Innenministerium lehnt Prüfung der Luca-App ab
Bundesinnenministerium verweigert Luca-App-Prüfung
Die Luca-App gehört in der Corona-Pandemie seit einiger Zeit zum ständigen Begleiter vieler Menschen und Firmen im Alltag. Durch den Zugang mit dieser App werden Kontaktbeschränkungen und Kontaktnachverfolgung digital ermöglicht und somit auch vielen Geschäften, Museen und anderen öffentlichen und privaten Einrichtungen überhaupt erst die Wiederaufnahme nachhaltiger wirtschaftlicher und gesellschaftlicher Tätigkeit möglich. Wenngleich die Nutzung der Luca-App für viele Menschen und Firmen selbstverständlich ist, so finden Datenschützer doch zahlreiche Kritikpunkte am System der App und fordern eine genaue Analyse und etwaige Behebung der Schwachstellen.
Weil auch zum Beispiel das Bundesland Hessen Verträge für die Nutzung der Luca-App abgeschlossen hat und diese auch auf Landesebene in öffentlichen Einrichtungen einsetzt und einsetzen will, hat das Land eine Sicherheitsüberprüfung der Luca-App durch die Bundesbehörde BSI (Bundesamt für Sicherheit in der Informationstechnik) beantragt. Dieses wurde vom Bundesinnenministerium (BMI) abgelehnt. Angeblich hat das BMI dem Behördenleiter des Bundesamtes persönlich diese Weisung erteilt.
Neben Hessen wird die Luca-App bereits von vielen weiteren Bundesländern auch für öffentliche Einrichtungen und Belange auf Landesebene eingesetzt. Infolgedessen ist die Nutzung nicht nur kritisch, wenn Datenschutzinteressen der Bürger im Privatbereich wie Restaurantbesuche oder beim Kinobesuch betroffen sind, sondern auch die datensensible Kontaktverfolgung der Gesundheitsämter.
Rechtlich zulässig – Bundesbehörde prüft nicht Einsatz auf Länderebene
Die Verhinderung der Überprüfung der etwaigen Schwachstellen bei der Luca-App durch das BMI dürfte rechtlich in Ordnung sein. Nach der föderalen Struktur der Bundesrepublik prüft das BSI nur IT, wenn diese auf Bundesebene bzw. auch von Bundesbehörden in den Ländern eingesetzt wird. So wurde auch schon die Luca-App durch das BSI geprüft – aber nur begrenzt auf den mobilen Einsatz. Die viel weiterreichende zugrundeliegende Server- und Systemstruktur wurde nicht geprüft.
Und weil der Bund und somit das BSI für den Einsatz auf Länderebene wie bei Landesbehörden und Einrichtungen nicht zuständig ist, durfte das BMI hier dem BSI die Weisung erteilen. Als Bundesbehörde ist das BSI gegenüber dem über ihm stehenden BMI weisungsgebunden.
Massive Bedenken bei Luca-App – Land dürfte eigenständig prüfen
Es gibt hinsichtlich gerade der Grundstruktur der Luca-App mit Servern und dem Basis System weitreichende Sicherheitsbedenken. Wenn an diesen Stellen Schadstellen bestehen, die zum Beispiel für die Einbringung von Schadsoftware, Viren etc. genutzt würden, können zum Beispiel neben den Datenschutzbelangen der Bürger vor allem auch die öffentlichen Gesundheitsämter wie im Land Hessen betroffen und in ihrer wichtigen behördlichen Funktion zu Pandemiebekämpfung gefährdet sein. Allerdings unterstehen die Gesundheitsämter auch in Hessen den kommunalen und landesrechtlichen Behörden. Mithin ist auch hier der Bunde nicht betroffen. Das Problem ist, das das Land Hessen wie auch die anderen Bundesländer auf Landesebene keine eigene Prüfbehörde für die IT analog zum BSI hat.
Das Innenministerium des Bundes hat aber klar ausgeführt, dass es den Ländern wie Hessen selbstverständlich freistehe, eine eigene Prüfung der IT-Sicherheit der Luca-App durchzuführen. Auf dem IT-Markt sind einige Firmen für Daten- und Softwaresicherheit in der freien Wirtschaft aktiv, die für diesbezügliche Prüfaufträge bereitstünden. Die Luca-App wurde nicht zuletzt deshalb so populär, weil der Frontsänger der deutschen Hip-Hopper „Fanta 4“ sehr exponiert für die Luca-App in den Medien Werbung betrieb.
