Ich habe die Stellungnahme der Datenschutzaufsicht BaWü zur @_LucaApp jetzt in Ruhe lesen können und bleibe immer wieder bei der Frage der Rechtsgrundlage (RGL) der Datenverarbeitung durch die Veranstaltungsbetreibenden hängen.
baden-wuerttemberg.datenschutz.de/wp-content/upl…
#Thread
Ich bin nicht sicher, ob ich eine Auftragsverarbeitung (so die Behörde, S. 4) oder eine gemeinsame Verantwortlichkeit überzeugender finde, aber teile das Endergebnis: Veranstaltende müssen für die Erhebung der Daten ihrer Besuchenden via Luca eine RGL aufweisen.
Ich stimme mit der Behörde auch darin überein, dass dabei weder auf die Einwilligung (Art. 6 Abs. 1 Satz 1 Buchst. a) DSGVO) oder eine Vertragserfüllung (Art. 6 Abs. 1 Satz 1 Buchst. b) DSGVO) gesetzt werden kann.
Die Einwilligung scheidet mEn bereits mangels Freiwilligkeit aus, weil die Erhebung zu Zwecken der Weitergabe an die Gesundheitsämter (GÄ) nicht freiwillig wäre (vgl. Erwägungsgrund 43 DSGVO) bzw. in den Modellregionen sogar eine App-Pflicht bestehen soll.
Eine Erhebung und Übermittlung an die GÄ auf Basis der Vertragserfüllung hingegen würde erfordern, diese Datenverarbeitung zum Vertragsgegenstand zB des Konzertbesuchs zu machen. Das dürfte mit dem "core contract" Verständnis des EDPB unvereinbar sein (edpb.europa.eu/our-work-tools…)
Die StN stellt deshalb zu Recht auf Art. 6 Abs. 1 Satz 1 Buchst. c) DSGVO (rechtliche Verpflichtung) ab.
Und hier wundere ich mich, denn das setzt eine Erforderlichkeitsprüfung voraus, also eine Antwort auf die Frage, ob das gleiche Ziel auch datensparsamer erreicht werden kann.
Genauer: Diese Prüfung setzt zwingend

1. eine Definition des Ziels voraus und
2. einen Vergleich aller zu seiner Erreichung verfügbaren Mittel.

Und genau hier wird die Stellungnahme mEn sehr dünn bis unvollständig.
Zu 1.:
Das Ziel definiert die StN auf S. 1 mit "Beschleunigung der Kontaktnachverfolgung durch die Gesundheitsämter und der datenschutzrechtlichen Verbesserung der Kontakterfassung"
Hier darf man sich fragen, ob dieses Ziel tatsächlich korrekt definiert ist. Die Kontaktverfolgung ist schließlich nur das Zwischenziel. Das eigentliche Ziel ist das Aufdecken/Unterbrechen von Infektionsketten, um Ansteckungen zu verhindern und das Gesundheitssystem zu schützen.
Zu 2.:
Gemessen an diesem eigentlichen Ziel wäre es angebracht, alle verfügbaren Mittel zu vergleichen. Hier stünde mit der (kommenden) Check-In-Funktion der @coronawarnapp ein Mittel zur Verfügung, das die Warnungen an Veranstaltungsbesuchende datensparsamer ermöglicht.
Jetzt könnte man sich natürlich auf den Standpunkt stellen, dass das Ziel "Kontaktdaten den GÄ bereitstellen" nunmal in den Landes-VOen steht und die Datenschutzaufsicht diese Zielbestimmung nicht hinterfragen darf.
Aber genau das tut die Datenschutzaufsicht in ihrer StN gerade nicht, sondern schlägt sogar selbst vor, den Wortlaut der VO in BaWü anzupassen (S. 14).

Allerdings nicht zugunsten der dezentralen CWA, sondern zugunsten von Luca.
Wenn man die VO aber schon ändert, warum dann zugunsten eines Systems, das an vielen Mängeln krankt (fehlende DSFA, kaputte SMS-Auth) und vor allem weiter den GÄ das Abarbeiten der (nun mittels Luca bereitgestellten) Kontaktinfos abverlangt?
Die Entscheidung der Datenschutzaufsicht setzt sich iE für eine weniger datensparsame Lösung ein, rät zu ihren Gunsten die CoronaVO zu ändern und stellt sich nicht einmal die Frage, ob diese Lösung (Luca) überhaupt (und bis zu welchen Inzidenzen) epidemiologisch Sinn ergibt.
Dieses Ergebnis ist datenschutzrechtlich nur haltbar, wenn man annimmt, dass dezentrale/direkte Besuchenden-Warnungen (bald CWA) ggb. zentralisierter Speicherung und Übermittlung der Daten an die GÄ zum manuellen Warnen der Kontakte (Luca) epidemiologisch weniger wirksam ist.
Diese - der Stellungnahme der Datenschutzbehörde in BaWü - zugrundeliegende Annahme wird aber nirgends erörtert.

Über die Motive der Behörde, sich dennoch für Luca auszusprechen, kann man daher leider nur Vermutungen anstellen.
PS: Im Februar sprach die Behörde übrigens irrtümlich davon, dass die Daten im Luca-System nur dezentral auf dem Smartphone gespeichert werden.

Diesen Irrtum hat die Behörde trotz gegenteiliger Erkenntnisse in seiner neuen StN bisher nicht korrigiert.
baden-wuerttemberg.datenschutz.de/lfdi-brink-unt…

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Malte Engeler

Malte Engeler Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @MalteEngeler

3 Apr
„Niemand wird gezwungen, die @_LucaApp zu installieren.“

*Ausser man will am gesellschaftlichen Leben teilnehmen.

👇
Exhibit A: Modellprojekte in Niedersachsen.

ms.niedersachsen.de/startseite/akt…
Damit ist (spätestens) jetzt auch das letzte bisschen Nachsicht mit der tapsigen StartUp-Attitüde der Luca-Macher völlig fehl am Platz, denn ...
... jetzt wird Luca staatlich sanktionierte Bedingung für Teilhabe. Höchste Maßstäbe bzgl rechtlicher und technischer Unbedenklichkeit müssen jetzt Selbstverständlichkeit sein.
Read 4 tweets
29 Mar
Da ist sie nun, die seit Wochen erwartete Stellungnahme der DSK (Konferenz der Datenschutzbehörden der Länder und des Bundes) zur @_LucaApp.

Das Ergebnis der Analyse möchte ich in einem "kurzen" #Thread beleuchten. Let's go 🍿

datenschutz.saarland.de/fileadmin/user…
Die Stellungnahme wurde - nach allem, was im Vorfeld bekannt wurde - von einer Taskforce bestehend aus Berlin, HH, MV, RLP und BaWü erstellt und dann - wenn alles wie üblich lief - von der gesamten DSK angenommen und freigegeben.
Die Stellungnahme steigt direkt steil ein und wagt sich an ganz komplexe Themen 😏

Die erste bemerkenswerte Erkenntnis ist nämlich, dass "ausdrücklich" darauf hingewiesen wird, dass die Daten "datenschutzkonform" verarbeitet werden müssen.

Netter #CaptainObvious cameo 🤭
Read 22 tweets
29 Mar
Ich höre immer wieder, dass die @_lucaApp „die Zettel überflüssig macht“. Das ist mEn falsch, denn Luca (und die sie einsetzenden Venues) verarbeitet die Daten auf Basis einer Einwilligung und die ist dringend darauf angewiesen, dass es parallel weiter Zettel gibt. #Thread
Die Rechtsgrundlage für die Datenverarbeitung in der Luca App (bei App-Anbieter, Venues und Gesundheitsamt) ist eine Einwilligung. Die steht ohnehin auf wackeligen Füßen (siehe ErwGr 43 S 1 DSGVO), funktioniert aber nur, wenn parallel die Alternative „Zettel“ angeboten bleibt.
Dass die Datenverarbeitung indes allein durch die LandesVOen gerechtfertigt wird, halte ich für eine wackelige Position. Die zentrale Speicherung und automatisierte Übermittlung mittels Luca hat eine Eingriffstiefe, die durch die weite Formulierung der VOen nicht abgedeckt wird.
Read 8 tweets
10 Mar
Abseits aller offener technischer und rechtlichen Fragen zur @_lucaapp und der (für mich nicht zu hinterfragenden) Motivation und Mühe ihrer Macher sind weder die Technik noch die Menschen dahinter "das Problem".
#Thread
Das "Problem" ist, dass die App (und jede andere gleicher Bauart) von Voraussetzungen lebt, die nicht vorhanden sind: Allgegenwärtige und allfähige Gesundheitsämter.
Sie sollen aus dem Meer an Daten (dank Luca) ein Mehr als faktischer Nachverfolgung machen. Realistisch scheint aber, dass nur mehr Verfolgungsansätze ungenutzt bei den Ämtern digital vergammeln.
Read 8 tweets
10 Mar
Im #Zoom Call stellt @lesmoureal gerade klar, dass #Luca App und Backend #OpenSource werden sollen. Zeitplan scheinbar bis Ende März.
Kuriose Veranstaltung. Statt kritischer Nachfragen viele Werbeblöcke. Sinnhaftigkeit des Ganzen? Überlastung der Gesundheitsämter? Gefahr als Feigenblatt zu dienen?

Wird als "Shitstorm" delegitimiert 😒
Read 5 tweets
7 Mar
Der @CHBeckRecht Verlag hat mir (unaufgefordert, nicht aber unwillkommen) die 1. Ausgabe ihrer neuen Zeitschrift für Digitalisierung und Recht" (ZfDR) geschickt.

Ich möchte das zum Anlass nehmen, um ein Problem in der Forschung zum "Datenrecht" zu thematisieren:
#Thread
Diese Zeitschrift bedient prominent und mit viel Aufwand eine ganz bestimmte digitalpolitische Schule: Wirtschaftsnah, liberal, elitär. Daten werden als Wirtschaftsgut, Interessen Betroffener als Kommerzialisierungswünsche und Dateneigentum als legitimes Fernziel thematisiert.
Die Zeitschrift ist politisch. Sie dient als Werkzeug der Legitimation ganz bestimmter Vorhaben. Sie liefert das Denk- und Argumentationsfundament für Gesetzesvorhaben und gesellschaftliche Gestaltung. Sie ist Symptom einer einseitigen Forschung im Bereich des Datenrechts.
Read 10 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!