Zum Inhalt springen Zur Navigation springen
DSK: Kontaktnachverfolgung in der Pandemie und die Luca-App

DSK: Kontaktnachverfolgung in der Pandemie und die Luca-App

Artikel von Dr. Datenschutz·31. März 2021

In einer beachtlich vagen Stellungnahme äußert sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) zum Thema digitale Kontaktnachverfolgung in Zeiten der Corona-Pandemie. Taugt das Papier mit der Unterüberschrift „Praxistaugliche Lösungen mit einem hohen Schutz personenbezogener Daten verbinden“ trotzdem als Fingerzeig, etwa für die finale datenschutzrechtliche Bewertung der Luca-App?

Kontaktnachverfolgung – Wo waren wir nochmal?

Die Kontaktnachverfolgung gilt vielen als wesentlicher Aspekt zur Eindämmung der Corona-Pandemie und als Schlüsselelement für potenzielle Lockerungen. Die dabei im letzten Jahr angefallene, analoge Zettelwirtschaft soll nun zunehmend von privatwirtschaftlich entwickelten digitalen Lösungen abgelöst werden. Deren derzeit bekannteste Vertreterin ist die App „Luca“ der culture4life GmbH. Wie alle digitalen Angebote zur Kontaktnachverfolgung steht sie auch im Fokus des datenschutzrechtlichen Interesses.

Der regelrechte Hype um diese App bewog nicht nur einige Bundesländer diese bereits in Einsatz zu nehmen, sondern führte auch dazu, dass die Anbieter der App bei verschiedenen Landesdatenschutzbehörden wie z.B. in Baden-Württemberg um eine Einschätzung hinsichtlich der Datenschutzkonformität der App baten. Das damit anschließend aggressiv geworben wurde, sorgte für ein gewisses Zurückrudern einiger Aufsichtsbehörden und führte dazu, dass die Datenschutzaufsichtsbehörden nun durch eine eingesetzte Task Force gemeinsam eine offizielle Stellungnahme erarbeiteten, die die DSK am 26.03.2021 veröffentlichte.

Allgemeines am Anfang

In der Außendarstellung wäre eine Stellungnahme zu einer spezifischen App allein wohl schwer vermittelbar gewesen. Die DSK sah sich jedenfalls angehalten, den Ausführungen zu Luca noch einige grundsätzliche Erwägungen zur Kontaktnachverfolgung in Pandemie-Zeiten voranzustellen.

Diese enthalten zunächst einige – sehr allgemeine – Anforderungen an eine digitale Infektionsnachverfolgung, z.B.

  • Datenschutzkonformität bei der Verarbeitung von Kontakt- und Anwesenheitsdaten
  • eine klare Verteilung der datenschutzrechtlichen Verantwortung
  • Einhaltung der im Infektionsschutzgesetz festgelegten strengen Zweckbindung u.ä.

Einen Mehrwert aus diesen Angaben dürften wohl nur diejenigen ziehen, die sich erstmals mit dem Thema Datenschutz befassen. Zumal etwa zur schwierigen Frage der Aufteilung der Verantwortlichkeiten keinerlei weiterführende Informationen folgen.

Vorteile der Digitalisierung

Außerdem stellt die Datenschutzkonferenz im ersten Teil des Papiers zur Kontaktnachverfolgung einige Vorteile der Digitalisierung heraus:

  • Besserer Schutz der Kontaktdaten vor Missbrauch
  • Die Möglichkeit automatisierter datenschutzkonformer Löschung
  • Sichere Datenübermittlung
  • Unverzügliche und sichere Mitteilung eines Infektionsrisikos an die Nutzer der App

Sicher kann man auch über diese Punkte im Einzelnen diskutieren. Etwa über die Frage, ob nicht digital, noch dazu in großen Datensammlungen, vorgehaltene Daten ein größeres Risiko darstellen könnten als eine ordentlich weggeschlossene Papierdokumentation. Aber der Hinweis auf diese Vorteile der Digitalisierung dient der DSK vor allem als Übergang zu den spezifischeren Aussagen hinsichtlich der Luca-App.

Wie steht´s um Luca?

Die DSK beginnt ihre diesbezüglichen Ausführungen wie folgt:

„Die culture4life GmbH hat nach derzeitiger Kenntnis der DSK in dem Luca-System die oben genannten Vorteile realisiert und bisher identifizierte Risiken teilweise behandelt. Die DSK fordert das Unternehmen dennoch auf, weitere Anpassungen an dem System vorzunehmen, um den Schutz der teilnehmenden Personen weiter zu erhöhen.“

Allein aus diesem Absatz könnte man schließen, es steht um den Datenschutz ganz gut. Man müsse nur noch etwas an den Schrauben des Systems drehen, um den Schutz noch weiter zu erhöhen. Interessant ist, dass in diesem Zusammenhang weder die Verteilung der unklaren Verantwortlichkeiten bei der Luca-App, noch das Thema der Datenschutz-Folgenabschätzung angesprochen wird. Beide Punkten lassen sich nicht durch Anpassungen des Systems lösen. Das Forum InformatikerInnen für Frieden und Verantwortung, welches letztes Jahr aus Eigeninitiative eine Datenschutz-Folgenabschätzung (DSFA) für die Corona-App veröffentlichte, hat deshalb zwei Anfragen bei fragdenstaat.de zur DSFA bei der Luca-App gestellt.

Das zentrale Problem des Zentralen

Die DSK beanstandet hingegen im Wesentlichen nur die Architektur des Dienstes, welche auf einer zentralen Speicherung der Kontaktdaten beruht: „Die unbefugte Einsicht in diesen großen Datenbestand kann je nach Umfang zu einer schweren Beeinträchtigung für die Einzelnen und das Gemeinwesen führen.“

Dies ist der aus Sicht vieler Datenschützer der wesentliche problematische Punkt, der die meisten Anbieter von Kontaktnachverfolgungs-Apps betreffen dürfte. Die DSK kündigt insoweit nun sogar an:

„Aufgrund dieses Risikos werden die Mitglieder der DSK mit dem Betreiber des Luca-Systems erörtern, inwieweit mit einer dezentralen Speicherung, die von der DSK prinzipiell für vorzugswürdig erachtet wird, den fachlichen Belangen der Pandemiebekämpfung und den gesetzlichen Vorgaben in gleichem Umfang und mit gleicher Effizienz nachgekommen werden kann.“

Mit anderen Worten.: Die DSK will weiter darauf drängen, das Speichersystem der Luca-App zu überdenken. Daraus aber eine grundsätzliche Absage der Datenschützer an das Konzept einer zentralen Speicherung selbst zu lesen, dürfte zu weit gehen. Zumal es die DSK dann ja auch klar hätte äußern können. Insoweit lassen sich aus der Stellungnahme also keine konkreten Schlüsse für Luca oder andere Anbieter ziehen.

Ähnliches gilt für die weiteren Ausführungen, in denen die DSK insbesondere die Verschlüsselung der (zentral gespeicherten) Datenbestände bei Luca thematisiert. Die DSK begrüßt die Verschlüsselung grundsätzlich, sieht aber u.a. Probleme in der Schlüsselverwaltung durch den Betreiber der Luca-App. Ein Angriff auf die Systeme des Betreibers könne „die Sicherheit des Gesamtsystems in Gefahr bringen.“

Ein vages Gefühl

Die DSK kennzeichnet mit ihrer Stellungnahme das ein oder andere (schon vorher bekannte) Problem. Klare Kante zeigt sie aber nicht. Vielmehr bleibt nur das vage Gefühl, dass die DSK eine Kontaktnachverfolgung auf Basis der Luca-App aktuell möglicherweise nicht als datenschutzkonform betrachten würde. Aber sagen tut sie dies nicht.

Stattdessen kündigen die Aufsichtsbehörden in der Stellungnahme an, auf die Kommunikation mit den einzelnen Anbietern setzen zu wollen:

„Generell werden die zuständigen Datenschutz-Aufsichtsbehörden mit den Anbietern digitaler Lösungen zur pandemiebedingten Kontaktnachverfolgung im Gespräch bleiben, um vertrauenswürdige, risikoarme und datenschutzkonforme Verfahren sicherzustellen, die den fachlichen Bedürfnissen der Gesundheitsämter genügen.“

Mit den, doch eher als Andeutungen zu bezeichnenden, Ausführungen ihrer Stellungnahme dürfte weder dem Datenschutz noch der Pandemiebekämpfung so richtig gedient sein. Der Blogger Malte Engeler vermutet als Grund für dieses Verhalten der DSK, dass „der Zug längst viel zu schnell [sei], als dass man politisch etwas gewinnen könnte, wenn man jetzt tough auftritt“. Und er schreibt:

„Was bleibt, ist das Gefühl, dass die DSK im Grunde irrelevant ist.

– Malte Engeler“

Keine Handlungsanweisungen – aber eine Ankündigung

In der Tat kann man die Stellungnahme des DSK wohl nur als Kompromiss betrachten, der vor allem unter dem (Ein-)Druck des Tatsächlichen (ernste pandemische Lage, die eine Art von Kontaktnachverfolgung erforderlich macht + Vorhandensein öffentlich geschickt lancierter „Lösungen“) entstanden ist. Klare Handlungsanweisungen gibt sie Anwendern und interessierter Öffentlichkeit nicht mit auf den Weg.

Vielleicht aber haben wir es hier auch nur mit einem (ungeschickt) platzierten Teaser für das eigentliche Mainevent zu tun. Schließlich kündigte die DSK am Ende der Stellungnahme an, dass sie kurzfristig eine eigenständige Orientierungshilfe für alle Betreiber von Kontaktverfolgungssystemen veröffentlichen werde. Man darf gespannt sein…

Und eine, berechtigte, Forderung an die Politik hat die DSK abschließend auch noch parat:

„Die DSK fordert die Gesetzgeber auf Landes- und Bundesebene auf, bundeseinheitliche gesetzliche Regelungen zur digitalen Kontaktnachverfolgung zu schaffen. Dabei ist auch zu prüfen, inwieweit mit datensparsameren Verfahren das Ziel der Kontaktnachverfolgung im Rahmen der aktuellen Pandemiebekämpfung erreicht werden kann.“

Hieran anknüpfend veröffentlichte die DSK heute noch eine separate Pressemitteilung, in der sie den Gesetzgeber aufforderte, Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten wie z.B. negativen Corona-Testergebnissen durch die Privatwirtschaft im Kontext von Veranstaltungs- und Restaurantbesuchen oder im Rahmen von Beschäftigungsverhältnissen zu schaffen.

Aber das ist eine andere Geschichte.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
    Beitrag kommentieren
    Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
    Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.