Einsatz der Luca App der Stadt Düsseldorf

Anfrage an: Hauptamt der Landeshauptstadt Düsseldorf

(1) Die Vereinbarung, die durch die Stadt Düsseldorf zum Einsatz der Luca App mit den Entwicklern der App getroffen hat. Personenbezogene Daten wie Kontaktdaten und Namen können geschwärzt werden.

Die Anfrage bezieht sich auf die Pressemitteilung der Stadt Düsseldorf, dass ab sofort die Luca App zur Kontaktverfolgung eingesetzt werden soll: https://corona.duesseldorf.de/news/gesundheitsamt-dusseldorf-arbeitet-mit-luca-app

(2) Informationen ob die Luca-App den Anforderungen des Landes NRW (vgl. https://www.land.nrw/de/pressemitteilung/land-informiert-zum-weiteren-verfahren-der-modellprojekte-fuer-das-digitale) gerecht wird und "IRIS" Kompatibel ist?

(3) Informationen zur datenschutzrechtlichen Bewertung (z.B. Datenschutzfolgeabschätzung) und/oder getroffenen Vereinbarungen zur Verarbeitung von Daten (z.B. Auftragsdatenverarbeitung nach § 62 BDSG / Art. 28 DSGVO) der App "Luca" durch den Datenschutzbeauftragen. Wurden hierzu die Landesdatenschutzbeauftragte des Landes NRW oder andere Stellen zum Einsatz und Förderung der App konsultiert?

Die Frage bezieht sich insbesondere auf die sowohl Datenschutzrechtlichen Bedenken, dass persönliche Daten bei Dritten (hier: culture4life GmbH) verarbeitet werden und Sicherheitsexperten der ERNW Enno Rey Netzwerke GmbH im Auftrag des App Herstellers bei einem Penetrationstest mehrere Probleme identifizieren konnten [https://shared-link.bdrive.cloud/shared/e2043bb6-7ec4-4294-8925-a9fbbac0936b#c6821ab3f8c3b645b292cfbe47a19b42cfb20b2757a1a7cb015b156c0641f9c4]

Ebenso hat die Corona Warn-App seit Ende letzten Jahres dasselbe Feature in Entwicklung (siehe Feature Request #70 der Corona WarnApp: https://github.com/corona-warn-app/cwa-wishlist/issues/70) welche zeitnah über Updates verteilt wird und daher die Frage stellt welchen Vorteil Luca gegenüber der Corona Warn App des Bundes bietet?

§ 67 BDSG Abs. 1 sieht vor, dass eine DSFA durchgeführt wird, wenn ein erhebliches Risiko für die Betroffenen bei neuen Technologien bestehen könnte.

(4) Informationen zur Absicherung von Kontaktdaten bzw. genauer dem Einsatz des kryptografischen Schlüssels.

Laut der Stellungnahme des Datenschutzbeauftragten des Bundes, haben alle Gesundheitsämter den gleichen Schlüssel (https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSKBeschluessePositionspapiere/Mrz21_Kontaknachverfolgungsapp.pdf) was sich wiederum den öffentlichen Diskurs widerspricht wo der Musiker "Smudo" als Anteilseigner des Betreiber Unternehmens behauptet hatte, dass man bei dem jeweiligen Gesundheitsamt einbrechen müsse um den lokalen Schlüssel zu bekommen (zum Beispiel, Aussage vom 30.03.2021 bei rbb Inforadio - https://www.inforadio.de/programm/schema/sendungen/int/202103/30/541472.html).

(5) Informationen, ob eine Lizenzüberprüfung oder Überprüfung des Quellcodes im allgemeinen stattgefunden hat und in welchem Rahmen die Stadt für Rechtsverstöße durch die App mitverantwortlich ist.

Hintergrund der Frage ist, dass Sicherheitsforscher zum Beispiel der Zerforschung Gruppe herausgefunden haben, dass Quellcode in der Luca App unter mutmaßlicher Missachtung der Lizenz von anderen Entwicklern übernommen wurde (vgl. https://zerforschung.org/posts/luca-2/ oder https://twitter.com/legumjus/status/1377124208421953537). Es ist also daher anzunehmen, dass sich weitere problematische Stellen im Quellcode befinden könnten. Diese Probleme sind anscheinend auch beim Audit durch die ERNW GmbH nicht aufgefallen.

(6) Information ob die Stadt die Betriebe über den Abschluss einer Auftragsdatenverarbeitung (AV) nach § 62 BDSG informiert werden und wie dies geschehen wird (wenn es geschehen wird) oder bereits ist.

Bei der IFG Anfrage #216683 (vgl. https://fragdenstaat.de/anfrage/einsatz-der-luca-app-im-rhein-kreis-neuss/) wurde der Abschluss einer AV durch das Gesundheitsamt / dem IT-Derzernenten des Rhein-Kreises Neuss verneint. Wodurch man davon ausgehen kann, dass die Datenverarbeitung durch § 9 BDSG i.v.M. § 22 BDSG Abs 1. Pkt. 1 lit. c stattfinden wird. Trifft dies hier auch zu? Jedoch betrifft dies nicht die Betriebe welche die Luca App (oder eine andere Applikationen bei dem der Hersteller als Auftragsverarbeiter auftritt) zur Kontaktverfolgung im Sinne der CoronaSchutzVO NRW einsetzen werden, welche eine AV benötigen. Dies wird auch in dem Beispiel der Luca-App durch den Betreiber selbst klargestellt, dass dieser ein Auftragsverarbeiter des "Gastgebers" ist (vgl. https://www.luca-app.de/app-privacy-policy/ , Kapitel C).

Anfrage eingeschlafen

Warte auf Antwort
  • Datum
    31. März 2021
  • Frist
    4. Mai 2021
  • 9 Follower:innen
  • Anfrage teilen
    Twitter Mastodon Kurzlink kopieren
  • RSS-Feed
Alle einklappen Alle ausklappen Zum Ende
<< Anfragesteller:in >>
am 31.03.2021
Antrag nach dem Informationsfreiheitsgesetz NRW, UIG NRW, VIG Sehr Antragsteller/in bitte senden Sie mir Folgend…
An Hauptamt der Landeshauptstadt Düsseldorf Details
Von
<< Anfragesteller:in >>
Betreff
Einsatz der Luca App der Stadt Düsseldorf [#217084]
Datum
31. März 2021 11:24
An
Hauptamt der Landeshauptstadt Düsseldorf
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem Informationsfreiheitsgesetz NRW, UIG NRW, VIG Sehr Antragsteller/in bitte senden Sie mir Folgendes zu:
(1) Die Vereinbarung, die durch die Stadt Düsseldorf zum Einsatz der Luca App mit den Entwicklern der App getroffen hat. Personenbezogene Daten wie Kontaktdaten und Namen können geschwärzt werden. Die Anfrage bezieht sich auf die Pressemitteilung der Stadt Düsseldorf, dass ab sofort die Luca App zur Kontaktverfolgung eingesetzt werden soll: https://corona.duesseldorf.de/news/gesundheitsamt-dusseldorf-arbeitet-mit-luca-app (2) Informationen ob die Luca-App den Anforderungen des Landes NRW (vgl. https://www.land.nrw/de/pressemitteilung/land-informiert-zum-weiteren-verfahren-der-modellprojekte-fuer-das-digitale) gerecht wird und "IRIS" Kompatibel ist? (3) Informationen zur datenschutzrechtlichen Bewertung (z.B. Datenschutzfolgeabschätzung) und/oder getroffenen Vereinbarungen zur Verarbeitung von Daten (z.B. Auftragsdatenverarbeitung nach § 62 BDSG / Art. 28 DSGVO) der App "Luca" durch den Datenschutzbeauftragen. Wurden hierzu die Landesdatenschutzbeauftragte des Landes NRW oder andere Stellen zum Einsatz und Förderung der App konsultiert? Die Frage bezieht sich insbesondere auf die sowohl Datenschutzrechtlichen Bedenken, dass persönliche Daten bei Dritten (hier: culture4life GmbH) verarbeitet werden und Sicherheitsexperten der ERNW Enno Rey Netzwerke GmbH im Auftrag des App Herstellers bei einem Penetrationstest mehrere Probleme identifizieren konnten [https://shared-link.bdrive.cloud/shared/e2043bb6-7ec4-4294-8925-a9fbbac0936b#c6821ab3f8c3b645b292cfbe47a19b42cfb20b2757a1a7cb015b156c0641f9c4] Ebenso hat die Corona Warn-App seit Ende letzten Jahres dasselbe Feature in Entwicklung (siehe Feature Request #70 der Corona WarnApp: https://github.com/corona-warn-app/cwa-wishlist/issues/70) welche zeitnah über Updates verteilt wird und daher die Frage stellt welchen Vorteil Luca gegenüber der Corona Warn App des Bundes bietet? § 67 BDSG Abs. 1 sieht vor, dass eine DSFA durchgeführt wird, wenn ein erhebliches Risiko für die Betroffenen bei neuen Technologien bestehen könnte. (4) Informationen zur Absicherung von Kontaktdaten bzw. genauer dem Einsatz des kryptografischen Schlüssels. Laut der Stellungnahme des Datenschutzbeauftragten des Bundes, haben alle Gesundheitsämter den gleichen Schlüssel (https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSKBeschluessePositionspapiere/Mrz21_Kontaknachverfolgungsapp.pdf) was sich wiederum den öffentlichen Diskurs widerspricht wo der Musiker "Smudo" als Anteilseigner des Betreiber Unternehmens behauptet hatte, dass man bei dem jeweiligen Gesundheitsamt einbrechen müsse um den lokalen Schlüssel zu bekommen (zum Beispiel, Aussage vom 30.03.2021 bei rbb Inforadio - https://www.inforadio.de/programm/schema/sendungen/int/202103/30/541472.html). (5) Informationen, ob eine Lizenzüberprüfung oder Überprüfung des Quellcodes im allgemeinen stattgefunden hat und in welchem Rahmen die Stadt für Rechtsverstöße durch die App mitverantwortlich ist. Hintergrund der Frage ist, dass Sicherheitsforscher zum Beispiel der Zerforschung Gruppe herausgefunden haben, dass Quellcode in der Luca App unter mutmaßlicher Missachtung der Lizenz von anderen Entwicklern übernommen wurde (vgl. https://zerforschung.org/posts/luca-2/ oder https://twitter.com/legumjus/status/1377124208421953537). Es ist also daher anzunehmen, dass sich weitere problematische Stellen im Quellcode befinden könnten. Diese Probleme sind anscheinend auch beim Audit durch die ERNW GmbH nicht aufgefallen. (6) Information ob die Stadt die Betriebe über den Abschluss einer Auftragsdatenverarbeitung (AV) nach § 62 BDSG informiert werden und wie dies geschehen wird (wenn es geschehen wird) oder bereits ist. Bei der IFG Anfrage #216683 (vgl. https://fragdenstaat.de/anfrage/einsatz-der-luca-app-im-rhein-kreis-neuss/) wurde der Abschluss einer AV durch das Gesundheitsamt / dem IT-Derzernenten des Rhein-Kreises Neuss verneint. Wodurch man davon ausgehen kann, dass die Datenverarbeitung durch § 9 BDSG i.v.M. § 22 BDSG Abs 1. Pkt. 1 lit. c stattfinden wird. Trifft dies hier auch zu? Jedoch betrifft dies nicht die Betriebe welche die Luca App (oder eine andere Applikationen bei dem der Hersteller als Auftragsverarbeiter auftritt) zur Kontaktverfolgung im Sinne der CoronaSchutzVO NRW einsetzen werden, welche eine AV benötigen. Dies wird auch in dem Beispiel der Luca-App durch den Betreiber selbst klargestellt, dass dieser ein Auftragsverarbeiter des "Gastgebers" ist (vgl. https://www.luca-app.de/app-privacy-policy/ , Kapitel C).
Dies ist ein Antrag nach dem Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfalen (Informationsfreiheitsgesetz Nordrhein-Westfalen – IFG NRW), dem Umweltinformationsgesetz Nordrhein-Westfalen (soweit Umweltinformationen betroffen sind) und dem Verbraucherinformationsgesetz des Bundes (soweit Verbraucherinformationen betroffen sind). Ausschlussgründe liegen meines Erachtens nicht vor. Aus Gründen der Billigkeit und insbesondere auf Grund des Umstands, dass die Auskunft in gemeinnütziger Art der Öffentlichkeit zur Verfügung gestellt werden wird, bitte ich Sie, nach § 2 VerwGebO IFG NRW von der Erhebung von Gebühren abzusehen. Soweit Umweltinformationen betroffen sind, handelt es sich hierbei um eine einfache Anfrage nach §5 (2) UIG NRW. Sollte die Aktenauskunft Ihres Erachtens gebührenpflichtig sein, bitte ich Sie, mir dies vorab mitzuteilen und dabei die Höhe der Kosten anzugeben. Auslagen dürfen nicht erhoben werden, da es dafür keine gesetzliche Grundlage gibt. Ich verweise auf § 5 Abs. 2 IFG NRW, § 2 UIG NRW und bitte Sie, mir die erbetenen Informationen unverzüglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Sollten Sie für diesen Antrag nicht zuständig sein, möchte ich Sie bitten, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte. Nach §5 Abs. 1 Satz 5 IFG NRW bitte ich Sie um eine Antwort in elektronischer Form (E-Mail). Ich möchte Sie um Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen Antragsteller/in Antragsteller/in Anfragenr: 217084 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/217084/ Postanschrift Antragsteller/in Antragsteller/in << Adresse entfernt >>
Mit freundlichen Grüßen << Anfragesteller:in >>
Noch keine Kommentare. Please login to write a comment.

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!