Es gibt immer wieder Zweifel an dem rechtmäßigen Einsatz der App Luca. Wir wollen an dieser Stelle die App genauer betrachten und Handlungsempfehlungen aussprechen.
Pflicht zur Kontaktnachverfolgung
Die Pflicht zur Kontaktnachverfolgung (§ 6 II Satz 5 der Corona-BekämpfVO) wurde in Schleswig Holstein abgeschafft. Gleichwohl kann die Kontaktnachverfolgung, gerade unter Berücksichtigung der gegenwärtigen Infektionszahlen, wieder eingeführt werden. Die notwendigen Regelungen wurden auch in der neuen Corona-BekämpfVO berücksichtigt:
§ 4 Abs. 2 Corona-BekämpfVO:
Soweit nach dieser Verordnung Kontaktdaten erhoben werden, sind Erhebungsdatum und -uhrzeit, Vor- und Nachname, Anschrift, sowie, soweit vorhanden, Telefonnummer oder E-Mail-Adresse zu erheben und für einen Zeitraum von vier Wochen aufzubewahren. Es gelten die Anforderungen aus § 28a Absatz 4 des Infektionsschutzgesetzes. Die oder der zur Datenerhebung Verpflichtete hat Personen, die die Erhebung ihrer Kontaktdaten verweigern, von dem Besuch oder der Nutzung der Einrichtung oder der Teilnahme an der Veranstaltung auszuschließen. Soweit gegenüber der oder dem zur Erhebung Verpflichteten Kontaktdaten angegeben werden, müssen sie wahrheitsgemäß sein; bei dienstlichen Tätigkeiten genügen die dienstlichen Kontaktdaten. Die Verpflichtungen aus Satz 1 entfallen, wenn die Nutzung einer Anwendungssoftware zur Verfügung gestellt wird, mittels derer Kontaktdaten sowie Erhebungsdatum und -uhrzeit sowie Aufenthaltsdauer erfasst werden können; die Software muss für einen Zeitraum von vier Wochen eine Übermittlung an das zuständige Gesundheitsamt ermöglichen.
Sollte die Pflicht zur Kontaktnachverfolgung (z.B. bei Veranstaltungen) wieder eingeführt werden, stellt sich die Frage, ob die Luca-App verpflichtend eingesetzt werden kann.
Da hier Bewegungsprofile und auch medizinische Daten erfasst werden, ist ein hohes Maß an Sicherheit zu fordern. Dass die Adressdaten zentral gespeichert werden, bedeutet ein höheres Risiko für die Betroffenen. Da hier die körperliche Unversehrtheit geschützt werden soll und diese m.E. gegenüber dem informationellen Selbstbestimmungsrecht m.E. als wichtiger zu betrachten ist, ist die Speicherung in zentralen Servern vertretbar. Die Entwickler der Software beteuern, dass die Software und die dort gespeicherten Daten sicher seien und verschlüsselt werden. Problematisch ist aber, dass dieses nicht nachprüfbar ist. Der Anbieter hat den Quelltext bislang nicht öffentlich freigegeben.
Kritisch ist der Umstand, dass durch eine mangelhafte Umsetzung das Hinterlegen beliebiger Namen möglich ist. Damit ist die Software geeignet, um unbeteiligte Dritte zu schädigen. Zudem kann mit geringen technischen Mitteln auch eine fremde Telefonnummer registriert werden (https://www.rostock-heute.de/luca-app-datenschutz-luecke-falsche-telefonnummer/115938).
Eine Verpflichtung zur Nutzung der App würde bedeuten, dass den Besuchern die Nutzung der App, trotz der erheblichen Sicherheitsmängel, auferlegt wird. Das ist, unter Betrachtung der festgestellten Mängel, nicht vertretbar.
Stattdessen empfehle ich, die Luca-App optional zu den analogen Dokumentationsmethoden einzusetzen.
Bitte beachten Sie, dass im Weiteren ein Auftragsverarbeitungsvertrag mit dem Anbieter (culture4life GmbH) geschlossen werden muss (https://www.luebeck.de/files/Corona/luca/luca%20Vereinbarung%20zur%20Datenverarbeitung%20im%20Auftrag.pdf) . Zudem muss sich Culture4life der kirchlichen Datenschutzaufsicht unterwerfen (https://datenschutz.ekd.de/infothek-items/av-vertrag/).