Datenschutz:
Anleitung zum Luca-Einsatz im Public Sector


[24.6.2021] Eine Sonderinformation über den Einsatz des digitalen Kontaktnachverfolgungssystems Luca bei öffentlichen Stellen hat der Bayerische Landesbeauftragte für den Datenschutz veröffentlicht.

Eine Sonderinformation zum Einsatz des digitalen Kontaktnachverfolgungssystems Luca bei bayerischen öffentlichen Stellen hat jetzt das Bayerische Landesamt für Datenschutzaufsicht veröffentlicht. Sie umfasst eine datenschutzrechtliche Einordnung des Luca-Systems sowie Handlungsempfehlungen für die bayerischen öffentliche Stellen beim Einsatz der Lösung. Demnach sieht der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) Thomas Petri „derzeit keinen Anlass, bayerischen öffentlichen Stellen generell von der Nutzung des Luca-Systems abzuraten oder dessen Einsatz datenschutzaufsichtlich entgegenzutreten“. Allerdings sollten immer auch andere geeignete Verfahren in den Blick genommen und das datenschutzfreundlichste verwendet werden. In den Handlungsempfehlungen wird unter anderem auf „die Einhaltung des Grundsatzes der Datenminimierung“ hingewiesen. Beispielsweise sollten keine Daten doppelt erfasst werden. Auch sei darauf zu achten, dass nur solche Daten generiert werden, die die Gesundheitsämter tatsächlich nutzen können.

Datenerfassung sinnvoll organisieren

Für eine sinnvolle Datenerhebung, müssen beispielsweise Check-In und Check-Out passend platziert werden. Sie „müssen so positioniert sein, dass tatsächlich nur diejenigen Besucherinnen und Besucher an einer Stelle erfasst werden, für die tatsächlich eine Möglichkeit zur Ansteckung und somit die Einstufung als enge Kontaktperson (mit erhöhtem Infektionsrisiko) infrage kommt“, heißt es in der Sonderinformation. „Es erscheint beispielsweise nicht sinnvoll, für eine große Kommune ausschließlich an einem zentralen Zugang einen Check-In und Check-Out vorzusehen, da dann nur die Aussage getroffen werden kann, dass die betreffenden Personen das Gebäude betreten oder verlassen haben.“ Die Gesundheitsämter müssten in der Folge eine große Menge Daten prüfen, die zu keinem Erkenntnisgewinn führen. Auch rät der Datenschutzbeauftragte von statisch angebrachten QR-Codes ab. Ferner weist er auf den Schutzbedarf des kryptografischen Schlüsselmaterials hin. Beim Abruf der Daten durch ein Gesundheitsamt erfolge eine Umschlüsselung der erfassten Kontaktdaten. Für die brauche es den kryptografischen Schlüssel, der entsprechend sicher und wiederauffindbar verwahrt werden müsse. Andernfalls könne die das Luca-System einsetzende Stelle „eine mögliche Verpflichtung zur Übermittlung von Kontaktdaten nicht erfüllen“.

Anforderungen an die Gesundheitsämter

Des weiteren formuliert die Sonderinformation Anforderungen an die Gesundheitsämter. Sie allein seien zum Abruf und zur Entschlüsselung der im Luca-System gespeicherten Daten berechtigt. Das jeweilige Gesundheitsamt müsse gewährleisten, dass die Web-Anwendung „Luca Front End Gesundheitsamt“ datenschutzkonform betrieben wird. Umzusetzen seien zum einen die allgemein zu erwartenden Basis-IT-Sicherheitsvorkehrungen, wie Malware-Schutz, Patch Management oder Passwort-Schutz. „Dies betrifft insbesondere auch den Schutz vor Schad-Code in Office-Dokumenten, wie ein hierzu bekannt gewordenes Angriffsszenario bezüglich des Einfügens von Schad-Code in die vom Luca-System erstellten CSV-/Excel-Dateien zum Import in andere Systeme deutlich gemacht hat“, heißt es in dem Schreiben. Zudem sollte, soweit möglich, für den Datenimport aus dem Luca-System zu der bei den Gesundheitsämtern zur Kontaktnachverfolgung verwendeten Software SORMAS (Surveillance Outbreak Response Management and Analysis System) direkte Importschnittstellen gewählt werden. Auch speziellere Schutzmaßnahmen müssen die Gesundheitsämter wirksam umsetzen. „Dazu gehören insbesondere der Schutz und die Verfügbarkeit des kryptografischen Schlüsselmaterials, der Einsatz von ausschließlich dienstlich verwendeten Geräten sowie eine geeignete Schulung und Sensibilisierung der Fachanwender und Administratoren der Luca-Web-Anwendung“. (ve)

Sonderinformation zum Luca-Einsatz im Public Sector (Deep Link)

Stichwörter: IT-Sicherheit, Datenschutz, Luca, Bayern



Druckversion    PDF     Link mailen


Weitere Meldungen und Beiträge aus dem Bereich IT-Sicherheit
Studie: E-Mail-Sicherheit per Cloud
[28.6.2022] Eine vom Software-Haus Net at Work beauftragte Studie über die E-Mail-Sicherheit im öffentlichen Sektor zeigt, dass viele Verwaltungen hierfür keine eigenen Ressourcen haben. Maßgeschneiderte Cloud-Lösungen – mit engmaschigem Support – können Abhilfe schaffen. mehr...
FITKO: Muster für den Auftragsverarbeitungsvertrag (AVV)
[21.6.2022] Für digitale Services, die aus dem FIT-Store bezogen werden, braucht es einen Auftragsverarbeitungsvertrag (AVV) zwischen IT-Dienstleister und nachnutzender Behörde. Ein Muster dafür stellt nun die FITKO zur Verfügung. mehr...
Sachsen: Datenschutzbericht 2021 vorgelegt
[20.6.2022] Die neue Sächsische Datenschutzbeauftrage Juliane Hunderte hat den Datenschutzbericht 2021 vorgelegt. Wie schon im Vorjahr war ein hoher Beratungsbedarf und – infolge der zunehmenden Digitalisierung – ein Anstieg bei gemeldeten Datenpannen zu beobachten. mehr...
Sachsens Datenschutzbeauftragte Juliane Hunderte hat ihren Tätigkeitsbericht für das Jahr 2021 vorgestellt.
Bayern/Nordrhein-Westfalen: Vernetzt gegen Cybercrime
[20.6.2022] Bayern und Nordrhein-Westfalen wollen die Zusammenarbeit mit dem Nationalen Cyber-Abwehrzentrum verstetigen. Der Antrag dazu ging bei der Justizministerkonferenz ein. Vertreter der Länder-Staatsanwaltschaften sind schon jetzt im Rahmen eines Pilotprojekts beim Cyber-AZ tätig. mehr...
BSI/Samsung: Mehr Sicherheit für mobile Kommunikation
[16.6.2022] Samsung und BSI arbeiten im Bereich sichere mobile Kommunikation zusammen. Ein gemeinsam entwickeltes Java Card Applet soll jetzt als Sicherheitsanker bei den Samsung Galaxy Smartphones der Bundesverwaltung zum Einsatz kommen und die bisherige Lösung mit MicroSD-Karte ersetzen. mehr...
Die Sicherheitsplattform Knox-native von Samsung und dem BSI erlaubt die einfache Entwicklung von sicheren mobilen Lösungen und die Einführung digitaler Prozesse.