Ein Must-have: Die Datenschutzfolgeabschätzung (DSFA)

Wussten Sie, dass Sie im Rahmen der DSGVO regelmäßig dazu verpflichtet sind, eine Datenschutzfolgenabschätzung (DSFA) durchzuführen? Da viele Verantwortliche nicht genau wissen, wann eine DSFA fällig ist oder worauf es bei einer DSFA ankommt, widmen wir uns im 7. Teil unserer Blogreihe genau diesem Thema.

Anforderungen: Sind DSFA im Gesundheitswesen Pflicht?

Die Verarbeitung von Gesundheitsdaten alleine bedeutet nicht zeitgleich, dass Sie zur Durchführung einer DSFA verpflichtet sind. Laut Art. 35 Abs. 1 DSGVO muss eine DSFA nur durchgeführt werden, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat. Da viele Praxen mit modernen Technologien und Tools arbeiten, sollten Sie deshalb genauesten abklären, ob Art. 35 Abs. 1 auf Ihr Unternehmen zutrifft. Sollten Sie sich unsicher sein: Art. 35 Abs. 3 DSGVO formuliert anhand von Beispielen, wann eine DSFA zwingend durchzuführen ist.

Besonders relevant für alle, die im Gesundheitswesen aktiv sind, ist die umfangreiche Verarbeitung von Gesundheitsdaten. Gesundheitsdaten beziehen sich auf die Gesundheit oder die Erbringung von Gesundheitsdienstleistungen einer Person und bieten Informationen über ihren Gesundheitszustand. Das können zum Beispiel physiologische Besonderheiten oder auch allgemeine Gesundheitsdaten wie etwa Daten von Fitnesstrackern (etwa Apple-Watches oder Fitbit) sein.

Nutzen Sie solchen Daten für Ihre Analysen, muss eine DSFA durchgeführt werden. Besonders dann, wenn sich das betreffende Verfahren auf der sogenannten „Muss“-Liste einer zuständigen Datenschutzbehörde findet (Art. 35 Abs. 4 DSGVO).

DSFA: Alles, was Sie wissen müssen in der Übersicht

DSFA – Ja oder nein?

Stellen Sie sich folgende Frage: Verarbeiten Sie Gesundheitsdaten und liegt in Ihrer Praxis eine umfangreiche Datenverarbeitung vor? In den meisten Einzelpraxen liegt keine umfangreiche Verarbeitung laut DSGVO vor (vgl. Erwägungsgrund 91 EU DGVO), deshalb ist in den meisten Fällen keine DSFA notwendig bzw. verpflichtend. Diese Einschätzung ändert sich allerdings, wenn eine Einzelpraxis – wie oben beschrieben – Telemedizin-Lösungen mit Datenaustausch zum Patienten einsetzt.

Tipp:

Nicht jede Praxis muss eine DSFA durchführen. Hören Sie nicht auf die Stimmen, die Ihnen predigen, Sie müssten eine DSFA durchführen, nur weil sie Gesundheitsdaten verarbeiten. Erfragen Sie in Ruhe die Hintergründe und Grundlagen und informieren Sie sich, indem Sie die sogenannte „Muss Liste“ der Datenschutzbehörden des jeweiligen Bundeslandes studieren. Falls Sie sich immer noch unsicher sein sollten, holen Sie sich immer eine zweite Meinung ein oder fragen direkt bei den Landesdatenschutzbehörden nach. Datenschutzbeauftragte wie ich sind da, um Sie zu beraten und nicht um damit eine Menge Umsatz zu generieren. Auch hier gilt, sollte ein DSFA notwendig sein, dann müssen Sie eine anlegen, ansonsten sparen Sie sich diese Aufwände.

Worauf kommt es bei der DSFA an?

Nehmen wir nun an, Sie sind dazu verpflichtet, eine DSFA durchzuführen. Dann sollten Sie Folgendes beachten:

  • Nach §67 Abs. 3 BDSG 2018 muss der Datenschutzbeauftragte (DSB) bei einer DSFA mit einbezogen werden.
  • Wichtig! Es ist ab dem Zeitpunkt der Notwendigkeit erforderlich einen DSB zu bestellen!
  • Verarbeitungsvorgänge müssen systematisch beschrieben werden.
  • Der Zweck der Verarbeitung muss benannt werden.
  • Die Rechtsgrundlage der Datenverarbeitung bestimmen.
  • Die Notwendigkeit und die Verhältnismäßigkeit der Verarbeitung müssen bewertet werden.
  • Die Risiken für die Rechte und Freiheiten der betroffenen Personen müssen bewertet werden.
  • Wichtig! Hier stehen die Betroffenen im Mittelpunkt und nicht das Unternehmen.
  • Geeignete technische und organisatorische Maßnahmen (TOM) müssen festgelegt werden (siehe Blogartikel Nr. 6 zum Thema TOMs: https://schwarte-consulting.com/blog/technische-und-organisatorische-massnahmen-im-sinne-der-dsgvo/), um die Risiken abzumildern und so dem Schutzbedarf der betroffenen Personen zu entsprechen

Wie setzen Sie die Erstellung einer DSFA am besten um?

Eine DSFA ist kein einmaliger Vorgang. Sollten sich z.B. neue Risiken ergeben, die Bewertung bereits erkannter Risiken ändern oder wesentliche Änderungen im Verfahren ergeben, die in der DSFA bisher nicht berücksichtigt wurden, so ist die DSFA zu überprüfen und ebenso anzupassen. Je nach Umfang und Größe ist das Ganze ein stetiger und iterativer Prozess, der aus meiner Sicht mindestens einmal im Jahr durchlaufen werden muss.

Iterativer Prozess der DSFA-Erstellung - Schwarte Consulting
Quelle: DSK_KPNr_5_Datenschutz-Folgenabschtzung.pdf, hier können Sie die einzelnen Schritte im Detail nachlesen.
Von besonderer Bedeutung ist:
  • Wiederholung/Anpassung der DSFA bei geänderten Risiken
  • Regelmäßige Prüfung der Wirksamkeit der Maßnahmen
  • Nachweis muss geführt werden

Unser Experten-Tipp:

Wenn Sie nur sehr wenige DSFA erstellen müssen, dann reicht oftmals eine Dokumentation per Excel oder Word. Sollten Sie aber DSFAs im großen Umfange erstellen müssen, ist meine klare Empfehlung an Sie: Investieren Sie in eine entsprechende Software, die Sie Schritt für Schritt und strukturiert durch den Prozess führen wird. Anbieter solcher Softwares gibt es mehrere, ich möchte an dieser Stelle keine Werbung für einen bestimmten Betreiber machen, deshalb nutzen Sie am besten eine Suchmaschine Ihrer Wahl und Sie werden sehr schnell fündig werden. Auch sollten Sie sich bei groß angelegten DSFAs mit ISO Normen zu befassen. Im Folgenden finden Sie eine erste Übersicht zu einer möglichen Melange aus DSFA und IT-Sicherheit:

An dieser Stelle wird das Thema sehr komplex und Sie sollten eventuell einen Datenschutzbeauftragten zurate ziehen, allein schon aufgrund der Komplexität des Themas.

Zusammenfassung – DSFA im Datenschutz

Die Hauptfrage, die es zu beantworten gilt, lautet: Müssen Sie eine DSFA erstellen oder nicht? Wie wir gesehen haben, ist die Beantwortung dieser Fragestellung nicht ganz so einfach. Man kann auch leider nicht pauschal davon ausgehen, dass eine Praxis DSFA-verpflichtet ist, nur weil mit sensiblen Daten gearbeitet wird. Bei diesem Thema muss tatsächlich jeder Einzelfall separat und im Detail geprüft werden. Unterstützend können die sogenannten „Muss Listen“ der zuständigen Datenschutzbehörden des jeweiligen Bundeslandes zur Hilfe genommen werden.

Sollten Sie dazu verpflichtet sein, eine entsprechenden DSFA durchzuführen, dann empfehle ich, das Grundkonzept eines iterativen Prozesses umzusetzen – diese Empfehlung wird auch von der Datenschutzkonferenz getragen und ist die beste Methode, um eine DSFA zu erstellen. Falls Sie noch weitere Fragen zum Thema DSFA oder zur DSGVO im Allgemeinen haben sollten, scheuen Sie sich nicht mit mir in Kontakt zu treten. Eine Erstberatung ist bei mir immer kostenlos.

Kategorien

Aktuelle Posts

NEWSLetter

Sie wollen, dass wir Ihnen automatisch unseren aktuellen Blogartikel zusenden? Dann melden Sie sich hier zu unseren Newsletter an.

Hat Ihnen dieser Beitrag gefallen? Dann teilen Sie ihn mit Ihren Bekannten.
ACHTUNG!

Dieser Beitrag ist keine Rechtsberatung! Ich bin zertifizierter Datenschutzbeauftragter aber kein Rechtsanwalt. Von daher kann ich und darf ich keine anwaltlichen Tipps geben und auch keinerlei keinerlei Haftung übernehmen.

Vielen Dank, für die Newsletter anmeldung

Bitte bestätigen Sie Ihre Anmeldung über einen Link den wir Ihnen per Email zugesendet haben. Falls Sie keine E-mail erhalten haben, überprüfen Sie auch den Spam folder.