Sehr geehrte Frau Smoltczyk, sehr geehrter Herr Dr. Brink,

hiermit lege ich Beschwerde wegen Verstoßes gegen Art. 5 (1) c) DSGVO ein.
Da mein Wohnsitz in Baden-Württmberg ist, die betroffene Firma ihren Sitz aber in Berlin hat, geht die Beschwerde an beide Datenschutzbeauftragte.

Sachverhalt: Die Bundesländer Mecklenburg-Vorpommern, Berlin, Brandenburg, Niedersachsen, Hessen, Rheinland-Pfalz, Bremen, Baden-Württemberg, Schleswig-Holstein, Saarland, Bayern, Sachsen-Anhalt und Hamburg haben Lizenzen der Luca-App zur Nachverfolgung von Kontakten zur Bekämpfung der Corona-Pandemie erworben. Diese App ermöglicht Gesundheitsämtern zentral gespeicherte Daten der App abzufragen. Damit ist die Wahrscheinlichkeit sehr groß ist, dass diese App Defacto-Standard in Deutschland wird. 
Die App erfragt bei der Einrichtung den Vornamen, den Nachnamen, eine Telefonnummer, die Straße mit Hausnummer, die Postleitzahl und den Wohnort der nutzenden Person (siehe angehängte Screenshots). Da für den Zweck der Nachverfolgung aber Name und Telefonnummer ausreichend wäre sehe ich einen Verstoß gegen Art. 5 (1) c) DSGVO und bitte Sie diesem Verstoß nachzugehen.

Die Luca-App kommt von der Firma
culture4life GmbH
Charlottenstraße 59
10117 Berlin

culture4life GmbH wird vertreten durch die Geschäftsführer Patrick Hennig, Marcus Trojan.

Mit freundlichen Grüßen

Der Main-Tauber-Kreis wird zur Modellregion für Luca-App, so ist es in den FN zu lesen. Wieso ausgerechnet mit der Luca-App?

Die Luca-App ist eine kommerzielle App der Firma Culture4Life GmbH in Zusammenarbeit mit der Fantastic Capital (Fanta-4). Dieses Startup hat es geschafft, sich quasi ein staatliches Monopol zu sichern, denn die App wird de facto verpflichtend für alle, die am öffentlichen Leben teilnehmen möchten. Man beteuert, dass auch weiter papierbasiert eingecheckt werden kann, aber die meisten Menschen werden dem sozialen Druck nachgeben und sich die App installieren.
Das ist für die Luca-Macher genial, denn die App ist eine Plattform und Kontaktnachverfolgung vielleicht nur die erste Anwendung. Die Programmierer können die App beliebig weiterentwickeln und neue Dienste in diese integrieren, der Staat kann hierauf keinerlei Einfluss nehmen! Was kann man mit einer solchen Plattform anfangen? Die Möglichkeiten scheinen unendlich: Ticketing, Reservierungen, Loyalitätsprogramme, Bewertungen, Lieferdienste, Zahlungssysteme… Natürlich könnte man die App auch einfach verkaufen, Interessenten gäbe es sicher viele.
Dadurch, dass der Staat der (einzige) Kunde ist und Nutzungsrechte der App gekauft hat, wird der Firma zweistellige Millionenumsätze beschert, damit ist das Startup wohl eine der umsatzstärksten Neugründungen in Deutschland in 2020.

Außer durch die Verkettung eines privatwirtschaftlichen Startup-Unternehmens in einen eigentlich staatlichen Bereich ist die App aber auch sonst sehr ins Gerede gekommen: Datenschutzprobleme, Hinweise auf Sicherheitslücken bei der Verschlüsselung, die Kritik an dem nur teilweise veröffentlichten Quellcode und an falsch verwendeter Lizensierung.
Obendrein hat der Kabarettist Böhmermann wie auch der Journalist Lenze gezeigt wie fehleranfällig die Kontaktverfolgung ist. So haben sich angeblich viele Leute nachts im Osnabrücker Zoo getroffen, teilweise auch mit falschen Namen, „bewiesen“ durch die Luca-App.

Was ich aber gar nicht verstehe ist, warum eine weitere App vom Staat „gekauft“ wird, wo es bereits eine staatliche App gibt: Die Corona Warn App. Die ist datenschutzrechtlich hervorragenden geprüft, der komplette Quelltext ist öffentlich, diese App kommt ohne zentrale Datenspeicherung aus und kann ab kommenden Freitag auch mit QR-Codes umgehen und damit auch Kontaktverfolgung jenseits eines Bluetooth-Kontakts aufzeichnen.