DatenschutzAnleitung zum Luca-Einsatz im Public Sector
Eine Sonderinformation zum Einsatz des digitalen Kontaktnachverfolgungssystems Luca bei bayerischen öffentlichen Stellen hat jetzt das Bayerische Landesamt für Datenschutzaufsicht veröffentlicht. Sie umfasst eine datenschutzrechtliche Einordnung des Luca-Systems sowie Handlungsempfehlungen für die bayerischen öffentliche Stellen beim Einsatz der Lösung. Demnach sieht der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) Thomas Petri „derzeit keinen Anlass, bayerischen öffentlichen Stellen generell von der Nutzung des Luca-Systems abzuraten oder dessen Einsatz datenschutzaufsichtlich entgegenzutreten“. Allerdings sollten immer auch andere geeignete Verfahren in den Blick genommen und das datenschutzfreundlichste verwendet werden. In den Handlungsempfehlungen wird unter anderem auf „die Einhaltung des Grundsatzes der Datenminimierung“ hingewiesen. Beispielsweise sollten keine Daten doppelt erfasst werden. Auch sei darauf zu achten, dass nur solche Daten generiert werden, die die Gesundheitsämter tatsächlich nutzen können.
Datenerfassung sinnvoll organisieren
Für eine sinnvolle Datenerhebung, müssen beispielsweise Check-In und Check-Out passend platziert werden. Sie „müssen so positioniert sein, dass tatsächlich nur diejenigen Besucherinnen und Besucher an einer Stelle erfasst werden, für die tatsächlich eine Möglichkeit zur Ansteckung und somit die Einstufung als enge Kontaktperson (mit erhöhtem Infektionsrisiko) infrage kommt“, heißt es in der Sonderinformation. „Es erscheint beispielsweise nicht sinnvoll, für eine große Kommune ausschließlich an einem zentralen Zugang einen Check-In und Check-Out vorzusehen, da dann nur die Aussage getroffen werden kann, dass die betreffenden Personen das Gebäude betreten oder verlassen haben.“ Die Gesundheitsämter müssten in der Folge eine große Menge Daten prüfen, die zu keinem Erkenntnisgewinn führen. Auch rät der Datenschutzbeauftragte von statisch angebrachten QR-Codes ab. Ferner weist er auf den Schutzbedarf des kryptografischen Schlüsselmaterials hin. Beim Abruf der Daten durch ein Gesundheitsamt erfolge eine Umschlüsselung der erfassten Kontaktdaten. Für die brauche es den kryptografischen Schlüssel, der entsprechend sicher und wiederauffindbar verwahrt werden müsse. Andernfalls könne die das Luca-System einsetzende Stelle „eine mögliche Verpflichtung zur Übermittlung von Kontaktdaten nicht erfüllen“.
Anforderungen an die Gesundheitsämter
Des weiteren formuliert die Sonderinformation Anforderungen an die Gesundheitsämter. Sie allein seien zum Abruf und zur Entschlüsselung der im Luca-System gespeicherten Daten berechtigt. Das jeweilige Gesundheitsamt müsse gewährleisten, dass die Web-Anwendung „Luca Front End Gesundheitsamt“ datenschutzkonform betrieben wird. Umzusetzen seien zum einen die allgemein zu erwartenden Basis-IT-Sicherheitsvorkehrungen, wie Malware-Schutz, Patch Management oder Passwort-Schutz. „Dies betrifft insbesondere auch den Schutz vor Schad-Code in Office-Dokumenten, wie ein hierzu bekannt gewordenes Angriffsszenario bezüglich des Einfügens von Schad-Code in die vom Luca-System erstellten CSV-/Excel-Dateien zum Import in andere Systeme deutlich gemacht hat“, heißt es in dem Schreiben. Zudem sollte, soweit möglich, für den Datenimport aus dem Luca-System zu der bei den Gesundheitsämtern zur Kontaktnachverfolgung verwendeten Software SORMAS (Surveillance Outbreak Response Management and Analysis System) direkte Importschnittstellen gewählt werden. Auch speziellere Schutzmaßnahmen müssen die Gesundheitsämter wirksam umsetzen. „Dazu gehören insbesondere der Schutz und die Verfügbarkeit des kryptografischen Schlüsselmaterials, der Einsatz von ausschließlich dienstlich verwendeten Geräten sowie eine geeignete Schulung und Sensibilisierung der Fachanwender und Administratoren der Luca-Web-Anwendung“.
Datenschutz: Amt des BfDI neu besetzt
[01.07.2026] Ab Oktober übernimmt Moritz Hennemann das Amt des BfDI. Der Freiburger Rechtswissenschaftler mit Schwerpunkt Informationsrecht folgt auf Louisa Specht-Riemenschneider, die ihren Rückzug aus gesundheitlichen Gründen bereits im März angekündigt hatte. mehr...
Baden-Württemberg: Sicherheitsarchitektur im Fokus
[30.06.2026] Wie kann die Cyber-Sicherheit in Baden-Württemberg nachhaltig gestärkt werden? Diese Frage stand im Mittelpunkt des Antrittsbesuchs von CDO Ronja Kemmer bei der Cybersicherheitsagentur Baden-Württemberg. mehr...
Brandenburg: Zugangsdaten-Klau erkennen
[26.06.2026] Entwendete Log-in-Daten gehören zu den wichtigen Einfallstoren für Cyber-Angriffe. Ist bekannt, dass dienstliche E-Mail-Adressen oder Passwörter in Datenlecks vorkommen, können Behörden Accounts sichern und Folgeschäden eingrenzen. Brandenburg führt nun ein Tool ein, das prüft, ob Zugangsdaten kompromittiert sind. mehr...
Bundestag: Mehr Befugnisse fürs BSI
[25.06.2026] Am Freitag wird der „Entwurf eines Gesetzes zur Stärkung der Cyber-Sicherheit“ erstmals in den Bundestag eingebracht. Unter anderem soll das BSI zusätzliche Möglichkeiten erhalten, die Resilienz der Informationstechnik der Bundesverwaltung im Cyber-Raum zu erhöhen und die Erkenntnislage zu verbessern. mehr...
CSBW: Neues Handbuch für IT-Notfälle
[25.06.2026] Für Verwaltungen bestehen jederzeit Risiken für Sicherheitsvorfälle und Datenschutzverletzungen – mit möglichen schweren Folgen. Die Cybersicherheitsagentur Baden-Württemberg unterstützt Land und Kommunen mit neuen Angeboten, ein belastbares Informationssicherheits-Managementsystem aufzubauen. mehr...
Schleswig-Holstein: Engere Zusammenarbeit mit dem BSI
[17.06.2026] Schleswig-Holstein und das BSI wollen bei der Cyber-Sicherheit enger zusammenarbeiten. Die neue Vereinbarung soll die Abwehr digitaler Angriffe auf Land und Kommunen stärken und fügt sich in ein größeres Maßnahmenpaket des Landes ein. mehr...
Sachsen-Anhalt/Schleswig-Holstein: Resilienz und Effizienz für den ÖGD
[10.06.2026] Sachsen-Anhalt und Schleswig-Holstein haben eine Kooperationsvereinbarung geschlossen, um die IT-Sicherheit im Öffentlichen Gesundheitsdienst (ÖGD) zu stärken. Die Länder entwickeln gemeinsam E-Learning-Angebote, die digitale Kompetenzen der Mitarbeitenden verbessern und Einrichtungen widerstandsfähiger gegen Cyber-Risiken machen sollen. mehr...
Schleswig-Holstein: Maßnahmenpaket für Cyber-Sicherheit
[28.05.2026] Schleswig-Holstein baut die Cyber-Sicherheit für Land und Kommunen aus. Zum Schutzschirm gehören unter anderem ein erweitertes Schwachstellenmanagement, mobile IT für Krisenlagen und Vor-Ort-Supportteams. Digitale souveräne Arbeitsplätze und IT-Infrastruktur sichern Behörden weiter ab. mehr...
HPI: Konferenz zur Cyber-Sicherheit
[21.05.2026] Das Hasso-Plattner-Institut richtet im Juni erneut die Potsdamer Konferenz für Nationale CyberSicherheit aus. Im Mittelpunkt stehen hybride Bedrohungen, KI und der Schutz Kritischer Infrastrukturen in einer angespannten geopolitischen Lage. mehr...
Cyber-Sicherheit: BSI und Mecklenburg-Vorpommern kooperieren
[19.05.2026] Im Bereich der Cyber-Sicherheit arbeiten das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Land Mecklenburg-Vorpommern künftig enger zusammen. Eine entsprechende Vereinbarung wurde auf der Digitalministerkonferenz unterzeichnet. mehr...
BSI: Zur Zukunft der Cyber-Sicherheit
[13.05.2026] Mit Blick auf hybride Bedrohungen, Cyber Conflict und digitale Souveränität zieht BSI-Chefin Claudia Plattner eine programmatische Zwischenbilanz. Cyber-Sicherheit wird zur Schnittstelle von Sicherheits- und Digitalpolitik. Im Fokus der Arbeit stehen automatisierte Angriffe, zivile Cyber Defense und digitale Souveränität. mehr...
NIS2-Richtlinie: Umsetzung in der Bundesverwaltung startet
[11.05.2026] Mit dem nun angelaufenen Programm CyberGovSecure soll die EU‑NIS2‑Richtlinie in der Bundesverwaltung umgesetzt werden. Um deren Cyber-Resilienz zu stärken, sind klare Verantwortlichkeiten, eine zentrale Finanzierung und konkret umsetzbare Maßnahmen vorgesehen. mehr...
Messenger: Wire Bund sicher bis VS-NfD
[07.05.2026] Das BSI hat Wire Bund für die Verarbeitung von Daten bis zur Geheimhaltungsstufe VS-NfD zugelassen. Der Ende-zu-Ende-verschlüsselte Messenger kann damit in Bundesbehörden für entsprechend eingestufte Kommunikation eingesetzt werden. mehr...
BSI/Brandenburg: Engere Abstimmung bei Cyber-Abwehr
[04.05.2026] BSI und Brandenburg haben eine engere Zusammenarbeit in der Cyber-Sicherheit vereinbart. Die Kooperation soll zehn Handlungsfelder umfassen, darunter operative Unterstützung und Sensibilisierung. Ziel ist es, die Reaktionsfähigkeit auf Cyber-Bedrohungen zu stärken. mehr...
Mobile Sicherheit: BSI gibt iPhone und iPad für NATO RESTRICTED frei
[02.04.2026] iPhone und iPad dürfen künftig auch für die Klassifizierungsstufe NATO RESTRICTED eingesetzt werden. Grundlage der BSI-Freigabe ist das Plattformkonzept indigo. Materna Virtual Solution sieht darin Impulse für den Ausbau mobiler Arbeitsplätze in Behörden. mehr...














