Datenschutzrechtliche Hinweise zum Einsatz der Luca App in Hessen

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit gibt datenschutzrechtliche Hinweise für den Einsatz der Luca App.

Fotolia_211096039_S.jpg

Businessman holding and touching 3D rendering law cubes

Die Hessische Landesregierung hat die Luca App in Hessen als zentrale Lösung zur digitalen Kontaktnachverfolgung eingeführt. Inzwischen sind alle hessischen Gesundheitsämter an die Luca App angeschlossen.

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat die Einführung der Luca App in Hessen begleitet. Seitens des HBDI bestehen keine durchgreifenden datenschutzrechtlichen Bedenken gegen den freiwilligen Einsatz der Luca App. Vielmehr wird sie als sicherere Alternative zur Erfassung der Kontaktdaten in Papierform begrüßt.

An einigen Punkten wurde jedoch Änderungs- und Verbesserungsbedarf festgestellt. Dieser ist in den Stellungnahmen der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 26.03.2021 und vom 29.04.2021 dargestellt[1]. Schwachstellen werden von dem Hersteller von Luca im Rahmen eines den Datenschutzaufsichtsbehörden vorgestellten Arbeitsplans mit hohem Zeitdruck behoben. Inzwischen sind bereits einige dieser Punkte umgesetzt und die Betreiberin hat den Quellcode des Luca Systems vollständig veröffentlicht. Der HBDI erwartet, dass die Betreiberin ihre Anstrengungen unvermindert fortsetzt und auch zukünftig neu festgestellte Schwachstellen umgehend behebt. Grundsätzlich ist jedoch die Berliner Beauftragte für Datenschutz und Informationsfreiheit für die Prüfung der Luca App zuständig, da die culture4life GmbH als Betreiberin dieser App ihren Sitz in Berlin hat.

Seit dem 16.09.2021 sind Gastronome und Veranstalter nicht mehr zur Kontaktdatenerfassung verpflichtet. Die Coronavirus-Schutzverordnung (CoSchuV) wurde überarbeitet und verpflichtet inzwischen nur noch Einrichtungen mit besonders gefährdeten Personen wie Krankenhäuser oder Alten- und Pflegeheime sowie Clubs, Diskotheken und Bordelle (im folgenden „Verpflichtete“) zur Kontaktdatenerfassung.

Die verpflichtende Kontaktdatenerfassung durch Gastronome und Veranstalter ist daher grundsätzlich nicht mehr zulässig. Für diese Datenerhebung ist keine Rechtsgrundlage mehr vorhanden, da die entsprechende Pflicht zur Kontaktdatenerfassung weggefallen ist.

In diesen Hinweisen möchte der HBDI für die verbleibenden Anwendungsszenarien der Luca App datenschutzrechtliche Fragestellungen zu deren Nutzung beantworten:

I. Sind Besucherinnen und Besucher von Krankenhäusern, Altenheimen, Clubs etc. zur Nutzung der Luca App verpflichtet?

Die Luca App ist eine digitale Ergänzung der Kontaktnachverfolgung durch die hessischen Gesundheitsämter. Sie kann das Ausfüllen der Zettel, die bislang zur Kontaktnachverfolgung eingesetzt wurden, ersetzen. Die Nutzung der Luca App ist für die Besucherinnen und Besucher in Hessen grundsätzlich freiwillig. Es besteht kein gesetzlicher Nutzungszwang.

Sofern Besucherinnen und Besucher ihre Kontaktdaten über das Luca-System bereitstellen möchten, rät der HBDI ihnen, die Risiken der zur Verfügung stehenden Alternativen bewusst abzuwägen. Hierzu zählen bspw. die bekanntgewordenen Schwachstellen im Zusammenhang mit den Schlüsselanhängern und Angriffsszenarien bei der Nutzung des elektronischen Kontaktformulars.

II. Müssen Verpflichtete eine andere Form der Kontaktdatenerfassung anbieten?

Nach Auffassung des HBDI müssen Verpflichtete ihren Besucherinnen und Besuchern neben der Luca App auch ein alternatives Mittel zur Datenerhebung für die Kontaktnachverfolgung anbieten. So muss für diejenigen Besucherinnen und Besucher, die das Luca System (Luca App, Luca Schlüsselanhänger oder Luca Kontaktformular) nicht nutzen möchten, weiterhin die schriftliche Erfassung ihrer Kontaktdaten auf Papier möglich sein.

Die Kontaktdatenerhebung kann auch durch entsprechende Apps oder sonstige Systeme anderer Anbieter erfolgen, soweit dies technisch und datenschutzrechtskonform möglich ist. Hierbei sollten die zur Kontaktdatenerfassung Verpflichteten darauf achten, dass die Besuchsdaten von den Betreibern der Apps nicht zu eigenen Zwecken (z.B. Werbung) genutzt werden, da diese als Auftragsverarbeiter der Verpflichteten die Daten nur zum Zweck der Kontaktnachverfolgung nutzen dürfen. Die Besucherinnen und Besucher können sich durch einen Blick in die Datenschutzerklärung oder Nutzungsbestimmungen vergewissern, dass keine entsprechenden Klauseln oder Einwilligungen zur Verwendung ihrer Daten für eigene Zwecke der Betreiber verwendet werden.

In jedem Fall muss Besucherinnen und Besuchern mindestens eine Alternative zur Kontaktdatenerfassung bereitgestellt werden, bei der eine Verarbeitung personenbezogener Daten ausschließlich zum Zweck der etwaigen Kontaktdatenübermittlung an ein zuständiges Gesundheitsamt erfolgt. Die Nutzung dieser Alternative darf an keine unverhältnismäßigen Anforderungen geknüpft sein. Hierzu zählen bspw. der Zwang zur Installation einer App auf privaten Endgeräten oder der zwingende Besuch einer Website mit einem solchen.

III. Welche Vereinbarungen haben Verpflichtete mit der culture4life GmbH zu treffen?

Bei der Erhebung der Check-in Daten der Besucherinnen und Besucher handelt die culture4life GmbH nach Auffassung des HBDI als Auftragsverarbeiterin des Verpflichteten, die ihm hilft, seine Verpflichtung zur Kontaktdatenerfassung zu erfüllen. Daher muss gemäß Art. 28 Abs. 3 DS-GVO zwischen dem jeweiligen Verpflichteten und der culture4life GmbH eine Auftragsverarbeitungsvereinbarung abgeschlossen werden.

Hierbei ist besonderes Augenmerk auf die Regelungen zur Haftung, zur Erfüllung der Meldepflicht nach Art. 33 DS-GVO und zur Durchführung einer Datenschutz-Folgenabschätzung zu legen.

IV. Wie sollte das Einchecken erfolgen?

Das Einchecken über die Luca App kann entweder dadurch erfolgen, dass der Verpflichtete den QR-Code in der App der Besucherinnen und Besucher scannt oder dadurch, dass diese einen QR-Code des Verpflichteten scannen. Soweit ohnehin der Impfpass oder die Testbescheinigung persönlich kontrolliert wird, sollte die erste Variante gewählt werden, da sie weniger fehleranfällig ist und der Verpflichtete sicher sein kann, dass das Einchecken funktioniert hat. Die zweite Variante sollte nur gewählt werden, wenn die erste Alternative aus organisatorischen Gründen nicht möglich ist.

V. Wo sollen die QR-Codes durch die Verpflichteten platziert werden?

Die zweite Alternative kann u.a. dahingehend missbraucht werden, dass die entsprechenden QR-Codes abfotografiert und zum Einchecken „aus der Ferne“ verwendet werden. Falls sich Verpflichtete dennoch für diese Alternative entscheiden, sollte das Missbrauchspotential soweit wie möglich reduziert werden. Daher sollten die QR-Codes z.B. nach Möglichkeit im Innenbereich platziert werden und nicht von außen einsehbar sein. Auch sollten Verpflichtete Indizien für die mögliche missbräuchliche Verwendung ihrer QR-Codes regelmäßig aktiv im Auge behalten, etwa unerwartet hohe und mit der beobachteten Realität nicht übereinstimmende Besucherzahlen.

Die Luca App bietet die Möglichkeit der Verwendung unterschiedlicher QR-Codes für verschieden Bereiche („Tisch-QR-Code“). Die Verpflichteten sollten von dieser Möglichkeit Gebrauch machen und die Räumlichkeiten in verschiedene Bereiche unterteilen, soweit dies den Vorgaben der zuständigen Gesundheitsämter entspricht. Dadurch kann die Übermittlung von Kontaktdaten, die zur Kontaktnachverfolgung nicht erforderlich sind, verhindert werden.

VI. Wie werden die Besuchsdaten der Nutzer gelöscht?

Die Luca App löscht die von den Verpflichteten erhobenen Besuchsdaten automatisch und eigenständig nach 4 Wochen. Anders als bei der Kontaktdatenerfassung in Papierform müssen die Verpflichteten hier also keine Verfahren zur Beachtung der gesetzlichen Löschfrist aus § 28a Abs. 4 S. 3 des Infektionsschutzgesetzes festlegen.

VII. Was haben Verpflichtete noch zu beachten?

Die Sicherheitsschlüssel der Verpflichteten (Privater Schlüssel als Code) müssen sicher aufbewahrt und vor dem Zugriff Dritter geschützt werden, um Missbrauch zu verhindern.

Es muss klar geregelt sein, welche Beschäftigten Zugriff auf den Sicherheitsschlüssel haben. Der Zugriff sollte nur für diejenigen Beschäftigten erlaubt sein, die im Falle einer Anfrage des zuständigen Gesundheitsamtes die Besuchsdaten freigeben sollen („Need-to-Know-Prinzip“).

VIII. Unter welchen Voraussetzungen können öffentliche Stellen die Luca App verwenden?

Die Coronavirus-Schutzverordnung verpflichtet öffentliche Stellen, wie z.B. die Kommunen, grundsätzlich nicht zur Erhebung der Kontaktdaten von Besucherinnen und Besuchern ihrer Gebäude.[2] Eine ausdrückliche rechtliche Grundlage für diese Datenverarbeitung gibt es also regelmäßig nicht.

Auch das Hausrecht bietet hier in Verbindung mit Art. 6 Abs. 1 Abs. 1 lit. e) DS-GVO und § 3 Abs. 1 HDSIG keine ausreichende Rechtsgrundlage. Denn die Kontaktdatenerhebung ist grundsätzlich weder zur Aufrechterhaltung der Funktionsfähigkeit noch zur Aufgabenerfüllung bzw. Befugniswahrnehmung der öffentlichen Stellen erforderlich.  

Als Rechtsgrundlage für die Erhebung der Besuchsdaten per Luca App kommt daher nur die Einwilligung der Besucherinnen und Besucher in Betracht. Das gleiche gilt für alternative Mittel der Kontaktdatenerhebung. Die Besucherinnen und Besucher können daher frei wählen, ob sie ihre Kontaktdaten über die Luca App oder ein anderes Mittel (z.B. schriftlich) erfassen lassen oder sich gänzlich gegen eine Erhebung ihrer Kontaktdaten entscheiden. Setzen sie die Luca App zur Kontaktdatenerfassung ein, sind die Besucherinnen und Besucher vor dem Einchecken klar und verständlich über diese Wahlmöglichkeiten und die Freiwilligkeit zu informieren.

Im Übrigen sind von den öffentlichen Stellen die oben unter den Ziffern III. bis VII. genannten Hinweise zu berücksichtigen.

Oft sind die Kontaktdaten der Besucherinnen und Besucher der öffentlichen Stelle ohnehin bekannt, z.B. bei zwingender Terminvereinbarung beim Besuch eines Rathauses. In solchen Fällen sollte vor dem Hintergrund der Datensparsamkeit geprüft werden, ob die Verwendung der Luca App zur Kontaktnachverfolgung erforderlich ist.

[1] Stellungnahme der DSK zur Kontaktnachverfolgung (26.03.2021)
Stellungnahme der DSK zu Kontaktnachverfolgungssystemen, insbesondere Luca (29.04.2021)

[2] Gegebenenfalls kann sich eine Pflicht zur Kontaktdatenerhebung durch öffentliche Stellen aus der Coronavirus-Schutzverordnung (CoSchuV) ergeben. Dies ist beispielsweise für Krankenhäuser nach § 8 Abs. 2 Nr. 1 CoSchuV der Fall. Es gelten dann die oben unter Ziffer I. und II. beschriebenen Anforderungen.

Stand: 21.09.2021

SERVICE