Ich habe die Stellungnahme von @lfdi zur Luca App jetzt in Ruhe lesen können und bleibe immer wieder bei der Frage der Rechtsgrundlage (RGL) der Datenverarbeitung durch die Veranstaltungsbetreibenden hängen.
@lfdi Ich bin nicht sicher, ob ich eine Auftragsverarbeitung (so die Behörde, S. 4) oder eine gemeinsame Verantwortlichkeit überzeugender finde, aber teile das Endergebnis: Veranstaltende müssen für die Erhebung der Daten ihrer Besuchenden via Luca eine RGL aufweisen.
Ich stimme mit der Behörde auch darin überein, dass dabei weder auf die Einwilligung (Art. 6 Abs. 1 Satz 1 Buchst. a) DSGVO) oder eine Vertragserfüllung (Art. 6 Abs. 1 Satz 1 Buchst. b) DSGVO) gesetzt werden kann.
@lfdi Die Einwilligung scheidet mEn bereits mangels Freiwilligkeit aus, weil die Erhebung zu Zwecken der Weitergabe an die Gesundheitsämter (GÄ) nicht freiwillig wäre (vgl. Erwägungsgrund 43 DSGVO) bzw. in den Modellregionen sogar eine App-Pflicht bestehen soll.
@lfdi Eine Erhebung und Übermittlung an die GÄ auf Basis der Vertragserfüllung hingegen würde erfordern, diese Datenverarbeitung zum Vertragsgegenstand zB des Konzertbesuchs zu machen. Das dürfte mit dem "core contract" Verständnis des EDPB unvereinbar sein (https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-22019-processing-personal-data-under-article-61b_en)
@malteengeler @lfdi Danke für die Ausführungen. Sie unterfüttern meine Auffassung der Gesetze als Laie und bestätigen oftmals mein Rechtsverständnis.
@malteengeler
Naja, dünn ist streng.
Entscheidend ist: verfügbare Mittel.
Und da ist ein Verweis auf nicht klar definierte, angekündigte (und lang ersehnte) Verbesserungen der CWA nicht einschlägig.
Zudem: Die Stellungnahme wurde im Januar und Februar erarbeitet, stammt vom 2.3. und fußt - welch Wunder - auf den zu diesem Zeitpunkt (uns) verfügbaren Informationen. Und steht immer noch. 😊
@malteengeler
OK, soweit stimmen wir überein.
Den Begriff Datensparsamkeit habe ich zwar aus meinem Wortschatz gestrichen (das war BDSGalt), aber in der Sache geht es um die Erforderlichkeit.
@lfdi Genauer: Diese Prüfung setzt zwingend
1. eine Definition des Ziels voraus und
2. einen Vergleich aller zu seiner Erreichung verfügbaren Mittel.
Und genau hier wird die Stellungnahme mEn sehr dünn bis unvollständig.