter an und hob hervor, dass versprochen war, dass so etwas nicht passiere.^[31] Beide sind Abgeordnete im Landtag von Baden-Württemberg.^[4] Dem Versprechen, dass so etwas nicht passieren würde, glaubten Kritiker schon nicht, sie gehen sogar im Gegenteil davon aus, dass so etwas früher oder später passieren hätte müssen,^[32] und dass sogar eine Wiederholungsgefahr bestehe.^[33]

Bei dem Vorfall ging es um einen Mann, der nach Verlassen einer Gaststätte schwer stürzte, so dass er intensivmedizinisch behandelt werden musste und nicht aussagen konnte, bis er schließlich starb. Um ein Fremdverschulden auszuschließen suchte die Polizei öffentlich nach Zeugen,^[34] was auch in der Lokalpresse verbreitet wurde.^[35][36] Um Zeugen zu finden, fragte die Polizei auch eine Mitarbeiterin der Gaststätte ausdrücklich nach Daten aus der Luca-App. Die Mitarbeiterin sei danach vom Gesundheitsamt gebeten worden, die Daten der Gäste für den betreffenden Abend freizugeben, was sie auch tat. Mit den Daten ermittelte die Polizei 21 Gäste als mögliche Zeugen, die sie auch anrief.^[7] Zeugen sagten nach der Mainzer Staatsanwaltschaft aus, dass der Mann vor seinem Sturz bei einem Streit mit einem anderen Mann „mit der flachen Hand ins Gesicht geschlagen“ worden sei. Ob diese Ohrfeige zum Sturz und schließlich zum Tod des Mannes führte, sei unbekannt.^[37]

Zum Vorfall selbst erklärte die Staatsanwaltschaft Mainz, es habe für die Datenabfrage „keine hinreichende rechtliche Grundlage“ gegeben. Mitarbeiter der Staatsanwaltschaft Mainz würden hinsichtlich der Rechtslage sensibilisiert. Die Staatsanwaltschaft Mainz drücke ihr Bedauern gegenüber den insoweit vom unzulässigen Zugriff auf die Daten Betroffenen aus und bitte darum, diesen Zugriff zu entschuldigen. Es werde sichergestellt, dass die entsprechenden Daten nicht weiter genutzt würden.^[7]

Auch andere Gesundheitsämter wurden von Strafverfolgern nach Daten aus der Luca-App gefragt; die Weitergabe der Daten wurde jedoch mit Verweis auf die Rechtslage abgelehnt.^[38] Ebenso werden die Luca-App-Betreiber, nach eigenen Angaben, von Polizei und Staatsanwaltschaft „fast täglich“ nach Daten aus der Luca-App gefragt. Sie lehnen jedes Mal ab, da sie schon aufgrund der Verschlüsselung keine Daten herausgeben können. Zum Vorfall selbst sagen die Betreiber: „Wir verurteilen diesen Missbrauch der für den Infektionsschutz erhobenen Daten der luca App und begrüßen die Ankündigung der Staatsanwaltschaft Mainz, hinsichtlich der Rechtslage zu sensibilisieren und die Daten nicht weiter zu verwenden.“^[3] Auch die Kölner Betreiber von Recover, einer anderen App zur Kontaktnachverfolgung, sollten Daten herausgeben. Dafür ist die Staatsanwaltschaft Bochum mit einem Durchsuchungsbeschluss beim Betreiber erschienen. Jedoch konnte sie keine Daten aufgrund von technischen Problemen bekommen. Sie wollte mit den Daten einen unbekannten Schläger ermitteln, der sein Opfer schwer verletzt habe.^[39]

Die Rechtslage ist eindeutig im Infektionsschutzgesetz (IfSG) geregelt.^[40] Es legt fest, dass Daten zum Zweck erhoben werden, „um nach Auftreten einer Infektion mit dem Coronavirus SARS-CoV-2 mögliche Infektionsketten nachverfolgen und unterbrechen zu können“ (§ 28a Abs. 1 Nr. 17, IfSG). „Eine Weitergabe der […] Daten durch die zuständigen Stellen […] [z. B. das örtliche Gesundheitsamt] oder eine Weiterverwendung durch diese zu anderen Zwecken als der Kontaktnachverfolgung ist ausgeschlossen.“ (§ 28a Abs. 4 Satz 6 IfSG) Das heißt, das Gesundheitsamt durfte die Daten nicht zur Zeugenermittlung weitergeben. Und die Daten durften dann, nach Auffassung der Landesregierung von Rheinland-Pfalz, auch nicht zur Zeugenermittlung genutzt werden.^[41]

Dies schätzt auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit von Rheinland-Pfalz Dieter Kugelmann so ein.^[40] Bevor er dieses Amt antrat, war er an der Deutschen Hochschule der Polizei in Münster tätig und zwar als ordentlicher Universitätsprofessor für Öffentliches Recht, mit Schwerpunkt Polizeirecht einschließlich des internationalen Rechts und des Europarechts.^[42] Er leitete, nachdem er vom Vorfall erfahren hatte, umgehend aufsichtsrechtliche Verfahren ein. Dabei soll geklärt werden, welche Umstände dazu führten, dass die Daten trotz der eindeutigen Rechtslage unzulässig abgefragt und genutzt wurden.^[40] Zum Vorfall selbst sagte er:

„Für mich ist es zunächst einmal besorgniserregend, dass sowohl Staatsanwaltschaft als auch Gesundheitsamt die bereits vor einiger Zeit geänderte Rechtslage im Infektionsschutzgesetz und damit zusammenhängende datenschutzrechtliche Bestimmungen offensichtlich nicht kannten oder sich darüber hinweg gesetzt haben.“

„Das Vorgehen erschüttert das Vertrauen der Bürger in die Rechtmäßigkeit staatlichen Handelns und ist gerade in Zeiten einer die Gesellschaft als Ganzes herausfordernden Pandemie das völlig falsche Signal.“^[40]

Unterschied zur Corona-Warn-App

Im Unterschied zur Corona-Warn-App, die ursprünglich nur Alltags-Kontakte mit anderen Anwendern der Corona-Warn-App, die sich über eine bestimmte Zeit und Entfernung begegnen, aufzeichnete (proximity tracing), zeichnet die Luca-App registrierte Besuche von Locations automatisch auf. Weil auf diese Weise alle Besucher eines möglichen Infektions-„Hotspots“ (Cluster) ermittelt werden können, spricht man auch von Cluster-Erkennung.

Die Corona-Warn-App und die Luca-App dienen beide der Risikokontaktwarnung, allerdings auf unterschiedliche Art und Weise. Das Luca-App-System stellt dem Gesundheitsamt die Kontaktdaten von Personen mit Risikokontakten (auf Basis von Clustererkennung, s. o.) zur Verfügung und ermöglicht damit eine Kontaktnachverfolgung zur Unterbrechung von Infektionsketten und Eindämmung der Pandemie. Die Corona-Warn-App basiert auf einem Datenschutz-Konzept mit strikter Anonymität, d. h. die Kontaktdaten der Anwender werden nicht hinterlegt, und kann daher keine Daten zur Kontaktpersonennachverfolgung zur Verfügung stellen; Kontaktlisten können jedoch wie in einem Tagebuch manuell geführt werden.

Seit der Version 2.0 hat auch die Corona-Warn-App die Möglichkeit, sich bei Besuch von Locations oder Events über einen zugehörigen QR-Code zu registrieren, um Cluster-Erkennung zu ermöglichen. Im Gegensatz zur Luca-App werden aber keine personenbezogenen Daten erfasst, sondern lediglich alle im übereinstimmenden Zeitraum ebenfalls mit der Corona-Warn-App registrierten gewarnt, wenn ein Teilnehmer einen positiven Test erhält und ihn über die Corona-Warn-App teilt.^[43]

Technisch basiert das proximity tracing der Corona-Warn-App auf dem Austausch von anonymen IDs über Bluetooth und der Berechnung des Risikos einer Infektion aus geschätztem Abstand und Dauer. Luca-App-System basiert technisch lediglich auf der Erfassung von Cluster-spezifischen Codes (QR-Codes), was auch die Corona-Warn-App seit Version 2.0 ermöglicht.

Während bei dem Luca-App-System diese Daten zentral gespeichert werden, erfolgt bei der Corona-Warn-App keine zentrale Erfassung personenbezogener Daten. Es werden bei der Corona-Warn-App lediglich die einer Person in der App zugeordneten anonymen IDs und Event IDs zentral veröffentlicht, wenn diese einen positiven Test teilt.

Entwicklung

Als Urheber des Luca-App-Systems bezeichnet sich das Berliner IT-Startup neXenio GmbH, eine Ausgründung des Hasso-Plattner-Instituts.^[44] Es wurde im Oktober 2015 gegründet mit dem Zweck der „Entwicklung und Betrieb von IT-Services und -Anwendungen im Bereich Cloud Speichern, kollaboratives Arbeiten, Social Media Analysis und Data Mining“. Es hat 50 Mitarbeiter und wird gehalten von Patrick Hennig (* 1988), Philipp Berger (* 1987) (jeweils 35,5 %) und Christoph Meinel (20,5 %). Neben der Luca-App nennt die Website der Gesellschaft weitere Produkte und Lösungen u. a. in den Bereichen Cloud-basiertes Whiteboard, Cloud-Anbieter, interaktionsloses Zugangskontrollsystem, Ticketing u. a. für die Veranstaltungs- und Reisebranche.^[45]

Inhaber und Betreiber des Luca-App-Systems ist die Culture4Life GmbH,^[46] an der neben der neXenio GmbH (41 %) auch Marcus Trojan UG (27,5 %, Geschäftsführer), Fantastic Capital Beteiligungsgesellschaft UG (22,9 %) sowie Centineo Investment I GmbH & Co KG (8,3 %) beteiligt sind. Unternehmenszweck ist die Erbringung von Dienstleistungen in der Informationstechnik.^[45]

Die im November 2020 gegründete Fantastic Capital Beteiligungsgesellschaft UG beteiligt sich „an Unternehmen, insbesondere im Bereich der Softwareentwicklung und des Vertriebes“.^[47] Die Gesellschafter werden im Handelsregister nicht genannt. Jedoch nennt die Website der Luca-App „einige Kulturschaffende, wie die Band Die Fantastischen Vier“ als Mitglied des Teams.^[44] In der Stuttgarter Zeitung nimmt Thomas D dazu Bezug, demnach war die Band maßgeblich an der Vermarktung der App beteiligt.^[48] Besondere Medienaufmerksamkeit^[44] erreichte Luca dadurch, dass Michael Schmidt alias Smudo, Frontmann der deutschen Hip-Hop-Band Die Fantastischen Vier, als Botschafter für diese Lösung auftritt,^[49] aktiv für sie wirbt^[50] und sich offenbar auch an ihrer Finanzierung beteiligt hat (s. u.).

Als weiteres Teammitglied wird Franz de Waal, Mitgründer und CEO von FREIRAUM (einer Retail-Plattform) und CONTINEO Investments (einer Vermögensverwaltung), genannt.

Verbreitung, Kosten

 

Karte der Länder (lila), Kreise und Städte (rot), die die App gekauft haben.

In den Kommunen von Rostock, Sylt, Föhr und Amrum sind Besucher aufgerufen, eine Corona-Nachverfolgung über Luca zu ermöglichen.^[51][52] Ebenso bieten Husum, der Salzlandkreis in Sachsen-Anhalt und Jena in Thüringen diese Möglichkeit.

Mehrere Bundesländer, Bezirke, Kreise oder Kommunen führten das Luca-App-System für ihre Gesundheitsämter ein. Bis November 2021 hatten 13 Bundesländer eine Lizenz gekauft:^[53][54] Mecklenburg-Vorpommern,^[55] Berlin,^[56] Brandenburg^[57], Baden-Württemberg,^[58][59] Niedersachsen,^[60] Bremen, Hamburg, Schleswig-Holstein, Hessen^[58], Rheinland-Pfalz, Sachsen-Anhalt, Saarland und Bayern.^[61][62] Beispiel für Kreise, Kommunen und Städte, die das System einführen, sind die Landkreise Emsland, Warendorf, Breisgau-Hochschwarzwald und Osnabrück sowie die Städte Kiel und Freiburg.

Bis 27. Juli 2021 waren knapp 80 % (319 von 400) der Gesundheitsämter angeschlossen.^[63] Die App wurde bis 10. April 2021 rund 3,3 Millionen Mal heruntergeladen. 64.000 Locations haben sich registriert.^[54] Nicht jeder Download führt zu einer mehr oder weniger regelmäßigen Nutzung aller oder einiger der unterschiedlichen Funktionen der App. So gibt es Gründe, die App mehr als ein Mal herunterzuladen, etwa wenn jemand mehr als ein Smartphone besitzt oder zu Test-Zwecken. Bis April 2022, als die Betreiber nach dem Auslaufen der Verträge mit den Bundesländern bekanntgaben, dass die App zukünftig bis auf weiteres nicht mehr zur Kontaktverfolgung eingesetzt werden würde, hatten sich laut Luca 450.000 Locations und etwa 40 Millionen Bürger registriert.^[5]

Nach Recherchen von Netzpolitik.org^[64] haben die 13 Bundesländer bis April 2021 mehr als 20 Mio. Euro für Luca ausgegeben. Bis Januar 2022 gab das Land Bremen zum Beispiel 220.000 Euro dafür aus.^[65] Diese Lizenzgebühren decken die Nutzung der Funktionalität (Weboberfläche, Systemkomponenten) und Infrastruktur für die Gesundheitsämter (Betrieb, Support und Wartung) sowie die SMS-Kosten für die Verifikation der Telefonnummern ab, und zwar für ein Jahr.

Der Vergabesenat des Oberlandesgerichts Rostock hat am 11. November 2021 geurteilt, dass die Direktvergabe an die Luca-App durch das Landes Mecklenburg-Vorpommern unwirksam sei, da ein Wettbewerbsverstoß vorlag.^[66]

Nach einer Umfrage des Vorsitzenden des CCC Freiburgs, Jens Rieger, wurde das System bis Ende April 2021 von den allermeisten der bislang an das System angeschlossenen Gesundheitsämter gar nicht benutzt (siehe Reaktionen).^[67] Im August 2021 hat das Magazin „Der Spiegel“ bei 200 der mehr als 300 Gesundheitsämtern angefragt und in 114 Antworten festgestellt, dass die Hälfte der antwortenden Gesundheitsämter noch nie Daten durch das Luca-System erhalten hat.^[68] Der CCC Freiburg hat im April^[69] und August^[70] jeweils alle Gesundheitsämter angefragt und kommt zu ähnlichen Ergebnissen. Im Land Bremen wurde die App bis Januar 2022 nur tatsächlich in zehn Fällen von den beiden Gesundheitsämtern genutzt.^[65]

Alternativen

 

Dieser Artikel oder Abschnitt bedarf einer grundsätzlichen Überarbeitung. Näheres sollte auf der Diskussionsseite angegeben sein. Bitte hilf mit, ihn zu verbessern, und entferne anschließend diese Markierung.

Mitbewerber sind die in Nordrhein-Westfalen teilweise eingesetzten Lösungen Corona-Anmeldung.de, Darfichrein, recover, Kontakterfassung.de oder Hygiene-Ranger.^[71] Weitere alternative Lösungen mit vergleichbarem Funktionsangebot sind Warn-App NINA, GastIdent, Inscribe, e-guest, SmartMeeting und NotifyMe (basierend auf dem CrowdNotifier-Protokoll).

Das Bündnis Wir für Digitalisierung, hinter dem zahlreiche Lösungsanbieter^[72] stehen, wirbt für ein Gesundheitsamtportal als einheitliche und offene Schnittstelle, an die verschiedene digitale Lösungen für Kontaktverfolgung Daten liefern und auf die die Gesundheitsämter zugreifen können.^[73][74][75] Diese Schnittstelle steht als „IRIS Connect“^[76] seit Mitte Juni 2021 den Gesundheitsämtern zur Verfügung. Die Luca-App ist nicht an das IRIS System angeschlossen.^[77][78]

Kritik

An dem Luca-App-System wie auch an der Kommunikation der Entwickler bzw. Betreiber entzündete sich mehrfach Kritik: So forderte der Chaos Computer Club (CCC) in einer Pressemitteilung vom 15. März 2021^[79] die „Bundesnotbremse für die Luca-App“ und erklärte: „Zweifelhaftes Geschäftsmodell, mangelhafte Software, Unregelmäßigkeiten bei der Auftragsvergabe: Der Chaos Computer Club (CCC) fordert das sofortige Ende der staatlichen Alimentierung von Smudos Steuer-Millionengrab ‚Luca-App‘“.

Einkauf der App trotz schwerer Mängel, ohne staatliche Ausschreibung / Vergabeverfahren

13 von 16 Bundesländern kauften die Lizenzen der Luca App. Thüringen, Nordrhein-Westfalen und Sachsen entschieden sich gegen die App.^[80][53] Kritik erhielten die Bundesländer, weil sie Lizenzen für die Luca App kauften, obwohl diese erhebliche Sicherheits- und Datenschutzmängel aufweist. Außerdem wurden den Bundesländern Manipulationen bei der Vergabe vorgeworfen; gewöhnlich gibt es öffentliche Ausschreibungen, die Bundesländer verzichteten in diesem Fall darauf. Das OLG Rostock entschied im November 2021 mit dem Aktenzeichen 17 Verg 4/21 rechtskräftig, dass der Kauf von Luca durch das Land Mecklenburg-Vorpommern rechtswidrig war.^[66] Mecklenburg-Vorpommern hatte als erstes Bundesland eine Lizenz für 440.000 € erworben.^[53][64]

Transparenz, Überprüfbarkeit

Der Betreiber des Luca-App-Systems hat das System auf seiner Website und zusätzlich die sicherheitsrelevanten Informationen in einem Sicherheitskonzept veröffentlicht.^[81] Es wird kritisiert, dass das Sicherheitskonzept in kritischen Punkten unkonkret bleibt.

Als Reaktion auf die anhaltende Kritik seitens IT-Sicherheitsexperten fingen die Betreiber an, Teile des Quelltexts der App zu veröffentlichen.^[82] Am 31. März 2021 legte der Entwickler mit der Android-App einen ersten Teil des Quelltexts unter der Open-Source-Lizenz GPLv3 offen. Der Quelltext für die iOS-App wurde am 12. April und für die Server-Anwendung und die Web-Benutzeroberflächen am 14. April 2021 veröffentlicht.^[83][84] Patrick Hennig, CEO der neXenio GmbH, kommentierte „Das ist ein sicherheitskritisches System; da veröffentlicht man nicht nebenbei den Quellcode.“^[85]

Das Prinzip Security through obscurity ist sehr umstritten. So rät das National Institute of Standards and Technology (NIST), Sicherheitssysteme nicht auf dieser Basis zu konzipieren: “System security should not depend on the secrecy of the implementation or its components.”^[86] Auf diesem Prinzip beruhende Systeme sind intransparent für dessen Anwender und damit wenig geeignet, Vertrauen in Sicherheit zu schaffen: „Security by Obscurity ist ein Prinzip, das nicht nur ungeeignet als Sicherungsprinzip bleibt, es ist obendrein kundenfeindlich.“^[87]

Privatwirtschaftlicher Ansatz, Gewinnabsicht, intransparente Finanzstruktur

Ferner wird kritisiert, dass das System von einem privatwirtschaftlichen Unternehmen^[88] mit Gewinnerzielungsabsicht betrieben werde, das eine nach außen nicht transparente Finanzierungsstruktur aufweise.

Insbesondere wird in diesem Zusammenhang kritisiert, dass Betreiber bzw. Entwickler durch die Vermarktung der Funktionen Gästeregistrierung, Datenlieferung für Kontaktnachverfolgung und Risikokontaktwarnungen an die öffentliche Verwaltung, und das ohne Ausschreibung (s. u.), mithilfe von öffentlichen Geldern eine große installierte Basis bei Anwendern wie auch bei Locations erreichen werden, um dann darüber hinausgehende Funktionen (z. B. Ticketing, Reservierung, u.v.m.) an die Nutzer anbieten zu können oder die Plattform an Dritte verkaufen.^[89] Die Anwender hätten der Nutzung ihrer personenbezogenen Daten aber für weitergehende Funktionen nicht wissentlich zugestimmt.

Der CCC dazu:^[90]

„Obwohl Steuergelder großzügig eingesetzt werden, verbleiben Daten, App und Infrastruktur selbstverständlich in den Händen der privatwirtschaftlichen Betreiber. Dabei gelten die teuren Lizenzen nur für ein Jahr – genug Zeit, um die Luca-App zum de-facto-Standard für Einlass-Systeme zu machen. Mecklenburg-Vorpommern hat die Nutzung bereits offiziell im Rahmen der Infektionsschutzverordnung verpflichtend angeordnet.

Für die Zeit nach der Finanzierung durch den Steuerzahler haben die Eigentümer schon heute Pläne zur weiteren Kommerzialisierung der Kontaktverfolgung: Neben der Anbindung in Ticketing-Systeme hofft man auf breite Verbindung mit unterschiedlichen Geschäftsmodellen. Die Marke ‚Luca‘ wurde mit unternehmerischer Weitsicht unter anderem für ‚Zutrittskontrolle, Besuchermanagement, gedruckte Eintrittskarten, sowie für die Reservierung von Tickets für Veranstaltungen, insbesondere für Kultur- und Sportveranstaltungen, politische Veranstaltungen, Veranstaltungen für Bildungs- und Fortbildungszwecke und für wissenschaftliche Tagungen‘ im Markenregister^[91] eingetragen.“

Zentralität der Datenspeicherung, Verschlüsselung, Schwachstellen, De-Anonymisierung

Kritisiert wird die zentrale Speicherung der Check-in-Daten mit individuellen Kontaktdaten. Dies wecke Begehrlichkeiten eines illegalen Zugriffs auf diese Daten. Allein die Metadaten verrieten viel über die Nutzer, so dass es sich für kriminelle Hacker selbst dann lohne, diese zu erbeuten, wenn dies aufwendig sei. Diese Kritik teilt auch die Juristin Kirsten Bock. Nach Bock sei die zentrale Speicherung der Daten unabhängig von einer Verschlüsselung problematisch. Troncoso sieht hier auch das Problem der indirekten Erfassung sensibler Daten durch die Erfassung der Orte und Veranstaltungen, an die das Luca-System gekoppelt ist.

Theresa Stadler, Wouter Lueks, Katharina Kohls und Carmela Troncoso, Datensicherheitsforscher an der Eidgenössischen Technischen Hochschule Lausanne (EPFL/ETHL) und Mitentwickler des Protokolls für eine anonyme Risikokontaktwarn-Lösung CrowdNotifer,^[92] haben am Sicherheitskonzept des Betreibers^[81] denkbare Schwachstellen festgestellt,^[93] die ohne veröffentlichten Quelltext nicht falsifiziert werden können. Wesentliche Basis der möglichen Schwachstellen sei dabei die zentrale Datenhaltung: Auf den Backend-Servern des Betreibers läge eine sehr große Menge sensibler, personenbezogener Daten. Aus diesen wie auch aus Metadaten, wie IP-Adresse und verwendete Geräte, könnten grundsätzlich Personen- und Bewegungsprofile, z. B. auch die Zugehörigkeit zu Menschengruppen, oder die Tatsache, dass Personen infiziert sind, abgeleitet werden. Diese Informationen könnten für den System-Betreiber, einen missbräuchlichen Anwender, einen Angreifer oder Strafverfolgungsbehörden^[94] von großem Wert sein. Troncoso sagte dazu: „Ich finde es gefährlich, wenn Daten über Events in einer zentralen Datenbank gesammelt werden“, denn Veranstaltungen könnten auch religiöse, politische Versammlungen oder vertrauliche Treffen sein.^[28]

Unter bestimmten Umständen könnten auch Nutzer de-anonymisiert und eine Historie eines Anwenders abgeleitet werden.^[95] Auch Peter Schaar, bis 2013 Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, kommt zu der Einschätzung, dass eine Kombination aus Risikokontaktdaten und Check-In-Daten die Gefahr einer De-Anonymisierung erhöhe.^[28]

Die Datenschutzaktivistin Lilith Wittmann spricht von gravierenden Mängeln im Bereich der Verschlüsselung, die sie entdeckt habe: Verwaltung der Schlüssel im Browser sowie die fehlende Erkennbarkeit des Inhabers des jeweiligen Schlüssels.^[96] Zudem wird kritisiert, dass es unter Umständen möglich sein könnte, mittels anderer Daten (z. B. IP-Adressen oder Geräte-Daten) Rückschlüsse auf die Personen zu ziehen (Fingerprinting).^[28]

Anonymität

Der Hersteller wirbt auf seiner Website^[97] mit einer „anonymen, sicheren und digitalen Kontaktdatenübermittlung“, die ausschließlich von den Gesundheitsämtern entschlüsselt werden könne. Da den Gesundheitsämtern die Zuordnung von Daten zu einer Person möglich ist, kann tatsächlich lediglich von einer Verschlüsselung gesprochen werden.^[98] „Eventuell wären noch eine weitergehende pseudonyme Nutzung und weitere Verbesserungen möglich“, sagte der frühere Datenschutzbeauftragte Schleswig-Holsteins.^[99]

Ein System, das den Anforderungen der Anonymität gehorcht, wie z. B. die Corona-Warn-App (s. o.), kann prinzipbedingt keine Daten für eine Kontaktnachverfolgung liefern, weil personenbezogene Daten nicht erfasst und nicht gespeichert werden können.

Unklare Angaben in der Datenschutzerklärung, fehlende Datenschutzfolgenabschätzung

Kritiker bemängeln, die Datenschutzerklärung sei in Teilen unklar. So könnten gemäß der Datenschutz-Erklärung der App Fingerabdruckdaten (s. o.) zur Verfügung gestellt werden, die bei einer Übertragung abgefangen werden könnten.

Ferner wird kritisiert, dass es keine eigentlich vorgeschriebene Datenschutzfolgenabschätzung gäbe. Nach Angaben von neXenio gibt es eine Datenschutzfolgenabschätzung, „die sich gerade [9.4.21] in Abstimmung mit der Berliner Datenschutzbehörde befindet.“^[100]

Mangelnde Kompatibilität

Zudem wird kritisiert, dass das System nicht zu allen Smartphones kompatibel sei.^[101] Die App ist für Android und iOS verfügbar (s. o.), Checkins sind alternativ mittels Webinterface und Schlüsselanhängern möglich (s. o.).

Anmeldung mit falschen Kontaktdaten, Missbrauch

Da die Verifikation der Telefonnummer auf dem Client stattfindet, ist es möglich diese z. B. mittels eines manipulierten Web-Clients zu umgehen und so beliebige Telefonnummern zur Registrierung zu verwenden.^[102] Auch in der App selbst ist es möglich, sich mit falschem Namen, Postadresse oder E-Mail-Adresse zu registrieren. Eine SMS-TAN-Verifzierung der Mobilnummer kann umgangen werden.^[103] Zudem ist es möglich, sich anhand von Fotos, die einen QR-Code zeigen, in einer Location anzumelden, ohne tatsächlich dort zu sein.^[104] Ferner ist es möglich, sich mit einem Foto von einem QR-Code auf einem Schlüsselanhänger in einer Location als fremde Person einzuloggen. Die Android-App ermöglicht die anonyme Registrierung mit Benutzerdaten, die im Quellcode zu Testzwecken hinterlegt wurden.^[105]

Geofencing

Die Luca App nutzt Geofencing, durch das sich die Anwendung an Orten automatisch ausbuchen kann. Viele Datenschützer und IT-Sicherheitsexperten sehen diese Funktion aufgrund der damit verbundenen laufenden Positionserfassung kritisch.^[106] Der Benutzer muss im Betriebssystem für die App das Recht zur Ortung erteilen. Geschieht dies nicht, müssen sich die Anwender manuell ausbuchen.

Barrierefreiheit

Der Deutsche Blinden- und Sehbehindertenverband kritisiert, dass die Luca-App nicht barrierefrei ist.^[107]

Luca Track: Bewegungsprofil von Nutzern der Schlüsselanhänger

Im April 2021 deckten Bianca Kastl und Tobias Ravenstein eine Schwachstelle auf, mit der Bewegungsprofile von Anwendern aufgezeichnet werden können, die statt der App den Schlüsselanhänger verwenden.^[108]

Angriff auf Gesundheitsämter und Datenklau durch Code-Injection

Marcus Mengs, Bianca Kastl und weitere Personen veröffentlichten im Mai 2021 eine gravierende Sicherheitslücke. Demnach kann ein normaler Nutzer den Datenexport des Gesundheitsamts manipulieren und so nicht nur die persönlichen Daten aller an einem Ort eingecheckten Personen bekommen, sondern auch die IT-Systeme des jeweiligen Gesundheitsamts angreifen. Somit ist ein Remote-Code-Execution-Angriff über Microsoft Excel möglich.^{[109][110][111]}

Standorterstellung

Veranstalter in Halle (Saale) hatten bei der Erstellung von Locations mit der Luca App Probleme. Die App war nicht in der Lage Sonderzeichen, wie Klammern, zu verarbeiten, wenn über das Adress-Feld der App Orte verarbeitet werden müssen, die Sonderzeichen enthalten. Dies führte zu Problemen, wie etwa dem Ausfall des automatischen Checkouts.^[112]

Dark Pattern

Seit Anfang Juli 2021 forderte die Android-Luca-App ihre Nutzer auf, die Luca-App im App-Store von innerhalb der App zu bewerten. Dabei verwendete sie eine missverständliche Formulierung, wodurch die Nutzer fälschlich zum Beispiel das Restaurant, in dem sie gerade gegessen haben, bewerten anstatt die Luca-App selbst. Dies führte dazu, dass die durchschnittliche Bewertung der Luca-App im Google-Play-Store von weniger als drei Sterne auf viereinhalb bis fünf Sterne hoch schnellte.^[113]

Reaktionen

Gemeinsame Stellungnahme von führenden IT-Sicherheitsforschern

Mehr als 70 führende deutsche IT-Sicherheitsforscher kritisierten die Luca-App in einer gemeinsamen Stellungnahme, nachdem mehrere Bundesländer die Applikation teuer eingekauft hatten.^[114] Sie sprachen sich gegen einen „De-facto-Zwang zur Nutzung einer Lösung“ aus, weil die App „grundlegende Entwicklungsprinzipien eklatant verletzt.“ Unter anderem beklagten sie die Intransparenz des Systems und dass „selbst leicht zu findende Sicherheitslücken“ erst bei der Inbetriebnahme gefunden worden seien. Weitere Punkte der Kritik waren Erfassung von Bewegungs- und Kontaktdaten in großem Umfang. Diese Daten dann an einer zentralen Stelle aufzubewahren sei ein großes Risiko; selbst große Firmen haben große Schwierigkeiten, eine solch zentrale Stelle vor Angriffen zu schützen: „Es ist nicht zu erwarten, dass dies einem Start-up, das bereits durch zahlreiche konzeptionelle Sicherheitslücken, Datenleaks und fehlendes Verständnis von fundamentalen Sicherheitsprinzipien aufgefallen ist, besser gelingen sollte.“^[115] Das Luca-System erfülle keines der vier Grundprinzipien, welche die IT-Sicherheitsforscher bereits vor einem Jahr in der Debatte um die Corona-Warn-App aufgestellt hatten: Zweckbindung, Offenheit und Transparenz, Freiwilligkeit und Risikoabwägung.^[114] Die mit dem Luca-System verbundenen Risiken erschienen „völlig unverhältnismäßig, da sie den erwarteten Nutzen deutlich überwiegen“.^[116] Der Nutzen bleibe zweifelhaft.^[117]

Stellungnahme des Chaos Computer Clubs

In einer öffentlichen Stellungnahme des Chaos Computer Clubs (CCC) vom 13. April 2021 beschrieb der deutsche Verein die Luca App wie folgt: „[z]weifelhaftes Geschäftsmodell, mangelhafte Software, Unregelmäßigkeiten bei der Auftragsvergabe: Der Chaos Computer Club (CCC) fordert das sofortige Ende der staatlichen Alimentierung von Smudos Steuer-Millionengrab ‚Luca-App‘.“ Es wurden „eklatante Mängel in Spezifikation, Implementierung und korrekter Lizenzierung […] aufgedeckt.“ Der CCC attestierte dem Hersteller einen „grundlegenden Mangel an Kompetenz und Sorgfalt“ auf Grund der „nicht abreißenden Serie von Sicherheitsproblemen“ und den „unbeholfenen“ Reaktionen darauf. Die App erfüllt dabei kein einziges der zehn Kriterien des CCC für eine Contact Tracing App. Weitere Kritikpunkte des CCC waren:

• die fragwürdige Vergabepraxis der Bundesländer unter Umgehung der Ausschreibungspflicht
• erhebliche staatliche Subventionen für eine Lizenz, die nur ein Jahr gilt und deren Code, Daten, App und Infrastruktur privatwirtschaftlich hantiert wird; dabei werde durch das massive Eingreifen des Staates in die freie Marktwirtschaft die App zu einem de-facto-Standard für Einlasssysteme
• Alternativen wurden ignoriert
• fragwürdiger Nutzen und begrenzte Anwendungsmöglichkeit
• zentrale Datenspeicherung, was eine erhebliche Sicherheitslücke darstellt und aus Datenschutzgründen problematisch ist

Unter einer Rubrik, wo sie die „bisher gefundenen Schwachstellen und Peinlichkeiten [der] Luca-App [als] bunte[n] Strauß der Inkompetenz“ beschrieben, listeten sie sechs weitere Kritikpunkte auf. Der CCC forderte einen sofortigen Stopp und eine lückenlose Aufklärung:^[118]

„Die zwielichtige Vergabepraxis zeugt bestenfalls von der Strahlkraft des Rappers Smudo, der bisher nicht als Programmierer oder Datenschützer aufgefallen war: Dem Investor der culture4life GmbH, die die Luca-App in Windeseile aus dem Boden gestampft hat, ist es binnen Monaten gelungen, Millionen für ein unreifes und untaugliches Produkt einzuwerben. Dabei vergisst Investor Smudo gern zu erwähnen, dass er mit über 22 % am Unternehmen beteiligt ist, also nicht ohne beträchtlichen Eigennutz für die Luca-App wirbt.“

– Linus Neumann für den Chaos Computer Club^[118]

Kritik vom Bundesamt für Sicherheit in der Informationstechnik

Bezüglich der Veröffentlichung der Schwachstelle um die Möglichkeit einer Code-Injection, hat sich auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) öffentlich eingelassen. Über ihren offiziellen Twitter-Kanal teilte das BSI die Auffassung, dass das Angriffsszenario einer Code-Injection plausibel sei. Zwar war dem BSI eine Ausnutzung der Schwachstelle nicht bekannt, die Bundesbehörde reagierte allerdings auf den Umgang des Betreibers der Luca-App mit der Schwachstelle, die Gesundheitsämter und Drittanbieter von Software in der Pflicht sahen. Das BSI stellte klar, dass die alleinige Verantwortung zur Unterbindung etwaiger Schwachstellen bei den Machern der Luca-App liegt.^[119]

Kritik von Gesundheitsämtern

Mehrere Gesundheitsämter beklagen die mangelnde Effizienz der Luca-App aufgrund der zum einen fehlenden Möglichkeit, bei großen Locations (z. B. bei Außengeländen) zu bewerten, mit welchen Abständen Personen zueinander zugegen waren, aber auch weil die Kontaktdatenerfassung fehlschlägt.^[70][120] Hierbei ist aufgrund widersprüchlicher Darstellung unklar, ob die Betreiber ihre Schlüssel verlegt hatten oder ob die Übertragung der Daten nicht funktioniert hat.^{[121][122][123]} Auch beklagen sich Gesundheitsämter über die Nichterreichbarkeit des Supports.^[124]

Einstellung der Kontaktverfolgungs-Funktion und mögliche zukünftige Geschäftsmodelle

Nachdem die Verträge mit den Bundesländern Ende März 2022 ausgelaufen waren, gaben die Betreiber im darauffolgenden Monat bekannt, dass die App bis auf weiteres keine Kontaktdaten zur Eindämmung von COVID-19 mehr erfassen werde.^[5] Stattdessen kann die Luca-App genutzt werden um in Restaurants Tische zu reservieren, die Speisekarte aufzurufen und die Rechnung zu zahlen.^[125] Zur Finanzierung habe die Betreiberfirma bereits über 30 Millionen Euro von verschiedenen Investoren gesichert, einer davon mit engen Verbindungen nach Russland.^[5] Besonders kritisiert wird die Tatsache, dass die weite Verbreitung, auch entstanden durch die staatliche Förderung, für die neuen Geschäftsmodelle, wie Luca-Pay, genutzt wird.^[126]

Literatur

• Theresa Stadler, Wouter Lueks, Katharina Kohls, Carmela Troncoso: Preliminary Analysis of Potential Harms in the Luca Tracing System. (PDF) In: 2103.11958v1 [cs.CR]. arXiv, 22. März 2021, abgerufen am 26. Mai 2021 (englisch). 

Weblinks

 

Commons: Luca (App) – Sammlung von Bildern

• Luca App Monitoring von Ralf Rottmann
• Website zur App Luca

Einzelnachweise

1. Installationsseite für Android. In: Google Play Store. Abgerufen am 9. März 2022. 
2. Vorschauseite für iOS. In: App Store (iOS). Abgerufen am 9. März 2022. 
3. luca verurteilt missbräuchliche Datenabfrage der Polizei Mainz. Luca-App-Betreiber, 7. Januar 2022, abgerufen am 12. Januar 2022. 
4. Nach illegalem Zugriff auf Daten: Politiker fordern Bürger auf, Luca-App zu löschen. t-online.de, 8. Januar 2022, abgerufen am 8. Januar 2022. 
5. Markus Wolf: „Neuausrichtung der Luca-App: Russische Geldgeber beteiligt“. br.de, 15. April 2022, abgerufen am 25. Mai 2022. 
6. Datenschutzerklärung Applikation „luca“. culture4life GmbH, abgerufen am 8. März 2021. 
7. Mainzer Polizei nutzte Daten aus Luca-App ohne Rechtsgrundlage. SWR, 7. Januar 2022, abgerufen am 7. Januar 2022. 
8. Juliane Dannewitz: DSGVO: Gästelisten in der Gastronomie zu Zeiten der Corona-Pandemie. 18. Mai 2020, abgerufen am 17. März 2021 (deutsch). 
9. Bayerisches Landesamt für Datenschutzaufsicht: Erhebung von Kontaktdaten von Gästen in der Gastronomie zur Bekämpfung der Corona-Pandemie gemäß „Hygienekonzept Gastronomie der Bayerischen Staatsministerien für Gesundheit und Pflege und für Wirtschaft, Landesentwicklung und Energie“ in Verbindung mit §§ 4 Abs. 1 Satz 1, 13 Abs. 4 Satz 1 Nr. 6 der Siebten Bayerischen Infektionsschutzmaßnahmenverordnung mit datenschutzrechtlicher Information nach Artikel 13 Datenschutz-Grundverordnung. (PDF) Abgerufen am 17. März 2021. 
10. Datenerhebung von Gästen & Kunden: Das ist zu beachten. In: Datenschutz PRAXIS für Datenschutzbeauftragte. 18. Mai 2020, abgerufen am 17. März 2021 (deutsch). 
11. luca – Betreiber. In: luca. Abgerufen am 17. März 2021 (amerikanisches Englisch). 
12. luca – Gäste. In: luca. Abgerufen am 17. März 2021 (amerikanisches Englisch). 
13. luca – FAQ. In: luca. Abgerufen am 17. März 2021 (amerikanisches Englisch). 
14. Welche Daten konkret erfasst und gespeichert werden, konnte bei Redaktionsschluss noch nicht belegt werden. Die hier genannte Information erschließt sich logisch aus dem Gesamtzusammenhang.
15. NDR: Kontakt-Tagebuch führen, um Corona-Ausbreitung einzudämmen. Abgerufen am 17. März 2021. 
16. luca – Gesundheitsamt. In: luca. Abgerufen am 17. März 2021 (amerikanisches Englisch). 
17. Kontaktermittlung: Luca und Co – wirklich digital geht anders. 11. August 2021, abgerufen am 16. August 2021. 
18. Krisentreffen wegen Luca-App in Berlin. Abgerufen am 16. August 2021. 
19. luca Security Concept — Security Concept. Abgerufen am 27. Juli 2021. 
20. luca – System. In: luca. Abgerufen am 17. März 2021 (amerikanisches Englisch). 
21. luca – System. In: luca. Abgerufen am 27. Juli 2021 (deutsch). 
22. Die verschiedenen Schlüssel im luca-System. In: luca. 9. April 2021, abgerufen am 12. April 2021 (amerikanisches Englisch). 
23. Internetauftritt des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit – Homepage – DSK äußert sich zu Kontaktnachverfolgungs-Apps. Abgerufen am 31. März 2021. 
24. Schlüsselzertifikate und deren Änderung bei der luca-App. Abgerufen am 27. Juli 2021. 
25. ERNW Enno Rey Netzwerke GmbH: PUBLIC REPORT FOR NEXENIO LUCA PENETRATION TEST. Abgerufen am 18. März 2021. 
26. Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg: Podcast „Datenfreiheit!“, 2021, Episode 9. Abgerufen am 18. März 2021. 
27. Pressestelle des LfDI Baden-Württemberg: LfDI Brink unterstützt Nutzung der „luca“ – App | Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg. 17. Februar 2021, abgerufen am 25. Mai 2022 (deutsch). 
28. Eva Wolfnagel: Luca ist leider auch keine Lösung. 12. März 2021, abgerufen am 15. März 2021. 
29. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder: Stellungnahme vom 26.03.2021. (PDF) 26. März 2021, abgerufen am 1. März 2021. 
30. Alexander Salomon: Deinstalliert die #LucaApp. Sofort. Und dann umgehend die @coronawarnapp nutzen. Twitter, 13. Dezember 2021, abgerufen am 11. Januar 2022. 
31. Daniel Karrais: Mein Kollege von @FraktionGruenBW bringt es auf den Punkt: #LucaApp muss weg, nachdem illegal Aufenthaltsdaten an Behörden weitergegeben wurden, obwohl bisher versprochen war, dass das nicht passiert. Twitter, 13. Dezember 2021, abgerufen am 11. Januar 2022. 
32. Markus Reuter: Polizei nutzte Luca-Daten von Kneipenbesuchern ohne Rechtsgrundlage. Netzpolitik.org, 7. Januar 2022, abgerufen am 18. Januar 2022. 
33. Mark Otten: Schluss mit den Steuer-Millionen für die Luca-App. Schweriner Volkszeitung, 9. Januar 2022, abgerufen am 18. Januar 2022. 
34. Polizeipräsidium Mainz: POL-PPMZ: Mainz-Altstadt - Mann verstirbt nach Sturz - Zeugen gesucht. 13. Dezember 2021, abgerufen am 11. Januar 2022. 
35. Mann stirbt nach Sturz in Altstadt - Zeugen gesucht. Merkurist, 13. Dezember 2021, abgerufen am 12. Januar 2022. 
36. Nach Sturz in der Innenstadt: Mann im Krankenhaus gestorben. Allgemeine Zeitung, 13. Dezember 2021, abgerufen am 12. Januar 2022. 
37. Luca-App-Fall: Staatsanwaltschaft sucht weitere Zeugen. SWR, 12. Januar 2022, abgerufen am 12. Januar 2022. 
38. RLP: Auch andere Ermittler wollten Luca-Daten nutzen. SWR, 12. Januar 2022, abgerufen am 12. Januar 2022. 
39. Corona-Kontakt-App: Staatsanwaltschaft Bochum wollte Daten. Kölner Stadt-Anzeiger, 14. Januar 2022, abgerufen am 16. Januar 2022. 
40. Nach Erhebung und Nutzung von Kontaktdaten aus der LUCA-App durch die Staatsanwaltschaft – Datenschutzbeauftragter leitet aufsichtsrechtliche Verfahren ein. datenschutz.rlp.de, 11. Januar 2022, abgerufen am 14. Januar 2022. 
41. FAQ luca. Abgerufen am 15. Januar 2022. 
42. Der Landesbeauftragte. datenschutz.rlp.de, abgerufen am 14. Januar 2022. 
43. Was „luca“ anders macht als die Corona-Warn-App. Abgerufen am 13. Juli 2021. 
44. luca – Über uns. In: luca. Abgerufen am 17. März 2021 (amerikanisches Englisch). 
45. Markus Datenbank, Creditreform, Bureau van Dijk. In: Eintrag für Nexenio GmbH. Abgerufen am 15. März 2021. 
46. luca – Impressum. In: luca. Abgerufen am 17. März 2021 (amerikanisches Englisch). 
47. Handelsregister Stuttgart HRB 776270
48. Stuttgarter Zeitung, Stuttgart Germany: Thomas D verteidigt Luca-App: „Herablassend und verletzend“. Abgerufen am 4. Juli 2022. 
49. Was kann die Luca-App, was die Corona-Warn-App nicht kann? 24. Februar 2021, abgerufen am 17. März 2021. 
50. Kontaktnachverfolgung: Das Rennen um die beste Warn-App – WELT. Abgerufen am 12. März 2021. 
51. Rostock – Wir alle sind Gesundheitsamt: Mit der luca-App. Abgerufen am 17. März 2021. 
52. sylt.de | Luca-App auf Sylt, Föhr und Amrum. Abgerufen am 17. März 2021. 
53. Jakob von Lindern: Zu früh gekauft. In: Zeit online. 11. November 2021, abgerufen am 29. Dezember 2021. 
54. Jörg Breithut, DER SPIEGEL: Corona-Warn-App, Luca und Impfnachweis: So frickelt Deutschland an digitalen Helfern. Abgerufen am 14. April 2021. 
55. Luca-App: Mecklenburg-Vorpommern beginnt mit Kontaktverfolgung; heise.de 4/2021; abgerufen am 15. März 2021
56. Berlin will Kontakte mit Luca-App verfolgen. Abgerufen am 27. März 2021. 
57. Brandenburg schließt Vertrag für Luca-App ab. Abgerufen am 27. März 2021. 
58. Diese Bundesländer wollen die Luca-App einsetzen. Abgerufen am 27. März 2021. 
59. S. W. R. Aktuell, S. W. R. Aktuell: Neue Corona-App statt Zettelwirtschaft bei Kontaktnachverfolgung. Abgerufen am 17. März 2021. 
60. NDR: Vertrag für Luca-App steht: Testphase startet Anfang April. Abgerufen am 27. März 2021. 
61. Redaktion CHIP/DPA: Um wieder öffnen zu können: Acht weitere Bundesländer wollen Luca App nutzen. Abgerufen am 2. April 2021. 
62. Süddeutsche Zeitung: Luca-App trotz Kritik auf dem Vormarsch. Abgerufen am 14. April 2021. 
63. Ralf Rottmann: Diese Website gibt die Gesundheitsämter zurück, die laut der Luca System Schnittstelle derzeit registriert sind. Abgerufen am 14. April 2021 (englisch). 
64. Chris Köver: Digitale Kontaktverfolgung – Mehr als 20 Millionen Euro für Luca. In: netzpolitik.org. 12. April 2021, abgerufen am 15. April 2021 (deutsch). 
65. https://www.butenunbinnen.de/nachrichten/luca-app-bremen-vertrag-102.html
66. Aktuelles - Justiz Online in M-V. Abgerufen am 11. November 2021. 
67. Chris Köver: Digitale Kontaktnachverfolgung: Gesundheitsämter nutzen Luca kaum. In: netzpolitik.org. 29. April 2021, abgerufen am 29. April 2021. 
68. Marcel Pauly, Martin U. Müller, Max Hoppenstedt, Katrin Elger, Patrick Beuth, DER SPIEGEL: Luca-App: Gesundheitsämter kritisieren, dass die App kaum weiterhilft. In: Der Spiegel. Abgerufen am 16. August 2021. 
69. luca_cwa_einsatz [Wiki]. Abgerufen am 19. August 2021. 
70. luca_cwa_einsatz2 [Wiki]. Abgerufen am 16. August 2021. 
71. Apps zur Kontaktverfolgung auch Thema beim Corona-Gipfel; wdr.de vom 3. März 2021; abgerufen am 15. März 2021
72. Über uns. Abgerufen am 17. März 2021 (deutsch). 
73. DER SPIEGEL: Luca und andere Apps: Helge Braun drängt auf schnelle Lösung zur Kontaktverfolgung. Abgerufen am 10. März 2021. 
74. Markus Reuter: Luca-App – Der Rapper als Retter in der Not. In: netzpolitik.org. 8. März 2021, abgerufen am 10. März 2021 (deutsch). 
75. Wir für Digitalisierung. Abgerufen am 17. März 2021 (deutsch). 
76. Startseite. Abgerufen am 11. August 2021. 
77. Digitale Kontaktverfolgung: Krisenstab plant Umstieg auf IRIS Gateway. Abgerufen am 11. August 2021. 
78. Yvonne Brandt: Corona-App kommt in Krefeld: Ende der Zettelwirtschaft in der Gastronomie [WZ+]. 23. Juli 2021, abgerufen am 11. August 2021. 
79. Luca-App: CCC fordert Bundesnotbremse. In: CCC. Abgerufen am 4. Mai 2021. 
80. manager magazin: Urlaub trotz Corona: Mit Luca nach Sylt. Abgerufen am 26. Mai 2021. 
81. luca Security Concept — Security Concept. Abgerufen am 11. Juni 2021. 
82. Max Hoppenstedt: BSI: IT-Sicherheitsbehörde prüft Luca-App. spiegel online, 19. April 2021, abgerufen am 19. April 2021. 
83. heise online: Luca-App zur Corona-Kontaktverfolgung: Teile des Quellcodes veröffentlicht. Abgerufen am 2. April 2021. 
84. Patrick Hennig, Marcus Trojan, culture4life GmbH: Gitlab Luca. Abgerufen am 14. April 2021 (englisch). 
85. Bert Schulz: Sicher ist anders. In: Die Tageszeitung: taz. 21. April 2021, S. 23. 
86. Guide to General Server Security. (PDF; 258 kB) National Institute of Standards and Technology, Juli 2008, abgerufen am 2. Oktober 2011. 
87. Klartext: Ganz sicher? Nicht. Heise Zeitschriften Verlag, 13. August 2013, abgerufen am 28. November 2013. 
88. Kontaktverfolgung: Luca will Corona-Warn-Nachfolger werden. In: iPhone-Ticker.de. 2. März 2021, abgerufen am 17. März 2021. 
89. Andreas Dewes: Man kann von der #LucaApp halten was man will, aber die Geschäftsstrategie ist aus Gründersicht genial. 10. April 2021, abgerufen am 12. April 2021. 
90. CCC | Luca-App: CCC fordert Bundesnotbremse. Abgerufen am 4. Mai 2021. 
91. DPMAregister | Marken – Registerauskunft. Abgerufen am 4. Mai 2021. 
92. CrowdNotifier – Decentralized Privacy-Preserving Presence Tracing
93. Theresa Stadler, Wouter Lueks, Katharina Kohls, Carmela Troncoso: Preliminary Analysis of Potential Harms in the Luca Tracing System. 22. März 2021 (englisch, arxiv.org [PDF; abgerufen am 26. März 2021]). 
94. Luca-App – Nutzen, technische und rechtliche Aspekte. 8. März 2021, abgerufen am 18. März 2021. 
95. Chris Köver: Digitale Gästelisten – Das zentrale Problem von Luca. In: netzpolitik.org. 23. März 2021, abgerufen am 26. März 2021. 
96. WDR: Podcast, Folge „Je mehr Digital, desto weniger Lockdown?“ – über Corona Warn App, Luca-App und Digitaler Impfpass auf dem Prüfstand. In: [29:40] Gespräch mit Lilith Wittmann. 16. März 2021, abgerufen am 17. März 2021. 
97. luca – Funktion. In: luca. Abgerufen am 17. März 2021 (amerikanisches Englisch). 
98. Anonymisierung, Pseudonymisierung und Verschlüsselung. In: activeMind AG. 4. Februar 2019, abgerufen am 17. März 2021. 
99. heise online: Luca: Ergänzung zur CWA. Abgerufen am 17. März 2021. 
100. n-tv NACHRICHTEN: Luca-Entwickler: „App für maximale Sicherheit gebaut“. Abgerufen am 12. April 2021. 
101. Luca-App – Nutzen, technische und rechtliche Aspekte. Abgerufen am 17. März 2021 (englisch). 
102. Luca-App mit Datenschutzproblem. In: Rostock-Heute.de. Abgerufen am 8. April 2021 (deutsch). 
103. Luca App Source Code Audit VI: Game Over! Abgerufen am 19. April 2021. 
104. Nachts im Zoo: Jan Böhmermann macht sich über die Luca-App lustig. Abgerufen am 7. April 2021. 
105. DerSourceCode: Ein Tipp für diejenigen, die in der Luca App nicht ihre echte Handynummer angeben wollen, wie man die SMS TAN Verifizierung umgehen kann. (siehe Kommentar). In: r/de. 18. April 2021, abgerufen am 19. April 2021. 
106. Vicky Isabelle Bargel: Luca-App: Kann diese App den Lockdown überflüssig machen? In: Die Zeit. 4. März 2021, abgerufen am 17. März 2021. 
107. Stefan Kloss: Kritik an Luca-App wegen fehlender Barrierefreiheit. In: MDR Aktuell. Mitteldeutscher Rundfunk, 30. März 2021, archiviert vom Original (nicht mehr online verfügbar) am 14. April 2021; abgerufen am 14. April 2021. 
108. Bianca Kastl und Tobias Ravenstein: Sicherheitslücke LucaTrack – Mangelhafte Software für Millionen. Hrsg.: Team LucaTrack. 12. April 2021 (lucatrack.de [PDF; abgerufen am 14. April 2021]). 
109. Luca App: Nutzer greift Gesundheitsamt an und stiehlt Daten bevor er Ransomware schickt. Abgerufen am 26. Mai 2021 (deutsch). 
110. Eva Wolfangel: Hacker können Gesundheitsämter über Luca angreifen. In: zeit online. 26. Mai 2021, abgerufen am 26. Mai 2021. 
111. Markus Reuter: IT-Sicherheit: Schon wieder desaströse Sicherheitslücke in Luca App. Abgerufen am 26. Mai 2021 (deutsch). 
112. mdr.de: Corona-Kontaktverfolgung mit Problemen: Luca-App erkennt die Klammern in Halle (Saale) nicht | MDR.DE. Abgerufen am 30. Juli 2021. 
113. Markus Feilner: Fünf Sterne für die Luca-App: „Das Essen war sehr gut“. Abgerufen am 16. August 2021. 
114. Gemeinsame Stellungnahme zur digitalen Kontaktnachverfolgung. 2. Mai 2021, abgerufen am 2. Mai 2021. 
115. Eva Wolfangel: Luca-App: Forschende halten Risiken der Luca-App für „völlig unverhältnismäßig“. In: Die Zeit. 29. April 2021, abgerufen am 29. April 2021. 
116. Friedhelm Greis: Sicherheitsforscher warnen vor Luca-App. In: golem.de. 29. April 2021, abgerufen am 2. Mai 2021. 
117. Eva-Maria Weiß: Sicherheitsforscher: Risiken der Luca-App „völlig unverhältnismäßig“. In: heise.de. 29. April 2021, abgerufen am 2. Mai 2021. 
118. CCC | Luca-App: CCC fordert Bundesnotbremse. Abgerufen am 26. Mai 2021. 
119. heise online: BSI kritisiert ebenfalls Luca-App: „Angriffs-Szenario plausibel“. Abgerufen am 10. Juli 2021. 
120. Warum die Luca-App nicht im Kampf gegen die Pandemie hilft. 11. August 2021, abgerufen am 16. August 2021. 
121. Barbesucher auf Sylt mit Corona infiziert – Dutzende Gäste müssen in Quarantäne. Abgerufen am 16. August 2021 (deutsch). 
122. Covid19 im Landkreis Rostock. Abgerufen am 16. August 2021. 
123. NDR: Corona-Ausbruch nach Party: Schwierige Kontaktverfolgung. Abgerufen am 16. August 2021. 
124. „Sie hilft gar nicht“: Wie sich Berliner Gesundheitsämter mit der Luca-App quälen. Abgerufen am 16. August 2021. 
125. Was wurde eigentlich aus der Luca-App? Gründer Patrick Hennig im Interview. In: Business Punk. 27. Juni 2023, abgerufen am 28. August 2023 (deutsch). 
126. Oliver Voß: „Luca-App startet Bezahlfunktion - Löscht den Pandemie-Profiteure!“ tagesspiegel.de, abgerufen am 5. Mai 2022.