Datenschutz Verstehen – Datenschutz luca-App
Kurze Einleitung
Smudo, Rapper der Hip-Hop-Band “Die Fantastischen Vier” ist neben seiner Musikerkarriere nun auch bei der Entwicklung einer App involviert. Genauer geht es um die App “luca”, die Smudo zusammen mit den Entwicklern des Berliner Start-ups neXenio entwickelt hat. Die App soll in der aktuellen Corona-Situation Abhilfe schaffen und ein Leben mit dem Virus, abseits von Lockdowns und Maßnahmen, ermöglichen. Mit luca sollen Kontaktnachverfolgungen erleichtert und somit Infektionsketten unterbrochen werden. Zur Nutzung der luca App muss der Anwender diese auf sein Smartphone herunterladen und sich mit Namen, Telefonnummer, sowie Adresse registrieren. Wenn der Nutzer dann eine Lokalität betritt, scannt dieser mit seinem Smartphone einen dort aushängenden QR-Code oder der QR-Code des Nutzers wird vom Veranstalter gescannt. Dadurch werden die Daten des Nutzers beim Veranstalter gespeichert, damit dieser die Kontaktdaten der Besucher im Sinne der Corona-Infektionsschutzverordnung für den entsprechenden Fall dem Gesundheitsamt zur Verfügung stellen kann. Dabei werden diese Daten zweifach verschlüsselt und nur das Gesundheitsamt kann diese wieder entschlüsseln. Wenn im Nachgang einer der zu diesem Zeitpunkt anwesenden Gäste positiv auf das Virus getestet wird, werden alle anderen Besucher, deren Kontaktpersonen und auch das Gesundheitsamt automatisch informiert, sofern der Nutzer dem auch zustimmt. Bei einer derart automatisierten und umfangreichen Verarbeitung und Übermittlung von Daten, stellt sich die Frage wie das Ganze datenschutzrechtlich zu bewerten ist.
Datenschutz bei der luca-App
Auf der Website der luca-app wird mit “Höchste Datenschutz- und Datensicherheitsstandards” geworben und die Datenübermittlung als “verschlüsselt, sicher und verantwortungsvoll” bezeichnet. In der Datenschutzerklärung der luca-App wird ersichtlich welche Daten tatsächlich verarbeitet werden, die Aufzählung geht dabei weit über Name, Adresse und Telefonnummer hinaus. Daneben werden nämlich noch E-Mail-Adresse, Aufenthaltsdaten (Koordinaten und Dauer), Eingabedaten (Notizen aus Tagebuchfunktion), funktionale Daten (Datenzuordnungs-ID) und Nutzungsdaten (IP-Adresse, IP-Standort, Browserinformationen, Browser Plug-ins, Netzwerkinformationen, Betriebssystem) verarbeitet.
Trotz der Menge an Daten ist davon auszugehen, dass es für den Zweck der App erforderlich ist, diese Menge an Daten zu verarbeiten. Bei nicht zweckdienlichen Daten, wie Notizen aus der Tagebuchfunktion, erfolgt diese Erhebung nur, wenn der Nutzer aktiv etwas eingibt und der Datenverarbeitung zustimmt. Zudem werden weitere Daten wie z.B. Nutzungsdaten gar nicht erst gespeichert oder nach Zweckentfall unmittelbar gelöscht. Demzufolge verstößt der Umfang der Datenverarbeitung nicht gegen den Grundsatz der Datenminimierung im Sinne der Datenschutz-Grundverordnung. Daten, die für einen bestimmten Zeitraum gespeichert werden müssen, werden dabei zumeist dezentral, also auf dem eigenen Smartphone gespeichert. Sollten für den Fall der Notwendigkeit einer Warnung nun alle Daten zusammengetragen werden müssen, damit das Gesundheitsamt diese entschlüsseln und verwerten kann, so erfolgt eine Speicherung der Daten auf einem ISO 27001 zertifizierten Server innerhalb von Deutschland. Dennoch ist die fehlende Transparenz in puncto Quellcode zu bemängeln. Der Code der luca-App ist nämlich nicht als Open-Source verfügbar. Laut einem aktuellen Tweet des Herstellers soll in dieser Hinsicht bis Ende März nachgebessert werden. Das zeigt den Willen des Herstellers, transparent und im Sinne des Datenschutzes zu handeln. Somit ist das Datenschutzniveau als angemessen für den konkreten Fall zu betrachten.
Wie lange speichert die luca-App Daten?
Der in der App hinterlegte und erforderliche Schlüssel, welcher dem Zweck dient, im Falle einer Risiko-Begegnung benachrichtigt werden zu können, wird auch nach der Löschung der App für vier weitere Wochen aufbewahrt und erst dann gelöscht. Hinterlegte Kontaktdaten werden zwar verschlüsselt, aber erst nach einem Jahr gelöscht. Daten zum Aufenthalt und Eingabedaten, die beim Scannen eines QR-Codes in einer Lokalität erzeugt werden, werden gem. Corona-Infektionsschutzverordnung nach vier Wochen gelöscht. Zudem werden die Daten die zur Verifizierung der Nutzer notwendig sind, also die Telefonnummer, nach 90 Tagen bei den Unterauftragnehmern (Message Mobile und Deutsche Telekom) gelöscht. Näheres zu den Unterauftragnehmern im folgenden Absatz.
luca-App im Vergleich zur Corona-Warn-App
Doch worin liegt der Unterschied zur Corona-Warn-App? Bei der luca-App wird nicht per Bluetooth versucht festzustellen, wer sich in der Nähe des positiv getesteten aufgehalten hat, sondern es werden durch das Scannen des QR-Codes exakt die Daten der Veranstaltung oder Lokalität gespeichert, was ein Informieren der Personen die sich zu diesem Zeitpunkt auch dort befanden erleichtert. Die Corona-Warn-App hingegen ermöglicht ein flächendeckendes Erfassen von Kontaktpersonen via Bluetooth, wodurch ein anderer Ansatz verfolgt wird und beide Apps parallel genutzt werden könnten. Ein Vorteil der luca-App ist, dass es nicht mehr notwendig ist, dass positiv getestete Personen manuell eine Kontaktpersonenliste erstellen, da diese automatisch von der luca-App erstellt und an das Gesundheitsamt übermittelt wird. Dies geschieht jedoch nicht ohne die vorherige und ausdrückliche Zustimmung des Nutzers. Dadurch ist es nicht erforderlich, dass der Nutzer sich Aufenthaltsorte oder Kontaktpersonen merkt.
Weiterer Vorteil ist, dass der Gastronom oder Veranstalter, im Falle eines positiven Ergebnisses eines Gastes, nachhalten kann, wer zu diesem Zeitpunkt noch vor Ort war. Dadurch könnten zusätzlich schriftlich geführte Anwesenheitslisten überflüssig werden. Was neben dem ökologischen Aspekt auch hinsichtlich Datenschutz zielführend wäre, da diese Listen häufig offen in den Lokalen herumlagen und unberechtigte Personen ohne Weiteres Einsicht in die Listen nehmen konnten. Jedoch ist die Führung einer schriftlichen Anwesenheitsliste gemäß der Coronas-Verordnung einiger Bundesländer verpflichtend, so z.B. in Nordrhein-Westfalen. In anderen Bundesländern wie z.B. in Bayern, ist eine Kontaktdatenerfassung in elektronischer Form explizit geregelt und gestattet. In dieser Hinsicht müsste also noch nachgebessert werden, um die schriftlich geführten Listen abzuschaffen.
Was müssen Betreiber der luca-App im Datenschutz beachten?
Sollten Betreiber, Gastronomen oder Veranstalter die App zur Besucherregistrierung nutzen wollen, stellt sich die Frage ob und welche Maßnahmen getroffen werden müssen und ob ggf. Informationspflichten seitens der Betreiber bestehen? Da der Betreiber lediglich den QR-Code des Nutzers sieht, und dieser sich im Minutentakt ändert, verarbeitet dieser zunächst keine personenbezogenen Daten. Dennoch entstehen Datenübermittlungen, über die der Betroffene (Besucher) informiert werden muss. Da eine Datenverarbeitung hier seitens “luca” erfolgt, ist es erforderlich den Besuchern die Möglichkeit zu geben, Kenntnis von der Datenschutzerklärung der “luca-App” zu nehmen. Beispielsweise durch die Platzierung eines Links oder QR-Codes der zur Datenschutzerklärung der luca-App führt. Damit Betreiber die luca-App einsetzen können, ist der Abschluss eines Nutzungsvertrages notwendig. Diesem Nutzungsvertrag stimmen die privaten App-Benutzer/ Gäste beim Registrierungsprozess ebenfalls zu.
Dennoch kann auch diese App seinen Zweck nur erfüllen, wenn möglichst viele Gäste, Betreiber und Gesundheitsämter mitmachen. Es bleibt also abzuwarten, ob und in welchem Ausmaß die “luca-App” seinen Teil zur Bekämpfung der Pandemie beiträgt.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.