Datenschutzrechtliche Bewertung der App "Luca"

Informationen zur datenschutzrechtlichen Bewertung der App "Luca" (vgl. https://www.luca-app.de)

Anfrage teilweise erfolgreich

  • Datum
    15. März 2021
  • Frist
    17. April 2021
  • 5 Follower

    Erhalten Sie Neuigkeiten per Email.

<< Anfragesteller/in >>
Antrag nach dem IFG M-V, LUIG, VIG – (vorab per E-Mail, parallel per Fax) Sehr Antragsteller/in bitte senden Sie…
An Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Details
Von
<< Anfragesteller/in >>
Betreff
Datenschutzrechtliche Bewertung der App "Luca" [#215206]
Datum
15. März 2021 20:09
An
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem IFG M-V, LUIG, VIG – (vorab per E-Mail, parallel per Fax) Sehr Antragsteller/in bitte senden Sie mir Folgendes zu:
Informationen zur datenschutzrechtlichen Bewertung der App "Luca" (vgl. https://www.luca-app.de)
Dies ist ein Antrag auf Auskunft bzw. Einsicht nach § 1 Landesinformationsfreiheitsgesetz (LIFG) bzw. nach Landesumweltinformationsgesetz (LUIG), soweit Umweltinformationen nach § 3 Abs. 3 UIG betroffen sind, bzw. nach § 2 Abs. 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Verbraucherinformationen nach § 2 Abs. 1 VIG betroffen sind. Sollte diese Anfrage wider Erwarten keine einfache Anfrage sein, bitte ich Sie darum, mich vorab über den voraussichtlichen Verwaltungsaufwand sowie die voraussichtlichen Kosten für die Akteneinsicht bzw. Aktenauskunft zu informieren. Soweit Verbraucherinformationen betroffen sind, bitte ich Sie zu prüfen, ob Sie mir die erbetene Akteneinsicht bzw. Aktenauskunft nach § 7 Abs. 1 Satz 2 VIG auf elektronischem Wege kostenfrei gewähren können. Ich verweise auf § 11 Abs. 1 Satz 1 LIFG und bitte Sie, unverzüglich über den Antrag zu entscheiden. Soweit Umwelt- oder Verbraucherinformationen betroffen sind, verweise ich auf § 3 Abs. 3 Satz 1 UIG bzw. § 5 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen baldmöglichst, spätestens bis zum Ablauf eines Monats nach Antragszugang zugänglich zu machen. Sollten Sie für diesen Antrag nicht zuständig sein, möchte ich Sie bitten, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an sonstige Dritte. Ich möchte Sie um eine Antwort in elektronischer Form (E-Mail) und um eine Empfangsbestätigung bitten. Vielen Dank für Ihre Mühe! Mit freundlichen Grüßen Antragsteller/in Antragsteller/in Anfragenr: 215206 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/215206/
Mit freundlichen Grüßen << Anfragesteller/in >>
<< Anfragesteller/in >>
Datenschutzrechtliche Bewertung der App "Luca" [#215206]
An Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Details
Von
<< Anfragesteller/in >>
Via
Fax
Betreff
Datenschutzrechtliche Bewertung der App "Luca" [#215206]
Datum
15. März 2021 20:10
An
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Status
Fax wurde erfolgreich versendet.
Nicht-öffentliche Anhänge:
fax.pdf
45,1 KB

Unterstützen Sie unsere Arbeit!

Mit Ihrer Spende halten Sie die Plattform am Laufen, ermöglichen neue Features sowie Support vom FragDenStaat-Team. Kämpfen Sie mit uns für mehr Transparenz in Politik und Verwaltung!

Jetzt spenden

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Sehr Antragsteller/in leider kann ich Ihre Anfrage zu Informationen zur datenschutzrechtlichen Bewertung der App …
Von
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Betreff
Re: Datenschutzrechtliche Bewertung der App "Luca" [#215206]
Datum
15. April 2021 15:55
Status
Anfrage abgeschlossen
signature.asc
801 Bytes


Sehr Antragsteller/in leider kann ich Ihre Anfrage zu Informationen zur datenschutzrechtlichen Bewertung der App "Luca" noch nicht beantworten, da wir diese nur anhand der vorliegenden Unterlagen prüfen können. Wir haben von der Hansestadt Rostock und vom Ministerium für Energie, Infrastruktur und Digitalisierung die für eine Überprüfung erforderlichen Unterlagen angefordert. Das Ministerium übersandte vor kurzem eine vollständige Antwort. Wegen des Umfangs der Unterlagen ist deren Auswertung noch nicht abgeschlossen. Die Hansestadt Rostock hat unsere Anfrage unvollständig beantwortet. Zudem kann ich schon jetzt mitteilen, dass wir nicht über die personellen Ressourcen verfügen, die für eine technische Tiefenprüfung mit Penetrationstests und/oder Quellcodeanalyse notwendig wären. Zur datenschutzrechtlichen Bewertung hinsichtlich der zentralen Datenhaltung darf ich aus der Stellungnahme der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 26. März 2021, die wir uneingeschränkt unterstützen, zitieren: "Der derzeitigen Ausgestaltung des Luca-Systems zufolge werden die in dem Kontaktnachverfolgungssystem gesammelten Daten an einer zentralen Stelle gespeichert. Es wird dort also eine große Zahl von Informationen über die Anwesenheit von Bürgerinnen und Bürgern in Einrichtungen verschiedenster Art und über ihre Teilnahme an Veranstaltungen unterschiedlichster Natur vorgehalten. Die ungefugte Einsicht in diesen großen Datenbestand kann je nach Umfang zu einer schweren Beeinträchtigung für die Einzelnen und das Gemeinwesen führen. Aufgrund dieses Risikos werden die Mitglieder der DSK mit dem Betreiber des Luca-Systems erörtern, inwieweit mit einer dezentralen Speicherung, die von der DSK prinzipell für vorzugswürdig erachtet wird, den fachlichen Belangen der Pandemiebekämpfung und den gesetzlichen Vorgaben in gleichem Umfang und mit gleicher Effizienz nachgekommen werden kann. Die Entwickler des Luca-Systems begegnen dem einer zentralen Speicherung immanenten Risiko durch die Verschlüsselung der gespeicherten Daten. Nach dem Verschlüsselungskonzept muss der Veranstalter mit einem beliebigen Gesundheitsamt zur Entschlüsselung der Daten zusammenwirken. Die DSK begrüßt die Vornahme grundsätzlich. Allerdings haben alle Gesundheitsämter die gleichen Schlüssel für die Entschlüsselung der Kontaktdaten. Deren Verwaltung liegt in einer Hand, der der culture4life GmbH. Das birgt das vermeidbare Risiko, dass durch das Ausspähen oder den Missbrauch dieser Schlüssel auf eine hohe Anzahl der von dem System zentral verwalteten Daten unberechtigt zugegriffen werden kann. Ebenso ist es für die Veranstalterinnen und Veranstalter schwierig zu überprüfen, ob eine Anforderung zur Entschlüsselung berechtigt erfolgt, so dass sie dazu gebracht werden könnten, Daten ohne legitime Anforderung zu entschlüsseln. Ein erfolgreicher Angriff auf die Systeme der culture4life GmbH kann daher die Sicherheit des Gesamtsystems in Gefahr bringen." Mit freundlichen Grüßen