{"id":251651,"date":"2021-04-01T14:02:55","date_gmt":"2021-04-01T12:02:55","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=251651"},"modified":"2021-04-01T15:11:36","modified_gmt":"2021-04-01T13:11:36","slug":"lizenzrger-die-luca-app-und-die-open-source-klippen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/04\/01\/lizenzrger-die-luca-app-und-die-open-source-klippen\/","title":{"rendered":"Lizenzärger: Die Luca-App und die Open Source-Klippen"},"content":{"rendered":"

\"Paragraph\"Die sogenannte Luca-App<\/a> zur Kontaktverfolgung in Corona-Zeiten wird seit Wochen ja medial gehyped – nicht zuletzt wohl, weil Smudo<\/a> von den Fantastischen Vier gut die Werbetrommel r\u00fchrt. Inzwischen habe deutsche Bundesl\u00e4nder ja Millionen Euro f\u00fcr eine Kooperation locker gemacht. Insider waren da eher zur\u00fcckhaltend, ob der vielen Heilsversprechen, die die Protagonisten mit der Luca-App verbanden. Nun ist der Ansatz der Entwickler, den Quellcode der App als Open Source freizugeben, in einem Desaster geendet. <\/p>\n

<\/p>\n

\"\"Die Luca-App soll ja die Orte (Restaurants, Konzerte etc.), wo sich Leute aufgehalten haben, erfassen und an einen zentralen Server melden. Gleichzeitig wird eine Kennung des App-Nutzers an die Betreiber von Einrichtungen, die der Nutzer besucht, gesendet. Idee ist, bei m\u00f6glichen Kontakten mit COVID-19-Infizierten die Kette der Kontaktpersonen schnell nachverfolgen zu k\u00f6nnen. Einige Stimmen von Datenschutzbeauftragten lassen sich in diesem Beitrag<\/a> und hier<\/a> nachlesen. Leute, die genauer nachgeschaut haben, hatten aus Datenschutzsicht dann doch extrem kritische Anmerkungen zur App, wie man beispielsweise bei heise<\/a> oder hier<\/a> nachlesen kann. Kritisiert wurde auch, dass (im Gegensatz zur Corona-Warn-App des RKI) der Quellcode nicht offen gelegt wurde. <\/p>\n

Quellcode als \"Open Source\" offen gelegt?<\/h2>\n

Wohl auf Grund der kritischen Nachfragen und des \u00f6ffentlichen Drucks hatten sich die Macher der App zur (Teil-)Offenlegung des Quellcodes \u00fcberwunden (den Schritt an sich mag ich nicht bewerten). Die Vorgehensweise wirft aber Fragen auf und f\u00fchrte in ein Desaster – wobei ich noch nicht so ganz durchblicke. Als Urheber der App wird von Wikipedia das Berliner IT-Startup neXenio GmbH<\/i>, m.W. nach eine Ausgr\u00fcndung des Hasso Plattner Instituts, angegeben. Als Entwickler der Luca-App wird aber die Culture4Life GmbH genannt. Oliver hatte mich gestern per Mail auf den Hickhack um die Freigabe des Quellcodes der App aufmerksam gemacht (danke daf\u00fcr – aber Terrasse k\u00e4rchern hatte Priorit\u00e4t) – und ich hatte es auf Twitter auch schon gesehen. Ralf Rottmann hat es auf Twitter in einer Reihe von Tweets<\/a> in Kurzform zusammen gefasst. <\/p>\n

<\/a><\/p>\n

Die Macher der App haben zum 30. M\u00e4rz 2020 nun endg\u00fcltig – aber nur leider einen Teil – des Quellcodes der App unter einer Art Open Source-Lizenz freigegeben. Beim ersten Release war sogar eine Lizenz, die nur als Real-Satire zu verstehen war, von den App-Entwicklern f\u00fcr den ver\u00f6ffentlichten Quellcode verwendet worden. Dort durfte man den Quellcode zwar ansehen, aber nichts ver\u00f6ffentlichen oder den Code \u00fcbersetzen, um ggf. was zu testen. Die Kollegen von Golem habe das sch\u00f6n in diesem Artikel<\/a> zusammen getragen und kritisch bewertet. Der Offenlegungsversuch zur Vertrauensbildung ist wohl ziemlich gescheitert. <\/p>\n

Die Open Source-Fallstricke<\/h2>\n

Leute, die sich den Quellcode angesehen haben, wunderten sich dann schon sehr. Die Entwickler haben selbst Open Source-Quellcode-Teile in die App \u00fcbernommen (was meist statthaft ist), sich aber nicht um die Vorgaben f\u00fcr diese \u00dcbernahme gek\u00fcmmert. Wie schreibt Ralf Rottmann in seinem obigen Tweet:<\/p>\n

\n

Pikantes Detail: Das Unternehmen verwendet in seinem kommerziellen Produkt selbst echte Open Source Komponenten Dritter, verletzt deren Lizenzvereinbarungen dabei mutma\u00dflich und entfernt einfach frech die mindestens erforderliche Attribuierung f\u00fcr die auf diese Art \u201egestohlene\" Software. <\/p>\n<\/blockquote>\n

Konkret haben die Entwickler im Quellcode wohl den Copyright-Hinweis des Urhebers als auch die BSD-Lizenz komplett entfernt. Das hat dann nat\u00fcrlich Wellen geschlagen. Die Details lassen sich auf GitHub nachlesen<\/a>, und Golem hat es im Artikel hier<\/a> aufgespie\u00dft. Da baut sich massiv \u00c4rger auf und die App k\u00f6nnte aus den Stores von Apple (und m\u00f6glicherweise Google) fliegen. Auf jeden Fall ist das Ganze in eine ziemliche Schieflage gerutscht. Ich verweise an dieser Stelle mal auf einen uralten Blog-Beitrag Android, als Rechtsrisiko par excellence?<\/a> aus dem Jahr 2011, wo sich Juristen mit dem Thema und den lauernden Fallstricken auseinander gesetzt haben. <\/p>\n

\u00c4hnliche Artikel:<\/strong>
Die (deutsche) Corona Warn-App des RKI<\/a>
Corona-Warn-App: Vorsicht vor Lookalike-Fake-Seiten<\/a>
10 Millionen Downloads der Corona-Warn-App<\/a>
Corona-Warn-App: Erste Benachrichtigungen verschickt<\/a>
Der Bund kl\u00e4rt die 5 Irrt\u00fcmer zur Corona-Warn-App<\/a>
Neues zur Corona-Warn-App (7.7.2020)<\/a>
Sicherheitsl\u00fccke in Corona-Warn-App-Server gefunden<\/a>
Android Corona-Warn-App: Frust, schwerer Bug und Implementierung f\u00fcr F-Droid<\/a>
Corona-Warn-App auf vielen Smartphones gest\u00f6rt (13.1.2021)<\/a>
\u00dcbermittelt die Corona-Warn-App des RKI ungewollt Benutzerdaten an Google?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Die sogenannte Luca-App zur Kontaktverfolgung in Corona-Zeiten wird seit Wochen ja medial gehyped – nicht zuletzt wohl, weil Smudo von den Fantastischen Vier gut die Werbetrommel r\u00fchrt. Inzwischen habe deutsche Bundesl\u00e4nder ja Millionen Euro f\u00fcr eine Kooperation locker gemacht. Insider … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7459],"tags":[4023,3836],"class_list":["post-251651","post","type-post","status-publish","format-standard","hentry","category-software","tag-recht","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/251651","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=251651"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/251651\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=251651"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=251651"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=251651"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}