Luca-App: Weitere Schutzmaßnahmen notwendig

Technische Maßnahmen seien notwendig, um einen Missbrauch des Systems zu verhindern.

Symbolbild.
Symbolbild. | Foto: Anke Donner

Region. Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, Barbara Thiel, bescheinigt der App „Luca" eine grundsätzlich tragfähige technische Architektur zur digitalen Kontaktnachverfolgung. Zugleich weist Thiel aber darauf hin, dass weitere technische Schutzmaßnahmen notwendig sind, um einen Missbrauch des Systems zu verhindern. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hatte am vergangenen Donnerstag eine entsprechende Stellungnahme beschlossen. Dies teilt die Landesbeauftragte für den Datenschutz Niedersachsen in einer Pressemitteilung mit.


„Ich unterstütze mit der Datenschutzkonferenz die Entwicklung und den datenschutzkonformen Einsatz von digitalen Systemen zur Kontaktnachverfolgung. Sie erleichtern Veranstaltern die Erfüllung ihrer Dokumentationspflichten und können die Kontaktnachverfolgung durch die Gesundheitsämter beschleunigen", so Thiel. „Zudem können sie im Vergleich zu schriftlichen Listen den Vorteil bieten, dass den Veranstaltern keine Namen oder andere Angaben über ihre Gäste bekannt werden und dass diese Angaben durch Verschlüsselung geschützt werden." Zusätzlich zu ihrer Stellungnahme habe die Datenschutzkonferenz eine Orientierungshilfe zu digitalen Kontaktnachverfolgungssystemen veröffentlicht, welche die datenschutzrechtlichen Anforderungen an diese Systeme erläutert.



Missbräuchliche Nutzung


Zahlreiche Bundesländer, darunter auch Niedersachsen, haben sich dafür entschieden, Lizenzen für „Luca" zu erwerben. Dadurch sei die App Gegenstand verschiedener Untersuchungen der Datenschutzaufsichtsbehörden geworden. Diese hätten gezeigt, dass das System dem Grunde nach über eine tragfähige Konzeption verfüge. Dennoch würden Risiken, die sich durch eine missbräuchliche Nutzung ergeben können, weitere technische Schutzmaßnahmen erforderlich machen. So sei es zum Beispiel notwendig, dass die culture4life GmbH, welche die App anbietet, technische Abhilfemaßnahmen umsetzt, um den Missbrauch durch Fake-Identitäten auszuschließen. Dies habe culture4life bereits gegenüber den Aufsichtsbehörden angekündigt.

Darüber hinaus könne es beim Aushang ausgedruckter QR-Codes zu massenhaft missbräuchlichen Einträgen in das System kommen, ohne dass sich die eintragenden Personen tatsächlich am angegebenen Ort aufgehalten haben. Dadurch könnten die Gesundheitsämter mit Daten überlastet werden, die für die Kontaktnachverfolgung nutzlos seien. Es müsse deshalb gewährleistet werden, dass die Gesundheitsämter missbräuchliche Einträge erkennen können.

Weitere Risiken birge die zentrale Datenhaltung des Systems, die nicht alle durch die eingesetzten zweistufigen Verschlüsselungsmechanismen vollständig ausgeräumt werden. Ein qualifizierter Angriff gegen die zentralen IT-Systeme des Dienstes könnte dazu führen, dass die Angreifenden im schlimmsten Fall in großem Umfang Daten über die Anwesenheit von Personen bei Veranstaltungen entschlüsseln und ausleiten könnten.

Die culture4life GmbH habe in einem Arbeitsplan mehrere Schritte für Nachbesserungen festgelegt. Die Datenschutzkonferenz erkenne diese Anstrengungen und die Kooperationsbereitschaft des Unternehmens an und erwartet, dass der Arbeitsplan schnell und trotzdem sorgfältig in die Tat umgesetzt werde.

Nicht nur auf Luca fokussieren


Das Niedersächsische Innenministerium (MI) habe die Landesdatenschutzbeauftragte inzwischen um Beratung zum datenschutzgerechten Einsatz von „Luca" gebeten. „Ich begrüße es, dass die Landesregierung meine Behörde in diesen Prozess einbezieht und werde der Bitte gerne nachkommen", sagt Barbara Thiel. „Gleichzeitig rate ich aber dazu, sich nicht ausschließlich auf ‚Luca' zu fokussieren, sondern auch andere Systeme in den Blick zu nehmen." Die Corona-Verordnung des Landes Niedersachsen sehe für Veranstalter bislang keine verpflichtende Nutzung von „Luca" vor; sie könnten also auch Alternativen verwenden oder weiterhin die Kontaktdaten in Papierform erfassen.

Die Datenschutzkonferenz empfehle in einer Entschließung zudem, die Chancen der Corona-Warn-App 2.0 zur Benachrichtigung potenziell infizierter Personen und zur Clustererkennung zu nutzen. Seit dem Update auf die Version 2.0 verfüge die App über eine Registrierungsfunktion für Orte, an denen viele Menschen zusammenkommen. Auch wenn hierbei - anders als bei anderen Apps - keine personenbezogenen Daten erhoben und später an die Gesundheitsämter übermittelt werden können, könne die pseudonymisierte Clustererkennung einen erheblichen Beitrag zur Unterbrechung von Infektionsketten leisten.



mehr News aus der Region