Ein Screenshot, den der IT-Spezialist Ralf Rottmann heute veröffentlicht hat, zeigt, dass Locationbetreiber aktuell beim Login in die Systeme der Luca-App aufgefordert werden, ihre privaten Luca-Schlüssel an den Betreiber zu verraten. Die Aufforderung kommt dem Anschein nach von dem Betreiber selbst, wirklich sicher kann man sich angesichts der zahlreichen Sicherheitslücken der App vermutlich auch da nicht sein. Jedenfalls ist spätestens jetzt der Zeitpunkt gekommen, an dem ich Mandant:innen sehr ernsthaft vom Einsatz dieses Systems abraten muss, weil sich daraus ganz direkte Haftungs- und Bussgeldrisiken ergeben.
Private Schlüssel heissen „privat“, weil sie niemals, unter keinen Umständen, an Dritte herausgeben werden. Ein System, in dem das aus technischen Gründen notwendig wäre, wäre strukturell defekt und dürfte bereits aus diesem Grunde nicht eingesetzt werden. Die Aufforderung innerhalb der Luca-App würde entsprechend darauf hindeuten, dass die Konstrukteure der App auf einem einen substantiellen Architekturfehler aufgebaut haben.
Für Betroffene, also sowohl die Locationbetreiber als auch deren Kunden bedeutet dies, dass die von der Luca-App vorgenommene Datenverarbeitung strukturell unsicher ist und damit den Anforderungen der Datenschutzgesetze, insbesondere der DSGVO, nicht genügt. Wird das System trotzdem eingesetzt, haftet der Locationbetreiber seinen Kunden auf Schadensersatz und ist dem Risiko erheblicher Bussgelder ausgesetzt, die die Aufsichtsbehörden nach einer Prüfung verhängen könnten.