Einsatz der Luca App im Rhein-Kreis Neuss

Bezugnehmend auf die Anfrage #216683 wurde mir mitgeteilt, dass es noch keinen Vertrag mit der Luca App gäbe. Seit Dienstag, den 06. April werden die Postleitzahlen des Rhein-Kreises Neuss aber als verfügbar markiert, sowie wurde am 08.04.2021 eine Pressemittelung veröffentlicht, dass der Kooperationsvertrag unterschrieben wurde. Daher bitte ich um folgende Informationen:

(1) Die Vereinbarung, die der Kreis Neuss zum Einsatz der Luca App im Land mit den Entwicklern der App getroffen hat. Personenbezogene Daten wie Kontaktdaten und Namen können geschwärzt werden.

(2) Unterlagen oder Informationen zur Ausschreibung und Auswahlverfahren, die zum Einsatz der Luca App im Rhein-Kreis Neuss geführt haben.

Dazu ggf. ergänzend als Fragen: Werden die in den letzten Wochen neu gefundenen Probleme von Sicherheitsforschern mit der App (z.B. Registrierung mit Fake Daten https://www.rostock-heute.de/luca-app-datenschutz-luecke-falsche-telefonnummer/115938, Öffentlich einsehbare API https://robin.meis.space/2021/04/04/luca-app-werbeversprechen-gegen-api/, Geklauter Quellcode https://zerforschung.org/posts/luca-2/, Möglichkeit zur Anmeldung trotz Abwesenheit https://twitter.com/janboehm/status/1379564653060227072 (und damit verbunden, dass man fremde Personen eincheckt), Schlüsselanhänger ohne Kontaktdaten https://www.berliner-kurier.de/panorama/mangel-an-transparenz-jetzt-kommt-kritik-an-der-luca-app-auf-li.150566, (leider könnte man die Liste nun etwas weiterführen)) berücksichtigt? Werden IRIS-kompatible Anbieter, wie vom Land NRW für Modelversuche gefordert (https://www.land.nrw/de/pressemitteilung/land-informiert-zum-weiteren-verfahren-der-modellprojekte-fuer-das-digitale) nun ebenfalls angeschrieben und Verträge geschlossen? Hier sind insbesondere der "Innovationsverbund Öffentliche Gesundheit" (https://www.inög.de) der das vom Land NRW genannte IRIS-Gateway beauftragt und die Initiative "Wir für Digitalisierung" (https://www.wirfuerdigitalisierung.de/) der diversen Kontaktverfolgungs App Anbieter mit gemeinsamer SORMAS Schnistelle zu nennen.

(3) Unterlagen oder Informationen zur Absicherung von Kontaktdaten bzw. genauer dem Einsatz des kryptografischen Schlüssels des Gesundheitsamtes.

Laut der Stellungnahme des Datenschutzbeauftragten des Bundes, haben alle Gesundheitsämter den gleichen Schlüssel (https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSKBeschluessePositionspapiere/Mrz21_Kontaknachverfolgungsapp.pdf) was sich wiederum den öffentlichen Diskurs widerspricht wo der Musiker "Smudo" als Anteilseigner des Betreiber Unternehmens behauptet hatte, dass man bei dem jeweiligen Gesundheitsamt einbrechen müsse um den lokalen Schlüssel zu bekommen (zum Beispiel, Aussage vom 30.03.2021 bei rbb Inforadio - https://www.inforadio.de/programm/schema/sendungen/int/202103/30/541472.html).

In der o.g. Anfrage haben sie bejaht, dass der Pentest der ERNW bekannt ist. Seitdem ist das o.g. Papier der DSK veröffentlicht worden sowie eine unabhängige Analyse des Swiss Federal Institute of Technology und der Radboud Universiteit [vgl. https://arxiv.org/pdf/2103.11958.pdf], als auch die bereits oben benannten Beispielhaften Links zu Berichten diverser Sicherheitsforscher welche Mängel an der Luca App gefunden haben. Ebenfalls wurde zwischenzeitlich bekannt, dass einige Lücken welche von der ERNW als gelöst markiert wurden (z.B. die Absicherung des SMS Gateway) weiterhin angreifbar sind.

(4) Unterlagen oder Informationen zur Datenschutzfolgeabschätzung nach § 67 BDSG. Wenn eine nach Abs. 2 gemeinsame Abschätzung mit einer anderen Behörde oder dem Anbieter stattfand bitte ich um Auskunft dieser. Wenn keine stattgefunden hat bitte ich um Einschätzung warum die Gefahr betroffener Personen als gering eingestuft wird, insbesondere unter Betrachtung der o.g. Mängel oder warum der Rhein-Kreis Neuss hierfür nicht zuständig sei, wenn es wiederrum die App bewirbt.

Anfrage erfolgreich

  • Datum
    9. April 2021
  • Frist
    11. Mai 2021
  • 2 Follower:innen
<< Anfragesteller:in >>
Antrag nach dem Informationsfreiheitsgesetz NRW, UIG NRW, VIG Sehr Antragsteller/in bitte senden Sie mir Folgend…
An Gesundheitsamt Rhein-Kreis Neuss Details
Von
<< Anfragesteller:in >>
Betreff
Einsatz der Luca App im Rhein-Kreis Neuss [#217855]
Datum
9. April 2021 10:50
An
Gesundheitsamt Rhein-Kreis Neuss
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem Informationsfreiheitsgesetz NRW, UIG NRW, VIG Sehr Antragsteller/in bitte senden Sie mir Folgendes zu:
Bezugnehmend auf die Anfrage #216683 wurde mir mitgeteilt, dass es noch keinen Vertrag mit der Luca App gäbe. Seit Dienstag, den 06. April werden die Postleitzahlen des Rhein-Kreises Neuss aber als verfügbar markiert, sowie wurde am 08.04.2021 eine Pressemittelung veröffentlicht, dass der Kooperationsvertrag unterschrieben wurde. Daher bitte ich um folgende Informationen: (1) Die Vereinbarung, die der Kreis Neuss zum Einsatz der Luca App im Land mit den Entwicklern der App getroffen hat. Personenbezogene Daten wie Kontaktdaten und Namen können geschwärzt werden. (2) Unterlagen oder Informationen zur Ausschreibung und Auswahlverfahren, die zum Einsatz der Luca App im Rhein-Kreis Neuss geführt haben. Dazu ggf. ergänzend als Fragen: Werden die in den letzten Wochen neu gefundenen Probleme von Sicherheitsforschern mit der App (z.B. Registrierung mit Fake Daten https://www.rostock-heute.de/luca-app-datenschutz-luecke-falsche-telefonnummer/115938, Öffentlich einsehbare API https://robin.meis.space/2021/04/04/luca-app-werbeversprechen-gegen-api/, Geklauter Quellcode https://zerforschung.org/posts/luca-2/, Möglichkeit zur Anmeldung trotz Abwesenheit https://twitter.com/janboehm/status/1379564653060227072 (und damit verbunden, dass man fremde Personen eincheckt), Schlüsselanhänger ohne Kontaktdaten https://www.berliner-kurier.de/panorama/mangel-an-transparenz-jetzt-kommt-kritik-an-der-luca-app-auf-li.150566, (leider könnte man die Liste nun etwas weiterführen)) berücksichtigt? Werden IRIS-kompatible Anbieter, wie vom Land NRW für Modelversuche gefordert (https://www.land.nrw/de/pressemitteilung/land-informiert-zum-weiteren-verfahren-der-modellprojekte-fuer-das-digitale) nun ebenfalls angeschrieben und Verträge geschlossen? Hier sind insbesondere der "Innovationsverbund Öffentliche Gesundheit" (https://www.inög.de) der das vom Land NRW genannte IRIS-Gateway beauftragt und die Initiative "Wir für Digitalisierung" (https://www.wirfuerdigitalisierung.de/) der diversen Kontaktverfolgungs App Anbieter mit gemeinsamer SORMAS Schnistelle zu nennen. (3) Unterlagen oder Informationen zur Absicherung von Kontaktdaten bzw. genauer dem Einsatz des kryptografischen Schlüssels des Gesundheitsamtes. Laut der Stellungnahme des Datenschutzbeauftragten des Bundes, haben alle Gesundheitsämter den gleichen Schlüssel (https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSKBeschluessePositionspapiere/Mrz21_Kontaknachverfolgungsapp.pdf) was sich wiederum den öffentlichen Diskurs widerspricht wo der Musiker "Smudo" als Anteilseigner des Betreiber Unternehmens behauptet hatte, dass man bei dem jeweiligen Gesundheitsamt einbrechen müsse um den lokalen Schlüssel zu bekommen (zum Beispiel, Aussage vom 30.03.2021 bei rbb Inforadio - https://www.inforadio.de/programm/schema/sendungen/int/202103/30/541472.html). In der o.g. Anfrage haben sie bejaht, dass der Pentest der ERNW bekannt ist. Seitdem ist das o.g. Papier der DSK veröffentlicht worden sowie eine unabhängige Analyse des Swiss Federal Institute of Technology und der Radboud Universiteit [vgl. https://arxiv.org/pdf/2103.11958.pdf], als auch die bereits oben benannten Beispielhaften Links zu Berichten diverser Sicherheitsforscher welche Mängel an der Luca App gefunden haben. Ebenfalls wurde zwischenzeitlich bekannt, dass einige Lücken welche von der ERNW als gelöst markiert wurden (z.B. die Absicherung des SMS Gateway) weiterhin angreifbar sind. (4) Unterlagen oder Informationen zur Datenschutzfolgeabschätzung nach § 67 BDSG. Wenn eine nach Abs. 2 gemeinsame Abschätzung mit einer anderen Behörde oder dem Anbieter stattfand bitte ich um Auskunft dieser. Wenn keine stattgefunden hat bitte ich um Einschätzung warum die Gefahr betroffener Personen als gering eingestuft wird, insbesondere unter Betrachtung der o.g. Mängel oder warum der Rhein-Kreis Neuss hierfür nicht zuständig sei, wenn es wiederrum die App bewirbt.
Dies ist ein Antrag nach dem Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfalen (Informationsfreiheitsgesetz Nordrhein-Westfalen – IFG NRW), dem Umweltinformationsgesetz Nordrhein-Westfalen (soweit Umweltinformationen betroffen sind) und dem Verbraucherinformationsgesetz des Bundes (soweit Verbraucherinformationen betroffen sind). Ausschlussgründe liegen meines Erachtens nicht vor. Aus Gründen der Billigkeit und insbesondere auf Grund des Umstands, dass die Auskunft in gemeinnütziger Art der Öffentlichkeit zur Verfügung gestellt werden wird, bitte ich Sie, nach § 2 VerwGebO IFG NRW von der Erhebung von Gebühren abzusehen. Soweit Umweltinformationen betroffen sind, handelt es sich hierbei um eine einfache Anfrage nach §5 (2) UIG NRW. Sollte die Aktenauskunft Ihres Erachtens gebührenpflichtig sein, bitte ich Sie, mir dies vorab mitzuteilen und dabei die Höhe der Kosten anzugeben. Auslagen dürfen nicht erhoben werden, da es dafür keine gesetzliche Grundlage gibt. Ich verweise auf § 5 Abs. 2 IFG NRW, § 2 UIG NRW und bitte Sie, mir die erbetenen Informationen unverzüglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Sollten Sie für diesen Antrag nicht zuständig sein, möchte ich Sie bitten, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte. Nach §5 Abs. 1 Satz 5 IFG NRW bitte ich Sie um eine Antwort in elektronischer Form (E-Mail). Ich möchte Sie um Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen Antragsteller/in Antragsteller/in Anfragenr: 217855 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/217855/ Postanschrift Antragsteller/in Antragsteller/in << Adresse entfernt >>
Mit freundlichen Grüßen << Anfragesteller:in >>
<< Anfragesteller:in >>
Sehr << Anrede >> bezugnehmend auf meine IFG Anfrage #217855: Die Beantwortung der Frage 4 ist nicht…
An Gesundheitsamt Rhein-Kreis Neuss Details
Von
<< Anfragesteller:in >>
Betreff
AW: Einsatz der Luca App im Rhein-Kreis Neuss [#217855]
Datum
13. April 2021 16:42
An
Gesundheitsamt Rhein-Kreis Neuss
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> bezugnehmend auf meine IFG Anfrage #217855: Die Beantwortung der Frage 4 ist nicht mehr notwendig, da die Berliner Datenschutzbehörde zwischenzeitlich bereits angekündigt hat diese zu veröffentlichen, auch wenn dies noch nicht geschehen ist. Damit erfüllt dies die Anforderungen nach § 24 DSG NRW Abs. 1 für den Kreis bzw. § 67 BDSG Abs. 2 für die Betriebe und beantwortet daher auch die Frage nach gemeinsamer DSFA bereits. Sollte diese Ihnen aber bereits vorliegen freue ich mich natürlich auch durch Veröffentlich durch Ihre Stelle. Darüberhinaus halte ich an meiner IFG-Anfrage fest und bitte um die Beantwortung der Teile eins bis drei (Ziffer 1 - 3). Zur Beantwortung der Frage 3 möchte ich ergänzen, dass dies auch im Rahmen geschehen kann, dass formlos bestätigt wird, dass die Anforderungen nach § 58 DSG NRW, im besonderen Absatz 1 und 3, eingehalten werden und durch zum Beispiel ihren Beauftragten für Informationssicherheit auf Einhaltung geprüft werden. Eine Auskunft der Technischen- oder Organisatorischen Maßnahmen ist hier m.E. nicht notwendig oder zielführend. Ebenso bitte ich noch um eine Eingangsbestätigung. Diese steht bisher ebenfalls aus. Mit freundlichen Grüßen Antragsteller/in Antragsteller/in Anfragenr: 217855 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/217855/
Gesundheitsamt Rhein-Kreis Neuss
Sehr Antragsteller/in herzlichen Dank für Ihre Anfrage an den Rhein-Kreis Neuss, deren Eingang ich hiermit bestät…
Von
Gesundheitsamt Rhein-Kreis Neuss
Betreff
AW: Einsatz der Luca App im Rhein-Kreis Neuss [#217855]
Datum
15. April 2021 11:23
Status
Warte auf Antwort
Sehr Antragsteller/in herzlichen Dank für Ihre Anfrage an den Rhein-Kreis Neuss, deren Eingang ich hiermit bestätige. Gerne kümmere ich mich um Ihr Anliegen, bitte aber um Ihr Verständnis, dass eine Antwort in der Sache etwas Zeit in Anspruch nehmen wird. Mit freundlichen Grüßen
Gesundheitsamt Rhein-Kreis Neuss
Sehr Antragsteller/in vielen Dank für Ihre Anfrage bzgl. der "luca-App". Entschuldigen Sie zunächst, da…
Von
Gesundheitsamt Rhein-Kreis Neuss
Betreff
Datum
7. Mai 2021 13:37
Status
Anfrage abgeschlossen
Sehr Antragsteller/in vielen Dank für Ihre Anfrage bzgl. der "luca-App". Entschuldigen Sie zunächst, dass ich nicht schon früher dazu gekommen bin, Ihnen zu antworten. Mein Kreisgesundheitsamt hat nach Zeichnung des beigefügten Kooperationsvertrags die technischen Voraussetzungen geschaffen, damit auch die luca-App im Zuständigkeitsbereich des Rhein-Kreis Neuss eingesetzt werden kann. Erforderliche Schnittstelle, Zertifikat sowie persönlicher Schlüssel für mein Gesundheitsamt wurden zunächst kostenlos bereitgestellt. Die Frage nach einer Ausschreibung stellt sich daher aktuell nicht. Selbstverständlich kenne ich das IRIS-Gateway und die dahinterstehende Idee, die ich sehr begrüße. Ich führe bereits seit März Gespräche mit den Entwicklern des Gateways und regionalen Anbietern, eine Anbindung an IRIS wurde mir für Ende Mai in Aussicht gestellt. Der Rhein-Kreis Neuss bleibt darüber hinaus aber auch für andere geeigneten Gästelisten- und Check-in-Anbieter offen, sofern mir diese eine kosten- und medienbruchfreie Schnittstelle in das System des Kreisgesundheitsamts zur Verfügung stellen. Ich bin der festen Überzeugung, dass digitale Systeme zur Kontakterfassung und Kontaktnachverfolgung zu einer Besserung der bisherigen Situation beitragen werden, auch mit Blick auf Datenschutz und -sicherheit. Wie bei jeder neuen digitalen Anwendung üblich, verfolge ich auch bei der luca-App alle Hinweise auf Sicherheitsprobleme sowie Diskussionen über den Datenschutz sehr aufmerksam. Auch begrüße ich jeden konstruktiven Beitrag, der die Funktionsweise insbesondere der luca-App kritisch hinterfragt bzw. denkbare Sicherheitslücken aufdeckt. Für mich ist entscheidend, dass ein Entwickler aufgedeckte Sicherheitslücken umgehend schließt und Bedenken ausräumt. Dies ist nach meiner Wahrnehmung seitens culture4life bisher sehr transparent geschehen. Diesen Maßstab werde ich auch bei anderen Gästelisten- und Check-in-Anbietern ansetzen. Hinsichtlich Ihrer Frage nach Unterlagen und Informationen zur Absicherung der Kontaktdaten bzw. dem Einsatz des kryptografischen Schlüssels meines Gesundheitsamtes verweise ich Sie an das luca Security Overview (https://gitlab.com/lucaapp/security-overview). Für darüber hinaus gehende Informationen empfehle ich, unmittelbar mit den Entwicklern bzw. der zuständigen Landesbeauftragten für Datenschutz in Kontakt tu treten. Die Luca-App wird von der Culture4Life GmbH mit Firmensitz in Berlin betrieben und unterliegt somit der datenschutzrechtlichen Kontrolle der Berliner Beauftragten für Datenschutz und Informationsfreiheit (www.datenschutz-berlin.de). Abschließend möchte ich erneut betonen, dass luca und andere digitale Lösungen ausschließlich für Bürgerinnen und Bürger gedacht sind, die freiwillig an einer effizienteren Kontaktnachverfolgung teilnehmen möchten. In Nordrhein-Westfalen ist weiterhin ein papiergebundener Check-In möglich. Mit freundlichen Grüßen

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

<< Anfragesteller:in >>
Sehr << Anrede >> vielen Dank für die Beantwortung der Anfrage und die Informationen. Das Sicherhei…
An Gesundheitsamt Rhein-Kreis Neuss Details
Von
<< Anfragesteller:in >>
Betreff
AW: Einsatz der Luca App im Rhein-Kreis Neuss [#217855]
Datum
7. Mai 2021 14:15
An
Gesundheitsamt Rhein-Kreis Neuss
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> vielen Dank für die Beantwortung der Anfrage und die Informationen. Das Sicherheitskonzept der luca App ist mir bekannt und hieraus resultierte auch die Erkenntnis zur falschen Aussage (abgesehen von der Art und Weise wie der Betreiber dies hier vornimmt) zur Absicherung der Schlüssel (oder aber auch, dass Location Betreiber keine Daten einsehen könnten). Ebenso ist der allgemeine Eindruck unter Sicherheitsforschern grade nicht, dass sich die Betreiber um die neuen Lücken (für die Öffentlichkeit transparent) kümmern würden. Dies kann sich natürlich für die Kommunen als Betroffene anders darstellen. Hierfür sind aber schon von anderen Personen Vorgänge bei der Beauftragten für Datenschutz und Informationsfreiheit Berlin anhängig, wie von Ihnen ebenfalls vorgeschlagen. Ich möchte auch einmal abschließend betonen das ich das System der Kontaktverfolgung (weder in digitaler noch analoger Form) auch nicht in Frage stelle, sondern mich in diesem speziellen Fall bezüglich der (Auftrags) Vergabe (in anderen Bundesländern) sowie dem Umgang des Betreibers mit Sicherheitslücken im Zusammenhang der Verarbeitung von kritischen Personendaten "sorge". Ich bedanke mich nochmals und wünsche Ihnen einen schönes Wochenende. Mit freundlichen Grüßen, Antragsteller/in Antragsteller/in Anfragenr: 217855 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/217855/