Einsatz der Luca App der Stadt Düsseldorf
(1) Die Vereinbarung, die durch die Stadt Düsseldorf zum Einsatz der Luca App mit den Entwicklern der App getroffen hat. Personenbezogene Daten wie Kontaktdaten und Namen können geschwärzt werden.
Die Anfrage bezieht sich auf die Pressemitteilung der Stadt Düsseldorf, dass ab sofort die Luca App zur Kontaktverfolgung eingesetzt werden soll: https://corona.duesseldorf.de/news/gesundheitsamt-dusseldorf-arbeitet-mit-luca-app
(2) Informationen ob die Luca-App den Anforderungen des Landes NRW (vgl. https://www.land.nrw/de/pressemitteilung/land-informiert-zum-weiteren-verfahren-der-modellprojekte-fuer-das-digitale) gerecht wird und "IRIS" Kompatibel ist?
(3) Informationen zur datenschutzrechtlichen Bewertung (z.B. Datenschutzfolgeabschätzung) und/oder getroffenen Vereinbarungen zur Verarbeitung von Daten (z.B. Auftragsdatenverarbeitung nach § 62 BDSG / Art. 28 DSGVO) der App "Luca" durch den Datenschutzbeauftragen. Wurden hierzu die Landesdatenschutzbeauftragte des Landes NRW oder andere Stellen zum Einsatz und Förderung der App konsultiert?
Die Frage bezieht sich insbesondere auf die sowohl Datenschutzrechtlichen Bedenken, dass persönliche Daten bei Dritten (hier: culture4life GmbH) verarbeitet werden und Sicherheitsexperten der ERNW Enno Rey Netzwerke GmbH im Auftrag des App Herstellers bei einem Penetrationstest mehrere Probleme identifizieren konnten [https://shared-link.bdrive.cloud/shared/e2043bb6-7ec4-4294-8925-a9fbbac0936b#c6821ab3f8c3b645b292cfbe47a19b42cfb20b2757a1a7cb015b156c0641f9c4]
Ebenso hat die Corona Warn-App seit Ende letzten Jahres dasselbe Feature in Entwicklung (siehe Feature Request #70 der Corona WarnApp: https://github.com/corona-warn-app/cwa-wishlist/issues/70) welche zeitnah über Updates verteilt wird und daher die Frage stellt welchen Vorteil Luca gegenüber der Corona Warn App des Bundes bietet?
§ 67 BDSG Abs. 1 sieht vor, dass eine DSFA durchgeführt wird, wenn ein erhebliches Risiko für die Betroffenen bei neuen Technologien bestehen könnte.
(4) Informationen zur Absicherung von Kontaktdaten bzw. genauer dem Einsatz des kryptografischen Schlüssels.
Laut der Stellungnahme des Datenschutzbeauftragten des Bundes, haben alle Gesundheitsämter den gleichen Schlüssel (https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSKBeschluessePositionspapiere/Mrz21_Kontaknachverfolgungsapp.pdf) was sich wiederum den öffentlichen Diskurs widerspricht wo der Musiker "Smudo" als Anteilseigner des Betreiber Unternehmens behauptet hatte, dass man bei dem jeweiligen Gesundheitsamt einbrechen müsse um den lokalen Schlüssel zu bekommen (zum Beispiel, Aussage vom 30.03.2021 bei rbb Inforadio - https://www.inforadio.de/programm/schema/sendungen/int/202103/30/541472.html).
(5) Informationen, ob eine Lizenzüberprüfung oder Überprüfung des Quellcodes im allgemeinen stattgefunden hat und in welchem Rahmen die Stadt für Rechtsverstöße durch die App mitverantwortlich ist.
Hintergrund der Frage ist, dass Sicherheitsforscher zum Beispiel der Zerforschung Gruppe herausgefunden haben, dass Quellcode in der Luca App unter mutmaßlicher Missachtung der Lizenz von anderen Entwicklern übernommen wurde (vgl. https://zerforschung.org/posts/luca-2/ oder https://twitter.com/legumjus/status/1377124208421953537). Es ist also daher anzunehmen, dass sich weitere problematische Stellen im Quellcode befinden könnten. Diese Probleme sind anscheinend auch beim Audit durch die ERNW GmbH nicht aufgefallen.
(6) Information ob die Stadt die Betriebe über den Abschluss einer Auftragsdatenverarbeitung (AV) nach § 62 BDSG informiert werden und wie dies geschehen wird (wenn es geschehen wird) oder bereits ist.
Bei der IFG Anfrage #216683 (vgl. https://fragdenstaat.de/anfrage/einsatz-der-luca-app-im-rhein-kreis-neuss/) wurde der Abschluss einer AV durch das Gesundheitsamt / dem IT-Derzernenten des Rhein-Kreises Neuss verneint. Wodurch man davon ausgehen kann, dass die Datenverarbeitung durch § 9 BDSG i.v.M. § 22 BDSG Abs 1. Pkt. 1 lit. c stattfinden wird. Trifft dies hier auch zu? Jedoch betrifft dies nicht die Betriebe welche die Luca App (oder eine andere Applikationen bei dem der Hersteller als Auftragsverarbeiter auftritt) zur Kontaktverfolgung im Sinne der CoronaSchutzVO NRW einsetzen werden, welche eine AV benötigen. Dies wird auch in dem Beispiel der Luca-App durch den Betreiber selbst klargestellt, dass dieser ein Auftragsverarbeiter des "Gastgebers" ist (vgl. https://www.luca-app.de/app-privacy-policy/ , Kapitel C).
Anfrage eingeschlafen
-
Datum31. März 2021
-
4. Mai 2021
-
9 Follower:innen
Ein Zeichen für Informationsfreiheit setzen
FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!