Die luca-App der culture4life GmbH

von (Kommentare: 0)

In Zeiten der Corona Pandemie ist eine effektive Kontaktnachverfolgung unerlässlich. Die luca-App des Unternehmens culture4life GmbH steht in diesem Zusammenhang seit geraumer Zeit im Mittelpunkt des Interesses. Sie bietet eine digitale Lösung zur Verarbeitung von Kontaktdaten an und fokussiert sich dabei gezielt auf den Veranstaltungsbereich. Seit ihrem Start fungiert die App als Hoffnungsträger für zeitnahe Öffnungen in Handel, Kultur und Gastronomie.

Die Bewegungsmuster der Nutzer der luca-App werden verschlüsselt erfasst und bei einer Infektion mit dem Coronavirus dem zuständigen Gesundheitsamt gemeldet. Das Ein- und Ausloggen im System von „luca“ erfolgt über QR Codes. Damit erleichtert die App die Ermittlung von Kontakten der Personen, die mit dem Coronavirus infiziert sind und stellt gleichzeitig sicher das die Kontakte von Infizierten über eine mögliche Ansteckung informiert werden.

Konkurrenz zur Corona-Warn-App

Die luca-App steht in Konkurrenz zur Corona-Warn-App der Bundesregierung. Beide Apps verfolgen das Ziel Infektionsketten zu unterbrechen, indem sie vor Risikokontakten warnen. Bei der Vorgehensweise bedienen sich die beiden App-Anwendungen verschiedener Einflussfaktoren. Im Unterschied zur Corona-Warn-App werden bei der luca-App nicht die Kontakte mit anderen App-Nutzern erfasst, sondern Besuche in Locations. Damit sollen Infektions-Hotspots erkannt werden. Bemerkenswert ist, dass die Corona-Warn-App bezüglich der Erkennung von Hotspots jüngst nachgezogen hat. Durch ein aktuelles Update ist diese funktionelle Erweiterung in der Corona-Warn-App seit dem 29.04.2021 verankert.

Datenschutz bei der luca-App

Damit die luca-App landesweit erfolgreich genutzt werden kann, muss Sie praxistauglich sein. Hierzu gehört, dass Sie die Vorgaben der europäischen Datenschutzgrundverordnung (EU-DSGVO) erfüllt. Der Schutz der personenbezogenen Daten der Nutzer muss dabei sichergestellt werden.

Die Mehrzahl der Bundesländer hat vertragliche Vereinbarungen mit dem Dienstanbieter culture4life GmbH abgeschlossen. Damit ist das Kontaktnachverfolgungssystem „luca“  Gegenstand von Untersuchungen verschiedener Datenschutzaufsichtsbehörden.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat inzwischen zwei Stellungnahmen (am 26.03.2021 und am 29.04.2021) zum Datenschutz bei der luca-App veröffentlicht. Die DSK stellt dabei in ihrer aktuellen Stellungnahme vom April zunächst positiv fest, dass die culture4life GmbH mit ihrem luca-System eine tragfähige Konzeption anbietet. Allerdings sieht sie trotzdem auch noch Handlungsbedarf und fordert weitere technische Schutzmaßnahmen ein.

Bei den durchgängig verschlüsselten Kontaktdaten ist im Zuge des vorgesehenen weit verbreiteten Einsatzes der App eine erhöhte Wahrscheinlichkeit einer missbräuchlichen Nutzung gegeben. So besteht die Möglichkeit bei der Anmeldung zur luca- App als Nutzer eine Fake Identität zu verwenden, was aufgrund automatisierter Angriffe zu einem erhöhten Missbrauchsrisiko führt. Dies kann z. B. dazu führen, dass eine dritte Person missbräuchlich in das System von „luca“ eingetragen wird und von einem Gesundheitsamt verpflichtet wird, sich in Quarantäne zu begeben, obwohl es zu keinerlei Kontakt mit einer mit dem Corona Virus infizierten Person gekommen ist. Die extra für dieses mögliche Szenario installierte Rufnummernüberprüfung ist für technisch affine Angreifer zu umgehen. Eine Belästigung dritter Personen, die über eine SMS einen Bestätigungscode erhalten, ist dann die Folge.

Zusätzlich besteht das Risiko, das es bei Aushang ausgedruckter QR-Codes durch Veranstalter zur zahlreichen missbräuchlichen Vornahme von Eintragungen in das luca- System kommen kann. In diesem Fall werden dann Personen erfasst, die sich an dem angegeben Ort gar nicht aufgehalten haben. Die Gesundheitsämter erhalten dann Daten, die für die Kontaktnachverfolgung nutzlos sind. Der datenschutzrechtliche Grundsatz der Zweckbindung ist dann bei der Datenverarbeitung nicht mehr vollständig umsetzbar.  

Die zentrale Datenerfassung in dem luca-System löst laut der DSK Grundrisiken aus. Der zum Einsatz kommende zweistufige Verschlüsselungsmechanismus schafft hier keine vollständige Abhilfe. Nach Stand vom April 2021 kann ein qualifizierter Angriff auf das zentrale luca-System die Folge haben, dass es zu einer Manipulation kommt und schlimmstenfalls personenbezogene Daten über die Teilnahme von Betroffenen bei Veranstaltungen entschlüsselt werden können.

Baden-Württemberg als Befürworter von luca

Der Landesbeauftragte für Datenschutz in Baden-Württemberg, Herr Dr. Stefan Brink, hat bereits in seiner Stellungnahme vom 02.03.2021 festgehalten, dass die luca-App beim Datenschutz deutlich mehr Vorteile als Nachteile mitbringt. Er hebt positiv hervor, dass die Dokumentation der Nutzerdaten verschlüsselt erfolgt und jeder Nutzer der luca-App selbst entscheiden kann, ob und mit wem er seine sensiblen personenbezogenen Daten teilen möchte. Das wichtige und zentrale Kriterium der Freiwilligkeit ist nach seiner Einschätzung erfüllt. Freiwilligkeit fördert eine hohe Kooperationsbereitschaft und vermindert das Risiko der Diskriminierung bei der Teilnahme am gesellschaftlichen Leben.

Die auch mit weiterhin kritischen Hinweisen versehene Ansicht der DSK aus deren Stellungnahme vom 29.04.2021 teilt Hr. Dr. Brink offensichtlich nicht. Als einziges Bundesland hat sich Baden-Württemberg bei dem Beschluss der Stellungnahme enthalten.  

Baden-Württemberg setzt mit voller Überzeugung auf die luca-App. Für den landesweiten Einsatz der App sind frühzeitig Lizenzen geordert worden. Viele Gesundheitsämter haben daraufhin mit der Einführung begonnen. Dazu wurden Pilotprojekte gestartet, um wertvolle Erfahrungen mit der App zu sammeln und damit die Einführung der App optimal vorzubereiten. Basierend auf dem Nutzungsvertrag mit der culture4life GmbH haben die jeweiligen Unternehmen einen Vertrag zur Auftragsverarbeitung nach Art. 28 EU-DSGVO abgeschlossen. Seit dem 05.05.2021 sind nun alle 38 Gesundheitsämter in Baden-Württemberg mit der luca-App verbunden.

Grundsatz der Zweckbindung

Die luca-App wird weiterhin von verschiedener Seite kritisiert. Nachdem sich zunächst der Chaos Computer Club kritisch geäußert hatte, warnen nun auch Sicherheitsexperten von Universitäten und Forschungsinstituten vor möglichen Risiken der luca-App. Sie bemängeln die fehlende Sicherheit der Kontaktdaten und sehen die Prinzipien des Datenschutzes als nicht gewahrt an. Diese datenschutzrechtlichen Grundsätze nach Art. 5 der EU-DSGVO wie Transparenz und Zweckbindung sind auch in Zeiten einer Pandemie verbindlich. Im Besonderen fehle es bei der luca-App an der technischen Zweckbindung.

Datenschutzfolgeabschätzung

Die culuture4life GmbH hat stetig ihr Bestreben nach der Sicherstellung der Datenschutzkonformität ihrer luca- App verdeutlich und auch mit entsprechendem Handeln   untermauert. Hierfür hat sie frühzeitig einige Aufsichtsbehörden um ihre Einschätzung gebeten. Zuletzt hat sie eine Datenschutzfolgenabschätzung nach Art. 35 der EU-DSGVO durchgeführt. Mit Hilfe dieser Dokumentation und einem Arbeitsplan strebt die culture4life GmbH das Erreichen weiterer Abhilfemaßnahmen an.

Zu den erforderlichen Abhilfemaßnahmen gehört laut der DSK z. B. auch der Schutz von Betroffenen und Veranstaltern, wenn als Ersatz für ein Smartphone bereitgestellte Schlüsselanhänger eingesetzt werden. Auch hier muss der Schutz dieser Personen vor der Nachverfolgung ihrer Aufenthalte sichergestellt werden.  

Die DSK fasst die Kooperationsbereitschaft der culture4life GmbH positiv auf und attestiert dem Dienstanbieter grundsätzlich eine tragfähige technische Konzeption. Das zügige Abarbeiten des Arbeitsplans der culture4life GmbH wird die erforderliche Weiterentwicklung des Systems vorantreiben. Die zuständigen Aufsichtsbehörden werden dies kritisch im Auge behalten und eine erneute Prüfung des Systems von „luca“ vornehmen.

Digitale Kontaktnachverfolgung

Abschließend lässt sich bezüglich des Datenschutzes bis hierhin festhalten, dass das luca-System fortlaufend Anpassungen bedarf und sich in einem Optimierungsprozess befindet. Parallel wird es schon seit längerer Zeit erprobt und befindet sich bereits bei einigen Gesundheitsämtern im Einsatz.

Digitale Kontaktnachverfolgungssysteme haben grundsätzlich den Vorteil, dass sie die Nachverfolgung von Kontakten durch Gesundheitsämter beschleunigen und den Aufzeichnungsaufwand für Veranstalter reduzieren. Es werden keine schriftlichen Listen mehr benötigt, durch die ein Veranstalter zwangsläufig die personenbezogenen Daten seiner Gäste erfährt. Auch der Zugriff auf solche Angaben durch Dritte wird durch Verschlüsselung verhindert. Die Entwicklung von solchen digitalen Systemen ist daher zu unterstützen. Dabei ist die datenschutzkonforme Umsetzung zu gewährleisten.

Das Team der dacuro GmbH arbeitet seit vielen Jahren mit Unternehmen in den verschiedensten Branchen zusammen. Hierdurch sind uns viele Prozesse vertraut. Wir unterstützen unsere Kunden lösungsorientiert und deutschlandweit. Für Unternehmen können wir nicht nur den externen Datenschutzbeauftragten stellen, wir unterstützen auch interne Datenschutzbeauftragte. Wir bieten Schulungen an, die Unternehmen oder deren Datenschutzkoordinatoren dabei unterstützen, die oben aufgeführten Themen zu meistern. Für die Schulung und Sensibilisierung der Mitarbeiter in Unternehmen, bieten wir zwischenzeitlich eine Online-Schulung an. Nehmen Sie gerne Kontakt zu uns auf, wir beraten Sie gerne.

TAGS

Zurück

Einen Kommentar schreiben

Was ist die Summe aus 7 und 8?