Kontaktnachverfolgung:
Nachbesserungsbedarf bei Luca


[10.5.2021] Mehrere Länder wollen die Luca-App einsetzen – daher nahmen die Datenschutzaufsichtsbehörden die Anwendung unter die Lupe. Das Fazit: eine grundsätzlich tragfähige Konzeption, die weiterer Schutzmaßnahmen bedarf. Die Behörden raten, auch Alternativen zu berücksichtigen.

Zahlreiche Bundesländer, darunter Niedersachsen, haben sich dafür entschieden, Lizenzen für die Kontaktnachverfolgungs-App Luca zu erwerben. Dadurch ist die App Gegenstand verschiedener Untersuchungen der Datenschutzaufsichtsbehörden geworden. Unter anderem bat das Niedersächsische Innenministerium (MI) die Landesbeauftragte für den Datenschutz (LfD), Barbara Thiel, um Beratung zum datenschutzgerechten Einsatz von Luca. Thiel bescheinigt der Luca-App eine grundsätzlich tragfähige technische Architektur zur digitalen Kontaktnachverfolgung. Zugleich weist sie aber darauf hin, dass weitere technische Schutzmaßnahmen notwendig sind, um einen Missbrauch des Systems zu verhindern. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) hatte eine entsprechende Stellungnahme beschlossen.

Missbrauch und Datendiebstahl möglich

Die Landesdatenschutzbeauftragte weist darauf hin, dass der App-Anbieter culture4life technische Abhilfemaßnahmen umsetzen müsse, um den Missbrauch durch Fake-Identitäten auszuschließen. Dies habe culture4life bereits gegenüber den Aufsichtsbehörden angekündigt. Darüber hinaus könne es beim Aushang ausgedruckter QR-Codes zu massenhaft missbräuchlichen Einträgen in das System kommen, ohne dass sich die eintragenden Personen am angegebenen Ort aufgehalten haben. Dadurch könnten die Gesundheitsämter mit nutzlosen Daten überlastet werden. Es müsse deshalb gewährleistet werden, dass die Gesundheitsämter missbräuchliche Einträge erkennen können.
Weitere Risiken birgt die zentrale Datenhaltung des Systems. Diese können nicht vollständig durch die eingesetzten zweistufigen Verschlüsselungsmechanismen ausgeräumt werden. Ein qualifizierter Angriff gegen die zentralen IT-Systeme des Dienstes könne dazu führen, dass die Angreifenden im schlimmsten Fall in großem Umfang Daten über die Anwesenheit von Personen bei Veranstaltungen entschlüsseln und ausleiten können. Das Unternehmen culture4life habe in einem Arbeitsplan mehrere Schritte für Nachbesserungen festgelegt, heißt es in der Meldung der LfD. Die Datenschutzkonferenz erkenne diese Anstrengungen und die Kooperationsbereitschaft des Unternehmens an und erwarte, dass der Arbeitsplan schnell und sorgfältig in die Tat umgesetzt wird.

Empfehlung für Luca-Alternativen

Die Landesdatenschützerin Barbara Thiel rät außerdem, sich nicht ausschließlich auf Luca zu fokussieren, sondern „auch andere Systeme in den Blick zu nehmen“. Die Corona-Verordnung des Landes Niedersachsen sehe für Veranstalter derzeit keine verpflichtende Nutzung von Luca vor – alternative Apps oder die Datenerfassung in Papierform seien weiterhin möglich.
Die Datenschutzkonferenz empfiehlt in einer Entschließung zudem, die Chancen der Corona-Warn-App 2.0 zur Benachrichtigung potenziell infizierter Personen und zur Clustererkennung zu nutzen. Seit dem Update auf die Version 2.0 verfüge die App über eine Registrierungsfunktion für Orte, an denen viele Menschen zusammenkommen. Auch wenn hierbei – anders als bei anderen Apps – keine personenbezogenen Daten erhoben und später an die Gesundheitsämter übermittelt würden, könnte die pseudonymisierte Clustererkennung einen erheblichen Beitrag zur Unterbrechung von Infektionsketten leisten. (sib)

Stellungnahme der Datenschutzkonferenz zur Luca-App und ähnlichen Systemen (PDF; 268 KB) (Deep Link)
Entschließung der Datenschutzkonferenz zur Corona-Warn-App (PDF; 230 KB) (Deep Link)
Orientierungshilfe: Einsatz von digitalen Diensten zur Kontaktnachverfolgung (PDF; 455 KB) (Deep Link)

Stichwörter: IT-Sicherheit, Kontaktnachverfolgung, Luca, Niedersachsen, Datenschutz, Corona



Druckversion    PDF     Link mailen



Weitere Meldungen und Beiträge aus dem Bereich IT-Sicherheit
Digital. Sicher. Souverän.: BMBF startet Forschungsprogramm
[11.6.2021] Das Bundeskabinett hat ein Forschungsprogramm zur IT-Sicherheit beschlossen. 350 Millionen Euro stehen dafür bereit. In einem ersten Schritt wurde die „Richtlinie zur Förderung von Forschungsvorhaben zum Thema IoT-Sicherheit in Smart Home, Produktion und sensiblen Infrastrukturen“ veröffentlicht. mehr...
Bundesforschungsministerin Anja Karliczek stellt das 350-Millionen-Euro-Rahmenprogramm zur IT-Sicherheitsforschung vor.
Initiative Sicherer Bürgerdialog: Webinar-Tag zu E-Mail-Verschlüsselung
[10.6.2021] Zum Webinar-Tag über die E-Mail-Verschlüsselung in öffentlichen Verwaltungen lädt am 17. Juni die Initiative Sicherer Bürgerdialog ein. Die kostenlose Veranstaltung adressiert den Auf- und Ausbau von Mail-Infrastrukturen, Verschlüsselungsverfahren sowie den Einsatz von Zertifikaten in Verwaltungen und Behörden. mehr...
BSI: IT-Sicherheitsgesetz 2.0 in Kraft
[2.6.2021] Das IT-Sicherheitsgesetz 2.0 ist im Bundesgesetzblatt verkündet und damit in Kraft getreten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält damit neue Kompetenzen. mehr...
Saarland: Vorreiter einer sicheren Digitalisierung Bericht
[7.5.2021] Das Saarland nimmt bei der Digitalisierung eine Vorreiterrolle ein. Mit einer einheitlichen und lückenlosen Verschlüsselung der IT-Kommunikation der Landesbehörden ist nun eine sichere Basis geschaffen, auf der die weitere Digitalisierung vorangetrieben werden kann. mehr...
R&S SITLine ETH verhindert, dass Dokumente, Datenströme oder E-Mails von Außenstehenden mitgelesen werden können.
Nordrhein-Westfalen: Cybersicherheitsstrategie vorgestellt
[23.4.2021] Nordrhein-Westfalen hat eine neue Cybersicherheitsstrategie. Vorgesehen sind mehr Cyber-Cops, Warnungen vor Cyber-Attacken durch den Verfassungsschutz und eine Online-Plattform der im Innenministerium angesiedelten Koordinierungsstelle Cyber-Sicherheit. mehr...
Suchen...

 Anzeige

Ausgewählte Anbieter aus dem Bereich IT-Sicherheit:
procilon GROUP
04425 Taucha bei Leipzig
procilon GROUP
Aktuelle Meldungen