Dies ist vergleichbar mit der Corona-Warn-App, basiert sie doch auf dem Crowd Notifier Protokoll. Kann Risikokontaktwarnung, aber kann aber wg. Anonymität kein Kontaktdatenlieferant sein für Kontaktpersonennachverfolgung.
Es ist unzweifelhaft ein Lizenzbruch, weil die Open-Source-Lizenzbedingungen des ursprünglichen Entwicklers nicht mehr im Code enthalten ist (damit geht m.W. kostenlose Lizenzrecht verloren).
Im Hinblick auf die kolossale Aufregung „im Internet“ (insbes. Twitter) ist es immer klüger, erst einmal die Fakten zu eruieren, bevor man reflexartig in ekstatische Empörung gerät.
Nach all dem, was ich inzwischen weiß: Der angestellte Entwickler hat diesen Code offenbar nicht vom ursprünglichen Entwickler kopiert. Vielmehr handelt es sich offenbar um einen relativ häufig genutzten Code, und der Entwickler hat den Code aus einer anderen Source herauskopiert, in dem die Lizenzbedingungen bereits gelöscht waren.
Damit ist der Lizenzbruch vermutlich rechtlich immer noch ein Lizenzbruch. Aber aus dem allseits behaupteten Vorsatz wird dann eben vermutlich eine Fahrlässigkeit.
Leider hetzt eine bestimmte Fraktion aus der „Security und Krypto Szene“ (a.k.a. „Daten-Ayatollahs“) aus grundsätzlichen Gründen, die m.E. einen fanatischen Charakter haben, seit Wochen gegen Luca.
Neben dem Security-by-Design-Argument „Einen Schutz personenbezogener Daten kann es ausschließlich bei einer strikt anonymen Anwendung und bei strikt dezentraler Datenspeicherung geben“ gibt es dann noch das Argument „Freiwilligkeit / Nicht-Diskriminierung“.
Alle drei Argumente kann man führen. Aber alle drei Argumente schließt eine Kontaktpersonennachverfolgung faktisch aus. Fast alles im Leben ist eine Güterabwägung. Wer kategorisch ablehnt, muss mit den Konsequenzen leben, nämlich: Es gibt keine Möglichkeit, zu verhindern, dass die 10-15% Covidioten / Egoisten / Dummen im Fall eines Risikokontakts weiterhin Menschen treffen. Wg. der exponentiellen Entwicklung der Infektion wird damit eine No- oder LowCovidStrategie faktisch unmöglich.
Diese Datenschutz-Ayatollah-Argumente sind Wasser auf die Mühlen der „Datenschutz behindert den Kampf gegen die Pandemie“-Fanatiker auf der andere Seite.
Dann gibt es noch das ideologischen igitt-Argument „die sind doch kommerziell“.
Alles Argumente, die mich nicht überzeugen.
Aber tatsächlich gibt es eine Reihe von Problemen mit der Luca-App. Das kann aber nicht bedeutet, dass man die App, die m.E. im Hinblick auf Datenschutz am ausgeklügelten und in der Entwicklung am weitesten fortgeschritten ist, zu verwerfen. Vielmehr ist das ein Grund, dass der Bund einen Rahmenvertrag mit dem Betreiber abschließen und eine Überwachung etablieren sollte, die genau diese Defizite aus dem Weg räumt.
Die Autorin hat aber bereits früher einen Artikel und der Zeit über die Luca App geschrieben, der von wenig Verständnis der Zusammenhänge, von einer starken Beeinflussung der Datenschutzayatollahs zeugt. Parallel hat Sie sich auf Twitter mit dem CTO, dem CEO sowie dem PR-Verantwortlichen gebattelt - beide Seiten haben sich emotional, ja geradezu infantil geriert. Ganz offenbar ist im Zusammenhang mit ihrer Recherche etwas vorgefallen.
Ich habe mir daher den Artikel mit einer Portion Skepsis angeschaut:
Erstens steht infrage, ob Luca das leisten kann, was viele von der App erwarten, nämlich eine Art Rückkehr zur Normalität.
Dass einige Menschen hoffen, mit solche einer Lösung zurück zur Normalität zu können, ist nachvollziehbar, aber ein Trugschluss. Die Entwickler/Betreiber und Befürworter von Luca (bis auf Smudo) haben aber so etwas m.W. nicht behauptet.
Zweitens kritisieren viele IT-Expertinnen und -Experten die App als unsicher
Die hier zitierten „IT-Expert:innen“ kommen überwiegend aus der von mir erwähnten „Security und Krypto Szene“ (a.k.a. „Daten-Ayatollahs“) inkl. CCC, die kompromisslos auf Anonymität, Dezentralität und Freiwilligkeit bestehen. Siehe oben. Die erwähnten schweizer Experten haben ohne Kenntnis des Sourcecode (Teile davon wurden erst jetzt veröffentlicht) theoretisch am grünen Tisch durchgespielt, was worst case passieren könnte, sofern die Entwickler dagegen keine wirksamen technischen Maßnahmen implementiert haben. Ob diese implementiert sind, haben die 3 Forscherinnen aus Lausanne nicht untersucht. Die Journalistin hat diese Studie dagegen als Schwachstellen-Analyse verstanden, die tatsächlich existierende Schwachstellen aufzeigt. Das ist schlicht falsch.
und weisen darauf hin, dass es bessere Lösungen gebe.
Ich kenne keine sachlich fundierte Kritik, bei der Experten behaupten, es gäbe bessere Lösungen, die als Datenzulieferung für Kontaktpersonnachverfolgung dienen können. Es wird immer auf anonyme Lösungen verwiesen.
Drittens könnte die Funktion, die dieser Tage in die Corona-Warn-App eingebaut werden soll, einer solchen Lösung sehr nahe kommen.
…
Die Corona-Warn-App kann, was Luca kann – und zwar privatsphärefreundlich
Das wird immer wieder behauptet, bleibt aber falsch. Siehe oben.
Und viertens wirft all das die Frage auf, warum die App plötzlich für viel Geld eingekauft wird und das vielerorts ohne öffentliche Ausschreibung, auf die sich auch andere Anbieter hätten bewerben können.
Zeit, Perfektionismus und Bedenken sind die drei besten Freunde des Virus. Wir können es und jetzt einfach nicht leisten, zuzuwarten!
Es gibt ca. 50 Alternative Lösungen. Haben wir die Zeit, die z.B. der Bund brauchen wird, um diese auf Herz- und Nieren zu prüfen. Die meisten von denen flogen bis jetzt unter dem Radar der Security und Krypto Szene" (a.k.a. „Daten-Ayatollahs“).
Das sind fast alles Lösungen, die die Corona-Gästelisten oder die Datenerhebung für eine Kontaktpersonennachverfolgung digitalisieren. Die können nicht anonym sein! Und viele werden mit kommerziellen Absichten entwickelt. Die werden genau durchfallen wie luca.
Die Kapazitäten der Ämter, Kontaktpersonen anzurufen, bleiben allerdings der Flaschenhals.
Ja, das ist richtig. Zum einen würde allerdings Luca ganz massiv dazu beitragen, den Aufwand auf Seiten des Gesundheitsamtes massiv zu senken. Zum anderen: Sollen wir auf Kontaktnachverfolgung verzichten, nur weil Kreise, Kommunen und Städte nicht in der Lage oder willens sind, die Gesundheitsämter endlich richtig auszustatten?