„Gesetzes“-Datenschutz-Folgenabschätzung (DSFA) für die Luca-App gemäß Art. 35 (10) DSGVO

Anfrage an: Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder

Nach Art. 35 DSGVO müssen die Verantwortlichen besonderer Datenverarbeitungsverfahren vor dem Einsatz des Verfahrens eine Datenschutz-Folgenabschätzung vorlegen. Dies gilt demnach auch für die bereits von vielen Bundesländern eingekaufte Luca-App zur Umsetzung der Kontaktspeicherung gemäß der jeweils lokalen Corona-Verordnungen. Da diese App zusehends explizit von Landesregierungen genannt und gekauft wurde, ist gemäß Art. 35 (10) DSGVO während des Erlasses dieser Rechtsgrundlage die Erstellung einer Datenschutz-Folgenabschätzung (DSFA) nötig. Insbesondere im Lichte der im DSK-Beschluss von 29.03.2021 genannten Risiken, die vom Hersteller bislang nur „teilweise behandelt“ worden sind und weswegen die „DSK […] das Unternehmen dennoch auf[fordert], weitere Anpassungen an dem System vorzunehmen“ ist die Erstellung unserer Ansicht nach dringend geboten. Gemäß Informationsfreiheitsgesetz erfragen wir auf diesem Wege zunächst zwei Dinge:

1) Wann wurde eine angemessene und gültige DSFA erstellt?
2) Wenn noch keine DSFA erstellt wurde, fragen wir nach den Gründen für das Unterlassen und wenn ja, bitten wir um Zusendung dieser DSFA, sowie der Information, ob diese veröffentlicht werden kann oder wenn das nicht der Fall ist, warum nicht.

Darüber hinaus fragen wir:
3) Inwiefern wurde durch die DSK geprüft, ob weniger datenintensive Alternativen zur Luca-App existieren, so wie es laut Art. 5 (1) lit. c) DSGVO rechtlich geboten wäre und wodurch der Einsatz der Luca-App dann datenschutzrechtlich (Art. 25 (1) DSGVO) sogar unzulässig, weil nicht erforderlich, wäre? Wenn eine solche Prüfung nicht stattgefunden hat: Warum nicht? Falls sie stattgefunden hat, hätten wir gern die Dokumentation dieser Überlegungen. Die DSK-Stellungnahme selbst fordert nur den Gesetzgeber auf, obiges zu prüfen, lässt aber offen, was der eigene Informationsstand ist.

Information nicht vorhanden

Datum

30. März 2021
Frist

1. Mai 2021
26 Follower:innen

Erhalten Sie Benachrichtigungen per E-Mail

Sie erhalten per E-Mail Benachrichtigungen, sobald etwas bei dieser Anfrage passiert. Sie können die Benachrichtigungen jederzeit abbestellen.

Wenn Sie etwas hier eingeben, dann wird die Aktion nicht durchgeführt.

Was ist drei plus vier?

Bitte beantworten Sie diese Frage, um einen Beleg zu liefern, dass Sie ein Mensch sind.

Ihre E-Mail-Adresse

Newsletter

Ja, ich möchte den Newsletter zum Thema Informationsfreiheit erhalten!
Nein, ich möchte keinen Newsletter.
Anfrage teilen

Twitter Mastodon

Auf Mastodon teilen

Bitte geben Sie die Domain Ihrer Mastodon-Instanz ein.

https://

Kurzlink kopieren
RSS-Feed

Korrespondenz 2

Alle einklappen Alle ausklappen Zum Ende

Rainer Rehak (Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e. V.)

am 30.03.2021

Antrag nach dem IFG/UIG/VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu: Nach Art. 35 DSG…

An Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder Details

Von: Rainer Rehak (Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e. V.)
Betreff: „Gesetzes“-Datenschutz-Folgenabschätzung (DSFA) für die Luca-App gemäß Art. 35 (10) DSGVO [#217046]
Datum: 30. März 2021 21:06
An: Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder
Status: Warte auf Antwort — E-Mail wurde erfolgreich versendet.

Antrag nach dem IFG/UIG/VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu:

Nach Art. 35 DSGVO müssen die Verantwortlichen besonderer Datenverarbeitungsverfahren vor dem Einsatz des Verfahrens eine Datenschutz-Folgenabschätzung vorlegen. Dies gilt demnach auch für die bereits von vielen Bundesländern eingekaufte Luca-App zur Umsetzung der Kontaktspeicherung gemäß der jeweils lokalen Corona-Verordnungen. Da diese App zusehends explizit von Landesregierungen genannt und gekauft wurde, ist gemäß Art. 35 (10) DSGVO während des Erlasses dieser Rechtsgrundlage die Erstellung einer Datenschutz-Folgenabschätzung (DSFA) nötig. Insbesondere im Lichte der im DSK-Beschluss von 29.03.2021 genannten Risiken, die vom Hersteller bislang nur „teilweise behandelt“ worden sind und weswegen die „DSK […] das Unternehmen dennoch auf[fordert], weitere Anpassungen an dem System vorzunehmen“ ist die Erstellung unserer Ansicht nach dringend geboten. Gemäß Informationsfreiheitsgesetz erfragen wir auf diesem Wege zunächst zwei Dinge:

1) Wann wurde eine angemessene und gültige DSFA erstellt?
2) Wenn noch keine DSFA erstellt wurde, fragen wir nach den Gründen für das Unterlassen und wenn ja, bitten wir um Zusendung dieser DSFA, sowie der Information, ob diese veröffentlicht werden kann oder wenn das nicht der Fall ist, warum nicht.

Darüber hinaus fragen wir:
3) Inwiefern wurde durch die DSK geprüft, ob weniger datenintensive Alternativen zur Luca-App existieren, so wie es laut Art. 5 (1) lit. c) DSGVO rechtlich geboten wäre und wodurch der Einsatz der Luca-App dann datenschutzrechtlich (Art. 25 (1) DSGVO) sogar unzulässig, weil nicht erforderlich, wäre? Wenn eine solche Prüfung nicht stattgefunden hat: Warum nicht? Falls sie stattgefunden hat, hätten wir gern die Dokumentation dieser Überlegungen. Die DSK-Stellungnahme selbst fordert nur den Gesetzgeber auf, obiges zu prüfen, lässt aber offen, was der eigene Informationsstand ist.

Dies ist ein Antrag auf Zugang zu amtlichen Informationen nach § 1 des Gesetzes zur Regelung des Zugangs zu Informationen des Bundes (IFG) sowie § 3 Umweltinformationsgesetz (UIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 UIG betroffen sind, sowie § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Informationen im Sinne des § 1 Abs. 1 VIG betroffen sind. Sollte der Informationszugang Ihres Erachtens gebührenpflichtig sein, möchte ich Sie bitten, mir dies vorab mitzuteilen und detailliert die zu erwartenden Kosten aufzuschlüsseln. Meines Erachtens handelt es sich um eine einfache Auskunft. Gebühren fallen somit nach § 10 IFG bzw. den anderen Vorschriften nicht an. Auslagen dürfen nach BVerwG 7 C 6.15 nicht berechnet werden. Sollten Sie Gebühren veranschlagen wollen, bitte ich gemäß § 2 IFGGebV um Befreiung oder hilfweise Ermäßigung der Gebühren. Ich verweise auf § 7 Abs. 5 IFG/§ 3 Abs. 3 Satz 2 Nr. 1 UIG/§ 4 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen so schnell wie möglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Kann diese Frist nicht eingehalten werden, müssen Sie mich darüber innerhalb der Frist informieren. Ich bitte Sie um eine Antwort per E-Mail gemäß § 1 Abs. 2 IFG. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an behördenexterne Dritte. Sollten Sie meinen Antrag ablehnen wollen, bitte ich um Mitteilung der Dokumententitel und eine ausführliche Begründung. Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen Rainer Rehak Anfragenr: 217046 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/217046/ Postanschrift Rainer Rehak << Adresse entfernt >> << Adresse entfernt >>

[… Zeige kompletten Anfragetext] Mit freundlichen Grüßen Rainer Rehak (Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e. V.)

Noch keine Kommentare. Please login to write a comment.

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder

am 15.04.2021

Informationsfreiheitsgesetz (IFG) # 25-780/008 II#0748 Der Bundesbeauftragte für den Datenschutz und die Informati…

Details

Von: Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder
Betreff: Informationsfreiheitsgesetz (IFG) # 25-780/008 II#0748
Datum: 15. April 2021 11:31
Status: Anfrage abgeschlossen

40253_2021SchreibenanAntragsteller_geschwaerzt.pdf

geschwärzt

1,6 MB

signature.asc

1,2 KB

Zeige unwichtige Anhänge

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Az.: 25-780/008 II#0748 Sehr geehrter Herr Rehak, in der Anlage übersende ich Ihnen ein Schreiben in der oben genannten Angelegenheit. Mit freundlichen Grüßen

Nur eingeloggt sichtbar • 18. April 2021 12:39

1) Wenn der öffentliche Marktplatz zur öffentlichen "krankheitsspezifischen" Testpraxis wird, sind doch auch ds-gvo- spezifische Regelungen betroffen, oder? 2) Müsste … Alles lesen 1) Wenn der öffentliche Marktplatz zur öffentlichen "krankheitsspezifischen" Testpraxis wird, sind doch auch ds-gvo- spezifische Regelungen betroffen, oder?

2) Müsste dafür nicht auch eine DatenSchutzFolgenAbschätzung gemacht werden bzw. vorab vorgelegt werden?
3) Früher galt, auch, wenn sich kaum einer daran gehalten hat:
Der Arzt untersucht, sendet Proben anonymisiert/pseudonymisiert ins Labor, und erklärt die Laborergebnisse.

4) Aufgrund welcher gesetzlichen Regelung dürfen nun auch Labore, Testzentren usw. die personenbezogenen Daten erheben, nutzen, speichern und ggf. weitergeben?

https://fragdenstaat.de/anfrage/coronat…

Please login to write a comment.

Zum Ende