Kontaktnachverfolgung:
Nachbesserungsbedarf bei Luca


[10.5.2021] Mehrere Länder wollen die Luca-App einsetzen – daher nahmen die Datenschutzaufsichtsbehörden die Anwendung unter die Lupe. Das Fazit: eine grundsätzlich tragfähige Konzeption, die weiterer Schutzmaßnahmen bedarf. Die Behörden raten, auch Alternativen zu berücksichtigen.

Zahlreiche Bundesländer, darunter Niedersachsen, haben sich dafür entschieden, Lizenzen für die Kontaktnachverfolgungs-App Luca zu erwerben. Dadurch ist die App Gegenstand verschiedener Untersuchungen der Datenschutzaufsichtsbehörden geworden. Unter anderem bat das Niedersächsische Innenministerium (MI) die Landesbeauftragte für den Datenschutz (LfD), Barbara Thiel, um Beratung zum datenschutzgerechten Einsatz von Luca. Thiel bescheinigt der Luca-App eine grundsätzlich tragfähige technische Architektur zur digitalen Kontaktnachverfolgung. Zugleich weist sie aber darauf hin, dass weitere technische Schutzmaßnahmen notwendig sind, um einen Missbrauch des Systems zu verhindern. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) hatte eine entsprechende Stellungnahme beschlossen.

Missbrauch und Datendiebstahl möglich

Die Landesdatenschutzbeauftragte weist darauf hin, dass der App-Anbieter culture4life technische Abhilfemaßnahmen umsetzen müsse, um den Missbrauch durch Fake-Identitäten auszuschließen. Dies habe culture4life bereits gegenüber den Aufsichtsbehörden angekündigt. Darüber hinaus könne es beim Aushang ausgedruckter QR-Codes zu massenhaft missbräuchlichen Einträgen in das System kommen, ohne dass sich die eintragenden Personen am angegebenen Ort aufgehalten haben. Dadurch könnten die Gesundheitsämter mit nutzlosen Daten überlastet werden. Es müsse deshalb gewährleistet werden, dass die Gesundheitsämter missbräuchliche Einträge erkennen können.
Weitere Risiken birgt die zentrale Datenhaltung des Systems. Diese können nicht vollständig durch die eingesetzten zweistufigen Verschlüsselungsmechanismen ausgeräumt werden. Ein qualifizierter Angriff gegen die zentralen IT-Systeme des Dienstes könne dazu führen, dass die Angreifenden im schlimmsten Fall in großem Umfang Daten über die Anwesenheit von Personen bei Veranstaltungen entschlüsseln und ausleiten können. Das Unternehmen culture4life habe in einem Arbeitsplan mehrere Schritte für Nachbesserungen festgelegt, heißt es in der Meldung der LfD. Die Datenschutzkonferenz erkenne diese Anstrengungen und die Kooperationsbereitschaft des Unternehmens an und erwarte, dass der Arbeitsplan schnell und sorgfältig in die Tat umgesetzt wird.

Empfehlung für Luca-Alternativen

Die Landesdatenschützerin Barbara Thiel rät außerdem, sich nicht ausschließlich auf Luca zu fokussieren, sondern „auch andere Systeme in den Blick zu nehmen“. Die Corona-Verordnung des Landes Niedersachsen sehe für Veranstalter derzeit keine verpflichtende Nutzung von Luca vor – alternative Apps oder die Datenerfassung in Papierform seien weiterhin möglich.
Die Datenschutzkonferenz empfiehlt in einer Entschließung zudem, die Chancen der Corona-Warn-App 2.0 zur Benachrichtigung potenziell infizierter Personen und zur Clustererkennung zu nutzen. Seit dem Update auf die Version 2.0 verfüge die App über eine Registrierungsfunktion für Orte, an denen viele Menschen zusammenkommen. Auch wenn hierbei – anders als bei anderen Apps – keine personenbezogenen Daten erhoben und später an die Gesundheitsämter übermittelt würden, könnte die pseudonymisierte Clustererkennung einen erheblichen Beitrag zur Unterbrechung von Infektionsketten leisten. (sib)

Stellungnahme der Datenschutzkonferenz zur Luca-App und ähnlichen Systemen (PDF; 268 KB) (Deep Link)
Entschließung der Datenschutzkonferenz zur Corona-Warn-App (PDF; 230 KB) (Deep Link)
Orientierungshilfe: Einsatz von digitalen Diensten zur Kontaktnachverfolgung (PDF; 455 KB) (Deep Link)

Stichwörter: IT-Sicherheit, Kontaktnachverfolgung, Luca, Niedersachsen, Datenschutz, Corona



Druckversion    PDF     Link mailen



Weitere Meldungen und Beiträge aus dem Bereich IT-Sicherheit
Digital. Sicher. Souverän.: BMBF startet Forschungsprogramm
[11.6.2021] Das Bundeskabinett hat ein Forschungsprogramm zur IT-Sicherheit beschlossen. 350 Millionen Euro stehen dafür bereit. In einem ersten Schritt wurde die „Richtlinie zur Förderung von Forschungsvorhaben zum Thema IoT-Sicherheit in Smart Home, Produktion und sensiblen Infrastrukturen“ veröffentlicht. mehr...
Bundesforschungsministerin Anja Karliczek stellt das 350-Millionen-Euro-Rahmenprogramm zur IT-Sicherheitsforschung vor.
Initiative Sicherer Bürgerdialog: Webinar-Tag zu E-Mail-Verschlüsselung
[10.6.2021] Zum Webinar-Tag über die E-Mail-Verschlüsselung in öffentlichen Verwaltungen lädt am 17. Juni die Initiative Sicherer Bürgerdialog ein. Die kostenlose Veranstaltung adressiert den Auf- und Ausbau von Mail-Infrastrukturen, Verschlüsselungsverfahren sowie den Einsatz von Zertifikaten in Verwaltungen und Behörden. mehr...
BSI: IT-Sicherheitsgesetz 2.0 in Kraft
[2.6.2021] Das IT-Sicherheitsgesetz 2.0 ist im Bundesgesetzblatt verkündet und damit in Kraft getreten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält damit neue Kompetenzen. mehr...
Nordrhein-Westfalen: Cybersicherheitsstrategie vorgestellt
[23.4.2021] Nordrhein-Westfalen hat eine neue Cybersicherheitsstrategie. Vorgesehen sind mehr Cyber-Cops, Warnungen vor Cyber-Attacken durch den Verfassungsschutz und eine Online-Plattform der im Innenministerium angesiedelten Koordinierungsstelle Cyber-Sicherheit. mehr...
Bayern: Leitfaden zum IT-Outsourcing
[31.3.2021] Einen Leitfaden mit Hilfestellungen zum datenschutzgerechten Outsourcing kommunaler IT hat jetzt der Bayerische Landesbeauftragte für den Datenschutz veröffentlicht. mehr...
Suchen...

Aktuelle Information des Verlags


In Zeiten der Corona-Pandemie werden wir aktuelle Ausgaben von Kommune21 allen Interessierten bis auf weiteres kostenfrei digital zur Verfügung stellen. Weisen Sie bitte auch Ihre Kolleginnen und Kollegen im Homeoffice auf diese Möglichkeit hin.

Wir haben an dieser Stelle eine Bitte an Sie:
Die gegenwärtige Situation macht einmal mehr deutlich, wie wichtig das Thema Digitalisierung auch in Ihrer Verwaltung, Behörde oder Schule ist. Kommune21 berichtet seit 20 Jahren über alle wichtigen Themen der IT-gestützten Verwaltungsmodernisierung und hilft, die Digitalisierung im Public Sector transparent und besser zu gestalten. Bitte prüfen Sie über Ihre Buchhaltung, ob Sie bereits ein reguläres Abonnement von Kommune21 haben. Wenn nicht, dann freuen wir uns, wenn Sie gerade in diesen Zeiten ein Abonnement in Betracht ziehen. Danke!

Kommune21, Ausgabe 6/2021
Kommune21, Ausgabe 5/2021
Kommune21, Ausgabe 4/2021
Kommune21, Ausgabe 3/2021

Ausgewählte Anbieter aus dem Bereich IT-Sicherheit:
NCP engineering GmbH
90449 Nürnberg
NCP engineering GmbH
procilon IT-Logistics GmbH
04425 Taucha bei Leipzig
procilon IT-Logistics GmbH
Net at Work GmbH
33104 Paderborn
Net at Work GmbH
Aktuelle Meldungen