Die App „luca“ des Unternehmens culture4life GmbH hat in den vergangenen Wochen eine große Aufmerksamkeit erfahren. Auch beim BfD EKD gab es Anfragen, inwieweit dieses System zur Kontaktverfolgung datenschutzkonform einsetzbar sei. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat in einer Stellungnahme vom 26.03.2021 ausdrücklich darauf hingewiesen, dass digitale Verfahren zur Verarbeitung von Kontakt- und Anwesenheitsdaten datenschutzkonform betrieben werden müssen. Um eine bundesweit einheitliche datensparsame digitale Infektionsnachverfolgung zu ermöglichen, fehle es bislang allerdings an gesetzlichen Regelungen.

Die DSK gibt in der Stellungnahme allgemeine Hinweis zum Datenschutz, die ein digitales System zur Kontaktnachverfolgung gewährleisten müsse. Insbesondere werden hier die Verschlüsselung oder auch die fristgemäße und datenschutzkonforme Datenlöschung genannt. Eine klare Verteilung der datenschutzrechtlichen Verantwortung für die Verarbeitung der personenbezogenen Daten sei außerdem Grundvoraussetzung für ein datenschutzkonformes Verfahren. Darüber hinaus müsse die Gewährung von Betroffenenrechten transparent und eindeutig geregelt sein und die Freiwilligkeit der Teilnahme an einer digitalen Erhebung sichergestellt werden.

Das Luca-System erfülle die von der DSK genannten Voraussetzungen und hat bisher identifizierte Risiken bereits behandelt. Die DSK fordert das Unternehmen dennoch auf, weitere Anpassungen an dem System vorzunehmen, um den Schutz der teilnehmenden Personen weiter zu erhöhen.

Dabei geht es vor allem um die Betrachtung der Speicherung der Daten an einer zentralen Stelle und die Tatsache, dass alle Gesundheitsämter mit dem gleichen Schlüssel arbeiten. Auch sei es für Veranstaltenden schwierig zu überprüfen, ob eine Aufforderung zur Entschlüsselung berechtigt erfolge.

Die DSK betont, dass für zentral betriebene Dienste wie dem Luca-System ein systematischer Nachweis der Sicherheit des Systems unerlässlich sei.

Darüber hinaus stellt die DSK stellt eine Orientierungshilfe für alle Betreiber solcher Kontaktverfolgungssysteme mit allgemeinen Anforderungen für die digitale Kontaktnachverfolgung in Aussicht.

Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Kontaktnachverfolgung in Zeiten der Corona-Pandemie vom 26.03.2021

Bildquellen

  • DSK Logo: https://www.datenschutzkonferenz-online.de/