Update vom 03.03.2022: Aufgrund der Einstellung der Kontaktverfolgung im Sinne der Gästeregistrierung ist zwischenzeitlich ein wesentlicher Grund, die lucaApp überhaupt zu nutzen, entfallen.

Ein Vorfall in den vergangenen Wochen, bei dem die Polizei auf Daten aus der lucaApp Zugriff nahm, um mögliche Zeugen für die Aufklärung eines Todesfalles zu gewinnen, zeigte zudem Risiken bei der Nutzung der App auf. Hier wurden die durch die App erfasste Daten zweckfremd verarbeitet.

Die Bundesländer nehmen zudem von der Nutzung der lucaApp Abstand und kündigen die Verträge mit dem Anbieter. Die Gesundheitsämter werden künftig nicht mehr mit der App arbeiten. Aus diesen Gründen raten wir aktuell von der Nutzung der lucaAPP aus datenschutzrechtlichen Gründen ab.

Seit Beginn der Corona-Krise kommen stetig mehr und mehr Apps auf den Markt, die eine einfache Gästeregistrierung, Erstellung von Kontaktlisten und Warnungen bei Kontakt mit Corona-Infizierten versprechen. Ist luca nur eine App von vielen oder hat sie tatsächlich einen Mehrwert? Worin unterscheidet sie sich von der offiziellen Corona-Warn-App und welche datenschutzrechtlichen Bedenken bestehen hier?

Privater Anbieter der luca App

Die luca App wird von der fit4life GmbH, also einem privaten Unternehmen, die Corona-Warn-App hingegen von der Bundesregierung betrieben. Es handelt sich somit um keine „offizielle“ App. Dennoch sind viele Gesundheitsämter an luca angeschlossen.

Was macht die luca App und worin unterscheidet sie sich zur Corona-Warn-App?

Die Corona-Warn-App der Bundesregierung setzt darauf, dass seine Nutzer komplett anonym bleiben. Gesundheitsämter können hierüber keinen Kontakt mit einem infizierten Nutzer aufnehmen und auch nicht mit möglichen Kontaktpersonen. Der Nutzer muss also selbst aktiv werden und sich mit dem Gesundheitsamt in Verbindung setzen.

Bei der luca App muss sich der Nutzer zunächst mit seinen persönlichen Daten (Vor- und Nachname, Telefonnummer und E-Mail-Adresse sowie die Anschrift) in der App registrieren. Laut Anbieter liegen diese Daten auf deutschen Servern und können nur im Falle einer Kontaktnachverfolgung von den Gesundheitsämtern entschlüsselt werden. Nutzer können sich nach der Registrierung entweder mit einem eigenen QR-Code, der sich minütlich ändert, bei Betreibern bspw. von Restaurants einchecken oder aber den von dem Restaurant zur Verfügung gestellten QR-Code einscannen. So erfasst man, welche Kunden sich zu welchem Zeitpunkt im Restaurant befanden.

Die Vorteile dieser App liegen klar auf der Hand. Die Verwendung der App ersetzt die Registrierung in den Lokalen auf Papier, so kann man die Gästeliste digital führen. Hierdurch sind die Daten der Gäste weder für andere Gäste noch für die Betreiber des Restaurants selbst einsehbar und damit erst einmal wesentlich „sicherer“ als in Papierform. Für die Betreiber von Restaurants, Lokalen und Geschäften bedeutet dies eine erhebliche Erleichterung, da sie selbst keine Daten mehr erheben, verarbeiten und sicher aufbewahren müssen. Ein Bewegungsprofil der Nutzer wird zwar theoretisch erstellt, soll aber für niemanden einsehbar und damit für Werbezwecke nicht nutzbar sein.

Mittlerweile nutzen laut den Betreibern der App bereits 313 Gesundheitsämter und 230.000 Betriebe sowie 15 Millionen Menschen luca. So kann man Zettelwirtschaft vermeiden und die Listen digital an die Ämter übertragen. Diese können dann mit den betroffenen Nutzen Kontakt aufnehmen. Eine Kontaktnachverfolgung ist so wesentlich vereinfacht. Die von Nutzern angelegten privaten Listen werden jedoch nicht mit dem Gesundheitsamt geteilt. Diese sollen nur als Gedächtnisstütze für die Nutzer dienen, damit sie im Falle einer Kontaktnachverfolgung Angaben zu weiteren Kontakten machen können.

Kritik an der App

Die App bringt laut manchen Kritikern jedoch nicht nur Vorteile. Datenschützern und IT-Fachleuten haben nach der Veröffentlichung des Quellcodes Kritik an der Sicherheit der App geübt. So gäbe es nach Aussage des Chaos Computer Club im April 2021 „Handwerkliche Mängel und Schwachstellen“. Ende Mai wurde von einem Sicherheitsforscher demonstriert, wie Angreifer die Daten von Gesundheitsämtern abgreifen und diese erpressen könnten. Nach eigenen Angaben von den Betreibern der luca App ist diese Sicherheitslücke bereits kurzfristig geschlossen worden, so dass böswillige Angreifer diese Lücke nicht mehr ausnutzen könnten.

Mecklenburg-Vorpommern hat als erstes deutsches Bundesland landesweit das luca-System zur verschlüsselten Kontaktnachverfolgung eingesetzt. So berichtet es das Ministerium für Energie, Infrastruktur und Digitalisierung Mecklenburg-Vorpommern auf seiner Internetseite. Auch 12 weitere Bundesländer haben sich wohl mittlerweile dazu entschieden, die App in ihrem Bundesland einzusetzen. Derzeit ist die Nutzung der luca App aber von Seiten der Länder freiwillig. Es liegt an den Betrieben und Nutzern, ob sie zukünftig weiterhin die Listen in Papierform oder digital führen wollen.

Fazit

Wir sehen aus datenschutzrechtlichen Gesichtspunkten natürlich auch gewisse Risiken wie bei jeder digitaler Datenbank, allerdings auch viele Vorteile. Wir gehen aber davon aus, dass die Datenerhebung und Verwaltung in den Betrieben vor Ort wesentlich datenschutzkonformer erfolgt und den Nutzern somit mehr Datenschutz bietet.

Melden Sie sich an, um regelmäßig tolle Inhalte in Ihrem Postfach zu erhalten!

Kein Kommentar

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Ihre personenbezogenen Daten werden für die Veröffentlichung Ihres Kommentars zum Blogbeitrages gem. unserer Datenschutzerklärung von uns verarbeitet.