Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) hielt ein neues Instrument Eingang ins deutsche Datenschutzrecht: die Datenschutz-Folgenabschätzung (DSFA). Ihrem Namen entsprechend dient die DSFA dazu, die Folgen von Verarbeitungsverfahren einzuschätzen sowie Risiken zu erkennen und zu bewerten. Um gefundenen Risiken wirksam entgegentreten zu können, ist die DSFA durchzuführen, bevor ein bestimmtes Verfahren in Betrieb genommen wird. Durch den schnellen technologischen Wandel kann eine einmal durchgeführte DSFA natürlich nicht für immer Bestand haben, sondern ist in regelmäßigen Abständen zu wiederholen, um die Risikobewertung im Lichte der aktuellen Technik neu zu bewerten. Sehr ähnliche Verarbeitungsvorgänge können jedoch in einer Datenschutz-Folgenabschätzung zusammengefasst werden. Gerade für Anbieter von Gesundheitsleistungen jeder Art ist die DSFA eine Maßnahme, der viel Beachtung geschenkt werden sollte, wie sich aus dem folgenden Text zeigen wird.
Eine DSFA ist nicht für jede Datenverarbeitung erforderlich, sondern nur dann, wenn sich für die betroffene Person besondere Risiken ergeben können. Immer zwingend durchzuführen ist eine DSFA, wenn eine „umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten“ durchgeführt wird. Unter diese besonderen Kategorien fallen u.a. auch Gesundheitsdaten. Der Begriff der Gesundheitsdaten wiederum wird vom Gesetz definiert als Informationen, die sich auf den geistigen und körperlichen Gesundheitszustand der betroffenen Person oder auf eine Erbringung von Gesundheitsleistungen für diese beziehen. Neben logischen Anwendern wie Krankenhäusern, Arztpraxen oder Forschungseinrichtungen, fallen hier also auch die Anbieter von Health-Apps oder Wearables schnell in den Anwendungsbereich der Regelung. Dafür reicht z.B. schon die Aufzeichnung oder Übermittlung von Vitalwerten wie dem Pulsschlag oder die Verwaltung von Arztterminen.
Als zweite Voraussetzung muss die Verarbeitung dieser Daten auch in umfangreichem Maße erfolgen. Bei all den eben genannten Anbietern ist davon auszugehen, da hier die Verarbeitung von Gesundheitsdaten quasi zum Geschäftszweck gehört. Im Ergebnis wird man als Anbieter im Bereich Health & Pharma nur in absoluten Ausnahmefällen um die Erstellung einer Datenschutz-Folgenabschätzung herumkommen.
Neben dieser inhaltlichen Prüfung der Notwendigkeit bestehen auch sogenannte „Blacklists“ der Datenschutz-Aufsichtsbehörden. In diesen sind spezifische Verfahren festgehalten, für die immer eine DSFA durchzuführen ist, selbst wenn die Datenverarbeitung nicht umfangreich ausfällt. Genannt werden von den Behörden hier z.B. der Einsatz von telemedizinischen Lösungen und auch die zentrale Speicherung von Messdaten aus Fitnessarmbändern oder Smartphones.
Wie ist eine DSFA anzugehen?
Sobald die Erstellung einer DSFA als Notwendigkeit identifiziert wurde, sollte ein „DSFA-Team“ zusammengestellt werden, welches den Prozess strukturiert durchführt. Zwingend Mitglied dieses Teams ist der/die Datenschutzbeauftragte. Außerdem sollten alle an der Datenverarbeitung beteiligten Abteilungen involviert werden. Dies betrifft insbesondere den Bereich IT / Informationssicherheit, welcher regelmäßig einen entscheidenden Beitrag zum Gelingen der DSFA leisten kann und muss. Steht das DSFA-Team, muss eine strukturierte Bewertung der Risiken der geplanten Datenverarbeitung erfolgen. Im Idealfall kann hier auf ein bereits bestehendes Verzeichnis von Verarbeitungstätigkeiten zurückgegriffen werden, andernfalls ist ein solches anzulegen.
Im nächsten Schritt müssen die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung überprüft werden. Hierzu sind die Zwecke der beabsichtigten Verarbeitung gegen die möglichen Gefahren für die betroffene Person abzuwägen. Der Health-Bereich hat hier regelmäßig die Steigerung der Gesundheit und des Wohlbefindens der betroffenen Person als Ziel, was zu einer überzeugenden Argumentation für Notwendigkeit und Verhältnismäßigkeit führen kann. Jedoch sollte hier eine kritische Überprüfung stattfinden, ob dasselbe Ziel nicht auch mit weniger datenintensiven Verarbeitungen erreicht werden kann.
Die Risikobewertung – das Kernstück der DSFA
Stehen Verfahrensverzeichnis und Notwendigkeit fest, kommt im nächsten Schritt das eigentliche Herzstück der DSFA: die Bewertung der Risiken für die betroffene Person. Die einzelnen Schritte der Verarbeitung sind hier daraufhin zu untersuchen, welche Gefahren den Daten und damit auch Rechten der betroffenen Personen droht. Hierzu gibt es verschiedene Modelle der Risikobewertung. Risiken können z.B. für die Vertraulichkeit der Daten bestehen oder ihre Integrität. Aber auch Punkte wie Transparenz für die betroffene Person oder ihre Möglichkeiten zur Intervenierbarkeit sind hier zu begutachten und zu bewerten. Das jeweilige Risiko ist nach den Faktoren „Eintrittswahrscheinlichkeit“ und „mögliche Folgen für die betroffene Person“ zu bewerten. Gerade bei der Verwendung von Gesundheitsdaten landet man hier schnell im Hochrisikobereich für die betroffene Person, da bereits geringe Fehler gravierende Auswirkungen haben könne. Man denke z.B. an eine fehlerhafte Übermittlung von medizinischen Daten auf Grund derer eine eigentlich notwendige Behandlung unterbleibt oder das öffentliche Bekanntwerden von bestimmten Erkrankungen die zu einem Ansehensverlust der betroffenen Person oder zum Verlust des Arbeitsplatzes führen können. Eine Kombination aus den beiden genannten Faktoren ergibt das schlussendliche Risiko der Datenverarbeitung.
Risikoeindämmung
Nach der Identifizierung und Bewertung von Risiken können schließlich spezifische Gegenmaßnahmen getroffen werden. Dies zielt auf den gezielten Einsatz von den technisch-organisatorischen Maßnahmen, den sogenannten TOM ab. Hier wird, unter Zusammenarbeit mit den einzelnen Abteilungen festgelegt, wie die Risiken am besten bekämpft werden können. Dazu steht eine Vielzahl von Optionen zur Verfügung. Klassische Maßnahmen sind hier beispielsweise die Begrenzung des Zugangs zu Daten auf wenige berechtigte Personen, ein genereller Passwortschutz oder auch die Verschlüsselung von Datenübermittlungen. Auch die Erstellung eines Löschkonzeptes und die Frage wie die Rechte der betroffenen Person garantiert werden können, sind Themen der Risikoeindämmung. Dabei ist zu beachten, dass das einfache Aufschreiben generischer Maßnahmen nicht ausreichend ist, sondern immer eine spezifische Auseinandersetzung mit den identifizierten Problemen erforderlich ist. Trotzdem kann natürlich auf bereits bestehende Konzepte und Abläufe zurückgegriffen werden. Erfahrungsgemäß verbleiben gerade im Bereich der Gesundheitsdaten immer noch Restrisiken, jedoch ist das Ziel diese so gering wie möglich zu halten.
Schritte nach der DSFA
Mit Abschluss der Risikobewertung ist die DSFA generell an ihrem Ende angelangt. Jedoch kann trotzdem noch weiterer Handlungsbedarf bestehen. Laut Gesetz soll „gegebenenfalls“ das Feedback der betroffenen Personen eingeholt werden. Im Gesundheitsbereich ist hier z.B. an Patientenvertretungen zu denken. Diese Einbeziehung ist aber (bisher) noch der Sonderfall und normalerweise nicht erforderlich.
In jedem Fall erforderlich ist die Einbeziehung der Aufsichtsbehörde, sollten auch trotz der Implementierung von Gegenmaßnahmen noch hohe Restrisiken für die betroffenen Personen bestehen. Daraus folgt aber nicht zwangsläufig ein Verbot der geplanten Datenverarbeitung, vielmehr können an diesem Punkt in Zusammenarbeit mit der Behörde weitere Maßnahmen zur Risikoeindämmung erarbeitet werden. Auf Grund des zu erwartenden Zeitverlustes ist dies aber trotzdem tunlichst zu vermeiden und schon vorher eine ausreichende Risikoeindämmung durchzuführen.
Wie bereits anfangs erwähnt, ist mit der einmaligen Durchführung einer DSFA die Pflicht nicht vollständig erfüllt. Vielmehr sollte bereits zu diesem Zeitpunkt ein konkreter Termin zur erneuten Durchführung (z.B. nach einem Jahr) festgelegt werden. Schon vorher sollte eine erneute DSFA durchgeführt werden, wenn sich an dem Verarbeitungsprozess gravierende Änderungen oder Neuerungen, z.B. Ergänzungen des Funktionsumfangs, ergeben.
Datenschutz-Guru-Podcast:
Datenschutz-Folgenabschätzung: Im Gespräch mit Rechtsanwältin Kathrin Schürmann
Fazit – Aufwand der es Wert ist
Klar ist, dass die Durchführung einer DSFA mit einem nicht unerheblichen Aufwand verbunden ist. Allein das Einholen aller erforderlicher Informationen und die Zusammenstellung des DSFA-Teams können bei vielen beteiligten Abteilungen Schwierigkeiten bereiten.
Demgegenüber stehen allerdings die klaren Vorteile, die sich aus einer korrekten Durchführung der Datenschutz-Folgenabschätzung ergeben. Am auffälligsten dabei natürlich die Chance, mögliche Datenschutzverstöße bereits vor ihrem Entstehen zu identifizieren und so zu verhindern. Dies erspart ggf. hohe Bußgelder durch die Behörde und einen Image- und Vertrauensverlust bei Patienten und/oder Kunden, welche auf Pannen bei Gesundheitsdaten erfahrungsgemäß besonders sensibel reagieren.
Darüber hinaus ergeben sich auch intern Chancen durch eine DSFA. So kann diese genutzt werden, um die eigenen Prozesse zu überprüfen und insbesondere auch technische Maßnahmen regelmäßig auf ihre Wirksamkeit zu überprüfen.
Zusammenfassend handelt es sich bei der Durchführung der DSFA also um einen Aufwand, der nicht nur einem gesetzlichen Erfordernis genügt, sondern auch einen wirklichen Benefit bietet. Sollten Sie Fragen zur Durchführung einer Datenschutz-Folgenabschätzung haben, oder Unterstützung bei der Durchführung einer solchen benötigen, stehen Ihnen unsere Experten gerne zur Verfügung.
FAQ zum Health & Law Netzwerktreff vom 14. Oktober 2020
1. Ist eine DSFA für Telemedizin-Lösungen wie z. B. Videosprechstunden notwendig?
Sobald eine geplante Verarbeitung als Lösung der Telemedizin einzustufen ist, muss zwingend immer eine DSFA durchgeführt werden. Die Datenschutz-Aufsichtsbehörden haben Telemedizin explizit auf ihre „Blacklist“ aufgenommen, da hier ein hohes Risiko für die besonders sensiblen Gesundheitsdaten gesehen wird.
2. Bieten Standardvorlagen mit Risikobausteinen eine geeignete Grundlage für die Risikoanalyse?
Schon bestehende Dokumentationen und Analysen können im Rahmen der DSFA natürlich verwendet werden und eine Grundlage bilden. Sie ersetzen allerdings nicht die Durchführung einer DSFA. Vielfach sind auch Anpassungen und Ergänzungen nötig, da die bereits bestehende Dokumentation nicht die speziellen Anforderungen des Datenschutzes berücksichtigt.
3. Es finden grundsätzlich fast nie Datenverarbeitungen ohne jegliche Schutzmaßnahmen statt. Wie ist das in der Risikoanalyse zu berücksichtigen und darzustellen?
Es ist prinzipiell richtig, dass Datenverarbeitungen vermutlich nirgendwo im Health-Bereich ohne bereits bestehende Schutzmaßnahmen durchgeführt werden. Um eine gute Analyse und Dokumentation zu ermöglichen, ist es aber sinnvoll, sich auch bereits bestehende Maßnahmen „wegzudenken“, um das grundsätzliche Risikopotenzial der Datenverarbeitung zu ermitteln. Im Rahmen der Risikomitigation sind dann aber natürlich auch die bereits ohnehin schon bestehenden Maßnahmen zu berücksichtigen.
4. Wer muss eine DSFA erstellen wenn im Rahmen von Projekten verschiedene Partner in die Datenverarbeitung involviert sind?
In Konstellationen der gemeinsamen Verantwortlichkeit mehrerer Akteure ist jeder Partner verpflichtet eine DSFA zu erstellen. Um dies effektiver zu gestalten, sollte in der Vereinbarung über die gemeinsame Verantwortlichkeit festgelegt werden, welcher der Partner die Erstellung des DSFA-Berichtes federführend übernimmt. Die anderen Partner werden dahingehend zur Unterstützung verpflichtet. Ist der DSFA-Bericht erstellt, kann dieser von allen Partnern genutzt werden.
5. Ergeben sich die Anforderungen an die Datenschutz-Folgenabschätzung ausschließlich aus der DSGVO?
Die Anforderungen an die Erstellung einer DSFA ergeben sich aus der DSGVO. Natürlich müssen aber Spezialgesetze wie z.B. die SGB im Rahmen der Durchführung berücksichtigt werden. Ergeben sich aus diesen z.B. spezielle Anforderungen an die Rechtsgrundlage oder Aufbewahrungspflichten, müssen diese bei der Datenverarbeitung eingehalten und dann auch entsprechend in der DSFA abgebildet werden.