Stephan Martini,
Am Donnerstag kam auch die Antwort von LUCA auf meine Fragen:

Sehr geehrter Herr Martini,

wir freuen uns, dass die Dienste der culture4life bei Ihnen thematisiert werden und beantworten Ihre Fragen gerne unten.

Bitte beantworten Sie mir folgende Fragen:

Frage: Wo ist der Standort der Server auf denen relevante Daten von Luca gespeichert werden?

Antwort: Die Server befinden sich in der EU.

Bemerkung: Da auch Anbieter wie Amazon, Google oder Microsoft diese Dienstlestungen Europaweit anbieten aber im Zweifel anderen Jurisdiktionen (z.B. USA) unterliegen ist dies keine Ausrechende Antwort.

Frage: Wie und durch welche Maßnahmen ist der/sind die Server abgesichert?

Antwort: Die eingesetzten Serveranbieter sind ISO zertifiziert und erfüllen damit die derzeit maßgeblichen Anforderungen an IT-Sicherheit.

Bemerkung: Nach welcher ISO Norm es gibt dehrer tausende, Ohne angabe der Nummer ist dies nur eine Lehre Phrase.

Frage: Wie finanziert sich das Unternehmen das die App entwickelt hat?

Antwort: Unser Auftragsverarbeiter neXenio GmbH übernimmt für uns (culture4life) die Entwicklung und Wartung des luca-Systems. neXenio ist als eine GmbH ausgerichtet und erwirtschaftet Umsätze entsprechend über eigene Produkte und Dienstleistungen.

Bemerkung: Beantwortet leider nicht die Frage, es wurde nicht nach der Rechtsform und Organisation der die LucaApp entwickelnden / betreibenden unternehmen gefragt, sondern nach deren Geschäftsmodel.

Frage: Wie werden doppelte Anmeldungen verhindert?

Antwort: Da lediglich die Telefonnummer verifiziert wird, sind doppelte Anmeldungen nicht ausgeschlossen. Zu Gunsten einer effektiven Verschlüsselung ist eine andere Lösung technisch nicht umsetzbar.

Bemerkung: Dies führt aber dazu das zum einen die App dafür verwendet werden kann wildfremde Menschen mit SMS kontroll nachrichten zu Spammen mit LUCA als absender und auf kosten von Luca. Ferner können dadurch sogar Skriptgesteuert beliebig viele Fake Accounts erstellt werden die sich irgendwo einchecken können ohne das überprüft werden kann ob diese überhaupt vorhanden sind. Ferner könnte es möglich sein über die nicht verifizierten Eingabefelder Schadcode in das letztendlich verarbeitende System (Sormas) einzuschleusen oder die Server durch Extrem lange Strings zu überlasten (DDoS).

Frage: Welche Daten werden durch die App von den Gesundheitsämtern, Betrieben und Veranstaltern, Nutzern erhoben. Wo werden die Daten gespeichert, und wie?

Antwort: Diese Informationen finden Sie vollumfänglich unter: https://www.luca-app.de/app-privacy-policy/

Bemerkung: https://www.luca-app.de/app-privacy-policy/ währe dann getrennt zu analysieren ob diese der DsGvo genügen.

Frage: Erklären sie kurz das Grundprinzip.

Antwort: Auf unserer Webseite finden Sie relevante Beschreibungen zur Nutzung von luca: https://www.luca-app.de/

Bemerkung: Es wurde nicht nach der Funktionsweise der App sondern des Systems als ganzes gefragt.

Gesundheitsämter/Datenschutz:

Frage: Über welches Tool, welches Programm greifen die Gesundeitsämter auf die Luca App zu?

Antwort: Für die Anbindung der Gesundheitsämter an das luca-System wurde eine Schnittstelle zu SORMAS geschaffen.

Bemerkung: Da weder für die Events noch für die eingecheckten Nutzer sicher gestellt werden kann das diese überhaupt valide sind und ausserdem die übergebenen daten alles beinhalten können (auch Schadcode) kann auch nicht sichergestellt werden das es sich nicht nur um Datenmüll handelt welchen die Server an die Gesundheitsämter ausliefern.

Frage: Wie verifizieren sich die Gesundheitsämter bei Luca und wer erhält Zugriff auf die jeweiligen Daten?

Antwort: Die Gesundheitsämter werden mittels eines speziellen Prozesses durch die Bundesdruckerei verifiziert. Nur die für die Kontaktnachverfolgung zuständigen Mitarbeiter der Gesundheitsämter erhalten Zugriff auf die jeweiligen Daten.

Bemerkung: Will heissen die Verteilung der Zugangsschlüssel ist sache des Gesundheitsamtes und wird nicht validiert. Jeder der wie auch immer an einen schlüssel kommt kann an die Daten der Nutzer.

Frage: Wie wird sichergestellt, dass die Gesundheitsämter existieren und keine Fake-Konten eingerichtet werden?

Antwort: Dies wird beim Verifizierungsprozess durch die Bundesdruckerei sichergestellt.

Bemerkung: Was aber wie gesagt nicht sicherstellt das auch die Mitarbeiter der Gesundheitsämter korrekt verhalten. zumal durch Urlaubsvertretungen Schichtdiennste usw. immer mehr Menschen in den Besitz der entsprechenden Schlüssel gelangen.

Frage: Müssen sich die Mitarbeiterinnen der Gesundheitsämter einzelnd verifizieren?

Antwort: Verifiziert werden die Gesundheitsämter. Diese stellen den betroffenen Mitarbeiter*innen Zugang zu SORMAS und damit zur luca-Schnittstelle zur Verfügung.

Bemerkung: siehe oben.

Frage: Wer aus der jeweiligen Gemeindevertretung kann zusätzlich zu den Gesundheitsämtern auf die Daten zugreifen?

Antwort: Ein solcher Zugriff ist nicht vorgesehen.

Bemerkung: Jeder der den Schlüssel wie auch immer bekommt.

Frage: Wie wird ein Missbrauch der Daten durch andere Behörden verhindert (Ordnungsbehörden, Bußgeldstellen, Polizei etc)?

Antwort: Durch die Verschlüsselung sowie übrige Sicherheitsmechanismen werden unberechtigte Zugriffe verhindert, auch seitens der von Ihnen gelisteten Akteure. Eine Weitergabe durch die Beteiligten ist grundsätzlich nicht durch eine Rechtsgrundlage gedeckt und somit nicht zulässig. Ausnahmen können auf gesetzlich legitimierter Basis vorhanden sein. Diesbezüglich ist zu beachten, dass keine Änderung durch die Nutzung von luca gegenüber der auf anderem Wege vorgenommenen Kontaktrückverfolgung besteht. Zusätzlich ist culture4life selbst die Weitergabe aufgrund der doppelten Verschlüsselung (durch Betreiber und durch Gesundheitsämter) nicht möglich.

Bemerkung: Zum einen ist es mehr als blauäugig, anzunehmen das Gesetze vor allem Staatliche stellen davon abhält diese Daten zu missbrauchen, wir hatten diese vorkommnisse schon mehr als Einmal im Zuge des Papier Verfahrens während der ersten Welle. Ausserdem kann Luca da überhaupt nichts machen da jeder der einen validen schlüssel hat, unabhängig ob er ihn auf legale (Angriff von Innen) oder Illegal (Angriff von aussen) erlangt zugriff auf die Daten hat. Und da es nur einen Schlüssel für alle gibt lässt sich das weder feststellen noch eingrenzen.

Frage: Wird den Gesundheitsämtern eine spezielle Datenschutzerklärung abverlangt? Gibt es besondere Hinweise?

Antwort: Seitens culture4life wird von den Gesundheitsämtern keine spezielle Datenschutzerklärung gefordert.

Bemerkung: Will heißen es wird nichteinmal grundlegend sichergestellt das die betreffenden Personen die mit den Daten arbeiten die entsprechenden Rechtsgrundlagen und Regeln überhaupt kennen.

Frage: Wie lange werden die Daten gespeichert? Bei Luca/bei den Geaundheitsämtern?

Antwort: Die Einträge in der Kontakthistorie eines Nutzers innerhalb der luca App werden nach 2 Wochen gelöscht. Im Übrigen gelten die gesetzlichen Aufbewahrungsfristen.

Bemerkung: Glauben wir es ihnen mal, Wie verrauenswürdig LUCA ist muss jeder für sich selbst entscheiden.

Frage: Wie sichert Luca die Löschung, den Datenschutz der erhobenen/abgerufenen Daten über die Gesundheitsämter ab?

Antwort: Für die Löschung der Daten bei den Gesundheitsämtern sind die Gesundheitsämter verantwortlich. culture4life hat dahingehend auf diese keinen Einfluss.

Bemerkung: Die im Zweifel nichteinmal über die notwendigkeit der Löschung unterichtet sind.

Betrieb und Veranstalter/ Datenschutz:

Frage: Über welches Tool, welches Programm greifen die Betriebe, Veranstalter auf die Luca App zu?

Antwort: culture4life stellt den Betreibern bzw. Veranstaltern ein entsprechendes Frotend zur Nutzung der luca App zur Verfügung.

Bemerkung: Dessen Eingaben nicht validiert werden.

Frage: Wie verifizieren sich die Betriebe, Veranstalter bei Luca und wer erhält Zugriff auf die jeweiligen Daten?

Antwort: Eine Verifizierung der Betreiber bzw. Veranstalter ist nicht vorgesehen, da diesen im luca-System kein Zugriff auf personenbezogene Daten gewährt wird. Dies stellt den Mehrwert der Nutzung der luca App gegenüber der herkömmlichen Methode zur Erfassung von Kontaktdaten mittels Papierlisten dar.

Bemerkung: Das heisst jeder kann jederzeit überall Fake Events erzeugen und die QR-Codes im Internet veröffentlichen. Bei dehnen sich dann wiederum jeder von überall einchecken kann.

Frage: Wie wird sichergestellt, dass die Betriebe und Veranstalter existieren und keine Fake-Konten eingerichtet werden?

Antwort: Das Anlegen eines Fake-Kontos stellt keine Bedrohung für personenbezogene Daten dar, da diese den Betreibern bzw. Veranstaltern im luca-System nicht als Klardaten zur Verfügung gestellt werden.

Bemerkung: Für die Nutzung dieser zur Verfolgund von Infizierungen jedoch schon. Es besteht die Gefahr das der grossteil der Daten nicht valide ist und da sogar Schadcode eingeschleust werden kann kann es nicht nur mehr Arbeit sondern sogar weitergehende schäden an der SORMAS Software inklusive verlust von relevanten Daten bedeuten kann.

Frage: Müssen sich die Mitarbeiter*innen der Betriebe und Veranstalter die Zugriff erhalten einzelnd verifizieren?

Antwort: Nein, dies ist nicht vorgesehen.

Bemerkung: Was eben dazu führt das die Daten nicht auf validität überprüft werden können und auch nicht festgestellt werden kann wer im Zweifel die falschen Daten eingegeben hat.

Frage: Wer aus dem jeweiligen Betrieb, Verwalter kann zusätzlich zu den Verantwortlichen, Betriebsleitung auf die Daten zugreifen?

Antwort: Es besteht im luca-System kein Zugriff auf Daten seitens der Betreiber bzw. Veranstalter.

Bemerkung: Es sei den er kommt z.B. über das Gesundheitsamt an einen validen Code des Gesundheitsamtes.

Frage: Wie wird ein Missbrauch der Daten durch andere verhindert (Angestellte des Betriebes, Gäste einer Veranstaltung… )?

Antwort: Wie bereits erläutert, werden die Daten nur verschlüsselt erfasst und sind somit vor unberechtigten Zugriffen kryptografisch geschützt.

Bemerkung: Wiederum eine Sache des Vertrauens, allerdings werden da noch andere auf der Ebene liegende Probleme übersehen (auschecken und physischer abstand von Events).

Frage: Wird den Betrieben, Veranstaltern eine spezielle Datenschutzerklärung abverlangt? Gibt es besondere Hinweise?

Antwort: Die Betreiber bzw. Veranstalter müssen als Verantwortliche ihren durch die DSGVO auferlegten Pflichten nachkommen und sofern eine Verarbeitung von personenbezogenen Daten stattfindet eine Datenschutzerklärung veröffentlichen. culture4life bietet eine Hilfestellung an indem wir den Betreibern bzw. Veranstaltern eine Vorlage für die Datenschutzerklärung als Basis zur Verfügung stellen.

Bemerkung: Ein Link zur Vorlage um diese zu prüfen währe hilfreich gewesen.

Frage: Wie sichert Luca die Löschung, den Datenschutz der erhobenen/abgerufenen Daten bei den Betrieben, Veranstaltern ab?

Antwort: Die mittels luca App erfassten Besucherdaten werden automatisch nach Ablauf der Aufbewahrungsfristen im luca-System gelöscht. Dies können die Betreiber bzw. Veranstalter nicht verhindern.

Bemerkung: Auch hier ist das eine Sache des Vertrauens das keine Daten lokal abfließen, sondern alles auf den Servern von Luca landet.

Frage: Wie lange dürfen die Daten gespeichert werden?

Antwort: Die Speicherdauer richtet sich nach den gesetzlichen Aufbewahrungsfristen, welche den jeweiligen Verordnungen der Länder entnommen werden können. Für die Einhaltung der Anforderungen seitens culture4life besteht ein Löschkonzept, welches die Löschvorgänge bei Ablauf der Aufbewahrungsfristen sicherstellt.

Bemerkung: Vertrauenssache.

Wir hoffen Ihre Fragen geklärt zu haben und verbleiben

Mit freundlichen Grüßen

Luca Privacy Team

Fazit: Angefangen damit das die App von den entsprechenden Stellen unter Missachtung zum einen der Gesetze (Ausschreibung) für Millionen „Lizensiert“, nicht gekauft wurde und das obwohl es eine vom steuerzahler bezahlte App die diese Funktion auch kostengünstig und Datenschutzkonform integrieren konnte gab. Ist diese Software aufgrund der fehlenden Vertrauenswürdigkeit ihrer Betreiber, der täglich weiteren auftauchenden Mängel und der offensichtlichen überforderung der Entwickler mit selbst einfachsten Sicherheitsanforderungen abzulehnen.

Kommentare geschlossen.