Luca-App ohne nötige Lizenzen und Urheberechte zusammenkopiert?

Kommunikation

Immer mehr Bundesländer setzen auf die Corona-Warn-App „Luca“. Jetzt haben die Macher der App, das Berliner Start-up Culture4life GmbH, auf Druck von Datenschützern und Programmierern am Dienstag, 30. März 2021, offengelegt, wie das Programm entstanden ist. Dabei kam heraus, dass viele Bestandteile der App einfach aus Open-Source-Quellen zusammenkopiert und mutmaßlich Lizenz- und Urheberechtsverstöße begangen worden sind.

Mit der Luca App können Nutzer ihre Anwesenheit in einem Hotel, Restaurant,  Bar oder jedweder Veranstaltung ganz einfach dokumentieren. Angeblich müssen sich die Nutzer  keine Sorgen machen, was mit ihren Daten passiert, so der Anbieter. Veranstalter und Betreiber können die Daten angeblich nicht auslesen, nur das Gesundheitsamt kann die jeweilige Kontakthistorie anfragen und entschlüsseln. Indes mahnte die Konferenz der unabhängigen Datenschützer von Bund und Ländern an, dass die verschlüsselten Nutzerdaten auf einem Server des Betreibers zentral gespeichert würden. Und die Macher von Luca haben bis dato nicht offengelegt, wie genau die gesammelten individuellen Daten der Nutzer serverseitig verarbeitet werden.

Schon vor Längerem haben Datenschützer und Programmierer die Macher der Luca-App aufgefordert, den Quellcode des Programms offenzulegen. Nachdem die Luca-Programmierer am Dienstag, 30. März 2021 den Quellcode der App offenlegten, entdeckten Experten Lizenzverstöße. Denn die Entwickler haben beim Programmieren der Luca-App offensichtlich geschummelt und viele Bestandteile von Open-Source-Programmmodulen einfach übernommen. Dabei hätten sie verbotenerweise die nötigen Lizenz- und Urheberrechtshinweise auf den fremden Codes entfernt. Hacker der Gruppe "Zerforschung" haben zudem analysiert, dass "Luca" den kopierten Code mit einer eigenen, klar restriktiveren Lizenz veröffentlichte. Zerforschung bezeichnet die Luca-Lizenz als „die schlimmsten Lizenz, die wir seit Langem gelesen haben. Nur Betrachtung, keine Veränderung, keine Mirrors, etc.“. 

Das Team hinter der „Luca“-Initiative setzt sich zusammen aus der neXenio GmbH, einer Ausgründung des Hasso-Plattner-Instituts, und einigen Kulturschaffenden, wie der Band „Die Fantastischen Vier“. U.a. hatte Smudo, der das Projekt mitfinanzierte, „Luca“ stark beworben.

Als Reaktion auf die heftige Kritik passten die Entwickler die Lizenz für den Programmcode auf eine GPLv3 an  und ergänzten die fehlenden Lizenzhinweise bei manchen der Files, so "Zerforschung". Andernfalls hätte der "Luca"-App u.a. der Rauswurf aus dem Apple-App-Store gedroht. Quelle: "Zerforschung" / DMM