Diese Anfrage hat eine Antwort erhalten und ist in einem unbekannten Zustand. Wenn Sie diese Anfrage gestellt haben, bitte loggen Sie sich ein und setzen Sie einen neuen Status.

Datenschutz-Folgenabschätzung (DSFA) für die Luca-App

Anfrage an:
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit
Verwendete Gesetze:
Status dieser Anfrage:
Anfrage muss klassifiziert werden
Zusammenfassung der Anfrage

Nach Art. 35 DSGVO müssen die Verantwortlichen besonderer Datenverarbeitungsverfahren vor dem Einsatz des Verfahrens eine Datenschutz-Folgenabschätzung vorlegen. Dies gilt demnach auch für die kürzlich von Berlin eingekaufte Luca-App zur Umsetzung der Kontaktspeicherung laut CoronaVO. Gemäß IFG erfragen wir auf diesem Wege zwei Dinge:
- Seit wann liegt eine angemessene und gültige DSFA der Behörde vor?
- Wir bitten um Zusendung der DSFA inklusive der Information, ob diese veröffentlicht werden kann oder wenn das nicht der Fall ist, warum nicht.

Darüber hinaus: Inwiefern wurde geprüft, ob es weniger datenintensive Alternativen zur Luca-App gibt, so wie es laut Art. 5 DSGVO rechtlich geboten ist und wodurch der Einsatz der Luca-App dann unzulässig wäre? Wenn eine solche Prüfung nicht stattgefunden hat: Warum nicht? Falls sie stattgefunden hat, hätten wir gern die Dokumentation dieser Überlegungen.


Korrespondenz

Von
Rainer Rehak (Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e. V.)
Betreff
Datenschutz-Folgenabschätzung (DSFA) für die Luca-App [#217030]
Datum
30. März 2021 15:38
An
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.

Anfrage nach dem Berliner Informationsfreiheitsgesetz, VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu:
Nach Art. 35 DSGVO müssen die Verantwortlichen besonderer Datenverarbeitungsverfahren vor dem Einsatz des Verfahrens eine Datenschutz-Folgenabschätzung vorlegen. Dies gilt demnach auch für die kürzlich von Berlin eingekaufte Luca-App zur Umsetzung der Kontaktspeicherung laut CoronaVO. Gemäß IFG erfragen wir auf diesem Wege zwei Dinge: - Seit wann liegt eine angemessene und gültige DSFA der Behörde vor? - Wir bitten um Zusendung der DSFA inklusive der Information, ob diese veröffentlicht werden kann oder wenn das nicht der Fall ist, warum nicht. Darüber hinaus: Inwiefern wurde geprüft, ob es weniger datenintensive Alternativen zur Luca-App gibt, so wie es laut Art. 5 DSGVO rechtlich geboten ist und wodurch der Einsatz der Luca-App dann unzulässig wäre? Wenn eine solche Prüfung nicht stattgefunden hat: Warum nicht? Falls sie stattgefunden hat, hätten wir gern die Dokumentation dieser Überlegungen.
Dies ist ein Antrag auf Akteneinsicht bzw. Aktenauskunft nach § 3 Abs. 1 Berliner Informationsfreiheitsgesetz (IFG) bzw. nach § 2 Abs. 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Verbraucherinformationen nach § 2 Abs. 1 VIG betroffen sind. Ausschlussgründe liegen meines Erachtens nicht vor. Ich möchte Sie darum bitten, mich vorab über den voraussichtlichen Verwaltungsaufwand sowie die voraussichtlichen Kosten für die Akteneinsicht bzw. Aktenauskunft zu informieren. Soweit Verbraucherinformationen betroffen sind, bitte ich Sie zu prüfen, ob Sie mir die erbetene Akteneinsicht bzw. Aktenauskunft nach § 7 Abs. 1 Satz 2 VIG auf elektronischem Wege kostenfrei gewähren können. Ich verweise auf § 14 Abs. 1 Satz 1 IFG und bitte Sie, ohne Zeitverzug über den Antrag zu entscheiden. Soweit Verbraucherinformationen betroffen sind, verweise ich auf § 5 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen baldmöglichst, spätestens bis zum Ablauf eines Monats nach Antragszugang zugänglich zu machen. Sollten Sie den Antrag ablehnen, gilt dafür nach § 15 Abs. 5 IFG Berlin eine Frist von zwei Wochen. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte. Ich möchte Sie um eine Antwort in elektronischer Form (E-Mail) und um eine Empfangsbestätigung bitten. Vielen Dank für Ihre Mühe! Mit freundlichen Grüßen Rainer Rehak Anfragenr: 217030 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/217030/ Postanschrift Rainer Rehak << Adresse entfernt >> << Adresse entfernt >>
Mit freundlichen Grüßen Rainer Rehak (Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e. V.)
Am 2. April 2021 12:27:

Vertrauenswürdigkeit und Gefahrenpotential? 1) allgemein https://www.corodok.de/?s=luca 2) technisch Aus Platzgründen nur der letzte Absatz: ## Hohes Missbrauchsrisiko aufgrund der Zentralisierung …

Vertrauenswürdigkeit und Gefahrenpotential?
1) allgemein
https://www.corodok.de/?s=luca

2) technisch
Aus Platzgründen nur der letzte Absatz:

## Hohes Missbrauchsrisiko aufgrund der Zentralisierung des Vertrauens.

Das Luca-System zentralisiert das Vertrauen in eine einzige mächtige Instanz, die Partei, die den Luca-Backend-Server betreibt.
Wenn diese zentrale Instanz böswillig handelt, kompromittiert oder genötigt wird, könnte der Server vollen Zugriff auf die Kontaktdaten und den Standortverlauf jedes einzelnen Benutzers erhalten.
Das aktuelle System bietet keine technische Absicherung gegen einen willkürlichen Zugriff auf diese Informationen im Falle eines Fehlverhaltens.
Sein Sicherheitskonzept beruht ausschließlich auf prozeduralen Kontrollen und setzt das volle Vertrauen in den Betreiber des Luca-Dienstes voraus, die Protokolle getreu zu befolgen.

https://digitalcourage.social/@digitalc…

Von
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit
Betreff
Ihre Anfrage vom 30. März 2021
Datum
6. April 2021 11:59

Sehr geehrter Herr Rehak, zu Ihrer o. g. Anfrage teile ich Ihnen mit, dass die Überprüfung der Luca-App und vergleichbarer Angebote hier nicht abgeschlossen ist. Einzelheiten können Sie der Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 26. März 2021 entnehmen, abrufbar unter https://www.datenschutz-berlin.de/filea… Die laufende Überprüfung der Luca-App wird auch die Datenschutz-Folgenabschätzung umfassen, die uns bislang nicht vorliegt. Ich stelle Ihnen anheim, sich in ca. 3 Monaten bei uns nach dem Sachstand zu erkundigen. Mit freundlichen Grüßen

Unterstützen Sie unsere Arbeit!

Mit Ihrer Spende halten Sie die Plattform am Laufen, ermöglichen neue Features sowie Support vom FragDenStaat-Team. Kämpfen Sie mit uns für mehr Transparenz in Politik und Verwaltung!

Jetzt spenden

Von
Rainer Rehak (Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e. V.)
Betreff
AW: Ihre Anfrage vom 30. März 2021 [#217030]
Datum
9. April 2021 13:19
An
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit
Status
E-Mail wurde erfolgreich versendet.

Sehr << Anrede >> herzlichen Dank für die schnelle Rückmeldung. Da das Luca-System bereits in Berlin im Einsatz ist und Art. 35 DSGVO die vorherige Vorlage einer DSFA zwingend erfordert, liegt offensichtlich eine illegale Datenverarbeitung vor. Wir hätten gern Einsicht in die dazu angefertigten rechtliche Einschätzungen der Sachlage inklusive der Abwägungen zur widerrechtlichen Nutzung. Zudem erweitern wir unter diesen Umständen unsere Anfrage auf alle relevanten internen Dokumentationen und Kommunikationen bezüglich des Luca-Einsatzes, dies umfasst E-Mails, Kurznachrichten oder Sitzungsprotokolle. Mit freundlichen Grüßen Rainer Rehak Anfragenr: 217030 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/217030/
Am 14. April 2021 17:40:

luca verarbeitet die Daten im Auftrag des Gastgebers und des Gastes. Wie die anderen Apps auf dem Markt auch. luca …

luca verarbeitet die Daten im Auftrag des Gastgebers und des Gastes. Wie die anderen Apps auf dem Markt auch.

luca <> Gast
luca <> Gastgeber
Gastgeber <> Gast (luca als Bindeglied)
Die Behörde stellt lediglich den öffentlichen Schlüssel zur Verfügung!