Einsatz der Luca App bei der Stadt Essen

Anfrage an: Kommunalverwaltung Essen

(1) Die Vereinbarung, die durch die Stadt Essen zum Einsatz der Luca App mit den Entwicklern der App getroffen hat. Personenbezogene Daten wie Kontaktdaten und Namen können geschwärzt werden.

Die Anfrage bezieht sich auf die Pressemitteilung der Stadt Essen, dass ab sofort die Luca App zur Kontaktverfolgung eingesetzt werden soll: https://www.essen.de/meldungen/pressemeldung_1423607.de.html

(2) Informationen ob die Luca-App den Anforderungen des Landes NRW (vgl. https://www.land.nrw/de/pressemitteilung/land-informiert-zum-weiteren-verfahren-der-modellprojekte-fuer-das-digitale) gerecht wird und "IRIS" Kompatibel ist?

(3) Informationen zur datenschutzrechtlichen Bewertung (z.B. Datenschutzfolgeabschätzung) und/oder getroffenen Vereinbarungen zur Verarbeitung von Daten (z.B. Auftragsdatenverarbeitung nach § 62 BDSG / Art. 28 DSGVO) der App "Luca" durch den Datenschutzbeauftragen. Wurden hierzu die Landesdatenschutzbeauftragte des Landes NRW oder andere Stellen zum Einsatz und Förderung der App konsultiert?

Die Frage bezieht sich insbesondere auf die sowohl Datenschutzrechtlichen Aspekte, dass persönliche Daten bei Dritten (hier: culture4life GmbH) verarbeitet werden und Sicherheitsexperten der ERNW Enno Rey Netzwerke GmbH im Auftrag des App Herstellers bei einem Penetrationstest mehrere Probleme identifizieren konnten [https://shared-link.bdrive.cloud/shared/e2043bb6-7ec4-4294-8925-a9fbbac0936b#c6821ab3f8c3b645b292cfbe47a19b42cfb20b2757a1a7cb015b156c0641f9c4]

Ebenso hat die Corona Warn-App seit Ende letzten Jahres dasselbe Feature in Entwicklung (siehe Feature Request #70 der Corona WarnApp: https://github.com/corona-warn-app/cwa-wishlist/issues/70) welche zeitnah über Updates verteilt wird und daher die Frage stellt welchen Vorteil Luca gegenüber der Corona Warn App des Bundes bietet?

§ 67 BDSG Abs. 1 sieht vor, dass eine DSFA durchgeführt wird, wenn ein erhebliches Risiko für die Betroffenen bei neuen Technologien bestehen könnte.

(4) Informationen zur Absicherung von Kontaktdaten bzw. genauer dem Einsatz des kryptografischen Schlüssels.

Laut der Stellungnahme des Datenschutzbeauftragten des Bundes, haben alle Gesundheitsämter den gleichen Schlüssel (https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSKBeschluessePositionspapiere/Mrz21_Kontaknachverfolgungsapp.pdf) was sich wiederum den öffentlichen Diskurs widerspricht wo der Musiker "Smudo" als Anteilseigner des Betreiber Unternehmens behauptet hatte, dass man bei dem jeweiligen Gesundheitsamt einbrechen müsse um den lokalen Schlüssel zu bekommen (zum Beispiel, Aussage vom 30.03.2021 bei rbb Inforadio - https://www.inforadio.de/programm/schema/sendungen/int/202103/30/541472.html).

(5) Informationen, ob eine Lizenzüberprüfung oder Überprüfung des Quellcodes im allgemeinen stattgefunden hat und in welchem Rahmen die Stadt oder die Betriebe für Rechtsverstöße durch die App mitverantwortlich sind.

Hintergrund der Frage ist, dass Sicherheitsforscher zum Beispiel der Zerforschung Gruppe herausgefunden haben, dass Quellcode in der Luca App unter mutmaßlicher Missachtung der Lizenz von anderen Entwicklern übernommen wurde (vgl. https://zerforschung.org/posts/luca-2/ oder https://twitter.com/legumjus/status/1377124208421953537). Es ist also daher anzunehmen, dass sich weitere problematische Stellen im Quellcode befinden könnten. Diese Probleme sind anscheinend auch beim Audit durch die ERNW GmbH nicht aufgefallen.

(6) Information ob die Stadt (oder die in der Pressemittelung angegebene Essen Marketing GmbH bzw. die DEHOGA) die Betriebe über den Abschluss einer Auftragsdatenverarbeitung (AV) nach § 62 BDSG informiert werden und wie dies geschehen wird (wenn es geschehen wird) oder bereits ist.

Bei der IFG Anfrage #216683 (vgl. https://fragdenstaat.de/anfrage/einsatz-der-luca-app-im-rhein-kreis-neuss/) wurde der Abschluss einer AV durch das Gesundheitsamt / dem IT-Derzernenten des Rhein-Kreises Neuss verneint. Wodurch man davon ausgehen kann, dass die Datenverarbeitung durch § 9 BDSG i.v.M. § 22 BDSG Abs 1. Pkt. 1 lit. c stattfinden wird. Trifft dies hier auch zu? Jedoch betrifft dies nicht die Betriebe welche die Luca App (oder eine andere Applikationen bei dem der Hersteller als Auftragsverarbeiter auftritt) zur Kontaktverfolgung im Sinne der CoronaSchutzVO NRW einsetzen werden, welche eine AV benötigen. Dies wird auch in dem Beispiel der Luca-App durch den Betreiber selbst klargestellt, dass dieser ein Auftragsverarbeiter des "Gastgebers" ist (vgl. https://www.luca-app.de/app-privacy-policy/ , Kapitel C).

Anfrage erfolgreich

  • Datum
    31. März 2021
  • Frist
    4. Mai 2021
  • 3 Follower:innen
  • Anfrage teilen
    Twitter Mastodon Kurzlink kopieren
  • RSS-Feed
Alle einklappen Alle ausklappen Zum Ende
<< Anfragesteller:in >>
am 31.03.2021
Antrag nach dem Informationsfreiheitsgesetz NRW, UIG NRW, VIG Sehr Antragsteller/in bitte senden Sie mir Folgend…
An Kommunalverwaltung Essen Details
Von
<< Anfragesteller:in >>
Betreff
Einsatz der Luca App bei der Stadt Essen [#217091]
Datum
31. März 2021 12:16
An
Kommunalverwaltung Essen
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem Informationsfreiheitsgesetz NRW, UIG NRW, VIG Sehr Antragsteller/in bitte senden Sie mir Folgendes zu:
(1) Die Vereinbarung, die durch die Stadt Essen zum Einsatz der Luca App mit den Entwicklern der App getroffen hat. Personenbezogene Daten wie Kontaktdaten und Namen können geschwärzt werden. Die Anfrage bezieht sich auf die Pressemitteilung der Stadt Essen, dass ab sofort die Luca App zur Kontaktverfolgung eingesetzt werden soll: https://www.essen.de/meldungen/pressemeldung_1423607.de.html (2) Informationen ob die Luca-App den Anforderungen des Landes NRW (vgl. https://www.land.nrw/de/pressemitteilung/land-informiert-zum-weiteren-verfahren-der-modellprojekte-fuer-das-digitale) gerecht wird und "IRIS" Kompatibel ist? (3) Informationen zur datenschutzrechtlichen Bewertung (z.B. Datenschutzfolgeabschätzung) und/oder getroffenen Vereinbarungen zur Verarbeitung von Daten (z.B. Auftragsdatenverarbeitung nach § 62 BDSG / Art. 28 DSGVO) der App "Luca" durch den Datenschutzbeauftragen. Wurden hierzu die Landesdatenschutzbeauftragte des Landes NRW oder andere Stellen zum Einsatz und Förderung der App konsultiert? Die Frage bezieht sich insbesondere auf die sowohl Datenschutzrechtlichen Aspekte, dass persönliche Daten bei Dritten (hier: culture4life GmbH) verarbeitet werden und Sicherheitsexperten der ERNW Enno Rey Netzwerke GmbH im Auftrag des App Herstellers bei einem Penetrationstest mehrere Probleme identifizieren konnten [https://shared-link.bdrive.cloud/shared/e2043bb6-7ec4-4294-8925-a9fbbac0936b#c6821ab3f8c3b645b292cfbe47a19b42cfb20b2757a1a7cb015b156c0641f9c4] Ebenso hat die Corona Warn-App seit Ende letzten Jahres dasselbe Feature in Entwicklung (siehe Feature Request #70 der Corona WarnApp: https://github.com/corona-warn-app/cwa-wishlist/issues/70) welche zeitnah über Updates verteilt wird und daher die Frage stellt welchen Vorteil Luca gegenüber der Corona Warn App des Bundes bietet? § 67 BDSG Abs. 1 sieht vor, dass eine DSFA durchgeführt wird, wenn ein erhebliches Risiko für die Betroffenen bei neuen Technologien bestehen könnte. (4) Informationen zur Absicherung von Kontaktdaten bzw. genauer dem Einsatz des kryptografischen Schlüssels. Laut der Stellungnahme des Datenschutzbeauftragten des Bundes, haben alle Gesundheitsämter den gleichen Schlüssel (https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSKBeschluessePositionspapiere/Mrz21_Kontaknachverfolgungsapp.pdf) was sich wiederum den öffentlichen Diskurs widerspricht wo der Musiker "Smudo" als Anteilseigner des Betreiber Unternehmens behauptet hatte, dass man bei dem jeweiligen Gesundheitsamt einbrechen müsse um den lokalen Schlüssel zu bekommen (zum Beispiel, Aussage vom 30.03.2021 bei rbb Inforadio - https://www.inforadio.de/programm/schema/sendungen/int/202103/30/541472.html). (5) Informationen, ob eine Lizenzüberprüfung oder Überprüfung des Quellcodes im allgemeinen stattgefunden hat und in welchem Rahmen die Stadt oder die Betriebe für Rechtsverstöße durch die App mitverantwortlich sind. Hintergrund der Frage ist, dass Sicherheitsforscher zum Beispiel der Zerforschung Gruppe herausgefunden haben, dass Quellcode in der Luca App unter mutmaßlicher Missachtung der Lizenz von anderen Entwicklern übernommen wurde (vgl. https://zerforschung.org/posts/luca-2/ oder https://twitter.com/legumjus/status/1377124208421953537). Es ist also daher anzunehmen, dass sich weitere problematische Stellen im Quellcode befinden könnten. Diese Probleme sind anscheinend auch beim Audit durch die ERNW GmbH nicht aufgefallen. (6) Information ob die Stadt (oder die in der Pressemittelung angegebene Essen Marketing GmbH bzw. die DEHOGA) die Betriebe über den Abschluss einer Auftragsdatenverarbeitung (AV) nach § 62 BDSG informiert werden und wie dies geschehen wird (wenn es geschehen wird) oder bereits ist. Bei der IFG Anfrage #216683 (vgl. https://fragdenstaat.de/anfrage/einsatz-der-luca-app-im-rhein-kreis-neuss/) wurde der Abschluss einer AV durch das Gesundheitsamt / dem IT-Derzernenten des Rhein-Kreises Neuss verneint. Wodurch man davon ausgehen kann, dass die Datenverarbeitung durch § 9 BDSG i.v.M. § 22 BDSG Abs 1. Pkt. 1 lit. c stattfinden wird. Trifft dies hier auch zu? Jedoch betrifft dies nicht die Betriebe welche die Luca App (oder eine andere Applikationen bei dem der Hersteller als Auftragsverarbeiter auftritt) zur Kontaktverfolgung im Sinne der CoronaSchutzVO NRW einsetzen werden, welche eine AV benötigen. Dies wird auch in dem Beispiel der Luca-App durch den Betreiber selbst klargestellt, dass dieser ein Auftragsverarbeiter des "Gastgebers" ist (vgl. https://www.luca-app.de/app-privacy-policy/ , Kapitel C).
Dies ist ein Antrag nach dem Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfalen (Informationsfreiheitsgesetz Nordrhein-Westfalen – IFG NRW), dem Umweltinformationsgesetz Nordrhein-Westfalen (soweit Umweltinformationen betroffen sind) und dem Verbraucherinformationsgesetz des Bundes (soweit Verbraucherinformationen betroffen sind). Ausschlussgründe liegen meines Erachtens nicht vor. Aus Gründen der Billigkeit und insbesondere auf Grund des Umstands, dass die Auskunft in gemeinnütziger Art der Öffentlichkeit zur Verfügung gestellt werden wird, bitte ich Sie, nach § 2 VerwGebO IFG NRW von der Erhebung von Gebühren abzusehen. Soweit Umweltinformationen betroffen sind, handelt es sich hierbei um eine einfache Anfrage nach §5 (2) UIG NRW. Sollte die Aktenauskunft Ihres Erachtens gebührenpflichtig sein, bitte ich Sie, mir dies vorab mitzuteilen und dabei die Höhe der Kosten anzugeben. Auslagen dürfen nicht erhoben werden, da es dafür keine gesetzliche Grundlage gibt. Ich verweise auf § 5 Abs. 2 IFG NRW, § 2 UIG NRW und bitte Sie, mir die erbetenen Informationen unverzüglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Sollten Sie für diesen Antrag nicht zuständig sein, möchte ich Sie bitten, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte. Nach §5 Abs. 1 Satz 5 IFG NRW bitte ich Sie um eine Antwort in elektronischer Form (E-Mail). Ich möchte Sie um Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen Antragsteller/in Antragsteller/in Anfragenr: 217091 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/217091/ Postanschrift Antragsteller/in Antragsteller/in << Adresse entfernt >>
Mit freundlichen Grüßen << Anfragesteller:in >>
Noch keine Kommentare. Please login to write a comment.
Kommunalverwaltung Essen
am 29.04.2021
Sehr Antragsteller/in hiermit beantworte ihre Fragen: Zu (1) Die Stadt Essen hat keine Vereinbarung mit den E…
Details
Von
Kommunalverwaltung Essen
Betreff
AW: Einsatz der Luca App bei der Stadt Essen [#217091]
Datum
29. April 2021 14:45
Status
Anfrage abgeschlossen
20210323_Kooperationsvertrag_Luca_Essen_geschwaerzt.pdf
geschwärzt
1,1 MB
image001.jpg
2,3 KB
Sehr Antragsteller/in hiermit beantworte ihre Fragen: Zu (1) Die Stadt Essen hat keine Vereinbarung mit den Entwicklern der Luca-App abgeschlossen, mithin kann eine solche Vereinbarung nicht übersandt werden. Da davon auszugehen ist, dass sich die Anfrage auf die Vereinbarung bezieht, die die Stadt Essen mit den Betreibern der Luca-App abgeschlossen hat, wird darauf hingewiesen, dass diese Vereinbarung ausschließlich die Anbindung des Gesundheitsamtes an die Datenbank zu der Luca-App umfasst. Nicht Gegenstand der Vereinbarung ist der Betrieb der Luca-App oder das Rechtsverhältnis zwischen Gästen, Betrieben und Betreibern der Luca-App. Der Stadt Essen entstehen während der Laufzeit der Vereinbarung als Modellkommune keine Kosten. Auf Grundlage des IFG NRW füge ich die Vereinbarung als Anlage bei. Zu (2) Die Pressemitteilung des Landes vom 31.3.2021 erschien zwei Tage nach der genannten Pressemitteilung der Stadt Essen. Anforderungen des Landes NRW an eine Kontaktverfolgungs-App waren zu diesem Zeitpunkt nicht bekannt. Da der Stadt Essen keine näheren Spezifikationen zu IRIS bekannt sind und es hierzu auch keine eigenen Informationen gibt, kann die Frage nicht beantwortet werden. Auf die Veröffentlichung https://xn--ing-tna.de/documents/Inoe... wird verwiesen, die für Sie vielleicht hilfreich ist. Zu (3) Die Vereinbarung der Stadt Essen mit dem Betreiber der Luca-App dient nicht dem Betrieb der App, sondern ausschließlich der Anbindung des Gesundheitsamtes an die Datenbank. Damit werden hieraus keine personenbezogenen Daten im Auftrag der Stadt Essen verarbeitet und eine VAV nach Art. 28 DS-GVO ist nicht erforderlich. Die Datenverarbeitung zwischen Gästen und Betrieben erfolgt auf Grundlage individueller Vereinbarungen zwischen Gästen, Betrieben und culture4life als Betreiberin. Auf die Stellungnahmen der Landesdatenschutzbeauftragten der Länder Baden-Württemberg und Thüringen aus Februar 2021 wird verwiesen. Zwischenzeitlich hat die Corona Warn App das angekündigte Update erhalten. Darin ist nicht das von Ihnen angesprochene "selbe Feature" entsprechend der Luca-App oder ähnlicher Produkte enthalten. Die Registrierungskomponente basiert weiterhin auf dezentral vorgehaltenen Daten. Hierdurch sind Betriebe nicht in der Lage die Forderungen der Corona Schutzverordnung umzusetzen, wonach zuständigen Behörden wie dem Gesundheitsamt Gästelisten auf Verlangen bereitgestellt werden müssen, was auch in digitaler Form erfolgen kann. Grundsätzlich ist es nicht das Ziel der Stadt Essen, eine spezielle App einzuführen. Ziel ist es, den Betrieben und Gästen frühzeitig eine einfache und möglichst weit verbreitete Anwendung zur Verfügung steht, mit der bürokratiearm eine Kontaktverfolgung ermöglicht wird. Ferner müssen die Gesundheitsämter digital auf gut lesbare und digital verarbeitbare Datenbestände im Falle von Infektionen zugreifen können um handlungsfähig zu sein. Zu (4) Ob es einen Widerspruch zwischen der Stellungnahme des Datenschutzbeauftragten des Bundes und des Musikers Smudo gibt, kann seitens der Stadt Essen nicht beurteilt werden. Ich empfehle hierzu mit den beiden Parteien unmittelbar in Kontakt zu treten und diese Informationen aus erster Hand zu erhalten. Konkrete Informationen über den kryptografischen Schlüssel liegen hier nicht vor. Zu (5) Die Stadt Essen ist nicht für den Betrieb der Luca-App verantwortlich und auch nicht für die Rechtsbeziehung zwischen Betrieben und Gästen, die ihrerseits Vereinbarungen mit den Betreibern abschließen. Insofern fand hier auch keine Lizenzprüfung statt. Die gewünschten Informationen zur allgemeinen Überprüfung der Lizenz oder des Quellcodes noch einer kommunalen Haftung bei Rechtsverstößen durch die Nutzung der App liegen der Stadt Essen nicht vor. Zu (6) Bezüglich des Abschlusses einer VAV verweise ich auf die Antwort zu (3). Welche Informationen seitens der DEHOGA oder Essen Marketing GmbH herausgegeben werden, erfragen Sie bitte dort. Diese Organisationen sind rechtlich selbständig. Ggf. Anhänge 20210323_Kooperationsvertrag_Luca_Essen.pdf Mit freundlichen Grüßen
Noch keine Kommentare. Please login to write a comment.
Kommunalverwaltung Essen
am 29.04.2021
Anfrage #217091: Nutzung der Luca-App in der Stadt Essen Sehr Antragsteller/in Sie haben am 31.03.2021 eine Anfra…
Details
Von
Kommunalverwaltung Essen
Betreff
Anfrage #217091: Nutzung der Luca-App in der Stadt Essen
Datum
29. April 2021 16:15
Status
Anfrage abgeschlossen
Sehr Antragsteller/in Sie haben am 31.03.2021 eine Anfrage nach dem Informationsfreiheitsgesetz NRW an die Stadt Essen gerichtet und dabei unsere Virtuelle Poststelle genutzt. Da die Absenderadresse keine De-Mail-Adresse ist, scheint es technische Probleme bei dem Versand meiner an Sie zu geben. Ich bitte um eine kurze Rückmeldung, ob Sie mit einem Versand per E-Mail einverstanden sind. Da keine personenbezogenen Daten enthalten sind, sehe ich hier keine Bedenken. Parallel versuchen wir den Versand weiterhin über De-Mail. Mit freundlichen Grüßen
Noch keine Kommentare. Please login to write a comment.

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

<< Anfragesteller:in >>
am 29.04.2021
AW: Anfrage #217091: Nutzung der Luca-App in der Stadt Essen [#217091] Sehr << Anrede >> die E-Mail m…
An Kommunalverwaltung Essen Details
Von
<< Anfragesteller:in >>
Betreff
AW: Anfrage #217091: Nutzung der Luca-App in der Stadt Essen [#217091]
Datum
29. April 2021 18:00
An
Kommunalverwaltung Essen
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> die E-Mail mit der Beantwortung der Fragen ist bei mir bereits eingegangen von den Zentralen Servicen der Stadt Essen. Ich bedanke mich für die Beantwortung der Fragen. Mit freundlichen Grüßen Antragsteller/in Antragsteller/in Anfragenr: 217091 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/217091/
Noch keine Kommentare. Please login to write a comment.