Die sogenannte Luca-App zur Kontaktverfolgung in Corona-Zeiten wird seit Wochen ja medial gehyped – nicht zuletzt wohl, weil Smudo von den Fantastischen Vier gut die Werbetrommel rührt. Inzwischen habe deutsche Bundesländer ja Millionen Euro für eine Kooperation locker gemacht. Insider waren da eher zurückhaltend, ob der vielen Heilsversprechen, die die Protagonisten mit der Luca-App verbanden. Nun ist der Ansatz der Entwickler, den Quellcode der App als Open Source freizugeben, in einem Desaster geendet.
Die Luca-App soll ja die Orte (Restaurants, Konzerte etc.), wo sich Leute aufgehalten haben, erfassen und an einen zentralen Server melden. Gleichzeitig wird eine Kennung des App-Nutzers an die Betreiber von Einrichtungen, die der Nutzer besucht, gesendet. Idee ist, bei möglichen Kontakten mit COVID-19-Infizierten die Kette der Kontaktpersonen schnell nachverfolgen zu können. Einige Stimmen von Datenschutzbeauftragten lassen sich in diesem Beitrag und hier nachlesen. Leute, die genauer nachgeschaut haben, hatten aus Datenschutzsicht dann doch extrem kritische Anmerkungen zur App, wie man beispielsweise bei heise oder hier nachlesen kann. Kritisiert wurde auch, dass (im Gegensatz zur Corona-Warn-App des RKI) der Quellcode nicht offen gelegt wurde.
Quellcode als „Open Source“ offen gelegt?
Wohl auf Grund der kritischen Nachfragen und des öffentlichen Drucks hatten sich die Macher der App zur (Teil-)Offenlegung des Quellcodes überwunden (den Schritt an sich mag ich nicht bewerten). Die Vorgehensweise wirft aber Fragen auf und führte in ein Desaster – wobei ich noch nicht so ganz durchblicke. Als Urheber der App wird von Wikipedia das Berliner IT-Startup neXenio GmbH, m.W. nach eine Ausgründung des Hasso Plattner Instituts, angegeben. Als Entwickler der Luca-App wird aber die Culture4Life GmbH genannt. Oliver hatte mich gestern per Mail auf den Hickhack um die Freigabe des Quellcodes der App aufmerksam gemacht (danke dafür – aber Terrasse kärchern hatte Priorität) – und ich hatte es auf Twitter auch schon gesehen. Ralf Rottmann hat es auf Twitter in einer Reihe von Tweets in Kurzform zusammen gefasst.
Die Macher der App haben zum 30. März 2020 nun endgültig – aber nur leider einen Teil – des Quellcodes der App unter einer Art Open Source-Lizenz freigegeben. Beim ersten Release war sogar eine Lizenz, die nur als Real-Satire zu verstehen war, von den App-Entwicklern für den veröffentlichten Quellcode verwendet worden. Dort durfte man den Quellcode zwar ansehen, aber nichts veröffentlichen oder den Code übersetzen, um ggf. was zu testen. Die Kollegen von Golem habe das schön in diesem Artikel zusammen getragen und kritisch bewertet. Der Offenlegungsversuch zur Vertrauensbildung ist wohl ziemlich gescheitert.
Die Open Source-Fallstricke
Leute, die sich den Quellcode angesehen haben, wunderten sich dann schon sehr. Die Entwickler haben selbst Open Source-Quellcode-Teile in die App übernommen (was meist statthaft ist), sich aber nicht um die Vorgaben für diese Übernahme gekümmert. Wie schreibt Ralf Rottmann in seinem obigen Tweet:
Pikantes Detail: Das Unternehmen verwendet in seinem kommerziellen Produkt selbst echte Open Source Komponenten Dritter, verletzt deren Lizenzvereinbarungen dabei mutmaßlich und entfernt einfach frech die mindestens erforderliche Attribuierung für die auf diese Art „gestohlene“ Software.
Konkret haben die Entwickler im Quellcode wohl den Copyright-Hinweis des Urhebers als auch die BSD-Lizenz komplett entfernt. Das hat dann natürlich Wellen geschlagen. Die Details lassen sich auf GitHub nachlesen, und Golem hat es im Artikel hier aufgespießt. Da baut sich massiv Ärger auf und die App könnte aus den Stores von Apple (und möglicherweise Google) fliegen. Auf jeden Fall ist das Ganze in eine ziemliche Schieflage gerutscht. Ich verweise an dieser Stelle mal auf einen uralten Blog-Beitrag Android, als Rechtsrisiko par excellence? aus dem Jahr 2011, wo sich Juristen mit dem Thema und den lauernden Fallstricken auseinander gesetzt haben.
Ähnliche Artikel:
Die (deutsche) Corona Warn-App des RKI
Corona-Warn-App: Vorsicht vor Lookalike-Fake-Seiten
10 Millionen Downloads der Corona-Warn-App
Corona-Warn-App: Erste Benachrichtigungen verschickt
Der Bund klärt die 5 Irrtümer zur Corona-Warn-App
Neues zur Corona-Warn-App (7.7.2020)
Sicherheitslücke in Corona-Warn-App-Server gefunden
Android Corona-Warn-App: Frust, schwerer Bug und Implementierung für F-Droid
Corona-Warn-App auf vielen Smartphones gestört (13.1.2021)
Übermittelt die Corona-Warn-App des RKI ungewollt Benutzerdaten an Google?
Tja, was soll man da noch sagen?
Wir Deutschen bekommen es einfach nicht hin.
Wir sind nun mal Datenschutzbedenkenträger, Bürokratiefetischisten und Kontrollwahnsinnige und stolpern deshalb bei jeder Gelegenheit über unsere eigenen Füße.
Meine Hoffnung für einen effektiven Weg aus der Pandemie zielt nur noch auf die Impfung ab. Alles andere ist pure Verschwendung von Lebenszeit.
Das ist ja nun mal Käse! Wenn du dich mit der Problematik beschäftigt und sie verstanden hättest wüßtest du, das die Kontrolle des Sourcecodes und Datenschutz wichtige Güter sind. Wenn dir deine Daten und was damit passiert egal sind – bitteschön. Aber nicht jeder Mensch sieht das glücklicherweise so. Und dass „wir Deutschen“ es nicht hinbekommen, ist ebenso Quatsch. Du müsstest sagen: Die heutige jugendliche Mitläufer-Hipster-Generation kann nichts mehr… Haben ja nix weiter gelernt als Aufssmartphoneglotzen, Youtubeschauen, Selbstoptimieren,Twitterundfacebookposten, Instagramselbstdarstellen, Virtuellesgeldschürfen,Bartwachsenlassen und Zöpfchenamhinterkopfbinden.
Schnelles Geld verdienen ist das Gebot der Stunde, wayne interessieren denn da Lizenzen, OpenSource-Regeln, Datenschutz etc.? Ach ja: dich offensichtlich nicht.
Mich interessieren Lizenzen, OpenSource-Regeln und Datenschutzbestimmungen etc. nur bis zu einer festgelegten Grenze.
Diese Grenze ist der Schutz des menschlichen Lebens und die Unversehrtheit der Menschen.
Dein pauschales Abgewatsche einer bestimmten Generation kannst du dir sonst wohin stecken.
Ich gehöre zwar zu der Generation der etwas älteren Semester, aber genau die stehen heute in den entscheidenden Positionen unserer Gesellschaft und genau die sind es, die für diese Hürden und Probleme verantwortlich sind.
Nicht immer mit dem Finger der Moral auf die Jungen zeigen. Die sind nicht das Problem.
Wenn diese, wie du sie nennst, „heutige jugendliche Mitläufer-Hipster-Generation“ tatsächlich solche Charaktereigenschaften aufweisen sollte, dann richte die Kritik an deren Erziehungsberechtigte. Denn nur die wären dafür verantwortlich zu machen. Wo wir wieder bei der älteren Generation wären.
Aber das ist alles Unsinn. Keine Generation hat es verdient, pauschal über den Kamm geschert und herabgewürdigt zu werden.
Jaja… Datenschutz ist das Problem, nicht etwa die Struktur der App(s) und die Art DatenERHEBUNG und Verwendung. War ja klar.
Apropos „wohinstecken“: Steck du dir mal das hier in die Grauen Zellen:
https://www.kuketz-blog.de/kommentar-der-datenschutz-als-suendenbock-in-der-corona-pandemie/
Meine grauen Zellen sagen mir nach dem Lesen des Artikels dieses Bloggers, dass ich mir diesen Schuh nicht anziehen muss.
Ich sehe keineswegs nur den „bösen Datenschutz“ als das Hauptproblem, sondern vor allem die bürokratischen Hürden, die es bei uns ständig zu überwinden gilt.
Datenschutz ist wichtig, aber nicht um jeden Preis.
Apropos Bürokratie. Sprich mal mit dem Hausarzt deines Vertrauens und frage ihn mal nach der demnächst startenden Impfkampagne in den Arztpraxen und den damit auferlegten bürokratischen Hürden.
Da legst du die Ohren an und brichst vom Glauben ab.
„Ich gehöre zwar zu der Generation der etwas älteren Semester, aber genau die stehen heute in den entscheidenden Positionen(…)“
Und genau *das* ist das Problem, weshalb dieses Land nicht mehr wettbewerbsfähig ist.
Leider gibt es Kreise, in denen Datenschutz vollkommen unwichtig ist. Diese stören sich nicht daran, wenn sie selbst oder sogar Schüler komplett durchleuchtet werden. „Hab doch nichts zu verbergen“ ist dann das Totschlagargument. Oder hier auch, dass wenn auch nur ein Leben dadurch gerettet werden kann, man das so machen muss. Wo das Autoverbot bleibt fragt man sich dann… Wer diese totale Überwachung durch Firmen und Staat unbedingt möchte, der soll doch bitte nach China auswandern. Dort sollte man mehr als glücklich sein, wenn man die Hose unbedingt runterlassen möchte. Einfach den eigenen Score anschauen und schon hebt sich die Stimmung des braven Bürgers. Oder einfach noch ein paar Jahre abwarten, denn dann haben wir ähnliche Verhältnisse auch hier. Der Gehirnwäsche in der Schule sei dank. Aber daran sind natürlich wieder die Eltern Schuld…
Als nächstes soll es dann wahrscheinlich noch Zwangsimpfungen geben.
P.S.: Hessen hat Konsequenzen gezogen und verbietet MS Teams ab dem nächsten Schuljahr. Hoffen wir, dass das bundesweit Auswirkungen haben wird. Auch auf Office 365.
Das ist zwar jetzt krachend am eigentlichen Thema vorbei, aber mir soll es egal sein.
Hessen verbietet gar nichts, sondern die Duldung läuft demnächst aus. Der Grund ist wohl, dass alternative Anwendungen zur Verfügung stehen, die den europäischen Datenschutzrichtlinien entsprechen und auch technisch auf neuestem Stand sein sollen.
Na da bin ich ja mal gespannt, welche das sein werden und ob die so funktionieren, wie es sein sollte.
Ich bin da zwar eher skeptisch, lasse mich aber sehr gerne eines Besseren belehren.
Sollte das in die Hose gehen, dann ist das Gejammere wieder sehr groß und Eltern, Schüler und Lehrer schauen in die Röhre.
Hoffen wir das Beste.
Wenn der Einsatz nicht mehr zulässig ist, kommt das einem Verbot gleich. Denn wie du selbst festgestellt hast, wurde es bislang nur geduldet und war somit schon längst angezählt. Die Duldung läuft nicht nur aus, sie wird auch bewusst nicht mehr verlängert. Denn das wäre eigentlich das obligatorische Prozedere gewesen.
Und wer dann rumgejammert, dass nicht MS draufsteht oder die Oberfläche leicht anders ist, hat halt Pech gehabt. So wie Datenschützer bislang auch.
Mit dem Zwang zu Alternativen wird die Motivation eine zu suchen und zu finden entsprechend größer sein. Bislang sah man das eher als optional an.
@micha45
Ich glaube, @Zocker hat eher auf deine Unbekümmertheit bezüglich zu schützender persönlicher Daten Bezug genommen. :-)
„Das ist zwar jetzt krachend am eigentlichen Thema vorbei, aber mir soll es egal sein.“ -Ja, ist es dir offensichtlich.
@Gui: gut auf den Punkt gebracht!
„Datenschutzbedenkenträger“ – war ja klar, daß dies wieder einmal als Sündenbock herhalten muß. Aber diese Denke muß man haben, wenn man bei jeder Gelegenheit Microsoft-Produkte hoch in den Himmel lobt, die Industriespionage erst ermöglichen. :-)
Wenn Du etwas zitierst, gibst Du in der Regel auch die Quelle an. Wenn Du Software Dritter einsetzt, gibst Du wenigstens die dazugehörigen Quellen nebst Lizenz an. Bekommen fast alle Entwickler auf die Reihe, nur Deutsche schaffen das nicht, das stimmt. Denn sie denken noch immer, sie seien die Krone der Schöpfung und könnten alles besser, als alle anderen.
Fun-Fact: In ’nem Lehrgang für Anwendungsentwickler wurde immer wieder über Entwickler aus Indien und China hergezogen, wie schlecht sie doch seien und unaufmerksam – dabei sind es gerade deutsche Entwickler, die an uralten MS-Access-Modulen für SAGE-Produkte rum frickeln, unüberlegt Schleifen einbauen/entfernen und das dann für teuer Geld verkaufen.
tl;dr
Einfach an die Regeln halten, dann ist alles gut.
„Aber diese Denke muß man haben, wenn man bei jeder Gelegenheit Microsoft-Produkte hoch in den Himmel lobt, die Industriespionage erst ermöglichen.“
Ich bin mir jetzt nicht sicher, ob du auch mich in dieser Kategorie siehst.^^
Ich lobe niemanden und nichts hoch in den Himmel.
Ich beschwere mich nur nicht bei jeder Kleinigkeit und ich falle auch nicht in überschwängliche Euphorie, wenn ich mit Produkten oder Dienstleistungen zufrieden bin.
Ich bemühe mich stets, nicht zu pauschalisieren (gelingt auch mir nicht immer) und würdige vor allem nicht andere Menschen herab, nur weil sie Fehler machen.
Nach dem Motto: Wer frei von Fehlern ist, werfe den ersten Stein.
„Einfach an die Regeln halten, dann ist alles gut.“
Wenn es so einfach wäre, dann wäre in der Tat alles gut, oder vieles halb so wild. Ganz so einfach ist es jedoch nicht.
Weil Regeln auch Auslegungssache sein können oder Interpretationsspielraum bieten. Das ist auch so ein Problem.
„„Datenschutzbedenkenträger“ – war ja klar, daß dies wieder einmal als Sündenbock herhalten muß.“
Ich bin in normalen Zeiten durchaus für einen strengen Datenschutz.
In Krisenzeiten wie diesen bin ich jedoch für Kompromisse. Da muss man Abstriche machen, vor allem dann, wenn sich Datenschutz bei der Bekämpfung der Krise als Hemmschuh erweisen sollte.
Da lohnt ein Blick nach Japan und Südkorea. Das sind keine Diktaturen und bei denen funktioniert die Corona-App effizient und ohne irgendwelche datenschutzrechtliche Hürden.
„In Krisenzeiten wie diesen bin ich jedoch für Kompromisse. Da muss man Abstriche machen, vor allem dann, wenn sich Datenschutz bei der Bekämpfung der Krise als Hemmschuh erweisen sollte.“
Somit wird also auch mit dieser Einstellung die Büchse der Pandora noch ein Stück weiter geöffnet…! Genau wie bei den Einschränkungen der Grundrechte über Nacht, Schaffung von „Gremien“ am Parlament vorbei (>> Ministerpräsidentenkonferenz) die es lt. Grundgesetz als gesetzgebendes Gremium überhaupt nicht gibt, Erlasse über diverse „Bußgelder“, die parlamentarisch nicht abgesegnet sind – und juristisch somit eigentlich auch nicht durchsetzbar… Alles im Namen „der Krise“ und der Ausnahmesituation… Regeln sollten immer gelten! Man kann durchaus darüber sprechen sie evtl. auf diversen Wegen zu „beschleunigen“, aber „über den Haufen werfen“ oder eben mal „plattwalzen“, das darf in einer wahren Demokratie eigentlich niemals passieren! Übrigens hatten wir so eine ähnliche Situation vor einigen Jahrzehnten schon einmal in Deutschland. Natürlich nicht direkt vergleichbar, aber die Grundstruktur war leider ähnlich…
Gut auf den Punkt gebracht. Aber langfristiges Denken über die resultierenden Folgen kann man leider nicht von jedem erwarten. Da heißt es dann eher „ist mir doch egal, nach mit die Sintflut, erlebe ich eh nicht mehr“.
Ist ja nicht so als dass in der Vergangenheit nicht schon mehrfach versuchte wurde diverse Büchsen der Pandora zu öffnen.
Bisher haben die Macher von Luca von der Bundes und den Landesregierungen – wenn ich mich noch recht erinnere – 440.000 Euro eingesackt, pro Bundesland, für diese App. Das lohnt, dafür kann man ja mal ein bischen Code zusammenklauen.
Dabei ist die Luca völlig überflüssig, weil kurz nach Ostern wird auch die CWA des RKI/SAP/Telekom die selbe Funktionalität bieten, und das sogar mit den gleichen QR-Codes.
Mir kommt auf jeden Fall Luca nicht auf das Phone, mit der CWA bin ich sogar Datenspender und pflege das Kontakteformular. Wenn irgendeine Location oder Veranstaltung von mir will, dass ich Luca auf dem Phone drauf habe, geh ich da eben nicht hin. Macht mir nix, nach gefühlt 1 Jahr Lockdown aller Veranstaltungen.
Der Smudo sollte mal für die CWA-App rumtanzen, dann finden die App plötzlich alle cool.
Die Kollegen von Golem haben gerade diesen Artikel veröffentlicht, der sich mit den Feinheiten befasst und heraus arbeitet, warum die Corona-Warn-App des RKI die Luka-Funktionalität zur Cluster-Verfolgung nicht abbilden kann.
Der Golem-Artikel hat zwei Denkfehler drin, sieht man zm einen mit dem Beispiel mit 100 Veranstaltungsteilnehmer und ausgerechnet der infizierte Besucher ist derjenige, der die App nicht drauf hat. Der Denkfehler ist, dass niemand anders infiziert wird, das ist aber falsch, denn dann bräuchten wir den ganzen Krempel nicht. Die dann neu Infizierten werden dann schon den Alarm auslösen. Der zweite Denkfehler ist, wenn man die Zettelwirtschaft abschaffen will/muss, dann muss jeder Veranstaltungsteilnehmer ohnehin die App installieren, um teilnehmen zu können.
„Der zweite Denkfehler ist, wenn man die Zettelwirtschaft abschaffen will/muss, dann muss jeder Veranstaltungsteilnehmer ohnehin die App installieren, um teilnehmen zu können.“
Dein Denkfehler – wenn ich ein Konzert diesbezüglich absichern möchte, welches sich an jüngere Besucher richtet, kann ich Smartphone voraussetzen.
Will ich das Konzept flächendeckend einsetzen (dafür geben die Bundesländer ja Geld aus), habe ich schnell x Leute, die eben kein Smartphone haben – oder die App nicht einsetzen wollen (z.B. um keine Opfer von iBacons zu werden).
Die Luca-App-Macher haben aber m.W. die Möglichkeit geschaffen, sich im Web einen QR-Code Ausdruck zu verschaffen. Dann ist die App schon außen vor. Und wenn da jemand auf die Idee käme, so etwas verpflichtend in allen Geschäften zu machen, kippt das Ganze imho.
„Mir kommt auf jeden Fall Luca nicht auf das Phone,“
Da stimme ich mit Dir überein. Das nutzlose Geraffel des RKI allerdings auch nicht mehr.
Wenn ich Bundestrojaner haben will, melde ich mich bei einer Polizeidienststelle meiner Wahl und bitte um entsprechende Installation.
Das Impfthema ist bald durch, hier wird geimpft, bis der Arzt kommt – die Impfzentren haben hier auch Sonn- und Feiertags geöffnet und sind von Öffnung bis Schließung Oberkante-Unterlippe voll besucht (sowohl zum testen, als auch zum impfen). Der Nutzen der Apps sinkt mit jedem einzelnen Tag.
Aber vielleicht kann man jetzt ja hinreichend Erfahrungen sammeln, damit SARS-CoV-3 in achtzehn Jahren* besser kontrollierbar ist.
* In Anlehnung der SARS-CoV-1 von 2002/2003, die ebenfalls ihren Ursprung in China hatte und sich – dank Globalisierung – auf 25 Länder ausstreckte.
Jaja, es ist diese noch weit verbreitete Mentalität und irrige Annahme in vielen Software-Unternehmen:
„Open Source Sofware“ (OSS) kostet nüscht, es gibt keinen unterschriebenen Vertrag, man lädt es einfach irgendwo herunter, also kann man damit anstellen was man will, auch wenn man es in seine eigene kommerzielle SW versteckt einbindet und sich somit unentgeltlich und illegal Fremdleistung einsackt, um damit viel Entwicklungszeit zu sparen und Kohle durch die frühzeitige angebliche Marktreife (siehe Luca) zu machen. Die OSS-Entwicklercommunity bringt das natürlich auf 180…
Aber in immer mehr Firmen spricht sich langsam herum, dass man an der Standard-Entwicklungs-Aufgabe des sogenannten „3rd-Party-Software-License- and Product-Clearings“ nicht vorbeikommt. Darin müssen sowohl alle Lizenzauflagen (von OSS wie auch kommerzieller Fremdsoftware) identifiziert und erfüllt werden, von denen eine Standardauflage besagt, dass man zu jeder eingebundenen OSS die verwendeten OSS-Komponenten wie auch deren original OSS-Lizenztexte z.B. GPL, Apache, etc. offenlegen muss.
Und nein: eine gültige OSS-Lizenz einfach unter den Teppich zu kehren, sprich aus dem Quellcode zu löschen, ist natürlich KEIN „Clearing“ ! :-))
Schon so mancher Entwicklungsleiter kam fragend an seine SW-Projekte zurück, warum denn die OSS-Nutzung auf einmal so teuer sei, da sie ja angeblich „nichts“ koste. (Antwort: Weil man in jedem Fall Aufwand+Kosten für das obligatorisch nötige Clearing der Lizenzauflagen und für deren Erfüllung und die nachvollziehbare Dokumentation des Clearingvorganges benötigt. WENN man es denn tut…)
Unterm Gesamtstrich ist OSS-Nutzung vermutlich in vielen Fällen effizienter+günstiger als eine Eigenentwicklung, aber nicht soviel günstiger wie es sich anscheinend viele Entwicklungsplaner in den letzten Jahren gedacht oder vielmehr in ihren kühnsten Träumen erhofft haben…
p.s.
Die Corona-Warn-App des Bundes musste sich übrigens mit ähnlichen Clearing-Problemen herumschlagen:
https://stadt-bremerhaven.de/corona-warn-app-soll-maengel-bei-der-open-source-compliance-haben/
>> „Open Source Sofware“ (OSS) kostet nüscht, es gibt keinen unterschriebenen Vertrag, man lädt es einfach irgendwo herunter, also kann man damit anstellen was man will
>>
>>
Das ist mit kommerzieller Software aus einem Torrent aber auch nicht anders, kostet nüscht, es gibt keinen unterschriebenen Vertrag, man lädt es einfach irgendwo herunter…
Finde ich super das die Firmen es auch so sehen da kann man gleich mit doppelt so gutem gewissen die Piraten bucht besuchen. LOL
Es gibt dezentrale Alternativen zu Luca, bin gespannt welche Polit Taschen sich bei der Vermarktung von Luca gefüllt haben!
Berlin hat einen Jahres Nutzungsvertrag über 1,4 Mio. € und Brandenburg über 900.000 € abgeschlossen. Katze im Sack ;-)
ETH Lausanne CrowdNotifier, dezentral:
https://www.zeit.de/digital/datenschutz/2021-03/luca-app-kontaktverfolgung-infektionsketten-corona-datenschutz/seite-4
https://github.com/CrowdNotifier/documents
Das vermarktete Produkt: https://notify-me.ch/
Eine englische Variante soll ebenso arbeiten.
CWA, ich nutze CCTG als Zugeständnis an Pandemie und Datenschutz.
Weil, die persönlichen Daten liegen hier auf einem nur halb kastrierten Android/Google Smartphone.
Luca in dieser Form, ein NoGo.