stümperhafter Einkauf

25. April 2021

Ralf Rottmann („@falf“ ist ehemaliger Tech-Startup-Gründer, Angel Investor und hat eine Leidenschaft für netzpolitische Themen. Es ist ein vehementer Kritiker von Luca und betreibt auf luca.denken.io eine Übersicht der Nutzung durch die Gesundheitsämter. Er wirft in einem Gastbeitrag auf netzpolitk.org den Bundesländern stümperhaften Einkauf vor.

Die meisten Bundesländer haben bereits Verträge mit Luca unterschrieben. Ralf Rottmann fragt, warum sie für eine Jahreslizenz der App bereits vorab und pauschal Millionen von Euro an das junge Unternehmen zahlen – statt auf nutzungsabhängige Preismodelle zu bestehen, wie sie in der Branche üblich sind.

Dank kräftiger Werbung durch den prominenten Investor Smudo konnte das frisch gegründete Start-up culture4life binnen wenigen Monaten über 20 Millionen Euro an Steuergeldern von unterschiedlichen Bundesländern einsammeln.

Zu Beginn dieser Woche versandte die culture4life GmbH einen elektronischen Rundbrief. Dafür nutzten die Luca-Macher den US-amerikanischen Dienst Mailjet. Bis zu 6.000 E-Mails pro Monat kosten dort nichts. Bis zu 30.000 gibt es ab 8 Euro im Monat.

Beim Einkauf von IT-Dienstleistungen setzt Luca konsequent auf nutzungsabhängige Preismodelle, die entlang der Strategie des „pay as you grow“ als Software-as-a-Service (SaaS) bezeichnet werden. Die Kundin wird erst dann zur Kasse gebeten, wenn der Service auch wirklich nennenswert genutzt wird.

Umso verwunderlicher ist es, dass Luca die Vorteile aus dem eigenen, bedarfsgerechten Einkauf von Ressourcen und Dienstleistungen nicht an die Steuerzahler weitergibt. Nicht nur verwunderlich, sondern in höchstem Maße ärgerlich ist, dass die Einkäufer in den Bundesländern dieses Modell nicht hart eingefordert haben.

Die Sorglosigkeit, mit der Steuergelder in der Causa Luca zum Kauf von Lizenzen verwendet werden, erklärt die immer lauter werdenden Zweifel an der Einhaltung von Vergaberichtlinien.

SaaS-Modelle sind beim Einkauf von IT-Diensten inzwischen aus gutem Grund Standard:

Nutzungsabhängige Preismodelle verteilen das Risiko gleichermaßen auf Verkäuferin und Käufer. Ist der Käufer mit einem Dienst erfolgreich, partizipiert auch der Verkäufer anteilig. Bleibt der Service, zum Beispiel mangels Qualität, aufgrund gravierender Sicherheitsprobleme, bei fehlendem tatsächlichem Nutzen oder einfach nur aufgrund einer Fehleinschätzung eines Marktes weitestgehend ungenutzt, stehen dem keine hohen Vorabinvestitionen auf Käuferseite gegenüber. Das Start-up Luca hat jedoch das gesamte Investitionsrisiko einseitig auf die Steuerzahler verteilt. Das bedeutet auch: Je weniger Luca sich durchsetzt, umso höher der Profit für die Investoren, weil sie umso weniger tatsächliche Leistung erbringen und einkaufen müssen.

Zum guten Ton in jeder Einkaufsverhandlung gehört es, nach direkten Kontakten zu Referenzkunden zu fragen. Doch gerade junge Start-ups können oft keine lange Liste erfolgreicher Projekte aus der Vergangenheit vorweisen. Kauft man also die sprichwörtliche „Katze im Sack“, versteht es sich nahezu von selbst, dazu nicht auch noch übermäßig in Vorleistung zu gehen. Verständlich, dass Luca keine Erfahrungswerte ins Feld führen kann. Unverständlich, dass man dem Vertriebsteam vollständig blind und in vorauseilendem Gehorsam folgt.

Nutzungsabhängige Preismodelle unterstreichen das Vertrauen des Anbieters in die eigene Lösung. Verkäufer, die ihre Lizenzen gerne vollständig im Voraus bezahlen lassen, lösen bei geübten Einkäufern Alarmsirenen aus. Wer unabhängig vom tatsächlichen Nachweis des Wertes eines angebotenen Dienstes zügig und schnell Kasse machen will, glaubt wahrscheinlich selbst nicht an die Versprechen auf den eigenen PowerPoint-Folien. Zum guten Ton gehören in solchen Fällen dann zumindest längere Erprobungszeiträume, für die keine hohen Kosten anfallen. Von Luca sind öffentlich keinerlei Vereinbarungen zu kostenlosen Testphasen für die einkaufenden Bundesländer bekannt. Das Unternehmen kassiert anscheinend gern zügig per Vorkasse ohne Skonto.

SaaS zwingt den Anbieter zur transparenten Dokumentation der tatsächlichen Nutzung. Hängt der wirtschaftliche Erfolg des Verkäufers direkt am messbaren Mehrwert der geschaffenen Lösung, ist dieser intrinsisch motiviert, über die Nutzung kontinuierlich Auskunft zu erteilen. Alle IT-Systeme – auch solche, die vorgeben, Ende-zu-Ende-Verschlüsselung umzusetzen – liefern dazu verwendbare Metriken. Während die Schnittstellen des Luca-Systems eine verschwindend geringe Nutzung durch die Gesundheitsämter vermuten lassen (der Autor scraped diese Metriken von den Luca-APIs und tabelliert sie hier), hält sich der Anbieter selbst bedeckt. Fragen zu Anzahl der Check-ins, Anzahl und Verteilung von Kontaktverfolgungsanfragen und deren jeweiligem Erfolg oder nach der tatsächlich messbaren Effizienzsteigerung bei den Gesundheitsämtern beantwortet Luca nicht. Das wirft die Frage auf: Was gibt es zu verbergen?

In den 80er und 90er Jahren hörte man als Argument für vorab zu bezahlende Unternehmenslizenzen vom Verkauf häufig, damit würden anteilig die hohen Anfangsinvestitionen abgegolten. Selbst wenn man Luca eine geringfügige Vorleistung zugesteht – an Luca arbeiteten in dem 2020 gegründete Unternehmen nach eigenen Angaben erst seit einigen Wochen mehr als ein Dutzend Entwickler:innen – rechtfertigen sie in keiner Weise die steuerfinanzierte Investition nördlich der 20 Millionen Euro. Gleichzeitig macht das Luca-System bei unabhängigen Prüfungen und im Testbetrieb bei weitem nicht den Eindruck, bereits fertig zu sein.

Von Luca selbst ist bekannt, dass Vorleistungen konsequent in elastischen Preismodellen eingekauft werden. Dank des stümperhaften IT-Einkaufs durch einige Bundesländer wird das Geschäft für Luca also genau dann besonders profitabel, wenn es tatsächlich kaum jemand nutzt. In zahlreichen Bundesländern ist das Kind bereits in den Brunnen gefallen. Kaufen weitere Bundesländer Luca nutzungsunabhängig ein, darf man das durchaus als fahrlässig bezeichnen.


Ein Beitrag auf Netzpolitik.org – Creative Commons BY-NC-SA 4.0.

 

Luca

12. März 2021

Während Deutschland die Öffnung von Läden und Restaurants plant, drängen Politiker:innen auf eine einheitliche Lösung für die Corona-Kontaktverfolgung. Die Check-In-App Luca bietet eine solche Lösung, doch Kritiker:innen fürchten, sie lenke vor allem von der Realität ab. 

Was Gäste bisher in Papierlisten eintragen, soll nun eine App verschlüsselt ans Gesundheitsamt übermitteln. – Alle Rechte vorbehalten Luca / culture4life GmbH

Es klingt verlockend, was Smudo da vergangene Woche in der Talkshow von Anne Will erzählte: Statt ein ganzes Land im Lockdown gefangen zu halten, sollen wir bald alle wieder in Konzerte gehen können, ins Restaurants oder ins Stadion. Möglich machen soll das eine App, die der Rapper von den Fantastischen Vier mit entwickelt hat. Sie heißt Luca und soll die Papierlisten ersetzen, mit der Gastronomen und Veranstalter derzeit den Auflagen für die Kontaktverfolgung nachkommen.

Das Prinzip von Luca: Nutzer:innen können sich in der App mit Namen und Kontaktdaten registriert. Betreten sie anschließend einen Ort, können sie dort das Handy zücken und einen QR-Code scannen lassen. Ihre Daten werden danach verschlüsselt gespeichert. Wird eine Person später positiv getestet, ruft das Gesundheitsamt an und bittet sie um die Freigabe der Kontakthistorie auf ihrem Telefon. Es bekommt eine Liste aller Orte, die diese Person in den vergangenen 14 Tagen besucht hat und kann dort wiederum die verschlüsselten Gästelisten von den Betreibern anfordern. Wer zur gleichen Zeit dort war, bekommt eine SMS mit der Anweisung, sich sofort zu isolieren. Das Ganze kann binnen Stunden passieren statt wie bisher mit tagelanger Verspätung.

Statt Stift und Papier

Luca löst damit im Grunde ein Problem, das die Politik bereits vor fast einem Jahr geschaffen hat. Seit dem Frühjahr verpflichten die Corona-Verordnungen der Bundesländer die Betreiber von Restaurants und Veranstaltungen, persönliche Daten ihrer Gäste zu sammeln, damit die Gesundheitsämter im Fall einer Covid-19-Infektion weitere Kontaktpersonen identifizieren können.

Das Ergebnis waren die berüchtigten Corona-Gästelisten. Aus Datenschutzperspektive ein Desaster, weil nicht nur die Veranstalter selbst, sondern auch nachfolgende Gäste Telefonnummern und Namen einsehen können. Laut Spiegel verzeichneten die Landesdatenschutzbeauftragten mehr als 730 Beschwerden dazu allein im vergangenen Sommer und Herbst.

Luca ist nicht die einzige so genannte Check-In-App, mit der sich digitale Gästelisten führen lassen. Sie scheint aber derzeit diejenige zu sein, die am besten auf die Bedürfnisse der Gesundheitsämter zugeschnitten ist. Tatsächlich sei Luca vor allem eine Software für die Gesundheitsämter, sagt Patrick Hennig. Seine Firma NeXenio hat die App gemeinsam mit Smudo entwickelt und habe von Beginn an viele Gespräche mit den Ämtern geführt. Auf Sylt wird Luca bereits erprobt. Auch das Gesundheitsamt in Jena testet die Software schon länger in einem Modellbetrieb.

Mit Hilfe von Luca, sagt Hennig, könnten die Ämter vor allem Zeit sparen. Das System ist über eine Schnittstelle mit dem Programm SORMAS verbunden, das viele Ämter bereits zur Kontaktverfolgung nutzen. Statt stundenlang Papierlisten abzutippen und anschließend die Personen abzutelefonieren, reichten wenige Klicks, um alle Risikokontakte auf den Bildschirm zu bekommen und über ihre Telefonnummer zu benachrichtigen.

Oberste Amtsärztin plädiert für Luca

Dass ein Startup die Vorzüge seines eigenen Produktes lobt, ist zu erwarten. Doch die Macher von Luca begeistern inzwischen nicht nur Politiker:innen wie NRW-Ministerpräsidenten Armin Laschet, der bereits Ende Februar für die App warb. Sie konnten auch Deutschlands oberste Amtsärztin Ute Teichert für sich gewinnen. „Was ich gesehen habe, ist faszinierend“, sagt Teichert. „Es ist rasend schnell und erleichtert die Arbeit enorm.“ Im Gesundheitsamt Jena, wo Luca bereits seit vergangenem Jahr erprobt wird, sei man begeistert. Wenn es jetzt darum gehe, Menschen schneller in Quarantäne zu bekommen, sei Luca ein Segen.

32 der 375 Ämter in Deutschland arbeiten bereits mit Luca. Allerdings haben die wenigsten davon die Software bislang tatsächlich im Einsatz erprobt. Noch sind Restaurants, Kinos und die meisten weiteren möglichen Einsatzorte schließlich geschlossen. In Sylt warte man nun auf die Lockerungen, sagt Teichert, um das System zu testen, 90 Prozent aller Orte auf der Insel seien bereits registriert. An anderen Stellen sei man weniger geneigt. In Rheinland-Pfalz wurde gerade ein Versuch mit Luca abgesagt – weil die Ämter nicht mitmachen wollten.

Teichert sieht die App und die SMS-Benachrichtigungen nicht als Ersatz für die Anrufe des Gesundheitsamtes. Aber: „Im Moment muss ich alle anrufen. Währenddessen rennen die Leute herum und stecken andere an.“ Mit Luca könne man nicht nur schneller eine erste Warnung abschicken, es seien auch alle Kontaktdaten schneller auf dem Bildschirm. Das beschleunige das gesamte Verfahren.

Seit Smudo bei Anne Will saß, ist ein regelrechter Hype um die App entstanden – nicht zuletzt befeuert von Politiker:innen, die in Luca eine Lösung sehen. Diverse Datenschutzbeauftragte hatten sie zuvor schon abgesegnet.

Kritik von Datenschützer:innen

Doch es gibt noch ein Problem: Bislang ist der Quellcode der App nicht offen zugänglich. Die Macher haben lediglich ein Sicherheitskonzept im Netz veröffentlicht. Ob sie die hohen Sicherheitsstandards, von denen sie sprechen, auch tatsächlich einhalten, lässt sich so von außen nicht überprüfen. Für eine App, die sensible Bewegungs- und Gesundheitsdaten verwalten will, reiche das nicht aus, sagen Kritiker:innen.

So schrieb die Bundestagsabgeordnete Anke Domscheit-Berg (Linke) auf Twitter, die App sei „intransparent“. „Für mich ist damit keine Vertrauenswürdigkeit in die Luca-App gegeben.“ Sie forderte, alle Informationen zur Verschlüsselung und den Komponenten offen zu legen. Auch der SPD-nahe Verein D64 hatte diese Forderung an eine bundesweite Check-in-App gestellt. Mitglieder des Chaos Computer Clubs wollten keine Aussage zur Sicherheit der App abgeben, so lange der Code nicht öffentlich sei.

Laut Patrick Hennig seien bisher vor allem laufende Patentverfahren ein Hindernis gewesen, um den Quellcode der App zu öffnen. Zu den Forderungen, öffentlich finanzierte Software solle auch öffentlich zugänglich sein, sagte er gegenüber netzpolitik.org: „Der Code gehört ja nicht dem Staat, wir haben das selber gemacht und finanziert.“ Mittlerweile scheinen sich die Macher:innen von Luca dem Druck gebeugt zu haben: Gestern Abend gaben sie bekannt, der Quellcode von App und Backend werde bis Ende März veröffentlicht.

Ablenkungsmanöver der Großen Koalition

Damit wäre zumindest einer der Kritikpunkte ausgeräumt. Sicherheitslücken, wie sie jetzt schon in Luca gefunden wurden, könnten dann von vielen Augenpaaren entdeckt werden. Das Prinzip hatte sich schon bei der Corona-Warn-App bewährt.

Die Kritik an Luca beschränkt sich jedoch nicht auf mangelnde Transparenz. Viele glauben, die App sei vor allem eine Nebelkerze, ein Ablenkungsmanöver von Politiker:innen, die trotz der beginnenden dritten Infektionswelle Läden und Restaurants wieder öffnen wollen. „Man kann die Pandemie nicht mit einer App lösen“, sagt Anke Domscheit-Berg. Der Jurist Malte Engeler schreibt auf Twitter, das Problem lege weder bei der Macher:innen von Luca noch in der App selbst, es sei vor allem die mangelnde Ausstattung der Gesundheitsämter, die eine Kontaktverfolgung unmöglich macht.

Auch Ute Teichert betont, mit Luca allein sei es nicht getan: „Wir sind mitten in der Pandemie, die Zahlen werden wieder steigen. Luca funktioniert, das kann man einsetzen und so Zeit gewinnen.“ Trotzdem müsse mehr getan werden, um die Gesundheitsämter besser auszustatten. Eigentlich sollten laut dem im Juni beschlossenen „Pakt für den öffentlichen Gesundheitsdienst“ auch 5.000 neuen Stellen geschaffen werden, das laufe bislang schleppend. Was funktioniere, sei die Verteilung der darin vorgesehenen 800 Millionen Euro für Digitalisierung. Daraus hätten die Ämter nun mehr Gelder für die Ausstattung bekommen.

Bislang kostet der Einsatz von Luca die Ämter nichts, Mecklenburg-Vorpommern ist die Ausnahme. Die Einführung und Betreuung übernimmt die Bundesdruckerei, die an Luca beteiligt ist. Auf Dauer müsse das aber natürlich auch Geld bringen, sagt Entwickler Patrick Hennig. Ob nun alle weiteren Bundesländer Lizenzen erwerben oder auch einzelne Städte und Landkreise das tun können, ist unklar.

Warum nicht die Corona-Warn-App?

Einige fragen sich nun, warum es noch eine App braucht, wo Deutschland doch bereits eine offizielle Corona-Warn-App hat. In England hat etwa die Corona-Warn-App eine Check-In-Funktion, Nutzer:innen können sich mir ihr in Orte anmelden und werden später über mögliche Infektionsrisiken gewarnt. In Deutschland hatten Expert:innen diese „Clustererkennung“ seit langem gefordert, sie soll laut Bundesgesundheitsministerium nach Ostern kommen.

Die Corona-Warn-App bleibt aber weiter anonym, sie kann also nicht die Namen und Kontaktdaten sammeln, die Check-In-Apps wie Luca an das Gesundheitsamt übermitteln. Einige Stimmen hatten davor gewarnt, die Funktionen zu vermischen. Sonst entstünden womöglich offene Fragen über die Pseudonymität der Nutzer:innen der Corona-Warn-App, sagte der Bundesdatenschutzbeauftragte Ulrich Kelber. Stattdessen spreche nichts dagegen, auch zwei oder drei datenschutzkonforme Apps zur Pandemiebekämpfung zu verwenden.


ein Beitrag von Chris Köver gefunden auf Netzpolitk.org Creative Commons BY-NC-SA 4.0.