Bock, KirstenKühne, Christian RicardoMühlhoff, RainerOst, Měto R.Pohle, JörgRehak, Rainer2020-10-292020-10-2920202020http://dx.doi.org/10.1007/s00287-020-01313-zhttps://dl.gi.de/handle/20.500.12116/34408Seit der Ausbreitung des SARS-CoV-2-Virus in Europa Anfang 2020 wir dan technischen Lösungen zur Eindämmung der Pandemie gearbeitet. Unter den verschiedenen Systementwürfen stechen jene hervor, die damit werben, datenschutzfreundlich und DSGVO-konform zu sein. Die DSGVO selbst verpflichtet die Betreiberïnnen umfangreicher Datenverarbeitungssysteme wie etwa Tracing-Apps zur Anfertigung einer Datenschutz-Folgenabschätzung (DSFA) aufgrund des hohen Risikos für die Rechte- und Freiheiten (Art. 35 DSGVO). Hierbei handelt es sich um eine strukturierte Risikoanalyse, die mögliche grundrechtsrelevante Folgen einer Datenverarbeitung im Vorfeld identifiziert und bewertet. Wir zeigen in unserer DSFA, dass auch die aktuelle, dezentrale Implementierung der Corona-Warn-App zahlreiche gravierende Schwachstellen und Risiken birgt. Auf der rechtlichen Seite haben wir die Legitimationsgrundlage einer freiwilligen Einwilligung untersucht und formulieren die begründete Forderung, dass der Einsatz einer Tracing-App gesetzlich geregelt werden muss. Weiterhin wurden Maßnahmen zur Verwirklichung von Betroffenenrechten nicht ausreichend betrachtet. Nicht zuletzt ist die Behauptung, ein Datum sei anonym, hoch voraussetzungsreich. Anonymisierung muss als ein kontinuierlicher Vorgang begriffen werden, der eine Abtrennung des Personenbezugs zum Ziel hat und auf dem Zusammenspiel von rechtlichen, organisatorischen und technischen Maßnahmen beruht. Der derzeit vorliegenden Corona-Warn-App fehlt es an einem solchen expliziten Trennungsvorgang. Unsere DSFA zeigt dabei auch die wesentlichen Defizite der offiziellen DSFA der Corona-Warn-App auf.Das Verfahren geht weit über „die App“ hinaus – Datenschutzfragen von Corona-Tracing-AppsText/Journal Article10.1007/s00287-020-01313-z1432-122X