AKTUELL

luca – 5 Punkte zu Mainz


14 Jan 2022

luca ordnet ein: Was man zur Datenabfrage der Polizei Mainz wissen muss

Am 7. Januar wurde öffentlich bekannt, dass die Polizei Mainz im Rahmen von Ermittlungen zu einem möglichen Tötungsdelikt unrechtmäßig auf Daten des luca Systems zugegriffen hat. luca fasst die fünf wichtigsten Punkte zur Datenabfrage und zur Funktionsweise von luca noch einmal zusammen

Erstens: Die luca App hat technisch genau das gemacht, wofür sie bestimmt ist.

Bei jeder Anfrage eines Gesundheitsamtes an einen Betrieb im Rahmen eines Infektionsfalls liefert luca nur die Daten der Personen, die sich zu einem bestimmten Zeitpunkt in der Nähe der infizierten Person befanden – etwa in einem Restaurant oder Café. Auf Basis der von den Betreiber:innen geteilten Daten kann das entsprechende Gesundheitsamt nach einer Risikoanalyse die betroffenen Personen telefonisch kontaktieren oder eine Warnmeldung direkt über die luca App ausspielen.

Im Fall der Mainzer Datenabfrage wurde allerdings ein Infektionsfall simuliert, um diesen Prozess anzustoßen. Das Gesundheitsamt konnte deswegen als autorisierter Nutzer bei der betroffenen Gaststätte die Daten anfragen und diese nach der Freigabe entschlüsseln. Mit der Weitergabe an die Polizei wurden diese jedoch zweckentfremdet, denn die Daten dürfen laut Infektionsschutzgesetz nur für die Unterbrechung von Infektionsketten genutzt werden. Ein solcher Vorfall ist scharf zu verurteilen, aber unabhängig von der luca-Technologie zu betrachten. Seit es luca gibt, ist kein Fall bekannt, in dem Daten an nicht autorisierte Nutzer:inen gelangten. Die zuständigen Behörden haben den Fehler eingeräumt und sich entschuldigt.

Zweitens: Das luca System ist darauf ausgelegt, nur geringste Datenmengen herauszugeben – und hat sich auch im Fall Mainz bewährt. In diesem Fall war es ein zeitlich und räumlich abgegrenzter Bereich der Daten von nur 21 Personen.

Vor der Einführung von luca als Tool zur digitalen Kontaktnachverfolgung stützte sich diese auf handschriftlich verfasste Kontaktlisten mit sensiblen persönlichen Informationen. Dabei liegt auf der Hand, dass diese deutlich schlechter vor missbräuchlicher Verwendung geschützt sind als die Daten im luca-System, die verschlüsselt gespeichert und nach vier Wochen automatisch gelöscht werden.

Der Fall Mainz zeigt außerdem, dass das luca-Konzept auch in einem solchen Fall Schlimmeres verhindert hat: Das zuständige Gesundheitsamt hat im Falle einer Infektion nur zeitlich und örtlich begrenzten Zugriff auf Daten, weil es jeweils bei einzelnen Betrieben anfragen muss und diese dann mit ihrem Schlüssel nur für den jeweiligen Infektionstag begrenzt Kontakte freigeben, auf die dann ausschließlich das Gesundheitsamt Zugriff hat. In diesem Fall waren das 21 Kontaktdaten von luca-Nutzer:innen.

Drittens: Das Problem war nicht die Sicherheit der luca-Technologie, sondern das Wissen um den richtigen Umgang der Daten. 

Die Sicherheitstechnologie des luca-Systems funktioniert – und sie hat auch im Fall Mainz funktioniert. Alle Nutzer:innen wurden vom System über die Entschlüsselung ihrer Daten informiert. Gleichzeitig zeigt der Vorfall deutlich, dass es größerer Aufklärung auf Seiten der Ermittlungsbehörden bedarf. Denn auch die sicherste digitale Infrastruktur kann nur funktionieren, wenn Nutzer:innen im richtigen Umgang geschult sind. Die aktuelle Diskussion führt bundesweit dazu, dass noch einmal das Bewusstsein für die Rechtslage geschärft wird, die eindeutig ist: Kontaktdaten dürfen ausschließlich für die Unterbrechung von Infektionsketten verwendet werden. Das positive am Fall Mainz: Spätestens jetzt dürfte die Rechtslage jeder Ermittlungsbehörde im Land bekannt sein.

Viertens: Wir befinden uns auf dem Weg in eine Hochinzidenzphase. Die luca App und die Corona-Warn-App werden sich in den kommenden Wochen gegenseitig brauchen. 

An diesem bisherigen Höhepunkt der Inzidenzen sollten wir alle etablierten technischen Mittel nutzen, um die Pandemie in den Griff zu bekommen. luca App und Corona-Warn-App ergänzen sich dabei sehr gut. Besonders wenn die Inzidenzen sehr hoch sind und CWA-Warnmeldungen damit bei vielen Nutzer:innen sehr häufig auftreten, sind Informationen zum individuellen Risiko – wie sie nur die luca App liefert – besonders wichtig. Angabe von Umstand, Ort, und Zeit einer möglichen Infektion sind oft das Zünglein an der Waage, das möglicherweise infizierte Personen dazu bewegt, sich auch wirklich in Isolation zu begeben oder sich zumindest testen zu lassen – insbesondere, wenn es sich um eine offizielle und persönliche Warnung unter Einbeziehung des Impfstatus vom Gesundheitsamt handelt.

Fünftens: Auch wenn dem zuständigen Gesundheitsamt in Mainz ein grober Fehler unterlaufen ist: Die Gesundheitsämter leisten aktuell alles, was in ihrer Macht steht.

Die Gesundheitsämter arbeiten aktuell auf Hochtouren, um der Lage Herr zu werden. Es ist jetzt an uns allen, die Gesundheitsämter dabei zu unterstützen, dass ihnen diese wirklich riesige Aufgabe auch gelingt. Anstatt uns darauf zu fokussieren, was nicht funktioniert, sollten wir lieber die Best Cases bei der Pandemiebekämpfung nehmen und sie konsequent in die Breite tragen. Denn am Ende geht es in dieser für uns alle schwierigen Situation darum, Infektionsketten zu unterbrechen und so schnell es geht wieder ein Stück Normalität zu bekommen.