Er bezog sich da auf die in seinem Prüfbericht vom 2.3. erwähnte „Muster-DSFA" seitens der Luca-Betreibergesellschaft. Nach seiner Bewertung vom Februar müssten ggf. die Veranstalter, die die App einsetzen, eine DSFA erstellen.
Auf Mastodon direkt auf die erwähnte DSFA angesprochen, sagte er, dass eine DSFA der Berliner Behörde vorliegt und von dieser geprüft wird. https://bawü.social/@lfdi/106042158772126356
Mir ist aber nicht klar, ob man sich überhaupt schon auf eine Verantwortlichkeit für die Datenverarbeitung der Luca-App einigen konnte. Für die Luca-Betreibergesellschaft wäre die Berliner Behörde zuständig, da die Gesellschaft in Berlin ansässig ist. Ich bezweifle aber, dass man die Verantwortlichkeit allein beim privaten App-Betreiber festmachen kann. Also wird die DSFA wohl nicht das Papier wert sein und niemand mag die öffentlich herzeigen.
Herr Brink betreibt m.E. gerade ein merkwürdiges Rückzugsgefecht, das in der Sache nur noch mehr Verwirrung stiftet. Ist halt blöd, wenn man ausgerechnet als Datenschutzbehörde beim Lobbyismus erwischt und auf Bundesebene vorgeführt wird.
Ich habe mir mal erlaubt, den möglichen Pro-Kopf-Preis zu errechnen, sollte jede:r im Bundesland Luca nutzen. Die Bevölkerungzahlen stammen von Wikipedia und sind aus 2019. Die errechneten Beträge sind auf die zweite Kommastelle gerundet.
Mecklenburg-Vorpommern: 440.000 € (0,27€/Kopf) Berlin: 1.200.000 € (0,33€/Kopf) Brandenburg 990.000 € (0,39€/Kopf) Niedersachsen: 3.000.000 € (0,36€/Kopf) Hessen: über 2.000.000 € (0,32€/Kopf) Rheinland-Pfalz: ?€ Bremen: rund 260.000 € (0,38€/Kopf) Baden-Württemberg: 3.700.000 € (0,33€/Kopf) Schleswig-Holstein: rund 1.000.000 € (0,34€/Kopf) Saarland: ?€ Bayern: 5.500.000 € (0,41€/Kopf) Sachsen-Anhalt: rund 1.000.000 € (0,45€/Kopf) Hamburg: 615.000 € (0,33€/Kopf)
Das ganze muss jetzt natürlich noch in Relation zur Laufzeit der Lizenz gesetzt werden. Im Artikel oben scheint es sich in allen genannten Fällen um Jahreslizenzen zu handeln. Jetzt könnte man noch bedenken, dass nur etwa 2/3 der Bürger*innen ein Smartphone besitzen, und am Ende vielleicht die Hälfte davon Luca benutzen wird; dann ist man grob bei circa 1€ pro Nutzer*in, wenn man 0,33€ zu Grunde legt. Das wird dann natürlich von allen Nicht-Nutzer*innen „quersubventioniert".
Wir wissen doch das eine SMS mindestens 20 ct kostet. Insofern sind, die 30...40ct halt normale Handelsspanne.
BTW: Wenn man massenweise SMS versenden will, liegen die Kosten m.W. im Sub-Cent bereich, es sind ja nur max. 140 Zeichen.
OK, wenn die restliche Kosten bei Null liegen stimmt natürlich, dass die SMS die Hauptkosten darstellen, relativ...
Ihr hättet auch noch auf die unrühmliche Rolle des LfDI BaWü im Luca-Theater eingehen können.
Zum Entsetzen alle halbwegs Datenschutzgebildeten hat er am 17.2. direkt Werbung für die App gemacht und dabei über die Datenverarbeitung und den Umfang seiner Prüfungen alternative Fakten verbreitet.
https://www.baden-wuerttemberg.datenschutz.de/lfdi-brink-unterstuetzt-nutzung-der-luca-app/„Die „luca"-App speichert die Daten und die Kontakte dezentral auf dem eigenen Smartphone und verschlüsselt sie, ein Zugriff darauf ist erst mit ausdrücklicher Einwilligung möglich. "
„Wir haben die App technisch und rechtlich geprüft. Die App erfüllt unsere hohen Datenschutz-Standards. Die Dokumentation der erfolgten Kontakte wird auf technisch höchstem Stand verschlüsselt und es liegt allein in der Hand des luca-Nutzers, ob, wann und mit wem er diese sensiblen Daten teilen möchte."
https://bawü.social/@lfdi/105861267395707364Als es dann offensichtlich wurde, dass die Aussagen nicht haltbar sind, wurde im Nachgang am 1.4. sein Prüfbericht vom 2.3. veröffentlicht.
https://www.baden-wuerttemberg.datenschutz.de/stellungnahme-des-landesbeauftragten-zur-luca-app-online/Im ct Datenschutz-Podcast von letzter Woche
https://cdn.podigee.com/media/podcast_28304_auslegungssache_der_c_t_datenschutz_pdcst_episode_420157_art_5_2_die_al_capone_vorschrift.mp3?v=1617727462&source=feederläutert er dann auch noch einmal, dass er als Ausgangspunkt für seine Prüfungen ein rein privatwirtschaftliches Verhältnis zwischen dem einzelnen Veranstalter und der Luca-Betreibergesellschaft gesehen haben will, an das nicht die gleichen Maßstäbe, wie an staatliches Handeln anzulegen sind. In diesem Verhältnis soll die Luca-Betreibergesellschaft der Auftragsverarbeiter sein und wenn überhaupt, läge die Pflicht zur Erstellung einer DSFA beim nutzenden Veranstalter.
Da seine Stellungnahme vom 1.4. ausdrücklich die Vergabeentscheidung seiner Landesregierung erwähnt, darf man wohl davon ausgehen, dass ihm bei der Prüfung klar war, dass es um einen staatlichen Auftrag geht.
Außerdem fällt es schwer, bei einem App-Konzept, in dem die zentral bei einem privaten Betreiber gespeicherten persönlichen Daten mit einem Schlüssel der Gesundheitsämter verschlüsselt werden und die GÄ Schnittstellen zum Datenabruf haben, eine Verantwortung des Staates zu übersehen.
Nachdem nun eine Reihe von Bundesländern Luca-Lizenzen erworben haben, fragt man sich, wer denn nun die Verantwortung für die Verarbeitung der Daten im Luca-Konzept tragen könnte. Man wird da kaum den Staat aus der Verantwortung nehmen können und damit wäre das vollmundige Datenschutzversprechen des LfDI BaWü hinfällig und die darauf aufbauenden Investitionen ggf. umsonst getätigt. Ich hätte jedenfalls keine Idee, wie der Staat in Bezug auf die Luca-App seine Transparenzpflicht erfüllen will oder die Gesundheitsämter die Vertraulichkeit ihres Schlüssels gewährleisten wollen.
Die nächste Trauergestalt im Luca-Theater ist dann die Datenschutzkonferenz und ihre Stellungnahme zur Luca-App https://nitter.cc/MalteEngeler/status/1376614493707501578#m
„Die Daten werden verschlüsselt zentral auf Servern der App gespeichert. Wird eine Person später positiv auf Covid-19 getestet, kann sie dem Gesundheitsamt eine Liste aller Orte freigeben, die sie in den vergangenen 14 Tagen aufgesucht hat."
Das wird schon in Zweifel gezogen: erstens weil „verschlüsselt" nicht viel bedeutet, wenn hinterher fast jeder den passender Schlüssel bekommt, und zweitens weil auch ohne „Freigabe" der Nutzer*innen eine Dateneinsicht möglich ist. Diese „Freigabe" ist ein reines Versprechen der Entwickler, ohne jegliche Absicherung.
" ... Bayern seine Entscheidung für Luca bekannt und zahlt mit 5,5 Millionen den höchsten Preis für die Jahreslizenz. Es handelt sich um das bislang einzige Bundesland, das die Vergabe der App überhaupt ausgeschrieben hat." In der kurzen Zeitspanne seit der Ankündigung von Söder, daß Bayern die Lizenz kauft, kann eine Ausschreibung (Erstellen der Ausschreibung, Veröffentlichung, Angebotsfrist, Auswertung/Bewertung, Vergabe ...) doch gar nicht durchgezogen werden. Wurde ja im Text bereits angerissen. Bitte belehre mich eines Besseren.
Und dann kaufen die Honks Jahreslizenzen. Was soll man davon halten. Ich als Optimist: Januar 2022, alle relevanten geimpft, Corona erträglich. Aber in jedem Kramerladen hängt ein QR-Code für Luca? Die Lizenz muß sich ja „lohnen"?
Durch die zeitliche Begrenzung :).
Grobes Zitat Ministerpräsident: „Wir können noch viel schlimmere Maßnahmen verhängen..."
Mir ist gerade wieder eingefallen was ich Anfang März dazu gelesen habe, https://www1.wdr.de/nachrichten/lockdown-kontaktverfolgung-sormas-apps-100.html
Laut diesem Bericht und auch dem was ich bisher im Kommunalen Umfeld selber erlebt habe, können wohl nur ein Bruchteil der Gesundheitsämter die Daten nutzen. Wir ignorieren einfach mal den Personalmangel, der das verarbeiten der Daten ja sicherlich auch nicht einfacher macht.
Dann ist die Berechnung des Preises aber schon weird, die Einwohnerzahlen werden mit rein gerechnet, auch die Gesundheitsämter, aber das steht irgendwie in keinem Verhältnis wenn es nicht von allen genutzt werden kann.
Mir ist unerklärlich, wieso jetzt so viel Geld für ein privates Unternehmen ausgegeben wird, bei dem die Transparenz nicht gewährleistet ist. Alle Vorteile der Corona Warn App mit dezentraler Speicherung wurden hier völlig ignoriert und einfach per Dekret entschieden. Nur das wir jetzt nicht einmal die Wahl haben „Nein" zu sagen. Man hätte diese Funktion einfach in die Corona Warn App integrieren können, ohne teure Lizenzen zu kaufen, damit wären die Kompatibilitätsprobleme mit verschiedenen und älteren Smartphones dann auch schon durch.
Ich hoffe die Bundesregierung geht endlich den Open Source Weg und lässt ordentliche, transparente digitale Lösungen für die öffentliche Verwaltung und Kommunikation programmieren, die dann auch mit offenen Schnittstellen in zukünftigen Krisenzeiten genutzt werden kann.
„Eine sehr zeitaufwändige Ausschreibung, die in der Regel mehrere Monate dauert, kam für uns in diesem Fall ausnahmsweise nicht in Frage."
Ich erinnere mich nicht mehr so genau: Wie sehr zeitaufwändig war einst die Ausschreibung für die CWA? War die nicht innert 6 Wochen von Null auf „gerade schon brauchbar" Warum war es dort, trotz der Eile Möglich, das Copyright mitzuerwerben?
Welcher Zeitaufwand? Warum wurden den ganzen Sommer 2020 nichts, absolut garnichts getan, ausser das die manuellen Listen von einigen Polizisten als „Vertauensbildende Maßnahme" zur Suche nach Kleinkriminellen und unfreiwilligen Zeugen mißbraucht wurde? Die Forderung nach „Checkin an Orten" bestand doch schon von anfang an.
Nicht übersehen: Das war der einzige Mißbrauch der Daten. Einfach weil diese Papierlisten zu unbequem zu durchsuchen waren und klar entsorgt wurden. Säumiges löschen liest sich leicht ferststellen, da jeder Eintrag ein Datum trug. Backups musten nicht gemacht werden.
Aber so, auf einem Server, wo der eine Schlüssel eh schon in staatlicher Hand und der andere ebenso leicht gegattert werden könnte, wie einst die Papierliste selbst?
Werden eigentlich immer noch beide Schlüssel von der Bundesdruckerei erzeugt?
