Kategorien-Archiv externer Datenschutzbeauftragter

Da ich selbst nebenberuflich DJ + Veranstalter bin (Stammclub: Subkultur Hannover),
Veranstaltungen in Punkto Datenschutz begleitet habe,
meine kostenfreien Formulare zur Kontaktnachverfolgung über 200.000 Mal heruntergeladen wurden, ich mir die Corona Warn APP ebenfalls 'beobachte' (und teste),
jahrelang als Programmierer und Qualitätsmanager tätig war
habe ich mir die APP, auch für Euch, etwas genauer angeschaut.

Mein Eindruck: Die Luca APP wird immer besser -> muss sie auch!!!

Newsletter 30.Juni 2021 für Luca Locations
"Wir nehmen mit Wirkung zum 11.08.2021 Änderungen an unseren Nutzungsbedingungen (AGB) der culture4life GmbH vor. Sie sind hier abrufbar. "
Eine Zusammenfassung der Änderungen ist https://www.luca-app.de/operator-terms-and-conditions/ abrufbar.

Interessant ist der neue Punkt 4.8
"Der/die Nutzer:in stellt den Gästen Alternativen zur Nutzung des luca-Systems zur Verfügung, etwa durch handschriftliche Aufnahme der Kontakt- und Aufenthaltsdaten."
in dem Luca den Locations (Clubs, Gastro, Läden, QR-Code Ersteller) nun VORSCHREIBT eine alternative Erfassungsmöglichkeit anzubieten.

Luca gibt eine Übersicht über die wichtigsten Änderungen
https://www.luca-app.de/changes-terms-of-use-app/
Dort ist der Punkt 4.8 NICHT erwähnt!!!  (Stand 29.7.2021 -> am 14.7.201 war der Punkt 4.8 noch erwähnt!)

Eine alternative Erfassungsmethode wird bestimmt von den Luca Gegnern begrüßt - ob die Alternative "sicherer" ist, kommt auf den Einzelfall an.

Somit finde ich es von Luca eine Anmaßung (Frechheit), sich hier in den Geschäftsbetrieb einzumischen.
Die Entscheidung OB und WIE die Daten zur Kontaktnachverfolgung erfasst werden,
sollte meiner Meinung nach noch immer den Locations(Clubs, Länden, Gastro...) überlassen sein!!! .... oder per Gesetzgebung geregelt.

Ich erwarte eine Nachbesseung vom Punkt 4.8 🙂

Damit Kontakte im Falle einer Infektion nachvollzogen werden können, sind diese per Gesetz und möglichst auch freiwillig zu dokumentieren.

Die Erfassung der Kontaktdaten per Papier hat, abgesehen vom Papierverbrauch und der fachgerechten Entsorgung, den Nachteil, dass die Angaben teilweise nicht lesbar sind und die Übermittlung der Papiere an das Gesundheitsamt dauert. Zudem wird mit den Papierdaten gerne mal sorglos umgegangen und die Location/Club/Restaurant... kann die Kontaktdaten der Gäste im Klartext lesen.  Es können zudem Übertragungsfehler passieren und es kostet Zeit die Daten erneut zu erfassen. Zudem kostet es Zeit die betroffenen Personen zu informieren.

Der Chaos Computer Club hat im Sommer 2020 von einer digitalen Erfassung (wie Sie bisher stattfanden) der Daten abgeraten, aufgrund der Sicherheitslücken bei der digitalen Speicherung von Kontaktdaten. Die Anforderungen der DSGVO wurden kaum erfüllt.

Eine digitale Lösung, in der die Kontaktdaten
– "anonym"  (bzw. mehrfach verschlüsselt = Pseudonym) gespeichert
– und an das Gesundheitsamt übermittelt werden,
– zudem mit Kontakttagebuchmöglichkeit
– mit einfacher Handhabbarkeit
– (kostenfrei)
– datenschutzfreundlich
– datensparsam
– energiesparsam bzw. umweltfreundlich
verarbeitet werden, ist daher herzlich willkommen!

Kritik:  Die Daten sind NICHT anonym sondern pseudonym!
Begründung: Eine Identifizierung ist möglich - und für diejenigen welche die Person identifizieren könnten, sind die Daten "Nur" pseudonym.
Das Volk kann aber anscheinend mit dem Wort "Anonym" jedoch mehr anfangen anfangen als mit dem Wort "Pseudonym".

Das Wort "Anonym" hat Luca mit der Zeit entfernt. Eine anonyme Speicherung kann nicht stattfinden, da die Kontaktdatenerfassung dazu dient, dass Personen indentifiziert werden können.

Zwischenfazit: Die Luca APP bietet diese Möglichkeit.

…. hat ja „eigentlich“ nichts mit der APP zu tun, jedoch hier wieder der Klassiker:
Eine APP als datenschutzkonform anpreisen aber noch nicht einmal die Homepage datenschutzkonform gestalten.
Ich halte es für wesentlich einfacher, eine Homepage datenschutzkonform zu gestalten, als eine APP. Wenn das bei der Homepage schon nicht klappt -> dann etwa bei der APP?

Anregung: Die Cookie-Setzung, Verwendung von Google Analytics, OpenStreetMap, Hinweise Kontakformular, Info wenn Luca in meinem PLZ Gebiet verfügbar ist.... sind entsprechend anzupassen. Behoben 8.3.2021

Nebenthema:
Das Formular auf der Luca-Web-Seite, welches die Möglichkeit zur Benachrichtigung gibt wenn Luca in deinem Gebiet seitens des Gesundheitsamtes verfügbar ist, entspricht nicht den Anforderungen der DSGVO. Somit auch hier wieder der Gedanke: Ist die APP DSGVO Konform? Update 8.3.2021 Das Formular ist nicht mehr da!

Anregung:
Mar wird „Datenschutzerklärung" , mal "Datenschutzrichtlinie" verwendet. Bitte auf Wording achten.

Vorsicht lieber Anbieter:
Eine Datenschutzerklärung ist eine Informationspflicht.
Werden die Datenschutzhinweise "Akzeptiert" müssen die
Verantwortlichen (die Luca App Betreiber) jeden Luca-App Nutzer über
geänderte Datenschutzhinweise informieren. Viel Spaß dabei 🙂

Offline, Server überlastet, falsche Handynummer, zu schnell hintereinander....
Vermutung: Du hattest auf dem Handy schonmal erfolgreich eine Handynummer per SMS verifiziert.
Lösung:
APP De- und wieder Installieren, Daten neu eingeben, dann erfolgt die Zusendung der SMS. Hat bei mir gewirkt!

"Anfragelimit erreicht Dein SM-Limi ist für heute erreicht, versuche es bitte später noch mal."
Die SMS erzeugt kosten für das Gesundheitsamt bzw. Luca System, somit kann hier eine allgemeine Begrenzung eingebaut worden sein.
Wartungsarbeiten könnten ein weiter Grund sein.
Erfahrungswert: Es 12 Stunden später nochmal probieren die Handynummer zur verifizieren.

Wahlmöglichkeiten:
In der APP besteht die Wahl, entweder (s)eine E-Mail-Adresse anzugeben, oder seine Adressdaten. geändert

Es wird eine Mobilfunknummer benötigt. Diese wird per Code aus der zugesendeten SMS verfiziert.
Zudem sind Vorname, Nachname (Familienname), Straße, Hausnummer, Plz und Ort einzugeben.
+Tipp: Optional noch die E-Mail <- lieber nicht! Voraussetzung Gäste:
Installierte Luca APP oder WebApp (Luca Webseite)
Internetverbindung (zum ein- und auschecken) sowie Zugriff auf die Kamera um den QR-Code vom Betrieb/Club zu scannen.

Was passiert an Orten ohne Mobilfunk Empfang oder ein Mobilfunktnetz ausfällt?  PlanB -> Papierlisten bereithalten
(diese stelle ich kostenfrei zum Download bereit:  Anwesenheitsliste zur Kontaktdokumentation mit und ohne Luca APP)

Die WebAPP für Gäste bietet die Möglichkeit das Luca System per Tablet’s/Laptops, Computer mit Webcam zu nutzen OHNE das die APP auf dem Handy installiert werden muss.

Voraussetzung Betreiber/Clubs:
-Registrierung auf der Webseite der Luca APP
-Anlegen der Location(s)
-QR Code generieren und für Gäste verfügbar machen
... in 30 Sekunden gemacht!

+TIPP TODO für Betreiber/Clubs:
Mitarbeiter im Sinne der DSGVO zur Vertraulichkeit verpflichten.
Zwingend Erforderlich bei der Verwendung des Kontatkformulares der Luca Web-App, welches vom Personal kontrolliert wird.

+TIPP TODO:
Datenschutzhinweise für die Luca APP Nutzer Besucher/Gäste verfügbar machen.
Zum kostenfreien Muster Luca APP Datenschutzhinweise

Ehrlichkeit gefordert:
Bei der Erfassung per Papier könnte vor Ort mit Hilfe des Personalausweises sofort überpüft werden OB die Daten plausibel sind.
Bei dem QR-Code ist dies ‚eigentlich‘ NICHT möglich.
-> Tipps zum Umgehung erspareich mir hier.

QR-Code:
Dieser wechselt minütlich, nicht wundern wenn der Bildschirm zuckt 🙂

Es entsteht der Eindruck, das die APP nun von deutschlandweit einsetztbar ist.
Welche Gesundheitsämter teilnehmen, ist - soweit mir bekannt - nicht ersichtlich.
Eine Abfrage welche Gesundheitsämter teilnehmen, ist nun wieder auf der Homepage www.luca-app.de/mein-luca/

Stand 7.03.2021 sind die Daten z.B. in Thüringen, Mecklenburg-Vorpommern vom Gesundheitsamt auszulesen. Konkret in Jena Plz 07743. Auch Teile Schleswig-Holsteins sind nun dabei.
Auf der Webseite ist per PLZ zu prüfen, OB Luca im PLZ Gebiet genutzt werden kann WEIL das zuständige Gesundheitsamt die Luca Daten entschlüsseln kann. Eine Nutzung für private Treffen ist bereits jetzt möglich.

Die APP sollte trotzdem installiert werden, falls Du in ein Gebiet kommst wo Luca eingesetzt wird.
Zumindest kann die Luca APP für private Treffen also Tagebuch / Historie genutzt werden.

Wo sind die neuen Funktionen?
Die Version 1.7.6 vom 7.6.2021 ist installiert. Im App Store steht in der Beschreibung
Neue Funktionen
"Termine importieren" sind nicht in der APP zu finden.
"Kinder zum Check-in hinzufügen"  -> Nach dem Check-In wird in der APP oben rechts ein Personensymbol mit einem Plus angezeigt
Wird dieses Symbol betätigt, besteht die Möglichkeit (einen) Namen einzutragen. Der Name kann wieder gelöscht werden.
"Kinder (bis 14 Jahre) kannst du gemeinsam mit dir einchecken. Gib hier an, wer dich begleitet."
Zudem erscheint der Hinweis "Diese Information wird nicht an ein Gesundheitsamt weitergegeben, sie dienst lediglich als Gedankenstütze. Wenn Du die Historie mit dem Gesundheitsamt teilst, kannst Du die namen der Kinde freiwillig dem Gesundheitsamt mitteilen."  (10.6.2021)
Anmerkung: "Kind" im Sinne der DSGVO ist eine Person die das sechzehnte Lebensjahr noch nicht vollendet hat.
Beispiel Niedersachsen: Hier gibt es keine Ausnahme für Kinder bei der Kontaktdatenerfassung.  (Auch) hier passt die APP somit nicht zu den Anforderungen aus der Gesetzgebung.

Quadrat oben rechts (in der Luca APP):
Könnte ein Kalenderblatt sein, verweist aber auf www.luca-app.de/testmap
Am Beispiel Hannover werden mir dort derzeit 15 von über 75  Teststationen angezeigt. (Stand 10.6.2021)

Kritik:
Die Corona-Verordnung besagt, welche Daten zur Kontaktnachverfolgung zu hinterlegen sind. Derzeit ist eine Wahl zwischen E-Mail-Adresse und Wohnanschrift nicht vorgesehen. Es besteht in Thüringen die Wahl zwischen Telefonnummer und Wohnanschrift. Update 22.2.2021 in der Version 1.4.4 wird nun nach der Wohnanschrift gefragt, die gemäß aktueller CoronaVo zur Kontaktnachverfolgung erforderlich ist.

Schwierig:
In Schleswig-Holstein ist Stand 11.5.2021 zur Kontaktdokumentation die Angabe der Telefonnr. ODER der E-Mail möglich. Für die Luca-APP ist eine Verifizierte Mobilfunknummer erforderlich. Hier ist eine Anpassung der Gesetzgebung in Schleswig Holstein nötig 🙂 Ein Bundeseinheitliche Regelung ist zu wünschen.

APP Login/Logout unmöglich:
Weder Login noch Logout ist möglich oder eine Passworteingabe.
Wer mein Handy hat, sieht meine hinterlegten Kontaktdaten und meine Historie - mit entsprechenden Daten der Personen mit denen gemäß per Luca APP 'private Treffen' hatte.

Anregung:
Die E-Mail-Adresse wird NICHT verifiziert. Ich habe noch nicht einmal eine E-Mail erhalten, dass meine E-Mail (von mir selber) eingetragen wurde.

"Mind. eine verifizierte Kontaktinformation (Telefonnummer, E-Mail-Adresse)​" Luca System 6.3.2021
Die Aussage ist sogar richtig, da derzeit NUR die Telefonnummer verfiziert wird. Es entsteht der Eindruck, dass die E-Mail verifiziert wird was zum einen nicht passiert und zum anderen nicht erforderlich ist, da die Telefonnumer (=Handynummer) verifiziert ist.

Anregung:
Überprüfe hier, ob luca für deine Postleitzahl verfügbar ist: 07743 Jena
Antwort: Ab Kw49 -> Welches Jahr? Seit Kw 49/2020! Behoben 🙂

"Weitere Informationen nach dem Check-In abfragen"
Möchte ich machen, z.B. Musikwunsch.
Nach dem Check in werde ich NICHT nach dem Musikwunsch gefragt. (Stand 11.5.2021)
Zudem sollten hier, gemäß Luca APP Betreiber, nur Daten die für die mögliche Nachverfolgung relevant sind.
-> ICH RATE DAVON AB weitere Daten zu erfassen, da eine weitere Rechtsgrundslage für die Erfassung der weiterten Daten erforderlich ist.  <- Diese zu finden und zu kommunizieren ist eine Herausforderung für den Anbieter. Die Rechtsgrundlage DSGVO 6(1)C "Rechtliche Verpflichtung" ist unzutreffend. Für den Fall das hier freiwillig weitere personenbezogene Daten erfasst werden, so ist die Rechtsgrundlage nicht mehr 6(1)c "Gesetz" sondern die Einwilligung. Die Erfassung MUSS freiwillig sein (weil sonst unzulässig Kopplung).  Es sind entsprechenden Datenschutzhinweise zu geben.

Behobene Katastrophe:
Ich kann meine eingangs hinterlegte Telefonnummer ändern OHNE das diese verifiziert wird! Behoben mit 1.4.4. Eine Änderung der eingangs hinterlegten Mobilfunknummer muss nun per SMS erhaltenen Code verifiziert werden.

Die E-Mail und die DSGVO
In der Luca APP selber ist das Feld E-Mail mittlerweile als Optional gekennzeichnet.
In Schlesweig Holstein besteht die Wahl zwischen Telefonnummer und E-Mail. Da die Telefonnummer sowieso angegeben werden muss, braucht die E-Mail nicht erfasst zu werden.
Die Möglichkeit die E-Mail zu erfassen, bringt meiner Meinung nach das gesammte Konstrukt der gewählten Rechtsgrundlagen durcheinander und bringt meiner Meinung nach Club/Betreiber und APP Anbieter potentiell in Schwierigkeiten.

Kritik:
Die Tan zur Datenfreigabe enthält 0 und O -> Der Buchstabe O und die Zahl 0 führt zu verwechselungen. Genauso wie 1 und I und l... da hat die Corona-App drauf geachtet 🙂

Kritik:

"Bitte beachten Sie, dass wir Ihre personenbezogenen Daten grundsätzlich nicht in Form von Klardaten, sondern verschlüsselt verarbeiten, und wir daher in bestimmten Fällen nicht in der Lage sein werden, einer entsprechenden Aufforderung durch Sie zur Gewährung der vorgenannten Rechte nachzukommen." (Betroffenenrechte Luca APP Datenschutzerklärung 15.3.2021)
-> ich kann mir schon vorstellen, dass es seitens der Luca APP Anbieter möglich ist, die Datensätze zu einem bestimmten QR Code zu finden um den Betroffenenrechten nachzukommen.  Ob sich der Aufwand lohnt und zeitgerecht umgesetzt werden kann - ist fraglich.

(negativ) Positiv
Die DSGVO Rechtsgrundlagen der Datenschutzerklärung wurden mittlerweile angepasst: Die Datenverarbeitung wird auf die Vertragserfüllung gestützt. Richtig 🙂

Um einzuchecken sind meiner Meinung nach zu viele Klicks notwendig.
Häufigster User-Fehler:  Es wird auf "Dokumente hinzufügen" (vorgeschlagene Auswahl) geklickt - doch wie oft passiert dies denn?
Ich denke "Einchecken" kommt häufiger vor als "Dokuemente hinzufügen".

-Wer versendet denn die SMS mit der Information "Bitte lassen Sie sich testen"
-Besteht dann doch die Möglichkeit, dass weitere  Personen / Firmen (außer dem Gesundheitsamt) erfahren, wer sich testen lassen soll?
-Ist die Aufforderung zum Test bzw. sich bis zum Test in Quarantäne zu begeben, schon eine besonders schützenswertes Gesundheitsinformation?
Die Info "die Person muss sich testen lassen" kann jedenfalls zu Nachteilen führen.
-Welche Daten werden vom Handy an das Luca System noch übertragen?
Mindestens die Telefonnummer zur Verifizierung. Werden die Daten dann auf dem Luca System / vom SMS Versender gelöscht?
- Gemäß DSGVO ist eine Datenschutzfolgenabschätzung durchzuführen.
Eine Veröffentlichung dieser könnte Transparenz bringen (würde auch den Berieben/Locations mehr Sicherheit bringen)
Zudem wurden beim APP Anbieter die Kontakdaten des aufgrund der durchzuführenden Datenschutzfolgenabschätzung erforderliche Datenschutzbeauftragten, erst im Feb 2021 veröffentlicht.
- Wo werden welche Daten wie gespeichert? Mein Test hat ergeben, das eine Domain mit der Endung .LU aufgerufen wird, was aber nicht bedeuten muss dass die Daten in Luxemburg gespeichert werden.
- Ist das System Belastbar? z.B. am Wochenende wenn 500.000 Fußballfans Daten übermitteln.
- Gibt es UNanhängige Tests der Software was die Datenübermittlung betriff? Denke der gelieber Chaos-Computer-Club kann helfen!
- Wie ist sichergestellt, dass im Programm-Code der APP KEINE infizierten Progamm-Bibliotheken  von Driten eingebunden sind?

- Bequem bedeutet nicht gleich "ist sicher", ist ein verbreiteter Spruch in der Datensicherheitsszene.
Luca ist sehr bequem.
- Erfordert der Zeitgewinn bei der Nachverfolgung ein außer Acht lassen der genaueren Prüfung der APP?

Stellen Sie sich all diese Fragen auch bei anderen APPs 🙂
Die Möglichkeiten welche die APP bietet,  haben auch mich über einiges hinwegensehen lassen.

Beispielperson "Cora Rona"
Cora Rona hat die letzten Tage sich mit der Luca APP in Clubs,Restaurants und privaten Treffen Ein und Ausgeschckeckt.
Nun ist Cora Rona positiv getestet.
Das Gesundheitsamt ist informiert.
Das Gesundheitsamt bittet Cora Rona die Daten aus der Luca APP freizugeben.
Dazu übermittelt Cora Rona dem Gesundheitsamt einen Freigabe Code aus der Luca APP.
Das Gesundheitsamt erfährt durch die Datenübermittlung das Cora Rona z.B. beim Konzert der Fanta4 war.
Das Gesundheitsamt fordert beim Konzertveranstalter - der die Daten per Luca WebApp erfasst hat - die 'anonymisierten' (pseudonymisierten)  Daten der Konzertbesucher an.
Der Konzertveranstalter bekommt eine Aufforderung die Daten freizugeben.
"Zur Zeit liegen keine Anfragen von Gesundheitsämtern vor" -> Doch dann schon!
Das Gesundheitsamt erhält die Daten.
Nun kann per SMS eine Information an die anderen Konzertteilnehmer erfolgen, sich testen zu lassen.

"Tritt ein Infektionsfall ein, werden alle Gäste dieser Location informiert, die sich zur betreffenden Uhrzeit dort aufgehalten haben"
"Parallel werden die Gesundheitsämter informiert, die dann automatisch Zugriff auf die Daten der übrigen Gäste haben."

Damit Du ein oder aus-checken kannst
z.B. im Club, Restaurant... aber auch bei privaten Treffen
MUSS eine Internetverbindung aufgebaut sein.
(und der Luca APP Server erreichbar sowie die normalerweise vorhandene Berechtigung zum Verbindungsaufbau bestehen).

Beim Check in mit einem Chip brauchst Du selber natürlich keine Internetverbindung 🙂

Androit: Kamera
Erforderlich um den QR-Code zu scannen.
Die Berechtigung kann deaktiviert werden - spätestens beim "Einchecken" fragt Andoit nach der Berechtigung für die Kamera.

Berechtigung: Standort seit Mai 2021 (Update 1.6.7)

Der vor Ort Test in Eckernförde hat nur erstmalig funktioniert.
„Automatische Check-Outs mit Geo-Fencing“
Das klappt nun auch mit ANDROIT Geräten.
Locations müssen Geo-Fencing angeben = Der Radius der Location. Wird dieser verlassen so kann ein Automatischer Check out stattfinden.
Dazu muss der Gast den "Auto check out" aktivieren UND die Berechtigung erteilen.
Hier liegt allerdingt ein Fehler vor... ja ich teste mal wieder für die die Luca Leute 🙂

Berechtigung: Zulassen, dass luca ständigt auf deinen Standort zugreift?
NEIN!!!!  warum auch?
Anforderung aus dem Datenschutz: Datenvermeidung / Datenschutzfreundliche Voreinstellung.
Immerhin muss ich selber die Berechtigung erteilen (positiv)
ABER
ich MUSS "Immer zulassen" auswählen.
Die angebotene Einstellung "Zugriff während der Verwendung beibehalten"
funktioniert nicht!!!  -> FEHLER

Ich bin mit der Luca APP online und starte in er APP ein "privates Treffen", mir wird ein QR Code angezeigt.
Die Personen mit denen ich mich treffe, 'Scannen' mit Ihrem Handy meinen QR Code. In beiden Handy's wird dann dieses Treffen in der privaten Historie hinterlegt. In bin somit Eincheckt.
Es wird der jeweilige Vor und Nachname in die Historie des jeweils anderen Teilnehmers übertragen.

Wenn ein "privates Treffen" gestartet ist, ist es für den Initiator nicht möglich, woanders einzuchecken.

Wichtig für den Initiator: Treffen wieder beenden!
Noch wichtiger: Wieder aus-checken!

Diese Daten dienen der privaten Gedächtnisstütze und werden NICHT automatisch digital an das Gesundheitsamt übermittelt.
Im Infektionsfall, kann dieses Tagebuch für das Gesundheitsamt freigegeben werden.

Die Historie der "Privaten Treffen" kann jederzeit gelöscht werden.

Beim Versuch bereits binnen einer Minute wieder "Auszuchecken" war dies nicht möglich. Ein Auschecken ist erst nach 2 Minuten möglich.

Achtung: Für den Fall dass die Funktion "Private Treffen" für geschäftliche Zwecke genutzt wird, müssen Informationspflichten gemäß DSGVO Artikel 13 gegeben werden!

Check-In / Check-Out Zeiten differieren zwischen den teilnehmenden Handy's:
Handy 1 startet ein privates Treffen um 20:00
Handy 2 checkt um 20:02 in das private Treffen von Handy1 ein
Handy 2 check um 20:12 aus dem privaten Treffen von Handy1 aus.
Handy 1 vermerkt um 20:10 dass Handy 2 ausgecheckt hat.

Historie private Treffen:
Handy 2 vermerkt in der Historie wann bei welcher Person(Besitzer Handy1) ein und ausgecheckt wurde.
Handy 1 vermerkt dass mit der Person(Besitzer Handy2) ein Treffen stattfand. Es wird die Endzeit des Treffens (entspricht in etwa der Check-Out Zeit von Handy2) vermerkt.

Teste auf dieser Seite was in der Historie stehen wird, ein QR-Code zum Scannen ist weiter unten im Punkt
"TESTE ob DEIN Luca Check in funktioniert - was in der Historie steht!"

QR-Codes erstellen (Fehler)  3.8.2021
Beim erstellen der QR-Codes wird der Name der Location nicht angezeigt.
Lediglich das Wort "Allgemein"  und unter dem QR-Code "Scannen und einchechen".
Wenn ein extra Bereich angelegt wird, wie z.B. "Black Summer Festival", dann wird nur ein Teil der Bezeichnung auf dem QR-Code angezeigt.
Im Juli ist es mir und Anderen noch gelungen, den Location Name oberhalb des QR-Codes zu plazieren.

----------------------------------

Nach dem Login auf der Luca Webseite der Location/ Betreibers (Clubs) erscheint:
"Dein privater Schlüssel wurde erstellt. Bitte bewahre ihn gut auf. Du brauchst ihn, falls das Gesundheitsamt auf Daten zugreifen möchte, die deine Location betreffen. Bitte lade den Schlüssel jetzt herunter."
-> Hab ich gemacht, ein Schlüssel im TXT Datei Format sowie als Datei operator_privateKey
!!! Dieser Schlüssel ist wichtig und wird vom Luca System nach dem Log-In wieder abgefragt. UNBEDINGT die Schlüsseldatei bereithalten.
Sie auch meine Tipps https://www.dtnschtz.de/kontaktdaten-corona-checklisten/

Dann habe ich eine Location angelegt bzw. ich konnte per Suche aus möglichen Lokations auswählen.
Selbst mein Stammclub "Subkultur Hannover" war dort hinterlegt (Adresse + Telnr! vermutlich aus einer Google-Datenbank).
Als registrierter gelte ich als Kontaktperson (der Name ist änderbar).

Besucher mit Handy:
Nun ist die Lokation=Club (Subkultur Hannover) angelegt, der Check in kann beginnen. Der Check in wird gestartet.
Die Lokation erfasst z.B. per Laptop mit Webcam den QR Code den der Gast vorzeigt.

Alternativ kann der Club  QR-Code(s) bereitstellen den der Gast seinem eigenem Handy mit der Luca App scannt.
Dazu generiert die Location/Club über die Luca-Webseite  QR-Code(s) diese werden der Club als PDF sofort per Download bereitgestellt.
Der QR Code ist dem Gast für den Check-In bereitzustellen.

Nach dem Check in durch den Gast, siehr der Club sofort im Luca Backend, dass ein weiter Gast "eingecheckt" hat.

Super einfach! Sekundensache - Es muss "nur" kontrolliert werden OB der Check-in funktioniert hat.

Besucher ohne Handy / Ohne QR-Code:
Der Club /Betreiber kann für die Gästeerfassung das von der Luca bereitgestelltes Kontaktformular nutzen. Der auf der Webseite der Luca App eingelogte Betreiber/Club ruft per Handy oder besser per Laptop das Kontaktformular auf.

Der Besucher trägt dort seine erforderlicher persönlichen Daten
Vor+Nachname, Adresse, Telefonnummer ein.
Eine Verifizierung weder der Handynr noch der E-Mail findet nicht statt (vergleichbar mit der Papiererfassung).

Der Checkout:
Der Besucher schiebt seinen Regler auf Check-Out, bei bestehender Internetverbindung reduziert sich die Anzahl der eingecheckten Gäste umgehend beim Betreiber/Club.
Die per Kontaktformular eingetragenen Gäste können bisher nur seitens des Betreibers auschecken - und zwar ALLE per Kontaktformular eingecheckten (Nachteil da die Uhrzeit schon relevant sein kann).

UPDATE 26.05.2021: Der Location Betreiber kann nun Einzelne registrierte Auschecken. Das ist eindeutig,  wenn keiner mehr am Tisch ist oder der Laden leer ist.

Der Betreiber/Club sieht in seinem Backend auf der Luca app Seite die Anzahl der Gäste die noch eingecheckt sind und nur einen Schlüssel.

(Den Check in und Check out, die APP kann hier auf der Seite
"TESTE ob DEIN Luca Check in funktioniert - was in der Historie steht!" getestet werden!)

Der Betreiber kann auch im Backend ALLE eingecheckten besucher auschecken. (Nachteil, auch auf Tischebene wenn jemand vorher geht)
Dies bewirkt, das alle bis dahin noch eingecheckten bei Internetverbindung in Ihrer Luca APP sehen, das sie nicht mehr eingecheckt sind (Hau

Besucher ohne Handy Irritierend (Kritik/Anregung):
In dem Kontaktformular gibt es das Feld E-Mail. Das Feld ist KEIN Pflichtfeld. Es wird jedoch - mangels Kennnzeichnung - der Eindruck erweckt, dass die E-Mail erfasst werden muss. Es MUSS (wie bei der Papiererfassung) die Telefonnummer hinterlegt werden. Die E-Mail ist optional. Betreiber/Clubs sollten darauf hinweisen, dass die E-Mail NICHT eingeben werden sollte!

Tipps für ohne Handy:
Wie auch schon bei der Papiererfassung DARF der seitens des Clubs zur Vertraulichkeit verpflichtete Mitarbeiter (z.B. Türsteher) kontrollieren ob plausible Daten eingegeben wurden. Bei begründetem Zweifel DARF der Personalausweis verlangt.
Die Erfassung ist so zu gestalten, das NIEMAND anderes die Daten sehen kann.

FAQ Luca App 9.1.2021 "Nein, zu keinem Zeitpunkt können Veranstalter deine Kontaktdaten oder andere Informationen in deiner luca App lesen."
Das stimmt, sofern der "Check in" in eine Veranstaltung erfolgt, die der Club/Betreiber im Luca Backend angelegt hat. (Bei "privaten Events" ist der Vor+Nachname sichtbar)

Um die Daten zu entschlüsseln, ist müssen die Daten vom Club/Betreiber an das Gesundheitsamt übermittelt werden.
Nur das Gesundheitsamt kann die Daten entschlüsseln.

Das nur das zuständige Gesundheitsamt die Daten entschlüsseln kann, setzt voraus, dass dem Luca APP Anbieter der Schlüssel unbekannt ist.

Bei der Erfassung durch Papierlisten konnte unter Umständen die Polizei die Kontaktdaten nutzen.
In Niedersachsen ist geregelt, dass die Kontaktdaten NUR durch das Gesundheitsamt genutzt werden dürfen.

Betreiber/Clubs müssen Informationen gemäß Artikel 13 DSGVO bereitstellen.
Zum rundum-sorglos-Paket: Muster Datenschutzhinweise und Papier-Formulare für die Kontaktdatenerfassung  Luca App Datenschutzhinweise Betreiber kostenfrei 

Die vorstehende Artikel 13 Info "Erfassung von Daten durch den Club/Betreiber" den Eindruck erwecken, dass der Club die Besucherdaten sehen kann. DER CLUB KANN DIE in der Luca APP hinterlegten Kontakdaten NICHT SEHEN!!!
Der Club kann die Daten nur dann kurz mal sehen, wenn der Check in direkt durch eingabe der Kontaktdaten im Club per dem Club zugeordnetem Kontaktformular in der Luca APP erfolgt.
Da die Daten "Pseudonynmisiert" sind, findet die DSGVO Anwendung und es sind Datenschutzhinweise zu geben.

Sonderfall Firmenhandy: Die CoronaVo ermöglich es unter bestimmten Umständen seine Firmenkontaktdaten zu hinterlegen. Bei einem nur einer Person zugeordneten Firmenhandy ist diese Möglichkeit gegeben.
Wird das private Handy für den geschäftlichen Check-In genutzt, wäre kurz vorher die Adresse zu ändern. Die Hinterlegung der Firma ist nicht möglich.
Bei einem Firmenhandy welches von mehreren Personen geschäftlich genutzt wird, müßte jedesmal der Name der Person in der APP geändert werden. Erfolgt die Info an die Firmenhandynummer "Sie sind infiziert, bitte lassen Sie sich testen" ist (zurecht) unklar, aufgrund welchen Datums/Uhrzeit/Kontaktes (besuch eines Betreibers/Clubs) diese Info erfolgt.
Tipp: -> Ein von mehreren Personen genutztes Firmenhandy NICHT für Luca nutzen!

Die Installation auf Firmenhandy's ist durchaus vertretbar.
Es darf KEINEN Zwang geben, die APP auf dem privaten Handy zur Dokumentation der Anwesenheit im Büro zu nutzen!!!
Hierfür muss es alternativen geben, da private Handy's privat bleiben.

Der von mir geschätzte www.Datenschutz-Guru.de  meint: Über das Hausrecht kann seiner Meinung nach eine Pficht zur Nutzung möglich sein.  (26.3.2021)
Problem: Dienstleister oder Lieferanten können Ihre Tätigkeit bei Weigerung nicht ausüben - evtl Schadensersatz. ... okay ich weiche ab 🙂

Die Gesellschaft der Datenschutzbeauftragten meint
" Da hier rein auf die Kontaktverfolgung abgestellt wird, muss vom verpflichtenden Einsatz der Luca-App im Beschäftigungsverhältnis wohl abgesehen werden. Im Rahmen der allgemeinen Arbeitszeit-/Anwesenheitserfassung können die Kontaktketten bereits nachvollzogen werden. Ebenso liegen dem Arbeitgeber die relevanten Kontaktdaten der Beschäftigten vor. Eine Anordnung, die App im privaten Bereich zu nutzen und private Treffen entsprechend der Möglichkeiten zu dokumentieren, hat rechtlich keinen Bestand. Das Weisungsrecht des Arbeitgebers reicht nicht in den privaten Bereich der Beschäftigten."
Quelle https://www.gdd.de/datenschutz-und-corona/FAQ-Corona  (Stand und zuletzt geprüft: 1.4.2021)

Sylt.de/Luca (zuletzt geprüft 8.4.2021)
"Luca ist sowohl im Einzelhandel, der Hotellerie und Gastronomie, in Ferienwohnungen, Veranstaltungsflächen sowie allen Freizeiteinrichtungen zu nutzen"
Dr Thomas Schwenke - dessen Meinungen ich auch gerne vertrete - meinte in seinem am 7.April 2021 aufgezeichneten Podast "Rechtsbelehrung" dass es keine Pflicht gibt die Luca APP zu nutzen.
Ich denke die Formulierung auf der Sylt.de Seite ist ungünstig. Wenn die Kontaktdaten elektronisch erfasst werden DANN ist die Luca App zu nutzen.
Es MUSS allerdings auch noch eine alternative geben - damit auch nicht Luca-Nutzer die Möglichleit haben, Locations zu besuchen.
Sicherlich könnte die Location durch Ihr Hausrecht das betreten an die Nutzung der Luca APP koppeln.

Die Basisfunktionen von Luca Locations sind kostenlos für Betreiber/Clubs nutzbar.
Welche Zusatzfunktionen kosten was?
Wird es auch kostenpflichtige Zusatzfunktionien für Gäste oder gar Clubs geben?
Derzeit 'zahlen' die Gesundheitsämter für die Möglichkeit, die Daten auszulesen. (Maischberger 28.2.2021)

Montag 9 Uhr, der Frisör öffnet und macht einen QR-Code für die Kunden zum einscannen verfügbar.
Diverse Kunden kommen, checken ein, checken aus. CoraRona ist die letzte Kundin um 17:30. Sie Checkt ein, sie checkt mit der Luca-App aus. Am Dienstag wird CoraRona positiv auf Corona gestestet.
Das Gesundheitsamt fordert die Daten für den Montag vom Frisör an und erhält die Daten von ALLEN Kunden die mit der Luca-App an den Tag den QR-Code gescannt haben. Anhand der Uhrzeit kann das Gesundheitsamt (hoffentlich) sehen, das CoraRona erst um 17:30 kam und die Kundenden vor ca 17Uhr30 NICHT informiert werden müssen, dass diese sich testen lassen sollen.

Ich bin in einer Lokation eingecheckt.
Ich starte mein Handy neu.
Ich bin weiter eingecheckt!

! Bei De- und Neuinstallation ist Deine Historie weg ! (Stand 31.5.2021)
Die Historie kann auch selbständig gelöscht werden in der Luca-APP gelöscht werden.
-> ABER  im Luca System werden die Daten noch für 30 Tage gespeichert um der gesetzlichen Anforderung der Nachverfolgung zu erfüllen. (8.6.2021)

Luca Account löschen  BEVOR du die App Dinstallierst
Du kannst deinen Account löschen - das solltest du tun BEVOR du die APP deinstallierst weil Du z.B. kein Bock mehr auf Luca hast oder die Erforderlichkeit wegfällt.
-> Im Luca System werden die Daten noch für 30 Tage gespeichert um der gesetzlichen Anforderung der Nachverfolgung zu erfüllen. (8.6.2021)

Wenn Du die APP deinstallierst ohne den Account zu löschen, dann verbleiben Deine Kontaktdaten für ein Jahr im Luca System.  (Stand 29.7.2021)

Opa hat kein Handy.
Er besorgt sich einen  Luca Schlüsselanhänger mit QR Code
und registriert diesen mit Hilfe von seinem Enkel.
Opa checkt hier und da ein und aus.
Soweit so gut.
Leider verliert Opa den Schlüsselanhänger.
Was nun?
Die Person, die den Schlüsselangänger findet, kann nun mit dem Daten vom Opa ein und auschechen.

Eine Verifikation OB der Schlüsselanhänger (allgemein der QR Code) zu der Person gehört nicht möglich!
->   Bei der Papierliste besteht die Chance über den Personalausweis zu verifizieren 🙂

Anforderung an das Luca System:
Ein verloren gemeldetet Schlüsselanhänger MUSS im Luca System gesperrt werden können
UND
wenn der Schlüsselanhänger trotzdem genutzt wird, muss der Check-In mit dem Schlüsselanhänger ABGELEHNT werden.  (Straftatbestand Identitätsdeibstahl???)
-> Beim Event  an der Kasse ist es leichter möglich festzustellen OB die Person gültig eingecheckt hat. Im Restaurant mag das auch noch überschaubar sein
Aber
im Baumarkt, müßte am Eingang geprüft werden OB die Person gültig eingecheckt hat.

Mein Test:

Eine selbst ausgedachte Lokation im Luca System mit einer PLZ in München angelgt.

Keine reale Location, eine virtuelle private TEST-Lokation wie aus dem Namen hervorgeht (TestHandelMünchen)

ICH und NUR ICH habe dort testweise 3 mal am 8.März 2021 virtuell eingecheckt. Ich war nicht vor Ort.
Der QR Code der Lokation war nur für mich auf meinem Rechner sichtbar.

Es gab in der virtuellen Test  Lokation exakt 3 "Besuche" und zwar nur am 8.März 2021 und die waren von mir selber.

Das Gesundheitsant Weimar hat am 25.März 2021 eine interne Schulung durchgeführt.
In dem Zusammehang wurde TESTWEISE meine  Lokation gewählt, um TESTWEISE Daten anzufordern.
Das Gesundheitsamt Weimar hat eine Datenanforderung gestartet.

Daraufhin erhielt ich (als Betreiber der Test-Location) eine E-Mail:

E-Mail von namegeändert@luca-app.de an die E-Mail Adresse die ich für die TESTLOKATION hinterlegt habe.
Die Aufzurufende Webseite https://
http://xktxz.mjt.lu/lnk/100stelligerschlüssel/2/22stelligerschlüssel/über100stelligeBuchstabenZahlenKombination   <- KEIN Https!!! SICHERHEITSLÜCKE !!!

.LU ->Luxemburg

WARNUNG: Mit Etablierung der Luca APP, könnten Sie gefälschte E-Mail erhalten um Ihre Luca Daten freizugeben.
Die Empfehlung: Wenn Sie Daten an das Gesundheitsamt herausgeben, dann AUS DEM Luca System freigeben.

Also zur Absicherung, ob die E-Mail wirklich echt ist, habe ich mich dann
auf der Luca App Location Webseite eingelogt:
Hinweis das eine Anforderung vorliegt (roter Kreis)

Anforderung der Daten von der Location für den Zeitraum 15.3.2021  16:19 bis 18.3.2021 16:19

Aussage Gesundheitsamt Weimar:
Es bestehen kaum Möglichkeiten das System zu testen, da sowieso "alles geschlossen ist" und somit keine Daten pflichtweise von Locations/Betrieben erhoben werden.

Verwunderung seitens des Gesundheitsamtes Weimar wie leicht das geht:
Das Gesundheitsamt aus Weimar kann die Daten von einer Location aus München anfordern. (Kontrollfrage "Wollen sie wirklich die Daten anfordern")

Lokations/CLubs/Betrieb geben die Daten an das ZUSTÄNDIGE Gesundheitsamt (Location in München -> an das Gesundheitsamt in München)!

Nachtrag 3.5.2021:  6 Wochen nach der Datenanfrage vom Gesundheitsamt ist im Backend der Luca-APP noch immer die Anfrage vorhanden. Keine Chance diese zu löschen -> Fehler!

#################
Sonntag 28.2.2021 22Uhr40:
Die Luca App wird in einer TV Show erwähnt.
Bekomme öfter einen Fehler
„timeout. Socet closed“ bzw. „HTTP 502 Bad Gateway“
Stellt Euch vor es ist Samstag Abend und das Volk will Treffen dokumentieren bzw sich registrieren….
Hier ist also DRINGEND bei der Serverkapazität des APP Anbieters nachzubessern!!!

Es wundert mich, dass die APP (trotz der hier zuvor aufgeführten und teils behobenen Mängel) schon im November 2020 im Einsatz war!

Die Funktionalitäten machen einen guten Eindruck. Hier gibt es meiner Meinung nach Potential für geringe Verbesserungen, die rasch umsetzbar sind und die Gesamtfunktionalität kaum beeinflussen.
Wenn die Verfügbarkeit des Servers, die Homepage, das Wording und die Erklärungen angepasst werden ist der Eindruck noch besser.
Letztendlich müssen "nurnoch" die Betreiber Ihren Informationspflichten (zum kostenfreien Muster) nachkommen und dann kann es in wenigen Minuten schon losgehen!


Nach den mir bisher vorliegen Informationen halte ich die APP für empfehlenswert.... ich nutze die APP selber auch!
Dem Club "Subkultur Hannover", habe ich in Meiner Eigenschaft als Berater und DJ die Luca APP bisher empfohlen.

Stand 3.3.2021: Sollten sich die alle Bundesländer auf diese APP einigen, so kann ich dies nur begrüßen!
Nur dann ist die APP effektiv einsetzbar.

-> Die Luca-App ist KEIN Ersatz für die Corona App sondern eine Ergänzung WARUM:

Corona Warn APP Luca APP
Bei einer Busfahrt speichert die Corona Warn APP den "Kontakt" mit den Personen neben mir im Bus die eben falls die Corona Warn App haben.
Die Luca-APP speichert diese Kontakte so erstmal nicht - das für einen "Kontakt" eine Übertragung des QR-Codes erforderlich ist.
Damit die Luca APP die "Kontakte" neben mir im Bus speichert, müßte ich ein "Privates treffen" in meiner Luca APP starten UND die um mich herum befindlichen Personen um deren Luca QR-Code bitten (dadurch werden auch die in der Luca APP eingetragenen Vor und Nachname gegenseitig in die Historie übertragen).

Wenn der Bus jedoch einen QR-Code zum Einchecken anbietet, sei es für die Luca APP als auch für die Corona Warn APP,
dann werden alle Fahrgäste informiert, die sich zur selben Zeit im Bus aufgehalten haben.... und vermutlich auch weitere die sich vor auch nach meiner Busfahrt im Bus befanden.

Nebenbei stelle ich mir die Frage, ob es „gesund“ ist, sich von einem privaten Unternehmen [dem Luca App Anbieter] abhängig zu machen 🙂
Ich hoffe die Luca APP trägt mit dazu bei zu klären
wo und wo nicht Infektions-Übertragungen stattfinden,
wer und wer nicht an Infektions-Übertragungen beteiligt ist.

Es muss, seitens des Gesundheitsamtest, vermieden werden, dass sich unnötig Personen in Quarantäne begeben müssen!

Beispiel:
Ein Ladengeschäft generiert einen QR-Code.
Ich besuche am Montag um 8 Uhr das Geschäft, checke mit Luca ein und checke mit Luca aus.
Am Dienstag den checkt um 18Uhr mit Luca jemand in das Geschäft ein.
Am Donnerstag wird dieser positiv gestest,
am Freitag fordert das zuständige Gesundheitsamt die Daten vom Geschäft an.
Welcher Zeitraum wird angefordert?
Ab Dienstag 18Uhr!!!  bis???
Für den Fall das Daten beteits ab dem Zeitraum Montag angefordert werden, hat das Gesundheitsamt Daten die nicht relevant sind.
Wichtig ist, dass Gesundheitsamt veranlasst eine Information an die Luca APP Nutzer, die AB Dienstag 18Uhr bis .... Freitag Geschäft besucht haben.
Diese Personen haben sich ab Informationsgehalt umgehend in Quarantäne zu begeben und ein Corona Test durchzuführen.

Stadion Rostock:
Samstag negativer Schnelltest vor Ort im Stadion
Ich bin in der Nordkurve
Du bist in der Südkurve.
Wir begegnen uns nicht.
Ich werde am Montag positiv getestet.
Datenanforderung vom Gesundheitsamt vom Stadion.
Alle Personen die im Stadion waren erstmal in Quarantäne und umgehender Corona Test.
In dem Fall sind es "nur" 777 Personen.
Warum könnte es trotzdem Sinn machen, wenn wir uns nicht begegnet sind, dass Du trotzdem Corona positiv bist?
Ich geh aufs Klo, du 10 Minuten später - meine Aerosole sind evtl noch vorhanden 🙂
Oder
Ich hol mir ne Pommes (hat die Gastro überhaupt auf?), 10 Minuten später holst du dir ne Pommes. Ich habe evtl den Verkäufer (wie auch immer) angesteckt der Verkäufer hat dich evtl ansteckt...  auch hier: Für Events muss sowieso ein Hygienekonzepte vorhanden sein. In Verbindung mit Abstands, Mund-Nasebedeckung, Lüftung könnte die Infektionsgefahr gering sein 🙂

Wo MEINER MEINNUNG nach Luca sinnvoll ist:
-Bei Veranstaltungen im Innenraum (Disco, Konzert, Kino, Theater, Ausstellung....) wo ein Ansteckungsrisiko vorhanden ist - mangels Belüfung und Abstand.
-Dort wo längere Kontakt zum möglicherweise infizierten Verkäufter besteht.
-Flugzeug nach Malle - auch wenn die Daten der Fluggäste ohnehin vorliegen.
-Im Zug, wobei auch hier pro Wagen ein QR Code generiert werden sollte, damit nicht die Person in der vorne 1.Klasse informiert wird, wenn sich jemand hinten aus der 2.Klasse infiziert ist.
- In Bussen, wobei auch hier pro Teilstrecke ein QR-Code generiert werden sollte.

-> Luca kann dann generell sinnvoll sein, wenn es Übertragungsmöglichkeiten gibt die noch nicht bekannt sind
(Eckart von Hirschhausen: Das Coronavirus nutzt Feinstaub als Transportweg)

Fazit:  Mehrere QR Codes generieren um eine differenzierte Nachverfolgung zu ermöglichen!  Wir kennen dies von Tischen in Restaurants.

4 Besuche in Schlesweig Holstein
u.a. um die Anwendung der Luca APP vor Ort zu erleben.
QR-Codes in Cafes, Restaurants, Geschäften, Einkaufspassgen, Supermärkten, Beherbergungen...
Jedesmal FEHLT die Information WARUM die Daten erhoben werden!
- Aufgrund einer Vorschrift des Bundeslandes?
- Aufgrund einer Sondervorschrift (Modellregion) des Kreises?
- Aufgrund des Hausrechtes?
-- Sind bie bei Click and meet wirklich die Kontaktdaten zu erfassen?
-- Sind bie bei Click and collect wirklich die Kontaktdaten zu erfassen?
-- Ist die Betretung von Geschäften NUR bei Abgabe der Kontaktdaten möglich?
- Aufgrund einer Freiwilligkeit?

Mein kostenfreies Formular bietet die Möglichkeit klare Verhältnisse zu schaffen und gibt zugleich Tipps.
https://www.dtnschtz.de/muster-luca-app-informationspflichten/

Vorsicht mit dieser Aussage, denn sie bedeutet:
Die Bundesländer kaufen die Luca APP um dem Volk eine Perspektive zu geben.

Die Luca APP verhindert nicht direkt eine Infektionen.
Die Luca APP mindert nicht den Inzidenzwert - der als Maßstab für Maßnahmen genommen wird.
Die Luca APP bewirkt durch Aufforderng zum Test, die Dunkelziffer (nicht erkannte Fälle) zu verringern.

Luca: Damit Gastro und Konzertbesuche wieder möglich werden? NEIN!

Datenschutzbeauftragter  -> sorry Kollege, vielleicht bist du selber mit-verantwortlich. Ich versuche sachlich zu bleiben...

"Wir haben frühzeitig die Datenschützer mit ins Boot geholt"
(Patrick Hennig, CEO der Start-Up-Firma neXenio und einer der Köpfe hinter der Luca App Interview NDR Quelle 3.3.2021)
-> In den Luca Datenschutzhinweisen war der erforderliche Datenschutzbeauftragte im Januar 2021 noch nicht erwähnt 🙂 "Frühzeitig"
Frühestens Februar/März 2021 gab es erste Hinweise, dass der Pflicht zur Bennenung des Datenschutzbeauftragten nachgekommen wurde.
Die Luca App wird seit Dezember 2020 eingesetzt....

April 2021 - die Luca App Anbieter  schreiben per E-Mail die Location Betreiber an.

"Ebenfalls teilen wir das Muster zu Verarbeitungstätigkeiten, die bei der Kontaktdatenerhebung mittels luca anfallen. "
-> Inhaltlich entspricht das Dokument den Datenschutzhinweisen!  Hier wurde Artikel 30 der DSGVO mit Artikel 13 verwechselt.

"Seit dem 25. Mai 2018 gilt die Pflicht zur Aufsetzung von Auftragsverarbeitungsverträgen gemäß Art. 24 ff DSGVO bzw. § 11 BDSG. Sobald ein Dritter an der Datenverarbeitung beteiligt ist, muss ein AVV geschlossen werden. Mit einigen Bundesländern, unter anderem Mecklenburg Vorpommern, sind wir momentan im Austausch zu einer gemeinsamen Verantwortlichkeit bei Datenerhebung. Eine Änderung im AVV aufgrund dessen folgt in den nächsten Wochen. Informationen dazu findest du dann in deinem luca Locations-Portal. "
-> Genau, es handelt es sich um eine gemeinsame Verantwortlichkeit.  Erschreckend, dass dieser Umstand erst nach 5 Monaten erkannt wird!
Stand 24.Juni 2021 liegt weiterhin im Luca Backend für Locations "nur" eine Art vorunterszeichneter Auftragsverarbeitungsvertrag AVV zum download bereit.

Datenschutzfolgenabschätzung:
Die muss seitens der Anbieter der Luca App erfolgen (so zumindest die Meinung einiger Datenschützer)
Es gibt Überlegungen  dass sogar die Gesundheitsämter  bei Einsatz der Luca APP eine Datenschutzfolgenabschätzung durchführen müssen.
Weitere Überlegungen gehen soweit, dass sogar Location Bereiber diese Datenschutzfolgenabschätzung durchführen müssen.
Die Datenschuztfolgeanschätzung hätte zur folge, das die Locations einen Datenschutzbeauftragten benennen müssen!
Zumal derzeit nur ein Auftragsverarbeitungsvertrag mit den Luca APP Betriebern abgeschlossen wurde.
->  Würde ein Vertrag zur gemeinsamen Verantwortlichkeit abgeschlossen, dann KÖNNTEN die Location Betreiber auf eine Datenschutzfolgenabschätzung verzichten.

Lest das Wort LUCA mal rückwärts..... ACUL  ->Ah Cool -> Ja die App ist echt cool 🙂

Trotzdem ist der Gedanke durch eine Welt voller zu scannender QR-Codes zu wandeln, (noch) etwas befremdlich.
Die verstärkte Nachverfolgung - und möglichem Missbrauch - ist hier verlockend.
Durch den Zwang Daten abzugeben, könnten sich Bürger in Ihrer Freiheit eingeschränkt fühlen.
SMUDO (Fanta 4) bei Anne Will 28.2.2021 ab Minute 25  schilderte dass die APP vom Restaurant, dann im Stadion, in der U-Bahn, im Zug eingesetzt werden könnte.

-> Dann aber NUR um den Zweck der (momentan noch) erforderlichen Unterbrechung von möglichen Infektionsketten dienen!

Klar kann ich mit der Luca APP in eine Location einchecken ohne vor Ort zu sein, wenn mir der QR-Code bekannt ist.
Das ist bei den klassichen Papierlisten schwerer (es sei denn, eine Person vor Ort trägt meinen Namen zusätzlich ein).
Bei bisherigen elektronischen Check-In Systemen in denen man seine Kontaktdaten in ein Web-Formuluar eintippt, war dies jedoch auch schon im Somme 2020 möglich.

Somit nichts neues - und meiner Meinung nach auch keine Schwachstelle.
Falls das Volk nun meint es sei doch eine Schwachstelle - dann ist die Konsequenz, dass die APP Zugriff auf den Standort benötigt um zu prüfen ob die Person mit dem Handy tatsächlich vor Ort ist.

Eigentor:
Da sich offensichtlich tausendfach Personen aus der Ferne in Locations eingecheckt haben, könnte da ja auch ein infizierter dabei sein.
Die mögliche Konsequenz:  SMS vom Gesundheitsamt mit Quarantäne und Test-Aufforderung.

Aus Jan Böhmermann Aktion leiten sich 3 Dinge ab:
-Ein positiv gestesteter könnte nach QR-Codes im Internet gucken um dort virtuell einzuchecken - damit er virtuell andere "infiziert" und Läden und Kunden lahmlegt -> Eine Quarantäte und Testaufforderung könnte vom Gesundheitsamt ausgelößt werden.
-> Keinen QR-Code im Netz posten ..... allerdings könnten weiterhin andere diesen QR-Code abfotografieren und selber posten. Das ist kaum zu verhindern.
-> Wenn QR-Codes im Internet gepostet werden, dann in unbrauchbarer Qualität!

Wer den Check-In mal testweise prüfen möchte, kann gerne meine virtuelle Testlocation nutzen -> QR Code überprüfen.

Für Gäste, Kunden, Besucher:
Wenn Ihr einen LUCA APP-Code  steht, dann lest den Code NUR über die APP.
Warum? Der Code könnte überklebt worden sein und auf eine böse Seite locken!

Für Locations, Anbieter, Veranstalter, QR-Code generierer:
Überprüfen Sie ob der Gast eingecheckt hat.
Lassen Sie sich das Handy zeigen mit aktiver Luca APP.
Erst danach wird der Gast bedient.

Prüfen Sie OB der QR-Code noch der QR-Code ist, den ihr selber erstellt haben.
Jemand könnte den QR-Code überklebt bzw. ausgetauscht haben!
Je aktueller der QR-Code, desto besser!

-> Keinen QR-Code im Netz posten
-> Keine QR-Codes abfotografieren
..... allerdings könnten weiterhin andere diesen QR-Code abfotografieren und selber posten. Das ist kaum zu verhindern.... es sei denn sie wechseln den Code.

Als Gast:
Zeigen Sie dem Personal die Luca APP und weisen Sie somit nach, dass Sie in die Lokation "eingecheckt" sind.

oMit Freude nehme ich zur Kennntis, dass die Datenschutzkonferenz  (die Konferenz der für den Datenschutz zuständigen unabhängigen Aufsichtsbehörden in Deutschland)  meine Meinungen überwiegend teilt.
Am 26.März 2021 wurde folgende Stellungnahme (3 Seiten PDF) veröffentlicht:

https://www.datenschutz.saarland.de/fileadmin/user_upload/uds/datenschutz/dsk_stellungnahmen/DSK-Stellungnahme_20210326_final.pdf

(zuletzt geprüft 30.3.2021)

• Zum  Thema "Vergabeverfahren": "zu schnelle" Entscheidung für Luca
• Luca APP Pflicht (es muss die Papiererfassung für Locations als alternative Möglich sein, doch das ist Sache der Bundesländer)
• Es gibt Möglichkeiten das Luca System auszutricksen worauf gerne andere eingehen können
• Es gibt sicherlich mehr Lücken im System, die andere aufgrund Ihrer technischen Möglichkeiten feststellen können
• das Luca nur ein gekaufter Hoffnungsschimmer auf Öffnung sei, den uns die Politik geben möchte (äh ja also auch dem stimme ich zu)
• Bodo Ramelow (Ministerpräsident Thürigen 22.4.2021 Bundesrat) "Mein Datenschutzbeauftragter hat mir DANN gesagt das wir Luca gar nicht nutzen dürfen"
• Jens Spahn (Gesundheitsminister 22.4.2021 Bundesrat) "Bei der Luca APP stellen wir auf einaml fest, dass Datenschutz und Datensicherheit doch eine Rolle spielt und es somit Begründbar ist, dass die Entwicklung der Corona-Warn-APP länger dauerte"

Ich versuche hier meine Erfahrungswerte zu schildern und hoffe auch positives zu vermitteln.

Sylt + Eckernförde    (nicht representativ)
Dort hängen an diversen Locations QR-Codes  der Luca-APP

Bei 50 getesteten Locations hingen in KEINER Location die erforderlichen Datenschutzhinweis aus.
Ein Hinweis auf den Datenschutz war in KEINER Location vorhanden.

In 10 Locations habe ich nach Datenschutzhinweisen gefragt.
Eine Location hatte die erforderlichen Datenschutzhinweise griffbereit (danke für die Verwendung meines Musters)
Eine weitere Location zeigte mir einen Auftragsvertarbeitungsvertrag.
Die verbleibenden 8 Locations meinten, dass keine Datenschutzhinweise zu geben sind, da die Luca APP selber schon die erforderlichen Informationen gibt.

Wo die Erfassung per Kontaktdaten per Verordnung vorgeschrieben ist (z.B. Gastro) wurden als alternative die Erfassung per Papier angeboten.

Gäste bevorzugen den Check in per Luca APP, so meine Beobachtung und auch das Ergebnis vor Gesprächen.

Zugegeben: Die Locations sind froh göffnet zu haben und haben derzeit andere Sorgen als den Datenschutz -> So das Stimmungsbild.

Nebeneffekt: 
Einige Locations begrenzen die Anwesenheit (aufgrund der Nachfrage) auf 30 Minuten.
Der Gast kann anhand der Luca APP sehen, wieviele Minuten er schon "Eingecheckt" ist.
...aber die Location kann auch gucken OB Gäste schon länger als 30 Minuten "Eingecheckt" sind.
Eine Identifikation einzelner Gäste ist möglich, insbesondere wenn QR-Codes pro Tisch erstellt werden.
Die Möglichkeit festzustellen "Wer ist wie lange schon hier" besteht auch bei der Papiererfassung -> Hierbei sind die Personen einfacher zu identifizieren.

Bisher ist es mir bei 30 Mal Hilfestellung geben, jedesmal gelungen, die Person dann doch Ein bzw. auszuchecken.
Aktionen wie
-App beenden, APP neu aufrufen
-APP Fenster verlassen
-in Luca in die Historie wechseln und wieder zurück auf Einchecken (mehrmals)
-Internetverbindung beenden, starten
-anderen QR-Code nehmen
halfen einzeln, oder in Kombination.

Meldung NACH dem Check-In Versuch QR Code scannen:
Check-in fehlgeschlagen
Ein unerwarteter Fehler ist aufgetreten.
Can't process the given data.
Bitte kotantiere uns, sollte das Problem bestehen bleiben"
Wiederholen
-> Diese Fehlermeldung habe ich bekommen, WEIL der bereitgestellte Luca QR-Code nicht mehr lesbar (kaputt) war.
Kommt in der Gastro öfter mal vor, wenn die QR-Codes auf den Tischen "abgenutzt" sind.
Lösung: Personal informieren, anderen QR-Code nehmen.
Vorsicht: QR-Code von Neben-Nebentisch könnte bewirken, dass Ihr mit den Personen gemäß Luca an einem Tisch sitzt, real jedoch nicht!

-----

Sitze gerade im Bistro in Eckernförde und eine Dame möchte mit der Luca APP einchcken.
Der Scan funktioniert nicht , hat keine ein-checkende Wirkung.

Begründung seitens der Dame:
Klappt aber nicht weil die Dame noch nicht  ausgecheckt ist.

ich biete meine Hilfe an:

Historie:
Jeder Check in hat einen zugehörigen Check Out - somit gemäß APP KEINE aktive Anwesenheit.

Schieberegler:
Die Betätigung "Auschecken" hat keine Wirkung.

Fehlermeldung:
Not Checked in

Zeitzähler (der beim Check-In aktiv ist):
56 Minuten und die Sekunden zählen.....

wieder der auf Historie. Aktives APP Fenster verlassen.
APP aufgerufen: QR Scan "Einchecken" möglich, die Check-In Uhr beginnt bei Null.

Datenschutz vor Ort 🙂

Die Location sieht die Historie der eingecheckten Gäste.
Die Chronologie erweckt den Eindruck, dass diese nicht chronologisch ist
3.Mai
4.Mai
3.Mai
5.Mai

Aufklärung könnte das Beginn und Enddatum bringen 🙂

Update 27.5.2021 :

Ich hatte nun 3 Events bei denen ich als (Co-) Veranstalter die Luca APP eingesetzt habe.
Wir hatten bei Event zwischen 150 und 400 Personen eine Quote von 75% Luca APP und 25% Papiererfassung.
Probleme?  Alle lösbar, da Fragen zur Bedienung (Check In)  aufgrund des geschulten Personals geklärt wurden.

Eine Stunde nach dem Event, waren ca 20% der  Gäste noch per Luca APP "eingecheckt".

#########################
Die Erfassung per Papier ist bei Events mit Anfangs und Endzeit (z.B. Kino, Theatervorstellung, Konzert...) recht einfach, da der Zeitraum (von-bis) keine  Rolle spielt.
Irgendwann sind alle da.

Im Club ist dies schwieriger, da laut Gesundheitsamt Hannover (13.7.2021) schon die konkrete Anwesenheitszeit eine Rolle spielt, welche sich aber NICHT mit der Corona Verordnung Niedersachsen (28.7.2021) begründen läßt.

Luca erfasst minutengenau. Dem Gast ist bekannt, wenn der Gast nach Hause geht.

Feinheit:
Wenn die Luca App und als Alternative die Corona Warn App zur Kontaktdatenerfassung eingesetzt wird, MUSS sich mindestens eine Person (z.B. Personal/Inhaber) in beide Systeme "Ein-checken"!
Warum? Infektionsfall Corona Warn App, dann Info an Corona Warn App Nutzer.
Location übermittelt Daten der Luca App an das Gesundheitsamt, sofern die Location von dem Infektionsfall erfährt.
ABER
Im Infektionsfall einer Person die per Luca App eincheckte, dann übermittelt die Location die Daten Luca Daten an das Gesundheitsamt.
Wie werden die Nutzer der Corona Warn App informiert???

Erfahrungswert:
Vorfall  in der Discothek X in Herford am 23.7.2021: ALLE Gäste zum Test (Aufforderung durch die Medien)!
Der Zeitraum spielte keine Rolle.

Noch im Mai 2021 schrieb Luca in den FAQs
"Brauche ich eine Schulung" : Nein

Tja, ich biete Schulungen zu Kontaktdatenerfassung seit März 2021 an
und nun (August 2021) bietet Luca doch Schulungen für Locations an.

Vielleicht hat Luca auch mal vor mir Erkenntnisse... 🙂

Gemäß Luca Nutzungsbedingungen, darf die APP AB dem 16. Lebensjahr genutzt werden,
Eltern können beim Check in weitere Personen BIS zum 14.Lebensjahr hinzufügen.
15 Jährige (und jünger) dürfen gemäß Luca die App nur nutzen, wenn die Einwilligung der Eltern vorliegt.

Am 12.8.2021 konnte ich Einträge ab einschließlich dem 15.7.2021 sehen = 28 Tage.
-------------------
Im August 2021 wurden nachweislich Daten länger als 28 Tage gespeichert, nämlich 34 Tage.

Die Kontaktdaten sind (zumindest in Niedersachsen) nach spätenstens 4 Wochen zu löschen, jedoch für mindestens 3 Wochen aufzubewahren.
Heute ist Dienstag der 03.August 2021
Luca zeigt mir Daten von Mittwoch den 30.JuNi 2021 - rechnerisch dürfen mir nur Daten ab dem 5.Juli 2021 angezeigt werden.

"Ihre Aufenthaltsdaten und Eingabedaten, die durch bzw. im Zusammenhang mit dem Einchecken bei einer Betreiber:in generiert werden, werden gemäß den Corona/COVID Infektionsschutzverordnungen nach 28 Tagen gelöscht" (Luca Datenschutzhinweise Stand 3.8.2021)

Eine Beschwerde an die zuständige Aufsichtsbehörde in Berlin ist trotzdem ergangen - da Seitens Luca auf meinen Hinweis keine Rückmeldung erfolgte.

Luca Location Backend
Gästeanzahl 1
Gästeliste anzeigen:
Anzahl aller Check Ins: 0  (Heute)
ABER
wenn die Auswahl auf "Letzte 7 Tage" gewählt wird,
ist sichbar, dass ein Gast noch nicht ausgecheckt ist - der gestern eingecheckt ist.
Somit ist die Anzahl der heutigen Gäste 'eigentlich' 1 weil der Gast von gestern noch da ist!

! Die Rechtsgrundlage für den Betreiber / Club in der Echtanwendung ist in der Regel die Erfüllung einer Rechtspflicht !
Der Test hier ist freiwillig - hier ist eine Bereitstellung ist nicht erforderlich und hat von mir aus auch keine Auswirkungen.
Falls Du zu TESTzwecken Deine Luca APP ausprobieren möchtest, dann benötige ich die
Einwilligung:
Mit dem Check In über die Luca APP in diesen TEST Standort erfolgt die Einwilligung, den übermittelten QR-Code zu speichern.
Die Speicherdauer beträgt bis zu 28 Tage ab dem Check Out (durch Dich oder durch mich) aus dem TEST Standort.
Die aktuellen Datenschutzhinweise der LUCA-APP, insbesondere Deiner Betroffenenrechte,  sind in der APP "Datenschutzbestimmungen" zu finden.
Die Einwilligung kann jederzeit (durch Check Out) widerrufen werden wo
Du hast das Recht, die per Check-In erteilte Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.  Die Einwilligung erfolgt gegenüber dem Betreiber diese Webseite: Lorenz Macke
Weitere Details in meinen Datenschutzhinweisen

TEST durchführen:

Starte die Luca APP
Verbinde Dich mit dem Internet
Selbst einchecken
Scanne mit der Luca APP diesen QR-Code

Du bist eingecheckt? Super. Dann checke wieder aus!
Sonst checke ich Dich irgendwann aus 🙂

Schau in Deine Historie
dort steht "TEST www.Dtnschtz.de TEST vi...
Datum - Uhr  -
Datum - Uhr

Was sehe ich vom Gast?

Ich kann und werde mit den Daten nichts anfangen - es bereitet mir jedoch Freude dir geholfen zu haben.

Es erfolgt von mir aus keine Weiterleitung das an Gesundheitsamt
- weil dieser Standort ein TEST Standort ist. Du warst nicht vor Ort , ich auch nicht, andere auch nicht.

Die Daten werden vom Luca System nach 28 Tagen gelöscht.

11. Mai 2021 Besucherrekord: 120 Gäste virtuell "eingeckeckt" in die Luca-TEST-Location