Nachdem Smudo (Bandmitglied der Kultband „Die fantastischen Vier“) die luca App in der Talkrunde von Anne Will ausführlich vorgestellt hat, ist die App enorm populär geworden. In den App Store Charts ist die luca App ganz vorne mit dabei. Das ist wichtig, denn der Verbreitungsgrad ist für den Erfolg einer solchen App ausschlaggebend.
Die App ist eine sehr gute Ergänzung zur Corona-Warn-App. Der große Unterschied zwischen den beiden Apps ist, dass man bei der luca App ein stückweit seine Anonymität preisgeben muss. Wir sind jedoch beeindruckt wie hier komplexe Anforderungen simpel abgebildet wurden.
Kritische Stimmen zu der App gab es in der Talkrunde nicht. Es wurde immer wieder die gute Verschlüsselung der App hervorgehoben. Das veranlasste uns dann die App etwas näher zu betrachten.
Wir haben dann 3 Fragen an den Datenschutzbeauftragten der culture4live GmbH (das sind die Verantwortlichen für die luca App) gesendet. Schon einen Tag später haben wir eine ausführliche Antwort erhalten. Vorbildlich!
Frage 1: Warum wird im Impressum erwähnt, dass auf den Webseiten Facebook Plug-ins und Google Analytics eingesetzt werden?
Google Analytics und Facebook Plug-Ins werden nicht eingesetzt. Dies waren noch alte Hinweise und wurden jetzt erst entfernt.
Frage 2(*): Welche Daten werden verschlüsselt, verschleiert oder im Klartext verarbeitet? Beispielsweise genannt sei hier die Verifizierung der Telefonnummer erfolgt über SMS.
Die Telefonnummer wird tatsächlich unverschlüsselt an Message Mobile zur Verifizierung weitergeben, allerdings ohne Bezug auf die anderen Dateneingaben. Message Mobile löscht die Telefonnummern nach der gesetzlichen Aufbewahrungsfrist von 90 Tagen. Im luca-System wird die Telefonnummer mit den anderen Eingaben nur verschlüsselt abgelegt.
Frage 3: Ist in irgendeiner Form sichergestellt, dass die Firma nicht von einem Investor aufgekauft wird, der dann ganz andere Interessen mit den Daten verfolgt? Wir nennen es gerne die WhatsApp-Falle.
Ein Verkauf von luca ist zurzeit nicht vorgesehen. Allerdings liegen die Daten nur verschlüsselt ab und die Schlüssel sind nur im Besitz der Nutzer, Betreiber und Gesundheitsämter. Daher ist der eigentliche Plattform-Betreiber nicht in der Lage die Daten zweckzuentfremden.
(*) Das eigentliche Verschlüsselungskonzept wurde uns detailliert beschrieben. Daraus die folgende Zusammenfassung:
- Daten die zur Registrierung notwendig sind. Diese werden auf Smartphone erfasst. Die zur Validierung benötigte Telefonnummer wird an einen Dienstleister unverschlüsselt gesendet. Bei erfolgreicher Validierung werden Telefonnummer und die Kontaktdaten des Benutzers auf Servern der Telekom verschlüsselt abgelegt. Der einzige Schlüssel verbleibt lokal auf dem Endgerät des Benutzers.
- Daten, die im Zusammenhang mit einem Check-In bei einem Betreiber anfallen. Diese Daten werden auf die Server der Telekom transportiert und dort verschlüsselt abgelegt.
- Daten, die mit dem Gesundheitsamt geteilt werden. Das Gesundheitsamt wird von einem Testzentrum über eine Infektion informiert. Das Gesundheitsamt setzt sich mit dem Infizierten telefonisch in Verbindung. Dieser kann dann freiwillig dem Gesundheitsamt eine Art TAN durchgeben und dabei dem Gesundheitsamt gegenüber seine Kontakthistorie offenlegen. Es wird dabei der luca-Plattform nicht bekannt, ob der Grund für die Freigabe, eine Infektion oder eine Nachverfolgung war.
- Daten, die durch Freigabe des Betreibers an das Gesundheitsamt übertragen werden. Ist der Betreiber mit Offenlegung dieser Daten einverstanden, so können diese mit dem Schlüssel des Gesundheitsamtes und dem Schlüssel des Betreibers, entschlüsselt werden.
Gemäß dem uns vorliegenden Verschlüsselungskonzeptes, erfolgt die Übertragung und die Speicherung der Daten immer verschlüsselt. Nur bei der ersten Validierung der Telefonnummer, wird diese unverschlüsselt übertragen. Wenn alle anderen Daten ordentlich verschlüsselt sind, dann halten sich unsere Bedenken im Rahmen. Wenn die App von einem großen Benutzerkreis eingesetzt wird, dann kann die luca App sehr wertvoll sein.
Wir sind dabei und wünschen uns allen viel Erfolg!