Die Datenschutz-Folgen­abschätzung: Ein Muss im Gesundheits­wesen?

Was ist die Datenschutz-Folgenabschätzung?

Die Datenschutz-Folgenabschätzung ist eines der Instrumente der Datenschutz-Grundverordnung (DSGVO) für einen effektiven Datenschutz im Unternehmen. Der Zweck einer Datenschutz-Folgenabschätzung (auch als DSFA abgekürzt) ist die systematische Identifikation und Bewertung der Datenschutzrisiken von typischerweise besonders datenschutzkritischen Verarbeitungsverfahren. Die DSFA muss in der Regel bereits vor der Einführung des Verarbeitungsverfahrens durchgeführt und danach in regelmäßigen Abständen wiederholt werden. So sollen die spezifischen Datenschutzrisiken des jeweiligen Verarbeitungsverfahrens für die Personen, deren Daten verarbeitet werden, bereits im Vorfeld erkannt und angemessen behandelt werden.

Nachdem überprüft worden ist, dass das zu bewertende Verarbeitungsverfahren rechtskonform ausgestaltet ist und die allgemeinen Datenschutzgrundsätze (Art. 5 DSGVO) sowie die Standardmaßnahmen wie z. B. Privacy by Design (Art. 25 DSGVO) und zur Sicherheit der Verarbeitung (Art. 32 DSGVO) getroffen wurden, soll die DSFA den für das Verfahren verantwortlichen Stellen (z. B. Forschungseinrichtungen, Krankenhäuser, Sozialleistungsträger) dabei helfen, das verbleibende Datenschutzrisiko – das sogenannte Rest-Risiko – zu identifizieren und angemessen zu behandeln.

Im Gesundheitswesen ist die Durchführung von DSFA in vielen Fällen unumgänglich. Denn naturgemäß bestehen bei der Verarbeitung von Gesundheits-, Patienten-, genetischen und sonstigen sensiblen Daten besonders hohe Datenschutzrisiken für die betroffenen Personen. Die Risikoschwerpunkte im Gesundheitsbereich liegen häufig im Bereich der Datenintegrität: Integritätsrisiken (z. B. falsche Körpermesswerte), der Datenverfügbarkeit (z. B. Telemedizin-Anwendungen) und der Vertraulichkeit. Im Forschungsbereich sind häufig auch Transparenzrisiken durch die unzureichende Aufklärung der Probanden festzustellen.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.

Anforderungen: Sind DSFA im Gesundheitswesen Pflicht?

Allein die Verarbeitung von Gesundheitsdaten begründet nicht zwangsläufig die Pflicht zur Durchführung einer DSFA. Nach Art. 35 Abs. 1 DSGVO muss eine DSFA nur durchgeführt werden, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat. Etwas konkreter formuliert Art. 35 Abs. 3 DSGVO Beispiele, wann eine DSFA zwingend durchzuführen ist. Für das Gesundheitswesen vor allem relevant ist die umfangreiche Verarbeitung von Gesundheitsdaten. Gesundheitsdaten beziehen sich auf die Gesundheit oder die Erbringung von Gesundheitsdienstleistungen einer Person und bieten Informationen über ihren Gesundheitszustand. Das können zum Beispiel physiologische Besonderheiten oder auch allgemeine Gesundheitsdaten wie solche von Fitnesstrackern sein. Zudem muss eine DSFA durchgeführt werden, wenn sich die das betreffende Verfahren auf der sogenannten „Muss“-Liste einer zuständigen Datenschutzbehörde findet (Art. 35 Abs. 4 DSGVO).

Wie ist die Datenschutz-Folgenabschätzung durchzuführen?

Die Mindestinhalte, die mit der DSFA behandelt werden müssen, bestimmt Art. 35 Abs. 7 DSGVO. Zunächst sind die betreffenden Verarbeitungsvorgänge zu erfassen und bezüglich Vorgehens, Zweck und Rechtsgrundlage zu beschreiben. Dabei sollte jeweils möglichst konkret vorgegangen werden. So mag der Zweck bestimmter Datenverarbeitungen die Behandlung eines Patienten sein – dennoch lässt sich meist genauer beschreiben, warum eine bestimmte Datenverarbeitung erfolgt. Beispielsweise kann die Erfassung von Informationen über Vorerkrankungen dazu dienen, Wechselwirkungen mit anderen Medikamenten auszuschließen. Das sollte als Zweck auch angegeben werden. Wichtig: Mehrere vergleichbare Vorgänge können in einer einzigen DSFA zusammengefasst und gemeinsam „abgehandelt“ werden. Somit sind auch mehrstufige DSFA möglich. Letzteres bietet sich insbesondere für Hersteller und Anbieter von Systemen an, die so ihre Kunden (z. B. Krankenhäusern) die Durchführung von eigenen DSFA erleichtern können.

Darauf folgt eine Bewertung des Risikos für die Rechte und Freiheiten der betroffenen Personen. Weiterhin ist eine Prüfung der Verhältnismäßigkeit bezüglich des Verhältnisses der Zwecke zu den datenschutzrechtlichen Risiken erforderlich. Das bedeutet, dass der Verarbeitungsvorgang vor dem Hintergrund seines Zwecks geeignet, erforderlich und angemessen sein muss. Auf der Grundlage der Risikobewertung müssen die Sicherheitsmaßnahmen, mit denen das hohe Risiko überwunden werden soll, benannt werden (Risikobehandlungsmaßnahmen). Sie müssen auf die Risikofaktoren zugeschnitten sein und können daher völlig unterschiedlicher Natur sein – es können technische Sicherheitsvorkehrungen genauso wie Prozesse zur Information von Betroffenen zur Wahrung ihrer Rechte nach der DSGVO notwendig sein. In Krankenhäusern ist überdies zu beachten, dass die Landeskrankenhaus- und weitere Landesgesetze teilweise strengere Regeln für den Datenschutz festlegen, was ebenfalls mit in die Bewertung einfließen muss. Anschließend sollte eine abschließende Risikobewertung vor dem Hintergrund der Maßnahmen durchgeführt werden. Welches Verfahren für die Risikobewertung eingesetzt wird, kann der Verantwortliche selbst entscheiden. Es empfiehlt sich aber, auf gängige Methoden wie das Standard-Datenschutzmodell zurückzugreifen, um zu vermeiden, dass nicht alle gesetzlichen Anforderungen erfüllt werden. Die gesamte DSFA ist vom Verantwortlichen in einem Bericht zu dokumentieren.

Alles in allem müssen Verantwortliche gerade im Gesundheitswesen die DSFA nicht als einmaliges Geschehnis, sondern als ständigen Prozess zu begreifen. Wenn sich entscheidende Änderungen in den Datenverarbeitungsprozessen ergeben und neue Risiken erkannt werden, muss kontrolliert werden, ob diese von der DSFA bereits abgedeckt sind und ob sie gegebenenfalls aktualisiert werden muss. Wie und mit welchen Methoden sie durchgeführt wird, kann der Verantwortliche selbst wählen, solange den Mindestanforderungen Genüge getan wird.

Einbindung weiterer Akteure

Die DSFA ist die Sache des Verantwortlichen, der allerdings zwecks ihrer Durchführung verschiedene Akteure mit einbinden muss. Der Datenschutzbeauftragte steht dabei beratend zur Seite und überwacht den Prozess (Art. 35 Abs. 2 DSGVO). Er sollte aber nicht selbst die DSFA durchführen, da dies die Unabhängigkeit seiner Beratung gefährden kann. Allerdings muss er am Ende eine Stellungnahme abgeben. Auch bei Datenverarbeitungen, die von Auftragsverarbeitern vorgenommen werden, ist der Verantwortliche für die DSFA zuständig – der Auftragsverarbeiter unterstützt ihn dabei allerdings. Ansonsten müssen Personen die Folgenabschätzung umsetzen, die die notwendige Fachkenntnis besitzen.

Weiterhin kann es durchaus zu der Situation kommen, dass ein hohes Risiko festgestellt wird, die notwendigen Schutzmaßnahmen aber technisch oder auf andere Weise nicht umsetzbar oder nur mit unzumutbaren Kosten verbunden sind. Dann darf der Verarbeitungsvorgang gemäß Art. 36 Abs. 1 DSGVO nicht erfolgen, ohne dass zuvor die Aufsichtsbehörde konsultiert wurde.

Darüber hinaus ist zu berücksichtigen, dass nach Art. 35 Abs. 9 DSGVO gegebenenfalls der (unverbindliche) Standpunkt der betroffenen Personen oder ihrer Vertreter eingeholt werden „soll“. Als Soll-Anforderung hat diese Anforderung in den meisten Bereichen eine nur geringe praktische Relevanz. Insbesondere im Krankenhaus- und Forschungsbereich jedoch kann es mit Blick auf das gesetzgeberische Ziel der Beteiligung der Bürger und Patienten im Gesundheitswesen durchaus sachgerecht sein, die Möglichkeiten (und eventuell auch die praktischen Vorteile) einer Beteiligung von Betroffenenvertretern in den Blick zu nehmen.

Fazit

Es liegt in der Natur der Sache, dass Verarbeitungsverfahren im Gesundheitsbereich häufig besonders datenschutzkritisch sind. Daher muss sorgfältig geprüft werden, ob eine DSFA zwingend oder auch vorsorglich durchzuführen ist.

Lesen Sie auch folgende Beiträge:

Datenverarbeitung bei klinischen Studien: Anforderungen an den Datenschutz

KI im Gesundheitswesen: Mit Datenschutz zum Ziel?

Gesundheitsdaten: Was Sie beim Datentransfer in Drittstaaten beachten müssen

Kontakt

office@srd-rechtsanwaelte.de

Berlin

+49 (0)30 21 30 028-0

Düsseldorf

+49 (0)211 41 55 868-0

München

+49 (0)89 61 42 412-70

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.