Informationsfreiheitsanfragen nach Status Anfrage eingeschlafen nach Tag luca auf FragDenStaathttps://fragdenstaat.de/anfragen/feed/2021-07-29T13:20:40.330374+00:00Dieser Feed enthält die neuesten Informationsfreiheitsanfragen nach Status Anfrage eingeschlafen nach Tag luca, die mit Hilfe von FragDenStaat gestellt wurden.'Vertrag, datenschutzrechtliche Bewertung, Bewertung der Informationssicherheit und Kosten zur Nutzung und Integration der "Luca" App' an Landkreis Darmstadt-Dieburg2021-06-11T07:56:14.202215+00:00https://fragdenstaat.de/anfrage/vertrag-datenschutzrechtliche-bewertung-bewertung-der-informationssicherheit-und-kosten-zur-nutzung-und-integration-der-luca-app-4/- Den Vertrag über die Nutzung der Luca App im Kreis Darmstadt-Dieburg<br>- Die datenschutzrechtliche Bewertung zur Verwendung der Luca App<br>- Die Bewertung zur Informationssicherheit zur Verwendung der Luca App<br>- Eine Aufstellung über die vereinbarten Lizenzkosten mit dem Anbieter der Luca App sowie<br>- Eine Kostenaufstellung bezügl. der Nutzung und Integration der Luca App in die bestehende IT Infrastruktur des Landkreises<br><br>Anlass für diese Nachfrage ist die Mitteilung des Landkreises "luca-App: Kontaktdokumentation mit elektronischer Hilfe " vom 17.5.2021 (https://www.ladadi.de/landkreis-verwaltung/presse/mitteilungen.html?tx_dadipressedienst_pi1%5BshowUid%5D=9520&cHash=cb4fc2b702ae0be72d8c4448e568c0b7).'Effektivität des Einsatzes der Luca App zur Kontaktverfolgung.' an Hansestadt Lübeck - Gesundheitsamt2021-07-29T13:20:40.330374+00:00https://fragdenstaat.de/anfrage/effektivitat-des-einsatzes-der-luca-app-zur-kontaktverfolgung/In wie vielen Fällen hat das Gesundheitsamt seit der Einführung der Kontaktverfolgung mittels Luca-App im Zuständigkeitsbereich des Gesundheitsamtes der Hansestadt Lübeck Daten zu möglichen Kontaktpersonen von Infizierten Nutzern angefordert?<br>In wie vielen Fällen haben die angefragten Stellen die angeforderten Daten geliefert?<br>Wie viele Kontaktpersonen wurden daraufhin vom Gesundheitsamt über die Risikokontakte informiert?<br>Erfolgte die Information in diesen Fällen wiederum über die Luca App oder auf anderen Wegen?<br><br>Die Hansestadt Lübeck bewirbt auf den Internet-Seiten des Gesundheitsamtes sowie auf der extra angelegten Informations- bzw. Werbe-Seite unter der Adresse luebeck.de/luca den Einsatz der Luca-App zur Kontaktverfolgung und verspricht ausdrücklich "schnelle und lückenlose Kontaktrückverfolgung mit dem Gesundheitsamt", sowohl die besondere Geschwindigkeit als auch die lückenlose Kontaktrückverfolgung darf aufgrund der konzeptionellen Mängel in Frage gestellt werden, die Aussage "Infektionsketten werden so schnell erkannt und gestoppt" bleibt bislang unbelegt, daher erlauben Sie die folgenden Detailfragen zu diesen Behauptungen:<br><br>Wie lange dauert es im Schnitt, bis Kontaktpersonen durch das Gesundheitsamt auf Basis von Daten aus der Luca-App über Risiko-Kontakte mit Infizierten informiert werden?<br>Wie hoch ist im Schnitt der Anteil der Luca-App Nutzern bei den Besuchern von Einrichtungen, die die Nutzung der Luca-App grundsätzlich anbieten.<br>In wie vielen Fällen konnten Infektionsketten aufgrund der Nutzung von Daten aus der Luca-App erkannt und gestoppt werden?<br><br>Aufgrund meiner eigenen Erfahrung bei dem Besuch von Einrichtungen, die die Nutzung der Luca-App anbieten, muss ich davon ausgehen, dass in vielen Fällen von den Betreibern überhaupt nicht darauf geachtet wird, ob die Besucher die App auch tatsächlich einsetzen. In etlichen Fällen sind mit Besucher aufgefallen, die die App offensichtlich nicht nutzten, den Betreibern gegenüber aber sehr wohl erklärt haben, sie hätten sich registriert. Eine Überprüfung findet offensichtlich regelmäßig durch einige Betreiber nicht statt.<br><br>Liegen dem Gesundheitsamt Daten dazu vor, ob bei Überprüfungen der Betreiber Unregelmäßigkeiten auffällig geworden sind?<br>Überprüft das Gesundheitsamt selbst, ob die Betreiber ihrer Verpflichtung nachkommen, die Registrierung sicherzustellen?<br>Falls das Gesundheitsamt solche Überprüfungen nicht vornimmt, welche Stelle ist dann dafür zuständig?'Ausschreibung für Luca-App Audit' an Bundesamt für Sicherheit in der Informationstechnik2021-04-19T19:55:19.607022+00:00https://fragdenstaat.de/anfrage/ausschreibung-fur-luca-app-audit/Die Ausschreibungsunterlagen für den BSI-Audit der Luca App des neXenio Gründers und HPI Absolventen Philip Berger.<br><br>Da der CCC Blogger @linuzifer darüber getwittert hat, gehe ich nicht davon aus, dass Sie einen Link zum entsprechenden Spiegel-Artikel benötigen.'Einsatz der Luca App der Stadt Düsseldorf' an Hauptamt der Landeshauptstadt Düsseldorf2021-03-31T09:24:17.234322+00:00https://fragdenstaat.de/anfrage/einsatz-der-luca-app-der-stadt-dusseldorf/(1) Die Vereinbarung, die durch die Stadt Düsseldorf zum Einsatz der Luca App mit den Entwicklern der App getroffen hat. Personenbezogene Daten wie Kontaktdaten und Namen können geschwärzt werden.<br><br>Die Anfrage bezieht sich auf die Pressemitteilung der Stadt Düsseldorf, dass ab sofort die Luca App zur Kontaktverfolgung eingesetzt werden soll: https://corona.duesseldorf.de/news/gesundheitsamt-dusseldorf-arbeitet-mit-luca-app<br><br><br><br>(2) Informationen ob die Luca-App den Anforderungen des Landes NRW (vgl. https://www.land.nrw/de/pressemitteilung/land-informiert-zum-weiteren-verfahren-der-modellprojekte-fuer-das-digitale) gerecht wird und "IRIS" Kompatibel ist? <br><br><br><br>(3) Informationen zur datenschutzrechtlichen Bewertung (z.B. Datenschutzfolgeabschätzung) und/oder getroffenen Vereinbarungen zur Verarbeitung von Daten (z.B. Auftragsdatenverarbeitung nach § 62 BDSG / Art. 28 DSGVO) der App "Luca" durch den Datenschutzbeauftragen. Wurden hierzu die Landesdatenschutzbeauftragte des Landes NRW oder andere Stellen zum Einsatz und Förderung der App konsultiert?<br><br>Die Frage bezieht sich insbesondere auf die sowohl Datenschutzrechtlichen Bedenken, dass persönliche Daten bei Dritten (hier: culture4life GmbH) verarbeitet werden und Sicherheitsexperten der ERNW Enno Rey Netzwerke GmbH im Auftrag des App Herstellers bei einem Penetrationstest mehrere Probleme identifizieren konnten [https://shared-link.bdrive.cloud/shared/e2043bb6-7ec4-4294-8925-a9fbbac0936b#c6821ab3f8c3b645b292cfbe47a19b42cfb20b2757a1a7cb015b156c0641f9c4]<br><br>Ebenso hat die Corona Warn-App seit Ende letzten Jahres dasselbe Feature in Entwicklung (siehe Feature Request #70 der Corona WarnApp: https://github.com/corona-warn-app/cwa-wishlist/issues/70) welche zeitnah über Updates verteilt wird und daher die Frage stellt welchen Vorteil Luca gegenüber der Corona Warn App des Bundes bietet?<br><br>§ 67 BDSG Abs. 1 sieht vor, dass eine DSFA durchgeführt wird, wenn ein erhebliches Risiko für die Betroffenen bei neuen Technologien bestehen könnte. <br><br><br>(4) Informationen zur Absicherung von Kontaktdaten bzw. genauer dem Einsatz des kryptografischen Schlüssels.<br><br>Laut der Stellungnahme des Datenschutzbeauftragten des Bundes, haben alle Gesundheitsämter den gleichen Schlüssel (https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSKBeschluessePositionspapiere/Mrz21_Kontaknachverfolgungsapp.pdf) was sich wiederum den öffentlichen Diskurs widerspricht wo der Musiker "Smudo" als Anteilseigner des Betreiber Unternehmens behauptet hatte, dass man bei dem jeweiligen Gesundheitsamt einbrechen müsse um den lokalen Schlüssel zu bekommen (zum Beispiel, Aussage vom 30.03.2021 bei rbb Inforadio - https://www.inforadio.de/programm/schema/sendungen/int/202103/30/541472.html). <br><br><br><br>(5) Informationen, ob eine Lizenzüberprüfung oder Überprüfung des Quellcodes im allgemeinen stattgefunden hat und in welchem Rahmen die Stadt für Rechtsverstöße durch die App mitverantwortlich ist. <br><br>Hintergrund der Frage ist, dass Sicherheitsforscher zum Beispiel der Zerforschung Gruppe herausgefunden haben, dass Quellcode in der Luca App unter mutmaßlicher Missachtung der Lizenz von anderen Entwicklern übernommen wurde (vgl. https://zerforschung.org/posts/luca-2/ oder https://twitter.com/legumjus/status/1377124208421953537). Es ist also daher anzunehmen, dass sich weitere problematische Stellen im Quellcode befinden könnten. Diese Probleme sind anscheinend auch beim Audit durch die ERNW GmbH nicht aufgefallen. <br><br><br><br>(6) Information ob die Stadt die Betriebe über den Abschluss einer Auftragsdatenverarbeitung (AV) nach § 62 BDSG informiert werden und wie dies geschehen wird (wenn es geschehen wird) oder bereits ist. <br><br>Bei der IFG Anfrage #216683 (vgl. https://fragdenstaat.de/anfrage/einsatz-der-luca-app-im-rhein-kreis-neuss/) wurde der Abschluss einer AV durch das Gesundheitsamt / dem IT-Derzernenten des Rhein-Kreises Neuss verneint. Wodurch man davon ausgehen kann, dass die Datenverarbeitung durch § 9 BDSG i.v.M. § 22 BDSG Abs 1. Pkt. 1 lit. c stattfinden wird. Trifft dies hier auch zu? Jedoch betrifft dies nicht die Betriebe welche die Luca App (oder eine andere Applikationen bei dem der Hersteller als Auftragsverarbeiter auftritt) zur Kontaktverfolgung im Sinne der CoronaSchutzVO NRW einsetzen werden, welche eine AV benötigen. Dies wird auch in dem Beispiel der Luca-App durch den Betreiber selbst klargestellt, dass dieser ein Auftragsverarbeiter des "Gastgebers" ist (vgl. https://www.luca-app.de/app-privacy-policy/ , Kapitel C).