Nachdem das Berliner Start-up »culture4life« den Code der Luca-App nun teilweise veröffentlicht hat, kritisieren Entwickler eine Lizenzrechtsverletzung. Die App enthält Codeanteile, die von anderen Entwicklern zur Nutzung bei Namensnennung freigegeben wurde. Die Luca-Entwickler unterließen dies zunächst. »Ein Klassiker: versuchen & hoffen nicht erwischt zu werden«, kritisiert Twitternutzer Ralf Rottmann. »So darf man das nicht machen.« Entwickler wissen: Ein solcher Verstoß kann dazu führen, dass die App in den App-Stores nicht verbreitet wird.
Das Konzept der App ist umstritten. Warum, das zeigt ein Bild, das das Klinikum Südstadt Rostock via Twitter verbreitet hat. »Wir sind Luca«, verkündet ein großer Aufsteller im Klinikum und wirbt für die Benutzung der App. Deutlich erkennbar ist der quadratische QR-Code. Das Quadrat besteht aus schwarzen und weißen Bildpunkten. Aus dieser Zusammenstellung ergibt sich ein Datensatz. Der QR-Code kann von Handykameras erkannt und direkt mit der Luca-App verknüpft werden. Enthalten sind darin auch die Angaben, wo dieser Code eingescannt wurde. Wer mit dem Handy den Code einscannt, öffnet die Luca-App, in der fortan die Zeit festgehalten wird, die Nutzer*innen am Ort verbracht haben. Exakt so lange, bis sie sich wieder ausloggen.
Für 10 Minuten und 47 Sekunden war auch der Autor dieses Textes heute im Klinikum in Rostock. Dass der Scan des Codes in Wahrheit am Bildschirm in Berlin stattfand, kann die Luca-App nicht erkennen. Sie hat keinen Zugriff auf die Standortdaten des genutzten Smartphones. Der Datensatz des vermeintlichen Kurzbesuchs ist in etwa so problematisch wie der Eintrag »Micky Maus, Am Geldspeicher 1 aus 12345 Entenhausen« in den handschriftlich geführten Kontaktlisten mancher Restaurants, die sich als wenig brauchbar erwiesen haben. Die Bundestagsabgeordnete der Linksfraktion Anke Domscheit-Berg kritisiert genau das und bemängelt den intransparenten Entwicklungsprozess des Unternehmens: »Das Unternehmen hat den Quellcode erst nach Unterzeichnung lukrativer Verträge veröffentlicht und verkauft ein fehlerhaftes, unfertiges Produkt, das wichtige Anforderungen an IT-Sicherheit nicht erfüllt.« Dazu zählt, dass die gesetzlich vorgeschriebene Datenschutzfolgeabschätzung weiterhin fehlt. Die Log-in-Daten, die die App erfasst, werden zentral gespeichert, statt nur auf dem Gerät selbst gesammelt und ausgewertet zu werden. Auch habe »culture4life« kritische Journalist*innen und IT-Sicherheitsforscher*innen diskreditiert und behielt sich in den Geschäftsbedingungen zunächst vor, die erhobenen Daten zu jedem beliebigen Zweck zu verwenden.
»Kann mir einer erklären, warum die Luca-App so abgefeiert wird ... und die funktionierende, transparente und datenschutzkonforme Corona-Warn-App so zerfetzt wurde und wird?«, will auch die Berliner FDP-Bundestagskandidatin Ann Cathrin Riedel vom Netzpolitikverein Load wissen und kritisiert die bisher breite Unterstützung der Luca-App. Eine Besserung ist in Sicht. Die Clustererkennung wurde am Mittwoch durch Regierungssprecher Steffen Seibert für die Coronawarn-App angekündigt, die dann eine datensparsame Check-in-Funktionalität erhalten soll. Das Update soll ab dem 16. April verfügbar sein.