BR24 Logo
BR24 Logo
Startseite

Kontakt-Tracing: Wie unterscheiden sich Luca und Darfichrein? | BR24

© Bayerisches Staatsministerium für Digitales (l.), dpa-Bildfunk/Bernd Wüstneck (r.). Montage: BR24
Bildrechte: Bayerisches Staatsministerium für Digitales (l.), dpa-Bildfunk/Bernd Wüstneck (r.). Montage: BR24

Bayerns Digitalministerin Gerlach (2.v.l.) nutzt Darfichrein, Mecklenburg-Vorpommerns Ministerpräsidentin Schwesig (r.) checkt mit Luca ein.

1
Per Mail sharen

    Kontakt-Tracing: Wie unterscheiden sich Luca und Darfichrein?

    Die Kontaktnachverfolgung soll digitalisiert werden. Bayern will sich zwischen der Luca-App und der Web-Anwendung Darfichrein entscheiden. Wir vergleichen die beiden Dienste - nicht nur in Sachen Datenschutz.

    1
    Per Mail sharen
    Von
    • Bernd Oswald

    Die Zahl der Corona-Infektionen ist in den letzten Wochen wieder gestiegen. In Bayern liegt die 7-Tage-Inzidenz bei 118. Je weiter dieser Wert über 50 liegt, umso schwieriger sind Infektionsketten für die Gesundheitsämter nachzuvollziehen. Vor allem so lange dabei noch mit Stift und Papier gearbeitet wird.

    Immer mehr Bundesländer setzen für die Kontaktnachverfolgung nach Corona-Fällen auf digitale Lösungen, um der "Zettelwirtschaft" ein Ende zu machen. Es gibt zahlreiche Check-In-Lösungen am Markt. Ministerpräsident Markus Söder hat am Mittwoch im Landtag angekündigt, dass sich Bayern zwischen der Luca-App und der Web-Anwendung Darfichrein entscheiden wird.

    BR24 vergleicht die beiden Anwendungen.

    Wie funktionieren die Dienste?

    Grundgedanke ist in beiden Fällen eine Check-in-Funktion.

    Die Luca-App

    Bei Luca spielt die App eine zentrale Rolle. Dort hinterlegt man zu Anfang seine persönlichen Daten wie Name, Telefonnummer, Adresse und E-Mail-Adresse. Die Luca-App generiert einen sich minütlich ändernden QR-Code, der einem Endgerät zugeordnet ist. Diesen persönlichen QR-Code kann man an einem Luca-Standort scannen lassen, um sich dort einzuchecken. Auch die Gastgeber brauchen die Luca-App. Sie können auch QR-Codes für ihre Veranstaltungen erstellen: Besucher, die die Luca-App haben, können diesen Code scannen, um sich einzuchecken.

    Bei einem Check-In werden Ort und Zeit des Besuchs verschlüsselt und zentral auf in Deutschland gehosteten Luca-Servern gespeichert - und zwar getrennt nach den drei am System beteiligten Schnittstellen: Gast, Gastgeber und Gesundheitsamt.

    Verlässt man die Veranstaltung, wird man automatisch ausgeloggt.

    Darfichrein: Webanwendung

    Bei Darfichrein erstellt der Gastgeber direkt auf darfichrein.de einen QR-Code, druckt ihn aus und legt ihn am Eingang oder in Räumen aus. Die Gäste scannen diesen QR-Code mit dem Smartphone und geben auf der sich öffnenden darfichrein-Website ihre Kontaktdaten ein. Ist das erledigt, bekommt man ein grünes "Check-In-Ticket" angezeigt.

    Darfichrein.de ist eine Webanwendung, es ist also im Gegensatz zu Luca für die Nutzung keine App nötig. Die Daten werden verschlüsselt und vier Wochen lang auf Servern der Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB) gespeichert.

    Bei darfichrein sollte man sich aktiv ausloggen, vergisst man das, läuft das Check-In-Ticket nach einigen Stunden ab.

    Was passiert nach einem Corona-Fall?

    Die Luca-App bindet die Gesundheitsämter direkt in sein System ein. Erfährt das Gesundheitsamt von einem Corona-Fall, beantragt es vom Gastgeber, auf dessen Veranstaltung der Corona-Infizierte war, die Freigabe der Kontaktdaten aller Personen, die zum fraglichen Zeitpunkt auf der Veranstaltung waren. Mit diesen Daten können die Gesundheitsämter alle Kontaktpersonen über den Corona-Fall und die nötigen Konsequenzen informieren - direkt in der Luca-App. Luca wirbt damit, den Gesundheitsämtern als bislang einzige Anwendung einen Rückkanal zu den Locations und Infizierten zur Verfügung zu stellen.

    Bei Darfichrein wenden sich die Gesundheitsämter nach einem Corona-Fall an den Veranstalter und bitten ihn, die Kontaktdaten der Besucher mit seinem privaten Schlüssel zu entschlüsseln und dem Amt als .csv-Datei zu schicken. Hier ist also keine App im Spiel.

    Allerdings hat auch Darfichrein inzwischen einen Rückkanal für die Gesundheitsämter programmiert: Künftig sollen die Gesundheitsämter die Kontaktdaten von Personen über das Darfichrein-Portal bei den Betrieben abfragen und dann direkt in die Kontaktnachverfolgungs-Software Sormas einspielen können.

    Welche Lösung ist datenschutzfreundlicher?

    Grundsätzlich speichern beide Lösungen Kontaktdaten sowie Ort und Zeitpunkt eines Besuchs auf zentralen Servern in Deutschland. Server sind immer angreifbar. Außerdem müssen Nutzer den Server-Betreibern vertrauen, dass sie ihre Daten nicht missbrauchen. Deswegen wurde zum Beispiel bei der Corona-Warn-App explizit ein dezentraler Ansatz gewählt.

    Forschende der Universität EPFL in Lausanne haben bei einer Analyse des Sicherheitskonzepts der Luca-App einige Schwachstellen festgestellt (englische Originalversion hier, deutschsprachige Zusammenfassung bei netzpolitik.org. Die Studie wurde als Preprint veröffentlicht, ist also noch nicht von anderen Fachleuten begutachtet worden). Weil beim Check-In auch die IP-Adresse des Handys übermittelt wird, lasse sich rekonstruieren, welches Gerät und letztlich welche Person sich hinter einer pseudonymen Nutzer-ID verbirgt. Angreifer könnten so auch nachvollziehen, wo jemand in den vergangenen Tagen eingecheckt hat, und so Bewegungsprofile erstellen.

    Peter Schaar, Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz, hält beide Dienste für "im Wesentlichen funktionsgleich" und "datenschutzrechtlich vertretbar", wie er BR24 sagt. Schaar forderte die Politik auf, die Zweckbindung der Daten besser zu gewährleisten: "Solche Check-In-Daten dürfen nur zur Kontaktverfolgung im Rahmen der Corona-Bekämpfung verwendet werden. Im Grunde müsste der Bund das machen", sagt der ehemalige Bundesdatenschutzbeauftragte.

    Wer sind die Betreiber?

    Die Luca-App wird von der Nexenio GmbH betrieben, einer Ausgründung des Hasso-Plattner-Instituts. Es handelt sich also um ein privates Unternehmen. Auch einige Kulturschaffende gehören zur Luca-Initiative, die prominentesten Vertreter ist die Rap-Band "Die Fantastischen Vier".

    Die Darfichrein GmbH ist ein deutschlandweit aktives Tochterunternehmen der Anstalt für kommunale Datenverarbeitung (AKDB) und des Bayerischen Hotel- und Gaststättenverbands (Bayerische Gastgeber AG). Die AKDB ist eine Anstalt des öffentlichen Rechts und wird von den vier kommunalen Spitzenverbänden in Bayern getragen: Landkreistag, Städtetag, Bezirketag und Gemeindetag.

    Wie finanziert sich das?

    Die Luca-App ist für Nutzer und Gastgeber kostenlos. Zahlen müssen die Gesundheitsämter, denen die Nexenio GmBH Lizenzgebühren und Kosten für Infrastruktur, Support, Wartung sowie für SMS-Versandgebühren (bei der Verifizierung verschickt das Luca-System eine SMS) berechnet. Mecklenburg-Vorpommern hat für Luca-Lizenzen für seine acht Gesundheitsämter 440.000 Euro bezahlt. Wie hoch der Preis für ein Gesundheitsamt ist, hängt von dessen speziellen Bedürfnissen ab.

    Darfichrein hat ebenfalls ein Lizenzmodell. Mitglieder (zum Beispiel des Deutschen Hotel- und Gaststättenverbandes) oder Kunden der AKDB zahlen 5,95 Euro pro Monat plus 2,98 Euro für jeden weiteren Standort. Die Standardlizenz kostet 11,90 Euro monatlich, plus 5,95 Euro pro weiterem Standort. Darüber hinaus bietet Darfichrein Stadt- und Regionallizenzen an. So übernimmt zum Beispiel der Landkreis München die Kosten von Darfichrein für Gastronomen, Kulturschaffende, Vereine, Veranstalter, Unternehmen und kommunale Einrichtungen. Der Preis ist nach der Anzahl der Standort gestaffelt und reicht von 114 Euro im Monat für bis zu 20 Standorte bis 1785 Euro für 251 bis 500 Standorte.

    Wer nutzt das bereits?

    Das Luca-System wird in 110 der 375 deutschen Gesundheitsämter genutzt. Auch in 43.000 über Deutschland verteilten Betrieben ist Luca im Einsatz. Das Bild zu Beginn dieses Artikels zeigt Mecklenburg-Vorpommerns Ministerpräsidentin Manuela Schwesig, wie sie mit der Luca-App in einem Bekleidungsgeschäft eincheckt.

    Die Darfichrein-Anwendung wird in 4.000 Betrieben genutzt: Darunter sind Geschäfte, Gastronomiebetriebe, Behörden, Universitäten, zwei Drittel davon in Bayern. Zu den Kunden zählen die Allgäu-Region, der Landkreis München, Fürth, Erlangen, Bayreuth, Olching, aber auch die bayerische Justiz. Seit der Firmengründung im Juni 2020 gab es 2,7 Millionen Check-Ins.

    Zusammenfassung

    Im Prinzip machen Luca und Darfichrein das Gleiche: Sie bieten eine Check-In-Funktion, mit der Personen an Orten einchecken können, indem sie einen QR-Code scannen. Bei Luca braucht man dazu eine App, bei Darfichrein nicht. Zweiter wesentlicher Unterschied: Bei Luca sind die Gesundheitsämter direkt in das System eingebunden, können Infizierte also über die App kontaktieren. Bei Darfichrein gibt es diese Funktion nicht, allerdings ist eine Anbindung der Gesundheitsämter an das Darfichrein-Portal geplant.

    Für Benutzer entstehen in beiden Fällen keine Kosten.

    "Darüber spricht Bayern": Der neue BR24-Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!