Die Timeline zur Luca-App

...was sollte ich beachten?

• Luca-QR-Code schützen
  Das bedeutet: QR-Code regelmäßig wechseln, nicht auf Social Media posten und z.B. in der Speisekarte platzieren, sodass man ihn beim Vorbeigehen nicht einscannen kann.
  Oder besser noch: Gar keinen QR-Code aushängen, sondern die Gäste selbst mit Deinem Smartphone einchecken (Scanner-URL).
• Luca-QR-Code-Bereich möglichst klein halten
  Teile Deine Location in möglichst kleine Bereiche (z.B. pro Tisch, Bar, ...) ein, sodass später zumindest eine rudimentäre Risikobewertung möglich ist. Keinem Gesundheitsamt bringt es etwas, im Infektionsfall eine Liste mit 2.000 Baumarkt-Kunden zu erhalten, wenn nur der Bereich beim Gartensortiment-Drive-In interessant gewesen wäre.
• Teile keine Scanner- und Kontaktformular-URLs
  Beides ermöglicht es fremdem/entfernten Menschen (wie auch beim Veröffentlichen von QR-Codes), Gäste bei Deiner Location einzuchecken. Teilweise waren Scanner- und Kontaktformular-URLs via Google auffindbar, weil Vereine sie öffentlich auf ihrer Webseite posteten.
  • Schwachstelle: Scanner-URLs offen, NutzerInnen im Namen von Locations eincheckbar, Auslastung in Echtzeit auslesbar
• Betriebsschlüssel ("Betreiberschlüssel" in der App) für Kontaktdaten sicher aufbewahren
  Die Luca-App wälzt eine wichtige Verantwortung an Menschen ab, die eine Location betreiben, ab: Damit die Kontaktdaten später beim Gesundheitsamt entschlüsselt werden können, wird im Infektionsfall auch der Betriebsschlüssel benötigt. Der wird in den meisten Fällen von der Luca-App nur beim Erstellen der Location gebraucht, dann selten abgefragt - spielt aber auch später eine große Rolle!. Achte daher darauf, dass Du den Schlüssel sicher aufbewahrst, ihn nicht verlierst - und er zu den erstellten QR-Codes passt.
  • Fall im LK Rostock: Betriebsschlüssel verloren, Daten nicht entschlüsselbar
• Rechtliche Rahmenbedingungen prüfen
  Nicht überall besteht die Pflicht zur Kontaktdatenerfassung. In Sachsen genügt bspw. eine anonyme Kontakterfassung (z.B. via Corona-Warn-App), in NRW ist seit dem 20.08.2021 gar keine Kontaktdatenerfassung mehr vorgesehen. Auch Hamburg plant die Einführung einer reinen 2G-Regel ab 28.08.2021. Damit fehlt die Rechtsgrundlage zum Erfassen der Daten.
  
  • Keine Kontaktdatenerfassung mehr in NRW - fehlt die Rechtsgrundlage?
• Bedarf ermitteln
  Wenn Du ohnehin nur namentliche Tickets für gewisse Zeiträume vergibst und dies auch bei Änderungen nachpflegst, brauchst Du möglicherweise gar keine (zweite!) Kontaktdatenerfassung.
• Du brauchst keinen (physischen) QR-Code-Scanner
  Dein Smartphone bzw. das Deiner Mitarbeitenden tut es auch (aber wie gesagt: Scanner-URL geheimhalten). QR-Codes musst Du dann scannen, wenn Gäste mit einem Luca-Schlüsselanhänger kommen oder Du keinen QR-Code aushängen magst. Die Scanner-URL findest Du im Luca-Webinterface.
  
  • “Oldenburger Münsterland: Der Luca-Schlüsselanhänger sorgt offenbar für einige Verwirrungen”
  • “Alzey: Luca-Schlüsselanhänger sorgen für Verwirrung”
• Überprüfung der 2G-Regel nur mit CovPass-Check!
  Nur mit der CovPass-Check-App lässt sich verlässlich überprüfen, ob ein Impfzertifikat gültig ist und ein Gast somit unter die 2G-Regel fällt (siehe auch die Webseite des RKI, digitaler-impfnachweis-app.de).

...was sollte ich beachten?

• Denke an den Check-Out!
  Denke beim Verlassen einer Location daran, Dich selbst auszuchecken. Andernfalls wird für Dich möglicherweise eine längere Aufenthaltsdauer erfasst - damit steigt die Wahrscheinlichkeit, dass Dich ein Gesundheitsamt im Infektionsfall kontaktieren muss, obwohl Du gar nicht mehr vor Ort warst.
• App-Löschung mit Vorsicht
  Relativ oft wird bei Fehlern der App empfohlen, die Luca-App auf dem Handy neuzuinstallieren. Bitte beachte: Beim Löschen der App geht die "Verknüpfung" zu Deinen Kontaktdaten und Traces verloren. Du wirst also nicht mehr benachrichtigt, wenn zu einem Check-In in der Vergangenheit Daten abgerufen werden. Ebenso kannst Du Deine Daten dann nicht mehr DSGVO-konform löschen.
• Mache Dir den Unterschied zwischen Luca-Schlüsselanhängern und -App bewusst
  Luca-Schlüsselanhänger sind anfällig für eine Reihe von Szenarien. Allen voran: Alle, die den Schlüsselanhänger in die Hände bekommen, können ihn kopieren und nutzen, da das Schlüsselmaterial statisch ist. Theoretisch könnten die Menschen, die die Luca-App betreiben, dann sogar auf Deine Historie und Kontaktdaten zugreifen.
  Außerdem: Mit einem Schlüsselanhänger kannst Du nicht auschecken. Selbst wer eine Location betreibt kann nur alle eingecheckten Leute auschecken, nicht individuell. Du wirst also möglicherweise 24 Stunden lang als "anwesend" gezählt, obwohl Du nur kurze Zeit anwesend warst.
  • Fremde Schlüsselanhänger lassen sich einchecken, Kontaktdaten für das Gesundheitsamt veränderbar (letzteres inzwischen behoben)
  • Nexenio hat Zugriff auf Seriennummer der Schlüsselanhänger - und damit auf das Bewegungsprofil von NutzerInnen
  • Schlüsselanhänger konnten nicht entschlüsselt werden (inzwischen behoben)
  • LucaTrack: Historie für Schlüsselanhänger auslesbar, damit Bewegungsprofile möglich (inzwischen behoben)
  • Beliebige 6-stellige Zahl funktioniert als TAN (bei Schlüsselanhängern behoben, TAN-Verifizierung in der App lässt sich noch immer umgehen)
• "Daten durch das Gesundheitsamt abgerufen" ist eine Warnung
  Die Meldung bedeutet, dass ein Gesundheitsamt Deine Daten aufgrund eines Infektionsfalls bei einer von Dir besuchten Location abgefragt hat. Luca beschreibt diese Meldung gerne als "Warnung". Eine rote Warnung wie man sie von der Corona-Warn-App kennt, die Dich über eine tatsächliche Gefahr informiert, kann vom Gesundheitsamt aber nicht ausgelöst werden - zumindest nicht über Luca.
• "Das Essen war sehr gut"
  Wenn Du innerhalb der Luca-App um eine Bewertung gebeten wirst, dann ist diese für die Luca-App - nicht für die Location, bei der Du gerade eingecheckt bist (aktuell nur Android-Nutzer).
  • Luca-Bewertungen enthalten immer mehr Restaurant-Bewertungen, Luca-Bewertung steigt dadurch

• Warum gibt es die Corona-Warn-App und die Luca-App?
  Die Corona-Warn-App bietet alle notwendigen Funktionen, um Kontaktnachverfolgung (sog. Contact Tracing) betreiben zu können, das hat sie bereits zum Zeitpunkt der Einführung der Luca-App. Die Hürde hierbei: Es würde ein Umdenken in der Politik erfordern, denn die meisten Verordnungen schreiben eine nicht-anonyme Kontaktdatenerfassung vor, welche bei hohen Infektionszahlen eine Überlastung der Gesundheitsämter bedeutet.
  Das Geschäftsmodell der Luca-App macht sich genau dieses Problem zunutze: Mit der Luca-App wird den Gesundheitsämtern ein Hilfsmittel angeboten, dass bei der Bewältigung von Kontaktdaten helfen soll. Das Problem hierbei: Die Gesundheitsämter kommen oft gar nicht dazu, die Daten von Luca abzufragen, da sie mit anderen, viel grundlegenderen Problemen zu kämpfen hätten (hier hätten sie eher Unterstützung gebraucht), wenn sie nicht gerade Personal dafür abstellen. Und selbst wenn Luca einmal abgefragt wird, sind die erhaltenen Daten umfangreich und wenig aussagekräftig, da sie nicht gewichtet sind.
  
  
• Worin unterscheiden sich Corona-Warn-App und die Luca-App?
  Luca versucht, einen analogen Prozess - nämlich das Erfassen von Kontaktdaten, was vorher auf Zetteln geschah - gemeinsam mit etwas Kryptografie 1:1 zu digitalisieren. Am eigentlichen Prozess bei der Kontaktnachverfolgung ändert das aber genau gar nichts.
  Die Corona-Warn-App verbessert den Prozess, um die Pandemie einzudämmen. Denn sie unterstützt die Eindämmung, indem sie anonym Kontakte erfasst und bei einer möglichen Infektionen sofort benachrichtigt - ganz ohne Zutun der Gesundheitsämter und aufwendiger Kontaktnachverfolgung.
  
  
• Worin bestehen die Vorteile der Luca-App gegenüber der CWA?
  • Sie wird den Anforderungen mancher Verordnungen gerecht, Kontaktdaten zu erfassen (Name, Adresse, Kontaktdaten, ...)
  
  
• Worin bestehen die Vorteile der Corona-Warn-App gegenüber der Luca-App?
  • Bei den erfassten Daten handelt es sich um anonyme, wechselnde zufällige IDs (Luca: Kontaktdaten wie Name, Adresse, ...), die bis zum Teilen eines positiven Testergebnisses dezentral auf dem eigenen Gerät (Luca: Zentral auf Servern von Luca) gespeichert werden.
  • Sie unterstützt die Pandemieeindämmung direkt, indem der Warnprozess verbessert wird (Luca: "Zettelwirtschaft" wird 1:1 digitalisiert)
  • Sie entlastet Gesundheitsämter. Würden - rein hypothetisch - alle Menschen die CWA in vollem Umfang nutzen - müssten sich nur noch positiv getestete bei Gesundheitsämtern melden; die Gesundheitsämter selbst müssten keine Kontakte mehr suchen.
  • Sie nutzt Apple's/Google's Exposure Notification Framework, das den Datenschutz der Nutzenden gewährleistet.