Follow

Ich habe die Stellungnahme von @lfdi zur Luca App jetzt in Ruhe lesen können und bleibe immer wieder bei der Frage der Rechtsgrundlage (RGL) der Datenverarbeitung durch die Veranstaltungsbetreibenden hängen.

baden-wuerttemberg.datenschutz

@lfdi Ich bin nicht sicher, ob ich eine Auftragsverarbeitung (so die Behörde, S. 4) oder eine gemeinsame Verantwortlichkeit überzeugender finde, aber teile das Endergebnis: Veranstaltende müssen für die Erhebung der Daten ihrer Besuchenden via Luca eine RGL aufweisen.

Ich stimme mit der Behörde auch darin überein, dass dabei weder auf die Einwilligung (Art. 6 Abs. 1 Satz 1 Buchst. a) DSGVO) oder eine Vertragserfüllung (Art. 6 Abs. 1 Satz 1 Buchst. b) DSGVO) gesetzt werden kann.

Show thread

@lfdi Die Einwilligung scheidet mEn bereits mangels Freiwilligkeit aus, weil die Erhebung zu Zwecken der Weitergabe an die Gesundheitsämter (GÄ) nicht freiwillig wäre (vgl. Erwägungsgrund 43 DSGVO) bzw. in den Modellregionen sogar eine App-Pflicht bestehen soll.

Show thread

@lfdi Eine Erhebung und Übermittlung an die GÄ auf Basis der Vertragserfüllung hingegen würde erfordern, diese Datenverarbeitung zum Vertragsgegenstand zB des Konzertbesuchs zu machen. Das dürfte mit dem "core contract" Verständnis des EDPB unvereinbar sein (edpb.europa.eu/our-work-tools/)

Show thread

@lfdi Die StN stellt deshalb zu Recht auf Art. 6 Abs. 1 Satz 1 Buchst. c) DSGVO (rechtliche Verpflichtung) ab.

Und hier wundere ich mich, denn diese RGL setzt eine Erforderlichkeitsprüfung voraus, also eine Antwort auf die Frage, ob das gleiche Ziel auch datensparsamer erreicht werden kann.

Show thread

@lfdi Genauer: Diese Prüfung setzt zwingend

1. eine Definition des Ziels voraus und
2. einen Vergleich aller zu seiner Erreichung verfügbaren Mittel.

Und genau hier wird die Stellungnahme mEn sehr dünn bis unvollständig.

Show thread

@malteengeler @lfdi Danke für die Ausführungen. Sie unterfüttern meine Auffassung der Gesetze als Laie und bestätigen oftmals mein Rechtsverständnis.

@malteengeler
Naja, dünn ist streng.
Entscheidend ist: verfügbare Mittel.
Und da ist ein Verweis auf nicht klar definierte, angekündigte (und lang ersehnte) Verbesserungen der CWA nicht einschlägig.
Zudem: Die Stellungnahme wurde im Januar und Februar erarbeitet, stammt vom 2.3. und fußt - welch Wunder - auf den zu diesem Zeitpunkt (uns) verfügbaren Informationen. Und steht immer noch. 😊

@malteengeler
OK, soweit stimmen wir überein.
Den Begriff Datensparsamkeit habe ich zwar aus meinem Wortschatz gestrichen (das war BDSGalt), aber in der Sache geht es um die Erforderlichkeit.

@malteengeler
Bei App-Pflicht scheidet Freiwilligkeit sicher aus - aber die Pflicht strebt keiner an (jedenfalls eine ausdrückliche Pflicht).

@malteengeler
Beim Thema Auftragsverarbeitung oder gemeinsame Verantwortung sind sich auch Aufsichtsbehörden uneins - da hat der Verantwortliche sicherlich argumentativen Spielraum, den er nutzen kann.

@malteengeler @lfdi
RGL müßte sich aus den CoronaschutzVOen der Länder ergeben. Nach § 4a (1) CoronaSchVO NRW wird Rückverfolgbarkeit sichergestellt, wenn ... alle anwesenden Personen .... mit deren Einverständnis (also freiwillig!) mit Name, Adresse, Telefonnummer sowie .. Zeitpunkt von An- und Abreise schriftlich erfasst (werden). Das reicht doch wohl!

Sign in to participate in the conversation
Legal.Social

Legal.Social is the Mastodon instance for legal debate.