Kontaktnachverfolgung: Fast 20 Millionen Euro für die Luca-App

Die einzelnen Bundesländer geben teilweise mehr als fünf Millionen Euro im Jahr aus, um die Dienste der Luca-App zur Kontaktnachverfolgung nutzen zu können. Das berichtet das Portal Netzpolitik.org unter Berufung auf die Staatskanzleien von 13 Ländern, die inzwischen Verträge mit den App-Betreibern abgeschlossen haben. Dem Bericht zufolge summieren sich die Ausgaben inzwischen auf knapp 20 Millionen Euro.

Die höchsten Gebühren zahlte demnach Bayern mit 5,5 Millionen Euro für eine Jahreslizenz. Mecklenburg-Vorpommern, das als erstes Bundesland einen Vertrag mit dem App-Betreiber Culture4life abgeschlossen hatte, zahlte hingegen nur 440.000 Euro. Berlin ließ sich die Lizenz eine Million Euro kosten.

Vergabe durch Dataport

Die Hansestadt Hamburg bestätigte am Montag den Kauf einer Lizenz. "Die Vergabe für den Einsatz der Luca-App hat der öffentliche IT-Dienstleister Dataport im Auftrag von zehn Bundesländern gemäß den Regelungen des Bundeswirtschaftsministeriums vom 19. März 2020 zur Anwendung des Vergaberechts durchgeführt", teilte die Stadt mit. Die Kosten sollen für Lizenz und Betrieb sollen bei 615.000 Euro für ein Jahr liegen.

Laut Netzpolitik.org schwanken die Lizenzkosten pro Einwohner je nach Bundesland zwischen 20 und 40 Cent. Nach Angaben von Patrick Hennig, dessen Firma Nexenio die Luca-App entwickelt hat, werden die Preise nicht nur auf Basis der Einwohnerzahl berechnet. Rund ein Drittel der Kosten sei für die Verifikations-SMS vorgesehen.

Ein weiterer Teil sei für die Unterstützung und Infrastruktur der Gesundheitsämter eingeplant. Dieser Anteil berechne sich nach der Zahl der Ämter pro Bundesland. Der Rest des Preises sei für die eigentlichen Softwarelizenzen der Systemkomponenten von Luca und deren Wartung vorgesehen.

Dem Bericht zufolge schrieb lediglich Bayern die Vergabe der App überhaupt aus. Die Entwickler anderer Kontaktnachverfolgungssysteme Recover, E-Guest oder Darfichrein hatten Mitte März 2021 die Pläne kritisiert, die verschiedenen Apps durch ein einzelnes System wie Luca zu ersetzen.

Immer wieder Probleme mit der Luca-App

Rund um die Luca-App sind in den vergangenen Tagen immer wieder kleine und größere Probleme und Lücken aufgetaucht. So kann man sich von beliebigen Orten aus per Luca bei Veranstaltungen einchecken. Notwendig ist dafür lediglich der QR-Code. Ebenfalls sind etwa die API-Endpunkte case-insensitive, so dass die darüber umgesetzte zeitweise Sperrung beziehungsweise ein Rate-Limiting leicht umgangen werden kann.

Dazu reicht es offenbar aus, aus einem der kleingeschriebenen Buchstaben in der URL einen Großbuchstaben zu machen. Das CCC-Mitglied und Teil der AG-Kritis, Manuel Atug alias Honkhase, sammelt seit Tagen derartige Meldungen zu Luca in einem sehr ausführlichen Thread auf Twitter. Inzwischen hat Atug mehr als 250 einzelne Hinweise zusammengetragen.

Vor Ostern war bekanntgeworden, dass es schwere Mängel bei der Registrierung von Schlüsselanhängern der Luca-App gab. Diese konnten komplett ohne Registrierung genutzt werden und auch die Freischaltung über eine Transaktionsnummer (Tan) soll mit einer beliebigen sechsstelligen Zahl möglich sein. Das Team hat dies eigenen Angaben zufolge direkt behoben.

Darüber hinaus warnen seit Wochen verschiedene Datenschützer vor der Nutzung der App, zuletzt forderte der Hamburgische Datenschützer Johannes Caspar eine datenschutzrechtliche Bewertung. Das Gesamtsystem der Luca-App ist außerdem weiterhin nicht Open Source und damit nicht unabhängig überprüfbar. Die Offenlegung des Codes für den Android-Client haben wir in einem Kommentar als schlechten Open-Source-Versuch bezeichnet.