Drücken Sie „Enter“, um den Inhalte zu überspringen

Neue Corona-Schutzverordnung: Sachsen erlaubt Check-in per Corona-Warn-App

Dieser Artikel stammt von Netzpolitik.org.Der Autor ist...

Handy und Maske liegen auf dem Tisch

Sachsen ermöglicht als erstes Bundesland, die Corona-Warn-App für die rechtlich verbindliche Kontaktnachverfolgung einzusetzen. So steht es in der neuen Corona-Schutzverordnung, die das sächsische Kabinett heute verabschiedet hat und die ab Montag in Kraft tritt. Für Betreiber von Cafés, Restaurants oder Geschäften reicht es dann aus, ihre Gäste mit der Corona-Warn-App einzuchecken. Eine Registrierung mit Namen und Adressen, wie sie bisher von der Verordnung vorgeschrieben war, ist dann nicht mehr notwendig.

„Veranstalter und Betreiber sollen vorrangig digitale Systeme, insbesondere die Corona-Warn-App für die Kontakterfassung einsetzen“, heißt es in der neuen Verordnung. „Zusätzlich ist eine analoge Form der Kontakterfassung (…) anzubieten.“ Wer Kontaktdaten auf Zetteln sammelt, soll weiterhin Name, Telefonnummer oder E-Mail-Adresse und Anschrift sowie Zeitraum und Ort festhalten. Dies war bisher für jede Form der Kontaktnachverfolgung vorgesehen und schloss die anonym arbeitende Corona-Warn-App als Lösung aus.

Empfehlung der Datenschützer*innen

Sachsen kommt damit als erstes Land der Empfehlung des Bundesdatenschutzbeauftragten Ulrich Kelber nach. Er hatte vergangene Woche gefordert, „dass auch die Corona-Warn-App zur Registrierung bei Geschäften und in der Gastronomie genutzt werden kann“. Sie solle gleichberechtigt mit anderen Apps zum Einchecken in Restaurants zugelassen werden, sagte Kelber im Interview mit der Zeit. Er würde den Ländern empfehlen, ihre Corona-Verordnungen entsprechend zu ändern.

Auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden hatte die Länder zuvor schon gebeten, zu überprüfen, ob auch ein Check-In per Corona-Warn-App rechtlich ausreichend wäre.

13 Länder setzen auf Luca-App

Die Entscheidung in Sachsen findet vor dem Hintergrund eines Streites um die digitale Kontaktnachverfolgung statt, der in den vergangenen Wochen zunehmend erbittert geführt wird. Auf der einen Seite steht die offizielle Corona-Warn-App des Bundes, die anonym vor einem riskanten Kontakt mit einer infizierten Person warnt. Sie ist besonders datenschutzfreundlich, weil Nutzer*innen anonym bleiben – und hat seit Mitte April ebenfalls eine lang geforderte Check-In-Funktion zur Erkennung von Infektionsclustern.

Auf der anderen Seite stehen inzwischen 13 Bundesländer, die trotzdem in der Kontaktnachverfolgung auf eine andere Lösung setzen: Die Luca-App. Die prominent von Rapper und Investor Smudo beworbene App soll die bisherige Zettelwirtschaft ersetzen, mit der Geschäfte und Gastronomie ihre Gäste dokumentierten. In Luca müssen sich Nutzer*innen allerdings mit ihren persönlichen Daten anmelden: Telefonnummer, Name und Adresse. So soll später sichergestellt werden, dass das Gesundheitsamt sie im Fall eines Infektionsrisikos persönlich erreichen kann. Die Daten werden verschlüsselt auf einem zentralen Server gespeichert.

Forscher*innen für Corona-Warn-App

IT-Expert*innen hatten das Konzept von Luca in den vergangenen Wochen hart kritisiert und zahlreiche Sicherheitslücken nachgewiesen. Der Hackerverein Chaos Computer Club ging so weit, eine „Bundesnotbremse“ für den Einsatz von Luca zu fordern. Sicherheitsforscher*innen warnen, dass Luca als zentrales System mit großer Wahrscheinlichkeit rekonstruieren kann, welches Gerät und damit welche Person sich hinter Check-ins verbirgt.

Auch ein interessanter Artikel:  So verharmlost die “BILD” die Corona-Lage mit der Inzidenz-Karte

Im Fall der Schlüsselanhänger, die Menschen ohne Smartphone das Einchecken mit Luca ermöglichen sollen, fanden IT-Fachleute der Gruppe LucaTrack Mitte April eine gravierende Sicherheitslücke, die es ermöglichte, Bewegungsprofile von Nutzer*innen zu erstellen. Zuletzt meldeten über siebzig führende IT-Sicherheitsforscher*innen Zweifel an der Sicherheit und am Nutzen der Luca-App an und forderten, stattdessen die Corona-Warn-App für die Kontaktnachverfolgung zu nutzen.

Sachsen ist neben Nordrhein-Westfalen und Thüringen das einzige Bundesland, das sich gegen den Kauf einer Luca-Lizenz entschieden hatte und stattdessen auf eine Vielfalt von Systemen für die Kontaktdatenerfassung von Gästen setzt. Solange die Schutzverordnungen jedoch vorschreiben, dass Veranstalter*innen die Kontaktdaten ihrer Gäste vorhalten müssen, scheidet die Corona-Warn-App hierfür aus. Das ändert die Landesregierung aus CDU, SPD und Grünen jetzt.

Die 13 Bundesländer, die Verträge für Luca abgeschlossen haben, sagten auf Nachfrage von netzpolitik.org vergangene Woche, sie planten keine Änderungen ihrer Schutzverordnungen in diese Richtung. Die Corona-Warn-App allein reiche für die Kontaktnachverfolgung nicht aus, da sie keine persönlichen Daten an die Gesundheitsämter übermittle. Bislang ist jedoch ungeklärt, ob diese Daten die Ämter wirklich weiterbringen. Kritiker*innen verweisen darauf, dass die Behörden mit der Vielzahl an Kontaktinformationen überfordert sein könnten. Denn Luca digitalisiere zwar den bislang analogen Prozess der Papier-Gästelisten. Es fehle aber weiterhin schlicht an Software und Personal, um die Daten für händische Überprüfungen nutzbar zu machen.

Kunstkollektiv zeigt Schwachstelle von Luca

Wie einfach es zudem ist, das Luca-System mit nutzlosen Daten zu fluten, illustriert eine neue Aktion des Kunst- und Aktivismuskollektivs Peng. Unter dem Namen Luci-App zeigt die Gruppe, wie man sich über Luca mit einer beliebigen Identität in Restaurants oder Geschäften anmelden kann. „Mit unserer Luci-App kannst du beliebig oft bei Luca einchecken. Wer und wo du bist, kannst du völlig frei wählen“, schreibt die Gruppe auf ihrer Webseite.

Das Problem ist lange bekannt und wird auch von den Luca-Machern anerkannt. Es kann allerdings gar nicht behoben werden, denn es ist konzeptionell: Luca verspricht zwar die Telefonnummern von Nutzer*innen zu verifizieren. Ob die sonstigen Daten stimmen, kann das Unternehmen nicht überprüfen, da sie lediglich verschlüsselt auf den Servern gespeichert werden. Den Datensalat zum Schluss bekäme also nur das empfangende Gesundheitsamt zu sehen.

Auch die Aktivist*innen enden daher mit einer Empfehlungen für die Corona-Warn-App, die sei „anonym, dezentral und schneller“.

Update: Ursprünglich hatten wir eine ältere Version der Verordnung zitiert, in der von „Kontaktnachverfolgung“ die Rede war. In der verabschiedeten Fassung steht „Kontakterfassung“. Wir haben die Stelle entsprechend geändert.


Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Zur Quelle wechseln
Zur CC-Lizenz für diesen Artikel

Author: