Die Flickschusterei-Bananensoftware aus der culture4life/nexenio Schmiede ist wie eine schlechte Daily Soap: Täglich gibt es neuen Ärger.
Das wirklich einzig clevere an luca ist, wie es dem Gesellschafter “Die Fantastischen Vier” und Konsorten gelungen ist, mit inkompetenten Länderchefs Verträge abzuschließen, deren Konstruktion aus der Kund:innen Perspektive so dämlich ist, man möchte in die in Deutschland nur spärlich verlegte Glasfaser beißen.
Heute stolperte ich über zwei weitere #LucaApp Fails:
Frei konfigurierbare Zusatzfragen im Check-in Prozess
Veranstalter:innen, Ladenbesitzer:innen und Gastronom:innen – in der luca Terminologie als Venue Owner bezeichnet – nutzen zur Einrichtung und Verwaltung des Systems ein Web-basiertes Frontend: luca Locations.
Darin gibt es eine Möglichkeit, beliebige Felder anzulegen, mit denen Nutzer:innen beim Check-in zur Abgabe von Zusatzinformationen gezwungen werden. Das sieht beim Check-in dann so aus:
Hier frage ich ganz nonchalant nach dem Kennzeichen, dem Namen des Hausarztes und der Chargen-Nummer der Corona-Impfung.
Dies verursacht eine ganze Reihe gravierender Probleme:
- Die zusätzlichen Angaben sind Pflichtfelder. Einchecken kann nur, wer die zusätzlichen Angaben macht.
- Sie sind nicht als vom Venue Owner nach eigenem Belieben hinzugefügte Erfassungspunkte zu erkennen. Im Gegenteil: luca lässt es so aussehen, als handele es sich in irgendeiner Form um vom Gesetzgeber auferlegte Informationspflichten. Dem ist natürlich mitnichten so.
- Art und Umfang der Kontakterfassung sind gesetzlich in jedem Bundesland festgelegt. Warum sieht das luca System die zentrale Datensammlung beliebiger zusätzlicher Daten überhaupt technisch vor? Für welche zukünftigen Geschäftsmodelle will man damit den Weg bereiten?
- Während das luca Security Concept für den Teil der Kontaktdaten explizit die Verschlüsselung beschreibt, ist für die zusätzlich erhobenen Informationen völlig unklar, wo diese gespeichert werden, wie lange sie erhalten bleiben und wer darauf Zugriff hat. Da diese Pflichtfelder von jedem Venue Owner eingefügt werden können, darf vermutet werden, dass die daraus resultierenden Informationen diesen auch verfügbar gemacht werden (sollen). Wenn dem so ist, wäre das Gefasel von der Ende-zu-Ende-Verschlüsselung und das Versprechen um “kein Zugriff ohne Gesundheitsamt” damit vom Tisch.
- Können in einem technischen System Art und Umfang von Datenerhebungen dynamisch jederzeit beliebig erweitert werden, hat dies erhebliche Auswirkungen auf DSGVO-Konformität und Datenschutz-Folgenabschätzung (DSFA). Es stellt sich die dringende Frage, ob dies berücksichtigt wurde.
Übrigens: Es handelt sich bei dem Screenshot zwar um die echte, originale Ansicht eines luca Check-ins, nicht aber um die des Bochumer Zoo. Ich habe die Location einfach gefaket. Nicht auszudenken, wieviele Bürger:innen wahrscheinlich völlig sorglos wertvolle persönlichste Daten abgeben, würden wir den zugehörigen luca QR-Code einfach tatsächlich an beliebigen Stellen im Bochumer Zoo anbringen. Ein Experiment, das sicher spannend wäre.
Die offenen Fragen habe ich zur transparenten Klärung am 26.04.2021 um 12:23 Uhr ganz offiziell an luca gerichtet.
Update (21:05 Uhr)
nexenios CTO Philipp Berger hat inzwischen auf GitLab ausführlich geantwortet.
Er stellt dort klar, dass die zusätzlichen Fragen derzeit ausschließlich im Frontend der Venue Owner angezeigt werden. Die mobilen luca Varianten (iOS, Android, Web), so Berger, fordern nicht zur Eingabe zusätzlicher Daten auf. Die Informationen werden für 28 Tage verschlüsselt auf den luca Servern gespeichert.
Bei Anfragen eines Gesundheitsamtes werden diese freiwilligen Zusatzinformationen sämtlich auch an das Gesundheitsamt übersendet. (Anmerkung des Autors: Sie sind zumindest technisch in dieser Phase auch für den Venue Owner einsehbar.)
Berger erklärt weiterhin, dass diese zusätzlichen Informationen ausschließlich vom Venue Owner eingegeben werden, nicht jedoch von Endnutzer:innen:
Auch auf twitter verstärkt Berger den Eindruck, die Eingabe dieser gegebenenfalls hochsensiblen Daten durch Gäste selbst sei nicht erwünscht und kein von luca angedachter Anwendungsfall.
Wesentlicher Vorwurf der ersten Version meines Artikels war, dass Gäste beim Check-in nicht erkennen können, dass diese freiwilligen Zusatzinformationen nicht Teil der gesetzlichen Anforderung sind, sondern schlicht Hunger der Betreiber nach mehr Daten.
Dies versucht Berger zu entkräften, indem er darauf hinweist, dass die Eingabe nicht durch Gäste erfolgt, sondern ausschließlich durch die Gastgeber:innen.
Dies steht jedoch im starken Widerspruch zum von luca selbst am 23.04.2021 auf YouTube veröffentlichten Werbevideo. Dort heißt es ab Minute 0:29 wörtlich:
“Du könntest Deinen Gästen zum Beispiel ein Tablet mit diesem Formular vorlegen, auf dem sich der Gast selbst eintragen kann.”
luca Werbevideo auf YouTube vom 23.04.2021 (Backup Link)
Das klingt für mich geradezu wie eine Empfehlung an Venue Owner, das Kontaktformular inklusive der Zusatzfragen Gästen vorzulegen, damit diese ihre Daten bereitwillig abliefern.
Ich unterstelle Philipp Berger an dieser Stelle keine absichtliche Irreführung. Das Muster selbst jedoch reiht sich leider ein in eine unpräzise, latent mißverständliche, ambivalente Kommunikation, die man von einem staatlich subventionierten Dienstleister im Gesundheitswesen schlicht nicht erwarten darf.
Bezüglich der sich daraus ergebenden Fragestellungen, verweise ich auf die Diskussion bei GitLab.
Bei Brillen Rottler in Dortmund verhindert luca die Kontaktverfolgung
Ein trauriges Beispiel blinden Gehorsams wenn denn nur ein Promi für unausgegorenen Digitalklamauk wirbt, liefert Brillen Rottler in Dortmund. Das Unternehmen möchte wahrscheinlich seine Innovationskraft zum Ausdruck bringen und preist im Schaufenster offensiv den luca Check-in an.
Schade nur, dass das Dortmunder Gesundheitsamt an luca überhaupt nicht teilnimmt.
Es ist anzunehmen, dass Rottler seiner Dokumentationspflicht für Kund:innen, die mit luca einchecken, nicht nachkommt und sich sogar strafbar macht. Da mutmaßlich niemand außer angeschlossene Gesundheitsämter im Falle eines Falles an die Check-ins kommt, sind die von Rottler erzeugten Daten komplett wertlos. Sie wandern quasi direkt in die digitale Mülltonne.
Für Rottler Kund:innen gibt es einen weiteren gravierenden Nachteil: Kommt es in einer der häufig kleinen, wenig belüfteten Filialen tatsächlich zu einem Infektionsgeschehen, können Besucher:innen, die mit luca eingecheckt haben, nicht gewarnt werden. luca erhöht in diesem Fall also das persönliche Risiko.
Einen QR-Code für die offizielle Corona-Warn-App des Robert Koch-Instituts sucht man bei Rottler leider vergebens. Könnte ich die CWA bei Rottler nutzen, wäre sichergestellt, dass ich schnell, automatisch und garantiert eine Warnung bekäme, wäre ich potentiell einer Ansteckungsgefahr ausgesetzt worden.
Bislang hat Brillen Rottler noch nicht reagiert. Eine diesbezügliche Anfrage beim Dortmunder Ordnungsamt ist ebenfalls noch offen.
Ich möchte nicht darüber mutmaßen, wieviele Einzelhändler:innen, Ketten und Gastronom:innen in der festen Überzeugung das Richtige zu tun durch den Einsatz von luca absurderweise ihre Dokumentationspflicht ausgerechnet nicht erfüllen.
Die nicht enden wollende Serie der luca Desaster unterstreicht einmal mehr die seit langem klare Forderung: Die Corona-Schutzverordnungen der Länder müssen die Verwendung der einzigen offiziellen Corona-Warn-App auch für die Dokumentation von Check-ins legitimieren.
Alles andere macht nicht nur wenig Sinn, es birgt jede Menge zusätzliche Gefahren.
