Datenschutzrechtliche Hinweise zum Einsatz der Luca App in Hessen

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit gibt datenschutzrechtliche Hinweise für den Einsatz der Luca App.

Fotolia_211096039_S.jpg

Businessman holding and touching 3D rendering law cubes

Die Hessische Landesregierung hat die Luca App in Hessen als zentrale Lösung zur digitalen Kontaktnachverfolgung eingeführt. Inzwischen sind alle hessischen Gesundheitsämter an die Luca App angeschlossen.

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat die Einführung der Luca App in Hessen begleitet. Seitens des HBDI bestehen keine durchgreifenden datenschutzrechtlichen Bedenken gegen den freiwilligen Einsatz der Luca App. Vielmehr wird sie als sicherere Alternative zur Erfassung der Kontaktdaten in Papierform begrüßt. An einigen Punkten wurde jedoch ein Änderungs- und Verbesserungsbedarf festgestellt.

In Stellungnahmen der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 26.03.2021 und vom 29.04.2021 ist der Änderungs- und Verbesserungsbedarf dargestellt[1]. Schwachstellen werden von dem Hersteller von Luca im Rahmen eines den Datenschutzaufsichtsbehörden vorgestellten Arbeitsplans mit hohem Zeitdruck behoben. Inzwischen sind bereits einige dieser Punkte umgesetzt und den Quellcode des Luca Systems vollständig veröffentlicht. Der HBDI erwartet, dass die Betreiberin ihre Anstrengungen unvermindert fortsetzt und auch zukünftig neu festgestellte Schwachstellen umgehend behebt. Grundsätzlich ist jedoch die Berliner Beauftragte für Datenschutz und Informationsfreiheit für die Prüfung der Luca App zuständig, da die culture4life GmbH als Betreiberin dieser App ihren Sitz in Berlin hat.

In der Praxis beschäftigen sich nun sowohl die zur Kontaktdatenerhebung verpflichteten Veranstalter, Gastronomen und sonstigen Einrichtungen (im Folgenden: „Veranstalter“) als auch Besucherinnen und Besucher erstmals mit der Luca App. In diesen Hinweisen möchte der HBDI daher einige datenschutzrechtliche Fragestellungen zur Nutzung der Luca App durch Veranstalter und Besucher beantworten:

I. Sind Besucherinnen und Besucher von Restaurants, Hotels, Veranstaltungen etc. nun zur Nutzung der Luca App verpflichtet?

Die Luca App ist eine digitale Ergänzung der Kontaktnachverfolgung durch die hessischen Gesundheitsämter. Für Veranstalter sowie für Besucherinnen und Besucher kann sie das Ausfüllen der Zettel, die bislang zur Kontaktnachverfolgung eingesetzt wurden, ersetzen. Die Nutzung der Luca App ist für die Besucherinnen und Besucher in Hessen grundsätzlich freiwillig. Es besteht kein gesetzlicher Nutzungszwang.

Sofern Besucherinnen und Besucher ihre Kontaktdaten über das Luca-System bereitstellen möchten, rät der HBDI ihnen, die Risiken der zur Verfügung stehenden Alternativen bewusst abzuwägen. Hierzu zählen bspw. die bekanntgewordenen Schwachstellen im Zusammenhang mit den Schlüsselanhängern und Angriffsszenarien bei der Nutzung des elektronischen Kontaktformulars.

II. Müssen Veranstalter eine andere Form der Kontaktdatenerfassung anbieten?

Nach Auffassung des HBDI müssen Veranstalter ihren Besucherinnen und Besuchern neben der Luca App auch ein alternatives Mittel zur Datenerhebung für die Kontaktnachverfolgung anbieten. So muss für diejenigen Besucherinnen und Besucher, die das Luca System (Luca App, Luca Schlüsselanhänger oder Luca Kontaktformular) nicht nutzen möchten, weiterhin die schriftliche Erfassung ihrer Kontaktdaten auf Papier möglich sein.

Die Kontaktdatenerhebung kann auch durch entsprechende Apps oder sonstige Systeme anderer Anbieter erfolgen, soweit dies technisch und datenschutzrechtskonform möglich ist. Hierbei sollten die Veranstalter darauf achten, dass die Besuchsdaten von den Betreibern der Apps nicht zu eigenen Zwecken (z.B. Werbung) genutzt werden, da diese als Auftragsverarbeiter der Veranstalter die Daten nur zum Zweck der Kontaktnachverfolgung nutzen dürfen. Die Besucherinnen und Besucher können sich durch einen Blick in die Datenschutzerklärung oder Nutzungsbestimmungen vergewissern, dass keine entsprechenden Klauseln oder Einwilligungen zur Verwendung ihrer Daten für eigene Zwecke der Betreiber verwendet werden.

In jedem Fall muss Besucherinnen und Besuchern mindestens eine Alternative zur Kontaktdatenerfassung bereitgestellt werden, bei der eine Verarbeitung personenbezogener Daten ausschließlich zum Zweck der etwaigen Kontaktdatenübermittlung an ein zuständiges Gesundheitsamt erfolgt. Die Nutzung dieser Alternative darf an keine unverhältnismäßigen Anforderungen geknüpft sein. Hierzu zählen bspw. der Zwang zur Installation einer App auf privaten Endgeräten oder der zwingende Besuch einer Website mit einem solchen.

III. Welche Vereinbarungen haben Veranstalter mit der culture4life GmbH zu treffen?

Bei der Erhebung der Check-in Daten der Besucherinnen und Besucher handelt die culture4life GmbH nach Auffassung des HBDI als Auftragsverarbeiterin des Veranstalters, die ihm hilft seine Verpflichtung zur Kontaktnachverfolgung zu erfüllen. Daher muss gemäß Art. 28 Abs. 3 DS-GVO zwischen dem jeweiligen Veranstalter und der culture4life GmbH eine Auftragsverarbeitungsvereinbarung abgeschlossen werden.

Hierbei ist besonderes Augenmerk auf die Regelungen zur Haftung, zur Erfüllung der Meldepflicht nach Art. 33 DS-GVO und zur Durchführung einer Datenschutz-Folgenabschätzung zu legen.

IV. Wie sollte das Einchecken erfolgen?

Das Einchecken über die Luca App kann entweder dadurch erfolgen, dass der Veranstalter den QR-Code in der App der Besucherinnen und Besucher scannt oder dadurch, dass diese einen QR-Code des Veranstalters scannen. Soweit ohnehin der Impfpass oder die Testbescheinigung persönlich kontrolliert wird, sollte die erste Variante gewählt werden, da sie weniger fehleranfällig ist und der Veranstalter sicher sein kann, dass das Einchecken funktioniert hat. Die zweite Variante sollte nur gewählt werden, wenn die erste Alternative aus organisatorischen Gründen nicht möglich ist.

V. Wo sollen die QR-Codes durch die Veranstalter platziert werden?

Die zweite Alternative kann u.a. dahingehend missbraucht werden, dass die entsprechenden QR-Codes abfotografiert und zum Einchecken „aus der Ferne“ verwendet werden. Falls sich Veranstalter dennoch für diese Alternative entscheiden, sollte das Missbrauchspotential soweit wie möglich reduziert werden. Daher sollten die QR-Codes z.B. nach Möglichkeit im Innenbereich des Veranstaltungsortes (im Lokal, im Schwimmbad oder in der Veranstaltungshalle) platziert werden und nicht von außen einsehbar sein. Auch sollten Veranstalter Indizien für die mögliche missbräuchliche Verwendung ihrer QR-Codes regelmäßig aktiv im Auge behalten, etwa unerwartet hohe und mit der beobachteten Realität nicht übereinstimmende Besucherzahlen.

Die Luca App bietet die Möglichkeit der Verwendung unterschiedlicher QR-Codes für verschieden Bereiche („Tisch-QR-Code“). Die Veranstalter sollten von dieser Möglichkeit Gebrauch machen und den Veranstaltungsort in verschiedene Bereiche unterteilen, soweit dies den Vorgaben der zuständigen Gesundheitsämter entspricht. Dadurch kann die Übermittlung von Kontaktdaten, die zur Kontaktnachverfolgung nicht erforderlich sind, verhindert werden.

VI. Wie werden die Besuchsdaten der Nutzer gelöscht?

Die Luca App löscht die von den Veranstaltern erhobenen Besuchsdaten automatisch und eigenständig nach 30 Tagen. Anders als bei der Kontaktdatenerfassung in Papierform müssen die Veranstalter hier also keine Verfahren zur Beachtung der entsprechenden Aufbewahrungsfrist aus der Corona-Kontakt-und Betriebsbeschrän- kungsverordnung festlegen.

VII. Was haben Veranstalter noch zu beachten?

Die Sicherheitsschlüssel der Veranstalter (Privater Schlüssel als Code) müssen sicher aufbewahrt und vor dem Zugriff Dritter geschützt werden, um Missbrauch zu verhindern.

Es muss klar geregelt sein, welche Beschäftigten Zugriff auf den Sicherheitsschlüssel haben. Der Zugriff sollte nur für diejenigen Beschäftigten erlaubt sein, die im Falle einer Anfrage des zuständigen Gesundheitsamtes die Besuchsdaten freigeben sollen („Need-to-Know-Prinzip“).

Stand: 09.06.2021

[1] https://www.datenschutzkonferenz-online.de/media/st/20210329_DSK_Stellun...

SERVICE