Können Sie sich noch an die ganze Zettelwirtschaft letztes Jahr in den Restaurants und Cafés erinnern? Auch bei Veranstaltungen musste jeder Teilnehmer einen Zettel per Hand ausfüllen, der im schlimmsten Fall verloren ging.
Mit Hilfe von so genannten Kontaktnachverfolgungsapps gehört der Papierkram der Vergangenheit an. Nachdem wir die Corona-Warn-App begutachtet hatten, möchten wir auch die in den Fokus gerückte Luca-App in diesem Post betrachten. Wir gehen auf die verschiedenen Aussagen und Stellungnahmen der Aufsichtsbehörden ein.
Inhaltsverzeichnis
Auf den Punkt gebracht: Luca-App
- Die Luca-App dient zur Kontaktnachverfolgung bei Infektionsketten
- Das BayLDA wurde mit der datenschutzrechtlichen Prüfung für die Luca-App beauftragt
- Die DSK äußerte sich ebenfalls zum Einsatz der Luca-App
- In vielen Bundesländern wird die Luca-App flächendeckend genutzt und eingesetzt
- Die Aufsichtsbehörden haben unterschiedliche Meinungen zum Einsatz der App
Was ist die Luca-App und wie funktioniert sie?
Die culture4life GmbH hat das elektronische Kontakterfassungssystem „Luca“ entwickelt.
Die Luca-App funktioniert folgendermaßen:
- Der Veranstalter lässt sich einen QR-Code generieren und hängt diesen z.B. am Eingang aus
- Gäste und Teilnehmer scannen diesen QR-Code beim Betreten mit der installierten Luca-App
- Die Daten werden verschlüsselt erfasst
- Beim Verlassen des Gebäudes / der Veranstaltung checken die Gäste wieder aus
- Im Falle einer Infektionskette werden die Daten dann an das zuständige Gesundheitsamt verschlüsselt weitergeleitet
- Das Gesundheitsamt wiederum kann die Daten mit einem Schlüssel entschlüsseln
Hält die Luca-App den Datenschutz ein?
Kritikpunkte an der Luca-App
In den Medien wurden bereits über (vermeintliche) Sicherheitslücken berichtet. Folgende Mängel wurden von verschiedenen Stellen und IT-Sicherheitsexperten vorgetragen:
- Bei der Teilveröffentlichung des Quellcodes gab es bereits Kritik. Inzwischen ist der Quellcode open-source und kann bei GitLab eingesehen werden.
- Scharfe Kritik erhielt insbesondere die Speicherung der zweifachen Verschlüsselung zentral auf einem Server.
- Der Chaos Computer Club (CCC) prüfte die App und kam zum Ergebnis, dass die App keinen der zehn Prüfsteine zur Beurteilung von „Conact Tracing„-Apps erfüllt. Der CCC forderte einen sofortigen Stopp beim Einsatz der Luca-App.
- Datenschutzbeauftragte der Länder sehen bei der Verwendung der Luca-App die Freiwilligkeit nicht mehr gewahrt, da die Veranstalter nur auf die Luca-App gehen.
- Daneben wurde auch die Barrierefreiheit (z.B. Sprachausgabe für Menschen mit Sehbehinderung) bemängelt.
- Des Weiteren steht auch das Vergabeverfahren der Bundesländer an die Luca-App in der Kritik. Es hätte ein offenes Ausschreibungsverfahren geben müssen. Update November 2021: Das Oberlandesgericht Rostock urteilte, dass die Direktvergabe an das Land Mecklenburg-Vorpommern rechtswidrig und damit unwirksam erfolgte.
Stellungnahmen der Datenschutzbehörden
Nachstehend haben wir die verschiedenen Aussagen der Aufsichtsbehörden über die Luca-App für Sie zusammengestellt:
Hinweis: Von nicht genannten Aufsichtsbehörden konnte bei der Recherche keine Stellungnahme zur Luca-App gefunden werden.
Pro Luca
Contra Luca
LfdI Baden-Württemberg (Feb. 21): Daten und Kontakte werden dezentral auf dem Smartphone gespeichert und dort verschlüsselt. Selbst App Betreiber haben keinen Zugriff auf die Daten. Die App wurde seitens der Behörde geprüft und erfüllt die hohen Datenschutz-Standards. Die ausführliche Stellungnahme kann hier eingesehen werden.
Landesdatenschutzbeauftragter Rheinland-Pfalz (März 21): „Im Ansatz ist Luca in Ordnung, der Hersteller ist auf einem guten Weg“
DSK (April 21): Fortlaufende Verbesserung seitens der Luca-App (Einreichen einer DSFA und eines Arbeitsplan). System weist eine eine tragfähige technische Architektur auf.
BayLDA (Mai 21): Das BayLDA derzeit keinen Anlass, dem Einsatz der Luca-App zu widersprechen oder hier Prüfungsverfahren einzuleiten. Zentrale Architekturstruktur von Luca wird nicht als Datenschutzverstoß eingeordnet. Die derzeitigen Kritikpunkte können durch entsprechende TOMs seitens des App-Anbieters und des Veranstalters vermindert werden.
Landesdatenschutzbeauftragter Rheinland-Pfalz (März 21): Zentrale Datenspeicherung als problematisch bewertet.
Landesdatenschutzbeauftragte Berlin: Alle Gesundheitsämter verfügen über den gleichen Schlüssel zur Entschlüsselung der Daten und können somit die Bewegungsdaten aller Nutzer einsehen.
DSK (April 21): Missbrauch von ausgehängten QR-Codes (es tragen sich viel mehr Leute ein, als eigentlich dort waren) führt zu Überlastung der Gesundheitsämter und Kontaktnachverfolgung. Es können ebenfalls „Fake-Identitäten“ in der App angelegt werden. Des Weiteren sind die ausgehändigten Schlüsselanhänger (als Alternative zur App) und diese Daten ebenfalls zu schützen.
Zwischenfazit
Die Meinung zur Luca-App ist zwiegespalten. Aus den verschiedenen Berichten wird deutlich, dass das Vorgehen der Regierung beim Abschluss der Lizenzverträge mit dem Anbieter nicht im Einklang mit der datenschutzrechtlichen Vorgehensweise (Prüfung, Stellungnahme, Empfehlung) steht. Dennoch wird die Luca-App flächendecken in vielen Bundesländern eingesetzt.
In welchen Bundesländern wird die Luca-App eingesetzt?
Bei meiner Recherche war das gar nicht so einfach herauszufinden. In manchen Bundesländern gab es ein hin und her, bevor man sich für die Luca-App entschied. Nachstehend sind die Bundesländer aufgelistet, in denen die App flächendeckend eingesetzt wird:
- Baden-Württemberg
- Bayern
- Berlin
- Bremen
- Hamburg
- Hessen
- Mecklenburg-Vorpommern
- Schleswig-Holstein
- Saarland
In folgenden Bundesländern wird die Luca-App nur teilweise bzw. nicht flächendeckend genutzt:
- Brandenburg
- Niedersachen (soweit vollständig, nur wenige Landkreise nicht eingeschlossen)
- Nordrhein-Westfalen
- Rheinland-Pfalz
- Sachsen
- Sachsen-Anhalt
- Thüringen
Was muss man beim Einsatz der Luca-App beachten?
Aus Datenschutz-Sicht gibt es einen zentraler Punkt, den es zu beachten gibt: Die Nutzung der App ist weiterhin freiwillig! Die Freiwilligkeit wird auch von den Datenschutzbeauftragten auch immer wieder kritisiert.
Das Bayerische Staatsministerium für Digitales erläutert in einem kurzen FAQ, dass man sich beispielsweise auch alternativ über ein Kontaktformular oder über einen Schlüsselanhänger mit QR-Code bei der Veranstaltung registrieren lassen kann. Diese Alternativen müssen den Gast zur Verfügung gestellt werden! Ein Ausschluss aus der Veranstaltung bei Nichtverwendung der App ist nicht zulässig.
Was ist mit der Corona-Warn-App? Dort gibt es doch auch ein Tagebuch zur Kontaktnachverfolgung?
Diese Frage haben wir uns auch gestellt. Die Corona-Warn-App hat die Funktion mit einem Update zugefügt, jedoch wäre es auch möglich, dort die besuchten Orten und Kontakte einzupflegen.
Die DSK empfiehlt ebenfalls die neuen Funktionen der CWA zu nutzen und sich nicht nur auf ein System zu verlassen. Auch wenn bei der CWA keine Daten an die Gesundheitsämter übermittelt werden, so können durch die Nutzung der CWA Infektionscluster erkannt und auch entsprechende Maßnahmen erlassen werden.
Die bayerische Regierung äußert sich wie folgt zu dieser Fragestellung:
Die CWA und Systeme der Gästeregistrierung ergänzen sich bei dem Ziel einer wirksamen Pandemiebekämpfung und sollten parallel genutzt werden. Sie bleibt ein wichtiges Mittel im Kampf gegen Corona. Apps, wie Luca, hingegen, dienen der persönliche An- und Abmeldung, etwa in einem Geschäft, in der Gastronomie oder bei einer Veranstaltung. Beim Auftreten eines Corona-Falles können so weitere Besucherinnen und Besucher schnell durch die Gesundheitsämter informiert werden.
Bayerisches Staatsministerium für Digitales, Kontaktnachverfolgungs-App, FAQs – die wichtigsten Fragen rund um die App; Kontaktnachverfolgungs-App | Staatsministerium für Digitales (bayern.de)
Weiterhin gibt die Regierung im FAQ an, dass die Corona-Warn-App der anonymen Warnung dient, insbesondere wenn Orte besucht wurden – ohne eine Registrierungspflicht. Alle Beteiligten bleiben bei Nutzung der Corona-Warn-App anonym. Wir haben uns ebenfalls mit der Funktion und vor allem den getroffenen Sicherheitsmaßnahmen der Corona-Warn-App in einem separaten Blogartikel auseinandergesetzt.
Gibt es Alternativen zur Luca-App?
Ja, es gibt Alternativen zu Luca. Inwieweit diese aus Datenschutzsicht sicher sind, können wir hier in diesem Artikel nicht beurteilen.
Thüringen hat sich Ende März gegen den Einsatz von Luca bewusst entschieden und setzt auf eine digitale Schnittstelle, die im Juni einsatzbereit sein soll.
Die Initiative „Wir für Digitalisierung“ bietet ebenfalls eine digitale Lösung zur Kontaktnachverfolgung an.
Braucht man zukünftig mehrere Apps zur Kontaktnachverfolgung?
Da die Nutzung von Luca nicht verpflichtend sein darf, läuft es wohl darauf hinaus, dass man sich mehrere Apps herunterladen muss.
Aktuelles Beispiel: Am Pfingstmontag machten wir einen Ausflug in den Zoo und führten einen Schnelltest vor Ort durch. Vom Testanbieter stand die App „placelogg“ zur Verfügung, in welcher dann das Testergebnis gespeichert wird. Alternativ konnte man sich mit einem Zettel registrieren und das Ergebnis mittels verschlüsselter E-Mail erhalten.
Fazit
Es ist durchaus sinnvoll und angebracht, digitale Kontaktnachverfolgungssysteme anzubieten und auch zu nutzen anstatt auf die Papieralternative umzusteigen.
Da bereits viele Bundesländer und daher auch die Regierungen selbst die Verträge mit Luca geschlossen haben, ist der Einsatz daher aus unserer Sicht möglich. Insbesondere die Stellungnahme des BayLDA und des LfDI Baden-Württemberg helfen uns Datenschutzbeauftragten bei der Beratung und Einschätzung.
Trotz allem ist es aus unserer Sicht nicht nachvollziehbar, warum man hier teilweise flächendeckend auf eine neue App eines privaten Anbieters setzt, wenn die Corona-Warn-App direkt durch den Bund in Auftrag gegeben wurde.
Haben Sie bereits Erfahrungen mit der Luca-App gemacht? Gerne können Sie uns diese in die Kommentare schreiben.
Update 21.05.2021: Stellungnahme zur datenschutzrechtlichen Verantwortlichkeit bei der Luca-App
Die DSK nimmt Stellung zur datenschutzrechtlichen Verantwortlichkeit zum Einsatz der Luca-App. Sofern keine landesspezifischen Regelungen zur Verantwortlichkeit getroffen werden, hält die DSK den Abschluss eines Auftragsverarbeitungsverarbeitungsvertrag oder die Vereinbarung über die gemeinsame Verantwortlichkeit für möglich und zulässig. Folgende Mechanismen sind insbesondere im Vertrag zu regeln:
- zur effektiven Durchsetzung von Betroffenenrechten z. B. durch Festlegung konkreter Ansprechpartner
- zur Haftung der Beteiligten und
- zur Erfüllung der Meldepflicht nach Art. 33 DS-GVO und Durchführung einer Datenschutzfolgenabschätzung
Das bedeutet, dass die Luca-App im Verfahrensverzeichnis einzutragen ist und ein AV-Vertrag oder die Vereinbarung über die gemeinsame Verantwortlichkeit mit den Anbietern der Luca-App zu schließen.
Update 26.05.2021: Luca-App weist Sicherheitslücken auf
Kaum haben wir den Post veröffentlicht, berichtet der Spiegel, dass man über (bereits bekannte) Sicherheitslücken wohl die Möglichkeit hat, die angeschlossenen Gesundheitsämter lahmzulegen.
In einem YouTube-Video demonstriert der IT-Experte Markus Mengst die Vorgehensweise und kann letztendlich auf die personenbezogenen Daten (Name, Telefonnummer, Anschriften und E-Mail-Adressen) zugreifen.
Ihm war es auch gelungen, einen Verschlüsselungstrojaner in das System des Gesundheitsamtes einzuschließen. Dadurch hätte er die Möglichkeit, sämtliche Daten im Amt zu verschlüsseln und gegen eine Forderung wieder zu entschlüsseln.
Die Entwickler von Luca teilten mit, dass sie selbst erst durch die Medien auf die Sicherheitslücke hingewiesen wurden. Das vorgetragene Problem sei aber nicht als Sicherheitslücke anzusehen, sondern resultiert aus einem potentiellen Missbrauch des Luca-Systems.
Es bleibt also weiterhin spannend!
Hallo, ich möchte für meine Lern-Community eine eigene Plattform anlegen. Ähnlich wie ein Forum, nur moderner im Aufbau. Mir gefällt der Anbieter circle.so. Der Server befindet sich allerdings in USA.
Andreas Paersch meinte, USA wäre datenschutzrechtlich zu kritisch…
Meine Frage wäre jetzt, gibt es nicht eine entsprechende Formulierung in der Datenschutzverordnung, die mich da absichern kann? Ich nutze auch Zoom und Mailchimp. irgendwie geht es ja kaum ohne US-Anbieter.
Würde mich über eine Info freuen.
Liebe Grüße
Susanne Deutrich
Hallo Susanne,
grundsätzlich hat Andreas schon recht, dass die Systeme in den USA kritisch sind, weil es ein paar Gesetze in den USA gibt, die sich nicht mit unserer Rechtslage vereinbaren lassen. Auf der anderen Seite kann man auch zusätzliche Maßnahmen implementieren oder mit zusätzlichen Garantien sicherstellen, dass die Daten der Betroffenen adäquat geschützt sind. Welche Möglichkeiten es da bei circle.so gibt, kann ich Ad hoc nicht sagen. Da müssten wir uns tatsächlich das System mal in Ruhe ansehen.
Kennst du unseren Artikel, in dem wir verschiedene Dienstleister / Systemanbieter bewerten? Wenn du dir das als Grundlage heranziehst und die selben Punkte bei circle recherchierst bekommst du schon einen ganz guten 1. Eindruck.
Viele Grüße
Regina
Wird die Luca-App immer noch benutzt. Ich kann mir vorstellen, dass es mehr Menschen gibt, die ffp2 Maske kaufen. Mich würde es auch interessieren, ob die DSK am Ende einen Auftragsverarbeitungsverarbeitungsvertrag abgeschlossen hat.
Hallo Annika,
vielen Dank für den Kommentar!
Luca selbst hat zum 16.05.2023 folgendes auf der eigenen Webseite mitgeteilt: „Wir haben einen klaren Plan davon, wohin die Reise mit luca gehen wird: Unser Ziel ist es, luca nachhaltig einem breiten Publikum zur Verfügung zu stellen. Wir bauen luca zur #1-Plattform für unser alltägliches Leben aus. Und starten da, wo wir angefangen haben: in der Gastronomie.“
Die App existiert noch und wird auch weiterentwickelt.
De Auftragsverarbeitungsvertrag wird im luca Locations Profil bereitgestellt. Ob die DSK selbst einen AV-Vertrag geschlossen hat, kann ich nicht beurteilen 🙂
Viele Grüße,
Jasmin