Melden Sie sich zu unserem Newsletter an!
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
Jetzt anmelden!© Fusion Medical Animation, Unsplash
Luca: Datenschutz-Bedenken bei der neuen Corona-App
Neben der Corona-Warn-App gibt es nun auch die App „luca“. Ziel: Die Gesundheitsämter sollen einfacher und schneller Infektionsketten nachvollziehen und unterbrechen können. Das eröffnet eine neue Perspektive für mögliche Öffnungen und Lockerungen. Allerdings haben einige Stellen – darunter die Datenschutzkommission (DSK) – Datenschutz-Bedenken in Bezug auf die App geäußert.
Wir geben Ihnen einen Überblick über die neue App inklusive Funktionsweise und Vorteile und fassen zusammen, in welchen Punkten die neue App datenschutzrechtlich hinterherhinkt.
So funktioniert luca
Das Prinzip der App ist einfach, birgt aber großes Potential. Im Grunde funktioniert sie wie ein digitales Tagebuch, das speichert, wann eine Person wo und mit wem Kontakt hatte. Im Rahmen der Pandemiebekämpfung sind das wertvolle Daten. Denn so können Infektionsketten genau nachvollzogen werden.
Luca erstellt dabei eine persönliche Kontakt- und Besuchshistorie – egal ob bei einem Restaurantbesuch, einem Treffen mit Freund:innen oder im Büro. Das Ganze funktioniert geräteunabhängig mit einem QR-Code. Damit es aufgeht, benötigen auch die Gastgeber:innen luca auf einem mobilen Endgerät. In der App können Restaurants beispielsweise auch für einzelne Tische QR-Codes erstellen.
Bei Beginn einer Veranstaltung oder eines Treffens checken die Leute dann mit ihrem Code ein. Dieser übermittelt anonymisiert die vorher hinterlegten Kontaktdaten. Am Ende checken alle wieder aus oder lassen sich – nach Freigabe – automatisch über ihren Standort auschecken. Gespeichert wird die Historie der letzten 14 Tage.
Im Falle einer Infektion können die Betroffenen ihre Historie verschlüsselt und via TAN an das zuständige Gesundheitsamt weiterleiten. Im Anschluss informiert das Gesundheitsamt betroffene Veranstaltungsorte, die ihrerseits die zeitlich relevanten Check-ins freigeben können. Nur die Gesundheitsämter können die Datensätze zusammenführen und auch wieder entschlüsseln. So hat das Gesundheitsamt alle relevanten Daten, um Infektionsketten zu erkennen und mögliche Betroffene rechtzeitig zu informieren – und das ohne großen Aufwand per Klick.
Für Personen, die kein Smartphone besitzen, stehen alternativ Schlüsselanhänger mit einem QR-Code zur Verfügung. Diese müssen einmalig per Seriennummer registriert werden. Anschließend sind Check-ins auch mit den Anhängern möglich.
Die App bringt viele Vorteile mit sich. Die Rechnung geht allerdings nur auf, wenn möglichst viele Menschen mitmachen.
Vorteile der App
Der größte Vorteil der App ist die Arbeitserleichterung und vor allem Entlastung für Gesundheitsämter. Statt schlecht leserliche Zettel händisch einzutragen, funktioniert die Nachverfolgung mit luca auf Knopfdruck. Dadurch können Infektionsketten schneller erkannt und durchbrochen werden. Auch die Übermittlung der Daten wird durch die App schneller und einfacher. Personen mit einer Risikobegegnung können direkt über luca informiert werden – das spart Zeit, die sonst für E-Mails oder Anrufe draufgeht.
Hinzu kommt, dass Veranstalter:innen leichter ihren Dokumentationspflichten nachkommen können – sobald es zu Öffnungen kommt. Statt händischer Listen können Besuchende problemlos per QR-Code eingecheckt werden. Das nutzt übrigens auch dem Datenschutz. Eine digitale Speicherung – wenn sie richtig verschlüsselt und nach dem Stand der Technik ist – schützt Kontaktdaten besser vor unbefugter Kenntnisnahme und Missbrauch als ein Stapel Zettel.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg ist begeistert. Auch laut DSK setzt die luca-App die Vorteile digitaler Lösungen um. Sie sieht dennoch Risiken und äußert einige Bedenken.
Datenschutz-Bedenken bei luca
Ein Kritikpunkt an luca aus Datenschutzsicht ist die Art der Speicherung: Die erhobenen Daten werden alle zentral gespeichert. Die Server stehen zwar in Deutschland. Sollten Unbefugte allerdings Zugriff auf die Daten erhalten, wäre die Beeinträchtigung für Einzelne und das Gemeinwesen maßgeblich. Die DSK bespricht daher mit den Betreibern, ob eine dezentrale Speicherung bei gleichbleibender Effizienz möglich ist.
Ebenso wie bei der Speicherung geht auch bei der Verschlüsselung die größte Gefahr durch unberechtigte Zugriffe aus. Alle Gesundheitsämter verfügen über die gleichen Schlüssel, die alle von der culture4life GmbH verwaltet werden. Hierdurch entsteht das Risiko, dass Dritte durch Ausspähen auf die zentral gespeicherten Daten zugreifen könnten. Dieses Risiko ist mit der richtigen Verschlüsselung vermeidbar.
Auch bei den Veranstalter:innen könnte angesetzt werden.
Für diese ist es nämlich schwierig zu überprüfen, ob eine Anfrage zur Entschlüsselung rechtmäßig ist. Ein erfolgreicher Angriff würde die Sicherheit des Gesamtsystems in Gefahr bringen. Daher fordert die DSK eine systematische Überprüfung auf die Einhaltung grundlegender Sicherheitsprinzipien. Außerdem müssen die Betreiber einen Nachweis über die Sicherheit des Systems erbringen.
Hamburgs Datenschutzbeauftragter fordert zusätzlich mehr Transparenz und eine Datenschutzfolgeabschätzung. Diese sei unerlässlich für eine datenschutzrechtliche Bewertung und gebe Aufschluss über das Risiko für die betroffenen Personen.
Insgesamt begrüßt die DSK digitale Tools, fordert aber vor allem gesetzliche Vorgaben zur digitalen Kontaktverfolgung. Nur so wird eine bundesweit einheitliche datensparsame digitale Infektionsnachverfolgung möglich
Das sagen die Entwickler dazu
In einem Interview hat sich einer der Entwickler, Patrick Hennig, zu den Bedenken geäußert und betont, dass luca eine gute Ergänzung zur Corona-Warn-App darstelle. Auf den Kritikpunkt der zentralen Speicherung entgegnet er, dass ein Datenaustausch für die Gesundheitsämter essentiell sei. Dieser soll allerdings mit maximaler Sicherheit erfolgen. Daher komme unter anderem Ende-zu-Ende-Verschlüsselung zum Einsatz, so dass weder die Entwickler noch Dritte auf die Daten zugreifen können.
Zusätzlich liege laut Hennig eine Datenschutzfolgeabschätzung vor, die momentan mit der Berliner Datenschutzaufsichtsbehörde abgestimmt werde. Auch die Codes werden schrittweise offengelegt und sollen diese Woche in Gänze verfügbar sein. Bisher wurden aber noch keine Sicherheitslücken entdeckt, so Hennig.
Bei der Kontaktnachverfolgung setze luca vor allem auch auf die Expertise der Gesundheitsämter. Ganz im Sinne der Datensparsamkeit werden die Gesundheitsämter nicht mit Daten zugemüllt – anders als bei der Zettelwirtschaft werden nur relevante Begegnungen übermittelt. Die Entscheidung, ob Personen informiert werden sollten, liegt bei den Gesundheitsämtern.
Zusammen mit ihren starken Partnern wie der Bundesdruckerei und „Die Fantastischen Vier“ konnte sich luca bereits bei einigen Vergabeverfahren durchsetzen, sodass bereits 120 Gesundheitsämter angeschlossen seien. Bis Ende April sollen es über 300 sein. Die Gesundheitsämter melden, dass die Datenqualität deutlich höher sei und dass Daten schneller und einfacher verarbeitet werden können. Die Entwickler von luca haben von Anfang an mit Gesundheitsämtern zusammengearbeitet. Das Ziel: Die App soll die Kontaktnachverfolgung so leicht wie möglich machen.
In den Ländern, in denen die App bereits eingesetzt wird – darunter Thüringen, Mecklenburg-Vorpommern und Baden-Württemberg – beruht das gesamte Konzept auf Freiwilligkeit und Eigeninitiative. Ob die App einen Beitrag zur Eindämmung des Corona-Virus leisten kann, bleibt abzuwarten.
Quellen
Berliner Morgenpost (2021): „Luca: App in vielen Bundesländern kurz vor der Einführung“, 25. März 2021, https://www.morgenpost.de/vermischtes/article231629927/Corona-luca-Merkel-App-Smudo.html, letzter Zugriff am 07. April 2021.
Datenschutzkonferenz (2021): „Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 26. 03. 2021“, https://www.datenschutzkonferenz-online.de/media/st/20210329_DSK_Stellungnahme.pdf, letzter Zugriff am 07. April 2021.
Der Landesbeauftragte für den Datenschutz und die Informationssicherheit Baden-Württemberg (2021): „Pressemitteilung: LfDI Stefan Brink unterstützt die Nutzung der ‚luca‘-App gegen Corona“, 17. Februar 2021, https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2021/02/20210217_PM_Luca-App.pdf, letzter Zugriff am 07. April 2021.
Greis, Friedhelm (2021): „Datenschützer warnen vor Gefahr durch zentrale Speicherung“, golem.de, 30. März 2021, https://www.golem.de/news/luca-app-datenschuetzer-warnen-vor-gefahr-durch-zentrale-speicherung-2103-155372.html, letzter Zugriff am 07. April 2021.
Hennig, Patrick (2021): „Nach Kritik am Datenaustausch. Luca-Entwickler: ‚App für maximale Sicherheit gebaut‘“, n-tv, 09. April 2021, https://www.n-tv.de/mediathek/videos/technik/Luca-Entwickler-App-fuer-maximale-Sicherheit-gebaut-article22479574.html, letzter Zugriff am 12. April 2021.
Luca (o. J.): luca, culture4life GmbH, https://www.luca-app.de/, letzter Zugriff am 07. April 2021.
Pluta, Werner (2021): „Datenschützer Caspar kritisiert Luca-App“, golem.de, 05. April 2021, https://www.golem.de/news/mangelnde-transparenz-datenschuetzer-caspar-kritisiert-luca-app-2104-155486.html, letzter Zugriff am 07. April 2021.
Tagesschau (2021): „Mit ‚Luca‘ aus dem Lockdown?“, 01. März 2021, https://www.tagesschau.de/faktenfinder/hintergrund/luca-app-hintergrund-101.html, letzter Zugriff am 07. April 2021.
Externer Datenschutz – Datenschutz und Datensicherheit – Datenschutzschulungen
Impressum | Datenschutzerklärung