Eingereicht für die Kreistagssitzung am 29. Juni 2021 von Bündnis 90/Die Grünen

Die „Luca“-App verspricht ein „sicheres“, digitales System, um die handschriftlichen Kontaktlisten in Geschäften oder Gastronomie abzulösen. Insbesondere vor dem Hintergrund der stufenweisen Öffnungen gewinnt die App damit an Relevanz. Die „Luca“-Betreiberfirma Nexenio setzt auf ein zentrales System: Mittels eingescannter QR-Kennungen, die mit einem Zeitstempel und Identifikationsschlüssel an einen Server übermittelt werden, können die gesammelten Check-in-Daten von Gesundheitsämtern – im Falle einer Infektion – über eine Schnittstelle abgerufen werden. Leider ist das System mit eklatanten Mängeln behaftet.

Berichtsantrag:

  • Wie beurteilt der Kreisausschuss die Sicherheit und die Umsetzung von Anforderungen des Datenschutzes der Luca-App, nachdem die Ergebnisse der Prüfungen durch den Chaos Computer Club bekannt geworden sind?
  • Führt der Einsatz der Luca-App zu einer nachvollziehbaren Effizienzsteigerung in der Kontaktnachverfolgung durch das Gesundheitsamt des Rheingau-Taunus-Kreises? Wenn ja, wie sieht diese aus?
  • Wie viele Übermittlungen von Check-in-Daten über die „Luca“-Schnittstelle ans Gesundheitsamt wurden bislang verzeichnet? Waren die übermittelten Daten für die Kontaktnachverfolgung in den genannten Fällen von Nutzen?
    Ist eine verpflichtende Einführung der „Luca“-App für Kreisliegenschaften geplant?
  • Wurden andere Check-in-Apps gleichermaßen begutachtet und als Lösung erwogen? Wenn nein, wieso nicht?
  • Wie beurteilt der Kreisausschuss den Nutzen der offiziellen Corona-Warn-App des Bundes und beabsichtigt der Kreisausschuss, die Corona-Warn-App gleichrangig einzusetzen und zu bewerben?
  • Hat der Landkreis für die Verwendung oder auch Bewerbung der „Luca“-App finanzielle Mittel aufgewendet? Wenn ja, in welcher Höhe?
  • Gab es eine Korrespondenz zwischen der Kreisverwaltung und der „Luca“-Betreiberfirma Nexenio und wurden Werbematerialen von den „Luca“-Betreibern ausgehändigt?
  • Auf der Kreis-Website heißt es, „Luca“ sei ein dezentrales System. Woher stammt diese Information und wie wurde sie hinsichtlich ihres Wahrheitsgehalts überprüft?

Begründung:

Seit mehreren Wochen weisen Sicherheitsexpert*innen auf fundamentale Mängel in der Umsetzung des von Nexenio betriebenen Check-in-Systems „Luca“ in.[1] [2] [3] Der Bundesdatenschutzbeauftrage Ulrich Kelber äußerte sich zudem kritisch gegenüber dem Nutzen von „Luca“.[4]

Etliche Bundesländer haben trotz der nicht abreißenden Kritik und des zweifelhaften Nutzens sogenannte „Jahreslizenzen“ für die „Luca“-Schnittstelle erworben. Die Gesamtkosten werden derzeit auf circa 22 Millionen Euro geschätzt.[5]

Ende März begann auch der Rheingau-Taunus-Kreis, offensiv für „Luca“ als Check-in-System zu werben (siehe Anlagen). Auf der Startseite der Website des Rheingau-Taunus-Kreises heißt es prominent: „RTK nutzt Luca-App“. In dem dahintersteckenden Text finden sich sachlich falsche Aussagen – unter anderen, dass das System dezentral sei. Dies widerspricht der Auffassung einer großen Anzahl unabhängiger IT-Sicherheitsexpert*innen.[6] [7] [8] [9]

Am 29. April 2021 veröffentlichte eine Gruppe von 77 IT-Sicherheitsexpert*innen eine gemeinsame Stellungnahme zur „Luca“-App.[10] In dieser heißt es resümierend: „Es gibt bereits Systeme, die in diesem Sinne die Risiken für Bürger:innen auf ein Minimum reduzieren. […] Die mit dem LUCA System verbundenen Risiken erscheinen völlig unverhältnismäßig, da sie den erwarteten Nutzen deutlich überwiegen.“ Die Stellungnahme wurde neben den Erst-Unterzeichner*innen mittlerweile von über 450 Unterstützer*innen aus den Bereichen Wissenschaft, Sicherheit und Politik unterzeichnet.

Ähnlich äußerte sich am 13. April 2021 der Chaos Computer Club (CCC) in einer ausführlichen Stellungnahme mit dem Titel „Luca-App: CC fordert Bundesnotbremse“.[11]

Weiterhin verfügt seit dem 21. April 2021 auch die offizielle und aus Steuergeldern finanzierte „Corona-Warnapp“ über eine Check-in-Funktion.[12] Da diese dezentral funktioniert, gilt sie allgemein als sicher. Dennoch findet sich auf der Startseite des Rheingau-Taunus-Kreises bis heute (30.04.2021) kein Hinweis auf die „Corona-Warnapp“. Einzig auf der Unterseite zum Coronavirus ist unten ein kurzer Hinweis auf die „Corona-Warnapp“ zu finden.


  1. https://www.rostock-heute.de/luca-app-datenschutz-luecke-falsche-telefonnummer/115938 ↩︎

  2. https://www.zeit.de/digital/datenschutz/2021-03/luca-app-kontaktverfolgung-infektionsketten-corona-datenschutz ↩︎

  3. https://www.radioeins.de/programm/sendungen/dieschoene_woche//chaos-computer-club-fordert-stopp-von-luca-app.html ↩︎

  4. https://www.zeit.de/digital/datenschutz/2021-04/ulrich-kelber-corona-warn-app-luca-datenschutz-check-in ↩︎

  5. https://netzpolitik.org/2021/digitale-kontaktverfolgung-fast-20-millionen-euro-fuer-luca/ ↩︎

  6. https://logbuch-netzpolitik.de/lnp387-magisches-denken ↩︎

  7. https://arxiv.org/pdf/2103.11958.pdf ↩︎

  8. https://www.ccc.de/de/updates/2021/luca-app-ccc-fordert-bundesnotbremse ↩︎

  9. https://www.hessenschau.de/gesellschaft/it-professor-im-interview-darum-warnen-sicherheitsexperten-vor-der-luca-app,kritik-an-luca-app-100.html ↩︎

  10. https://digikoletter.github.io ↩︎

  11. https://www.ccc.de/de/updates/2021/luca-app-ccc-fordert-bundesnotbremse ↩︎

  12. https://www.zeit.de/wissen/gesundheit/2021-04/corona-warn-app-check-in-funktion-kontaktverfolgung-pandemiebekaempfung ↩︎

Original-Antrag herunterladen