Sollte das Saarland an der luca-App festhalten?

 · 

Rund 370.000€ wurden im Saarland investiert, um die luca-App zur Kontaktnachverfolgung während der Corona-Pandemie flächendeckend einzusetzen. Angesichts der Tatsache, dass die luca-App von Anfang an stark kritisiert wurde, weil IT-Sicherheitsexperten und Datenschützer größere Sicherheitslücken erkannten, war dieses Vorgehen des Saarlandes von Beginn an fragwürdig. Durch einen Vorfall im Mainz im Dezember 2021, bei dem die Mainzer Polizei auf Daten der luca-App zurückgriff, um ihre Ermittlungen voranzutreiben, zeigte sich aufs Neue, dass die Kritik der Sicherheitsexperten nicht unbegründet ist. Nun stellt sich die Frage: Sollte das Saarland an dem Kooperationsvertrag mit den Betreibern der luca-App festhalten? Diesem Thema widmet sich unser heutiger Beitrag.

Die Kontaktnachverfolgung spielt in der Corona-Pandemie eine entscheidende Rolle. Hierdurch können Infektionsketten durchbrochen und so Neuansteckungen verhindert werden. Besonders wichtig für die Kontaktnachverfolgung sind Apps, über die Nutzer in Restaurants oder an sonstigen Orten „einchecken“ können. Hierdurch können Personen gewarnt werden, wenn sie einer Corona-positiven Person begegnet sind. Bekannt sind in diesem Bereich vor allem die Corona-Warn-App und die luca-App. Während erstere häufig dafür gelobt wurde, dass die datenschutzrechtlichen Grundprinzipien gut umgesetzt wurden, stand die luca-App bereits mehrfach in der Kritik.[1] Ende Dezember 2021 wurde die App auf dem Chaos Communication Congress des Chaos Computer Clubs sogar als „technologisch tot“ bezeichnet.[2] Grund hierfür waren wiederum die bereits häufig monierten Sicherheitslücken.[3] Obwohl sich die Betreiber der luca-App immer wieder wehrten[4], bricht die Kritik an der App nicht ab. Zu allem Überfluss wurde nun auch noch ein besonders bedenklicher Zwischenfall in Rheinland-Pfalz publik, der Länder an der Verlängerung ihres Kooperations-Vertrages zweifeln lässt[5] und Politiker zu einem Löschaufruf bewegt[6].  In Mainz griff die Polizei im November 2021 nämlich widerrechtlich auf Daten der luca-App zu. Grund hierfür war die Suche nach Zeugen, da in der Mainzer Altstadt eine Person gestürzt und in Folge dessen verstorben war.[7] Da besagte Person zuvor ein Restaurant besucht hatte, suchte man mithilfe der luca-App nach den Daten von sonstigen Gästen.[8] Nachdem bereits mehrfach Datenschutzbedenken im Hinblick auf die luca-App geäußert wurden, stellt sich jener Zwischenfall als besonders kritisch dar.  Schleswig-Holstein zog als erstes Bundesland Konsequenzen daraus und entschied sich gegen eine Verlängerung des Kooperationsvertrages mit den Machern der luca-App.[9]

Dieser Beitrag widmet sich der Frage, wie die Aufforderung zur Löschung der luca-App und zur Beendigung der Kooperationsverträge einzuordnen ist – überzogene Kritik oder eine längst überfällige Maßnahme?

1) Funktionsweise der luca-App

Die luca-App bindet 3 Parteien mit ein: einen Gastgeber, einen Gast oder User und die Gesundheitsämter. Im Kern funktioniert die App so, dass nach der einmaligen Anmeldung in der App ein verschlüsselter und sich minütlich ändernder QR-Code generiert wird, der dem Endgerät zugeordnet ist. Mit dem QR-Code kann man sodann an bestimmten Orten „einchecken“. Sollte ein Infektionsfall auftreten, werden Gesundheitsämter und betroffene Personen informiert.[10] Nur zuständige Gesundheitsämter sind in der Lage den QR-Code zu entschlüsseln, soweit die Check-In Datensätze der Betreiber freigegeben werden.[11] Nach 30 Tagen werden die Datensätze gelöscht.[12] Ziel ist die digitale Kontaktverfolgung zur Eindämmung der Corona-Pandemie. Die luca-App ist dabei eine Ergänzung und kein Ersatz zur Corona-Warn-App.[13]

Soweit zumindest die Theorie – zu den Problemen, die sich in der Praxis gezeigt haben, im Folgenden.  

2) Anwendung im Saarland

Im Saarland entschied man sich Ende März 2021 für einen Kooperationsvertrag mit den Betreibern der luca-App.[14] Rund 370 000€ wurden investiert.[15] Die luca-App ermöglicht die Kontaktnachverfolgung insbesondere in der Gastronomie und bei Veranstaltungen. Dies im Saarland jedoch von Anfang an nur mit mäßigem Erfolg. Nicht nur, dass eine Recherche des SR vom September 2021 zeigte, dass die luca-App bis dato nicht in einem einzigen Fall zur Kontaktnachverfolgung hilfreich war,[16], auch Vertreter der Eventbranche und der Gastronomen sagten aus, dass luca kaum genutzt beziehungsweise von vielen Gästen abgelehnt wird.[17] Grund hierfür dürften die seit langer Zeit immer wieder vorgebrachten Sicherheitsbedenken sein. Der Rückgriff auf die Corona-Warn-App wird bevorzugt.

Nach dem Vorfall in Mainz wurde offengelassen, ob geplant ist, die luca-App noch länger zu nutzen.[18] Es ist nicht auszuschließen, dass das Saarland dem Vorbild Schleswig-Holstein folgt und den Kooperationsvertrag auslaufen lässt. Die Forderungen dahingehend werden immer lauter. Schließlich steht mit der Corona-Warn-App eine Alternative zur Verfügung, die bereits seit einiger Zeit eine „Eincheck“-Funktion hat und bei der keine durchschlagenden Datenschutzbedenken bestehen.

3) Datenschutzrechtliche Bedenken

Von Beginn an gab es kritische Stimmen zur luca-App. Neben der Kritik daran, dass die App von Privatpersonen mit Gewinnerzielungsabsicht programmiert wurde (im Gegensatz zur Corona-Warn-App oder der CovPassApp, die beide das Robert Koch-Institut als Entwickler anzeigen), gab es wiederkehrende Beanstandungen aufgrund von Sicherheitslücken.

Insbesondere der Chaos Computer Club formulierte seine Bedenken gegen die luca-App scharf und forderte eine „Bundesnotbremse“.[19] In der zugehörigen Meldung ging der CCC auf sämtliche Probleme ein und kritisierte folgende Punkte[20]:

  • Die staatliche Subvention des Geschäftsmodells mit Steuergeldern, bei der trotzdem App und alle dort gespeicherten Daten in den Händen der privaten Betreiber (culture4life GmbH) verbleiben.
  • Die fragwürdige Vergabepraxis: teilweise erstanden Bundesländer Lizenzen ohne Ausschreibung.
  • Den zentralen Datenbestand bei den Betreibern der luca-App.
  • Die schwerwiegenden Mängel und Sicherheitsrisiken, die sich wie folgt zeigen:
    • Handwerklich fehlerhafte Implementierung der dadurch unwirksamen Validierung von Telefonnummern
    • Die luca-Schlüsselanhänger für Menschen ohne Smartphone weisen erhebliche Mängel auf und ermöglichen bei jedem Scan einen Einblick in die vollständig gespeicherte location-Historie.
    • Das luca-Backend ist jederzeit in der Lage, Geräte eindeutig zu identifizieren und Check-Ins zuzuordnen.
    • Bei der Entwicklung wurde Software unter Missachtung von Lizenzbedingungen verwendet.
    • Nur Teile des Quellcodes sind öffentlich.
    • Die App erfüllt einfache Mindeststandards der Barriere-Freiheit nicht.

In der Tat erscheint das Vergabeprinzip fragwürdig. Jedoch soll hier ein besonderes Augenmerk auf den Risiken der App selbst liegen – insbesondere aus datenschutzrechtlicher Sicht. Hier fällt sofort der zentrale Datenbestand ins Auge, welcher bei den privaten Betreibern der App gespeichert wird.

Zunächst jedoch zu den Grundlagen des Datenschutzrechts: Die Verarbeitung personenbezogener Daten steht unter einem Verbot mit Erlaubnisvorbehalt, was bedeutet, dass die Verarbeitung grundsätzlich unzulässig ist – es sei denn, ein Erlaubnistatbestand der Datenschutzgrundverordnung (oder nachrangig des deutschen Bundesdatenschutzgesetzes) greift.[21] Personenbezogene Daten nach Art. 4 Nr. 1 DSGVO sind solche, die sich auf identifizierte oder identifizierbare Personen beziehen. Eine Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten; Art. 4 Nr. 2 DSGVO nennt verschiedene Verhaltensweisen, die unter diesen Begriff fallen. Besondere personenbezogene Daten werden in den Nummern 13 bis 15 des Art. 4 DSGVO definiert. Hierzu gehören gemäß Art. 4 Nr. 15 DSGVO auch Gesundheitsdaten. Dies sind solche personenbezogenen Daten, die sich auf die körperliche oder geistige Gesundheit beziehen und einen Rückschluss auf den Gesundheitszustand zulassen. Auch miteinbezogen ist die Erbringung von Gesundheitsdienstleistungen. Da es sich bei diesen Daten um besonders sensitive handelt, gelten für sie besondere Regelungen. Von großer Bedeutung ist Art. 9 DSGVO, welcher in Absatz 1 grundsätzlich die Verarbeitung dieser sensiblen Daten untersagt. In Absatz 2 finden sich hingegen Ausnahmetatbestände, die die Verarbeitung unter bestimmten Voraussetzungen und zu bestimmten Zwecken erlauben. In der luca-App werden nach der Installation zunächst Kontaktdaten abgefragt. Dies sind natürlich unzweifelhaft personenbezogene Daten. Daneben werden in der luca-App auch Impfzertifikate sowie Testzertifikate gespeichert. Hierbei handelt es sich um Gesundheitsdaten. Daher sind die besonderen Regeln des Art. 9 DSGVO zu beachten. Zudem sind in etwaigen Abwägungen auch die Sensitivität der Daten sowie das gesteigerte Interesse betroffener Personen daran, selbst über die Weiter- und Preisgabe dieser Daten zu entscheiden, miteinzubeziehen. Neben den Gesundheitsdaten der betroffenen Personen werden auch Standortdaten gesammelt. Diese eignen sich dazu, ein Bewegungsprofil zu erstellen und den Aufenthalt der jeweiligen Person zu erfassen. Es zeigt sich mithin, dass in der luca-App durchaus sensible Daten gespeichert werden.

Immer wieder (zurecht) kritisiert wurden bei der luca-App, dass die fundamentalen Grundsätze des Datenschutzrechts nicht eingehalten werden. Diese Grundsätze der Datenverarbeitung sind in Art. 5 Abs. 1 DSGVO geregelt. Hierzu gehören

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (lit. a)
  • Zweckbindung (lit. b)
  • Datenminimierung (lit. c)
  • Richtigkeit (lit. d)
  • Speicherbegrenzung (lit. e)
  • Integrität und Vertraulichkeit (lit. f)

Unter anderem ist der Grundsatz der Datenminimierung nicht gut umgesetzt. Nach diesem Grundsatz sollen nur so viele Daten gesammelt werden, wie es für den konkreten Zweck der Datenverarbeitung notwendig ist. Die luca-App sammelt aber in relativ großem Umfang Kontakt- und Bewegungsdaten.[22] Hier stellt sich die Frage, ob diese Daten notwendig sind. Die Corona-Warn-App kommt indes mit deutlich weniger Daten aus.

Ferner ist auch die zentrale Speicherung der Daten auf Vorrat (sie werden erst nach 30 Tagen gelöscht) kritisch zu sehen. Die zentrale Speicherung birgt ein deutlich größeres Missbrauchsrisiko als eine dezentrale Speicherung von Daten. Sind viele Daten an einem einzigen Ort gespeichert, ist dies ein besonders attraktives Angriffsziel und nur schwierig zu schützen.[23] Die Maßnahmen, die von den Betreibern der luca-App zum Schutz der Daten vorgenommen werden, sind nicht ausreichend. Bewegungsprofile lassen sich mithilfe von Metadaten herstellen, sodass die doppelte Verschlüsselung, die vorgenommen wird, nicht den erhofften Sicherheitseffekt entfalten kann.[24]

Für die Datenverarbeitung in der luca-App bedarf es außerdem einer konkreten Rechtsgrundlage, auf die die Verarbeitung gestützt werden kann. Hier kommt als Rechtsgrundlage eine Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO in Betracht. Eine wirksame Einwilligung hat formelle und materielle Voraussetzungen.

Die formellen Voraussetzungen beschränken sich auf das Vorliegen der Einwilligungsfähigkeit und auf die ordnungsgemäße Einwilligungserklärung der einwilligenden Person. Die Einwilligungsfähigkeit beschreibt die Fähigkeit der Person, die Tragweite und Konsequenzen, die die Einwilligung als eine rechtserhebliche Erklärung mit sich bringt, einsehen zu können.[25] Daneben muss eine wirksame Einwilligungserklärung vorliegen. Diese erfolgt grundsätzlich formfrei.[26] Es bedarf jedoch der Nachweisbarkeit der erfolgten Einwilligung (Art. 7 Abs. 1 DSGVO). Auch wenn sich daher aus praktischen Gründen die schriftliche oder elektronische Einholung der Einwilligung empfiehlt, bedarf es zur Wirksamkeit der Einwilligung lediglich einer unmissverständlichen Handlung, was auch die konkludente Einwilligungserklärung mittels eines eindeutigen Handelns nicht ausschließt.[27] Die Einwilligung muss indes bereits vor der Datenverarbeitung vorliegen und darf nicht erst im Nachhinein erklärt werden.[28]

In materieller Hinsicht sind weitere Anforderungen an die wirksame Einwilligung zu stellen. So stehen vor allem die notwendige Informiertheit und die Freiwilligkeit im Vordergrund. Daneben sind aber auch der Bestimmtheits- und der Zweckbindungsgrundsatz einzuhalten. Zudem ist die Einwilligung jederzeit widerrufbar, Art. 7 Abs. 3 S. 1 DSGVO. Informiertheit liegt vor, wenn die einwilligende Person die Tragweite ihrer Einwilligungserklärung abschätzen kann und ihr bewusst ist, welche Daten zu welchem Zweck erhoben werden, wer diese verarbeitet und gegebenenfalls an welche Dritten sie weitergegeben werden.[29] Daher braucht es vor Abgabe der Einwilligung eine umfassende Aufklärung hinsichtlich der Folgen der Erklärung.[30] Dies ergibt sich schon aus dem Transparenzgebot des Art. 7 Abs. 2 S. 1 DSGVO. Aus diesem folgt, dass die Einwilligung inhaltlich in leicht zugänglicher Form und in klarer, einfacher Sprache erfolgen muss. Gleichzeitig muss sich der zeitliche Aufwand, um den Inhalt der Einwilligung zu erfassen, in Grenzen halten.[31] Jedenfalls muss gewährleistet werden, dass die betroffene Person die Konsequenzen der Einwilligung leicht ermitteln kann und sie in voller Kenntnis der Sachlage einwilligt.[32] Freiwilligkeit bedeutet, wie sich aus Erwägungsgrund 42 zur DSGVO ergibt, echte Wahlfreiheit. Diese besteht nur dann, wenn sich an die Ablehnung der Einwilligung keine Nachteile anschließen. Die Einwilligung muss frei von jeglichem Zwang erfolgen, wobei auch ein innerer Zwang (beispielsweise bei einem Machtungleichgewicht, Erwägungsgrund 43) zu beachten ist.[33] Zudem besteht ein Kopplungsverbot, Art. 7 Abs. 4 DSGVO. Weitere Anforderungen ergeben sich aus dem Bestimmtheitsgrundsatz und dem Zweckbindungsgrundsatz. Demnach muss die Einwilligung inhaltlich und hinsichtlich ihrer Modalitäten hinreichend bestimmt sein.[34] Die eindeutig festgelegten und legitimen Zwecke der Einwilligung sind für den Datenverarbeiter bindend und schließen es aus, dass dieser ohne Einholung einer erneuten Einwilligung zu anderen Zwecken Daten verarbeitet.[35] Im Falle einer Einwilligung in die Verarbeitung von Gesundheitsdaten sind teilweise noch erhöhte Anforderungen zu beachten. So ist es beispielsweise erforderlich, dass eine Einwilligung immer in dem Wissen abgegeben wird, dass besonders sensitive Daten gesammelt werden.[36] Zusätzlich ist auch eine ausdrückliche Einwilligungserklärung notwendig, wo bei einer Einwilligung in weniger sensible personenbezogene Daten unter Umständen ein konkludentes Verhalten ausreicht.

Im Falle der Verarbeitung personenbezogener Daten in der luca-App kommt nur eine Einwilligung als Rechtfertigungsgrundlage in Betracht. Die Einwilligung in die Verarbeitung der Gesundheitsdaten in der luca-App wird in aller Regel auch wirksam sein. Einzig die Freiwilligkeit könnte problematisch sein, wenn ein Restaurant die Nutzung der luca-App zur Voraussetzung des Betretens macht. Aber auch dann wird man wohl immer noch nicht davon ausgehen können, dass erteilte Einwilligungen unwirksam sind. Verpflichtungen zur Nutzung der luca-App entstehen nämlich so lange nicht, wie noch keine digitale Erfassung von Kontaktdaten verpflichtend ist.[37] Die über die App eingeholten Einwilligungen sollten daher im Regelfall wirksam sein. Dies jedoch nur, wenn die Datenverarbeitung – anders als in Mainz – tatsächlich zum Zwecke der Kontaktnachverfolgung zur Pandemie-Bekämpfung geschieht.

4) Zwischenfall in Mainz

Im Dezember 2021 ging die Polizei bei der Suche nach Zeugen so vor, dass sie die Daten der luca-App bei einer Mitarbeiterin einer Gaststätte erfragte, welche diese nach Freigabe durch das Gesundheitsamt weitergab.[38] Auch, wenn das Motiv der ermittelnden Polizisten verständlich sein mag, heiligt doch der Zweck nicht die Mittel. 21 Personen wurden angeschrieben oder angerufen.[39] Dass dies ein Verstoß gegen das Datenschutzrecht darstellt, ist relativ offensichtlich. Wie soeben gesehen stützt sich die Datenverarbeitung in der luca-App grundsätzlich auf eine Einwilligung der Nutzer. Die Einwilligung wurde aber natürlich nur für den grundsätzlich verfolgten Zweck der App erteilt. Daher ist zwar die Datenverarbeitung zu Zwecken der Pandemiebekämpfung erlaubt, soweit die entsprechenden Voraussetzungen im Einzelfall vorliegen. Nicht erlaubt ist aber die Datenverarbeitung zum Zwecke der Ermittlungstätigkeit. Dies rührt daher, dass die Einwilligung stets für den bestimmten Fall eingeholt wird und der für die Datenverarbeitung Verantwortliche auch an die eindeutig festgelegten und legitimen Zwecke gebunden ist. Werden zu anderen Zwecken Daten verarbeitet, muss eine erneute Einwilligung eingeholt werden. Hier war klar ersichtlich, dass eine Datenverarbeitung zur Strafverfolgung oder zu Ermittlungszwecken nicht von der ursprünglichen Einwilligung gedeckt ist. Es handelt sich um einen vollkommen anderen Sachverhalt. Auch aus § 28a Abs. 4 des Infektionsschutzgesetzes geht hervor, dass Daten, die zur Kontaktnachverfolgung erhoben wurden zu keinem anderen als diesem Zweck verarbeitet werden dürfen. Tatsächlich steht auf der Corona-Informationswebseite des Bundeslandes Rheinland-Pfalz sogar ausdrücklich, dass die Daten aus der luca-App nicht zur Strafverfolgung verwendet werden dürfen.[40]

Es stellt sich bei Betrachtung dieses Falls die Frage, wie Gesundheitsamt, Staatsanwaltschaft und Polizei sich für ein solches Vorgehen entscheiden konnten, ohne die damit verbundenen Konsequenzen zu betrachten. Es wurde mitgeteilt, das Vorgehen sei aufgrund einer falschen Bewertung des Infektionsschutzgesetzes vorgekommen.[41] Wie soeben erwähnt, geht aus dem Infektionsschutzgesetz eigentlich sehr klar hervor, dass die Daten zu keinem anderen Zweck verarbeitet werden dürfen. Daher ist nicht recht ersichtlich, wie es zu dieser falschen Bewertung kommen konnte.

5) Wie geht es weiter?

Nach den vorherigen Ausführungen lässt sich wohl zweifelsohne sagen, dass die luca-App erhebliche Lücken, sowohl in datenschutzrechtlicher als auch in IT-sicherheitsrechtlicher Hinsicht aufweist. Entgegen der Angaben der Betreiber und des Investors Smudo sind die Daten der Nutzer alles andere als sicher. Dies bekräftigten Sicherheitsforscher Ende Dezember wieder einmal.[42] Die Verschlüsselung, die in der luca-App vorgenommen wird, löst keine Sicherheitsprobleme und der zentrale Datenbestand stellt ein immerwährendes Risiko dar.[43] Ferner kommt hinzu, dass sich die Betreiber und Investoren der luca-App nur wenig kritikfähig zeigen. Trotz des Vorfalls in Mainz, der offen zu Tage brachte, dass die luca-App nicht die erforderliche Datensicherheit bietet, kamen von Seiten dieser hauptsächlich Verteidigung und nur wenig Selbstkritik. Rapper Smudo bezeichnete den Aufruf zur Löschung der App sogar als „verantwortungslos“.[44] Dieses Verhalten ist vor dem Hintergrund dieses relativ klaren Rechtsverstoßes, der so nur aufgrund der Gestaltung der luca-App vorkommen konnte, nicht angebracht. Der unberechtigte Zugriff in Mainz ist indes nur die Spitze des Eisbergs – die Problematik ist nicht neu und wurde bereits mehrfach aufgezeigt. Sicherheitsforscher, also Experten auf diesem Gebiet, zeigen sich seit Monaten skeptisch; der CCC forderte sehr offensiv die Abkehr von der luca-App.

Dieser weitere Datenschutzverstoß sollte nun endlich den entscheidenden Anstoß geben, den Kooperationsvertrag mit der luca-App auslaufen zu lassen. Die Corona-Warn-App bietet denselben Schutz, jedoch ist sie datensparsam, dezentral und unabhängig von privaten Betreibern. Es gibt keinen Grund, weiterhin an der luca-App festzuhalten. Zumal sich schon in der Vergangenheit zeigte, dass die Menschen der App kritisch gegenüberstehen. Nach den neuesten Meldungen und Reaktionen darauf in den Medien, ist nicht zu erwarten, dass das Vertrauen in die App steigen wird. Daher sollten keine weiteren Gelder in die App investiert werden. Vielmehr ist der Rückgriff auf die Corona-Warn-App angezeigt. Wie es der digitalpolitische Sprecher der FDP-Bundestagsfraktion Maximilian Funke-Kaiser formulierte: „Die luca-App kann nichts, was [die Corona-Warn-App] nicht besser kann“.[45]

 

[1] Gemeinsame Stellungnahme von 70 Sicherheitsforschern: Gemeinsame Stellungname zur digitalen Kontaktnachverfolgung (digikoletter.github.io); Gefahr für Gesundheitsämter: Luca-App ermöglicht Code Injection | heise online; Kritik des BSI: BSI kritisiert ebenfalls Luca-App: "Angriffs-Szenario plausibel" | heise online; Kritik des Chaos Computer Club: CCC | Luca-App: CCC fordert Bundesnotbremse.

[2] Expertin für Kontaktverfolgung: "Die Luca-App ist technologisch tot" | heise online.

[3] S. oben Fn. 1.

[4] Smudo verteidigt Luca-App: Aufruf zum Löschen "schlichtweg verantwortungslos" | heise online; Pandemie: Rapper Smudo verteidigt die Luca-App | ZEIT ONLINE.

[5] Zahlreiche Bundesländer lassen weitere Nutzung der Luca-App offen | heise online.

[6] Luca-App: Grüne und FDP im Saarland verlangen Stopp, Smudo verteidigt App (saarbruecker-zeitung.de).

[7] Nach Datennutzung durch Polizei: Wie sicher ist Luca? - ZDFheute.

[8] Nach Datennutzung durch Polizei: Wie sicher ist Luca? - ZDFheute.

[9] Schleswig-Holstein kündigt Luca-App - Zukunft in Bundesländern offen | STERN.de.

[10] Informationen zur Funktionsweise der luca-App: luca - FAQ (luca-app.de).

[11] luca - Funktion (luca-app.de).

[12] luca - Funktion (luca-app.de).

[13] luca - FAQ (luca-app.de).

[14] Saarland - luca-App; SR.de: Saarland setzt Luca-App flächendeckend ein.

[15] SR.de: Immer mehr Stimmen fordern Aus für Luca-App.

[16] SR.de: Luca-App im Saarland bislang ein Flop.

[17] SR.de: Immer mehr Stimmen fordern Aus für Luca-App.

[18] Luca-App: Grüne und FDP im Saarland verlangen Stopp, Smudo verteidigt App (saarbruecker-zeitung.de)

[19] CCC | Luca-App: CCC fordert Bundesnotbremse.

[20] CCC | Luca-App: CCC fordert Bundesnotbremse.

[21] Schröder in: Schröder, DatenschutzR, Kapitel 2 S. 17.

[22] Gemeinsame Stellungname zur digitalen Kontaktnachverfolgung (digikoletter.github.io).

[23] Gemeinsame Stellungname zur digitalen Kontaktnachverfolgung (digikoletter.github.io).

[24] Gemeinsame Stellungname zur digitalen Kontaktnachverfolgung (digikoletter.github.io).

[25] Heckmann/Paschke in: Ehmann/Selmayr DSGVO, Art. 7 Rn. 32; Buchner/Kühling in: Kühling/Buchner, DSGVO Art. 7 Rn. 56.

[26] Heckmann/Paschke in: Ehmann/Selmayr DSGVO, Art. 7 Rn. 35.

[27] Ingold in: Sydow DSGVO Art. 4 Rn. 170, Art. 7 Rn. 23.

[28] Ingold in: Sydow DSGVO, Art. 7 Rn. 17.

[29] Buchner/Kühling in: Kühling/Buchner, DSGVO Art. 7 Rn. 59.

[30] Heckmann/Paschke in: Ehmann/Selmayr DSGVO, Art. 7 Rn. 40.

[31] Wolff in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 524.

[32] EuGH, Urteil vom 11.11.2020, Rs. C-61/19, ECLI:EU:C:2020:901, Orange Romania SA.

[33] Heckmann/Paschke in: Ehmann/Selmayr DSGVO, Art. 7 Rn. 50 f.

[34] Ingold in: Sydow DSGVO, Art. 7 Rn. 37.

[35] Heckmann/Paschke in: Ehmann/Selmayr DSGVO, Art. 7 Rn. 65.

[36] Weichert in: Kühling/Buchner DSGVO, Art. 9 Rn. 47.

[37] Taeger in: Taeger/Gabel DSGVO/BDSG/TTDSG, Art. 6 Rn. 34.

[38] Vorfall in Mainz: Polizei nutzte illegal Daten aus Luca-App - n-tv.de.

[39] Ermittlungen zu Todesfall: Mainzer Polizei nutzte Daten der Luca-App | tagesschau.de.

[40] luca-App rlp.de.

[41] Vorfall in Mainz: Polizei nutzte illegal Daten aus Luca-App - n-tv.de.

[42] Nach Datennutzung durch Polizei: Wie sicher ist Luca? - ZDFheute.

[43] Nach Datennutzung durch Polizei: Wie sicher ist Luca? - ZDFheute.

[44] Rapper Smudo verteidigt die Luca-App - WELT.

[45] Rapper Smudo verteidigt die Luca-App - WELT.