30.04.2019 | Datenschutz

Datenschutz-Folgenabschätzung: Ein Muss im Gesundheitswesen?

Was ist die Datenschutz-Folgenabschätzung?

Die Datenschutz-Folgenabschätzung ist ein vergleichsweises neues Instrument zum Schutz personenbezogener Daten, das im Mai 2018 mit der Datenschutz-Grundverordnung (DSGVO) eingeführt worden ist. Zweck einer Datenschutz-Folgenabschätzung (häufig auch als DSFA abgekürzt) ist die systematische Identifikation und Bewertung der Datenschutzrisiken von typischerweise besonders datenschutzkritischen Verarbeitungsverfahren. Die Datenschutz-Folgenabschätzung muss in der Regel bereits vor der Einführung des Verarbeitungsverfahrens durchgeführt und danach in regelmäßigen Abständen wiederholt werden. So sollen die spezifischen Datenschutzrisiken des jeweiligen Verarbeitungsverfahrens für die Personen, deren Daten verarbeitet werden, bereits im Vorfeld erkannt und angemessen behandelt werden.

Ausgehend von der Annahme, dass das zu bewertende Verarbeitungsverfahren prinzipiell legitim sein kann und die allgemeinen Datenschutzgrundsätze (Art. 5 DSGVO) sowie die Standardmaßnahmen wie z. B. Privacy by Design (Art. 25 DSGVO) und zur Sicherheit der Verarbeitung (Art. 32 DSGVO) getroffen wurden beachtet werden, soll die Datenschutz-Folgenabschätzung den für das Verfahren verantwortlichen Stellen (z. B. Forschungseinrichtungen, Krankenhäuser, Sozialleistungsträger) dabei helfen, das verbleibende Datenschutzrisiko – das sogenannte Rest-Risiko – zu identifizieren und angemessen zu behandeln.

Gesundheitsdatenschutz umsetzen: Im Gesundheitswesen ist die Durchführung von Datenschutz-Folgenabschätzungen in vielen Fällen unumgänglich. Denn naturgemäß bestehen bei der Verarbeitung von Gesundheits-, Patienten-, genetischen und sonstigen sensiblen Daten besonders hohe Datenschutzrisiken für die betroffenen Personen. Die Risikoschwerpunkte im Gesundheitsbereich liegen häufig im Bereich der Datenintegrität: Integritätsrisiken (z. B. falsche Körpermesswerte), der Datenverfügbarkeit (z. B. Telemedizin-Anwendungen) und der Vertraulichkeit. Im Forschungsbereich sind häufig auch Transparenzrisiken durch die unzureichende Aufklärung der Probanden festzustellen.

Anforderungen: Sind DSFA im Gesundheitswesen Pflicht?

Allein die Verarbeitung von Gesundheitsdaten begründet nicht zwangsläufig die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung. Nach   Art.  35 Abs. 1  DSGVO  muss   eine   Datenschutz-Folgenabschätzung nur durchgeführt werden,   wenn   „eine  Form   der   Verarbeitung,   insbesondere bei  Verwendung  neuer Technologien,  aufgrund  der Art,  des  Umfangs, der  Umstände  und der  Zwecke  der Verarbeitung  voraussichtlich  ein hohes  Risiko  für die  Rechte  und Freiheiten  natürlicher Personen zur Folge“ hat. Etwas konkreter formuliert Art. 35 Abs. 3 DSGVO Beispiele, wann eine Datenschutz-Folgenabschätzung zwingend durchzuführen ist. Für das Gesundheitswesen vor allem relevant ist die umfangreiche Verarbeitung von Gesundheitsdaten. Gesundheitsdaten beziehen sich auf die Gesundheit oder die Erbringung von Gesundheitsdienstleistungen einer Person und bieten Informationen über ihren Gesundheitszustand. Das können zum Beispiel physiologische Besonderheiten oder auch allgemeine Gesundheitsdaten wie solche von Fitnesstrackern sein. Zudem muss eine Datenschutz-Folgenabschätzung durchgeführt werden, wenn sich die das betreffende Verfahren auf der sogenannten „Muss“-Liste einer zuständigen Datenschutzbehörde findet (Art. 35 Abs. 4 DSGVO).

Wie ist die Datenschutz-Folgenabschätzung durchzuführen?

Die Mindestinhalte, die mit der Datenschutz-Folgenabschätzung behandelt werden müssen, bestimmt Art. 35 Abs. 7 DSGVO. Zunächst sind die betreffenden Verarbeitungsvorgänge zu erfassen und bezüglich Vorgehens, Zweck und Rechtsgrundlage zu beschreiben. Dabei sollte jeweils möglichst konkret vorgegangen werden. So mag der Zweck bestimmter Datenverarbeitungen die Behandlung eines Patienten sein – dennoch lässt sich meist genauer beschreiben, warum eine bestimmte Datenverarbeitung erfolgt. Beispielsweise kann die Erfassung von Informationen über Vorerkrankungen dazu dienen, Wechselwirkungen mit anderen Medikamenten auszuschließen. Das sollte als Zweck auch angegeben werden. Wichtig: Mehrere vergleichbare Vorgänge können in einer einzigen Datenschutz-Folgenabschätzung zusammengefasst und gemeinsam „abgehandelt“ werden. Somit sind auch mehrstufige Datenschutz-Folgenabschätzungen möglich. Letzteres bietet sich insbesondere für Hersteller und Anbieter von Systemen an, die so ihre Kunden (z. B. Krankenhäusern) die Durchführung von eigenen Datenschutz-Folgenabschätzungen erleichtern können.

Darauf folgt eine Bewertung, das heißt eine Prüfung der Verhältnismäßigkeit bezüglich des Verhältnisses der Zwecke zu den Risiken für die Rechte und Freiheiten der betroffenen Personen. Das bedeutet, dass der Verarbeitungsvorgang vor dem Hintergrund seines Zwecks geeignet, erforderlich und angemessen sein muss. Wenn das zutrifft, müssen die Sicherheitsmaßnahmen, mit denen das hohe Risiko überwunden werden soll, benannt werden (Risikobehandlungsmaßnahmen). Sie müssen auf die Risikofaktoren zugeschnitten sein und können daher völlig unterschiedlicher Natur sein – es können technische Sicherheitsvorkehrungen genauso wie Prozesse zur Information von Betroffenen zur Wahrung ihrer Rechte nach der DSGVO notwendig sein. In Krankenhäusern ist überdies zu beachten, dass die Landeskrankenhaus- und weitere Landesgesetze teilweise strengere Regeln für den Datenschutz festlegen, was ebenfalls mit in die Bewertung einfließen muss. Die gesamte Datenschutz-Folgenabschätzung ist vom Verantwortlichen in einem Bericht zu dokumentieren.

Alles in allem müssen Verantwortliche gerade im Gesundheitswesen die Datenschutz-Folgenabschätzung nicht als einmaliges Geschehnis, sondern als ständigen Prozess zu begreifen. Wenn sich entscheidende Änderungen in den Datenverarbeitungsprozessen ergeben und neue Risiken erkannt werden, muss kontrolliert werden, ob diese von der Datenschutz-Folgenabschätzung bereits abgedeckt sind und ob sie gegebenenfalls aktualisiert werden muss. Wie und mit welchen Methoden sie durchgeführt wird, kann der Verantwortliche selbst wählen, solange den Mindestanforderungen Genüge getan wird.

Einbindung weiterer Akteure

Die Datenschutz-Folgenabschätzung ist die Sache des Verantwortlichen, der allerdings zwecks ihrer Durchführung verschiedene Akteure mit einbinden muss. Der Datenschutzbeauftragte steht dabei beratend zur Seite und überwacht den Prozess (Art. 35 Abs. 2 DSGVO). Er sollte aber nicht selbst die Datenschutz-Folgenabschätzung durchführen, da dies die Unabhängigkeit seiner Beratung gefährden kann. Auch bei Datenverarbeitungen, die von Auftragsverarbeitern vorgenommen werden, ist der Verantwortliche für die Datenschutz-Folgenabschätzung zuständig – der Auftragsverarbeiter unterstützt ihn dabei allerdings. Ansonsten müssen Personen die Folgenabschätzung umsetzen, die die notwendige Fachkenntnis besitzen.

Weiterhin kann es durchaus zu der Situation kommen, dass ein hohes Risiko festgestellt wird, die notwendigen Schutzmaßnahmen aber technisch oder auf andere Weise nicht umsetzbar oder nur mit unzumutbaren Kosten verbunden sind. Dann darf der Verarbeitungsvorgang gemäß Art. 36 Abs. 1 DSGVO nicht erfolgen, ohne dass zuvor die Aufsichtsbehörde konsultiert wurde.

Darüber hinaus ist zu berücksichtigen, dass nach Art. 35 Abs. 9 DSGVO gegebenenfalls der (unverbindliche) Standpunkt der betroffenen Personen oder ihrer Vertreter eingeholt werden „soll“. Als Soll-Anforderung hat diese Anforderung in den meisten Bereichen eine nur geringe praktische Relevanz. Insbesondere im Krankenhaus- und Forschungsbereich jedoch kann es mit Blick auf das gesetzgeberische Ziel der Beteiligung der Bürger und Patienten im Gesundheitswesen durchaus sachgerecht sein, die Möglichkeiten (und eventuell auch die praktischen Vorteile) einer Beteiligung von Betroffenenvertretern in den Blick zu nehmen.

Fazit

Es liegt in der Natur der Sache, dass Verarbeitungsverfahren im Gesundheitsbereich häufig besonders datenschutzkritisch sind. Daher muss sorgfältig geprüft werden, ob eine Datenschutz-Folgenabschätzung zwingend oder auch vorsorglich durchzuführen ist.

 

Lesen Sie auch folgende Beiträge:

Datenverarbeitung bei klinischen Studien: Anforderungen an den Datenschutz

KI im Gesundheitswesen: Mit Datenschutz zum Ziel?

Gesundheitsdaten: Was Sie beim Datentransfer in Drittstaaten beachten müssen



Weitere Artikel

Anwälte der Kanzlei empfohlen durch: