Datenschutzfolgenabschätzung: BayLfD legt „Bayerische Blacklist“ vor

​veröffentlicht am 28. März 2019

Die Pflicht zur Durchführung der Datenschutzfolgenabschätzung ist in Art. 35 Abs. 1 DS-GVO geregelt. Die DSFA enthält gem. Abs. 7 neben der Beschreibung des geplanten Verarbeitungsvorgangs und dem Verarbeitungszweck vor allem eine Bewertung der Notwendigkeit und Verhältnismäßigkeit in Bezug auf den Zweck, eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen.

Der Bayerische Landesbeauftragte für den Datenschutz hat nunmehr auf der Grundlage von Art. 35 Abs. 4 DS-GVO eine Liste von Verarbeitungsvorgängen vorgelegt, für die in jedem Fall eine DSFA durchzuführen ist. Diese sog. „Bayerische Blacklist” nennt 21 unterschiedliche Fallgruppen im Sinne der DS-GVO. Für die Leistungserbringer im Gesundheitswesen, speziell für Krankenhäuser, Pflegeeinrichtungen und medizinische Versorgungszentren, sind dabei insbesondere die Ziffern 2 (umfangreiche Verarbeitung von sensiblen Daten i.S.v. Art. 9 DS-GVO), 5 (Verarbeitung von genetischen Daten), 9 (Künstliche Intelligenz) und 11 (Datenerhebung via Sensor / mobile Anwendung) relevant.

Für die Ziffer 5 wird ausdrücklich das Beispiel erwähnt „Eine Klinik setzt DNA-Tests zur Früherkennung vererblicher Krankheiten bei Neugeborenen ein.” Zur Ziffer 9 heißt es „Nutzung von KI-unterstützter Bilderkennung für die Erkennung von Tumoren und für die medizinische Entscheidungsfindung”, zur Ziffer 11 „Online-Überwachung des Gesundheitszustands mittels Implantaten und zentraler Datenspeicherung, z. B. Insulinpumpen, Herzschrittmacher.”

Angesichts der ausdrücklichen Nennung von „Fachverfahren, die umfangreich Gesundheitsdaten verarbeiten” in der Ziffer 2 liegt die Vermutung nahe, dass die Verarbeitungstätigkeiten in der stationären und der ambulanten Pflege ebenso zu den DSFA-bedürftigen Verarbeitungstätigkeiten zu rechnen sind.

Für ambulante Pflegedienste spielt außerdem u.U. die Ziffer 7 (Beschäftigte) eine Rolle, da die „Geolokalisierung von Beschäftigten während eines erheblichen Teils der Arbeitszeit” ein explizit genannter Sachverhalt ist und da diese Funktionalität in einigen der zur Einsatzplanung verwendeten Softwareprodukten enthalten ist.

In der Broschüre „Datenschutz-Folgenabschätzung – Orientierungshilfe” unter Nr. 3 „Bestandverfahren” (Seite 10) trifft der Bayerischen Landesbeauftragte für den Datenschutz folgende Aussage: „Für bereits laufende, nach Art. 26 BayDSG [alt] freigegebene Verarbeitungsvorgänge, die ohne wesentliche Änderungen fortgeführt werden und die künftig eine DSFA erfordern, ist diese in einer Übergangsfrist spätestens bis zum 25. Mai 2021 nachzuholen.” Unter Berufung auf diese Aussage gewinnen Krankenhäuser also ggf. mehr Zeit für die Erstellung der Datenschutzfolgenabschätzung, wenn denn solche Freigaben nach Art. 26 BayDSG (alt) entsprechend rechtzeitig erfolgt waren und auch dokumentiert sind.

Angesichts des nicht unerheblichen Aufwandes für die Erstellung einer DSFA empfiehlt es sich, zunächst auf dem entsprechenden Eintrag im Verarbeitungsverzeichnis aufzusetzen und sich vor allem auf die Muss-Bestandteile gem. DS-GVO zu konzentrieren. Die Dokumentation der DSFA kann in einem einfachen Textdokument erfolgen. Je größer der Bestand an Verarbeitungstätigkeiten und darunter auch an DSFAen ist, umso eher kommt die Einbindung in ein Dokumentenmanagementsystem oder auch in eine spezifische Datenschutzmanagementsoftware in Betracht. Der Bayerische Landesbeauftragte für den Datenschutz empfiehlt außerdem die für die Erstellung einer DSFA speziell vorliegende Software „PIA”.

Nützliche Links:

Bayerische Blacklist (Bayerischer Landesbeauftragter für den Datenschutz)

Broschüre „Datenschutz-Folgenabschätzung – Orientierungshilfe (Bayerischer Landesbeauftragter für den Datenschutz)

PIA-Tool zur Erstellung einer DSFA (Bayerischer Landesbeauftragter für den Datenschutz)