Kontaktnachverfolgung:
Nachbesserungsbedarf bei Luca


[10.5.2021] Mehrere Länder wollen die Luca-App einsetzen – daher nahmen die Datenschutzaufsichtsbehörden die Anwendung unter die Lupe. Das Fazit: eine grundsätzlich tragfähige Konzeption, die weiterer Schutzmaßnahmen bedarf. Die Behörden raten, auch Alternativen zu berücksichtigen.

Zahlreiche Bundesländer, darunter Niedersachsen, haben sich dafür entschieden, Lizenzen für die Kontaktnachverfolgungs-App Luca zu erwerben. Dadurch ist die App Gegenstand verschiedener Untersuchungen der Datenschutzaufsichtsbehörden geworden. Unter anderem bat das Niedersächsische Innenministerium (MI) die Landesbeauftragte für den Datenschutz (LfD), Barbara Thiel, um Beratung zum datenschutzgerechten Einsatz von Luca. Thiel bescheinigt der Luca-App eine grundsätzlich tragfähige technische Architektur zur digitalen Kontaktnachverfolgung. Zugleich weist sie aber darauf hin, dass weitere technische Schutzmaßnahmen notwendig sind, um einen Missbrauch des Systems zu verhindern. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) hatte eine entsprechende Stellungnahme beschlossen.

Missbrauch und Datendiebstahl möglich

Die Landesdatenschutzbeauftragte weist darauf hin, dass der App-Anbieter culture4life technische Abhilfemaßnahmen umsetzen müsse, um den Missbrauch durch Fake-Identitäten auszuschließen. Dies habe culture4life bereits gegenüber den Aufsichtsbehörden angekündigt. Darüber hinaus könne es beim Aushang ausgedruckter QR-Codes zu massenhaft missbräuchlichen Einträgen in das System kommen, ohne dass sich die eintragenden Personen am angegebenen Ort aufgehalten haben. Dadurch könnten die Gesundheitsämter mit nutzlosen Daten überlastet werden. Es müsse deshalb gewährleistet werden, dass die Gesundheitsämter missbräuchliche Einträge erkennen können.
Weitere Risiken birgt die zentrale Datenhaltung des Systems. Diese können nicht vollständig durch die eingesetzten zweistufigen Verschlüsselungsmechanismen ausgeräumt werden. Ein qualifizierter Angriff gegen die zentralen IT-Systeme des Dienstes könne dazu führen, dass die Angreifenden im schlimmsten Fall in großem Umfang Daten über die Anwesenheit von Personen bei Veranstaltungen entschlüsseln und ausleiten können. Das Unternehmen culture4life habe in einem Arbeitsplan mehrere Schritte für Nachbesserungen festgelegt, heißt es in der Meldung der LfD. Die Datenschutzkonferenz erkenne diese Anstrengungen und die Kooperationsbereitschaft des Unternehmens an und erwarte, dass der Arbeitsplan schnell und sorgfältig in die Tat umgesetzt wird.

Empfehlung für Luca-Alternativen

Die Landesdatenschützerin Barbara Thiel rät außerdem, sich nicht ausschließlich auf Luca zu fokussieren, sondern „auch andere Systeme in den Blick zu nehmen“. Die Corona-Verordnung des Landes Niedersachsen sehe für Veranstalter derzeit keine verpflichtende Nutzung von Luca vor – alternative Apps oder die Datenerfassung in Papierform seien weiterhin möglich.
Die Datenschutzkonferenz empfiehlt in einer Entschließung zudem, die Chancen der Corona-Warn-App 2.0 zur Benachrichtigung potenziell infizierter Personen und zur Clustererkennung zu nutzen. Seit dem Update auf die Version 2.0 verfüge die App über eine Registrierungsfunktion für Orte, an denen viele Menschen zusammenkommen. Auch wenn hierbei – anders als bei anderen Apps – keine personenbezogenen Daten erhoben und später an die Gesundheitsämter übermittelt würden, könnte die pseudonymisierte Clustererkennung einen erheblichen Beitrag zur Unterbrechung von Infektionsketten leisten. (sib)

Stellungnahme der Datenschutzkonferenz zur Luca-App und ähnlichen Systemen (PDF; 268 KB) (Deep Link)
Entschließung der Datenschutzkonferenz zur Corona-Warn-App (PDF; 230 KB) (Deep Link)
Orientierungshilfe: Einsatz von digitalen Diensten zur Kontaktnachverfolgung (PDF; 455 KB) (Deep Link)

Stichwörter: IT-Sicherheit, Kontaktnachverfolgung, Luca, Niedersachsen, Datenschutz, Corona



Druckversion    PDF     Link mailen


Weitere Meldungen und Beiträge aus dem Bereich IT-Sicherheit
OWL-IT: BSI bestätigt höchstmögliche IT-Sicherheit
[19.4.2024] Das Bundesamt für Informationssicherheit (BSI) hat dem IT-Dienstleister Ostwestfalen-Lippe-IT die Einhaltung höchster Sicherheitsstandards bescheinigt. mehr...
IT-Sicherheit: Widerstandskraft stärken Interview
[10.4.2024] Die EU-Richtlinie NIS2 soll die Cyber-Sicherheit in Europa erhöhen. Von den Vorgaben sind deutlich mehr KRITIS-Unternehmen betroffen als bislang. Kommune21 sprach mit Dirk Arendt von Trend Micro darüber, wie ein Cyber-Risiko-Management aussehen muss. mehr...
Dirk Arendt
Net at Work: Zertifizierte E-Mail-Sicherheit Interview
[2.4.2024] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Lösung für E-Mail-Sicherheit des Herstellers Net at Work nach BSZ zertifiziert. Stefan Cink, Director Business and Professional Services, erklärt, was das für kommunale Kunden bedeutet. mehr...
Stefan Cink, Director Business and Professional Services bei Net a Work
BSI: Viele Exchange-Server ungeschützt
[27.3.2024] Microsoft Exchange ist ein weit verbreiteter E-Mail- und Groupware-Server. Veraltete Systeme und nicht eingespielte Updates eröffnen kritische Sicherheitslücken. Das BSI geht davon aus, dass etwa die Hälfte aller Exchange-Server in Deutschland verwundbar ist und rät dringend, den Patch-Stand zu prüfen und zu aktualisieren. mehr...
Tausende Microsoft-Exchange-Server in Deutschland sind nach BSI-Angaben für kritische Schwachstellen verwundbar, weil Updates nicht durchgeführt wurden.
Märkischer Kreis/Iserlohn: Fortschritte nach Hacker-Angriff auf SIT
[25.3.2024] Nach einem erfolgreichen Cyber-Angriff auf den kommunalen IT-Dienstleister Südwestfalen-IT waren auch zahlreiche Kommunen zwangsweise offline. Nun gibt es gute Nachrichten: Der Märkische Kreis und die Stadt Iserlohn melden, dass viele Dienstleistungen für Bürger wieder online zugänglich sind. mehr...
Nach dem Cyber-Angriff auf den IT-Dienstleister SIT laufen die Bürgerportale im Märkischen Kreis und in Iserlohn wieder.
Suchen...

 Anzeige

 Anzeige

 Anzeige



Aboverwaltung


Abbonement kuendigen

Abbonement kuendigen
Ausgewählte Anbieter aus dem Bereich IT-Sicherheit:
GISA GmbH
06112 Halle (Saale)
GISA GmbH
beyond SSL GmbH
90619 Trautskirchen
beyond SSL GmbH
ITEBO GmbH
49074 Osnabrück
ITEBO GmbH
Aktuelle Meldungen