Sehr Antragsteller/in
leider kann ich Ihre Anfrage zu Informationen zur datenschutzrechtlichen
Bewertung der App "Luca" noch nicht beantworten, da wir diese nur anhand
der vorliegenden Unterlagen prüfen können. Wir haben von der Hansestadt
Rostock und vom Ministerium für Energie, Infrastruktur und
Digitalisierung die für eine Überprüfung erforderlichen Unterlagen
angefordert. Das Ministerium übersandte vor kurzem eine vollständige
Antwort. Wegen des Umfangs der Unterlagen ist deren Auswertung noch
nicht abgeschlossen. Die Hansestadt Rostock hat unsere Anfrage
unvollständig beantwortet. Zudem kann ich schon jetzt mitteilen, dass
wir nicht über die personellen Ressourcen verfügen, die für eine
technische Tiefenprüfung mit Penetrationstests und/oder Quellcodeanalyse
notwendig wären.
Zur datenschutzrechtlichen Bewertung hinsichtlich der zentralen
Datenhaltung darf ich aus der Stellungnahme der Konferenz der
unabhängigen Datenschutzbehörden des Bundes und der Länder vom 26. März
2021, die wir uneingeschränkt unterstützen, zitieren:
"Der derzeitigen Ausgestaltung des Luca-Systems zufolge werden die in
dem Kontaktnachverfolgungssystem gesammelten Daten an einer zentralen
Stelle gespeichert. Es wird dort also eine große Zahl von Informationen
über die Anwesenheit von Bürgerinnen und Bürgern in Einrichtungen
verschiedenster Art und über ihre Teilnahme an Veranstaltungen
unterschiedlichster Natur vorgehalten. Die ungefugte Einsicht in diesen
großen Datenbestand kann je nach Umfang zu einer schweren
Beeinträchtigung für die Einzelnen und das Gemeinwesen führen. Aufgrund
dieses Risikos werden die Mitglieder der DSK mit dem Betreiber des
Luca-Systems erörtern, inwieweit mit einer dezentralen Speicherung, die
von der DSK prinzipell für vorzugswürdig erachtet wird, den fachlichen
Belangen der Pandemiebekämpfung und den gesetzlichen Vorgaben in
gleichem Umfang und mit gleicher Effizienz nachgekommen werden kann.
Die Entwickler des Luca-Systems begegnen dem einer zentralen Speicherung
immanenten Risiko durch die Verschlüsselung der gespeicherten Daten.
Nach dem Verschlüsselungskonzept muss der Veranstalter mit einem
beliebigen Gesundheitsamt zur Entschlüsselung der Daten zusammenwirken.
Die DSK begrüßt die Vornahme grundsätzlich. Allerdings haben alle
Gesundheitsämter die gleichen Schlüssel für die Entschlüsselung der
Kontaktdaten. Deren Verwaltung liegt in einer Hand, der der culture4life
GmbH. Das birgt das vermeidbare Risiko, dass durch das Ausspähen oder
den Missbrauch dieser Schlüssel auf eine hohe Anzahl der von dem System
zentral verwalteten Daten unberechtigt zugegriffen werden kann. Ebenso
ist es für die Veranstalterinnen und Veranstalter schwierig zu
überprüfen, ob eine Anforderung zur Entschlüsselung berechtigt erfolgt,
so dass sie dazu gebracht werden könnten, Daten ohne legitime
Anforderung zu entschlüsseln. Ein erfolgreicher Angriff auf die Systeme
der culture4life GmbH kann daher die Sicherheit des Gesamtsystems in
Gefahr bringen."
Mit freundlichen Grüßen