Verfolgungs-App "Luca" und der Datenschutz

Der Rezensent auf dtnschtz​.de ist eigent­lich begei­stert und emp­fiehlt die App. Dabei hat er doch festgestellt:

»APP Login/Logout unmög­lich:
Weder Login noch Logout ist mög­lich. Wer mein Handy hat, sieht mei­ne hin­ter­leg­ten Kontaktdaten und mei­ne Historie – mit ent­spre­chen­den Daten der Personen mit denen gemäß per Luca APP 'pri­va­te Treffen' hatte.

Gefangen in der Web-APP:
Aus der WebAPP ist kein Logout mög­lich. Es besteht die Möglichkeit die WebAPP "zurück­zu­set­zen". Damit wird die Historie gelöscht. Wenn der Browserverlauf gelöscht wird, muss eine erneu­te Registrierung in der WebAPP erfol­gen. Die steht die Historie nicht mehr zur Verfügung.«

So beschreibt er das Vorgehen:

»### Beginn Private Treffen doku­men­tie­ren ###
Ich bin mit der Luca APP online und star­te in er APP ein "pri­va­tes Treffen", mir wird ein QR Code ange­zeigt.
Die Personen mit denen ich mich tref­fe, 'Scannen' mit Ihrem Handy mei­nen QR Code. In bei­den Handy's wird dann die­ses Treffen in der pri­va­ten Historie hin­ter­legt. In bin somit Eincheckt.
Es wird der jewei­li­ge Vor und Nachname in die Historie des jeweils ande­ren Teilnehmers über­tra­gen.

Wenn ein "pri­va­tes Treffen" gestar­tet ist, ist es für den Initiator nicht mög­lich, woan­ders ein­zu­checken.

Wichtig für den Initiator: Treffen wie­der been­den!
Noch wich­ti­ger: Wieder aus-checken!

Diese Daten die­nen der pri­va­ten Gedächtnisstütze und wer­den NICHT auto­ma­tisch digi­tal an das Gesundheitsamt über­mit­telt.
Im Infektionsfall, kann die­ses Tagebuch für das Gesundheitsamt frei­ge­ge­ben wer­den.

Die Historie der "Privaten Treffen" kann jeder­zeit gelöscht wer­den.

Beim Versuch bereits bin­nen einer Minute wie­der "Auszuchecken" war dies nicht mög­lich. Ein Auschecken ist erst nach 2 Minuten mög­lich.

Achtung: Für den Fall dass die Funktion "Private Treffen" für geschäft­li­che Zwecke genutzt wird, müs­sen Informationspflichten gemäß DSGVO Artikel 13 gege­ben wer­den!

Check-In / Check-Out Zeiten dif­fe­rie­ren zwi­schen den teil­neh­men­den Handy's:
Handy 1 star­tet ein pri­va­tes Treffen um 20:00
Handy 2 checkt um 20:02 in das pri­va­te Treffen von Handy1 ein
Handy 2 check um 20:12 aus dem pri­va­ten Treffen von Handy1 aus.
Handy 1 ver­merkt um 20:10 dass Handy 2 aus­ge­checkt hat.

Historie pri­va­te Treffen:
Handy 2 ver­merkt in der Historie wann bei wel­cher Person(Besitzer Handy1) ein und aus­ge­checkt wur­de.
Handy 1 ver­merkt dass mit der Person(Besitzer Handy2) ein Treffen statt­fand. Es wird die Endzeit des Treffens (ent­spricht in etwa der Check-Out Zeit von Handy2) vermerkt.«

Der größ­te Luca-Fan ist Bodo Ramelow. Der wird schon damit klarkommen.

Bei Veranstaltungsbesuchen gilt:

»Tipps für ohne Handy:
Wie auch schon bei der Papiererfassung DARF der sei­tens des Clubs zur Vertraulichkeit ver­pflich­te­te Mitarbeiter (z.B. Türsteher) kon­trol­lie­ren ob plau­si­ble Daten ein­ge­ge­ben wur­den. Bei begrün­de­tem Zweifel DARF der Personalausweis ver­langt.
Die Erfassung ist so zu gestal­ten, das NIEMAND ande­res die Daten sehen kann.

Der Checkout:
Der Besucher schiebt sei­nen Regler auf Check-Out, bei bestehen­der Internetverbindung redu­ziert sich die Anzahl der ein­ge­check­ten Gäste umge­hend beim Betreiber/Club.
Die per Kontaktformular ein­ge­tra­ge­nen Gäste kön­nen bis­her nur sei­tens des Betreibers aus­checken – und zwar ALLE per Kontaktformular ein­ge­check­ten (Nachteil da die Uhrzeit schon rele­vant sein kann)…

Im Backend (für Betreiber, Clubs) besteht die Möglichkeit anzu­ge­ben, dass Besucher auto­ma­tisch aus­ge­checkt wer­den, wenn bestimm­ter (zuvor vom Betreiber/Club) fest­ge­leg­ter Radius ver­las­sen wird. Woher ist der App bekannt wo ich mich befin­de??? Dazu muss die Berechtigung: Standort akti­viert sein. Eine Internetverbindung ist eben­falls erforderlich.«

»Sonderfall Firmenhandy: Die CoronaVo ermög­lich es unter bestimm­ten Umständen sei­ne Firmenkontaktdaten zu hin­ter­le­gen. Bei einem nur einer Person zuge­ord­ne­ten Firmenhandy ist die­se Möglichkeit gege­ben.
Wird das pri­va­te Handy für den geschäft­li­chen Check-In genutzt, wäre kurz vor­her die Adresse zu ändern. Die Hinterlegung der Firma ist nicht mög­lich.
Bei einem Firmenhandy wel­ches von meh­re­ren Personen geschäft­lich genutzt wird, müß­te jedes­mal der Name der Person in der APP geän­dert wer­den. Erfolgt die Info an die Firmenhandynummer "Sie sind infi­ziert, bit­te las­sen Sie sich testen" ist (zurecht) unklar, auf­grund wel­chen Datums/Uhrzeit/Kontaktes (besuch eines Betreibers/Clubs) die­se Info erfolgt.
Tipp: -> Ein von meh­re­ren Personen genutz­tes Firmenhandy NICHT für Luca nutzen!«

Besserer Tipp: Nur mit mehr­fach genutz­ten Firmenhandys in den Club und mal schau­en, was passiert.

»Montag 9 Uhr, der Frisör öff­net und macht einen QR-Code für die Kunden zum ein­scan­nen ver­füg­bar. Diverse Kunden kom­men, checken ein, checken aus. CoraRona ist die letz­te Kundin um 17:30. Sie Checkt ein, sie checkt mit der Luca-App aus. Am Dienstag wird CoraRona posi­tiv auf Corona geste­stet. Das Gesundheitsamt for­dert die Daten für den Montag vom Frisör an und erhält die Daten von ALLEN Kunden die mit der Luca-App an den Tag den QR-Code gescannt haben. Anhand der Uhrzeit kann das Gesundheitsamt (hof­fent­lich) sehen, das CoraRona erst um 17:30 kam und die Kundenden vor ca 17Uhr30 NICHT infor­miert wer­den müs­sen, dass die­se sich testen las­sen sollen.«

Update

»Fehlende Transparenz

Was den Datenschutz in der App anbe­langt, hat der Landesbeauftragte für Datenschutz und Informationsfreiheit von Baden-Württemberg die Nutzung der App unter­stützt. Demnach wird die Dokumentation der Kontakte auf "tech­nisch höch­sten Stand ver­schlüs­selt und liegt in der Hand des Luca-Nutzers." Auch der frü­he­re Datenschutzbeauftragte von Schleswig-Holstein Dr. Thilo Weichert sieht in den kurz­zei­tig wech­seln­den QR-Codes einen zusätz­li­chen Schutz der Nutzerdaten. Allerdings kri­ti­siert er, dass die App den Code nicht als Open Source zur Verfügung stellt. So wäre eine brei­te­re Überprüfung mög­li­cher Lücken und Risiken mög­lich. Fehlende Transparenz kri­ti­siert eben­falls Prof. Dr. Tibor Jager, Professor für IT-Sicherheit und Kryptographie an der Bergischen Universität Wuppertal. Zur Einschätzung der Sicherheit der App feh­len dem­nach eine genaue tech­ni­sche Systembeschreibung, Quellcode der App und wei­te­re Details. So ist eine unab­hän­gi­ge Überprüfbarkeit durch Experten oder fach­kun­di­ge Nutzer fast unmög­lich.«
mac​welt​.de

23 Antworten auf „Verfolgungs-App "Luca" und der Datenschutz“

  1. Wie krank (im wahr­sten Sinne des Wortes) muss man sein, sich so etwas auf sei­nem Handy zu instal­lie­ren? Wer mit­tei­lungs­be­dürf­tig ist und die Regierung stets an sei­nem Privatleben teil­ha­ben las­sen möch­te, wird die App sicher­lich gut finden.

    Wer eher etwas mehr auf Privatsphäre setzt und abwar­ten kann, bis die Stümper aus Berlin nicht mehr wei­ter kom­men, dürf­te bes­ser dran sein. Die Naivität der Rgeirenden ist kaum noch zu über­bie­ten, mit Ausnahme der Bevölkerungsteile, die so etwas tat­säch­lich gut finden.

  2. @aa Wie sind Sie bloß auf den Meister ver­fal­len? Ein Datenschutzbeauftragter, der sich iwie müh­sam auf Corona Apps spe­zia­li­sie­ren will, ein Werbevideo zu "Der Weihnachtsmann und der Datenschutz" auf der Website hat und als gewerb­li­cher Datenschutzexperte selbst auf sei­ner eige­nen Seite weder Impressum noch Datenschutzerklärung ausweist???!!

  3. "Im Backend (für Betreiber, Clubs) besteht die Möglichkeit anzu­ge­ben, dass Besucher auto­ma­tisch aus­ge­checkt wer­den, wenn bestimm­ter (zuvor vom Betreiber/Club) fest­ge­leg­ter Radius ver­las­sen wird. "

    "Woher ist der App bekannt wo ich mich befinde???"
    Zum Beispiel: Wenn der Besucher eines Clubs sih auf dem Klo befindet.
    Durch den Geruch, das von der App sofort regi­striert und an den Türsteher oder – wen auch immer – gemel­det wird 

    Sollte der Besucher dann Durchfall bekom­men durch sein dau­ern­des Ein- und Ausschecken und nicht mehr vom Klo run­ter­kom­men, fin­det ein Notruf statt.….. 

    Leute, die so etwas mit sich rum­tra­gen, hal­te ich – mit Verlaub – für hirnverbrannt.

  4. Okay, ich wer­fe mein Smartphone in den Gully und ver­wen­de wie­der das olle Nokia 6300, was noch für Notfälle in der unter­sten Schreibtischschublade bereit­liegt. Oder darf ich dann nie mehr zum Friseur??

  5. Off topic, aber wich­ti­ger als die­ser Nebenkriegsschauplatz ist:

    Durch die C‑Impfung her­vor­ge­ru­fe­ne resi­sten­te­re Corona-Viren wer­den zu einer grö­ße­ren Katastrophe führen.

    Anfangs in USA, GB und Israel, dank deren ver­meint­li­cher kurz­zei­ti­ger Impferfolge.

    Jüngere soll­ten sich NICHT imp­fen las­sen, son­dern mög­lichst gesund leben und nor­mal an Corona erkranken. 

    Eine offe­ne­ne wis­sen­schaft­li­che Diskussion dar­über ist sehr von Nöten.

    Södolf will die Jüngeren impfen.
    Wer stoppt ihn?

    https://​www​.you​tube​.com/​w​a​t​c​h​?​v​=​Y​t​H​f​I​0​0​D​_s4

  6. An sich braucht es die Überwachungsapp gar nicht mehr. Wir haben gesetz­lich ver­ord­ne­te Rauchwarnmelder in den Wohnungen, die häu­fig Funkrauchwarnmelder sind. Die Fabrikate von Techem ent­hal­ten zusätz­lich Ultraschallabstandsmesser und Helligkeitsmesser. Damit lie­ße sich schon abschät­zen, wie­vie­le Leute sich im Schlaf- und Wohnzimmer befin­den. Außerdem wer­den ver­mehrt fun­ken­de Wasser‑, Strom- und Heizungszähler ver­baut, die im Minutentakt Daten erfas­sen und über­tra­gen. Damit las­sen sich auch unge­wöhn­li­che Nutzungsmuster einer Wohnung auf­decken. Aber wer nichts zu ver­ber­gen hat, braucht ja auch nichts zu befürchten.

  7. Klingt sehr kom­for­ta­bel und praxistauglich.
    Wer ger­ne Formulare aus­füllt und schon immer ger­ne eine Stasiakte gehabt hät­te wird das Teil lieben.

  8. Man neh­me:
    Die Url der App
    https://​luca​-app​.de/
    füge die­se in das Online-Tool webkoll
    https://​webb​koll​.datas​kydd​.net/​de/
    ein
    und man erhält fol­gen­de Angaben:

    Ergebnisse für http://​www​.luca​-app​.de
    2021-03-09 10:24:39 Etc/UTC

    HTTPS als Voreinstellung: Ja
    Content Security Policy: fehlt
    Referrer Policy: Referrers wer­den übermittelt
    Cookies: 0
    Drittanfragen (Third-Party): 5 Anfragen an 3 ein­zig­ar­ti­ge Hosts
    Serverstandort: Deutschland—35.207.72.235
    ——
    auf NACHSCHLAGEN anklicken
    Location
    City Frankfurt am Main
    Region Hesse (HE)
    Postal code 60313
    Country Germany (DE)
    Continent Europe (EU)
    Coordinates 50.1188 (lat) / 8.6843 (long)
    Time 2021-03-09 11:24:48 (Europe/Berlin)

    Network
    IP address 35.207.72.235
    Hostname 235​.72​.207​.35​.bc​.goo​g​leu​ser​con​tent​.com
    Provider GOOGLE
    ASN 15169

    Im "Daten(NICHT)schutz-Schlaffenland-Hessen" angesiedelt!
    Da kann nichts schief gehen!

    Was nützt der gan­ze Sicherheits-und Datenschutz-Schnickschnack, wenn alle Daten über
    google
    "lau­fen?"

  9. Jetzt wird es lang­sam mal Zeit die App und home­of­fice co2 Bilanzen zu errech­nen. Da müss­ten die Grünen im Dreieck hüp­fen, nach mei­ner Schätzung müss­te die ver­hee­rend sein.

  10. Anbei eine Auswahl an sol­chen Datenschutz-Falschmeldungen, die dazu beitragen,
    dass Datenschutz als »Verhinderer« wahr­ge­nom­men wird.

    Medienbeiträge
    Zwangsnutzung Corona-Warn-App
    Kritik an Datenschutz: Bitkom for­dert Zwangsnutzung von Corona-Apps (März 2021, golem​.de)
    Nida-Rümelin kri­ti­siert Festhalten an Datenschutz (März 2021, Deutschlandfunk)
    Richtig ist: Akzeptanz schafft man nicht durch Zwang und Vorschriften, son­dern über Vertrauen und Dialog.
    https://​www​.kuketz​-blog​.de/​c​o​r​o​n​a​-​p​a​n​d​e​m​i​e​-​e​i​n​e​-​s​a​m​m​l​u​n​g​-​v​o​n​-​d​a​t​e​n​s​c​h​u​t​z​-​f​a​l​s​c​h​m​e​l​d​u​n​g​en/

    Siehe auch: Techniktipps für Einsteiger – Profis
    https://​www​.kuketz​-blog​.de/​e​m​p​f​e​h​l​u​n​g​s​e​c​ke/

  11. Ausgangspunkt
    https://​www​.weser​-kurier​.de/
    darin

    » Achimer Kurier
    » Corona: Stadt Achim ist eine der Modellregionen für Lockerungen

    Öffnung von Läden und Außengastronomie
    Achim wird Corona-Modellregion in Niedersachsen
    Kai Purschke und Britta Körber 03.04.2021 0 Kommentare

    Die Stadt Achim gehört zu den 25 Modellregionen in Niedersachsen, in denen nun Corona-Lockerungen aus­pro­biert wer­den. Unter bestimm­ten Voraussetzungen dür­fen Geschäfte und Fitnessstudios öffnen.

    Voraussetzung für den Zutritt sind aller­dings ein tages­ak­tu­el­ler nega­ti­ver Corona-Schnelltest sowie die elek­tro­ni­sche Erfassung der Kontaktdaten über die Luca-App. 

    https://​www​.weser​-kurier​.de/​r​e​g​i​o​n​/​a​c​h​i​m​e​r​-​k​u​r​i​e​r​_​a​r​t​i​k​e​l​,​-​a​c​h​i​m​-​w​i​r​d​-​c​o​r​o​n​a​m​o​d​e​l​l​r​e​g​i​o​n​-​i​n​-​n​i​e​d​e​r​s​a​c​h​s​e​n​-​_​a​r​i​d​,​1​9​6​8​1​1​5​.​h​tml

  12. Anmerkung: Andere Länder sind beim Thema Digitalisierung=Überwachung schon weiter.
    Wir holen jetzt auf!

    "MfG, GPLDie fan­ta­sti­sche Lizenz der Luca-App

    Doch von Anfang an gab es Kritik an der App.
    Ein Forschungsteam der Universität EPFL in Lausanne zeig­te in einer Analyse auf,
    https://​arxiv​.org/​p​d​f​/​2​1​0​3​.​1​1​9​5​8​.​pdf?
    dass die zen­tra­le Speicherung von Daten auf den Servern der Luca-Betreiber ein poten­ti­el­les Sicherheitsrisiko darstelle. 

    Auch könn­ten Nutzer:innen zu leicht de-anony­mi­siert werden.
    Wer das zen­tra­li­sier­te System nut­ze, müs­se den Versprechen der Betreiber über Sicherheit und Anonymität vertrauen."
    Quelle:
    https://​netz​po​li​tik​.org/​2​0​2​1​/​m​f​g​-​g​p​l​-​d​i​e​-​f​a​n​t​a​s​t​i​s​c​h​e​-​l​i​z​e​n​z​-​d​e​r​-​l​u​c​a​-​a​pp/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert