Luca-App oder Zettelwirtschaft?

Hallo,

hier kommen mehrer Aspekte zusammen, die auch aus dem Infektionsschutzgesetz stammen. Dazu zählt das die Erfassung von Daten in Papierform erlaubt ist und diese nach XX Tagen vernichtet werden müssen. Ich meine es sind 14 Tage, müsste es aber noch klären, wenn es von Interesse ist.

Klar kann elektronisch als auch auf Papier etwas verloren gehen. Dazu gibt es aber eine Datenschutzfolgeabschätzung, die in Richtung Luca-App ziehen sollte.

DSGVO Art. 35 - Datenschutzfolgeabschätzung
Absatz 3 Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:
a)systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;

Falls noch etwas unklar ist, bitte einfach fragen.

Viele Grüße
Gerd Reunert
e. datenschutz@reunert.de

Hallo und guten Tag,

danke zunächst für die Hinweise. Demnach wäre also die Luca-App nur dann DSGVO-konform, wenn sie keinerlei persönliche Daten über den Nutzer bereitstellte, selbst wenn dieser allein bereits durch die (freiwillige!) Nutzung der App sein Einverständnis zur zweckgerichteten Verarbeitung seiner Daten dokumentiert hätte? Somit wäre auch der auf Ausnahmesituationen basierende Zweck einer solchen Datenverarbeitung irrelevant?

Gruß von Laudano

Hallo Laudano,

nein so meine ich es nicht.
Vielleicht sollten wir die Fragestellung auch nochmal klären. Was genau möchtest Du wissen?

Viele Grüße
Gerd

Hallo, Gerd,

ich gestehe zu, dass meine Fragestellung offenbar missverständlich aufgefasst werden konnte. Ich möchte geklärt wissen, warum zwischen einer analogen und einer digitalen Datenerfassung und -bearbeitung offenbar datenschutzrechtlich unterschieden wird. Schließlich erfassen beide Verfahren personenbezogene Daten und könnten missbräuchlich verwendet werden.

Gruß von Laudano

Hallo Laudano,

kein Problem und wir sind ja darum in einem Forum um uns auszutauschen. Fragen und zurück zu fragen ist absolut ok.

Zu unserem Thema, Bezüglich der Erfassung von personenbezogenen Daten.
Analog:
Der Unterschied bei der analogen Erfassung ist der, dass hier eben kein elektronisches Programm, bzw. elektronisches Medium eingesetzt wird. Die erfassten Daten auf dem Papier sollten nach 14 Tagen vernichtet werden.
Die Grundlage dazu kommt hier primär aus dem Infektionsschutzgesetz.

Digital:
Da es sich bei der Erfassung von personenbezogenen Daten, in unserem Kontext, ebenfalls um eine Erfassung von personenbezogenen Daten aus dem Infektionsschutzgesetzt handelt, gilt dies ist hier ebenfalls als Legitimierung.
Allerdings kommt die DSGVO mit ins Spiel:
Der Zweck der Datenerhebung basiert auf DSGVO Art. 6.1.f der Datenschutzgrundverordnung – (Berechtigtes Interesse)
Im Falle der Einwilligung der betroffenen Person, können personenbezogene Daten z.B. an das Gesundheitsamt übermittelt werden.

Der Verantwortliche, Hersteller der Luca App, stellt in seiner Datenschutzerklärung, die von der Betroffenen Person angenommen wird, die Rechtsgrundlage der Datenverarbeitung zur Verfügung. Von daher ist dem Datenschutzgesetz genüge getan und rechtlich ist es, entsprechend der DSGVO einwandfrei.

Falls Du noch weitere Fragen hast, bitte einfach zurückschreiben, gerne auch an meine Email Adresse datenschutz@reunert.de

Viele Grüße
Gerd

Hallo in die Runde,

es ist sogar noch etwas komplizierter und selbst die Entschließung der DSK hierzu steht auf wackeligen Beinen, da es eher so ausschaut, als haben die sich an der DSE von luca herangehangelt um ihr Dokument zu verfassen.

Die Erhebung, Speicherung und Verarbeitung erfolgt basierend auf den jeweiligen lokalen Verordnungen i.V.m. dem IfSG.

Richtig: Es greift die DSGVO, aber selbst dann, wenn nicht automatisiert verarbeitet wird.

Meine Rechtsauffassung:

Die Datenerhebung, Speicherung und Verarbeitung sollte auf die Erlaubnisgründe c) und d) im Art. 6 Abs. 1 der DSGVO i.V.m. der jeweils gültigen lokalen Verordnung und dem IfSG sein. Also die Notwendigkeit Daten zu erheben um eine rechtliche Verpflichtung zu erfüllen (c) und lebenswichtige Interessen der betroffenen Person (d) zu schützen.

Alle anderen Erlaubnisgründe dürften hier eigentlich nicht greifen.

Diese Erlaubnisgründe in Verbindung mit den entsprechenden Rechtverordnungen und dem IfSG sollte dann auch zur Weitergabe der Kontaktdaten an das Gesundheitsamt ausreichen.

Bei luca werden die Daten anders erfasst und der Erlaubnisgrund aus (c) wird nur für den Fall der Weitergabe an das Gesundheitsamt übernommen, die Daten ansonsten über (b), also "Vertragsverhältnis" erfasst, gespeichert und verarbeitet, was meinem Verständnis entgegensteht, weil eben die betroffene Person die Daten eben nicht auf Grund eines Vertragsverhältnisses sondern aus anderen Gründen da lassen muss. luca ist da aber auch ein anderes Thema, denn es gibt auch viele andere Anbieter (wir haben selbst auch eine Lösung).

Wenn nun Daten auf Papier erfasst werden, gelten hier dennoch strenge Vorschriften. Nicht zu vergessen, das eine digitale Lösung sicherer ist und letztlich weniger kostet. Die auf Papier erhobenen Daten müssen vor physisch vor dem Zugriff Dritter geschützt sein und zwar von der Erfassung bis zur Vernichtung und müssen letztlich auch korrekt entsorgt werden. Hierbei gibt es entsprechende datenschutzrechtliche Anforderungen. Einfach in die Papiertonne reicht da nicht.

Die elektronische Lösung bietet daher mehr Vorteile.

Herzliche Grüße
Marian Feiler