Seit der Einführung der Datenschutzgrundverordnung (DSGVO) 2018 besteht in bestimmten Fällen die Pflicht für Verarbeiter von personenbezogenen Daten gemäß Art. 35 DSGVO eine sogenannte Datenschutzfolgenabschätzung (DSFA) durchzuführen. Sinn und Zweck dieses Hilfsmittels ist das Auffinden von Maßnahmen, die es ermöglichen, ein eventuell hohes Risiko für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung der Daten einzudämmen.

Dies könnte insbesondere für Ärzte oder Startups im Bereich der digitalen Gesundheitsanwendungen relevant sein, da diese oftmals eine Vielzahl sensibler Gesundheitsdaten verarbeiten.

Es stellt sich daher die Frage, wann genau eine DSFA notwendig ist und wie eine solche durchgeführt wird.

Als schlechte Nachricht vorweg: Für jede Nutzung von digitalen Gesundheitsanwendungen durch Ärzte besteht Handlungsbedarf in Bezug auf die Durchführung einer DSFA. Eine pauschale Aussage für die Notwendigkeit lässt sich leider nicht treffen. Wie so oft, kommt es hier auf die genauere Betrachtung des Einzelfalls an.

Eine DSFA ist jedenfalls dann zwingend notwendig, wenn das Risiko für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung der Daten hoch ist. Dafür wird eine sogenannte Vorprüfung („Schwellwertanalyse“) durchgeführt, die die Risiken der Verarbeitungsvorgänge abschätzt.

Ein hohes Risiko ergibt sich zum einen aus dem Zusammenspiel der Schwere des möglichen Schadens und der Eintrittswahrscheinlichkeit eines solchen, sowie aus einer – von der Datenschutzkonferenz veröffentlichten – „MUSS“-Liste. Diese Liste sieht beispielsweise für Ärzte eine zwingende DSFA zumindest im Falle des Einsatzes von Telemedizin-Lösungen zur detaillierten Bearbeitung von Krankheitsdaten vor.

Hierunter dürfte beispielsweise die Nutzung von Plattformen oder Apps der digitalen Medizin fallen, da hier zum einen eine Mehrzahl von Akteuren (z.B. Arzt und Betreiber) gemeinsame Verantwortung übernehmen und dies potenziell das Risiko im Umgang mit den Daten der Patienten erhöht und zum anderen möglicherweise systematisch und in größerem Umfang Gesundheitsdaten des Patienten erhoben und verarbeitet werden (z.B. Telemonitoring der Blutzuckerwerte oder Einbindung von Fragebögen). Damit muss jede ärztliche Nutzung dieser Angebote auf die Notwendigkeit einer DSFA überprüft werden.

Die DSGVO benennt zudem bereits selbst einen Katalog von Faktoren, die mit einiger Wahrscheinlichkeit zu einem hohen Risiko führen können (vgl. Erwägungsgrund 75 EU DSGVO).

Für die anfangs genannten Akteure sind hierbei insbesondere die Verarbeitung von Gesundheitsdaten sowie eine umfangreiche Datenverarbeitung von besonderer Relevanz.

Eine umfangreiche Verarbeitung liegt zwar laut DSGVO beispielsweise noch nicht bei einer Einzelpraxis vor (vgl. Erwägungsgrund 91 EU DGVO), weshalb hier grundsätzlich keine DSFA notwendig ist. Jedoch ändert sich diese Einschätzung zwangsläufig, wenn diese Einzelpraxis – wie oben beschrieben – Telemedizin-Lösungen mit Datenaustausch zum Patienten einsetzt. 

Sollte die Schwellwertanalyse zu dem Ergebnis kommen, dass ein hohes Risiko vorliegt und eine DSFA erforderlich machen, findet sich das weitere Procedere in Art. 35 Abs. 7 DSGVO beschrieben.  Die entsprechenden Verarbeitungsvorgänge sind mitsamt allen Datenflüssen genau zu beschreiben und zu dokumentieren. Hierbei sollte insbesondere auch der Zweck der Verarbeitung hervorgehoben werden.

Im Anschluss erfolgt eine Bewertung der Notwendigkeit der Verarbeitung im Hinblick auf den Zweck, sowie eine Risikobewertung für die Rechte und Freiheiten der betroffenen Personen.

Konkret bedeutet das eine Identifizierung von Risikoquellen (z.B. fehlerhaftes menschliches Handeln, Softwarefehler etc.) und deren Beurteilung hinsichtlich Eintrittswahrscheinlichkeit und Schwere des daraus resultierenden Schadens.

Die hierdurch ermittelten Risiken müssen durch geeignete technische und organisatorische Abhilfemaßnahmen minimiert werden. 

Durchgeführt werden sollte die DSFA durch ein interdisziplinäres Team, das Kompetenzen in den Bereichen Datenschutz, Risikoermittlung und Fachprozessen mitbringt. Ebenfalls ist der Datenschutzbeauftragte ein ständiger Begleiter des gesamten Prozesses.

Sollte der Verarbeitungsvorgang kein hohes Risiko aufweisen, ist eine DSFA freiwillig. Jedenfalls müssen aber auch dann die Gründe für ein Absehen der Prüfung schriftlich festgehalten werden. Dies gilt damit für alle Arztpraxen, die mit Telemedizin-Lösungen arbeiten. Damit ist immer ein Handlungsbedarf gegeben. Das Risiko ist immer abzuwägen und wenn keine DSFA notwendig erscheint, ist zumindest eine schriftliche Begründung festzuhalten.

Da die Nutzung von Telemedizin-Lösungen und digitalen Gesundheitsanwendungen in Arztpraxen ständig zunimmt, werden immer mehr Praxen betroffen sein. Das Risiko ist dabei auch bei jeder hinzukommenden digitalen Lösung neu einzuschätzen, weil es im Ergebnis auf das Gesamtrisiko in der Praxis ankommt.

Die Hersteller und Anbieter von Telemedizin-Lösungen und digitalen Gesundheitsanwendungen sind selbst natürlich in gleicher Weise von den Pflichten zur DSFA betroffen. Außerdem wären diese gut beraten, wenn sie den Ärzten, als Nutzer ihrer Angebote, die notwendigen Hintergründe zur DSFA entsprechend aufbereitet zur Verfügung stellen, so dass der Arzt hier auf einen Standard verweisen kann.

Es soll abschließend hervorgehoben werden, dass eine DSFA kein einmaliger Vorgang ist, sondern vielmehr ein stetiger Prozess sein kann, für den Fall, dass sich z.B. neue Risiken ergeben oder sich die Bewertung bereits erkannter Risiken ändert.

In diesen Fällen ist auch die DSFA zu überprüfen und gegebenenfalls anzupassen.  

Unsere Kanzlei führt Prüfungen und Beratungen zur DSFA für alle Angebote der digitalen Medizin durch. Sprechen Sie uns einfach an.

Geposted in Datenschutz, Digitalisierung abgelegt unter , , , , ,