luca Locations richtig nutzen

 

+ Tipps für eine optimale Umsetzung

Bei der Nutzung von luca durch Betreiber:innen sollten unbedingt bestimmte Aspekte beachtet werden, um einen datenschutzkonformen Einsatz sicherzustellen, die Verfügbarkeit der Daten zu gewährleisten und eine missbräuchliche Nutzung möglichst zu vermeiden. 

Betreiber:innen sollten das Infektionsschutzgesetz (insbesondere §28a IfSG) sowie die für sie gültige und aktuelle im Zusammenhang mit der Bekämpfung von COVID-19 Infektionen erlassenen Verordnungen der Länder (nachfolgend „Landesinfektionsschutzverordnung“) beachten. 

Grundsätzlich müssen gesetzlich zur Kontaktnachverfolgung verpflichtete Betreiber:innen (nachfolgend „Verpflichtete“) die Kontaktdaten all ihrer Gäste erfassen, um im Infektionsfall eine Nachverfolgung durch das jeweils zuständige Gesundheitsamt zu ermöglichen. Der jeweils gültigen und aktuellen Landesinfektionsschutzverordnung ist zu entnehmen, welche Betreiber:innen Verpflichtete sind. 

Gesundheitsämter fragen im Zweifel nur bei den Verpflichteten die Kontakte zur Nachverfolgung ab. Aus diesem Grund wird der Einsatz von luca nur für Verpflichtete als sinnvoll erachtet. Vor dem Hintergrund des Grundprinzips „Datenminimierung“ gemäß Art. 5 Abs. 1 Buchst. c DSGVO ist es ggf. nicht notwendig, weitere Daten zur Kontaktnachverfolgung zu erheben, falls bereits Kontaktdaten beispielsweise im Rahmen einer vorherigen Terminvereinbarung erhoben worden sind.  

  • Verwahrung Schlüssel: Jeder Betreiber:in wird nach der Registrierung ein privater kryptografischer Schlüssel zur Verfügung gestellt. Mit diesem werden bei einer Anfrage des zuständigen Gesundheitsamtes die verschlüsselten Check-In Daten nach der Übermittlung entschlüsselt. Geht dieser verloren, kann die Kontaktnachverfolgung nicht mehr vollzogen werden. Es gilt daher, diesen Schlüssel sicher zu verwahren und insbesondere vor jedem unbefugten Zugriff zu schützen. Empfehlenswert ist daher die Verwahrung in zwei passwortgeschützten Sicherungskopien auf verschiedenen Geräten, die idealerweise auch räumlich getrennt aufbewahrt und verschlossen werden. Auf keinen Fall dürfen die Schlüssel ungeschützt, z. B. auf dem Desktop, gespeichert werden. 
  • Vollumfängliche Erfassung der Gäste: Betreiber:innen, die gesetzlich zur Kontaktnachverfolgung verpflichtet sind, müssen sicherstellen, dass jede Besucher:in eingecheckt wird. Hierfür muss immer eine Mitarbeiter:in den Check-In Vorgang beaufsichtigen. Dies kann bei kostenpflichtigen Veranstaltungen (z.B. bei Konzerten oder im Zoo) mit der Überprüfung von Tickets erfolgen. In Hotels und Geschäften sollte entsprechend eine Stelle für den Check-In am Eingangsbereich etabliert werden. In Restaurants kann der Vorgang an den jeweiligen Sitz- oder Stehplätzen durch die Mitarbeiter:innen erfolgen.  
  • Erfassung korrekter Aufenthaltszeiten: Zu den Aufenthaltsdaten gehört neben dem Check-In auch der Check-Out Zeitpunkt. Zur Sicherstellung der Aufnahme der korrekten Aufenthaltszeiten empfiehlt es sich daher, die Gäste zum Beispiel beim Bezahlvorgang stets an ihren Check-Out zu erinnern. 

 

Sicherheitshinweise bei der Nutzung von QR-Codes:  

  • Die sicherste Variante zum Einchecken stellt das Einscannen von QR-Codes der Nutzer:innen dar. Dies ist bei Schlüsselanhängern auch die einzige Möglichkeit des Check-Ins. Zudem wird jeder Betreiber:in ein QR-Code zur Verfügung gestellt, den die  Nutzer:innen zum Einchecken einscannen können. Für diesen gilt es zu verhindern, dass dessen ausgedruckte Versionen entwendet, abfotografiert und/oder insbesondere im Internet veröffentlicht werden, denn sie könnten dazu missbraucht werden, die Kontaktnachverfolgungsdaten zu verfälschen. Daher dürfen diese nicht an Orten angebracht werden, wo eine hohe Fluktuation an Besucher:innen herrscht, die unbemerkt den QR-Code der Betreiber:in abfotografieren könnten. Empfehlenswert ist insofern die Anbringung des jeweiligen QR-Codes der Betreiber:in an einem zu jeder Zeit des Aushangs beaufsichtigten Ort (etwa an der Theke, am Empfang oder an der Kasse). Bei geschlossenen Veranstaltungen oder in Bürogebäuden, zu denen nur ein bekannter und abgegrenzter Personenkreis Zugang hat, können die QR-Codes der Betreiber:innen auch unbeaufsichtigt ausgehängt werden. 
  • Die mit dem Check-In Vorgang betrauten Mitarbeiter:innen sollten in Bezug auf die beschriebene Gefahr des Missbrauchs sensibilisiert werden. 
  • Betreiber:innen haben die Möglichkeit im luca Interface einen Überblick über aktuelle Check-Ins der anwesenden Gäste zu erhalten. Hierüber kann grob nachvollzogen werden, ob die erfassten Check-Ins in Anzahl den tatsächlich anwesenden Gästen entsprechen. Auch haben Betreiber:innen die Möglichkeit, alle Gäste eigenständig auszuchecken. Darüber hinaus ist es den Betreiber:innen möglich, angelegte Lokationen bei Verdacht auf Missbrauch zu löschen und neue Lokationen anzulegen. Beim Anlegen einer neuen Lokation wird ein neuer QR-Code generiert. 
  • Werden Betreiber:innen Missbrauchsfälle in Bezug auf ihren QR-Code z. B. auf Social Media bekannt, stehen ihnen unterschiedliche Möglichkeiten zur Bekämpfung dieses Missbrauchs zur Verfügung. culture4life kann in solchen Fällen z. B. durch Ausstellen eines neuen QR-Codes unterstützen. 

Betreiber:innen, die zur Kontaktnachverfolgung verpflichtet sind, haben keine gesetzliche Grundlage, von ihren Besucher:innen die Nutzung des luca-Systems zu verlangen. Wir empfehlen daher ausdrücklich, Alternativen zur Kontaktnachverfolgung (etwa die Aufnahme der Kontaktdaten auf Papierlisten) anzubieten. Dies gilt umso mehr bei Besucher:innen, die nicht technisch versiert sind oder auf die digitale Erfassung verzichten wollen.  

Folgende Empfehlungen zum richtigen Einsatz von luca in Locations können wir anhand von Anwendungsbeispielen geben:

 

Gesetzlich verpflichtete Betreiber: 

Beispiel Nr. 1: Restaurants  

In der Gastronomie sind Betreiber:innen zur vollständigen Erfassung ihrer Gäste verpflichtet (ausgenommen sind sog. Take Away Services). Dies kann am besten kontrolliert werden, indem Mitarbeiter:innen die QR-Codes aller Gäste scannen, z. B. am jeweiligen Sitz- oder Stehplatz vor der Aufnahme der Bestellung.  

Betreiber:innen können sich auch für die Nutzung des eigenen QR-Codes entscheiden, welchen die Gäste selbst beim Einchecken scannen. Hierbei ist zu beachten, dass Nutzer:innen den QR-Code auch missbräuchlich verwenden könnten, indem sie diesen z. B. abfotografieren und auf Social Media veröffentlichen. Dadurch können durch Fake Check-Ins Falschinformationen in das System gebracht werden. Dies kann im Einzelfall maßgeblich die Qualität der Kontaktnachverfolgungsdaten beeinflussen. Um diesem Missbrauch vorzubeugen, sollte der QR-Code unbedingt so angebracht werden, dass der Scanvorgang durch Gäste unter Beobachtung der Mitarbeiter:innen passiert, z. B. im Innenraum in der Nähe der Theke oder Kasse.  

Beispiel Nr. 2: Einzelhandelsgeschäfte 

Einzelhandelsgeschäfte, die zur Kontaktnachverfolgung verpflichtet sind, sollten zur Gewährleistung der vollständigen Erfassung aller Gäste im Eingangsbereich alle Gäste selbstständig durch Scannen einchecken.  

Sollte der eigene QR-Code verwendet werden, gilt es auch hier die zuvor dargestellten „Sicherheitshinweise bei der Nutzung von QR-Codes“ unbedingt zu beachten. 

 Beispiel Nr. 3: Konzerte 

Bei kostenpflichtigen Veranstaltungen wie z. B. Konzerten, könnte der Check-In Vorgang im Rahmen der Ticketausgabe oder Ticketüberprüfung erfolgen. Somit bietet es sich an, die Gäste selbstständig zu scannen oder alternativ einen überwachten Scanner oder QR-Code den Gästen zur Verfügung zu stellen.  

 

Gesetzlich nicht verpflichtete Betreiber 

Beispiel Nr. 1: Behörde 

In Behörden bietet es sich an, einen QR-Code Scanner z. B. im Warteraum anzubringen. So kann unterbunden werden, dass ausgehängte QR-Codes missbräuchlich genutzt werden. Zusätzlich können an den einzelnen Schaltern QR-Codes ausgelegt werden, da hier der Check-In Vorgang unter Beobachtung erfolgt. 

 

Beispiel Nr. 2: Lebensmittel- und bestimmte Einzelhandelsgeschäfte 

Lebensmittelgeschäfte und nicht zur Kontaktnachverfolgung verpflichtete Einzelhandelsgeschäfte wie zum Beispiel Buchhandlungen müssen keine Kontaktnachverfolgung gewährleisten, weder mit Papierlisten noch digital. Grundsätzlich kann für das Einchecken der eigene QR-Code oder ein QR-Code Scanner, etwa im überwachten Eingangsbereich oder an der Kasse bereitgestellt werden.  

Beispiel Nr. 3: Büros und kleine geschlossene Veranstaltungen 

In Räumlichkeiten, zu denen ein begrenzter und bekannter Kreis von Personen Zugang hat, kann in einzelnen Räumen der QR-Code angebracht werden zum selbstständigen Einchecken durch die Nutzer:innen. Hier ist die Missbrauchsgefahr durch die geringe Fluktuation und den bekannten Personenkreis in der Regel als niedrig einzustufen.