Das ist doch mal erfreulich: Die Hype-App du jour hat sich Datenschutz auf die Fahnen geschrieben. Die Kontaktverfolgungs-App »luca« für private Treffen, öffentliche Veranstaltungen und Gastronomie hat viel Lob bekommen: Endlich weg von der Zettelwirtschaft und hin zu einer einfachen, datenschutzkonformen Rückverfolgbarkeit! Erstaunlich viele Testimonials hat die App, Mecklenburg-Vorpommern hat sie lizenziert – und auch kirchliche Veranstalter*innen – von Bildungshäusern bis zum Kirchenkaffee – könnten davon profitieren.

Erste Interessent*innen gibt es bereits: Am Montag kündigte die Katholische Akademie des Bistums Dresden-Meißen die Nutzung von neuen Kontaktnachverfolgungsapps, darunter »luca«, an: »Wir sind davon überzeugt, dass wir mit dem System für die verschlüsselte, anonymisierte und datenschutzkonforme Kontaktdatenregistrierung und eine schnelle und lückenlose Nachverfolgung von Infektionsketten einen sinnvollen Beitrag leisten, unsere Besucher und Referent*innen vor Infektionen zu schützen«, so Akademie-Direktor Thomas Arnold.

Aber sind diese und andere Apps überhaupt im kirchlichen Kontext problemlos verwendbar? Während die technischen Anforderungen der kirchlichen Datenschutzgesetze sich nicht von den Anforderungen der DSGVO unterscheiden, gibt es doch Besonderheiten: Nach evangelischem Datenschutzrecht ist Auftragsverarbeitung durch nichtkirchliche Stellen generell anspruchsvoll, nach katholischem bereiten Drittlandsübertragungen Schwierigkeiten.

Technische Zulässigkeit

Eine technische Prüfung von »luca« soll hier nicht geleistet werden – das ist leider ohnehin schwierig, da der Quellcode nicht offen liegt. Deutliche Kritik daran gibt es von @zerforschung und netzpolitik.org; die fünf von D64 aufgestellten Kriterien erfüllt »luca« nur teilweise – und dass das Konzept einen zentralen Datenspeicher vorsieht, ist nach der dezentralen Corona-Warn-App schon ein herber Rückschritt.

Geradezu euphorisch zeigte sich aber der baden-württembergische Landesdatenschutzbeauftragte: »Wir haben die App technisch und rechtlich geprüft. Die App erfüllt unsere hohen Datenschutz-Standards. Die Dokumentation der erfolgten Kontakte wird auf technisch höchstem Stand verschlüsselt und es liegt allein in der Hand des luca-Nutzers, ob, wann und mit wem er diese sensiblen Daten teilen möchte«, so LdDI Stefan Brink. Auch wenn das nicht selbst nachvollziehbar ist: Mit dieser Referenz sollte vielleicht nicht im strengeren Sinn, aber doch zumindest für die Compliance die erste Hürde genommen sein. Jedenfalls hat man jemanden, auf den man mit den Fingern zeigen kann.

[Ergänzung, 9. April 2021]Seit der ersten Veröffentlichung des Artikels ist einiges passiert – immer mehr immer deutlichere Bedenken zur grundsätzlichen Qualität von luca sind aufgetaucht, eine sehr negative Stellungnahme der KDSA Ost ist erschienen. Auf dieser Grundlage dürfte es immer schwieriger sein, für die technische Zulässigkeit grünes Licht zu geben – dieser aktuelle Debattenstand sollte bei der Beurteilung mit einbezogen werden. Einen ausführlichen Überblick dazu gab es im mit weiterführenden Shownotes ausgestatteten Podcast Rechtsbelehrung.[/Ergänzung]

Wer ist eigentlich der Verantwortliche?

Die Corona-Warn-App ist noch relativ einfach – verantwortlich ist das Robert-Koch-Institut. Bei Luca ist es komplexer: Schließlich kommen dort noch Veranstalter*innen mit ins Spiel, die auch bei der Papierzettel-Rückverfolgung datenschutzrechtlich verantwortliche Stelle ist, weil sie »allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet«.

Auf Anfrage hat mir das Presseteam von »luca« eine leider nicht online verfügbare Übersicht von fünf Phasen der Datenverarbeitung zugeschickt, die jeweils die datenschutzrechtliche Verantwortlichkeit klärt: Nutzerregistrierung, Checkin, Freigabe der Nutzerhistorie, Freigabe der Kontaktdaten und Löschung. Betreiber*innen, also Gastgeber*innen von Veranstaltungsorten und Gastronomie, sind laut den Informationen in den Phasen »Checkin« und »Freigabe der Kontaktdaten [ans Gesundheitsamt]« datenschutzrechtlich verantwortlich, die luca-Betreiberfirma Culture4Life tritt als Auftragsverarbeiterin auf und bietet auch einen AV-Vertrag an (der für mich so weit nachvollziehbar und vollständig schien, aber auf jeden Fall von Verantwortlichen selbst geprüft werden muss). Für die Auftragsverarbeitung müssen nun im Rahmen der kirchlichen Datenschutzgesetze einige wenige Besonderheiten geprüft werden.

Auftragsverarbeitung nach kirchlichem Datenschutzrecht

Das katholische Gesetz über den kirchlichen Datenschutz (KDG) weicht an einer zentralen Stelle von der DSGVO ab: Auftragsverarbeitung in Drittländern ist dort deutlich schwieriger. (§ 29 Abs. 11 KDG.) Laut dem mir vorliegenden Auftragsverarbeitungsvertrag beschränkt sich die luca-Betreiberin aber darauf, Daten innerhalb von EU- und EWR-Staaten zu verarbeiten, außerdem wird ein Unterauftragnehmer angeführt, der zusätzlich in Großbritannien verarbeitet. Mit dem Angemessenheitsbeschluss der katholischen Datenschutzkonferenz für Großbritannien während der Brexit-Übergangszeit besteht damit nach römisch-katholischem Datenschutzrecht kein Problem (die alt-katholische Aufsicht hat auf einen Angemessenheitsbeschluss verzichtet – demnach sollen alt-katholische Betreiber*innen genauer überprüfen, ob dieser Unterauftragnehmer ein Problem darstellt). Nach evangelischem Datenschutzrecht besteht ohnehin keine von der DSGVO abweichende Regelung zum Standort der Verarbeitung.

Bei der Frage der Zulässigkeit der Auftragsverarbeitung durch nichtkirchliche Auftragnehmer*innen sind die Schwierigkeiten genau andersherum verteilt: Hier fordert das evangelische Datenschutzgesetz (DSG-EKD) explizit eine Unterwerfung des Auftragsverarbeiters unter die kirchliche Datenschutzaufsicht (§ 30 Abs. 5 DSG-EKD) – in der Theorie eher unspektakulär und mit Musterformularen der Aufsicht auch eigentlich gut umsetzbar, in der Praxis aber eine hohe Hürde, weil der Vorgang erklärt werden und vom Gegenüber auch vertraglich akzeptiert werden muss. Das KDG regelt die Sache deutlich weniger konkret, hier haben Verantwortliche und Auftragsverarbeiter*innen nur auf Anfrage mit der Datenschutzaufsicht zusammenzuarbeiten (§ 32 KDG). Die Umsetzung davon hat die katholische Datenschutzkonferenz maximal einfach gestaltet: Eine Bezugnahme im Vertrag wäre nett, aber zur Not tut’s auch ein Hinweis aufs KDG in einem Begleitschreiben zum Vertrag.

Auf Anfrage zeigte sich die luca-Betreiberfirma durchaus offen für die kirchlichen Besonderheiten, ohne bereits eine Antwort geben zu können. Insbesondere für evangelische Stellen bleibt also der luca-Einsatz auf dieser Basis vorerst noch problematisch. [Update, 22. April 2021]Die Betreiberfirma hat mitgeteilt, dass sie bereit ist, die nach evangelischem und nach katholischem Datenschutzrecht notwendigen Besonderheiten in Auftragsverarbeitungsverträgen zu unterzeichnen. Damit ist diese Hürde genommen.[/Update]

Einen anderen Weg geht die Lösung »e-guest«, die grundsätzlich ähnlich wie »luca« funktioniert. Auf Anfrage hat mir einer der Geschäftsführer mitgeteilt, dass nach deren Ansicht dort aufgrund der durchgängigen Verschlüsselung – nur das Gesundheitsamt kann unverschlüsselte personenbezogene Daten sehen – gar keine Auftragsverarbeitung vorliegt und damit auch keine kirchlichen Besonderheiten zu beachten wären. Ob die Einschätzung stimmt, lässt sich diskutieren – auch verschlüsselte Daten sind keine anonymisierten Daten. Wenn sich das aber halten ließe, würde es viel Kopfweh ersparen

Welche Rechtsgrundlage?

Rechtsgrundlage der Verarbeitung dürfte in der Regel die in den Corona-Schutzverordnungen geregelte Pflicht zur Rückverfolgbarkeit sein; da die App auch nicht mehr als eine Rückverfolgbarkeit gewährleisten soll, dürfte für Veranstalter*innen diese Rechtsgrundlage genügen; in der Datenschutz-Erklärung von »luca« wird ausführlich und sehr kleinteilig aufgeschlüsselt, wie die App-Betreiberin selbst die einzelnen Rechtsgrundlagen den einzelnen Verarbeitungen zuordnet – vieles davon auf Vertragsbasis. Bei Dr. Datenschutz geht man zudem (recht plausibel) davon aus, dass es für die Übermittlung der Daten ans Gesundheitsamt eine gesetzliche Grundlage braucht.

Fazit

Dank der mächtigen PR-Kampagne ist »luca« auf einem guten Weg, erfolgreich zu werden – denn, so nachvollziehbar und richtig die Kritik an closed-source-Anwendungen für sensible Datenverarbeitungen [Ergänzung, 9. April 2021] an ziemlich vielen Aspekten, auch nach der Offenlegung des Quellcodes, [/Ergänzung] ist, in der Praxis dürften Netzwerkeffekte wieder einmal Forderungen nach Transparenz und Nachvollziehbarkeit schlagen. Dabei ist »luca« aber nicht die einzige Lösung auf dem Markt (sie ist nur die einzige war-der-da-oder-die-da-nein-freitags-ist-sie-nie-da-App mit Smudo-Testimonial – den Promifaktor kritisiert auch das Gastgewerbe-Magazin) – etwa »e-guest« und das quelloffene »recover« machen der Papierlage nach auch einen guten Eindruck.

Eine Anwendung in kirchlichen Kontexten scheint insgesamt möglich zu sein – die Besonderheiten in den AV-Verträgen dürften für alle Anbieter*innen lösbar sein. Wenn die App-Betreiber wollen. Katholische Stellen dürften bereits jetzt mit einer einfachen Notiz zum AV-Vertrag auf der sicheren Seite sein, evangelische müssen eine Unterwerfungserklärung heraushandeln.

Ergänzungen: Offizielle Stellungnahmen

• Am 30. März 2021 hat der Datenschutzbeauftragte für Kirche und Diakonie eine »Stellungnahme zur Kontaktverfolgung mit digitalen Lösungen („luca“-App u.a.)« veröffentlicht, die im wesentlichen die Punkte der Äußerung der Datenschutzkonferenz bekräftigt. Auf die Frage nach der Anwendbarkeit für kirchliche Verantwortliche geht er nicht ein; der DSB-EKD verweist lediglich auf die DSK.
• Am 9. April 2021hat sich die KDSA Ost sehr deutlich geäußert: »Luca-App datenschutzrechtlich zweifelhaft und demnächst überflüssig« – auf einen Einsatz an kirchlichen Stellen geht er nicht an, die Äußerung klingt aber, als hielte er sie aus grundsätzlichen Gründen für nicht zulässig.