Datenschutzbedenken bei luca
06.05.2021
Datenschutzbedenken bei luca
Die App luca ist in der letzten Zeit immer öfter in den Medien Thema. Grund hierfür ist die datenschutzrechtliche Brisanz der App zur Kontaktverfolgung. Die Datenschutzbeauftragten der Länder haben große Datenschutzbedenken was ihren Einsatz angeht.
Wir fassen für Sie im Folgenden das Geschehen und die datenschutzrelevanten Standpunkte zusammen:
Zu Beginn der Corona-Pandemie wurde es schnell zum Standard, dass etwa die Gastronomie die Kontaktdaten der Besucher: innen erfasst. Darüber können Sie in unserem Blogbeitrag Kontaktnachverfolgung in der Gastronomie lesen. Die Erfassung der Kontaktdaten dient der Kontaktnachverfolgung durch die Gesundheitsbehörden, wenn eine Person sich mit Corona infiziert. Da die Erfassung meist mit auf Zetteln geschieht, entsteht hierdurch ein großer Aufwand bei den Gesundheitsbehörden der Bundesrepublik.
Was macht die App?
Bei der Kontaktverfolgung möchte nun die App luca ansetzen. Hierdurch soll die Kontaktverfolgung vereinfacht werden, indem sich mit Namen und Telefonnummer angemeldete Nutzer einfach an verschiedenen Orten einchecken können. Dies funktioniert durch das Scannen eines QR-Codes bei Betreten des Ortes.
Die Daten werden verschlüsselt zentral auf Servern gespeichert. Wenn man nun positiv auf Corona getestet wird, kann das zuständige Gesundheitsamt die Daten der letzten 14 Tage der infizierten Person abgleichen und hierdurch mögliche Kontaktpersonen identifizieren, die sich zum gleichen Zeitpunkt an den eingecheckten Orten aufgehalten haben.
Nutzung durch die Bundesländer
Zu Beginn des Jahres erlangte die App immer mehr Bekanntheit. Einerseits durch das Engagement des Rappers Smudo von den Fantastischen Vier und andererseits durch das Lob von Datenschützern. Zu diesen gehörte der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) aus Baden-Württemberg. In seiner Pressemitteilung lobt er den hohen Datenschutzstandard der App.
Insgesamt investierten danach 13 Bundesländer in Jahreslizenzen der App für mehr als 20 Millionen Euro (Quelle: https://netzpolitik.org/2021/digitale-kontaktverfolgung-fast-20-millionen-euro-fuer-luca/). Hierfür stehen diese aber nun massiv in der Kritik. Erstens geht es dabei um die Vergabepraxis der Bundesländer. Zweitens stehen aber auch massive datenschutzrechtliche Bedenken im Raum.
Bedenken gegenüber der luca-App
Jan Böhmermann sorgte für ein bekanntes Beispiel, bei dem Lücken im System der luca-App aufgezeigt wurden. Über Twitter teilte er den QR-Code des Osnabrücker Zoos und checkte sich nachts als „Michi Beck“ in diesem Zoo ein. Über 100 Personen folgten seinem Beispiel und checkten sich ebenso dort ein, obwohl der Zoo zu diesem Zeitpunkt eigentlich geschlossen war. Es war jedoch keine von den Personen in der Realität im Osnabrücker Zoo. In einer Stellungnahme der App-Betreiber verweisen diese auf die Eigenverantwortung der Nutzer: innen die App verantwortungsvoll zu nutzen und nicht missbräuchlich damit umzugehen.
Für weitere Kritik an der App sorgte der Chaos Computer Club (CCC). Durch verschiedene Mängel forderte er die Einstellung der App und den Stopp der staatlichen Finanzierung. Einen großen Mangel sieht der CCC in der Offline-Lösung der App. Für Menschen ohne Smartphone wurden luca-Schlüsselanhänger mit Microchip und QR-Code ausgegeben. Durch Scannen des QR-Codes konnten Unbefugte Zugang zum Bewegungsprofil der letzten 30 Tag der Besitzer des Anhängers erhalten. Diese Schwachstelle wurde mittlerweile behoben. Die komplette Stellungnahme des CCC kann hier nachgelesen werden.
Auch erfuhr die App durch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) Kritik. Neben verschiedenen Vorteilen der App sieht die DSK in ihrer Stellungnahme auch noch Anpassungsbedarf. Ein wesentlicher Punkt hierbei ist die zentrale Speicherung der Daten. Durch die Erfassung der Anwesenheit der Betroffenen an verschiedensten Veranstaltungen, wie etwa auch die Teilnahme an Gottesdiensten oder der Besuch von Gesundheitseinrichtungen, speichert die App auch sensible personenbezogene Daten. Eine mögliche unbefugte Einsicht in die gespeicherten Daten kann zu einer schweren Beeinträchtigung für den Einzelnen und das Gemeinwesen führen.
Insgesamt kritisierten auch diverse Landesbeauftragte für Datenschutz die App. Darunter sind die Niedersächsische Beauftragte Thiel, die Berliner Datenschutzbeauftragte Smoltczyk und der Schleswig-Holsteinische Beauftragte Hansen.
Pflicht zur Einrichtung der App?
Ein weiterer zentraler Punkt, den es zu beachten gilt, ist eine mögliche Pflicht zur Nutzung der App. In Mecklenburg-Vorpommern soll die Kontaktverfolgung über die luca-App erfolgen. Dies ist in der Corona-Landesverordnung festgeschrieben. Auch in Schleswig-Holstein soll die Kontaktverfolgung über luca Medienberichten zufolge zur Pflicht werden.
Ebenso ist die App nun auch bei verschiedenen Handelsunternehmen erwünscht. Händler wie Apollo, Ikea oder Thalia teilten mit, dass das Einchecken über die luca-App implementiert wird (Quelle: https://www.spiegel.de/netzwelt/apps/coronakrise-darf-ich-ohne-luca-app-jetzt-nicht-mehr-zu-ikea-a-cab0558a-5c7d-4f84-80d2-451eebe95836).
Fazit
Die App luca bietet viele Vorteile durch die Vereinfachung der Kontaktverfolgung anhand der Digitalisierung dieser. Jedoch sollten die Datenschutzbedenken nicht außer Acht gelassen werden. So muss jede: r selbst entscheiden, ob er oder sie diese App nutzen möchte.
Eine Alternative zur luca-App bietet das Update der Corona-Warn-App. Ein Update dieser App soll ebenso einen Check-In zu Veranstaltungen möglich machen. In dieser App müssen keine persönlichen Daten wie Name oder Telefonnummer angegeben werden. Aufgrund dessen wird dieses System vom Bundesdatenschutzbeauftragten gelobt (Quelle: https://www.tagesschau.de/inland/gesellschaft/corona-warnapp-update-101.html). Im Vordergrund dieser Funktion steht nicht die Weiterleitung der Kontaktdaten an die Gesundheitsbehörden, sondern die direkte Warnung möglicher Kontaktpersonen.
Kontaktieren Sie uns!
Sollten Sie zu diesem oder anderen Themen weitergehende Fragen im Bereich des Datenschutzes haben, stehen wir Ihnen gerne jederzeit zur Verfügung.
Wir betreuen Unternehmen, Vereine oder gemeinnützige Organisationen bei der Umsetzung des betrieblichen Datenschutzes in der Datenschutz-Grundverordnung (DS-GVO) und im Gesetz über den Kirchlichen Datenschutz (KDG). Hierzu entwickeln wir auf Ihr Unternehmen, ihren Verein oder ihre gemeinnützige Organisation abgestimmte Datenschutzkonzepte und unterstützen Sie aktiv bei der Umsetzung. Gerne beraten wir auch Sie bei der Umsetzung Ihres Projektes.
Nehmen Sie gerne jederzeit Kontakt zu uns auf.