Luca-App Daten

Mandanteninformation GDPC vom 10.01.2022

Polizei nutzt rechtswidrig personenbezogene Daten aus der luca-App

Wir möchten Sie heute über jüngste datenschutzrelevante Entwicklungen in Zusammenhang mit der luca-App informieren, die von vielen Unternehmen zur Kontaktnachverfolgung genutzt wird. Schon seit Einführung der App gab es zahlreiche datenschutzrechtliche Risiken, die seitens des Betreibers nur teilweise behoben wurden (weitere Informationen hierzu finden Sie unter Luca App Kritik & Datenschutz: Nicht alles Gold was glänzt). So raten bspw. über 70 führende IT-Sicherheitsforscher von der Nutzung dieser App ab und verweisen auf alternative sicherere Angebote zur digitalen Kontaktnachverfolgung, wie etwa auf die Corona-Warn-App des Bundes.

 

Was ist nun passiert?

Die Daten, die durch die Nutzung der luca-App gesammelt werden, sollten eigentlich sicher und vor allem vor unbefugten zweckentfremdeten Zugriffen Dritter geschützt sein. Doch die Mainzer Polizei sah das offenbar nicht ein. Für die Suche nach Zeugen bei einem Todesfall (Sturz mit Todesfolge) fragten die Fahnder rechtsmissbräuchlich Kontaktinformationen aus dem Luca-System ab; dies berichtete der SWR unter Verweis auf eigene Recherchen. Die Mainzer Staatsanwaltschaft hat den rechtswidrigen Missbrauch der personenebezogenen Daten eingestanden und sich hierfür entschuldigt.

Dass Strafverfolgungsbehörden, die zur Kontaktnachverfolgung erhobenen Daten durch die strenge Zweckbindung nicht nutzen dürfen, ist eigentlich klar, was sich u.a. aus § 28a Infektionsschutzgesetz ergibt. Gleiches schreibt etwa auch § 1 der Corona-Bekämpfungsverordnung des Landes RLP vor. Aber: Daten wecken immer zahlreiche Begehrlichkeiten, vor allem bei (Strafverfolgungs-)Behörden und Kriminellen; zumindest erstere sollten sich aber an geltendes Recht halten.

Mehrere Bundesländer erwägen daher derzeit auch einen Stopp der Nutzung der Luca-App und überlegen, ob die zugrundeliegenden Verträge mit dem Betreiber der Software überhaupt verlängert werden sollen. Gleiches fordern auch zahlreiche Politiker von Grünen und FDP und rufen dazu auf, die Luca-App von Smartphones zu löschen.

Ob man sich bei der Nutzung dieser App sicherfühlt, muss aber nach wie vor jeder selbst entscheiden.

Ihre Datenschutzbeauftragten von der GDPC
Dr. Kevin Marschall und Stephan Blazy

Starten Sie heute

Unser Netzwerk wird Lösungen schaffen! Das garantieren wir. Wir freuen uns auf Ihre Anfrage.
Sprechen Sie mit unseren Experten und finden Sie Lösungen für Ihr Unternehmen, Ihre IT-Sicherheit und Ihre Haftungssituation.

Einwilligung zur Datenverarbeitung

9 + 11 =

3G-Pflicht am Arbeitsplatz – Datenschutzrechtliche Pflichten beachten

Mandanteninformation GDPC vom 22.11.2021

3G-Pflicht am Arbeitsplatz – Datenschutzrechtliche Pflichten beachten

Wir möchten Sie heute über die datenschutzrechtlichen Auswirkungen der 3G-Pflicht am Arbeitsplatz informieren. Bundeseinheitlich und unabhängig von der Betriebsgröße gilt ab Mittwoch (24.11.2021) die 3G-Pflicht am Arbeitsplatz.

Das bedeutet, dass die Mitarbeiter einen Nachweis über den 3GStatus (genesen, geimpft, getestet) vorlegen müssen, der Arbeitgeber diese Nachweis kontrolliert und entsprechend dokumentiert. Ohne Nachweis darf der Arbeitgeber den Mitarbeiter nicht auf das Betriebsgelände lassen (stichprobenartige Kontrollen genügen nicht).

Die Pflicht des Arbeitgebers bezieht sich auf alle Mitarbeiter, die im Betrieb Kontakt zu anderen Personen haben können (!). Wichtig: Auf solche Mitarbeiter, die ausschließlich im Home-Office arbeiten oder die zu Zeiten arbeiten, in denen sich keine anderen Beschäftigten oder Kunden im Betrieb aufhalten, bspw. bei abendlichen Reinigungskräften, bezieht sich die 3G-Pflicht nicht. In diesem Fall dürfen grds. auch keine entsprechenden personenbezogenen Daten (genesen, geimpft, getestet) erhoben werden. Bitte berücksichtigen Sie dies bei der entsprechenden Ausgestaltung des Prozesses.

Für die Kontrolle und die damit verbundene Dokumentation dürfen Arbeitgeber auch entsprechende Daten ihrer Beschäftigten verarbeiten, da diese zur Kontrolle und zum Nachweis derselbigen verpflichtet sind. Gemäß des Grundsatzes der Datenminimierung muss aber unbedingt darauf geachtet werden, dass so wenige personenbezogene Daten wie möglich gespeichert werden.

So dürfen Arbeitgeber bspw. erfassen, bei welchen Mitarbeitern – mangels Impfung oder Genesung – ein täglicher Testnachweis erforderlich ist. Eine Kopie des Impfausweises oder der GenesenenBescheinigung ist jedoch grds. nicht statthaft. Es reicht hierfür bspw. das Anfertigen einer Dokumentation mit Name des Beschäftigten; Vorliegen der vollständigen Impfung oder der Genesung (bei letzterem inkl. Ablaufdatum); Datum der Kontrolle.

Ihre Datenschutzexperten der GDPC

Dr. Kevin Marschall und Stephan Blazy

Starten Sie heute

Unser Netzwerk wird Lösungen schaffen! Das garantieren wir. Wir freuen uns auf Ihre Anfrage.
Sprechen Sie mit unseren Experten und finden Sie Lösungen für Ihr Unternehmen, Ihre IT-Sicherheit und Ihre Haftungssituation.

Einwilligung zur Datenverarbeitung

4 + 2 =