Datenschutz-Folgenabschätzung (DSFA) im Krankenhaus: Wann ist sie erforderlich?

Was ist eine DSFA?

Die Datenschutz-Folgenabschätzung ist in Art. 35 DSGVO geregelt. Sie dient der systematischen Analyse, Bewertung und Minimierung dieser Risiken. Notwendige Inhalte einer DSFA sind die Beschreibung der geplanten Verarbeitungsvorgänge, die Bewertung ihrer Notwendigkeit und Verhältnismäßigkeit, eine Analyse der möglichen Risiken für die Betroffenen sowie die Festlegung geeigneter technischer und organisatorischer Maßnahmen zur Risikominimierung.

In welchen Fällen ist eine DSFA erforderlich?

Nach Art. 35 DSGVO ist eine DSFA erforderlich, wenn eine Form der Verarbeitung „aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko“ für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die DSGVO nennt hierzu:

• Systematische und umfassende Bewertung persönlicher Aspekte durch automatisierte Verfahren
• Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten. Dazu zählen u.a. Gesundheitsdaten
• Systematische und umfangreiche Überwachung öffentlich zugänglicher Bereiche

Die Datenschutzkonferenz (DSK) als Dachgremium der deutschen Datenschutzaufsichtsbehörden hat diese Vorgaben konkretisiert und eine „Muss-Liste“ veröffentlicht. Darin werden Verarbeitungsvorgänge aufgeführt, die zwingend eine DSFA erfordern, etwa die großflächige Verarbeitung von Gesundheitsdaten oder die Zusammenführung von Daten aus verschiedenen Quellen.

Für Bayern hat der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) eine eigene Blacklist erstellt. Dort sind für öffentliche Stellen, und damit auch für Krankenhäuser in öffentlicher Trägerschaft, bestimmte Verarbeitungsvorgänge genannt, die zwingend eine DSFA erfordern. Dazu gehören beispielsweise:

• Verarbeitung von Gesundheitsdaten in großem Umfang, etwa wenn Patientendaten systematisch und umfassend verarbeitet werden.
• Verarbeitung von genetischen oder biometrischen Daten, sofern sie zur eindeutigen Identifizierung von Personen genutzt werden und zusätzlich mindestens ein weiteres DSFA-Kriterium vorliegt.
• Systematische und umfangreiche Verarbeitung von Daten über strafrechtliche Verurteilungen oder Straftaten.

Das bedeutet im Ergebnis, dass nicht für jede Verarbeitung von Patientendaten automatisch eine DSFA erstellt werden muss, sondern nur dann, wenn sie in großem Umfang erfolgt oder wenn die verarbeiteten Daten als besonders sensibel anzusehen sind. Standardprozesse wie die übliche Patientenverwaltung oder die Behandlungsdokumentation sind damit nicht automatisch DSFA-pflichtig. Eine DSFA ist nur erforderlich, wenn die Verarbeitung die Kriterien der Blacklist erfüllt, also insbesondere bei großflächiger Verarbeitung von Gesundheitsdaten oder beim Einsatz spezieller Datenkategorien wie genetische oder biometrische Informationen. Für ersteres verwenden Krankenhäuser oftmals Schwellwerte, die auf die jährliche Anzahl der Verarbeitungsvorgänge dieser Verarbeitungstätigkeit Bezug nehmen. Zur Identifikation besonders sensibler Datenkategorien kommen neben den beiden Merkmalskategorien (genetisch oder biometrisch) auch Kategorien von Patientengruppen oder medizinische Fachbereiche in Betracht, z.B. Kinder und Jugendliche als Betroffene oder Behandlungsdaten mit Bezug zu Fortpflanzung und Sexualität.

Die Entscheidung, ob die konkrete Verarbeitung ein voraussichtlich hohes Risiko für die Rechte und Freiheiten der Betroffenen birgt, sollte anhand zuvor verschriftlichter Kriterien getroffen und nachvollziehbar dokumentiert sein. Eine DSFA ist nicht automatisch bei jeder Verarbeitung von Patientendaten erforderlich, sondern nur bei Verfahren, die aufgrund Art, Umfang, Umstände oder Zweck der Verarbeitung die Risikoschwelle überschreiten. Die Muss-Listen benennen Beispiele für solche Verarbeitungen und bieten damit auch einen guten Ausgangspunkt für die unternehmensspezifische Konkretisierung der Erforderlichkeitskriterien.

Um die gesetzlich erforderliche Aktualität der Dokumente zuverlässig zu gewährleisten, muss regelmäßig geprüft werden, ob neue Verfahren oder Technologien eingeführt werden, die eine DSFA erforderlich machen könnten. Krankenhäuser sollten daher bei jeder neuen oder geänderten Verarbeitung prüfen:

• Liegt ein hohes Risiko nach Art. 35 DSGVO vor?
• Fällt der Vorgang unter die Blacklist der zuständigen Aufsichtsbehörde?
• Sind die eingesetzten Schutzmaßnahmen ausreichend, um Risiken zu minimieren?

Fazit​

Krankenhäuser müssen nicht automatisch bei jeder Verarbeitung von Patientendaten eine DSFA durchführen. Die DSGVO gibt den rechtlichen Rahmen vor, zu dessen Auslegung sich die Aufsichtsbehörden mehrfach geäußert haben. Entscheidend sind einheitlich angewendete und schriftlich fixierte Kriterien, eine sorgfältige Risikoanalyse, die Dokumentation der Entscheidung und die Umsetzung angemessener technischer und organisatorischer Maßnahmen.

Sie stehen vor der Einführung neuer Systeme oder möchten Ihre bestehenden Prozesse datenschutzkonform überprüfen? Wir unterstützen Sie gerne bei der Risikobewertung, der Erstellung einer DSFA sowie der Kommunikation mit den zuständigen Aufsichtsbehörden. ​