Da ist sie nun, die seit Wochen erwartete Stellungnahme der DSK (Konferenz der Datenschutzbehörden der Länder und des Bundes) zur @_LucaApp. Das Ergebnis der Analyse möchte ich in einem "kurzen" #Thread beleuchten. Let's go 🍿 datenschutz.saarland.de/file…

7:17 PM · Mar 29, 2021

5
108
14
188
Die Stellungnahme wurde - nach allem, was im Vorfeld bekannt wurde - von einer Taskforce bestehend aus Berlin, HH, MV, RLP und BaWü erstellt und dann - wenn alles wie üblich lief - von der gesamten DSK angenommen und freigegeben.
1
1
1
40
Die Stellungnahme steigt direkt steil ein und wagt sich an ganz komplexe Themen 😏 Die erste bemerkenswerte Erkenntnis ist nämlich, dass "ausdrücklich" darauf hingewiesen wird, dass die Daten "datenschutzkonform" verarbeitet werden müssen. Netter #CaptainObvious cameo 🤭
2
2
0
62
(PS: Was ist eigentlich der Unterschied zwischen "datenschutzkonform" und "datenschutzrechtkonform"? Egal, moving on.)
1
1
2
48
Die Stellungnahme lässt sich sodann zweiteilen: Erstens in allgemeine Anforderungen bzw. Aussagen und zweitens in ihre "Anwendung" auf die Luca-App.
1
1
0
35
Die 1. Aussage ist, dass Tracing Apps die Arbeit der Gesundheitsämter effizienter machen: Eine nicht unumstrittene These, denn hier spielt viel rein: Personalausstattung, funktionierendes SORMAS etc. Das Risiko, dass Tracing-Apps den Flaschenhals nur verschieben, wird ignoriert.
2
2
0
46
Das ist aber juristisch hoch relevant, denn die datenschutzrechtliche Rechtmäßigkeitsprüfung muss Mittel (App) und Zweck (Effizienz der Kontaktverfolgung) in ein Verhältnis setzen, um zu einem plausiblen Ergebnis zu gelangen.
1
2
0
52
Ist das Ziel schon nicht klar, kann kaum eine Aussage darüber getroffen werden, welche Daten erforderlich und verhältnismäßig zur Erreichung des Ziel verarbeitet werden dürfen. Das ist mEn die erste mittelgroße Schwachstelle der Stellungnahme.
1
3
1
58
Die nächste Aussage lautet, dass Tracing Apps helfen, die Dokumentationspflichten zu erfüllen. Auch hier hätte man direkt einhaken können, denn die VOen sind nicht in Stein gemeißelt. Die kritische Frage der LfDen nach dem Sinn der Dokumentationspflicht hätte ihnen gut gestanden.
4
3
0
44
Die dritte Aussage ist extrem spannend, nämlich, dass die zentrale digitale Speicherung besser als Papierzettel ist. Das ist in dieser Allgemeinheit steil, weil Angriffe auf zentrale Systeme ganz anders skalieren als auf isolierte "analoge Datenhaufen".
2
7
0
81
Anders gesagt, ist das Angriffsszenarion "Angriff auf zentralen Server" ein ganz anderes als "alle Bars nach den Zetteln" abklappern. Hier schwappt mir deutlich zu viel Digitalisierungs-Hype in die DSK-Welt.
2
3
1
70
Nach weiteren allgemeinen Voraussetzungen (Datensicherheit, Verschlüsselung usw) kommt die Stellungnahme zu einem weiteren allgemeinem Knackpunkt, der Verantwortlichkeit. Im Zusammenspiel zwischen App-AnbieterIn, VeranstalterIn und Gesundheitsamt ist das extrem tricky.
2
2
0
42
Die DSK plädiert leider nur für "klare Verteilung der Verantwortlichkeiten" ohne konkrete Maßstäbe aufzustellen. Nicht mal die Abgrenzung zwischen gem Verantwortlichkeit & ADV wird aufgegriffen. Das wäre aber u.a. für das Einwilligungsmanagement zentral 👇
Ich höre immer wieder, dass die @_lucaApp „die Zettel überflüssig macht“. Das ist mEn falsch, denn Luca (und die sie einsetzenden Venues) verarbeitet die Daten auf Basis einer Einwilligung und die ist dringend darauf angewiesen, dass es parallel weiter Zettel gibt. #Thread
Show this thread
1
3
1
51
So, und jetzt wird es konkret. Nach 1 1/2 Seiten Einleitung geht es endlich um die Luca-App selbst. Da ist die DSK zunächst einmal erfreulich kritisch und bemängelt die zentrale Datenspeicherung und fordert Prüfung, ob es nicht auch dezentral geht.
1
1
0
47
Das ist natürlich gut und richtig. Dennoch bleibt ein großes Fragezeichen. Sprach nicht der Datenschutz-Chef in BaWü stets von einer denzentralen Speicherung bei Luca? Tatsache: Und das tut er immer noch 🧐 baden-wuerttemberg.datenschu…
2
5
0
51
Im nächsten Absatz thematisiert die DSK dann die zentrale Schachstelle der Luca-App: Die Möglichkeit, die Veranstaltungsbesuche zentral abzugreifen. Während die DSK aber von "Angriff" redet, ist das Szenario banaler: Sicherheitsbehörden können auf Anfrage die Daten verlangen.
3
8
1
60
Es braucht dazu nämlich keine Schwachstelle bei Luca. Der Zugriff ist schlicht eine Feature, denn Polizei & Co können jeweils die Locations als auch die GÄ zur Kooperation verpflichten und haben Zugriff auf die Daten. Ganz ohne Hack, o.ä.
3
8
2
68
Nach diesem leichten Rüffel der DSK wird es dann auch gleich wieder allgemeiner. Die Landesbehörden wollen mit App-Anbietenden im Gespräch bleiben und verlangen im letzten Absatz schließlich, zu prüfen, ob es nicht auch sparsamer geht und das dann bitte gesetzlich festzulegen.
1
1
0
41
Wer sich jetzt fragt: Und was ist nun? Ist Luca datenschutzrechtkonform? Was ist mit den Bundesländern, wo die App schon läuft? Welche Rechtsgrundlage greift eigentlich, und für wen? Und wo bleibt eigentlich die geforderte Folgenabschätzung? Dazu schweigt die Stellungnahme.
2
12
1
69
Und damit entlarvt sich die DSK selbst: Der Zug ist schließlich längst viel zu schnell, als dass man politisch etwas gewinnen könnte, wenn man jetzt tough auftritt. Zwischen den Zeilen meine ich zwar zu lesen, dass die DSK Luca nicht für rechtskonform hält.
1
10
1
57
Aber zu klaren Aussagen scheint die DSK nicht willens oder fähig, zu unterschiedlich sind die Ziele der einzelnen Behördenleitungen, zu lukrativ ist das politische Kapitel, hier als "ErmöglicherIn" aufzutreten. Was bleibt, ist das Gefühl, dass die DSK im Grunde irrelevant ist.
2
11
1
80
Die Luca-App darf laufen. Wirklich fundierte Auseinandersetzungen mit Risiken zentralisierter Contact-Tracing-Apps überlässt man den Zivilgesellschaft. Eigenständige Maßnahmen sind nicht zu erwarten. TL;DR: Die DSK-Stellungnahme sagt mehr über die DSK als über die Luca-App.
7
29
1
140