Zurück zur Übersicht
20.03.2022

Kontaktnachverfolgung Luca App

Kontaktnachverfolgung und die Luca App

Die Datenschutzbehörde wurde im Januar 2021 auf die Luca App aufmerksam. Diese speichert die Anwesenheitsdaten mit Hilfe von Verschlüsselung so, dass weder der Betreiber des Dienstes noch die Veranstalter oder Gastwirte (oder die anderen nach der Corona-Verordnung zur Erhebung und Speicherung von Anwesenheits- und Kontaktdaten Verpflichteten, im folgenden „Veranstalter“) Zugriff auf die Daten haben, die Gesundheitsämter diese aber dennoch nach Freigabe durch die Veranstalter abfragen können. Erste technische Analysen hatten diese Arbeitsweise bestätigt. Und die App bietet die Möglichkeit, die Telefonnummer der Teilnehmenden durch die Zusendung eines Codes per SMS (jedenfalls rudimentär) zu verifizieren.

Schwierigkeiten sah die Behörde zwar bei der häufigen Übermittlung von sogenannten Trace-IDs, die daraus resultierenden Probleme waren aber nicht unüberwindbar. Einzelne Kritikpunkte wie die Einbindung von Google Analytics auf der „Marketing“-Website behob der Hersteller schnell. In rechtlicher Hinsicht wurde dem Hersteller empfohlen, dass hinsichtlich der verarbeiteten Daten zu unterscheiden sein dürfte: Ein Teil der Daten – z.B. die Daten, die für die zusätzliche Funktion der Führung eines Kontakttagebuchs für den Nutzer oder die Nutzerin gespeichert werden – sollte aufgrund des Nutzungsvertrages oder einer Einwilligung zwischen Nutzer_in und App-Betreiber in der Verantwortung durch diesen verarbeitet werden. Die Anwesenheitsdaten selbst sollten dagegen nach Empfehlung der Datenschutzbehörde durch den App-Betreiber als Auftragsverarbeiter für die „zur Datenverarbeitung Verpflichteten“, also die Veranstalter, Gastronomen etc. als Verantwortliche verarbeitet werden. Mit einem Autragsverarbeitungsvertrag zwischen App-Betreiber und Veranstalter konnte u. a. sichergestellt werden, dass die Anwesenheitsdaten während der aus Sicht des Verordnungsgebers erforderlichen Frist von vier Wochen unabhängig vom Bestand des Nutzungsvertrages zwischen Besucher_innen und App-Betreiber_innen oder einer Einwilligung des/der Besucher_in gespeichert bleiben durften. Auch wenn es kurios klingen mag, dass die Veranstalter für die Verarbeitung von Daten verantwortlich sein sollen, die sie gar nicht im Klartext lesen können (weil sie auch ihnen gegenüber verschlüsselt gespeichert werden), so schien uns diese zulässige Konstruktion doch der Zielrichtung der Corona-Verordnung am nächsten zu kommen.

Im Rahmen der aufsichtsbehördlichen Beratung der Landesregierung wurde eine rechtliche und technische Analyse und Bewertung durchgeführt. In einer Stellungnahme vom 2. März 2021 kam die Behörde zu dem Schluss, dass die Luca App – vorbehaltlich noch gewisser vom Anbieter zugesagter Anpassungen – datenschutzkonform eingesetzt werden kann. Wie üblich wurden dabei nur Datenschutz-Themen berücksichtigt und z.B. keine Bewertung des Geschäftsmodells des Herstellers durchgeführt. Die technische Bewertung ergab, dass Luca die Verarbeitung der Kontakt- und Anwesenheitsdaten prinzipiell gut geschützt durchführt und keine Anhaltspunkte dafür bestehen, dass die Daten vom Anbieter eingesehen werden können. Dabei haben wir allerdings darauf hingewiesen, dass unsere Untersuchungen keine Sicherheitsaudits ersetzen, zumal wir – zeitlich bedingt – keine Analyse des Quellcodes hatten vornehmen können. Die Datenschutzaufsicht empfahlen daher, solche Audits durchzuführen. In rechtlicher Hinsicht wurde die Landesregierung darauf hingewiesen, dass für den Einsatz die Corona-Verordnung geändert werden müsse. Denn diese ging zum damaligen Zeitpunkt noch davon aus, dass der Veranstalter die Kontaktdaten lesen könne, indem u. a. von ihm eine Vollständigkeitskontrolle und in gewissem Rahmen eine Plausibilitätsprüfung erwartet wurde, was er bei der ihm gegenüber verschlüsselten Verarbeitung nicht leisten konnte.

Insgesamt überwogen aber mit Blick auf den Datenschutz die Vorteile des Einsatzes der Luca App gegenüber einer papiergestützten Verarbeitung. Dabei wurden insbesondere folgende Vorteile gesheen: Durch die Verschlüsselung kann der Veranstalter die Daten nicht lesen, so dass sowohl ein Missbrauch durch Beschäftigte des Veranstalters als auch eine unbefugte Kenntnisnahme durch Dritte wie etwa andere Teilnehmende an der Veranstaltung (und den App-Betreiber selbst) ausgeschlossen werden kann.

Die App ermöglicht eine sichere Übermittlung der Anwesenheits- und Kontaktdaten vom Veranstalter an das Gesundheitsamt, wenn dieses die Daten anfordert und der Veranstalter sie freigibt. Bei Nutzung der App kann die datenschutzkonforme Vernichtung der durch die Veranstalter zu speichernden Anwesenheits- und Kontaktdaten nach Ablauf der vorgeschriebenen Speicherfrist von vier Wochen sichergestellt werden. Weitere Empfehlungen, wie eine Veröffentlichung des Programmcodes unter einer Open Source Lizenz und von Muster-Datenschutzinformationen für Veranstalter, wurden vom Hersteller im Laufe der nächsten Wochen umgesetzt.

Die Landesregierung ist der Stellungnahme gefolgt und hat sich in der Folge entschlossen, die Lizenzen für den flächendeckenden Einsatz der Luca App in Baden-Württemberg zu beschaffen. Bei der erforderlichen Umformulierung der Corona-Verordnung unterstützten der LfDI sodann die Landesregierung. Dabei war  u. a. wichtig, dass Menschen, welche die Luca App (z.B. mangels Smartphones) nicht nutzen können oder wollen, nicht vom Besuch von Veranstaltungen (und anderen Angeboten und Einrichtungen) ausgeschlossen werden, sondern dass ihnen immer auch eine nicht-digitale Alternative zur Verarbeitung der Kontaktdaten vom Veranstalter angeboten werden muss.

Auch im weiteren Verlauf hat sich der LfDI immer wieder mit der (immer wieder auch in Kritik geratenen) Luca App beschäftigt und auch deren weitere Verbesserung gefördert. Insbesondere hat sich dabei der LfDI an der Entwicklung einer gemeinsamen „Stellungnahme zu Kontaktnachverfolgungssystemen – insbesondere zu ‚Luca‘ der culture4life GmbH“ der Datenschutzkonferenz (DSK), dem Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden der Länder und des Bundes, beteiligt und mit der DSK gemeinsam eine „Orientierungshilfe zum Einsatz von digitalen Diensten zur Kontaktnachverfolgung anlässlich von Veranstaltungs-, Einrichtungs-, Restaurant- und Geschäftsbesuchen zur Verhinderung der Verbreitung von Covid-19“ erstellt.

Mehrfach gab es Anfragen, in denen Stellen die Luca App einsetzen wollten, die nicht zur Kontaktdatenverarbeitung (nach Infektionsschutzrecht) verpflichtet waren. Der Einsatz zur Kontaktdatenerfassung durch nicht gesetzlich hierzu verpflichtete Stellen war indes nicht der eigentliche Zweck der Entwicklung und Einführung der Luca App und erwies sich in mehrfacher Hinsicht als problematisch: Zwar ist grundsätzlich auch denkbar, dass eine nicht verpflichtete Stelle Kontaktdaten etwa auf Basis einer Einwilligung verarbeitet. Grundvoraussetzung für eine wirksame Einwilligung ist indes, dass diese freiwillig erteilt wird. Wenn aber etwa Behörden den Zugang von der Erteilung einer solchen Einwilligung abhängig machen, wird die Freiwilligkeit vielfach nicht gegeben sein.

Aber auch speziell die Nutzung der Luca App auf Basis einer Einwilligung gegenüber einem nicht verpflichteten „Veranstalter“ wies zum damaligen Zeitpunkt verschiedene rechtliche Herausforderungen auf, insbesondere:

  • die Einbindung der Einwilligungserklärung in den Eincheck-Vorgang (hier werden Nutzer_innen häufig nicht nachvollziehen können, warum sie/er bei einzelnen Eincheckvorgängen einwilligen muss und bei anderen nicht);
  • die Dokumentation der Einwilligung mit Blick auf die Rechenschaftspflicht des Verantwortlichen (Art. 5 Abs. 2 DSGVO) bei gleichzeitiger Aufrechterhaltung des Vorteils der Ende-zu-Ende-Verschlüsselung auch gegenüber dem Zugriff des Veranstalters;
  • die Ermöglichung der Löschung bei Widerruf.

Die Betreiber der App haben später für diese speziellen Probleme bei Verwendung der Luca App durch nicht verpflichtete „Veranstalter“ auf Basis von Einwilligungen der Besucher Lösungen entwickelt; allerdings gab es bislang noch keinen Anlass, diese später entwickelten Lösungen zu bewerten.

Quelle: LfDI Baden-Württemberg

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks