Einsatz der Luca App im Rhein-Kreis Neuss
Bezugnehmend auf die Anfrage #216683 wurde mir mitgeteilt, dass es noch keinen Vertrag mit der Luca App gäbe. Seit Dienstag, den 06. April werden die Postleitzahlen des Rhein-Kreises Neuss aber als verfügbar markiert, sowie wurde am 08.04.2021 eine Pressemittelung veröffentlicht, dass der Kooperationsvertrag unterschrieben wurde. Daher bitte ich um folgende Informationen:
(1) Die Vereinbarung, die der Kreis Neuss zum Einsatz der Luca App im Land mit den Entwicklern der App getroffen hat. Personenbezogene Daten wie Kontaktdaten und Namen können geschwärzt werden.
(2) Unterlagen oder Informationen zur Ausschreibung und Auswahlverfahren, die zum Einsatz der Luca App im Rhein-Kreis Neuss geführt haben.
Dazu ggf. ergänzend als Fragen: Werden die in den letzten Wochen neu gefundenen Probleme von Sicherheitsforschern mit der App (z.B. Registrierung mit Fake Daten https://www.rostock-heute.de/luca-app-datenschutz-luecke-falsche-telefonnummer/115938, Öffentlich einsehbare API https://robin.meis.space/2021/04/04/luca-app-werbeversprechen-gegen-api/, Geklauter Quellcode https://zerforschung.org/posts/luca-2/, Möglichkeit zur Anmeldung trotz Abwesenheit https://twitter.com/janboehm/status/1379564653060227072 (und damit verbunden, dass man fremde Personen eincheckt), Schlüsselanhänger ohne Kontaktdaten https://www.berliner-kurier.de/panorama/mangel-an-transparenz-jetzt-kommt-kritik-an-der-luca-app-auf-li.150566, (leider könnte man die Liste nun etwas weiterführen)) berücksichtigt? Werden IRIS-kompatible Anbieter, wie vom Land NRW für Modelversuche gefordert (https://www.land.nrw/de/pressemitteilung/land-informiert-zum-weiteren-verfahren-der-modellprojekte-fuer-das-digitale) nun ebenfalls angeschrieben und Verträge geschlossen? Hier sind insbesondere der "Innovationsverbund Öffentliche Gesundheit" (https://www.inög.de) der das vom Land NRW genannte IRIS-Gateway beauftragt und die Initiative "Wir für Digitalisierung" (https://www.wirfuerdigitalisierung.de/) der diversen Kontaktverfolgungs App Anbieter mit gemeinsamer SORMAS Schnistelle zu nennen.
(3) Unterlagen oder Informationen zur Absicherung von Kontaktdaten bzw. genauer dem Einsatz des kryptografischen Schlüssels des Gesundheitsamtes.
Laut der Stellungnahme des Datenschutzbeauftragten des Bundes, haben alle Gesundheitsämter den gleichen Schlüssel (https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSKBeschluessePositionspapiere/Mrz21_Kontaknachverfolgungsapp.pdf) was sich wiederum den öffentlichen Diskurs widerspricht wo der Musiker "Smudo" als Anteilseigner des Betreiber Unternehmens behauptet hatte, dass man bei dem jeweiligen Gesundheitsamt einbrechen müsse um den lokalen Schlüssel zu bekommen (zum Beispiel, Aussage vom 30.03.2021 bei rbb Inforadio - https://www.inforadio.de/programm/schema/sendungen/int/202103/30/541472.html).
In der o.g. Anfrage haben sie bejaht, dass der Pentest der ERNW bekannt ist. Seitdem ist das o.g. Papier der DSK veröffentlicht worden sowie eine unabhängige Analyse des Swiss Federal Institute of Technology und der Radboud Universiteit [vgl. https://arxiv.org/pdf/2103.11958.pdf], als auch die bereits oben benannten Beispielhaften Links zu Berichten diverser Sicherheitsforscher welche Mängel an der Luca App gefunden haben. Ebenfalls wurde zwischenzeitlich bekannt, dass einige Lücken welche von der ERNW als gelöst markiert wurden (z.B. die Absicherung des SMS Gateway) weiterhin angreifbar sind.
(4) Unterlagen oder Informationen zur Datenschutzfolgeabschätzung nach § 67 BDSG. Wenn eine nach Abs. 2 gemeinsame Abschätzung mit einer anderen Behörde oder dem Anbieter stattfand bitte ich um Auskunft dieser. Wenn keine stattgefunden hat bitte ich um Einschätzung warum die Gefahr betroffener Personen als gering eingestuft wird, insbesondere unter Betrachtung der o.g. Mängel oder warum der Rhein-Kreis Neuss hierfür nicht zuständig sei, wenn es wiederrum die App bewirbt.
Anfrage erfolgreich
-
Datum9. April 2021
-
11. Mai 2021
-
2 Follower:innen
Ein Zeichen für Informationsfreiheit setzen
FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!