Corona

2021.01.08 Luca App Kontaktverfolgung – Test und Tipps

Die APP ist mir seit dem 07. Januar 2021 bekannt und ich habe sie am selben Tag installiert. (Version 1.2.5)
Zugegeben installiere ich kaum APPs, sondern nur sehr Ausgewählte bei genauerer Prüfung der Zugriffsrechte und Einwilligung.

Da ich selbst nebenberuflich DJ + Veranstalter bin (Stammclub: Subkultur Hannover),
Veranstaltungen in Punkto Datenschutz begleitet habe,
meine kostenfreien Formulare zur Kontaktnachverfolgung über 200.000 Mal heruntergeladen wurden,
jahrelang als Programmierer und Qualitätsmanager tätig war
habe ich mir die APP, auch für Euch, etwas genauer angeschaut.

Damit Kontakte im Falle einer Infektion nachvollzogen werden können, sind diese per Gesetz und möglichst auch freiwillig zu dokumentieren.

Die Erfassung der Kontaktdaten per Papier hat, abgesehen vom Papierverbrauch und der fachgerechten Entsorgung, den Nachteil, dass die Angaben teilweise nicht lesbar sind und die Übermittlung der Papiere an das Gesundheitsamt dauert. Es können zudem Übertragungsfehler passieren und es kostet Zeit die Daten erneut zu erfassen.
Der Chaos Computer Club hat im Sommer 2020 von einer digitalen Erfassung der Daten abgeraten, aufgrund der Sicherheitslücken bei der digitalen Speicherung von Kontaktdaten.

Eine digitale Lösung, in der die Kontaktdaten
– anonym (bzw. mehrfach verschlüsselt) gespeichert
– und an das Gesundheitsamt übermittelt werden,
– zudem mit Kontakttagebuchmöglichkeit
– mit einfacher Handhabbarkeit
– (kostenfrei)
– datenschutzfreundlich
verarbeitet werden, ist daher herzlich willkommen!

Homepage:
…. hat ja „eigentlich“ nichts mit der APP zu tun, jedoch hier wieder der Klassiker: Eine APP als datenschutzkonform anpreisen aber noch nicht einmal die Homepage datenschutzkonform gestalten.
Ich halte es für wesentlich einfacher, eine Homepage datenschutzkonform zu gestalten, als eine APP. Wenn das bei der Homepage schon nicht klappt -> dann etwa bei der APP?

Anregung: Die Cookie-Setzung, Verwendung von Google Analytics, OpenStreetMap, Hinweise Kontakformular, Info wenn Luca in meinem PLZ Gebiet verfügbar ist…. sind entsprechend anzupassen.

Die APP:

Wahlmöglichkeiten:
In der APP besteht die Wahl, entweder (s)eine E-Mail-Adresse anzugeben, oder seine Adressdaten. geändert

In der WebApp eingabe einer Handynummer, die per Pin verifiziert wird, und einer Wohnadresse sowie Vor- und Nachname.
Optional noch die E-Mail.

Voraussetzung Gäste:
APP / WebApp (Webseite )
Internetverbindung (zum ein- und auschecken) sowie Zugriff auf die Kamera um den QR-Code zu scannen.
Somit bieten sich auch Tablet’s/Laptops, Computer mit Webcam… an um die WebAPP zu nutzen. Bequemer ist es mit dem Handy und der APP.

Voraussetzung Betreiber:
Registrierung auf der Webseite
Anlegen von „Events“
UND
das dass zuständige Gesundheitsamt die Daten auslesen kann!

Stand 22.02.2021 sind die Daten z.B. in Thüringen vom Gesundheitsamt auszulesen. Konkret in Jena Plz 07743. Auch Teile Schleswig-Holsteins sind nun dabei.
Auf der Webseite ist per PLZ zu prüfen, OB Luca im PLZ Gebiet genutzt werden kann WEIL das zuständige Gesundheitsamt die Luca Daten entschlüsseln kann. Eine Nutzung für private Treffen ist bereits jetzt möglich.

Das Formular auf der Luca-Seite, welches die Möglichkeit zur Benachrichtigung wenn Luca in deinem Gebiet seitens des Gesundheitsamtes verfügbar ist, entspricht nicht den Anforderungen der DSGVO. Somit auch hier wieder der Gedanke: Ist die APP DSGVO Konform?

Kritik:
Die Corona-Verordnung besagt, welche Daten zur Kontaktnachverfolgung zu hinterlegen sind. Derzeit ist eine Wahl zwischen E-Mail-Adresse und Wohnanschrift nicht vorgesehen. Es besteht in Thüringen die Wahl zwischen Telefonnummer und Wohnanschrift. Update 22.2.2021 in der Version 1.4.4 wird nun nach der Wohnanschrift gefragt, die gemäß aktueller CoronaVo zur Kontaktnachverfolgung erforderlich ist.

Anregung:
Die E-Mail-Adresse wird NICHT verifiziert. Ich habe noch nicht einmal eine E-Mail erhalten, dass meine E-Mail (von mir selber) eingetragen wurde.

Anregung:
Überprüfe hier, ob luca für deine Postleitzahl verfügbar ist: 07743 Jena
Antwort: Ab Kw49 -> Welches Jahr? Seit Kw 49/2020! Behoben 🙂

Bequem und bedenklich:
„Automatische Check-Outs und Geo-Fencing“
Beim Geo-Fencing wird ein Bereich angegeben, z.B. Bundestag Berlin 50 Meter. Du checkst in die Veranstaltung „Bundestag“ in den Bundestag in Berlin ein. Verlässt du den Bundestag und entfernst dich mehr als 50 Meter, vermerkt die APP automatisch den Endzeitpunkt und checkt dich aus der Veranstaltung aus. Aus den Berechtigungen geht NICHT hervor, dass Standortdaten genutzt werden!

Gefangen in der APP:
Eine Registrierung ist möglich – wie kann die Registrierung gelöscht werden?
– Zweites Handy?
– Wechsel der Telefonnummer?

Katastrophe:
Ich kann meine eingangs hinterlegte Telefonnummer ändern OHNE das diese verifiziert wird!

Unklar:
„Tritt ein Infektionsfall ein, werden alle Gäste dieser Location informiert, die sich zur betreffenden Uhrzeit dort aufgehalten haben„
„Parallel werden die Gesundheitsämter informiert, die dann automatisch Zugriff auf die Daten der übrigen Gäste haben.„
Wie werden die Gäste vom wem informiert?

QR-Code:
Dieser wechselt minütlich. Also nicht wundern wenn der Bildschirm zuckt 🙂

Getestet:
Private Treffen dokumentieren.
Diese Daten dienen der privaten Gedächtnisstütze und werden NICHT digital an das Gesundheitsamt übermittelt.
Funktioniert überwiegend.
Beim Versuch bereits binnen einer Minute wieder „Auszuchecken“ war dies nicht möglich. Ein Auschecken ist erst nach 2 Minuten möglich.
Es werden hier komplette Vor- und Nachnamen an den privaten Treffen initator übertragen.

Achtung: Für den Fall dass die Funktion „Private Treffen“ für geschäftliche Zwecke genutzt wird, müssen Informationspflichten gemäß DSGVO Artikel 13 gegeben werden!

Check-In / Check-Out Zeiten differieren zwischen den teilnehmenden Handy’s:
Handy 1 startet ein privates Treffen um 20:00
Handy 2 checkt um 20:02 in das private Treffen von Handy1 ein
Handy 2 check um 20:12 aus dem privaten Treffen von Handy1 aus.
Handy 1 vermerkt um 20:10 dass Handy 2 ausgecheckt hat.

Historie private Treffen:
Handy 2 vermerkt in der Historie wann bei welcher Person(Besitzer Handy1) ein und ausgecheckt wurde.
Handy 1 vermerkt dass mit der Person(Besitzer Handy2) ein Treffen stattfand. Es wird die Endzeit des Treffens (entspricht in etwa der Check-Out Zeit von Handy2) vermerkt.

Im Test: Gewerbliche Nutzung (Betreiber/Veranstalter)
Veranstaltung/Event/Gastrobesuchsmöglichkeit…. anlegen.

Nutze Luca – Betreiber – Comming soon (11.01.2021)

##### Beginn inoffizieller Vorabtest #####
Mir ist es bereits am 10.Januar 2021 gelungen, eine Webseite zu erreichen, auf der ein Konto erstellen kann. Bei „Luca Locations“: Vorname, Nachname, Passwort und E-Mail Adresse angeben, die E-Mail Adresse bestätigen (Double Opt In, ein Link wird an die E-Mail gesendet der binnen 30 Tagen zu bestätigen ist)

Nach dem Login auf der Webseite erscheint:
„Dein privater Schlüssel wurde erstellt. Bitte bewahre ihn gut auf. Du brauchst ihn, falls das Gesundheitsamt auf Daten zugreifen möchte, die deine Location betreffen. Bitte lade den Schlüssel jetzt herunter.“
-> Hab ich gemacht.
Dann habe ich eine Location angelegt bzw. ich konnte per Suche aus möglichen Lokations auswählen. Selbst mein Stammclub „Subkultur Hannover“ war dort hinterlegt (Adresse + Telnr! vermutlich aus einer Google-Datenbank). Als registrierter gelte ich als Kontaktperson (der Name ist änderbar).


Tja nun ist die Lokation angelegt, der Check in kann beginnen:
QR-Code (vom Handy) des Besuchers, z.B. wird per Laptop der Lokation über die Webcam der QR Code des Besuchers erfasst.
Ohne Handy: Der Besucher trägt seine persönlichen Daten (Name, Adresse, Email, Telefonnummer) in ein Kontaktformular eintragen.

Der Checkout:
Mit dem Handy. Einfach am Handy den Schieber auf Check-Out – bei bestehender Internetverbindung reduziert sich die Anzahl der eingecheckten Gäste.
Die per Kontaktformular eingetragenen können bisher nur seitens des Betreibers auschecken – und zwar ALLE per Kontaktformular eingecheckte (Nachteil da die Uhrzeit schon relevant sein kann)

Wenn der Betreiber sieht in seinem Backend auf der Luca app Seite, die Anzahl der Gäste die noch eingecheckt sind.

##### Ende vom inoffiziellen Vorabtest #####

Auslegungssache: Da die Daten des Besuchers für den Betreiber/Veranstalter anonym sind und anonyme Daten nicht der DSGVO unterliegen, bestehen meiner Meinung nach keine Informationspflichten seitens des Betreibers/Veranstalters, was eine Entlastung darstellt.

FAQ 9.1.2021 „Nein, zu keinem Zeitpunkt können Veranstalter deine Kontaktdaten oder andere Informationen in deiner luca App lesen.“

Sonderfall: Die CoronaVo ermöglich es unter bestimmten Umständen seine Firmenkontaktdaten zu hinterlegen. Bei einem nur einer Person zugeordneten Firmenhandy ist diese Möglichkeit gegeben.
Wird das private Handy für den geschäftlichen Check-In genutzt, wäre kurz vorher die Adresse zu ändern. Die Hinterlegung der Firma ist nicht möglich.
Bei einem Firmenhandy welches von mehreren Personen geschäftlich genutzt wird, müßte jedesmal der Name der Person in der APP geändert werden.

Die Basisfunktionen von luca Locations sind kostenlos für Betreiber nutzbar.
Welche Zusatzfunktionen kosten was?
Wird es auch kostenpflichtige Zusatzfunktionien für Gäste oder gar Clubs geben?

Schmankerl‚:
Die Formulierung „Datenschutzvereinbarung“ -> Was wurde wie mit wem vereinbart? Die Formulierung „Verstanden“ klingt zackig aber auch locker , ist jedoch unbestimmt.

Anregung:
Speicherdauer: Diese ist in keinem Falle konkret angegeben. Gemäß DSGVO ist die Speicherdauer bzw. Kriterien für die Speicherdauer anzugeben. Diese Angaben fehlen bei den Rechtsgrundlagen 6(1)a, 6(1)b, 6(1)c. Zudem erfehlen die erforderlichen Hinweise die im Zusammenhang mit einer Einwilligung zu geben sind.

FAZIT
Es wundert mich, dass die APP (trotz der hier zuvor aufgeführten Mängel) schon im November 2020 im Einsatz war!

Die Funktionalitäten machen einen guten Eindruck. Hier gibt es meiner Meinung nach Potential für geringe Verbesserungen, die rasch umsetzbar sind und die Gesamtfunktionalität kaum beeinflussen. Wenn die Homepage, das Wording und die Erklärungen angepasst werden ist der erste Eindruck noch besser.

Nach den mir bisher vorliegen Informationen halte ich die APP für empfehlenswert.

Nachsatz:
Ich habe den Eindruck, das Volk gibt seine Daten lieber an Unternehmen als an den Staat. Die Akzeptanz dürfte somit höher sein als bei der Corona APP.

-> Die Luca-App ist KEIN Ersatz für Corona App sondern eine Ergänzung <-

Da jeder doch irgendwie vom Staat abhängig ist (spätestens bei einer (möglichen) Infektion), stelle ich mir die Frage, ob es „gesund“ ist, sich von einem Unternehmen [dem Luca App Anbieter] abhängig zu machen 🙂

Wer sich ein eigenes Urteil bilden möchte,
besucht und testet bitte luca-app.de

Wer weiterhin per Papier erfassen möchte, dem biete ich kostenfreie Muster für Anwesenheitdokumentation mit erforderlichen Hinweisen zum Datenschutz als PDF/Docx zum Download an.
https://www.dtnschtz.de/tag/anwesenheitsliste/

Es schreibt Euch Ihr persönlicher externer Datenschutzbeauftragter
Lorenz Macke (Hannover)