Ich habe die Stellungnahme von @lfdi zur Luca App jetzt in Ruhe lesen können und bleibe immer wieder bei der Frage der Rechtsgrundlage (RGL) der Datenverarbeitung durch die Veranstaltungsbetreibenden hängen.

baden-wuerttemberg.datenschutz

@lfdi Ich bin nicht sicher, ob ich eine Auftragsverarbeitung (so die Behörde, S. 4) oder eine gemeinsame Verantwortlichkeit überzeugender finde, aber teile das Endergebnis: Veranstaltende müssen für die Erhebung der Daten ihrer Besuchenden via Luca eine RGL aufweisen.

Ich stimme mit der Behörde auch darin überein, dass dabei weder auf die Einwilligung (Art. 6 Abs. 1 Satz 1 Buchst. a) DSGVO) oder eine Vertragserfüllung (Art. 6 Abs. 1 Satz 1 Buchst. b) DSGVO) gesetzt werden kann.

Show thread

@lfdi Die Einwilligung scheidet mEn bereits mangels Freiwilligkeit aus, weil die Erhebung zu Zwecken der Weitergabe an die Gesundheitsämter (GÄ) nicht freiwillig wäre (vgl. Erwägungsgrund 43 DSGVO) bzw. in den Modellregionen sogar eine App-Pflicht bestehen soll.

Show thread
Follow

@lfdi Eine Erhebung und Übermittlung an die GÄ auf Basis der Vertragserfüllung hingegen würde erfordern, diese Datenverarbeitung zum Vertragsgegenstand zB des Konzertbesuchs zu machen. Das dürfte mit dem "core contract" Verständnis des EDPB unvereinbar sein (edpb.europa.eu/our-work-tools/)

· · Web · 2 · 1 · 1

@lfdi Die StN stellt deshalb zu Recht auf Art. 6 Abs. 1 Satz 1 Buchst. c) DSGVO (rechtliche Verpflichtung) ab.

Und hier wundere ich mich, denn diese RGL setzt eine Erforderlichkeitsprüfung voraus, also eine Antwort auf die Frage, ob das gleiche Ziel auch datensparsamer erreicht werden kann.

Show thread

@lfdi Genauer: Diese Prüfung setzt zwingend

1. eine Definition des Ziels voraus und
2. einen Vergleich aller zu seiner Erreichung verfügbaren Mittel.

Und genau hier wird die Stellungnahme mEn sehr dünn bis unvollständig.

Show thread

@malteengeler @lfdi Danke für die Ausführungen. Sie unterfüttern meine Auffassung der Gesetze als Laie und bestätigen oftmals mein Rechtsverständnis.

@malteengeler
Naja, dünn ist streng.
Entscheidend ist: verfügbare Mittel.
Und da ist ein Verweis auf nicht klar definierte, angekündigte (und lang ersehnte) Verbesserungen der CWA nicht einschlägig.
Zudem: Die Stellungnahme wurde im Januar und Februar erarbeitet, stammt vom 2.3. und fußt - welch Wunder - auf den zu diesem Zeitpunkt (uns) verfügbaren Informationen. Und steht immer noch. 😊

@malteengeler
OK, soweit stimmen wir überein.
Den Begriff Datensparsamkeit habe ich zwar aus meinem Wortschatz gestrichen (das war BDSGalt), aber in der Sache geht es um die Erforderlichkeit.

Sign in to participate in the conversation
Legal.Social

Legal.Social is the Mastodon instance for legal debate.