16. Mai 2019

Die Datenschutz-Folgenabschätzung im Health-Bereich: (Fast) unverzichtbar?

Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) hielt ein neues Instrument Eingang ins deutsche Datenschutzrecht: die Datenschutz-Folgenabschätzung (DSFA). Ihrem Namen entsprechend dient die DSFA dazu, die Folgen von Verarbeitungsverfahren einzuschätzen sowie Risiken zu erkennen und zu bewerten. Um gefundenen Risiken wirksam entgegentreten zu können, ist die DSFA durchzuführen, bevor ein bestimmtes Verfahren in Betrieb genommen wird. Durch den schnellen technologischen Wandel kann eine einmal durchgeführte DSFA natürlich nicht für immer Bestand haben, sondern ist in regelmäßigen Abständen zu wiederholen, um die Risikobewertung im Lichte der aktuellen Technik neu zu bewerten. Sehr ähnliche Verarbeitungsvorgänge können jedoch in einer Datenschutz-Folgenabschätzung zusammengefasst werden. Gerade für Anbieter von Gesundheitsleistungen jeder Art ist die DSFA eine Maßnahme, der viel Beachtung geschenkt werden sollte, wie sich aus dem folgenden Text zeigen wird.

Eine DSFA ist nicht für jede Datenverarbeitung erforderlich, sondern nur dann, wenn sich für die betroffene Person besondere Risiken ergeben können. Immer zwingend durchzuführen ist eine DSFA, wenn eine „umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten“ durchgeführt wird. Unter diese besonderen Kategorien fallen u.a. auch Gesundheitsdaten.  Der Begriff der Gesundheitsdaten wiederum wird vom Gesetz definiert als Informationen, die sich auf den geistigen und körperlichen Gesundheitszustand der betroffenen Person oder auf eine Erbringung von Gesundheitsleistungen für diese beziehen. Neben logischen Anwendern wie Krankenhäusern, Arztpraxen oder Forschungseinrichtungen, fallen hier also auch die Anbieter von Health-Apps oder Wearables schnell in den Anwendungsbereich der Regelung. Dafür reicht z.B. schon die Aufzeichnung oder Übermittlung von Vitalwerten wie dem Pulsschlag oder die Verwaltung von Arztterminen.

Als zweite Voraussetzung muss die Verarbeitung dieser Daten auch in umfangreichem Maße erfolgen. Bei all den eben genannten Anbietern ist davon auszugehen, da hier die Verarbeitung von Gesundheitsdaten quasi zum Geschäftszweck gehört. Im Ergebnis wird man als Anbieter im Bereich Health & Pharma nur in absoluten Ausnahmefällen um die Erstellung einer Datenschutz-Folgenabschätzung herumkommen.

Neben dieser inhaltlichen Prüfung der Notwendigkeit bestehen auch sogenannte „Blacklists“ der Datenschutz-Aufsichtsbehörden. In diesen sind spezifische Verfahren festgehalten, für die immer eine DSFA durchzuführen ist, selbst wenn die Datenverarbeitung nicht umfangreich ausfällt. Genannt werden von den Behörden hier z.B. der Einsatz von telemedizinischen Lösungen und auch die zentrale Speicherung von Messdaten aus Fitnessarmbändern oder Smartphones.

Wie ist eine DSFA anzugehen?

Sobald die Erstellung einer DSFA als Notwendigkeit identifiziert wurde, sollte ein „DSFA-Team“ zusammengestellt werden, welches den Prozess strukturiert durchführt. Zwingend Mitglied dieses Teams ist der/die Datenschutzbeauftragte. Außerdem sollten alle an der Datenverarbeitung beteiligten Abteilungen involviert werden. Dies betrifft insbesondere den Bereich IT / Informationssicherheit, welcher regelmäßig einen entscheidenden Beitrag zum Gelingen der DSFA leisten kann und muss. Steht das DSFA-Team, muss eine strukturierte Bewertung der Risiken der geplanten Datenverarbeitung erfolgen. Im Idealfall kann hier auf ein bereits bestehendes Verzeichnis von Verarbeitungstätigkeiten zurückgegriffen werden, andernfalls ist ein solches anzulegen.

Im nächsten Schritt müssen die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung überprüft werden. Hierzu sind die Zwecke der beabsichtigten Verarbeitung gegen die möglichen Gefahren für die betroffene Person abzuwägen. Der Health-Bereich hat hier regelmäßig die Steigerung der Gesundheit und des Wohlbefindens der betroffenen Person als Ziel, was zu einer überzeugenden Argumentation für Notwendigkeit und Verhältnismäßigkeit führen kann. Jedoch sollte hier eine kritische Überprüfung stattfinden, ob dasselbe Ziel nicht auch mit weniger datenintensiven Verarbeitungen erreicht werden kann.

Die Risikobewertung – das Kernstück der DSFA

Stehen Verfahrensverzeichnis und Notwendigkeit fest, kommt im nächsten Schritt das eigentliche Herzstück der DSFA: die Bewertung der Risiken für die betroffene Person. Die einzelnen Schritte der Verarbeitung sind hier daraufhin zu untersuchen, welche Gefahren den Daten und damit auch Rechten der betroffenen Personen droht. Hierzu gibt es verschiedene Modelle der Risikobewertung. Risiken können z.B. für die Vertraulichkeit der Daten bestehen oder ihre Integrität. Aber auch Punkte wie Transparenz für die betroffene Person oder ihre Möglichkeiten zur Intervenierbarkeit sind hier zu begutachten und zu bewerten. Das jeweilige Risiko ist nach den Faktoren „Eintrittswahrscheinlichkeit“ und „mögliche Folgen für die betroffene Person“ zu bewerten. Gerade bei der Verwendung von Gesundheitsdaten landet man hier schnell im Hochrisikobereich für die betroffene Person, da bereits geringe Fehler gravierende Auswirkungen haben könne. Man denke z.B. an eine fehlerhafte Übermittlung von medizinischen Daten auf Grund derer eine eigentlich notwendige Behandlung unterbleibt oder das öffentliche Bekanntwerden von bestimmten Erkrankungen die zu einem Ansehensverlust der betroffenen Person oder zum Verlust des Arbeitsplatzes führen können. Eine Kombination aus den beiden genannten Faktoren ergibt das schlussendliche Risiko der Datenverarbeitung.

Risikoeindämmung

Nach der Identifizierung und Bewertung von Risiken können schließlich spezifische Gegenmaßnahmen getroffen werden. Dies zielt auf den gezielten Einsatz von den technisch-organisatorischen Maßnahmen, den sogenannten TOMs ab. Hier wird, unter Zusammenarbeit mit den einzelnen Abteilungen festgelegt, wie die Risiken am besten bekämpft werden können. Dazu steht eine Vielzahl von Optionen zur Verfügung. Klassische Maßnahmen sind hier beispielsweise die Begrenzung des Zugangs zu Daten auf wenige berechtigte Personen, ein genereller Passwortschutz oder auch die Verschlüsselung von Datenübermittlungen. Auch die Erstellung eines Löschkonzeptes und die Frage wie die Rechte der betroffenen Person garantiert werden können, sind Themen der Risikoeindämmung. Dabei ist zu beachten, dass das einfache Aufschreiben generischer Maßnahmen nicht ausreichend ist, sondern immer eine spezifische Auseinandersetzung mit den identifizierten Problemen erforderlich ist. Trotzdem kann natürlich auf bereits bestehende Konzepte und Abläufe zurückgegriffen werden. Erfahrungsgemäß verbleiben gerade im Bereich der Gesundheitsdaten immer noch Restrisiken, jedoch ist das Ziel diese so gering wie möglich zu halten.

Schritte nach der DSFA

Mit Abschluss der Risikobewertung ist die DSFA generell an ihrem Ende angelangt. Jedoch kann trotzdem noch weiterer Handlungsbedarf bestehen. Laut Gesetz soll „gegebenenfalls“ das Feedback der betroffenen Personen eingeholt werden. Im Gesundheitsbereich ist hier z.B. an Patientenvertretungen zu denken. Diese Einbeziehung ist aber (bisher) noch der Sonderfall und normalerweise nicht erforderlich.

In jedem Fall erforderlich ist die Einbeziehung der Aufsichtsbehörde, sollten auch trotz der Implementierung von Gegenmaßnahmen noch hohe Restrisiken für die betroffenen Personen bestehen. Daraus folgt aber nicht zwangsläufig ein Verbot der geplanten Datenverarbeitung, vielmehr können an diesem Punkt in Zusammenarbeit mit der Behörde weitere Maßnahmen zur Risikoeindämmung erarbeitet werden. Auf Grund des zu erwartenden Zeitverlustes ist dies aber trotzdem tunlichst zu vermeiden und schon vorher eine ausreichende Risikoeindämmung durchzuführen.

Wie bereits anfangs erwähnt, ist mit der einmaligen Durchführung einer DSFA die Pflicht nicht vollständig erfüllt. Vielmehr sollte bereits zu diesem Zeitpunkt ein konkreter Termin zur erneuten Durchführung (z.B. nach einem Jahr) festgelegt werden. Schon vorher sollte eine erneute DSFA durchgeführt werden, wenn sich an dem Verarbeitungsprozess gravierende Änderungen oder Neuerungen, z.B. Ergänzungen des Funktionsumfangs, ergeben.

Fazit – Aufwand der es Wert ist

Klar ist, dass die Durchführung einer DSFA mit einem nicht unerheblichen Aufwand verbunden ist. Allein das Einholen aller erforderlicher Informationen und die Zusammenstellung des DSFA-Teams können bei vielen beteiligten Abteilungen Schwierigkeiten bereiten.

Demgegenüber stehen allerdings die klaren Vorteile, die sich aus einer korrekten Durchführung der Datenschutz-Folgenabschätzung ergeben. Am auffälligsten dabei natürlich die Chance, mögliche Datenschutzverstöße bereits vor ihrem Entstehen zu identifizieren und so zu verhindern. Dies erspart ggf. hohe Bußgelder durch die Behörde und einen Image- und Vertrauensverlust bei Patienten und/oder Kunden, welche auf Pannen bei Gesundheitsdaten erfahrungsgemäß besonders sensibel reagieren.

Darüber hinaus ergeben sich auch intern Chancen durch eine DSFA. So kann diese genutzt werden, um die eigenen Prozesse zu überprüfen und insbesondere auch technische Maßnahmen regelmäßig auf ihre Wirksamkeit zu überprüfen.

Zusammenfassend handelt es sich bei der Durchführung der DSFA also um einen Aufwand, der nicht nur einem gesetzlichen Erfordernis genügt, sondern auch einen wirklichen Benefit bietet. Sollten Sie Fragen zur Durchführung einer Datenschutz-Folgenabschätzung haben, oder Unterstützung bei der Durchführung einer solchen benötigen, stehen Ihnen unsere Experten gerne zur Verfügung.

 

Lesen Sie auch folgende Beiträge:

Datenschutz im Krankenhaus: Ein Überblick

Datenschutzvorfälle mit Gesundheitsdaten: Maßnahmen für Verantwortliche

Digitalisierung im Gesundheitswesen und Datenschutz – Zwei, die sich gut verstehen?

Übermittlung von Gesundheitsdaten: Fallstricke bei Health-Apps & Fitnesstrackern

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!