MainzPolizei nutzte Luca-Daten von Kneipenbesuchern ohne Rechtsgrundlage

Die Polizei in Mainz forderte beim Gesundheitsamt die Luca-App-Daten von Gästen einer Kneipe und erhielt sie auch. Dass das rechtswidrig war, fiel der Staatsanwaltschaft erst im Nachhinein auf.

Menschen stoßen an
Viele Kneipen speichern über die Luca-App die Kontaktdaten der Gäste. (Symbolbild) – Gemeinfrei-ähnlich freigegeben durch unsplash.com Drew Beamer

Die Mainzer Polizei hat für Ermittlungen Daten aus der Luca-App ohne Rechtsgrundlage beim Gesundheitsamt genutzt. Das haben Recherchen des SWR aufgedeckt. 

Eine Person war nach einem Kneipenbesuch gestürzt und einige Tage später an den Folgen verstorben. Beamte der Polizei fragten bei der Kneipe nach Luca-Daten, um andere Gäste zum Vorfall zu befragen. Weil die Kneipe die Daten nicht herausgeben konnte, gingen die Ermittler den Weg über das Gesundheitsamt. Die verantwortliche Kneipen-Mitarbeiterin sagt gegenüber dem SWR, dass sie dann vom Gesundheitsamt eine Anfrage bekommen habe, dass sie die Daten für den 29. November freigeben solle, was sie auch tat. Ein Gast bestätigte später dem SWR, dass die Polizei angegeben habe, dass sie über die Luca-Daten auf ihn gekommen sei. Insgesamt hat die Polizei auf diesem Weg 21 Zeugen ausfindig gemacht, berichtet der Sender.

21 Zeugen ausfindig gemacht

Es war nur eine Frage der Zeit, bis die Daten der Luca-App das Interesse der Strafverfolger wecken würden. Denn wenn der Schutz der Privatsphäre nicht technisch gesichert ist, sondern die Daten vorhanden sind, dann gilt immer die alte Datenschützerweisheit: „Wo ein Trog ist, da kommen die Schweine.“ Denn dass die Staatsanwaltschaft die Luca-App-Daten für ihre Ermittlungen praktisch findet, überrascht nicht. Dass man nicht sofort eine Rechtsgrundlage parat hatte, fiel offenbar erst nachher auf.

Luca wird derzeit noch in vielen Gastronomiebetrieben zur Kontaktverfolgung genutzt. Eine Nutzung der Luca-Daten ist laut dem Infektionsschutzgesetz aber nur zur Pandemiebekämpfung und nicht zur Strafverfolgung zulässig. Das erkannten die Ermittler aber erst später und drücken heute ihr Bedauern wegen des unzulässigen Datenzugriffs aus. Schon vor der Luca-App hatten Ermittlungsbehörden immer wieder auch Papierlisten in Gastronomiebetrieben für Ermittlungen genutzt.

Luca in der Kritik

Luca steht nicht nur wegen dieses Vorfalls in der Kritik. Zuletzt wurde bekannt, dass die Luca-Daten in vielen Bundesländern kaum bis gar nicht mehr zur Kontaktverfolgung genutzt werden. So wurden im bevölkerungsreichen Bayern in den letzten 14 Tagen keine Daten mehr abgefragt, obwohl das Bundesland weiterhin sehr hohe Infektionszahlen hat. Die App scheint für die Pandemiebekämpfung nutzlos. Im Februar werden die Bundesländer entscheiden, ob sie den Abo-Vertrag mit Luca kündigen oder die umstrittene App ein Jahr weiter nutzen. Kritik gibt es auch daran, dass Luca seinen Nutzer:innenstamm in Zukunft auch für andere Geschäftsmodelle, beispielsweise für eine Gastro- und Event-App nutzen könnte. Eine Nutzung für andere Zwecke hatte Luca gegenüber netzpolitik.org nicht ausgeschlossen.

33 Ergänzungen

  1. Klarer Fall von „kein rechtlicher Regelungsbedarf“. Ähnlich wie bei der Vorratsdatenspeicherung bedarf es da offenbar weiterer Leitplanken, die ein ständiges herübergreifen in den eigentlich geregelten Bereich verhindern.

    Deutschland kann Eierlegefabriken, sowas, man darf einfach nicht zu viel verlangen.

    Konzepte mit Freiwilligkeit sind nur mit größtem Aufwand umsetzbar (Zivilgesellschaft, Widerstand). Vielleicht gibt es das mal, dass eine Datenpufferbehörde nachfragt, ob man kooperieren wolle, aber keinerlei Informationen sammelt, nicht ausnutzt, sondern Nutzen bringt.

  2. Und wieder bestätigt sich das was Misstrauische von Anfang an bemängelt haben: sind Daten erstmal vorhanden, dann werden sie auch *beliebig* genutzt. Legal, illegal, scheissegal. Ist ja nicht als müsste irgendjemand im Beamtenapparat ersthafte Konsequenzen befürchten. Strafen gibt es nur für die anderen.

    1. Der Fisch stinkt halt vom Kopf. Solange sich Politiker und Polizeiführung explizit gegen eine bürgerrechtsorientierte Fehlerkultur positionieren, wird derartiges Verhalten natürlich gefördert.

      Solange die Mehrheit der Bürger das akzeptiert und und nicht anders wählt, geht es in die Richtung weiter.

      Exekutive braucht für Handlungsfähigkeit eine gewisse individuelle Fehlertoleranz, aber eben darum auch zwingend eine fehlerminimierende organisatorische Fehlerkultur (Lernen, Vermeiden, Sorgfaltspflicht).

      Nur sind zZt viele Behörden und Politiker darauf ausgerichtet, Fehler nie zuzugeben und bewusst zum Erreichen der eigenen Ziele hinzunehmen oder gar anzustreben. Siehe zB Weltraumtheorie des BND, oder fast alles von Andi Scheuer.

      1. Ergaenzend: unter dem Aspekt der vorherrschenden „Fehlernutzungskultur“ ist dann auch verstaendlich, warum so viele Gesetze und Vorschriften handwerklich so schlecht gemacht sind. Man will Unklarheit, denn Unklarheit erzeugt den Raum fuer willkuerliche Entscheidungen nach eigenem Gutduenken. Jedenfalls bis zur Klarstellung durch eine Hoechstinstanz, und das dauert und ist zZt ohne negative Konsequenzen. Erneut siehe BND oder Andi Scheuer, oder auch Olaf „Brechmittelfolter & Cum-Ex Geschenke“ Scholz und Frank-Walter „Kurnaz kann in Guantanamo versauern“ Steinmeier.

  3. Auch in Hamburg gabe es Anfragen durch die Polizei, dazu ein überspezifisches Dementi das eine „bestimmte Behörde keine Daten weitergab“.
    https://fragdenstaat.de/anfrage/luca-abteilung-hamburg-kosten-und-fremdanfragen-1/

    Patrick Hennig hat bei vielen der Live Auftritte immer wieder gesagt das es unzählige Anfragen von Polizei und Staatsanwaltschaften gibt – aber immer positiv Formuliert das Luca diese Daten ja NIE rausrücken würde/könnte.

    Auch dieser Fall , wo ein Lokal Daten erhoben hat und sonst auch Luca einsetzt mag interessant sein: „Sehr spannend, ich hab die erste Akte, in der die Kontaktdatensammlung wegen Corona zur Identifizierung der Beschuldigten geführt haben soll.“
    https://twitter.com/linksanwaelte/status/1468539086797516807

  4. Wenn in einer Kneipe die Luca-App läuft, will kein Mensch mehr einen Zettel ausgefüllt haben, eigene Erfahrung seit Monaten, Originalzitate: „Ich mache doch keine Zettelwirtschaft, bleib einfach sitzen, kontrolliert doch eh keiner“. So fällt man durch das Raster.

  5. War doch klar.
    Es muss doch einen Grund geben, die ungeplanten und am Haushalt- und Vergaberecht vorbei genehmigten Ausgaben im Nachhinein zu rechtfertigen!

    Ging hier in die Hose. Na und?
    Irgendeines der Bundesländer wird schon einen Erfolg melden.

    Wer meinen – redlich und tatsächlich echten mit 3 bestätigten Impfungen versehenen – Impfausweis nicht akzeptiert, ist raus,
    Wenn ich beim Aldi nicht mehr reinkomme, weil ich meine Gesundheitsdaten nicht in irgendwelchen Datenbanken abgelegt haben möchte, wird es die Tafel und danach die Strasse.

    Meine Krankheitsdaten gehören mir – fertig.
    Aber ein Hoch auf die Gematik und die EPA.
    Luca ist nur der Einstieg, was uns dann erwartet.

  6. Ich würde gerne später mal hören welche Disziplininarischen Strafen der „Polizist“ erwarten darf und welche der rechtsunkundige, imkompetente, weltfremde Staatsanwakt?
    Warum werden diese Personen der Weltgeschichte nicht mit Namen genannt?
    Es war noch zu der reinen Zettel Zeit als der Polizei schon mal gesagt werden musste, das die ihre ungeschaschenen Fingern von diesen Daten zu lassen hat, und kein Wirt verpflichtet ist diese Daten an die Polizei zu geben.

    Wann gibt die Polizei endlich mal ein paar 100.000Euro für eine PR Abteilung aus, die ihr Images aufpoliert? (Ala „Die Polizei Dein Freund und Helder“ ) und die so einen Bockmist schon in den Polizistenköpfen durch Weiterbildung verhindert?

    1. „und kein Wirt verpflichtet ist diese Daten an die Polizei zu geben.“

      Es macht 1. einen Unterschied ob Wirte einfach nur nicht verpflichtet sind, es aber freiwillig trotzdem tun können, oder ob es explizit verboten ist. Die Politik entscheiden sich bekannterweise gerne für den ersten Weg, damit immer eine Hintertüre offen bleibt.
      2. Hat man in diesem Fall zum Datenzugriff sogar eine Corona-Infektion „simuliert“ um die Datenfreigabe anzustossen. Es bleibt also auch die Frage, warum Gesundheitsämter sich so willfährig zu Hilfspolizisten machen lassen.

    2. Die Polizei hat Stellen für Öffentlichkeitsarbeit, das ist deren PR-Abteilung. Und was die sagen, wird idR von allen Medien kritik- und kommentarlos verbreitet.

      Und natürlich die „Polizeigewerkschaften“, ebenso Lieblinge fast aller Medien mit unbegrenzter airtime für viel Meinung und wenig Wahrheit.

  7. Was ich weder aus dem Artikel, noch aus dem SWR Stück entnehmen kann: Wer hat denn nun beim Gesundheitsamt mit welcher Begründung nachgefragt – die Polizei oder die Staatsanwaltschaft?

    (wenn bei Unfall mit Todesfolge die Staatsanwaltschaft tätig wird um Zeugen zu suchen, hat das idR Gründe. Natürlich ist zum Datenzugriff dann eine Richterin nötig).

    1. „Was ich weder aus dem Artikel, noch aus dem SWR Stück entnehmen kann: Wer hat denn nun beim Gesundheitsamt mit welcher Begründung nachgefragt – die Polizei oder die Staatsanwaltschaft? “

      mMn ist das fast egal, das ist ein Unterschied wie Pontius und Pilatus. Aber da die Staatsanwaltschaft sich entschudligt hat würde ich annehmen, dass es diese war die den Stein ins Rollen brachte (selbst wenn die Polizei es dann ausgeführt hat).

      „(wenn bei Unfall mit Todesfolge die Staatsanwaltschaft tätig wird um Zeugen zu suchen, hat das idR Gründe. Natürlich ist zum Datenzugriff dann eine Richterin nötig).“

      Die Gründe sind doch sehr wahrscheinlich ein ganz normales Verfahren zur Todesursachenermittlung nach § 159 StGB – wie bei *jedem* unnatürlichen Todesfall!
      Und nein, eine Richterin ist nicht nötig, denn es herrscht eine eindeutige Rechtslage nach § 28a Abs. 4 IfSG: der Datenzugriff ist ausgeschlossen!!

      1. Es ist zur Fehlervermeidung immer ganz praktisch festzustellen wie der Fehler entstanden ist. Einfach zu fordern, keiner darf Fehler machen ist etwas idealistisch. Und nicht jeder Polizist und jede Staatsanwältin kennt das IfSG auswendig. Schon das Gesundheitsamt hätte darauf hinweisen können, das die Datenabfrage eine nur scheinbar gute Idee ist.

        1. Das die Listen nicht frei verfügbar sind sollte jeder mitbekommen haben. Oder landen bei der Polizei die Leute nicht mal bei der Bundeswehr unterkämen?
          Der (systembedingt) abgeblitzte Polizist hat wohl bei der Staatsanwaltschaft um Auskunft gebeten… Und die hat das auch nicht gewusst?
          Oder hat er gewusst das das Datenschutzgesetz Behörden extra von Strafen ausgenommen hat? Also alles was Datenschutz betrifft einem Beamten egal sein kann?

        2. Man sollte *natürlich* fordern, dass niemand Fehler macht. Man sollte aber nicht erwarten, dass deswegen keine Fehler geschehen (das wäre tatsächlich in einem unrealistischen Ausmaß idealistisch). Der richtige Umgang mit den Fehlern ist wichtig. Ich bin kein Fan des Mottos „Fehlermachen ist halb so schlimm“, weil dadurch eher mehr Fehler geschehen, weil es zu Nachlässigkeit kommt.
          Richtig ist, dass das Gesundheitsamt seinen Pflichten aus dem IfSG hätte nachkommen müssen, und das Auskunftsgesuch der Staatsanwaltschaft/Polizei hätte ablehnen müssen. Hier muss man klären wer verantwortlich war, und wie/warum man einfach mal einen Corona-Fall „simuliert“ hat. Der entsprechende Schriftverkehr sollte vorliegen. (Übrigens: In Hamburg wurde ein Mann verurteilt, weil er einen Laborattest fälschte um eine Corona-Infektion vorzutäuschen. Ich frage mich wie die Polizei/Staatsanwaltschaft vorgegangen ist, weil eigentlich das Gesundheitsamt erst nach einem positivem PCR-Test aktiv wird …)

          Es ist natürlich nur eine persönliche Mutmaßung, aber ich kann mir schon vorstellen, dass die Polizei den Fall leicht verfälscht dargestellt hat: da wird aus einer normalen Todesursachenermittlung ein „ungeklärter Todesfall“, und schon klingt es eher nach Mord/Totschlag als nach einem Sturz/Unfall. Und die Hobby-Tatortkommissare im Gesundheitsamt denken sie würden bei der Jagd auf Schwerverbrecher helfen, und schwups ist das Gesetz nicht mehr wichtig.

  8. Gewaltenteilung bedeutet, das sich die Teile gegenseitig kontrollieren. Und nicht, dass sie jeder für sich gegen die Bürger hinwurschteln um sich die Arbeit einfacher zu machen.
    Es kann nicht sein, daß es zur Aufdeckung solcher Gesetzesverstöße der 4. Gewalt, die Presse bedarf…

  9. Ernst gemeinte Frage, um z.B. die Ernsthaftigkeit der Gesetze rund um z.B. Coroan einpegeln zu können: es gibt doch sicherlich irgendeine andere gesetzliche Regelung gegen Behördenwillkür, die tatsächlich Strafen bei Verstößen definiert. Hat dazu jemand mal ein Beispiel?

    1. Schwierig: eine Behoerde ist eine Organisation, bestrafen kann man nur Personen bei persoenlichem strafbewehrten Fehlverhalten. Der Rechtsweg gegen die Behoerde (Verwaltungsgerichte, etc) stellt nur auf die Korrektur rechtswidriger Entscheidungen ab.

      Wenn man es als Behoerde verwaltungsrechtlich kompetent anstellt, kann man letztlich fast frei schalten und walten ohne persoenliche straf- oder disziplinarrechtliche Konsequenzen fuerchten zu muessen. Wenn man hoechstinstanzlich verliert, hatte das Gericht halt eine andere Rechtsauffassung. Solange das einem keine schlechte Beurteilung durch Vorgesetzte (auch Behoerde oder Politiker) mit moeglichen Karrierehindernissen einbringt: kein Problem.

      Abhilfe waere eine politische Entscheidung, ein solche Behoerde aufzuloesen, personell und organisatorisch zu restrukturieren, transparenter zu machen, mit einem anderen gesetzlichen Rahmen zu versehen, etc. Das setzt aber entsprechenden Gestaltungswillen seitens der Politik voraus, und solange die Buerger so waehlen, wie sie waehlen: vergiss es. Moegliche Behoerdenwillkuer ist ja auch immer ein grosser Vorteil fuer die Leute mit entsprechenden Verbindungen und Macht.

    2. „es gibt doch sicherlich irgendeine andere gesetzliche Regelung gegen Behördenwillkür,“

      Die Bürger können vor einem Gericht Klage gegen die Behörde bzw. die Behördenentscheidung erheben.
      Gegen einzelne Beamte wären disziplinarischrechtliche Massnahmen möglich. Ich bezweifle allerdings, dass es im vorliegenden Fall dazu kommen wird.

  10. Falls zusätzlich zur Luca-App noch Kontaktlisten auf Papier geführt worden sind, wären diese dem Gesundheitsamt bei einer Corona-Infektion auch zugegangen?

    Die Luca-App macht das Übermitteln sicherlich leichter, aber ist das Problem ist nicht, dass die Daten überhaupt erhoben werden, egal ob mit oder Papier? Also die gesetzliche Grundlage?

    1. Niemand wird sich die Mühe machen neben Luca noch mit Papierzetteln zu arbeiten. Der Zweck von Luca ist doch, dass man keine Papierlisten mehr braucht.
      Gesetzlich sind diese Listen zur Kontaktverfolgung leider vorgeschrieben – wie effektiv das am Ende zur Corona-Bekämpfung ist weiß man nicht so genau. Absurd wird es, wenn die Gesundheitsämter die Kontaktverfolgung mal wieder eingestellt haben, die Daten aber weiter erhoben werden müssen.

      1. Viele haben die einfache Wahl: mehr Kundschaft oder nur Luca. Sieht bei ueberlaufenen Clubs vieleicht anders aus.

      2. Ich gehe dann wohl in andere Restaurants als du. Bisher war es kein Problem auch Zettel auszufüllen. Man sieht das als Dienst am Kunden.
        Und auch Ämter, Krankenhäuser verzichten -natürlich- auf die Datenschleuder Luca und haben eigenes gebastelt.
        Im wie weit auf diese Listen durch die Polizei zugegriffen wird, um einen Taschendieb zu ermitteln, ist natürlich nicht so leicht zu erkennen wie beim Luca-Missbrauch.

  11. Die Worte „ohne Rechtsgrundlage“ in der Überschrift sind meiner Meinung nach irreführend:
    Sie suggerieren nur ein fehlen der gesetzlichen Regelung. Das ist aber nicht der Fall, denn die Rechtsgrundlage, welche eine derartige Verwendung der Kontaktdaten ausdrücklich verbietet, existiert:
    Infektionsschutzgesetz – IfSG
    § 28a
    … „(4) Im Rahmen der Kontaktdatenerhebung nach Absatz 1 Nummer 17 dürfen von den Verantwortlichen nur personenbezogene Angaben sowie Angaben zum Zeitraum und zum Ort des Aufenthaltes erhoben und verarbeitet werden, soweit dies zur Nachverfolgung von Kontaktpersonen zwingend notwendig ist. Die Verantwortlichen haben sicherzustellen, dass eine Kenntnisnahme der erfassten Daten durch Unbefugte ausgeschlossen ist. Die Daten dürfen nicht zu einem anderen Zweck als der Aushändigung auf Anforderung an die nach Landesrecht für die Erhebung der Daten zuständigen Stellen verwendet werden und sind vier Wochen nach Erhebung zu löschen. Die zuständigen Stellen nach Satz 3 sind berechtigt, die erhobenen Daten anzufordern, soweit dies zur Kontaktnachverfolgung nach § 25 Absatz 1 erforderlich ist. Die Verantwortlichen nach Satz 1 sind in diesen Fällen verpflichtet, den zuständigen Stellen nach Satz 3 die erhobenen Daten zu übermitteln. Eine Weitergabe der übermittelten Daten durch die zuständigen Stellen nach Satz 3 oder eine Weiterverwendung durch diese zu anderen Zwecken als der Kontaktnachverfolgung ist ausgeschlossen. Die den zuständigen Stellen nach Satz 3 übermittelten Daten sind von diesen unverzüglich irreversibel zu löschen, sobald die Daten für die Kontaktnachverfolgung nicht mehr benötigt werden.“…

    Insofern muss es in der Überschrift heißen: „entgegen gesetzlicher Regelung“.

    1. Man könnte auch schreiben:
      „Polizei missbrauchte Luca-Daten illegal von Kneipenbesuchern“

      Das ist schön kurz und knackig und trifft es auch als das Geschwurbel von der Staatsanwaltschaft, von der das stammt. Die möchte natürlich auch beschönigen. Da hat Markus etwas unkritisch übernommen.

      Da die Daten auch nie und nimmer für einen anderen Zweck benutzt werden sollten als zur Korona-Bekämpfung, hat die Polizei die Daten natürlich auch missbraucht.

      Wobei mit dem „missbrauchte“ scheint schon alles gesagt zu sein, so das das „illegal“ überflüssig ist.

      1. Ja, nur ist eben noch nicht gerichtlich festgestellt, dass es rechtswidrig und damit illegal war. Auch wenn das natürlich herauskommen wird.

        1. Wie jetzt? Nur weil ein Richter noch nicht geurteilt, dürfen wir uns jetzt nicht klar und deutlich ausdrücken?

          Im Anreißertext brauchtest Du ja auch keinen Richter, um die Datenweitergabe als rechtswidrig zu bezeichnen. Gut in der Überschrift würde es um die Datennutzung gehen, die illegal wäre, aber das ist eine Feinheit, die uns nicht zu interessieren braucht, und die wir tatsächlich einem Richter überlassen sollten. Fest steht die Polizei hat was gemacht, was sie nicht hätte tun sollen.

          Aber spinnen wir das mit dem Richter doch mal weiter, dass wir als Nicht-Juristen absolut keine Gesetze interpretieren könnten. Das hieße ja, dass niemand von uns Nicht-Juristen verlangen könnte, dass wir uns an irgendwelche Gesetze zu halten, da wir sie ja schließlich nicht verstehen können.

          Aber wenden wir das doch mal auf die von der Polizei Mainz an, da sitzen die also zusammen und überlegen sich wie sie denn an die Daten kommen können. Und denken dann: „Das Gesetz sagt, dass es so nicht geht. Aber illegal? Neeeiiin, das hat doch noch kein Richter geurteilt also ist das erst mal legal. Also mach’n’wa doch mal.“

          Wobei ich davon ausgehe, dass die Polizisten das Gesetz eher nicht kannten. Das ist aber dann ein Versagen der Führung. Die hätte sich drumm kümmern müssen, die Polizisten zu schulen und zwar vorher.

          Diese Sache ist hoch-sensible, da darf nun mal kein Fehler passieren, oder sie müssen wenigstens zeigen, dass sie alles getan haben, um so etwas zu verhindern. Denn der Staat hat schon oft genug gezeigt, dass man ihm nicht trauen darf und jetzt schon wieder. Eins davon war das Einführen dieser App. Um wenigstens ein klitzekleines Bisschen an Vertrauen wiederzugewinnen, muss er die Luca-App los werden.

  12. Aus gegebenem Anlass (Wortzählung), hier ein Neues: verdächtig.

    Wir sollten hier nicht nur um mögliche Zeugen kreisen, es könnten genausogut Verdächtige sein bzw. werden. Alle die vor X los sind, vielleicht gab es ja einen Streit, vielleicht war der Tote selbst dort gewesen, kannte jemanden, usw. usf.

  13. Keine Rechtshotline?

    Hätte das Gesundheitsamt eine… oder sind wir da im deutschen Weisungswald, in dem auch einfach mal so ein Gestrüpp erst noch gesucht werden muss?

  14. https://www.heise.de/news/Zugriff-auf-Luca-Daten-Datenschuetzer-sieht-Rechtsstaatlichkeit-untergraben-6324593.html

    Hier klingt das schon recht eindeutig.
    >>> Der Experte für Polizeirecht hat nach eigenen Angaben „umgehend aufsichtsrechtliche Verfahren“ eingeleitet.
    >>> „sowohl Staatsanwaltschaft als auch Gesundheitsamt die bereits vor einiger Zeit geänderte Rechtslage … offensichtlich nicht kannten oder sich darüber hinweggesetzt haben“
    >>> „Staatsanwaltschaft räumt Unzulässigkeit ein“

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.