Sonderinformation zum Einsatz des digitalen Kontaktnachverfolgungssystems "Luca" bei bayerischen öffentlichen Stellen

Der Einsatz des digitalen Kontaktnachverfolgungssystems "Luca" bei bayerischen öffentlichen Stellen wirft auch datenschutzrechtliche Fragen auf. Mit dieser Sonderinformation sollen diese Fragen erläutert und den bayerischen öffentlichen Stellen konkrete Handlungsempfehlungen gegeben werden.

1. Datenschutzrechtliche Einordnung

Der Einsatz von digitalen Kontaktnachverfolgungssystemen kann zur Bekämpfung der COVID-19-Pandemie einen wesentlichen Beitrag leisten. Daher unterstützt die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) die Entwicklung und den datenschutzkonformen Einsatz solcher Systeme. In diesem Rahmen hat sie sich bereits in ihrer "Stellungnahme zu Kontaktnachverfolgungssystemen - insbesondere zu ‚Luca‘ der culture4life GmbH" vom 29. April 2021 zum datenschutzkonformen Einsatz von digitalen Kontaktnachverfolgungssystemen im Allgemeinen und zum Luca-System im Besonderen geäußert (vgl. https://www.datenschutzkonferenz-online.de/stellungnahmen.html (externer Link)). In einer weiteren Stellungnahme vom 21. Mai 2021 hat die DSK ferner zur Verantwortlichkeit bei der Nutzung von Kontaktnachverfolgungssystemen wie dem Luca-System Position bezogen (vgl. ebenso https://www.datenschutzkonferenz-online.de/stellungnahmen.html (externer Link)).

Nach Auffassung der DSK können solche Systeme im Verhältnis zwischen Anbieter und Veranstaltern sowohl als Auftragsverarbeitung als auch als gemeinsame Verantwortlichkeit ausgestaltet werden, wobei gewisse zwingende vertragliche und praktische Anforderungen zu erfüllen sind. Die Datenverarbeitungen der Gesundheitsverwaltung sind gesondert zu betrachten. Ihnen liegen gesetzliche Regelungen (insbesondere § 25 Abs. 2 Satz 1, § 16 Abs. 1 Satz 2 Infektionsschutzgesetz - IfSG) zugrunde, die insoweit eine gesonderte eigene Verantwortlichkeit begründen.

Zu unterscheiden sind das Luca-System und vergleichbare Kontaktnachverfolgungssysteme von der Corona-Warn-App, die vom Robert Koch-Institut herausgegeben und weiterentwickelt wird. Auch wenn in der Corona-Warn-App - anders als beim Luca-System und vergleichbaren Systemen - keine personenbezogenen Daten an ein Gesundheitsamt übermittelt werden können, kann die pseudonymisierte Clustererkennung der Corona-Warn-App neben dem Luca-System einen erheblichen Beitrag zur Unterbrechung von Infektionsketten leisten (vgl. DSK-Entschließung "Chancen der Corona-Warn-App 2.0 nutzen" vom 29. April 2021, https://www.datenschutzkonferenz-online.de/entschliessungen.html (externer Link)). Sie kann allerdings die gesetzlich vorgeschriebene Pflicht zur Kontaktdatenerfassung der Besucherinnen und Besucher von Veranstaltungen, in Gaststätten usw. aus Gründen des technischen Designs nicht leisten.

Die Stellungnahme der DSK vom 29. April 2021 bezüglich des Luca-Systems berücksichtigt eine Analyse des Open-Source-Codes durch das Bayerische Landesamt für Datenschutzaufsicht (siehe dazu näher https://www.lda.bayern.de/de/thema_luca.html (externer Link)).

Im Rahmen meiner Zuständigkeit sehe ich derzeit keinen Anlass, bayerischen öffentlichen Stellen generell von der Nutzung des Luca-Systems abzuraten oder dessen Einsatz datenschutzaufsichtlich entgegenzutreten. Voraussetzung hierfür ist jedoch unter anderem die Beachtung der unter Nr. 2 dieser Sonderinformation gegebenen Handlungsempfehlungen. Im Übrigen werde ich weiterhin den Einsatz des Luca-Systems kritisch begleiten. Unabhängig davon rate ich generell dazu, bei mehreren geeigneten Verfahren stets bei der Auswahl zu berücksichtigen, welches davon datenschutzfreundlicher eingesetzt werden kann. Insofern sollten Verantwortliche gegebenenfalls auch andere verfügbare Kontaktnachverfolgungssysteme diesbezüglich nicht außer Acht lassen.

2. Handlungsempfehlungen für die bayerischen öffentliche Stellen

2.1. Anforderungen bei der Kontaktdatenerhebung

Bayerische öffentliche Stellen, die das Luca-System für den Zutritt zum Gebäude oder für Veranstaltungen nutzen möchten, sollten insbesondere folgende Handlungsempfehlungen beachten:

2.1.1. Klärung der Vorfrage, ob eine Pflicht zur Kontaktdatenerfassung besteht

Vor einem Einsatz des Luca-Systems ist von einer bayerischen öffentlichen Stelle zunächst zu prüfen, ob sie zu einer Kontaktdatenerfassung verpflichtet ist (z. B. Betreiber von Museen), ob sie dies autonom verpflichtend anordnen möchte (vgl. § 5 Satz 3 13. Bayerische Infektionsschutzmaßnahmenverordnung - BayIfSMV), oder ob sie die Kontaktdatenerfassung auf freiwilliger Basis anbieten möchte, ohne hiervon den Zutritt abhängig zu machen. Hinsichtlich des zulässigen Umfangs einer Kontaktdatenerfassung sind in jedem Fall die Vorgaben des § 5 Satz 1 Nr. 1 BayIfSMV zu beachten.

Im Falle einer autonomen verpflichtenden Anordnung ist insbesondere die Einhaltung des Grundsatzes der Datenminimierung (Art. 5 Abs. 1 Buchst. c Datenschutz-Grundverordnung) sorgfältig zu prüfen. Konkret ist zu prüfen, ob mit der Kontaktdatenerfassung ein Nutzen - insbesondere für die Gesundheitsämter - erreicht werden kann, der vom Gesetz- oder Verordnungsgeber nicht als verpflichtend angeordnet wurde, und der gleichzeitig die Datenschutzrisiken überwiegt. Dies betrifft beispielsweise den Bereich der Daseinsvorsorge oder verpflichtender Behördengänge. So erscheint es nicht als erforderlich, eine Kontaktdatenerfassung und Terminvereinbarung parallel durchzuführen. Dies bedeutet beispielsweise, dass keine zusätzliche Kontaktdatenerfassung stattfinden sollte, wenn das Betreten des Gebäudes ohnehin eine vorherige Terminvereinbarung erfordert. In diesem Fall würden die Daten doppelt erhoben, und die (über das Luca-System) erfassten Daten hätten keinen Mehrwert, da die Terminvereinbarungen viel genauere Aussagen zuließen.

2.1.2. Keine ausschließliche Nutzung des Luca-Systems

Auch für den Fall der verpflichtenden Kontaktdatenerfassung müssten bayerische öffentliche Stellen neben einer rechtmäßigen Nutzung des digitalen Kontaktnachverfolgungssystems zusätzlich etwa ein einfaches Papierformular als Alternative anbieten. Dies trägt dem Umstand Rechnung, dass der Einsatz eines Systems zur digitalen Kontaktdatenerfassung freiwillig ist, selbst wenn eine grundsätzliche Pflicht zur Kontaktdatenerfassung besteht (vgl. oben genannte Stellungnahme der DSK vom 29. April 2021). Sollte die Abwägung dazu führen, dass das Luca-System für eine freiwillige Kontaktdatenerfassung angeboten wird, so muss vor dem jeweiligen Check-In deutlich auf die Freiwilligkeit der Kontaktdatenerfassung an sich hingewiesen werden. Zudem dürfen die Besucherinnen und Besucher nicht am Zugang gehindert werden, wenn sie das Luca-System nicht verwenden wollen oder können.

2.1.3. Praktische Umsetzung, um eine sinnvolle Kontaktnachverfolgung zu ermöglichen

Bayerische öffentliche Stellen, die das Luca-System nutzen, müssen in der praktischen Umsetzung darauf achten, dass zum einen der Grundsatz der Datenminimierung Beachtung findet und zum anderen für die Gesundheitsämter auch tatsächlich nutzbare Daten generiert werden:

2.1.3.1. Keine "Überschwemmung" der Gesundheitsämter mit Daten

Check-In und Check-Out müssen so positioniert sein, dass tatsächlich nur diejenigen Besucherinnen und Besucher an einer Stelle erfasst werden, für die tatsächlich eine Möglichkeit zur Ansteckung und somit die Einstufung als enge Kontaktperson (mit erhöhtem Infektionsrisiko) in Frage kommt. Es erscheint beispielsweise nicht sinnvoll, für eine große Kommune ausschließlich an einem zentralen Zugang einen Check-In und Check-Out vorzusehen, da dann nur die Aussage getroffen werden kann, dass die betreffenden Personen das Gebäude betreten oder verlassen haben.

Zu "großzügig" positionierte Check-Ins oder Check-Outs führen zudem dazu, dass die Gesundheitsämter eine große Menge an Daten erhalten, die geprüft werden müssen, jedoch keinen Erkenntnisgewinn bieten, da tatsächlich keine Kontaktsituation bestanden hat. Die Vorteile des Luca-Systems zur Beschleunigung der Kontaktnachverfolgung kämen somit nicht mehr zum Tragen; stattdessen würden deutliche Mehrbelastungen für die Gesundheitsämter entstehen.

2.1.3.2. Verzicht auf statische QR-Codes

Das Anbringen von statischen QR-Codes bringt das Risiko mit sich, dass auch Personen eingecheckt werden können, die überhaupt nicht vor Ort waren. Zudem kann nicht verhindert werden, dass Personen, die das Gebäude betreten, keinen Check-In durchführen, soweit keine weitergehende menschliche Kontrolle stattfindet. Es sollte daher immer die Option gewählt werden, dass beim Check-In der QR-Code der Besucherinnen und Besucher gescannt wird.

2.1.3.3. Schutz des kryptografischen Schlüsselmaterials

Bei einem Abruf von Daten durch ein Gesundheitsamt bei einer das Luca-System einsetzenden Stelle erfolgt eine Umschlüsselung der erfassten Kontaktdaten, für die der kryptographische Schlüssel der Stelle zwingend erforderlich ist. Dieser muss somit sicher und wiederauffindbar verwahrt werden, da die Stelle ansonsten eine mögliche Verpflichtung zur Übermittlung von Kontaktdaten nicht erfüllen kann. Bei einer freiwilligen Kontaktdatenerfassung ist entsprechend zu verfahren.

2.2. Anforderungen an die Gesundheitsämter

Die Gesundheitsämter sind allein zum Abruf und zur Entschlüsselung der im Luca-System gespeicherten Daten berechtigt. Hierbei ist zu beachten:

Das jeweilige Gesundheitsamt muss gewährleisten, dass die Webanwendung "Luca Frontend Gesundheitsamt" datenschutzkonform betrieben wird. Hierbei sind zum einen die allgemein zu erwartenden Basis-IT-Sicherheitsvorkehrungen, wie etwa Malware-Schutz, Patch Management, Passwort-Schutz usw. (vgl. https://www.datenschutz-bayern.de/technik/best_practices/) umzusetzen. Dies betrifft insbesondere auch den Schutz vor Schadcode in Office-Dokumenten, wie ein hierzu bekannt gewordenes Angriffsszenario bezüglich des Einfügens von Schadcode in die vom Luca-System erstellten CSV-/Excel-Dateien zum Import in andere Systeme deutlich gemacht hat. Auch wenn diese Lücke mittlerweile geschlossen wurde, zeigt dies trotzdem, wie wichtig die Basis-IT-Sicherheitsmaßnahmen in Gesundheitsämtern auch während der Corona-Pandemie sind. Zudem sollte, soweit möglich, für den Datenimport aus dem Luca-System zu der bei den Gesundheitsämtern zur Kontaktnachverfolgung verwendeten Software "SORMAS" (= Surveillance Outbreak Response Management and Analysis System) direkte Importschnittstellen gewählt werden. Zum anderen sind auch speziellere Schutzmaßnahmen wirksam umzusetzen. Dazu gehören insbesondere der Schutz und die Verfügbarkeit des kryptografischen Schlüsselmaterials, der Einsatz von ausschließlich dienstlich verwendeten Geräten sowie eine geeignete Schulung und Sensibilisierung der Fachanwender und Administratoren der Luca-Webanwendung.

So sieht etwa auch § 28a Abs. 4 Satz 1 IfSG eine "Kontaktdatenerhebung" nur vor, soweit "dies zur Nachverfolgung von Kontaktpersonen zwingend notwendig ist" [Zurück]
Siehe Definition des Robert Koch-Instituts, Kontaktpersonen-Nachverfolgung bei SARS-CoV-2-Infektionen, Stand: 20.05.2021, abrufbar unter "https://www.rki.de/DE/Content/InfAZ/N/Neuartiges_Coronavirus/Kontaktperson/Management.html#doc13516162bodyText10 (externer Link). [Zurück]