Mainzer Polizei ermittelte rechtswidrig mit Daten aus der Luca-App
Für die Suche nach Zeugen bei einem Todesfall fragten die Fahnder missbräuchlich Kontaktinformationen aus dem Luca-System ab. Die Betreiber kritisieren dies.
Die Mainzer Polizei hat bei Ermittlungen zu einem Sturz mit Todesfolge in der Altstadt der Landeshauptstadt ohne rechtliche Grundlage Daten aus dem System hinter der Luca-App eingesetzt. Dies berichtet der SWR unter Verweis auf eigene Recherchen. Die Staatsanwaltschaft hat inzwischen den Missbrauch der personenbezogenen Informationen eingestanden, die für das Verfolgen von Kontaktpersonen Infizierter gesammelt werden, und sich für das Vorgehen der Fahnder entschuldigt.
Zeugen gesucht
Die Ermittler machten laut dem Bericht mithilfe der Datenabfrage Besucher einer Gaststätte in der Mainzer Innenstadt aus. Sie wollten diese als mögliche Zeugen für das tragische Geschehen gewinnen, bei dem ein Gast der Wirtschaft Ende November offenbar gestürzt und später seinen Verletzungen erlegen war. Eine leitende Mitarbeiterin der Gaststätte bestätigte dem Sender, dass Beamte der Mainzer Kriminalpolizei sie nach dem Vorfall aktiv nach Daten aus dem Luca-System gefragt hätten.
Später habe sie dann via Luca-App eine Bitte des Gesundheitsamtes Mainz um Datenfreigabe bezüglich der am 29. November anwesenden Gäste erhalten, berichtete die Wirtin. Dieser habe sie stattgegeben. Ein Betroffener bestätigte, er sei am 20. Dezember von der Polizei kontaktiert worden mit dem Hinweis, dass seine Kontaktdaten via Luca-App gewonnen worden seien.
„Fehlerhafte Bewertung“ des Gesetzestextes
Strafverfolger dürfen auf Informationen aus dem umstrittenen Luca-System, das in vielen öffentlichen Einrichtungen zum Registrieren von Besuchern eingesetzt wird, in der Regel schon aufgrund Paragraf 28a des Infektionsschutzgesetzes des Bundes aus datenschutzrechtlichen Gründen nicht zugreifen. Auch die Landesregierung Rheinland-Pfalz erklärt auf ihrer Webseite, dass die anhand der Luca-App gewonnenen Daten nicht für „andere Zwecke“ jenseits der Kontaktnachverfolgung zum Gesundheitsschutz verwendet werden dürften. Dies schreibe auch Paragraf 1 der Corona-Bekämpfungsverordnung des Landes vor.
Die Staatsanwaltschaft Mainz bestätigte dem SWR mittlerweile die Datenabfrage in Zusammenhang mit dem Fall. Insgesamt seien darüber 21 potenzielle Zeugen ausfindig gemacht und angerufen worden. Dies sei mit der zuständigen Polizeibehörde abgestimmt gewesen und aufgrund einer fehlerhaften Bewertung des Infektionsschutzgesetzes erfolgt. Tatsächlich habe es für die Aktion „keine hinreichende rechtliche Grundlage“ gegeben. Man habe bereits den behördlichen Datenschutzbeauftragten informiert und beabsichtige, auch den Landesdatenschutzbeauftragten zu unterrichten.
Die Strafverfolgungsbehörde drückte zugleich ihr Bedauern gegenüber den Betroffenen aus und entschuldigte sich für den Zugriff. Es werde sichergestellt, dass die bezogenen Daten nicht weiter genutzt würden. Bei einer Prüfung von Ermittlungsverfahren seien bisher keine weiteren einschlägigen Vorgänge bekannt geworden.
Gesundheitsbehörde hat „Infektionsfall simuliert“
Die Macher der Luca-App verurteilen laut einer Erklärung vom Freitag „diesen Missbrauch der für den Infektionsschutz erhobenen Daten“. Sie begrüßten zugleich die Ankündigung der Staatsanwaltschaft, Strafverfolger für die Rechtslage „zu sensibilisieren“. Sie selbst hätten „keine Kenntnis von dem Vorfall“ gehabt.
Die Informationen können laut Luca nur bereitgestellt werden, „wenn das jeweilige Gesundheitsamt und der jeweilige Betrieb in einem Infektionsfall gleichzeitig ihr Einverständnis erteilen und ihre individuellen Schlüssel anwenden, um die Daten zu entschlüsseln“. In diesem Fall habe wohl die Mainzer Gesundheitsbehörde auf Druck beziehungsweise Bitten der Polizei „einen Infektionsfall simuliert und das Einverständnis des Betriebs auf Bereitstellung der Daten eingeholt“.
Zu Kontaktinformationen von Nutzern der Luca-App erreichen die Betreiber des Systems nach eigenen Angaben „fast täglich“ Anfragen von Polizei und Staatsanwaltschaft. Diese würden immer mit dem Hinweis beantwortet, „dass wir keine Daten liefern können, weil wir aufgrund des Verschlüsselungskonzepts technisch keinen Zugriff darauf haben“. Als es das Luca-System noch nicht gab, hatte die Polizei in mehreren Bundesländern ebenfalls bereits auf personenbezogene Daten aus Corona-Gästelisten von Restaurants, Cafés und Hotels zugegriffen. Bayerische Ordnungshüter gingen damit sogar gegen Kleinkriminalität vor. Damals war die Rechtslage noch unklar gewesen.