Zur Eindämmung der fortschreitenden Verbreitung des Coronavirus SARS-CoV-2 und der hierdurch verursachten Krankheit COVID-19 wurden Maßnahmen zum Schutz der öffentlichen Gesundheit und zur Bewältigung der Auswirkungen auf das Gesundheitswesen per Verordnung erlassen. Darunter fällt auch die Anwesenheitsdokumentationspflicht für Betriebe wie beispielsweise Einzelhandel, Gastronomie, Hotels, Kultur- und
Sporteinrichtungen. Das Ziel des luca Systems ist es sicher zu stellen, dass die erhobenen Daten von den Einrichtungen erst gar nicht gelesen werden können und nur im Infektionsfall vom Gesundheitsamt genutzt werden können.
Die dort erfassten Daten müssen den Mitarbeiter:innen und Ärztinnen und Ärzten in den Gesundheitsämtern zur Kontaktnachverfolgung bei Infektionsfällen zur Verfügung gestellt werden. Die Kontaktnachverfolgung durch die
Gesundheitsämter gehört zu den effektivsten Methoden, um Infektionsketten zu unterbrechen.
luca digitalisiert den Prozess der Kontaktnachverfolgung durch die Gesundheitsämter. Hierfür sind bestimmte personenbezogene Daten erforderlich, die sich je nach Bundesland unterscheiden. Deswegen erfasst luca Name, Vorname, Adresse, e-Mail Adresse und verifiziert die Mobilfunknummer des Smartphones auf dem die luca App installiert ist.
luca App Macher sind im Austausch mit den Datenschutzbehörden
Culture4life steht seit Monaten mit den deutschen Datenschutzaufsichtsbehörden in Kontakt und greift deren Anregungen und Verbesserungsvorschläge aktiv auf. Zuletzt hatte sich die Konferenz der Datenschutz-Aufsichtsbehörden des Bundes und der Länder mit Kontaktnachverfolgungs-Apps und speziell mit luca befasst
20210329_DSK_Stellungnahme.pdf (datenschutzkonferenz-online.de) und bestätigt:
“Die culture4life GmbH hat nach derzeitiger Kenntnis der DSK in dem Luca-System die oben genannten Vorteile realisiert und bisher identifizierte Risiken teilweise behandelt. Die DSK fordert das Unternehmen dennoch auf, weitere Anpassungen an dem System vorzunehmen, um den Schutz der teilnehmenden Personen weiter zu erhöhen.”
An den von der Datenschutzkonferenz adressierten Vorschlägen arbeiten wir gemeinsam mit den zuständigen Berliner Behörden, die in den kommenden Wochen in einem abgestimmten Migrationsplan umgesetzt werden. Diese behandeln Ideen wie luca noch datensparsamer ablaufen kann.
luca ist datenschutzkonform einsetzbar:
Auch der Landesdatenschutzbeauftragte Stefan Brink hat in seiner Stellungnahme gegenüber der Landesregierung Baden-Württemberg bestätigt, dass luca datenschutzkonform eingesetzt werden kann:
“Die geprüfte App ist aus Sicht des LfDI eine wertvolle Ergänzung der bisherigen staatlichen Schutzmaßnahmen zur Nachverfolgung von Kontakten während der Pandemic. Sie erfüllt die hohen Datenschutz-Standards der DS-GVO. Die
Dokumentation der erfolgten Kontakte wird auf technisch höchstem Stand verschlüsselt und es liegt allein in der Hand des Luca-Nutzers, ob, wann und mit wem er diese sensiblen Daten teilen möchte. Die „Luca-App“ kann einen sehr
wertvollen Beitrag leisten, um die Gesundheitsämter bei der Nachverfolgung von Infektionsketten zu entlasten.” (Quelle: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2021/04/Stellungnahme-LfDI-BW-Luca-App.pdf)
Dezentralisierung des Schlüsselmanagements
Alle Daten im luca System werden Ende-Zu-Ende verschlüsselt und sind nur im Falle einer vom Gesundheitsamt gestarteten Kontakt Nachverfolgung von diesem einsehbar. Alle Daten sind mit den dezentralen Schlüsseln der
Betreiber:innen sowie mit den Gesundheitsamt-Schlüsseln verschlüsselt. Jedes Gesundheitsamt besitzt einen individuellen Schlüssel mit dem auf die täglich wechselnden, rotierenden Schlüssel zugegriffen werden kann.
Das luca System verfügt über keine zentrale Stelle, die Daten alleine entschlüsseln kann. Dies reduziert signifikant die Wahrscheinlichkeit sowohl für erfolgreiche Angriffe durch Innentäter als auch von erfolgreichen Angriffen durch
Schadsoftware oder sonstige externe Angreifer wie Hacker.
Zum weiteren Schutz und zur Steigerung der Vertrauenswürdigkeit der Schlüssel werden diese für die Gesundheitsämter in den Ländern, die einen Vertrag geschlossen haben von der Bundesdruckerei erstellt (Third Party PKI). Dies ist ein gelerntes Verfahren z.B. aus dem Prozess der digitalen Einreisemeldung und räumt einen zentralen Kritikpunkt aus.
Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO
Aufgrund der zu erwartenden großen Mengen an Daten wurde eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erstellt und liegt der zuständigen Berliner Beauftragten für Datenschutz und Informationsfreiheit vor und wird nach Durchsprache entsprechend von uns veröffentlicht.
