My Name ist Luca und andere Coronageschichten

Bild von congerdesign auf Pixabay

Eigentlich wollte ich vor einigen Tagen nur einen kleinen Text zu meiner Sicht zur Coronasituation schreiben – der Auswahl der Maßnahmen, Frustration über politische Entscheidungen und über Promis, die ihre Reichweite missbrauchen [update: Das hat sich durch #allesdichtmachen noch mal massiv verstärkt], sowie dem, mich deutlich irritierenden Vorgehen einer Datenschutzbehörde bezüglich der Luca-App. Wie üblich bin ich dabei mal wieder vom Hundertsten ins Tausendste abgedriftet. Da in 16 Bundesländern und zig Kommunen überall etwas andere Regelungen bestehen [update: mittlerweile ist die Bundesnotbremse in Kraft], war die intensivere Beschäftigung auch nicht wirklich hilfreich um die eigenen Fragen zu beantworten. Ich hatte zwischendrin aufgegeben den Text fertig zu schreiben. Jetzt hat mich meine Verärgerung über #allesdichtmachen bei gleichzeitig krassem Ansteigen der Inzidenz in meiner alten Heimat – von grob 160 auf 229 – doch dazu bewegt, den Text nicht einfach in den Müll zu schieben, sondern ihn fertig zu schreiben und zu veröffentlichen.

Allgemeines
Luca und der Datenschützer
Beispiel Quarantäneregeln Schule
Wie kam man auf Luca, warum nicht Corona-Warn-App
Suche nach Alternativen?
Datenschutzfolgeabschätzung
Gesammelte Fragen
Links zum Thema

Die Pandemie geht nun ins zweite Jahr, mit weiter steigenden Inzidenzen und weiteren, bei den meisten Menschen auf das Privatleben beschränkten Maßnahmen. Langsam aber sicher wächst mein Unmut gegenüber einer Politik, die sich nach wie vor in halbherzigen Kompromissen zwischen Wirtschaft und Virus versucht, sowie Verwaltungen und Ämtern, die konstruierte Probleme vorschieben (gern genommen: Datenschutz), um das eigene Versagen und/oder ihr fehlendes Durchsetzungsvermögen gegenüber der Politik zu vertuschen. Hauptsache nichts Elementares ändern.

Was dabei rauskommt sind Maßnahmen, die so offensichtlich unplausibel sind, dass es fast schon weh tut. Sei es bei den zögerlichen Maßnahmen an Schulen und KiTas, bei gleichzeitigen privaten Kontaktbeschränkungen bei Kindern und Jugendlichen, da hätte vermutlich der beherzte Einbau von Lüftungsanlagen geholfen, sei es bei allen Ausnahmen von Kontaktbeschränkungen für Erwachsene bei nicht systemrelevanter Arbeit, aber auch in manchem Ehrenamt, z. B. der Kommunalpolitik (was mich betraf), wo nach wie vor um die 100 Menschen aus überwiegend verschiedenen Haushalten über Stunden in geschlossenen Räumen zusammensitzen.
Während Rheinlandpfalz die Gemeindeordnung schon Anfang 2020 dahin gehend geändert hat, dass die Gremiensitzungen auch per Videokonferenz öffentlich gehalten werden können, wurde die hessische Gemeindeordnung lediglich so angepasst, dass ein kleineres Gremium (Finanz/Hauptausschuss) in Präsenz Entscheidungen treffen kann.

Ein Antrag in Kassel aus dem Mai 2020 sich bei der Hessischen Landesregierung für die Änderung der HGO und Vorbereitung von Online-Lösungen einzusetzen, wurde zunächst mehrfach geschoben und dann abgelehnt, man schaffe das auch so. Stattdessen wurden Aussprachen verkürzt und schriftliche Antworten auf Anfragen und Fragen zugesichertt, um Sitzungen zu verkürzen, die jetzt teils mit horrender Verspätung (die Niederschrift des Finanzausschusses vom 20.1.21 liegt immer noch nicht vor) beantwortet werden. Man schränkt also lieber politische Teilhabe und Transparenz ein, als mit der längst überfälligen Überarbeitung der HGO in Richtung Digitalisierung pandemiegerechte Lösungen für Gremienarbeit zu ermöglichen
Bund, Länder, Kommunen – alle haben sich viel zu lange der Hoffnung hingeben, dass die Pandemie schon von selbst weichen wird – ist sie aber nicht.

Währenddessen gab und gibt es in meinem entfernten Bekanntenkreis einige Coronafälle. In vielen dieser Fälle kamen die Anrufe des Gesundheitsamtes erst Tage, nachdem sich die Personen sowieso freiwillig in Quarantäne begeben haben, bei den Kontaktpersonen mitunter gar nicht. Einmal war ich selbst betroffen, als ich auf einem öffentlichen Foto in sozialen Medien entdeckt habe, dass ein Mitglied einer Sitzung, an der ich auch teilgenommen habe (enger Raum, damals noch ohne Masken und Abstand) auf einer politischen Veranstaltung direkt hinter jemandem stand, dessen Infektion 2 Tage später durch die Presse ging. Auf den Fotos waren Handschläge zu sehen, Masken trug eh noch niemand, es war die letzte Veranstaltung mit 700 Leuten, eng an eng. Benachrichtigt wurde niemand, obwohl es Anwesenheitslisten gab. Gut, das war noch ziemlich am Anfang. Aber auch im Februar 21 wurden in meinem Umfeld zwar z. B. Kita-Kinder, aber nicht deren Eltern in Quarantäne geschickt. Getestet wurde nur bei Symptomen.

Jetzt setzt man auf bundesweite Ausgangssperren ab 21 [update: 22 Uhr], in Kauf nehmend, dass damit das Risiko häuslicher Gewalt rapide anwächst und die Situation sich grade für Menschen, die in beengten, prekären Verhältnissen leben, massiv verschlechtert. Wohl dem, der ein Eigenheim mit Garten sein Eigen nennt.
Gleichzeitig forciert man Öffnungsstrategien für die ungefähr 15 % der Wirtschaft, die elementar und existenziell von den Kontaktbeschränkungen betroffen sind, weil ihr Schaffen den Freizeitbereich der meisten Menschen betrifft. Kunst, Kultur, Einzelhandel, Gastronomie, Tourismus und so weiter.

Ich habe vollstes Verständnis für den Unmut dieser Betroffenen, gerade auch mit Blick darauf, welche Zusammenkünfte seit einem Jahr unangetastet weiterlaufen (Großraumbüros, Industrie, Profisport, Kirchen) und wie lückenhaft die Hilfen verteilt werden.
(Hilfen zum Lebensunterhalt für Freiberufler:innen und Soloselbstständige wurden in Kassel beim kommunalen Hilfspaket Paket als Klientelpolitik bezeichnet und abgelehnt)

Absolut kein Verständnis habe ich dafür, aus politischem Kalkül und Klientelbedienung jetzt Beschränkungen wieder aufzuweichen und Hoffnungen auf Normalität zu befeuern, bevor diese Beschränkungen überhaupt je konsequent und für alle gegolten haben. Realistisch betrachtet sind Öffnungen zum jetzigen Zeitpunkt Wahnsinn für alle Beteiligten. Die existenziellen Nöte der Betroffenen werden sie nicht lindern können. Die meisten Menschen sind vernünftig genug um bei Inzidenzen knapp unter 200 die Risiken eines Einkaufsbummels oder Kneipenbesuchs trotz theoretischer Möglichkeiten nicht einzugehen. Steigen die Zahlen wieder, bzw. weiter so drastisch, wird das Vergnügen der Öffnung von sehr kurzer Dauer sein, dann ist alles wieder zu. Und ich traue der Politik zudem zu, dass bei Öffnungen ein guter Teil der Hilfen wieder eingestampft werden.

Vor allem aber hält man die Pandemie damit immer weiter auf mindestens mittlerer Flamme am Köcheln, womit nicht-kommerzielle, halbwegs ungezwungene Freizeitaktivitäten über weitere Monate hin völlig unmöglich bleiben.

Wenigstens der Versuch mal ein paar Wochen wirklich alles runterzufahren, was nicht im Homeoffice erledigt werden kann und nicht systemrelevant ist, sollte meines Erachtens unternommen werden. Konsequente Homeofficepflicht, wo möglich, Runterfahren jeglicher nicht systemrelevanter Arbeit, die Präsenz erfordert, drastische Reduzierung der Fahrgastzahlen im ÖPNV, Schulen und KiTas zu, stattdessen Möglichkeiten schaffen in gleichbleibenden Kleingruppen dezentral gemeinsam zu lernen usw.

Natürlich gibt es auch da keine Garantien auf langfristigere Eindämmung des Virus, aber die Salamitaktik bezüglich Öffnungen haben wir jetzt ein Jahr durch und wenn man das Ganze schon unbedingt wirtschaftlich betrachten möchte: Der wirtschaftliche Schaden durch psychische Folgeschäden durch diesen ewig gestreckten Pseudolockdown dürfte meiner bescheidenen Meinung nach den Schaden eines echten, zeitlich begrenzten konsequenten Lockdowns mittlerweile deutlich übersteigen, das zeigt sich nur nicht so schnell.

Davon werden immer mehr Menschen , die Frustration über die Perspektivlosigkeit nimmt zu und teils komische Formen an [update: als ich das geschrieben habe, konnte ich #allesdichtmachen noch nicht erahnen]. Kognitive Dissonanz zieht sich durch alle Ebenen, anders kann ich mir weder den Zulauf zur den Querdenker:innen erklären, noch die neuentdeckten Deeskalationsstrategien auf deren Demos seitens der Polizei. Gleichzeitig ist unser Gesundheitssystem lange schon über die Belastungsgrenze. Es ist nur eine Frage der Zeit, wann die dort Arbeitenden ausbrennen. Das wird auch für die Politik zu einem echten Problem.

Und in der Situation kommt Luca App ins Spiel:

Endlich wieder ein Heilsversprecher und Hoffnungsbringer für Landesregierungen und Pandemiemüde, nachdem die Corona-Warn-App die Pandemie nicht weggezaubert hat (was imho auch nicht zu erwarten war). Mit markigen Werbesprüchen und PR-Auftritten in Talkshows schnell wieder zurück in die Normalität, einfach so und ohne tatsächlich mal einflussreichen Lobbyverbänden auf die Füße treten zu müssen.
Die Kultur liebt einen. Die Menschen lieben einen. Ein Traum. Olaf Scholz sieht sich schon im Spätsommer vergnüglich als Bundeskanzler im Biergarten sitzen. Smudo kennt sich schließlich in der Veranstaltungsbranche aus, der wird die Pandemie schon smart weg digitalisieren….ich schau dem Spektakel mit großen Augen zu…

Und unter dem Eindruck höre ich dann einen Podcast des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg, der bei mir mehr Fragen als Antworten aufgeworfen hat.

https://www.baden-wuerttemberg.datenschutz.de/podcast-datenfreiheit-folge-11-luca-app-in-der-kritik/

Das beginnt schon mit der Einleitung. Sinngemäß heißt es da, dass eigentlich alle froh sein sollten jetzt ein Mittel an der Hand zu haben, stattdessen gebe es massiv Kritik, die man so nicht stehen lassen wolle.

Ich frage mich, über was ich mich freuen soll? Dass man jetzt eine Lösung für ein Problem hat, bei dem man nie überprüft hat, ob da überhaupt wirklich der Engpass liegt, der eine wirksame Unterbrechung von Infektionsketten verhindert?

Ein kleiner Blick auf  Zahlen:
Ich lebe mittlerweile in einer Kleinstadt in Bayern. Hier ist seit Monaten bei steigender Inzidenz fast alles geschlossen, strikte Kontaktbeschränkungen gelten in den Privatbereich hinein, fast durchgehend gab es in den letzten Monaten eine Ausgangssperre ab 21 Uhr und dennoch liegt die Inzidenz seit geraumer Zeit weit über 100.
Diese Kleinstadt (+ Landkreis) veröffentlicht neben den Zahlen der Infizierten auch die, der unter Quarantäne stehenden Kontaktpersonen. Daraus kann man ersehen, dass auf eine dort aufgeführte Kontaktperson ungefähr zwei Infizierte kommen. Schon alleine das empfinde ich als sehr verwunderlich. Wie viele KiTa- Gruppen und Schulklassen unter Quarantäne stehen ist ebenfalls transparent. Im Moment sind das 13, bei einer Durchschnittgruppengröße von sehr niedrig angesetzten 12 Kindern (es herrscht Personalmangel) wäre man da inklusive Personal schon bei über 180 Personen. Angenommen jedes Kind hat 2 Kontaktpersonen, wären das schon über 500 Kontakte ersten Grades – nur über Schulen und Kitas. Es sind aber insgesamt nur 427 Kontaktpersonen in Quarantäne, bei 739 Infizierten.
(Meiner Erinnerung nach, gab es mal die Aussage, dass Kontaktnachverfolgung nur bei Inzidenzen deutlich unter 50 funktioniert.)

In Schulen spielen unleserliche oder falsch ausgefüllte Zettel keine Rolle. Die Kontaktdaten der Kinder und Jugendlichen sind klar. Was aber Fragen aufwirft, ist die Handhabung.
Auf die Schnelle habe ich keine direkt passende Aussage zu den Regeln aus Bayern gefunden, hier aber eine aus der Stadt Köln, die zumindest in den letzten Monaten galt:

Müssen Eltern und Geschwister auch in Quarantäne?
Nein, die Quarantäne für Kontaktpersonen ohne Symptome gilt nur für Ihr Kind. Als Eltern dürfen Sie weiterhin zur Arbeit gehen, Geschwisterkinder dürfen weiterhin die Schule oder Kindertageseinrichtungen besuchen, solange sie selbst keine Krankheitssymptome zeigen.

Ähnliche Aussagen habe ich aus Bremen gefunden.
Auch Regelungen für Lohnfortzahlungen
für betreuende Eltern bei solchen Fällen kamen in vielen Bundesländern erst Ende November (da war Bayern schneller), diese gelten aber nur für Kinder bis 12 Jahre und belaufen sich nur auf 67 %. Wohl dem, der nicht ohnehin schon an der Armutsgrenze lebt und dessen Kind nicht 13 und älter ist.
In den letzten Monaten habe ich mir an meinem ehemaligen Arbeitsplatz immer wieder angehört, dass der Schul- und KiTa-Besuch kein Problem darstelle, AHAL Regeln würden ausreichen. Es gäbe keine Infektionsherde in der Schule. Mittlerweile liegen anderslautende Studien vor. (Oberschule, mit Maske und 50% Belegung R-Wert 2,9, ohne Maske ohne Abstand 11,9)
Jetzt arbeitet man mit Schnelltest, die allerdings nur an 5 von 8 Tagen Infektiösität anzeigen.

Und Konsequenz vermisse ich weiterhin:

Muss die ganze Klasse in Quarantäne, wenn ein Schüler bzw. eine Schülerin ein positives Selbsttestergebnis hat? Oder darf der Unterricht für die restliche Klasse fortgesetzt werden? (akt. 19.03.2021, 18:40 Uhr)
Die Anordnung von Quarantänemaßnahmen fällt in den Zuständigkeitsbereich des lokalen Gesundheitsamtes. Die Erziehungsberechtigten informieren nach einem positiven Selbsttestergebnis ihres Kindes unverzüglich das örtliche Gesundheitsamt. Das Gesundheitsamt leitet alle weiteren Schritte ein und unterrichtet ggf. die Schule über erforderliche Maßnahmen. Bis dahin können die Schülerinnen und Schüler mit einem negativen Testergebnis zunächst weiter in der Klasse bzw. im Unterrichtsbetrieb bleiben, wobei die Hygienevorgaben weiterhin genauestens zu beachten sind.

Sollte sich also vor Vorliegen des Testergebnisses ein weiteres Kind angesteckt haben, kann es bis zum Ende des Schultages fröhlich spreaden, danach geht die Gruppe komplett in Quarantäne, zumindest in meiner Kleinstadt. Aber halt nicht unbedingt deren Eltern und Geschwister. Andernorts fallen womöglich andere Entscheidungen und die Schule geht für die negativ Getesteten normal weiter, das liegt alleine in der Hand der Gesundheitsämter.
Warum die Erziehungsberechtigten das Gesundheitsamt informieren muss und nicht die Schulleitung, ist mir unter epidemiologischen Gesichtspunkt ebenfalls nicht wirklich verständlich. Möglicherweise haben die Erziehungsberechtigten erst mal andere Sorgen, wie sie die Quarantäne ihres Kindes organisieren können und so verzögern sich unter Umständen Meldungen? Ein negativer PCR-Test ist zwar für weitere Teilnahme am Unterricht nach der Quarantäne notwendig, irgendwann wird also gemeldet werden, nur möglicherweise nicht auf dem schnellsten Weg).

Weiter heißt es:

Kontaktpersonen der Kategorie 1 müssen sich unverzüglich für mindestens 14 Tage in häusliche Quarantäne begeben. Die bisherige Möglichkeit, die Quarantäne durch einen negativen Sars-CoV-2-Test ab Tag 10 abzukürzen, entfällt. Bitte beachten Sie, dass die Quarantäneverpflichtung bis auf Weiteres auch für geimpfte Personen gilt.

Damit sind vermutlich Kontakte in der Klasse gemeint. Ergänzt wird das Ganze hier:

Im Fall von bevorstehenden Abschlussprüfungen (nicht während regulärer Leistungsnachweise) werden diese Personen prioritär auf SARS-CoV-2 getestet. Sie dürfen unter strikter Einhaltung des Hygienekonzepts sowie ausgedehnten Abstandsregelungen (Sicherheitsabstand von mindestens 2 Metern) die Quarantäne zur Teilnahme an der Abschlussprüfung unterbrechen.

https://www.km.bayern.de/eltern/meldung/7047/faq-zum-unterrichtsbetrieb-an-bayerns-schulen.html

Bei allem Verständnis für die schwierige Situation für alle Beteiligten. Hätte ich ein Kind in einem Abschlussjahrgang, hätte ich ein echt schlechtes Gefühl es zur Prüfung zu schicken. Und das ist nur ein Beispiel unter vielen, welches zeigt, dass Datenschutz und fehlende Durchgriffsrechte wahrlich nicht das einzige Problem bei der Unterbrechung von Infektionsketten sind.
Im Bereich Arbeit sieht es sicher nicht besser aus.


Weiter zum Datenschutzpodcast:

Zur Frage, warum man sich für Luca entschieden habe, erläutert der Landesdatenschutzbeauftragte, dass es zunächst viele Gespräche mit der Landesregierung über die Corona-Warn-App gegeben habe.

Nach deren Beurteilung [Landesregierung] habe diese die hohen Erwartungen nicht erfüllt und nicht nennenswert zur Eindämmung der Pandemie beigetragen. Seit Herbst diskutiere man über Einbindung einer Funktion, die Clusterbildung erkennt. Für die Politik sei wichtig: Gesundheitsämter sollen potenziell Infizierte direkt ansprechen und Quarantäneanordnungen aussprechen können. Da störe der Datenschutz bei der Corona-Warn-App. Nicht jede:r habe die Infektion in der Warnapp gemeldet.

[…] und das ist tatsächlich so war das nicht jeder, der infiziert war und auch einen positiven Bescheid bekommen hat von seinem Labor und diesen möglicherweise auch über die Corona-Warn-App bekommen hat, dass der diese Information mit der Community geteilt hat, also gesagt habe „Vorsicht Leute, ich bin einer von denen, bei denen ihr euch hättet anstecken können.“

Ich selber bin glücklicherweise nicht in die Situation gekommen eine Infektion melden zu müssen, habe aber von mehreren Stellen Kritik vernommen, dass diese Meldung nicht ganz so reibungslos, bequem und schnell funktioniert hat, wie es zu wünschen gewesen wäre. Dazu gab es auch im November eine kleine Anfrage im Bundestag.

Die Gewährleistung einer zeitnahen Übermittlung der Testergebnisse obliegt den Laboren. Soweit es im Einzelfall zu einer verzögerten Übermittlung von Testergebnissen gekommen ist, sind die Ursachen zumeist auf die Prozesse und Abläufe in einzelnen Einrichtungen zurückzuführen. Der Bundesregierung liegen keine Erkenntnisse über Verzögerungen vor, die auf technische Fehlfunktionen der CWA zurückzuführen sind. [….] Derzeit ist die Anbindung bei 18 Laboren in Krankenhäusern und Universitätsklinika bereits umgesetzt. Für die Anbindung von 23 weiteren Einrichtungen wurden bereits Termine vergeben. Nach derzeitiger Planung wird im Jahr 2020 eine Anbindung von insgesamt 44 Krankenhäusern und Universitätsklinika erreicht „

Ende November waren nicht alle KH angebunden und fast 10 % der Labore nicht mal willens eine Anbindung an die Corona-Warn-App einzurichten.

Inwieweit im Falle einer erteilten Einwilligung eine Übermittlung durch einzelne Labore erfolgt, kann aufgrund des datensparsamen Ansatzes der CWA durch die T-Systems International GmbH nicht nachvollzogen werden.“

Schade. Das wäre eine wirklich interessante Zahl gewesen.
Das Problem mit den QR-Codes scheint übrigens immer noch zu bestehen, wenn man die Bewertungen im App Store betrachtet. Es gibt auch noch den Weg über eine Hotline. Möglicherweise haben aber frisch positiv Getestete erst mal ganz andere Sorgen, als nach gescheitertem Scan der OR-Codes bei einer Hotline anzurufen. Auch, wenn ich sonst nicht so die Convenience-über-alles Vertreterin bin – hier ist das meines Erachtens ein Muss.

Das RKI hat dann noch folgende Zahlen

„Im Zeitraum vom 01. September 2020 bis 03. Februar 2021 wurden insgesamt 390.714 positive Testergebnisse verifiziert – via QR-Code oder teleTAN – dies ist die Anzahl der potenziell teilbaren positiven Ergebnisse. Anschließend haben sich 231. 444, d.h. 59 Prozent der Nutzerinnen und Nutzer dafür entschieden, ihr positives Testergebnis mit den anderen Nutzerinnen und Nutzern zu teilen“

Wenn jemand nach Scheitern beim Scannen des QR-Codes aufgegeben hat, hat das mit Freiwilligkeit nicht so wirklich zu tun. Die Zahlen würde ich mit Vorsicht genießen.

Weiter mit dem Podcast:

[…]daraus haben die Landesregierung den Schluss gezogen mit Freiwilligkeit läuft das nicht mehr. Wir brauchen tatsächlich eine personenbezogene Erfassung von Kontaktdaten und die müssen auch den Gesundheitsämtern zur Verfügung stehen. Da haben wir uns in gewisser Weise den Mund fusselig geredet. […]jedenfalls haben wir unsere Regierung nicht davon überzeugen können bei einem anonymen Konzept zu bleiben und haben uns auf die Suche gemacht, was könnte denn dort reinpassen und sind dabei auf die Luca App gestoßen.

Gleichzeitig lese ich diese Aussage aus einer PM (neben der meines Erachtens völlig fehlplatzierten Werbung für die Fantastischen 4):

Die „luca“-App speichert die Daten und die Kontakte dezentral auf dem eigenen Smartphone und verschlüsselt sie, ein Zugriff darauf ist erst mit ausdrücklicher Einwilligung möglich. Selbst der Betreiber der App hat keinen Zugriff auf diese persönlichen Daten. Die Hoheit über die Daten bleibt also durchgehend bei jedem Nutzer selbst. […] Die Dokumentation der erfolgten Kontakte wird auf technisch höchstem Stand verschlüsselt und es liegt allein in der Hand des luca-Nutzers, ob, wann und mit wem er diese sensiblen Daten teilen möchte.“
https://www.baden-wuerttemberg.datenschutz.de/lfdi-brink-unterstuetzt-nutzung-der-luca-app/

Mal abgesehen davon, dass dezentral meines Verständnisses nach nur für die optionale Speicherung zusätzlicher weiterer Kontaktereignisse gilt, die nicht nach § 6 CoronaVO datenverarbeitungspflichtig sind und die Check-in Daten zentral auf den Servern der privaten Firma liegen – das ist ja ein Hauptkritikpunkt – hat die Landesregierung die Freiwilligkeit der Datenübermittlung doch gerade erst bemängelt. Ich habe jetzt nicht konkret etwas dazu gefunden, was passiert, wenn eine Infizierte Person sich weigert Kontakte zu nennen, bzw. nicht der Entschlüsselung ihrer Kontakthistorie zustimmt.
Wenn ein:e Nutzer:in der App an einem Ort war, an dem auch eine infizierte Person war, dann dürfte er/sie aber genauso wenig, wie bei den analogen Zetteln, entscheiden können, ob das Gesundheitsamt die persönlichen Daten erhält. Ich kann den Inhalt der PM nicht nachvollziehen.

Auf die Kritik nicht auf die Corona-Warn-App bestanden zu haben, erläutert er:

“Die Landesregierung hat letztlich eine politische Entscheidung getroffen, dass wir die Pandemiekrise nicht dadurch beseitigen werden, dass wir auf Freiwilligkeit setzen, dass wir darauf setzen, dass jeder der von seinem Infektionsrisiko weiß ich schon vernünftig verhalten wird, sich testen wird und ein positives Testergebnis mit dem Gesundheitsamt oder der Community teilt. Die Landesregierung sagt, das hilft nicht, das reicht uns nicht, wir brauchen die Durchgriffmöglichkeit der Gesundheitsämter und damit war schlicht und ergreifend die Corona-Warn-App draußen.„

Ganz offensichtlich geht es der Politik weniger um die Freiwilligkeit die Community zu warnen (Das Ergebnis eines positiven Tests beim Arzt oder Labor ist ja ohnehin meldepflichtig, eine Warnung ersetzt kein Gespräch mit dem Gesundheitsamt), sonst würde man erst mal versuchen, die Labore zur Mitarbeit zu kriegen und den Warnvorgang zu optimieren, oder vielleicht sogar zu automatisieren. Es geht ihr um harte Kontaktdaten (mit sehr hohem Missbrauchspotential). Warum also diese Nebelkerzendiskussion?

Anschließend erläutert der Datenschutzbeauftragte, wieso er auf die Luca-App gekommen ist, nämlich durch die Kontakte mit der Kulturszene, die natürlich dringend Möglichkeiten sucht, um wieder arbeiten zu dürfen. Jene Kulturszene, in der Smudo erwartungsgemäß bestens vernetzt ist, so als Stuttgarter Jung, und die die Luca-app als Möglichkeit sieht und bewirbt. Weiter erklärt er, dass er aktiv auf die Betreiber zugegangen sei, auch, wenn die Diskussion um Möglichkeiten einer digitalen Alternative zu den Zetteln schon länger im Gespräch gewesen sei.

Richtig. Der Hackathon der Bundesregierung WirVsVirus fand bereits im Frühjahr 2020 statt. Eins der dort begonnenen Projekte ist z.B. darfichrein.de. Unter https://www.wirfuerdigitalisierung.de/ findet man eine Vielzahl an Startups (halt in NRW), die sich mit dem Thema befasst haben. Was jetzt, außer der Strahlkraft eines Stuttgarter Rappers, die Priorisierung einer dort nicht beteiligten Firma ein Dreivierteljahr später auf Luca bewirkt hat, ist mir nicht klar. Weder war die Idee neu, noch ist das finanzielle Angebot gut (von der zahlreichen Kritik bezüglich IT-Sicherheit mal abgesehen).
Warum man nicht die Daten-sparsamste Lösung nutzen möchte, also die Corona-Warn-App, begründet er zudem mit der Gesetzeslage, in der Kontaktdaten vorgeschrieben seien. Daran haben sich imho auch einige Startups bei wirfürdigitalisierung orientiert. Gleichzeitig erläutert er jedoch, dass die Corona-Verordnung geändert werden müsse, da bei Luca die Locations die Gästedaten auch nicht zu Gesicht bekommen und entsprechend nicht auf Plausibilität prüfen können.

Wussten alle Startups von der Möglichkeit die VO entsprechend anzupassen? Ich erwähne das deshalb, weil in einem Disput mit einem Mitarbeiter später recover dafür kritisiert wurde, dass die Veranstalter:innen, die dezentral liegenden Daten im Bedarfsfall entschlüsseln können. Imho entsprach genau das bis vor Kurzem der Forderung der Verordnungen.

Im weiteren Verlauf (ab 11:25) werde ich noch unsicherer, ob der Datenschutzbehörde bewusst ist, dass Labore und Ärzte Infektionen melden müssen. Die meines Erachtens elementare Frage, wie Gesundheitsämter ihr Durchgriffsmöglichkeiten bezüglich Quarantäne bei hunderten von Kontaktpersonen, die alleine an einem Tag entstehen können, durchsetzen sollen, wird erst gar nicht gestellt.

Nochmal wiederholt: Es geht nicht um die Quarantäne des Infizierten, dessen Kontaktdaten haben die Gesundheitsämter bereits, wie auch die von ihr als eng eingestuften Kontakte ersten Grades. Es geht bei Luca „nur“ um all jene, die man nicht kennt und mit denen man gemeinsam an einem Ort war. Zur Kritik an der zentralen Speicherung führt er unter anderem aus:

„ja, wenn wir uns die Welt backen könnten, eine ideale Datenschützerwunschvorstellungswelt […]würden wir genau auf der Linie der Corona-Warn-App weiterfahren, das ist ein Konzept, das ist von vielen angenommen worden ist, über 26 Millionen Downloads […]gerade deswegen angenommen worden, weil das Konzept gut ist und weil die Bürgerinnen und Bürger sagen, da sind nicht meine personenbezogenen Daten drin, ich muss nicht geoutet oder Zwangs-geoutet werden mit meiner Infektion, sondern das bleibt alles noch meine Entscheidung, wie ich mit der Information, ich bin infiziert oder ich bin möglicherweise infiziert umgehe […]

Ich hoffe doch stark, auch die Luca-App gibt nicht die Information weiter, dass man mit XY, wohnhaft in X, dann und dann am gleichen Ort war 😉
An der Entscheidung, ob man bei einem Selbsttest zum Gesundheitsamt geht, ändert auch Luca nichts – das bleibt freiwillig. An der Weitergabe der Ergebnisse von Schnell oder PCR-Tests seitens medizinischem Personal an das GA ändert auch die CWA nichts. Da wird man “Zwangs-geoutet”, wenn man das so nennen will.
Das Problem, wenn man es so wahrnimmt, wird nicht gelöst, dafür aber mit der zentralen Speicherung ein Neues, imho deutlich größeres geschaffen. Kommentar des Geschäftsführers dazu war – machen andere auch so…
Das Verständnis seitens des Datenschützers erschließt sich mir nicht. Hier wird die Büchse der Pandora geöffnet und eine Infrastruktur eingeführt, die zu deutlicher Überwachung genutzt werden könnte (erweiterte Nutzungvorschläge werden aus der Politik ganz sicher kommen) und ich kann nicht erkennen, dass man damit dem primären Ziel der schnelleren Unterbrechung von Kontaktketten näher kommt, einzig die Zettel werden weniger.

Er sagt aber auch selbst, die Anforderungen seien nicht nur anonym und dezentral, wesentliche sei auch das Ende der Zettelwirtschaft

Wir haben in erster Linie die Problematik, dass dort dann Kontaktdaten stehen, auf einer Liste und andere dort reingucken können und die nutzen und die abfotografieren und ins Netz stellen und Anrufe machen die nicht sein sollen, also richtig viel Unfug machen. Deswegen eine Forderung der Veranstalter selbst, der Gastronom, der Kinobetreiber, der Konzertanbieter soll diese Kontaktdaten gar nicht sehen können […}

die ersten beiden Anforderungen erfüllt die Luca-App nicht. Abhilfe für die allgemeine Einsehbarkeit in die Listen ist durch ein ganz einfaches Mittel zu gewährleisten. Einzelzettel, die in einem geschlossenen Kästchen gesammelt werden, kennt man ja von jeder Wahl. Hat auch jedes Restaurant, welches ich im letzten Spätsommer noch besucht habe, so gehandhabt, ebenso die Außengastronomie. Aber natürlich wollen Veranstalter:innen diese Daten gar nicht haben, denn sie sind dann dafür auch verantwortlich und dafür habe ich vollstes Verständis. Ändert sich durch die App etwas an der Verantwortlichkeit? Laut Datenschutzbehörde BaWü: Nein.
Ist das allen Veranstaltern bewusst, die auf Luca setzen?

Im weiteren Verlauf wird noch über Missbrauchspotenzial und Verbesserungsmöglichkeiten gesprochen. Das Problem mit den Bewegungsprofilen bei den Anhängern wird aber erst gar nicht thematisiert. Die Kritik der Nerds sei nicht konstruktiv genug, später ärgert er sich richtiggehend über deren Fehlersuche.

Wirklich irritiert haben mich dann folgende Aussagen zur Datenschutzfolgenabschätzung (ab Minute 35)

[…]ich war enttäuscht darüber wie diese Debatte gelaufen ist, es gibt und gab schon sehr früh, schon als wir die ersten Kontakte zu Luca hatten, dort Entwürfe zum Thema Datenschutzfolgeabschätzung. Dazu muss man sagen, wenn wir in Artikel 35 DSGVO reinschauen, dann kann man durchaus in dieser Konstellation darüber nachdenken, ob das, was da geschieht, von einer Datenschutzfolgenabschätzung abgefedert sein sollte, die ist immer dann notwendig, wenn bei der Datenverarbeitung ein besonderes Risiko gesehen wird, ein hohes Risiko wie in Artikel 35 (1) und das kann man natürlich hier im Bereich, wo es um Ortsdaten geht, um Bewegungsprofile geht, die entstehen können, da kann man das durchaus so sehen.
Ob es hier um Gesundheitsdaten geht, das wird in der öffentlichen Debatte immer wieder behauptet, da würde ich mal ein vorsichtiges Fragezeichen setzen. Die Tatsache, dass ich irgendwo in der Kneipe war, oder im Kino ist kein Gesundheitsdatum. Zu Gesundheitsdaten wird das Ganze ja erst über die Motivation der App, die soll helfen, insbesondere Gesundheitsämtern helfen, möglichst schnell an potenziell Infizierte heranzukommen, aber diese Zwecksetzung wird erst relativ spät im Prozess eingeführt. Ein Gesundheitsdatum entsteht erst dann, wenn das Gesundheitsamt zur Auffassung kommt, dass ein bestimmter Nutzer der App einem besonderen Risiko ausgesetzt war oder infiziert ist oder was auch immer. Aber vorher ist das Ding kein Gesundheitsdatum. Da wird häufig verwechselt die Motivation der App, die soll helfen, mit dem, was tatsächlich verarbeitet wird.[…]“

Bisher bin ich davon ausgegangen, dass laut DSGVO nicht die Motivationen und an welchem Punkt diese greift, ausschlaggebend für die Bewertung eines Datums ist, sondern die Datenerhebung nur zweckgebunden erfolgen darf und dieser Zweck wird vor der Erfassung festgelegt.
In dem Fall dürfte der Zweck eindeutig die schnelle Unterbrechung von Infektionsketten sein. Der Zugriff durch das Gesundheitsamt kann jederzeit erfolgen, mit der Konsequenz, dass die Daten zu Gesundheitsdaten werden und genau dann hätte ich gerne eine Datenschutzfolgeabschätzung vorliegen, denn es hilft ja wenig, dass meine Daten nicht zwingend Gesundheitsdaten hätten werden müssen, wenn sie es geworden sind. Imho reicht da vollkommen aus, dass die Daten zu Gesundheitsdaten werden können.

Es geht aber noch weiter:

Es wird behauptet Luca müsste eine Datenschutzfolgenabschätzung haben und müsse sie veröffentlichen.
1. Braucht Luca selbst eine Datenschutzfolgenabschätzung? Antwort: natürlich nicht. Die Datenschutzfolgenabschätzung muss der Verantwortliche für die Datenverarbeitung produzieren, das ist unserer Auffassung nach nicht der Betreiber der App, der ist ein sogenannter Auftragsverarbeiter, das heißt er unterstützt den Veranstalter auf der einen Seite und das Gesundheitsamt auf der anderen Seite hier. in dem Kontext ist die Luca App ein Dienstleister und Dienstleister fertigen keine Datenschutzfolgeabschätzung an.“

Wie oben schon gefragt: Ob das allen, die für ihre Ort Luca anbieten wollen immer so bewusst ist? Ich stelle mir grade die Gesichter vor, wenn ich in einem kleinen Laden, Friseurgeschäft oder Biergarten nach der Datenschutzfolgeabschätzung frage. Das können die schlicht nicht leisten.
Und das wäre dann der Punkt, wo ich erwarten würde, dass eine Aufsichtsbehörde eine solche Lösung nicht empfiehlt, sondern sich eindringlich bei der Politik dafür einsetzt, dass eine datensparsame Lösung genutzt wird um dem Wunsch der Veranstalter:innen, die Daten selbst erst gar nicht zu Gesicht zu bekommen, gerecht zu werden.
Später merkt er selbst noch an, dass die Betreiber:innen von Veranstaltungsorten oder Handel dies nicht leisten können und es deshalb gut wäre, wenn Luca eine Musterdatenschutzfolgenabschätzung zur Verfügung stellt. Die wird der oder die IT-Unkundige, und da unterstelle ich mal, dass das auf den Großteil der Zielgruppe und damit der Verantwortlichen zutrifft, aber ohne Hilfe auch nicht einschätzen können. Vermutlich werden sich viele darauf verlassen, dass eine App, die von einer Datenschutzbehörde empfohlen und von der Landesregierung gekauft wurde, schon rechtskonform und sicher sein wird.

Weiter erklärt er:

„Es gibt eine Konstellation, wo man darüber nachdenken kann, ob der Anbieter vielleicht doch Verantwortlicher ist und zwar, wenn man nicht die Konstruktion wählt, die Luca gewählt hat, nämlich zu sagen, wir sind Auftragsverarbeiter, sondern wenn man von einer gemeinsamen Verantwortung ausgeht.“

Das können die Betreiber:innen von Luca sich so aussuchen?

“Bei gemeinsamer Verantwortung passiert etwas, was datenschutzrechtlich nicht so schön ist, da wird so eine Mischkiste aufgebaut, wonach keiner mehr so genau weiß, wer macht jetzt was, wer erfüllt die Auskunftsansprüche, wer ist für Datenschutz-infos zuständig und wer macht die Datenschutzfolgenabschätzung. Man kann rechtlich vertreten zu sagen, es gibt eine gemeinsame Verantwortlichkeit, wenn man das macht, dann ist Luca näher dran, eine Datenschutzfolgenabschätzung zu machen, aus meiner Sicht müssen die das immer noch nicht machen, da ist immer noch der Veranstalter und das Gesundheitsamt näher dran, aber dann kommen sie in die Nähe.”

Bisher dachte ich, sowas wird über Verträge geregelt und geschieht auf Grundlage der DSGVO. Ehrlich gesagt finde ich eine Konstruktion, in der derjenige Verantwortlicher ist, der als einziger die Daten nie zu Gesicht bekommt und der von Kommune und Land mehr oder minder gedrängt wird, diese App zu nutzen, auch nicht die prickelnste Vorstellung und die Frage der Datenschutzfolgenabschätzung ist offensichtlich auch nicht wirklich geklärt.

Zum Quellcode finde ich die Argumentation noch irritierender.

das ist so ähnlich, wie die Forderung nach Offenlegung des Quellcodes, das ist keine Forderung, die sich aus der Datenschutz-Grundverordnung ergibt, das ist auch nichts übrigens, was wir Aufsichtsbehörden mal eben so machen könnten, zu einem App-Anbieter gehen und sagen, gib uns mal den Quellcode, wir wollen gucken, wie gut du bist. Das ist nicht zulässig. Ich kann mir natürlich mal im Einzelfall den Quellcode vorlegen lassen, aber dazu brauche ich Anhaltspunkte als Aufsichtsbehörde, dass dort im Quellcode sich Informationen finden, die dafür sprechen, dass die Datenverarbeitungen rechtswidrig sind. Ich kann nicht einfach mal so ins Blaue hinein sagen: och, mir gefällt deine Nase nicht, leg mir mal den Quellcode vor.”

Natürlich kann die Behörde nicht bestimmen, dass eine Lösung per se open source sein muss (davon ab, dass ich im Fall von Luca vermute, dass die Offenlegung des Codes nicht in erster Linie durch Einsicht, sondern Entdeckung eines Lizenzverstoßes forciert worden ist). Eine Datenschutzaufsichtsbehörde, die eine explizite App-Empfehlung ausspricht, sollte diese aber imho schon vorher untersuchen. Und in Artikel In 58 DSGVO steht meines Wissens nichts davon, dass es einen Anfangsverdacht geben muss.

(1) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse,
a). die es ihr gestatten, den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind,
b)Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen,
c)eine Überprüfung der nach Artikel 42 Absatz 7 erteilten Zertifizierungen durchzuführen,
d)den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen,
e)von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, zu erhalten,
f)gemäß dem Verfahrensrecht der Union oder dem Verfahrensrecht des Mitgliedstaats Zugang zu den Räumlichkeiten, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten
.

Vermutlich verstehe ich die Aufgabe einer Aufsichtsbehörde anders. Nein – tatsächlich versteh ich sie anders. Ich verstehe diesen ganzen proaktiven Einsatz für diese eine Lösung nicht. (O-Ton: aus eigenem Antrieb)

Vollends absurd wird der Podcast für mich an der Stelle, an der die Möglichkeit, die App mit falschen Daten auszutricksen von einem datenschutzrechtlichen Vorteil gesprochen wird.

das war glaube ich die erste größere Meldung, die gegen Luca lief, aber auch da würde ich mal darum bitten, dass wir, jedenfalls wenn wir aus datenschutzrechtlicher Sicht schauen, uns genau überlegen, was wir da eigentlich kritisieren. Es wird doch kritisiert, dass es offensichtlich mit einer gewissen Mühe durchaus möglich ist, falsche Angaben über seine Identität oder Erreichbarkeit zu machen. Ist das nun tatsächlich ein Punkt, den Datenschützer kritisieren sollten? Ironisch gefragt könnte man sagen: is it a Bug or is it a feature. Aus Datenschutzsicht ist das mit Sicherheit ein Vorteil das man aus dieser Personalisierung rausspringen kann. Es geht nicht darum, dass wir das befürworten und es ist auch ganz klar, dass die Gesundheitsämter Schwierigkeiten haben, wenn man sich mit falschem Namen anmeldet, […] aus Sicht eines Datenschützers sollte man das jedenfalls mit einer gewissen Gelassenheit sehen, wenn es dort einzelnen, findigen Menschen gelingt, möglicherweise eine andere, als die eigene Handynummer anzugeben […]Das ist eher ein Problem der Gesundheitsämter, ob sie sagen, das reicht uns noch, damit können wir noch was anfangen oder da wird eh nur Datenmüll produziert. Aber das ist nicht Sache der Datenschützer sich darüber aufzuregen“

Moment, wenn die Daten nicht den Zweck erfüllen können, für den sie erhoben werden, dann sollten sie im Sinne der Datensparsamkeit nicht erhoben werden. Speziell dann, wenn diese Erhebung mit deutlichen Risiken verbunden ist. Zudem heißt es in Artikel 5 (d) Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“).
Das ist nicht nur ein Problem für Gesundheitsämter, sondern durchaus auch für Datenschützer:innen.


Gekrönt wird das Ganze noch mit ziemlich irritierenden Aussagen eines Mitarbeiters der Behörde. Eine Antwort auf Fragen, ob man genauso aktiv auf andere Anbieter zugegangen sei und diese ebenfalls proaktiv beraten hat, um sie empfehlenswert zu machen, beantwortete er ausweichend mit der Frage, ob die Beispiel-App (e-guest, offiziell empfohlen von der Stadt Kassel) DSGVO-konform sei.

Auf die Nachfrage, ob er sagen kann, warum sie nicht konform ist:

Klar, aber ich werde nun nicht aus der Beratung, die wir gegenüber dem Hersteller durchführen, zitieren. Aber es lässt sich ja leicht selbst prüfen, geht in ein paar Minuten mit dem Webbrowser und den Entwickler-Tools.“

Mal davon ab, dass ich es faszinierend finde, Bürger:innen zu erklären, dass sie halt selbst schauen sollen, ob Empfehlungen ihrer Gemeinde DSGVO-konform sind, hatte ich mir die Seite tatsächlich noch nicht angeschaut. Sie nutzt googlemaps und clouflaire, das dürfte reichen.
Allerdings steht in der Stellungnahme zu Luca folgendes:

„Allerdings wurde zum Zeitpunkt des Tests (28. und 29.1.2021) auf der „Marketing-Webseite” (https://app.luca-app.de/) Google Analytics eingesetzt. Da von dieser innerhalb der App Nutzungsbedingungen nachgeladen und eingebettet wurden,fanden entsprechende Übermittlungen statt. Im Gespräch mit dem Hersteller am29.1.2021 wurde von diesem zugesichert Google Analytics aus der Webseite zu entfernen. Bei einem erneuten Test der Webseite am 1.3.2021 konnte dort eine Einbindung von Google Analytics nicht mehr festgestellt werden.

Zu 2. App-Sicherheit
Die Statische Analyse der Android App mittels MobSF ergab einige Auffälligkeiten.
Die Code-Analyse hat vier potentielle schwerwiegende Schwachstellen identifiziert. Ob es sich hierbei um tatsächliche Bugs oder lediglich falsch-positive Meldungen handelt, ist erst durch eine manuelle Code-Verifikation feststellbar. Die Ergebnisse wurden dem Hersteller zur Verfügung gestellt, damit dieser eine Prüfung vornehmen kann und, soweit sich der jeweilige Verdacht bestätigt, entsprechend nachbessert. „

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2021/04/Stellungnahme-LfDI-BW-Luca-App.pdf

Hätte da  die App nicht auch bei erster Sichtung rausfliegen müssen?
Darauf hingewiesen kam wieder nur Ausweichendes.

„Wenn eine verantwortliche Stelle anfragt, beraten wir diese im Rahmen unserer Möglichkeiten. Welchen Grund sollte es geben, eine App positiv zu nennen, wenn diese nicht im Verhältnis zu den Mitbewerbern positiv ist? „

Wenn Du mit Unterstellungen und wirren Behauptungen diskutieren willst, musst Du das alleine machen. Sorry.“

Du phantasierst irgendwas davon daher, dass der LfDI eine rechtswidrige Anwendung durch Beratung erst rechtmäßig gemacht habe (warum auch immer). Wenn Du anderen Leuten unterstellst, aus unlauteren Motiven unlautere Sachen zu machen, ist für mich die Diskussion beendet.“

Der Punkt ist, dass nicht die Landesregierung auf die Behörde zugegangen ist und nach Luca gefragt hat, sondern die Behörde die Landesregierung erst auf die Luca-App aufmerksam gemacht hat woraufhin die Landesregierung um Stellungnahme gebeten hat.

In dieser steht dann auch:

Für den erfolgversprechenden Einsatz der App „Luca” ist allerdings zuvor eine Änderung der Corona-VOen der Landesregierung erforderlich. Auch hierzu macht der LfDI Vorschläge.“

Hier der Wortlaut aus dem Podcast:

[…] Bezugspunkt dafür waren unsere Bemühungen im Bereich Datenschutz und Kultur, da haben wir jede Menge Beziehungen zu Kulturschaffenden, da wird die Coronaapp [er meint sicher Luca, sonst ergibt das keinen Sinn] intensiv im Veranstalterbereich beworben als mögliche Lösung oder zumindest Unterstützung dafür, dass zukünftig wieder mehr Künstlerinnen und Künstler auftreten können. Das war unser Bezugspunkt, das haben wir uns das angeschaut und dann haben wir die Landesregierung drauf hingewiesen, hier Freunde, ihr sucht doch was, aus unserer Sicht ist das etwas, was in Betracht kommt und dementsprechend kam dann auch der Auftrag der Landesregierung, okay schaut euch die Luca-app an und gebt uns eine Stellungnahme, beratet uns, ob wir die nehmen können, ob die datenschutzkonform einsetzbar ist und genau das haben wir seit Januar dieses Jahres gemacht, haben uns intensiv mit der app auseinandergesetzt, haben auch sehr früh Kontakt aufgenommen mit den Anbietern, haben eine Menge Hinweis gegeben, was besser gemacht werden könnte, auch datenschutzrechtlich besser gemacht werden könnte. Das ist ein Produkt, das noch weiterentwickelt wird und weiterentwickelt werden muss, das haben wir seit Januar begleitet und haben dann uns Mitte Februar ein erstes Urteil erlaubt in dem wir gesagt haben, aus unserer Sicht geht das datenschutzrechtlich und wir finden es gut, wenn es wenn da solche Angebote gibt, die die Corona-Warn-App genau in diesem Punkt ergänzen können und haben dann Anfang März unsere Stellungnahme an die Landesregierung gegeben […].

Über Motive habe ich mich übrigens nirgends ausgelassen. Ich geh mal davon aus, dass auch Datenschützer:innen nicht vor Marketingabteilungen und Druck durch Kulturschaffende gefeit sind. Die Frage inwieweit das Verhalten fair der Konkurrenz gegenüber ist, müssen andere klären. Was mich wirklich interessiert, ist, auf welcher sachlichen Grundlage Empfehlungen in Datenschutzbehörden ausgesprochen werden.

Die Reaktionen auf Nachfragen jedoch haben mein Vertrauen eher schrumpfen lassen. Da verhält es sich eben wie in der Politik – eine Idee oder Lösung kann noch so gut sein, ohne die „richtige“ Partei und Beziehungen wird das nichts und sie kann noch so schlecht sein, mit entsprechenden Kontakten kommt man weiter 😉

Immerhin scheint jetzt, nach Einsammeln von 20 Millionen Euro an Steuergeldern und Einsatzankündigung in 2/3 aller Bundesländer das Bundesamt für Sicherheit in der Informationstechnik einen Blick auf die App zu werfen….


Fragen, die sich mir während des Schreibens gesammelt haben

Das Ziel möglichst schnell Infektionsketten erkennen und durchbrechen zu können, ist nachvollziehbar.

Aber liegt da das Problem wirklich an analogen, unleserlichen oder falsch ausgefüllten Zetteln?
(Dass die Daten auf Einzelzettel in Urnen und nicht auf offene Listen gehören – geschenkt, imho hatte die DEHOGA da aber auch einiges an Aufklärung betrieben.)
Oder liegt es nicht doch eher dran, dass das Gesundheitsamt jeden einzelnen Kontakt bewerten muss, bevor es anruft und auch jetzt schon völlig überlastet ist?
Mir stellen sich einige Fragen:

  • Wie viele Zettel sind tatsächlich von Veranstaltungsorten angefordert worden und wie viele Kontakte wurden aufgrund dieser Zettel, und nicht der Angaben der Infizierten über engere Kontakte, angerufen?
  • Wie stellt man sich vor, genügend Personal zu rekrutieren, um tatsächlich die Bewertung der enormen Menge an Kontaktdaten abarbeiten zu können, die bei größeren Veranstaltungen anfallen würden?
  • Wie stellt man sicher, dass nicht unglaublich viele unbrauchbare Daten beim Gesundheitsamt landen, die deren Arbeit eher behindern als unterstützen?
  • Was genau heißt Durchgriffsrecht in der Praxis?
  • Wie stellt das Gesundheitsamt sicher, dass die verordnete Quarantäne bei all diesen Kontakten eingehalten wird?
  • Wie stellt die Kommune sicher, dass unter Quarantäne stehende Personen ausreichend versorgt werden und bei engen Wohnungen oder Gemeinschaftsunterkünften genügend separiert werden können?
  • Wenn die Freigabe für die infizierten Nutzer:innen bei Luca ebenfalls völlig freiwillig ist (Aussage Datenschutzbeautragter BaWü), wie will man sicherstellen, dass weniger Menschen als bei der CWA nicht möchten, dass ihre Kontakthistorie entschlüsselt wird?

Wäre es da nicht klüger das Geld in Weiterentwicklung und Marketing für die datensparsame Corona-Warn-App zu stecken, die unabhängig der Gesundheitsämter warnt und den Nutzer:innen die Möglichkeit gibt selbst zu entscheiden, welche Orte sie besser meiden sollte? [update: die Corona-Warn-App hat jetzt eine Check-in-Funktion)

Kritik von Nutzer:innen an der Corona-Warn-App gab es unter anderem wegen zu wenigen Warnungen und „Fehlalarm“. Hohes Risiko heißt ja nicht automatisch, dass ein Test auch positiv ausfallen muss. Eigentlich sollte ein negativer Test ein Grund zur Freude sein, für manche war es aber Grund die App zu deinstallieren, weil sie angeblich nicht funktioniert. In den Modellregionen wurde jetzt die Kombination Schnelltest + Luca-App genutzt. Wie vermeidet man jetzt, dass nicht noch deutlich mehr Fehlalarme entstehen und die Menschen nach dem zweiten Mal Doppeltest nicht auch dieser App nicht mehr vertrauen und sich nicht in Quarantäne begeben?

Fragen über Fragen…

Und während man in beispielsweise Kassel noch auf Öffnungen hofft und hochoffiziell den Datengenerator Luca bewirbt, findet man in Weimar, die das ganze schon getestet haben, folgendes auf der Stadtseite:

Personen mit positivem Testergebnis sollen sich sofort selbstständig in Quarantäne begeben
Aufgrund der deutlich steigenden Fallzahlen fordert das Gesundheitsamt alle Weimarer und Weimarerinnen mit positivem Testergebnis auf, sich konsequent selbstständig zu isolieren und bereits eine Kontaktpersonenliste zu erstellen. Das Gesundheitsamt wird zeitnah mit Ihnen Kontakt aufnehmen.
Sollte sich innerhalb von drei Tagen kein Mitarbeiter/keine Mitarbeiterin des Gesundheitsamtes bei Ihnen gemeldet haben, so sind Sie gebeten, Kontakt zur Corona-Hotline der Stadt Weimar aufzunehmen oder sich per E-Mail an das Gesundheitsamt zu wenden.“

(Inzidenz mittlerweile 187 – als ich den Text begonnen hab, lag sie bei 130)

Unsortierte Quellen zum Thema

https://www.t-online.de/region/id_89853186/landesdatenschuetzer-prueft-luca-app.html

https://fragdenstaat.de/anfrage/eilt-gefahr-in-verzug-luca-app-datenschutzrechtliche-probleme/

https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/publikationen/DSK/2021/2021-DSK-Stellungnahme_Kontaktnachverfolgung.pdf

https://www.ndr.de/nachrichten/niedersachsen/Datenschutzbeauftragte-Luca-App-muss-nachgebessert-werden,corona7510.html

https://www.telefontarifrechner.de/Luca-App:-Schleswig-Holsteins-Datenschutzbeauftragte-Marit-Hansen-raet-von-Luca-App-ab-news24111.html

https://stadt.weimar.de/fileadmin/redaktion/Dokumente/corona/Evaluation_des_Weimarer_Modells_final_Stand20210412_1523.pdf

https://www.merkur.de/welt/corona-app-luca-sicherheitsluecke-schwachstelle-datenschutz-schluesselanhaenger-ccc-bsi-stellungnahme-90467039.html

https://www.swr.de/swr2/leben-und-gesellschaft/rapper-smudo-ueber-seine-corona-app-luca-nicht-motzen-sondern-mitarbeiten-100.html

https://dip21.bundestag.de/dip21/btd/19/248/1924818.pdf

https://www.datenschutz.org/datenschutz-bei-der-luca-app-wie-sicher-sind-die-daten-bei-der-kontaktnachverfolgung/

https://www.baden-wuerttemberg.datenschutz.de/lfdi-brink-unterstuetzt-nutzung-der-luca-app/

https://www.rki.de/DE/Content/InfAZ/N/Neuartiges_Coronavirus/WarnApp/Archiv_Kennzahlen/Kennzahlen_05022021.pdf?__blob=publicationFile

https://www.stmgp.bayern.de/presse/holetschek-angepasste-kriterien-fuer-corona-kontaktpersonen-und-keine-quarantaenepflicht/

https://www.sueddeutsche.de/digital/recover-jan-kus-smudo-luca-1.5272820

http://luca.denken.io/ (wie viele Kontaktabfragen über Luca)

https://www.ccc.de/de/updates/2020/contact-tracing-requirements

https://www.baden-wuerttemberg.datenschutz.de/podcast-datenfreiheit-folge-9-lucaapp/https://www.heise.de/tp/features/CEO-der-Luca-App-im-Kampf-gegen-Windmuehlen-6019262.html

https://www.rbb-online.de/abendschau/videos/20210425_1930/sicherheit-der-luca-app.html