Wie funktioniert die Luca-App?
Zunächst ist für die Nutzung der App eine Registrierung mit Eingabe personenbezogener Daten wie Name, Adresse und Telefonnummer erforderlich. Parallel werden von Einrichtungen wie Krankenhäusern oder Alten- und Pflegeheimen, aber auch Clubs und Gastronomiebetrieben QR-Codes generiert, sodass die Besucherinnen und Besucher diese beim Betreten mit der installierten Luca-App scannen können. Auf diese Weise werden die Aufenthaltsorte der Betroffenen erfasst. Auch für private Treffen können QR-Codes erstellt und mit Freunden oder Familienmitgliedern verknüpft werden. Im Falle einer Infektion werden die Daten an das zuständige Gesundheitsamt verschlüsselt weitergeleitet. Das Gesundheitsamt wiederum kann die Daten mit einem digitalen Schlüssel dechiffrieren. Damit kann die Infektionskette nachverfolgt und die betroffenen Personen kontaktiert werden. In diesem Zusammenhang stellt sich jedoch die Frage, wie sicher die Daten in der App und im Datentransfer tatsächlich sind.
Wie sieht es mit dem Datenschutz aus?
Besonders kritisch zu bewerten ist an der Luca-App, dass sämtliche (zweifach verschlüsselten) Daten der Betroffenen auf einem zentralen Server gespeichert werden. Da es zu einer umfassenden Datensammlung an einer zentralen Stelle kommt, weist die Luca-App ein erhöhtes Risiko in Bezug auf die Anfälligkeit eines Missbrauchs auf. Weiterhin hält die Berliner Datenschutzaufsichtsbehörde die Verschlüsselung der Kontaktdaten in der Luca-App für nicht ausreichend sicher. Die Sicherheitsstruktur der App entspreche zwar weitgehend dem Stand der Technik, jedoch bestehe die Gefahr, dass individuelle Sicherheitsschlüssel gegen manipulierte ausgetauscht werden könnten. Diesbezüglich wendete der Betreiber ein, dass seit Juli 2021 die kooperierenden Gesundheitsämter mit D-Trust-Zertifikaten ausgestattet werden, die von einer Tochterfirma der Bundesdruckerei stammen. Mit diesen Zertifikaten soll die Möglichkeit des Einschleusens manipulierter Schlüssel aufgehoben werden.
Was müssen Unternehmen beim Einsatz der Luca-App beachten?
Beim Einsatz der Luca-App sollten Besucherinnen und Besucher frei wählen können, ob sie ihre Kontaktdaten über die Luca-App oder über eine Alternative – wie z. B. schriftlich – erfassen lassen. In jedem Fall sind die Besucher und Besucherinnen vor dem Einchecken auf die Wahlmöglichkeiten und die Freiwilligkeit hinzuweisen. Um möglichen Missbrauch zu verhindern, ist der Sicherheitsschlüssel der Einrichtungen (Privater Schlüssel als Code) sicher aufzubewahren und vor dem Zugriff Dritter zu schützen. An dieser Stelle sind klare betriebliche Regelungen erforderlich. Den Zugriff auf den Sicherheitsschlüssel sollten nur die Beschäftigten erhalten, die im Falle einer Anfrage des zuständigen Gesundheitsamtes die Besuchsdaten freigeben sollen. Des Weiteren haben die verantwortlichen Institutionen, wie z. B. die Krankenhäuser oder Alten- und Pflegeheime, mit dem Betreiber der Luca-App gemäß Art. 28 DSGVO einen Auftragsverarbeitungsvertrag abzuschließen. Es bleibt abzuwarten, wie sich der Einsatz der App im Alltag bewährt und die damit verbundene technische Entwicklung weiter voranschreitet.