Macher der Luca-App löschen die bisherigen Daten – neuer Dienst gestartet

Sicherheit (Pexels, allgemeine Nutzung)Kleine Meldung am Rande. Der Entwickler der Luca-App, die Berliner Culture4Life GmbH, plant ja den Zweck der App zu ändern und diese für Bezahlvorgänge etc. einzusetzen. Für mich stand sofort die Frage im Raum, was mit den bisherigen Datensätzen der Nutzer passiert. Ich hatte daher sowohl den Bundesdatenschutzbeauftragten, Ulrich Kelber, als auch den Geschäftsführer der Culture4Life GmbH, auf Twitter auf das Thema "Löschen der bisherigen Benutzerdaten" angesprochen. Nun hat die Culture4Life GmbH mitgeteilt, dass die bisherigen Daten der Nutzer auf den eigenen Servern gelöscht wurden.


Anzeige

Rückblick: Nutzungsänderung geplant

Die Idee hinter der der Luca-App war ursprünglich ja, der Veranstaltungsbranche ein Werkzeug an die Hand geben wollte, um trotz der Coronavirus-Pandemie wieder Events stattfinden zu lassen. Benutzer sollten sich per Luca-App in Veranstaltungen, Restaurants, Kliniken, Geschäften etc. registrieren und brauchen so keine Kontaktdaten auf Papier abzuliefern. Die Luca-App für Mobilgeräte sollte anhand dieser Registrierungen die Verfolgung von Kontaktpersonen durch Gesundheitsämter erleichtern. Und so kam es im Jahr 2021 dazu, dass 13 von 16 Bundesländern Lizenzen der Luca App gekauft haben.

Es war nirgendwo vorgeschrieben, dass nur die Luca-App zur Registrierung zugelassen sei. Das Thema haben die Verantwortlichen sehr diffizil gedeichselt – die Corona Warn App (CWA) des Robert-Koch-Instituts wurde erst sehr spät (Nov. 2021) für diesen Zweck als "kann" zugelassen. Wie die Luca-App in einigen Bereichen dann "forciert wurde", habe ich in diesem Kommentar an einem eigenen Fall dargestellt.

Von Beginn an stand die Luca-App aber wegen der technischen Implementierung in der Negativ-Kritik. Es gab Lizenzärger (siehe Lizenzärger: Die Luca-App und die Open Source-Klippen) und schwere Sicherheitslücken (siehe Hack dein Gesundheitsamt, die Luca-App machte es möglich). Fachleute kritisierten das Konzept der Datenspeicherung auf einem privaten Server als nicht transparent und ein Risiko für den Datenschutz.

Die Luca-App erwies sich im Rückblick (für Insider erwartbar) als technisch zur Kontaktverfolgung schlicht als nutzlos und finanziell als Desaster – ich hatte dieses Fazit kürzlich im Blog-Beitrag Luca-App: Irre teuer, technisch kaputt, unsicher und nutzlos gezogen. Inzwischen sind die Verträge mit den Bundesländern ausgelaufen und wurden nicht verlängert.

Daher ist die Luca-App in der gegenwärtigen Form nutzlos geworden, wie ich im Blog-Beitrag Bye, bye, Luca-App spielt für die COVID-19-Nachverfolgung keine Rolle mehr ausgeführt habe. Anlässlich dieser Entwicklung entwickelte die Berliner Culture4Life GmbH Pläne für die zukünftige Nutzung der Luca-App. Luca 2.0 soll ein Tausendsassa werden, von der digitalen Geldbörse bis zum Personalausweisspeicher bis hin zum Impfpass-Ersatz ist alles drin.

Bei Capital gibt es ein Interview, was man nach den "gut 20 Millionen Euro, die man von den Bundesländern an Lizenzen für die nicht wirksame Kontaktnachverfolgung eingenommen hat" jetzt in Sachen Weiterentwicklung vor hat. Von FinTech-Unternehmen (teilweise mit Geldgebern aus Russland) hat man 30 Millionen Euro an Kapital eingesammelt, um die App als Luca 2.0 in Richtung "digitales Wallet" (Speicherung von Personalausweis, Impfzertifikat und Zahlungsmittel) zu entwickeln.

Was passiert mit den Daten

Der Punkt, der mich sofort umtrieb, war die Frage, was mit den erfassten Daten der Millionen Benutzer passiert. Die Nutzung der App erforderte ja eine Einrichtung auf einem Smartphone, so dass persönliche Daten erfasst und dem Benutzerkonto zugewiesen wurden. Die Leute haben eine DSGVO-Einwilligung gegeben, aber jetzt ist der Zweck der App entfallen und der Entwickler plant eine Nutzungsänderung.

DSGVO-Datenanfrage wegen Luca 2.0

Folgerichtig sind die bisherigen Daten und die Konten aus DSGVO-Gründen durch den Betreiber zu löschen.  Ich hatte daher diesen Punkt aufgegriffen und sowohl an die Culture4Life GmbH als an den Datenschutzbeauftragten, Herrn Ulrich Kelber, mal per Twitter die Anfrage gestellt, was mit den bisherigen Daten auf den Luca-Servern passiert. Eine Reaktion oder Antwort auf diesen Tweet habe ich keine gesehen.


Anzeige

Ich hatte es auf Wiedervorlage und wollte nun Herrn Kelber als den zuständigen Datenschutzbeauftragten schriftlich kontaktieren. Wie ich hier lese, haben die Entwickler der App – nach eigenen Angaben –  sämtliche Daten zur Kontaktnachverfolgung aus ihrem System gelöscht, die im Zuge der Coronapandemie erfasst und zentral gespeichert worden sind. Zitiert wird eine Mitteilung von Patrick Hennig, Geschäftsführer der Betreibergesellschaft, am 4. April 2022. Henning sagt dazu, dass die Daten fortan nur noch lokal auf den Smartphones der Nutzerinnen und Nutzer gespeichert und sichtbar seien. "Luca hat darauf keinerlei Zugriff.« Wer auch seine lokal gesicherten Daten loswerden will, muss die App demnach händisch deinstallieren".

Was mir aktuell nicht klar ist: Eigentlich müsste die App, da sich der Zweck ändert, automatisch über den Google Play Store (und den Apple-Store) deinstalliert werden. Oder es hätte ein Update geben müssen, das die App anweist, sich nach Nutzerzustimmung zu deinstallieren. Ob die App noch Daten sendet, ist in meinen Augen unklar. Aus meiner Sicht sollten Nutzer die App, sofern sie nicht weiter genutzt werden soll, deinstallieren.

Mich trieb noch die Frage um, was passiert, wenn Nutzer die App vorher händisch gelöscht haben. Denn es gibt ja ein Benutzerkonto auf dem Smartphone. Dazu bin ich in der FAQ der Luca-App fündig geworden. Dort heißt es:

Löschung inaktiver Accounts

Bei regelmäßigen Terminen kontaktieren aktive Apps den luca-Server, um anzuzeigen, dass sie noch aktiv sind. Die Accounts aller Apps, die zu diesem Zeitpunkt nicht den luca-Server kontaktieren, werden vom luca-System auf inaktiv gesetzt und anschließend nach 28 Tagen unwiderruflich gelöscht.

Für dich heißt das: Auch wenn du deine luca App deinstalliert hast, ohne vorher deinen Account zu löschen, wird dein Account nach einer gewissen Zeit automatisch aus dem System entfernt.

Willst du luca zu einem späteren Zeitpunkt wieder nutzen, verschlüsselt und speichert das luca-System die Daten, die du bei Aktivierung deiner neuen App lokal auf deinem Smartphone hinterlegt hast.

Aber irgendwie scheint mir das alles noch nicht so zu Ende gedacht und bleibt der Verdacht, dass am Ende doch Daten herum gammeln und sogar weiter erfasst werden.

Neue Dienste gestartet

Die Löschung der Datenbestände aus dem Luca-System sei Teil einer Neu-Positionierung der Luca-App als Digitalisierungsservice und Bezahlanwendung für die Gastronomie, heißt es (dass dies laut DSGVO zwingend erforderlich war, wurde wohl nicht thematisiert). Eine Pressemitteilung habe ich nicht gefunden, aber am 4. April 2022 startete die Culture4Life GmbH in Hamburg, Berlin und Rostock einen Dienst, mit dem Gäste ihre Rechnungen bargeldlos bezahlen können. Dabei scannen die Restaurantbesucher an ihrem Tisch einen QR-Code und sehen in der App ihre Rechnung, die dann über das Smartphone beglichen werden kann. Weitere digitale Services wie die Annahme von Gutscheinen oder die Integration in Kassensysteme seien in der Entwicklung und würden bald folgen, sagte Hennig anlässlich dieser Vorstellung. Die Idee: Luca Pay soll sich über Transaktionsgebühren finanzieren, die 0,5 Prozent des Umsatzes plus 5 Cent für jeden Zahlungsvorgang betragen.

Ähnliche Artikel:
Lizenzärger: Die Luca-App und die Open Source-Klippen
Hack dein Gesundheitsamt, die Luca-App machte es möglich
Bürgeramt nur mit der Luca-App betretbar? Meldung erwünscht
Posse Luca-App: Teuer, Nutzen zweifelhaft, und Prüfung verweigert
Urteil: Ankauf der Luca-App durch Mecklenburg-Vorpommern unwirksam
Luca-App: Irre teuer, technisch kaputt, unsicher und nutzlos
Kommt das Aus für die Luca-App?
Bye, bye, Luca-App spielt für die COVID-19-Nachverfolgung keine Rolle


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter App, Sicherheit abgelegt und mit App, Datenschutz, DSGVO verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Macher der Luca-App löschen die bisherigen Daten – neuer Dienst gestartet

  1. Gerold sagt:

    Ist zwar etwas offtopic, aber auch beim Adresshandel geht dank DSGVO etwas:

    Datenschützer wollen Adresshandel untersagen

    Nach Informationen von NDR und "SZ" sind die meisten Landesdatenschutzbeauftragten der Ansicht, dass die DSGVO eine Weitergabe mit Adressen für Marketingzwecke ohne Zustimmung der Betroffenen nicht mehr zulässt.

    https://www.tagesschau.de/investigativ/ndr/adresshandel-101.html

  2. Anonymous sagt:

    und NRW (CDU/FDP) grätscht rein, soviel zur "Datenschutzpartei" FDP…

  3. Paul sagt:

    "Nun hat die Culture4Life GmbH mitgeteilt, dass die bisherigen Daten der Nutzer auf den *eigenen* Servern gelöscht wurden."

    Und auf den fremden Servern?

    Da hätte ein "allen Server und Backups" stehen müssen…
    gerade bei einer Firma mit einer so schlechten Reputation(Remember: Copyrights aus OpenSource entfernt etc.)

  4. Ralf S. sagt:

    "Bezahlanwendung für die Gastronomie"
    Wer bitte braucht eine Bezahlanwendung NUR für die Gastronomie??

    "… einen Dienst, mit dem Gäste ihre Rechnungen bargeldlos bezahlen können."
    Bezahlvorgänge habe ich bisher ohne Probleme immer und überall mit der stinknormalen Girocard getätigt – die auch im sonstigen (Einzel)handel zu wohl fast 100 % gerne angenommen wird …

    "Die Idee: Luca Pay soll sich über Transaktionsgebühren finanzieren, die 0,5 Prozent des Umsatzes plus 5 Cent für jeden Zahlungsvorgang betragen."
    Wer soll diese Kosten tragen? Der Gastronom, oder der Kunde – oder beide?? Beide werden wohl darüber nicht sonderlich erfreut sein. Zumal schon heute jeder Gastronom diverse Zahlsysteme anbietet/anbieten muss, die alle für sich mehr oder weniger Geld kosten.
    Und wie viele verschiedene "Pay-Systeme" brauchen wir eigentlich noch …? Oder besser: Sollen wir noch brauchen sollen …? ;-)

  5. Alfonso sagt:

    > Weitere digitale Services wie die Annahme von Gutscheinen oder die Integration in Kassensysteme seien in der Entwicklung und würden bald folgen, sagte Hennig anlässlich dieser Vorstellung.

    Interessant, Annahme von Gutscheinen.

    Das Konzept über zentral verteilte Gutscheine hatten wir doch schonmal bei der Maskenausgabe für Senioren als die Masken knapp waren.

    Wenn es jetzt eines Tages z.B. Gutscheine für Sonnenblumenöl oder andere knappe Lebensmittel geben würde, dann wäre das ein Riesengeschäftsmodell für eine App, die deren Verwaltung bereits kann und zudem für die Identifikation bzw. Zugangskontrolle gleichzeitig Zitat Artikel "ein Tausendsassa [ist], von der digitalen Geldbörse bis zum Personalausweisspeicher bis hin zum Impfpass-Ersatz".

    Clever, Luca, clever.

  6. Paul sagt:

    "Gutscheine" = "Essensmarken" "Treibstoffmarken"?
    Ich meine es zeichnet sich ja ab, dass nicht 'nur' Kabelbäume aus der Urkraine kamen, sondern ein erheblicher Anteil Weizen. Der jetzt in den noch nicht zerbombten Silos dort lagert, oder im Laufe des Jahres auf den Feldern vergammelt, weil die Bauern am Kämpfen oder schon gefallen sind, und deren Erntegeräte Richtung Russland,
    Belarusss und Tschetchenien unterwegs sind oder vorsichtshalber von der CIA abgeschalten wurden, damit sie garnicht erst geklaut werden können…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.