Mit der Entwicklung und dem Einsatz von Tracing-Apps für die Verfolgung von CoV-2-Infektionen werden einerseits große Hoffnungen bei der Pandemiebekämpfung verbunden, andererseits Befürchtungen um massive Grundrechtsgefährdungen. Artikel 35 DSGVO verlangt von Verantwortlichen, dass sie eine Datenschutz-Folgenabschätzung (DSFA) durchführen, wenn ihre Datenverarbeitung wahrscheinlich zu einem hohen Risiko für die Grundrechte und -freiheiten führt. Eine DSFA ist eine strukturierte Risikoanalyse, die mögliche grundrechtsrelevante Folgen der Datenverarbeitung im Voraus identifiziert und bewertet sowie Maßnahmen zur Minimierung dieser Risiken beschreibt oder darstellt, dass die Risiken nicht minimiert werden können.
WissenschaftlerInnen und DatenschützerInnen im Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e.V. haben eine DSFA für Tracing-Apps vorgelegt, um eine öffentliche Debatte über die damit einhergehenden Risiken für Grundrechte und -freiheiten anzustoßen und zu informieren. Der vorliegende Beitrag beleuchtet die Hintergründe und erklärt die Wahl der Form einer DSFA für die Intervention in die gesellschaftliche Debatte. Auf zwei für die datenschutzrechtliche Debatte besonders relevante Aspekte wird anschließend näher eingegangen: auf die Unterscheidung zwischen Freiwilligkeit und Einwilligung sowie auf das Problem von Personenbezug und Anonymisierung. Die vorgelegte DSFA setzt einen technischen, rechtlichen und methodischen Maßstab dafür, wie in Zukunft die Funktionen von Verarbeitungsverfahren und die daraus sich ergebenden Datenschutzrisiken für Betroffene und die Gesellschaft zu analysieren, zu bestimmen und gegebenenfalls zu verringern sind.