Nach Art. 35 DSGVO müssen die Verantwortlichen besonderer Datenverarbeitungsverfahren vor dem Einsatz des Verfahrens eine Datenschutz-Folgenabschätzung vorlegen. Dies gilt demnach auch für die bereits von vielen Bundesländern eingekaufte Luca-App zur Umsetzung der Kontaktspeicherung gemäß der jeweils lokalen Corona-Verordnungen. Da diese App zusehends explizit von Landesregierungen genannt und gekauft wurde, ist gemäß Art. 35 (10) DSGVO während des Erlasses dieser Rechtsgrundlage die Erstellung einer Datenschutz-Folgenabschätzung (DSFA) nötig. Insbesondere im Lichte der im DSK-Beschluss von 29.03.2021 genannten Risiken, die vom Hersteller bislang nur „teilweise behandelt“ worden sind und weswegen die „DSK […] das Unternehmen dennoch auf[fordert], weitere Anpassungen an dem System vorzunehmen“ ist die Erstellung unserer Ansicht nach dringend geboten. Gemäß Informationsfreiheitsgesetz erfragen wir auf diesem Wege zunächst zwei Dinge: 1) Wann wurde eine angemessene und gültige DSFA erstellt? 2) Wenn noch keine DSFA erstellt wurde, fragen wir nach den Gründen für das Unterlassen und wenn ja, bitten wir um Zusendung dieser DSFA, sowie der Information, ob diese veröffentlicht werden kann oder wenn das nicht der Fall ist, warum nicht. Darüber hinaus fragen wir: 3) Inwiefern wurde durch die DSK geprüft, ob weniger datenintensive Alternativen zur Luca-App existieren, so wie es laut Art. 5 (1) lit. c) DSGVO rechtlich geboten wäre und wodurch der Einsatz der Luca-App dann datenschutzrechtlich (Art. 25 (1) DSGVO) sogar unzulässig, weil nicht erforderlich, wäre? Wenn eine solche Prüfung nicht stattgefunden hat: Warum nicht? Falls sie stattgefunden hat, hätten wir gern die Dokumentation dieser Überlegungen. Die DSK-Stellungnahme selbst fordert nur den Gesetzgeber auf, obiges zu prüfen, lässt aber offen, was der eigene Informationsstand ist.