Die Timeline zur Luca-App

Ein chronologisch aufbereiteter Überblick über die Luca-App basierend auf aktueller Berichterstattung in Online- und Print-Medien, Statements von IT- und Security-Experten, Diskussionen in Social Media, Talks und Videos, Gitlab-Issues sowie Informationsfreiheits-Anfragen auf fragdenstaat.de
Eine Zusammenfassung mit Link-Liste findet sich auf luca.fail.

Die Reihenfolge dem Zufall überlassen? Hier lang!

Ziel dieser Seite

Das Ziel dieser Seite besteht darin, einen möglichst sachlichen Überblick über - berechtigte oder auch unberechtigte - Kritikpunkte an der Luca-App zu verschaffen. Dabei geht es keinesfalls darum, selbst Kritik zu üben, sondern häufig diskutierte Kritikpunkte von IT- und Security-Experten sowie in der Politik und Gesellschaft aufzuzeigen und LeserInnen diese selbst bewerten zu lassen.
Übrigens: Die hier gezeigten Punkte betreffen nicht nur die App selbst (oder ihre Macher), sondern v.a. auch Entscheidungsträger in der Politik und andere Institutionen.

Um was es hier also nicht geht:

Aber: Auch wir sind nicht fehlerfrei oder perfekt, bekommen vielleicht auch nicht alles in seiner Gesamtheit mit. Wenn also etwas in dieser Timeline falsch, unvollständig oder missverständlich ist, dann lasst es uns einfach wissen (siehe nächsten Abschnitt) und wir korrigieren das.

Du magst helfen?

Egal auf welche Art und Weise: Gerne eine kurze Mail an mitmachen@luca.fail schicken - oder, noch besser: Ein Pull Request bzw. einen Issue im Github-Repository eröffnen. Danke!
Darüber hinaus stellen wir die Daten dieser Seite für jeden frei zur Verfügung. Mehr dazu weiter unten.

Da ich gefragt wurde: Diese Seite ist ein reines "Privatvergnügen", sowohl zeitlich wie auch finanziell, heißt: Es bringt uns im Grunde nur Nachteile, diese Seite zu betreiben - jedoch war uns ein Überblick wichtig.
Da ich gefragt wurde II: Ja, ich habe Patreon. Ja, diese Webseite kostet Geld, insbesondere die notwendigen Newsportal-Abonnements, um News zu verifizieren. Nein, ich möchte kein Geld dafür und ich will auch nichts an dieser Seite verdienen. Man kann mich aber gerne bei anderen Projekten unterstützen.

Zusammengefasst: Tipps zum betreiben und nutzen

Der folgende Abschnitt stellt verschiedene Tipps zur Nutzung der Luca-App vor (ergänzend zu denen der Luca-App selbst), die sich aus vergangenen Ereignissen oder Mängeln der App ergeben haben - und die wir eigentlich vonseiten der Luca-Macher erwartet hätten. Die Liste ist nicht abschließend und wird immer wieder ergänzt. Um sie möglichst kurz zu halten, haben wir auf eine Referenz zu den entsprechenden Ereignissen verzichtet; diese sind aber unten nachlesbar.

...was sollte ich beachten?

  • Luca-QR-Code schützen
    Das bedeutet: QR-Code regelmäßig wechseln, nicht auf Social Media posten und z.B. in der Speisekarte platzieren, sodass man ihn beim Vorbeigehen nicht einscannen kann.
    Oder besser noch: Gar keinen QR-Code aushängen, sondern die Gäste selbst mit Deinem Smartphone einchecken (Scanner-URL).
  • Luca-QR-Code-Bereich möglichst klein halten
    Teile Deine Location in möglichst kleine Bereiche (z.B. pro Tisch, Bar, ...) ein, sodass später zumindest eine rudimentäre Risikobewertung möglich ist. Keinem Gesundheitsamt bringt es etwas, im Infektionsfall eine Liste mit 2.000 Baumarkt-Kunden zu erhalten, wenn nur der Bereich beim Gartensortiment-Drive-In interessant gewesen wäre.
  • Teile keine Scanner- und Kontaktformular-URLs
    Beides ermöglicht es fremdem/entfernten Menschen (wie auch beim Veröffentlichen von QR-Codes), Gäste bei Deiner Location einzuchecken. Teilweise waren Scanner- und Kontaktformular-URLs via Google auffindbar, weil Vereine sie öffentlich auf ihrer Webseite posteten.
  • Betriebsschlüssel ("Betreiberschlüssel" in der App) für Kontaktdaten sicher aufbewahren
    Die Luca-App wälzt eine wichtige Verantwortung an Menschen ab, die eine Location betreiben, ab: Damit die Kontaktdaten später beim Gesundheitsamt entschlüsselt werden können, wird im Infektionsfall auch der Betriebsschlüssel benötigt. Der wird in den meisten Fällen von der Luca-App nur beim Erstellen der Location gebraucht, dann selten abgefragt - spielt aber auch später eine große Rolle!. Achte daher darauf, dass Du den Schlüssel sicher aufbewahrst, ihn nicht verlierst - und er zu den erstellten QR-Codes passt.
  • Rechtliche Rahmenbedingungen prüfen
    Nicht überall besteht die Pflicht zur Kontaktdatenerfassung. In Sachsen genügt bspw. eine anonyme Kontakterfassung (z.B. via Corona-Warn-App), in NRW ist seit dem 20.08.2021 gar keine Kontaktdatenerfassung mehr vorgesehen. Auch Hamburg plant die Einführung einer reinen 2G-Regel ab 28.08.2021. Damit fehlt die Rechtsgrundlage zum Erfassen der Daten.
  • Bedarf ermitteln
    Wenn Du ohnehin nur namentliche Tickets für gewisse Zeiträume vergibst und dies auch bei Änderungen nachpflegst, brauchst Du möglicherweise gar keine (zweite!) Kontaktdatenerfassung.
  • Du brauchst keinen (physischen) QR-Code-Scanner
    Dein Smartphone bzw. das Deiner Mitarbeitenden tut es auch (aber wie gesagt: Scanner-URL geheimhalten). QR-Codes musst Du dann scannen, wenn Gäste mit einem Luca-Schlüsselanhänger kommen oder Du keinen QR-Code aushängen magst. Die Scanner-URL findest Du im Luca-Webinterface.
  • Überprüfung der 2G-Regel nur mit CovPass-Check!
    Nur mit der CovPass-Check-App lässt sich verlässlich überprüfen, ob ein Impfzertifikat gültig ist und ein Gast somit unter die 2G-Regel fällt (siehe auch die Webseite des RKI, digitaler-impfnachweis-app.de).

...was sollte ich beachten?

  • Warum gibt es die Corona-Warn-App und die Luca-App?
    Die Corona-Warn-App bietet alle notwendigen Funktionen, um Kontaktnachverfolgung (sog. Contact Tracing) betreiben zu können, das hat sie bereits zum Zeitpunkt der Einführung der Luca-App. Die Hürde hierbei: Es würde ein Umdenken in der Politik erfordern, denn die meisten Verordnungen schreiben eine nicht-anonyme Kontaktdatenerfassung vor, welche bei hohen Infektionszahlen eine Überlastung der Gesundheitsämter bedeutet.
    Das Geschäftsmodell der Luca-App macht sich genau dieses Problem zunutze: Mit der Luca-App wird den Gesundheitsämtern ein Hilfsmittel angeboten, dass bei der Bewältigung von Kontaktdaten helfen soll. Das Problem hierbei: Die Gesundheitsämter kommen oft gar nicht dazu, die Daten von Luca abzufragen, da sie mit anderen, viel grundlegenderen Problemen zu kämpfen hätten (hier hätten sie eher Unterstützung gebraucht), wenn sie nicht gerade Personal dafür abstellen. Und selbst wenn Luca einmal abgefragt wird, sind die erhaltenen Daten umfangreich und wenig aussagekräftig, da sie nicht gewichtet sind.

  • Worin unterscheiden sich Corona-Warn-App und die Luca-App?
    Luca versucht, einen analogen Prozess - nämlich das Erfassen von Kontaktdaten, was vorher auf Zetteln geschah - gemeinsam mit etwas Kryptografie 1:1 zu digitalisieren. Am eigentlichen Prozess bei der Kontaktnachverfolgung ändert das aber genau gar nichts.
    Die Corona-Warn-App verbessert den Prozess, um die Pandemie einzudämmen. Denn sie unterstützt die Eindämmung, indem sie anonym Kontakte erfasst und bei einer möglichen Infektionen sofort benachrichtigt - ganz ohne Zutun der Gesundheitsämter und aufwendiger Kontaktnachverfolgung.

  • Worin bestehen die Vorteile der Luca-App gegenüber der CWA?
    • Sie wird den Anforderungen mancher Verordnungen gerecht, Kontaktdaten zu erfassen (Name, Adresse, Kontaktdaten, ...)

  • Worin bestehen die Vorteile der Corona-Warn-App gegenüber der Luca-App?
    • Bei den erfassten Daten handelt es sich um anonyme, wechselnde zufällige IDs (Luca: Kontaktdaten wie Name, Adresse, ...), die bis zum Teilen eines positiven Testergebnisses dezentral auf dem eigenen Gerät (Luca: Zentral auf Servern von Luca) gespeichert werden.
    • Sie unterstützt die Pandemieeindämmung direkt, indem der Warnprozess verbessert wird (Luca: "Zettelwirtschaft" wird 1:1 digitalisiert)
    • Sie entlastet Gesundheitsämter. Würden - rein hypothetisch - alle Menschen die CWA in vollem Umfang nutzen - müssten sich nur noch positiv getestete bei Gesundheitsämtern melden; die Gesundheitsämter selbst müssten keine Kontakte mehr suchen.
    • Sie nutzt Apple's/Google's Exposure Notification Framework, das den Datenschutz der Nutzenden gewährleistet.



Für Quellen der Einfärbungen bitte auf das jewilige Budesland klicken. Unterstützung bei der Recherche: Chaos Computer Club Freiburg e.V. - danke dafür!
= Keine Kontaktdatenerfassung vorgeschrieben, Einsatz der CWA zur anonymen Kontaktnachverfolgung möglich
= Kontaktdatenerfassung in seltenen Fällen vorgeschrieben, ansonsten Einsatz der CWA möglich
= Kontaktdatenerfassung und/oder Luca vorgeschrieben, keine anonyme Kontaktnachverfolgung via CWA möglich

Themen: Scope:

Daten

Du magst auf die Daten dieser Seite zugreifen?
Hier geht's lang: