KDSA Ost hat erhebliche Bedenken gegen Luca in Brandenburg

Der Diözesandatenschutzbeauftragte für die ostdeutschen Bistümer ist kein Freund der Luca-App zur Kontaktverfolgung – das hat er schon im vergangenen April ungewöhnlich deutlich gemacht: »datenschutzrechtlich zweifelhaft und demnächst überflüssig«, war sein Urteil. Jetzt setzt er noch einen drauf – zumindest für kirchliche Stellen im Land Brandenburg: »Kirchliche Datenschutzaufsicht empfiehlt alle[n] kirchlichen Dienststellen im Land Brandenburg, für die Kontaktnachverfolgung ausschließlich die Corona Warn-App (CWA) zu nutzen!«, heißt es in der aktuellen Pressemeldung.

Die Corona-Warn-App läuft auf einem Handy
(Bildquelle: Photo by Mika Baumeister on Unsplash)

Die Einschätzung »demnächst überflüssig« war im April nur etwas zu optimistisch, aber immerhin haben die meisten Bundesländer mittlerweile dann doch Abstand von Luca genommen – aber Brandenburg setzt immer noch darauf. Und nicht nur für Kontaktverfolgung in der Corona-Bekämpfung soll Luca genutzt werden – die brandenburgische Justizministerin hat noch ganz andere Begehrlichkeiten: Eine Verwendung zur Strafverfolgung. (Unter anderem netzpolitik.org hat die Details.)

Für die KDSA Ost hat die Zweckentfremdung für Ermittlungen das Fass zum Überlaufen gebracht: »Dieses Ansinnen der Justizministerin ist rechtswidrig, weil es gegen den Grundsatz der Zweckbindung gem. Art. 5 Abs. 1 lit. b DS-GVO verstößt«, heißt es in einer Presseerklärung vom Donnerstag. Vor dem Hintergrund, dass ein »datenschutzkonformer Umgang mit Kontaktnachverfolgungsdaten im Land Brandenburg nicht gewährleistet« sei, empfiehlt die KDSA Ost allen Stellen in ihrem Zuständigkeitsbereich, zur Kontaktnachverfolgung ausschließlich die Corona-Warn-App zu nutzen.

Rechtliche Qualität der KDSA-Empfehlung

Die naheliegende Frage: Was bedeutet das nun? Im Köcher ihrer Befugnisse hat die Datenschutzaufsicht zwei Werkzeuge, um einer derartigen Empfehlung Zähne zu verleihen: 

  • Eine Anweisung gemäß § 44 Abs. 2 lit. a) KDG, der kirchliche Stellen Folge zu leisten haben,
  • und das Beanstandungsverfahren, im Zuge dessen angeordnet werden kann, dass Verarbeitungen einzustellen sind (§ 47 Abs. 4 lit. c) KDG).

In der Pressemitteilung der KDSA Ost wird nicht näher auf die Rechtsqualität der Äußerung eingegangen. Auf Anfrage teilt der Diözesandatenschutzbeauftragte Matthias Ullrich aber mit, dass er zu diesem scharfen Schwert nicht greift. Mit dem Hinweis sei keine Anweisung verbunden, auch ein Verbot der Anwendung der Luca-App sei damit nicht ausgesprochen. »Wenn Einrichtungen diese Empfehlung nicht umsetzen, führt das nicht zwingend zu einem Datenschutzvorfall. Dementsprechend werden wir kein Verbot der Verarbeitung in diesen Fällen erlassen. Auch werden wir nicht gegen Einrichtungen vorgehen, die die Luca-App weiterhin verwenden«, so Ullrich.

Ganz formaljuristisch liegt also lediglich ein unverbindlicher, wenn auch dringender Appell vor, den die Aufsicht im Zuge ihrer Aufgabe ausspricht, die Öffentlichkeit über Risiken der Verarbeitung zu sensibilisieren (§ 44 Abs. 3 lit. a) KDG). (Ein mittlerweile korrigierter Fehler im ersten Satz der Pressemitteilung deutet darauf hin, dass dort zunächst statt »empfiehlt« »fordert auf« stand.)

Auf Anfrage betont Ullrich noch einmal, dass er die Gefahr sieht, dass die mit Hilfe der Luca-App zur Kontaktnachverfolgung erhobenen Daten »im Land Brandenburg nicht in rechtskonformer Weise« verwendet werden. »Um unsere Einrichtungen zu schützen und diese nicht in einen Konflikt zwischen staatsanwaltlichen Anweisungen und datenschutzrechtlichen Regelungen zu bringen, haben wir diese Empfehlung ausgesprochen«, erläutert der Diözesandatenschutzbeauftragte.

In der Praxis

Die Argumente gegen die Verwendung von Luca (etwa eine Reihe von Sicherheitslücken) liegen schon lange auf dem Tisch. Nun kommt mit den Begehrlichkeiten im Bereich der Strafverfolgung und der darauf aufbauenden Warnung der KDSA Ost noch weitere gute Gründ dazu, Luca nicht zu verwenden.

Mit der Corona-Warn-App gibt es auch eine datensparsame Alternative, die noch dazu die ohnehin überforderten Gesundheitsämter nicht unnötig belastet. Der Aufwand, für die Kontaktnachverfolgung Luca durch die CWA zu ersetzen, ist ausgesprochen übersichtlich: Auf der Webseite der CWA das Formular ausfüllen, einen einzelnen QR-Code oder auf Grundlage von Datentabellen im csv-Format gleich mehrere generieren, ausdrucken, aufhängen, fertig.

Aufgrund des Systemdesigns der Corona-Warn-App liegt nicht einmal eine Verarbeitung seitens der Stelle vor, die so vorgeht. Die Verarbeitung findet allein in der App auf dem jeweiligen Gerät statt, Daten landen bei Anbieter*innen von CWA-Checkins gar nicht. Der Vorteil: es braucht keine komplizierten Auftragsverarbeitungsverträge und keinen Aufwand im eigenen Datenschutzmanagement, Poster mit QR-Code aufhängen genügt.

Ganz anders bei Luca: Immer weniger Bundesländer schreiben Kontaktnachverfolgung vor. Auch in Brandenburg sieht die Corona-Schutzverordnung Kontaktnachverfolgung derzeit und seit der Fassung vom 8. Februar 2022 nur noch für Einrichtungen des Gesundheits- und Sozialwesens vor. Ohne eine explizite Rechtsgrundlage dürfte eine Kontaktdatenerfassung für alle anderen Stellen in Brandenburg und überall dort, wo es keine gesetzliche Pflicht gibt, nur mit einer Einwilligung zulässig sein, während die datensparsame Event-Funktion der Corona-Warn-App mangels Verarbeitung als zusätzliches Schutzinstrument ohne Bürokratie verwendet werden kann – auch überall dort, wo es keine Rechtsgrundlage gibt.

Die KDSA Ost gibt noch den hilfreichen Hinweis, beim Umstieg eine Daten-Auskunft beim verantwortlichen Betreiber von Luca einzuholen, »in der die fristgemäße und ordnungsgemäße Löschung der betroffenen Daten bestätigt werden sollte«, um die Erfüllung der der kirchlichen Stelle auferlegten Löschpflichten dokumentieren zu können.

Auch wenn kirchliche Stellen bei Luca bleiben: Für den Selbstdatenschutz kann man sich einfach weigern, Luca zu verwenden, ohne die Kontaktverfolgung zu boykottieren, jedenfalls dann, wenn der Checkin über QR-Code realisiert ist: Luca-QR-Codes lassen sich auch zum CWA-Checkin verwenden.

Fazit

So deutlich wie die KDSA Ost hat sich bisher noch keine kirchliche Aufsicht geäußert – das trifft nicht nur auf die Position zu Luca zu. Dennoch: So deutlich die Worte sind – und einer Justizministerin Rechtsbruch vorzuwerfen, ist schon sehr deutlich: Mit Blick auf die vorgesehenen Befugnisse der Aufsicht bleibt es doch beim allermildesten Mittel, der Sensibilisierung der Öffentlichkeit. Das minimiert das Risiko für die Aufsicht – trägt aber nicht zur Rechtssicherheit für Einrichtungen bei: Angesichts der dramatischen Lageschilderung hätte auch ein Verbot nicht unverhältnismäßig gewirkt. (Mangels Rechtsgrundlage für alle sind aber in Brandenburg ohnehin nur noch Einrichtungen des Gesundheits- und Sozialwesens überhaupt in der Situation, datenbehaftete Kontaktnachverfolgung zu betreiben.)

Ein Verbot hätte dann aber auch Neuland beschritten: Ein pauschales Verbot eines Dienstes gab es bislang noch nicht – ob das überhaupt über das Instrument einer Anweisung möglich ist, ist mit Blick auf den Wortlaut der Norm keineswegs völlig sicher: Anweisungen müssen denklogisch gegenüber jemandem ausgesprochen werden – das geht konkreten Einrichtungen gegenüber, gegenüber allen Stellen im Zuständigkeitsbereich müsste geklärt werden, wie die Anweisung die Stellen erreicht. Möglicherweise durch eine Publikation im bischöflichen Amtsblatt? Geregelt ist das im KDG nicht.

Dennoch: Unabhängig von der Rechtsqualität lohnt sich die Umsetzung des Hinweises – CWA-Kontaktnachverfolgung ist so einfach und zugänglich zu implementieren, dass es eigentlich keinen Grund gibt, auf eine andere technische Lösung zu setzen. Erst recht, wenn es für andere Methoden ohnehin keine Rechtsgrundlage gibt.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert