<

Kategorien-Archiv hidden

Muster Luca App Informationspflichten Artikel 13 DSGVO

Stand 20.März 2022: Aus dem aktuellen Infektionsschutzgesetz, insbesondere §28a(1) 17, geht hervor, dass die Kontaktdaten nur für die „Dauer der Feststellung der epidemischen Lage von nationaler Tragweite….“ erfasst werden müssen.
Stand 20.März 2022 ist diese NICHT festgestellt, somit besteht KEINE PFLICHT MEHR Kontaktdaten zu erfassen. Als Rechtsgrundlage kommt die gesetzliche Pflicht nicht mehr infrage.

Sie könnten die Kontaktdaten aufgrund des Hausrechtes verlangen.
Doch das ist dann ein klassisches Gästebuch wie wir es schon vor Corona kannten, mit entsprechenden Informationspflichten.

https://www.dtnschtz.de/category/muster/
Die Luca APP ist NICHT MEHR für die Kontaktnachverfolgung geeignet, da die Gesundheitsämter die Daten von der Luca APP NICHT MEHR zur Kontaktnachverfolgung nutzen können.

Weiteres zur Luca APP mit Test und Tipps

Zu der Checkliste Kontaktdatenerfassung (Papier / Corona Warn APP)

Weitere Tipps zur Dokumentation der Kontaktnachverfolgung per Anwesenheitsliste sowie zur Terminvereinbarung „Click and meet“ unter Datenschutz Vorlagen Muster

Falls ich auch Ihnen geholfen habe, können Sie Ihren DANK gerne in Form einer Google Bewertung mitteilen.
(Für Google Konto Inhaber, also mindestens alle Android Nutzer).

Es schreibt Ihnen, Ihr persönlicher externer Datenschutzbeauftragter
Lorenz Macke (Hannover)

Stichworte: , , , , , , , , , , ,

2021.03.19 Videokonferenz Sicherheitslücke Warnung und Tipp


EDUDIP hat am 23.3.2021 8Uhr nachgebessert!!! Ein Update wurde veröffentlicht.
Meine Meldung
der Lücke hat zu einem Update bei EDUDIP geführt
Danke an die GDD Geschäftsstelle für die Unterstützung.

########################################### Alt ##################

Tipp:
Eine Webadresse die in einer Videokonferenz (EDUDIP) im Chat gepostete wurde NICHT unmitelbar anklicken!
Stattdessen:
Kopieren Sie die Webadresse aus dem Chat in den Browser.
Rufen Sie aus dem Browser die Webadresse auf!

Warum?
Mit gelang es mehrfach für jeweils eine Sekunde an einer EDUDIP Videokonferenz teilzunehmen, für die ich KEINE Berechtigung hatte!
Update 22.3.2021: Mir ist es gelungen an der Videokonferenz von EDUDIP teilzunehmen, vermutlich weil die Person (welche den Link im Chat angeklickt hatte) die Videokonferenz verlassen hat.

Was ist passiert?
In der Videokonferenz BEISPIEL https://room.edudip.com/webinar/12345/12345678 wurde im Chat meine Webadresse (www.Dtnschtz.de) geschrieben.
Ein Konferenzteilnehmer klickte auf die Webadresse im Chat, es wurde die Webadresse www.Dtnschtz.de aufgerufen.

Ich schaute mir zufällig gerade die Logfiles meiner Internetadresse (DtnSchtz.de) an die generell von meinem Provider angelegt werden.
In jeder ‚ordentlichen‘ Datenschutzerklärung findet sich ein Hinweis dazu
„Die Provider dieser Seiten erheben und speichern automatisch Informationen in sogenannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt.
Dies sind u.a. Referrer URL (von welcher Webseite kommt der Webseitenbesucher)
in diesem Falle also BEISPIEL https://room.edudip.com/webinar/12345/12345678?auth_key=DaTeNSCHuTZ2021

Ich gab diese Referrer URL Webadresse in meinem Browser ein und konnte den Inhalt der noch laufenden EDUDIP Videokonferenz sehen, inklusive Chat un der dort eingegebenen Webadresse (www.Dtnschtz.de).
Nach einer Sekunde kam jedoch der Hinweis
„Medienwiedergabe starten?“ , „Bitte bestätigen Sie den Empfang von Audio/Video“ „Wiedergabe starten“
-> Wiedergabe starten brachte mich nicht weiter. Also erneut die Adresse
https://room.edudip.com/webinar/12345/12345678?auth_key=DaTeNSCHuTZ2021 eingegeben und wieder für eine Sekunde den Inhalt der Konferenz gesehen.

Nicht schlimm?
Naja, ich konnte Motto, Klarnamen der Teilnehmer, den Chatinhalt sehen und unter Umständen die Präsentation.
Mit gelang es den Verantwortlichen für die Videokonferenz zu ermitteln und habe Ihn fairerweise unmittelbar auf den Umstand aufmerksam gemacht.

Datenpanne?
Es kommt sicherlich auf den zu prüfenden Einzelfall an, ob diese Verletzung des Schutzes personenbezogener Daten (Datenpanne) gemäß Artikel 33 DSGVO seitens des Verantwortlichen (Videokonferenz-Initiator) an die Aufsichtsbehörde gemeldet werden muss.
Eine Meldung setzt eine Kenntnisnahme voraus. Gibt es bei EDUDIP Log-Files die geprüft werden können?

Zoom:
Hier hat mein bescheidener Test ergeben, dass bei Aufrufe aus dem Zoom Chat der Chat-Raum NICHT nachvollziehbar ist, da dieser als „Direkter Zugriff“ gewertet wird. Trotzdem ist Vorsicht geboten!

Fazit und Handlungsempfehlung:
Weisen Sie die Teilnehmer von Videokonferenzen,
insbesonderen von EDIDUP Videokonferenzen, darauf hin mögliche
Webadressen NICHT direkt aus dem Chat aufzurufen.
Passen Sie Ihre Richtlinien / Vorgaben / Teilnahmebedingungen entsprechend an.
So vermeiden Sie, dass unberechtigte die nicht öffentliche Videokonferenzadresse erlangen.
So vermeiden Sie, dass unberechtigte die nicht öffentlichen Videokonferenzinhalte erlangen.

Update 22.03.2021:
EDUDIP ist über diese Lücke informiert und dabei diese zu schließen.

Mit positiven Absichten schreibt Ihnen Ihr persönlicher Risikooptimierer
Lorenz Macke (Hannover) externer Datenschutzbeauftragter

Stichworte: , , , , , , ,

Geschützt: Zoom

Dieser Inhalt ist passwortgeschützt. Um ihn anschauen zu können, bitte das Passwort eingeben:

Luca App Kontaktverfolgung – Test und Tipps 2022.04.16

Update 11.3.2022: Luca hat sich meiner Meinung nach erledigt.
Und wer meint aufgrund des Hausrechts die Luca App zu nutzen, der hat keinen Nutzen! Die Luca APP ist nicht mehr für die Kontaktdatenerfassung und Kontaktverfolgung geeignet.
Sie kommen NICHT an die Besucherdaten heran. Das hat Luca aus selber im Newsletter April 2022 verkündet.

Wer per Papier erfassen möchte/muss, dem biete ich kostenfreie Muster zur Anwesenheitsdokumentation mit erforderlichen Hinweisen zum Datenschutz als PDF/Docx zum Download an.
https://www.dtnschtz.de/tag/anwesenheitsliste/

————————————————————–

Da das Thema Luca „durch“ ist, habe ich meine umfangreichen Erfahrungswerte entfernt.

Meine Meinung von Januar 2021 bis März 2022:
Luca APP und Datenschutz: Ja, recht gut was die Luca APP betrifft.
-> Luca APP und Datensicherheit: Die Luca APP war von Januar 2021 bis März 2022 im Einsatz.
Es ist bisher kein Fall bekannt, bei dem Daten erbeutet bzw missbraucht wurden (Stand 22.03.2022). <-
… oder hat jemand einen nicht konstruierten Fall? Dann bitte ich um Info. Danke.

Luca kann nichts dafür wenn sich andere fehlverhalten.
Generell: Die Daten der Luca APP dürfen NUR zur Erreichung des Zwecks (Kontaktnachverfolgung) verwendet werden. Dieser Grundsatz war/ist im Infektionsschutzgesetz verankert.

„Die Daten dürfen nicht zu einem anderen Zweck als der Aushändigung auf Anforderung an die nach Landesrecht für die Erhebung der Daten zuständigen Stellen verwendet werden“  §28a IfSG (4) Satz 3 (Stand 9.1.2022)

Was ist passiert:
In Mainz gab es einen Unfall mit Todesfolge. Die Polizei leitere Ermittlungen ein und empfand es als hilfreich, weitere mögliche Zeugen zu ermitteln, besonders die Gäste einer Gaststätte. Die Gaststätte erwähnte, dass die Daten der Gäste mit der Luca APP erfasst wurden.  Somit hat sich die Polizei an das zuständige Gesundheitsamt gewendet.
Das Gesundheitsamt meinte die Daten herausgebeben ZWECKENTFREMDET herausgeben zu können, dazu forderte das Gesundheitsamt die Daten von der Gaststätte an, mit dem Vorwand dass es einen Infektionsfall gegeben habe. (Normalerweise fordert das Gesundheitsamt die Daten nur an, wenn es einen KONKRETEN Infektionsfalls gegeben hat).
Die Gaststätte kam dieser Aufforderung nach (vermutlich in der Annahme, dass die Daten für die Kontaktnachverfolgung im Infektionsfalle handeln würde).
Das Gesundheitsamt war nun in besitz der Kontaktdaten der Gäste, die sich in der Gaststätte zu dem betreffenden Zeitraum mit der Luca APP eingecheckt waren, und übergab die Daten der Polizei welche dann die Gäste kontaktierte.

Bedenklich finde ich jedoch das Statement seitens der Luca APP Betreiber
„dass wir keine Daten liefern können, weil wir aufgrund des Verschlüsselungskonzepts technisch keinen Zugriff darauf haben“
MERKT IHR ES NOCH??? Ihr selbst wenn Ihr Zugriff hättet, dürftet Ihr die Daten NICHT LIEFERN!!!

Kleines Schmankerl: April 2022 Luca sucht einen neuen Datenschutzbeauftragten. Mögen sie einen besseren als den bisherigen finden…

######

Was wird aus den über 35 Millionen Installation  (Stand 8.Okt 2021 Quelle Luca App) der Luca APP?

Luca geht nun sehr schnell dazu über, die APP mit Funktionen anzureichern, die eine Nutzung unabhängig von der Kontaktdatenerfassung (ursprünglicher Zweck) ermöglich.
Die bisherigen Daten dürfen erstmal NICHT für andere Zwecke genutzt werden, es sei denn der Benutzer stimmt dieser Zweckänderung ausdrücklich zu!
Für die neu erfassten Daten in der Luca APP bedarf es dann einer neuen Rechtsgrundlage weil ein neuer Zweck der Verwendung der Daten entstanden ist.

Die Zeit läuft und Luca muss relativ schnell reagieren – was zu Fehlern führt…
„luca integriert Personalausweis und Bezahl-Services in die App – neue Funktionen machen den Besuch in Restaurants, Bars und Cafes einfacher und bequemer.“ (2.2.2022)
Somit möchte sich Luca u.a. über die Provision bei der Bezahlfunktion sich weiter finanzieren.
Wieviele der über 35 Millionen Nutzer der Luca APP da mitmachen und wieviele der vorgenannten Betriebe Luca als Bezahlmöglichkeit einsetzen, bleibt abzuwarten.

#######################

Weitere nützliche Tipps für Ihr Privatleben und Ihr Geschäftsleben im Blog
www.speisekarte.dtnschtz.de

Es schreibt Ihnen, Ihr persönlicher externer Datenschutzbeauftragter
Lorenz Macke (Hannover) zum Kontakt

Stichworte: , , , , , , , , ,