AKTUELL

Drei Fragen an luca: Wie steht es um den Datenschutz?

By August 20, 2021August 24th, 2021No Comments

Unter der Rubrik „Drei Fragen an luca“ behandeln wir für uns wichtige Themen aller Art: Sicherheit, Datenschutz, Betreiber:innen, Politik, Erfolge, Misserfolge und so weiter. Diesmal: Diskussionen über das Einhalten von Datenschutzbestimmungen durch luca.

 

Frage 1: Worum geht es in der Diskussion zwischen der Berliner Datenschutzverantwortlichen und luca? 

Antwort: Nachdem wir unseren Unternehmenssitz in Berlin haben, ist die hiesige Berliner Landesdatenschutzbeauftragte für die Prüfung des gesamten luca-Systems zuständig. Diese Prüfung hat aber nur mittelbar mit dem Einsatz der Software in Gesundheitsämtern zu tun, da die Gesundheitsämter auch jeweils ihre eigenen Datenschutzbeauftragten haben.

Die Prüfung unserer Datenschutzvorkehrungen durch die zuständige Datenschutzaufsichtsbehörde ist ein vollkommen üblicher Prozess. Wir sind während der Prüfung im laufenden Austausch mit dem Büro der Berliner Landesdatenschutzbeauftragten und sind zuversichtlich, dass unsere Systeme den Anfroderungen des Datenschutzes entsprechen. Alleine die Tatsache der laufenden Prüfung zieht keine Einschränkung der Nutzungsmöglichkeiten von luca nach sich.

Frage 2: Können Gesundheitsämter luca in Deutschland datenschutzkonform einsetzen? 

Antwort: Ja, das ist natürlich möglich. Es gab vor dem weitflächigen Einsatz von luca Abstimmungen mit anderen Landesdatenschutzbeauftragten, unter anderem in Baden-Württemberg. Resultat: „Im Ergebnis empfiehlt der LfDI Baden-Württemberg den Einsatz der App „Luca“, sie ist datenschutzkonform nutzbar und erfüllt die Zwecke […] der datenschutzrechtlichen Verbesserung der Kontakterfassung durch Betreiber von gewerblichen, sozialen und künstlerischen Stätten und Veranstaltungen.“ (Zitat aus der Stellungnahme des LfDI Baden-Württemberg).

In einer Stellungnahme vom 26. März schreibt die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) unter anderem: „Ideal ist, wenn die Daten auf eine Weise Ende-zu-Ende verschlüsselt werden, dass auch der Betreiber des Kontaktnachverfolgungssystems sie nicht lesen kann.“ Diese Forderung hat das luca-System – genau wie diverse andere von der DSK aufgelistete Systeme – vom ersten Tag an erfüllt.

Frage 3: Hat luca in Sachen Datenschutz aufgrund der Rückmeldungen von zuständigen Behörden in der Vergangenheit bereits Veränderungen vorgenommen? 

Antwort: Ja, das haben wir, auch im Rahmen unseres kontinuierlichen Verbesserungsprozesses. So ging beispielsweise der Wechsel der beim Start der App angezeigten Funktion auf Wünsche von Datenschützern zurück. Ursprünglich zeigte die App sofort den zum Check-in verwendeten persönlichen QR-Code der Nutzer:innen, jetzt ist „Mein luca“ zu sehen. Dies reduziert die Anfragen der App an die luca-Server und somit eine theoretisch mögliche Nachverfolgung von Nutzer:innen. Ein solches Tracking würde voraussetzen, dass (selbst im extrem unwahrscheinlichen Falle eines unzulässigen Zugriffs) ein krimineller Hacker das komplette luca-System unter seiner Kontrolle hat.

Auch den Austausch der digitalen Zertifikate, mit denen sich Gesundheitsämtern unter anderem den Apps der Nutzer:innen gegenüber ausweisen, hatte die Datenschutzbehörde  angeregt. Inzwischen stammen die Zertifikate von D-Trust, einem Unternehmen der Bundesdruckerei. Erst nachdem D-Trust jede einzelne Anfrage auf Zertifikatsausstellung geprüft hat, gehen den Ämtern die Zertifikate zu. Wir selbst hatten diesen Punkt ebenfalls auf unserer To-Do-Liste. Nach Hinweis der Datenschutzbehörde haben wir den Punkt dann natürlich mit höherer Priorität abgearbeitet.