Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Kategorie: Datenschutz

Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO (Teil 4)

Teil 4: Die Details

6 Vorschlag für die strukturierte Dokumentation einer Datenschutz-Folgenabschätzung (DSFA-Bericht)

6.1  Beschreibung des Verarbeitungsverfahrens

Eine Beschreibung des bzw. der Verarbeitungsverfahren(s) soll insbesondere die folgenden Fragen beantworten:

  1. Wer sind die von der Verarbeitung ihrer Daten betroffenen Personen?
  2. Welchem/Welchen Zweck(en) dient die Verarbeitung? Was soll damit erreicht werden?
  3. Wie erfolgt die Verarbeitung? Wer macht was zu welchem Zeitpunkt mit welchen Daten?
  4. Welche Vorteile erwachsen den betroffenen Personen aus der Verarbeitung? Welche Vorteile ggf. der Gemeinschaft aller, also dem Staat?
  5. Wie erfolgt die Verarbeitung? Welchen Geschäftsprozessen dienen die Daten?
  6. Welche IT-Systeme werden eingesetzt?
  7. Wie werden die Daten wo für welchen Zeitraum gespeichert? Gibt es ein Archivierungskonzept? Gibt es ein Löschkonzept?
  8. Welche Arten von Daten werden verarbeitet?
  9. Wer hat unter welchen Bedingungen zu welchen Zeitpunkten von welchem Ort aus Zugriff auf die Daten?
  10. Wie können die Daten von wem abgefragt werden? Können die Daten mit Daten aus anderen Systemen verknüpft werden?
  11. Werden die Daten in andere Systeme übermittelt?
  12. Handelt es sich um eine Stand-alone-Anwendung? Oder besteht eine Vernetzung mit anderen Systemen? Wenn ja, welche? Wie sieht die Verbindung aus? Welche Standards werden verwendet, welche proprietären Lösungen sind im Einsatz? Wie werden die Daten geschützt, insbesondere vor unbefugten Zugriffen?

6.1.1 Darstellung der Einhaltung der grundlegenden datenschutzrechtlichen Prinzipien

Beschreibung, wie die aus Art. 5 DS-GVO resultierenden grundlegenden Prinzipien eingehalten werden:

  • Rechtmäßigkeit der Verarbeitung: Wie ist die Verarbeitung legitimiert?
  • Transparenz: Werden die Informationspflichten eingehalten? Ist die Verarbeitung nachvollziehbar?
  • Zweckbindung: Erfolgt die Verarbeitung für festgelegte, eindeutige und legitime Zwecke?
  • Datenminimierung: Beschränkt sich die Verarbeitung auf das zur Erreichung der Zwecke notwendige Minimum an Daten? D. h. werden nur die absolut erforderlichen Daten verarbeitet?
  • Verhältnismäßigkeitsprinzip: Ist die Verarbeitung im Verhältnis zur Zweckerreichung angemessen?
  • Richtigkeit: Wie wird gewährleistet, dass die Daten richtig sind? Wie wird sichergestellt, dass die Daten auf dem neuesten Stand bleiben, wenn dies zur Erreichung der Zwecke erforderlich ist?
  • Speicherbegrenzung: Werden die Daten (vorbehaltlich gesetzlicher Aufbewahrungspflichten) nur solange gespeichert, bis die Zwecke erreicht sind?
  • Integrität und Vertraulichkeit: Welche Maßnahmen werden getroffen, um die Daten zu schützen?

6.2  Welche Daten werden verarbeitet?

6.2.1    Welche Datenarten werden verarbeitet?

Die Datenarten müssen hinreichend genau beschrieben werden, damit die Notwendigkeit der Verarbeitung zur Erreichung des Zweckes auch dargestellt werden kann.

6.2.2    Wo werden die Daten erhoben?

1. Direkt bei der betroffenen Person

  1. Persönliches Treffen
  2. Telefongespräch
  3. E-Mail
  4. Fax
  5. Online per Internet-Webseite
  6. Andere (spezifizieren)

2. Indirekt bei der betroffenen Person

  1. Ergebnisse aus diagnostischen Maßnahmen (z. B. Daten aus Laboruntersuchungen oder Funktionstests)
  2. Ergebnisse aus der bildgebenden Diagnostik (z. B. Daten aus Labor- oder radiologischen Untersuchungen)
  3. Ergebnisse aus Operationen (z. B. Sekundärbefund bei Laparoskopie)
  4. Ergebnisse aus nicht operativen therapeutischen Maßnahmen (z. B. Allergische Reaktion)
  5. Andere (spezifizieren)

3. Bevollmächtigte / Vertreter / Sonstige Personen

  1. Ehepartner, Eltern und andere Verwandte, Freunde
  2. Gerichtlich bestellte Betreuer
  3. Mit-/nachbehandelnde Seelsorger
  4. Mit-/nachbehandelnde Sozialdienst
  5. Mitpatienten
  6. Vor-, Mit- und Nachbehandler
  7. Pflegeheim, Altenheim
  8. Krankenkassen, gesetzliche Unfallversicherungen
  9. Andere (spezifizieren)

4. Staatliche Quellen

  1. Meldeauskunft
  2. Polizeiliches Führungszeugnis
  3. Krankheitsregister, z. B: Krebsregister
  4. Andere (spezifizieren)

5. Öffentlich verfügbare Quellen

  1. Frei zugängliche Internetseiten
  2. Social Media
  3. Andere (spezifizieren)

6. Nicht-öffentlich verfügbare Quellen

  1. Vereine
  2. Kommerzielle Datenhändler
  3. Andere (spezifizieren), z. B. Krankenkassen

6.2.3    Darstellung der potenziellen Risiken

An dieser Stelle werden die potenziellen Risiken/Gefährdungen dargestellt, die sich aus der Art der verwendeten Daten wie auch aus der Erhebung ergeben. Die Darstellung kann z. B. mit einer Risiko-Identifikationsmatrix erfolgen, in welcher Risikoursachen und Risikoauswirkungen in einer Übersichtsdarstellung mit Scorewerten (z.B. 0 = niedrig bis 10 = höchstmöglich) dargestellt werden. (Beispiel siehe Abbildung 3)

6.3  Zwecke und Mittel der Verarbeitung

6.3.1    Begründung, warum die Informationen verarbeitet werden müssen

1. Zweck: Der Zweck muss hinreichend genau angegeben werden, damit die Notwendigkeit der Verarbeitung der Datenarten dargestellt werden kann. Wird der Zweck zu allgemein dargestellt, ist die Notwendigkeit ggf. nicht begründbar, da das allgemeinere Ziel der Verarbeitung auch ohne bestimmte Daten erreicht werden kann.

2. Begründung

  1. Gesetzliche Vorgaben
  2. Vertragliche Verpflichtungen
  3. Andere (spezifizieren)

6.3.2    Darstellung der Notwendigkeit und der Verhältnismäßigkeit der Verarbeitung

An dieser Stelle ist zu beschreiben, warum die in Abschnitt 6.2.1 beschriebenen Daten sowie die Erhebungsmethoden für die dargestellten Zwecke notwendig sind. Hierzu gehört auch eine Darstellung, aus welcher ersichtlich wird, dass die Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck gewahrt wird.

6.3.3    Darstellung der Erlaubnistatbestände

Die Darstellung der Rechtmäßigkeit der Verarbeitung erfordert die Darlegung des Grundes, warum die Daten verarbeitet werden dürfen.

6.3.4    Darstellung der Speicherdauer der personenbezogenen Daten

  • Wie lange werden die Daten aus welchen Gründen wo unter welchen Umständen gespeichert?
  • Wer hat während der Speicherdauer aus welchen Gründen unter welchen Bedingungen Zugriff auf die Daten?
  • Wie ist die Löschung der Daten gewährleistet?

6.3.5    Darstellung der potenziellen Risiken

An dieser Stelle werden die potenziellen Risiken/Gefährdungen dargestellt, die sich aus der Art der Verarbeitung, insbesondere auch der Speicherung der Daten, ergeben.

6.4  Weitergabe der Daten

Unter Maßgabe des Vorliegens einer rechtlichen Befugnis, Daten weiter geben zu dürfen (siehe beispielhaft bzgl. Erlaubnistatbeständen Anhang 1.3) erfolgt nachfolgende Darstellung.

6.4.1    Mit wem werden die Daten geteilt?

Empfaenger personenbezogener Daten

6.4.2    Darstellung der potenziellen Risiken

An dieser Stelle werden die potenziellen Risiken/Gefährdungen dargestellt, die sich aus der Weitergabe bzw. der Art der Übermittlung der Daten ergeben, sowie die Maßnahmen, welche die dargestellten Risiken entweder beseitigen oder derart minimieren, sodass das Risiko aus Sicht der betroffenen Person tragbar ist.

6.5  Wahrung der Betroffenenrechte

Wie werden die aus der DS-GVO resultierenden Betroffenenrechte gewahrt? An dieser Stelle muss eingetragen werden, wie in der jeweiligen Verarbeitung der Betroffene seine Rechte wahrnehmen kann, desgleichen, inwieweit diese auf Grund welcher Rechtsgrundlage eingeschränkt werden. Zu jedem Bereich wird ein kurzes Beispiel zur Veranschaulichung eingefügt.

6.5.1    Information des Betroffenen

Beispiel einer Formulierung:

„Bei Aufnahme erhält jeder Patient eine Information, in welcher die notwendigen Angaben entsprechend Art. 13 resp. Art. 14 DS-GVO enthalten sind.

In diesem Informationsschreiben werden auch die Empfänger inkl. der Auftragsverarbeiter genannt.

Sofern die Weitergabe von Daten nicht alle Patienten betrifft wie z. B. die Weitergabe von Daten an ein Krebsregister, wird der betroffene Patient über diese Weitergabe individuell informiert. Hierzu werden ggf. Formulare der datenempfangenden Stelle genutzt. Die Informationen werden dabei stets in einer klaren und einfachen Sprache vermittelt, wie es Art. 12 DS-GVO fordert.“

6.5.2    Auskunftsrecht

Beispiel einer Formulierung:

„Jeder Patient hat das Recht auf Auskunft bzgl. der bei uns gespeicherten Daten. Dies wird ihm im Rahmen der unter Abschnitt 6.5.1 genannten Information mitgeteilt. In dieser Information wird hierzu sowohl eine Telefonnummer als auch eine spezielle nicht-personalisierte E-Mailadresse, die somit auch bei einem Wechsel des zuständigen Sachbearbeiters erhalten bleibt, genannt.“

6.5.3    Widerspruchsrecht

Beispiel einer Formulierung:

„Jeder Patient wird auf sein Recht zum Widerspruch gegen eine Datenverarbeitung hingewiesen (Information gemäß Abschnitt 6.5.1). Zugleich wird der Patient darauf hingewiesen, dass ein Widerspruchsrecht ggf. durch gesetzliche Regelungen eingeschränkt wird, z. B. eine Speicherung aufgrund gesetzlicher Bestimmungen trotz seines Widerspruchs erfolgen muss.“

6.5.4    Recht auf Berichtigung und Vervollständigung

Beispiel einer Formulierung:

„Jeder Patient wird darauf hingewiesen, dass ein Recht auf die Berichtigung fehlerhaft gespeicherter Daten besteht. Zugleich wird jeder Patient darauf hingewiesen, dass ggf. auch ein Recht auf die Vervollständigung unvollständiger personenbezogener Daten (u. U. auch mittels einer ergänzenden Erklärung) besteht. Beides erfolgt durch die o. g. Information.“

6.5.5    Recht auf Löschen („Vergessenwerden“)

Durch die in Abschnitt 6.5.1 beschriebene Information wird jeder Patient darauf hingewiesen, dass er ein Recht auf Löschung seiner Daten hat. Zugleich wird er darauf hingewiesen, dass dieses Recht ggf. durch gesetzliche Bestimmungen, z. B. durch die Vorgabe gesetzlicher Aufbewahrungsfristen, eingeschränkt wird.

6.5.6    Recht auf Einschränkung der Verarbeitung („Sperrung“)

Durch die in Abschnitt 6.5.1 beschriebene Information wird jeder Patient darauf hingewiesen, dass er ein Recht eine Einschränkung der Verarbeitung seiner Daten hat. Zugleich wird er darauf hingewiesen, dass dieses Recht ggf. durch gesetzliche Bestimmungen, z. B. durch die Vorgabe gesetzlicher Verarbeitungszwecke wie beispielsweise der Verarbeitung im Rahmen der gesetzlichen Qualitätssicherung entsprechend § 137a SGB V, eingeschränkt wird.

6.5.7    Recht auf Datenübertragbarkeit

Beispiel: Jeder Patient wird in dem in Abschnitt 6.5.1 genannten Information darauf hingewiesen, dass Daten, die auf Grundlage seiner Einwilligung in die Datenverarbeitung verarbeitet werden, ihm auf Wunsch in einem strukturierten, gängigen und maschinenlesbaren Format entsprechend den Vorgaben von Art. 20 DS-GVO zur Verfügung gestellt werden. In dieser Information wird auch darauf hingewiesen, dass weiterhin ebenfalls das Recht besteht, diese Daten einem anderen Verantwortlichen auf Wunsch des Patienten in einem strukturierten, gängigen und maschinenlesbaren Format zu übermitteln. Es wird dabei aber auch darauf hingewiesen, dass kein Empfänger dieser Daten gesetzlich dazu verpflichtet ist, diese Daten überhaupt oder auch in dem von uns bereitgestellten Format anzunehmen.

6.5.8    Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall

Beispiel: Jeder Patient wird in den in Abschnitt 6.5.1 genannten Information darauf hingewiesen, dass das Recht auf Widerspruch hinsichtlich einer Verarbeitung, welche die aufgrund von Art. 6 Abs. 1 Buchstaben e (erforderlich für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt) oder f (erforderlich zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten), seiner oder ihrer Daten besteht. Auch wird dabei auf die Möglichkeit des Widerspruchs einer Verarbeitung der die Patientin bzw. den Patienten betreffenden Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken hingewiesen. Weiterhin wird in den in Abschnitt 6.5.1 genannten Informationen darauf hingewiesen, dass automatisierte einzelfallbezogene Entscheidungen oder Profiling nicht durchgeführt werden.

6.6  Risikoanalyse

An dieser Stelle muss die für die jeweilige DSFA erforderliche konkrete Risikoanalyse an Hand der Umstände des jeweiligen Einzelfalles vorgenommen und dokumentiert werden.

6.7  Gewährleistung der Sicherheit der Daten

Hier erfolgt eine Darstellung, wie die Daten durch konkrete Maßnahmen im jeweiligen Fall geschützt werden. Möglichkeiten hierzu können z. B. sein

1. Auditierung und Zertifizierung des Verfahrens nach Norm …

2. Angemessene Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff wurden getroffen. Dies sind

3. Es erfolgt ein kontinuierliches Monitoring von

4. Vertragspartner, die Zugriff auf die Daten haben, wurden vertraglich zur Einhaltung der nachfolgenden technischen und organisatorischen Maßnahmen verpflichtet:

5. Personen mit Zugriff auf die Daten werden speziell geschult. Zur Schulung gehört/gehören

  1. IT-Sicherheit
  2. Datenschutz

Die Schulung der Personen wird [Zeitraum] wiederholt.

6. …

6.7.1    Darstellung der Erbringung der Anforderungen aus Art. 32 DS-GVO „Sicherheit der Verarbeitung“

6.7.1.1    Pseudonymisierung personenbezogener Daten

In diesem Kapitel muss dargestellt werden, wie mit der Anforderung zur Pseudonymisierung umgegangen wird. Erfolgt eine Pseudonymisierung? Wenn ja, muss hier das „Wie“ beschrieben werden. Wenn nicht, muss hier die Begründung zu finden sein, warum darauf verzichtet wird.

Beispiel: Standardmäßig ist eine Pseudonymisierung im KIS nicht möglich, ohne hierbei zugleich eine Gefährdung der Gesundheit von Patienten zu riskieren. Durch das Rollen- und Berechtigungskonzept ist gewährleistet, dass auf Patientendaten nur Berechtigte Zugriff haben. Bedingt durch die Notwendigkeit, sich bei der medizinischen Behandlung eines Patienten untereinander zu besprechen, müssen die Patientendaten in identifizierender Form vorliegen.

In wenigen Fällen besonderer Personengruppen, z. B. Personen des öffentlichen Lebens („Very Important Person, VIP“) oder Angestellten unseres Krankenhauses selbst, kann eine Pseudonymisierung trotz der damit verbundenen Risiken, die dies für die jeweilige Person bedeutet, sinnvoll sein. Ob dann eine Pseudonymisierung erfolgt und die damit verbundenen gesundheitlichen Risiken in Kauf genommen werden, entscheidet die betroffene Person selbst nach entsprechender Aufklärung.

Für die Testdatenbank, welche für Schulungszwecke eingesetzt wird, wird ein Anonymisierungstool verwendet, welches u. a. die nachfolgen Funktionen hat:

  • Anonymisierung von Personendaten wie Vorname, Name, Geburtsdatum etc.
  • Anonymisierung von Adressdaten wie Straße, Hausnummer, Postleitzahl, Ort etc.
  • Generierung neuer Patientenidentifikatoren (PIDs)
  • Generierung neuer Fallnummern
  • Umbenennung bzw. Sperrung von Applikationsbenutzern
  • Anonymisierung oder Umbenennung von Organisationseinheiten
  • Löschen von Schnittstellen- und Auditdaten

6.7.1.2    Verschlüsselung personenbezogener Daten

In diesem Abschnitt muss dargestellt werden, wie mit der Anforderung zur Verschlüsselung personenbezogener Daten umgegangen wird. Erfolgt eine Verschlüsselung? Wenn ja, muss hier beschrieben werden, wie die Verschlüsselung erfolgt. Dazu gehören insbesondere nachfolgend dargestellten Punkte:

  • Die verwendeten Algorithmen
  • Die Sicherheit des Verschlüsselungsprozesses, z. B.
  • Die Darlegung, dass die Erzeugung des Schlüssels bzw. Schlüsselmaterials ein sicherer Prozess ist
  • Der Nachweis, dass der Erzeugung des Schlüssels bzw. Schlüsselmaterials eine qualitativ hochwertige Zufallszahlenquelle zugrunde liegt
  • Die Darstellung, dass der Salt und/oder der Schlüssel bzw. das Schlüsselmaterial derart erzeugt werden, dass diese weder vorhersagbar sind noch erraten werden können
  • Der Nachweis, dass die Vertraulichkeit des Schlüssels bzw. des Schlüsselmaterials während des vollständigen Lebenszyklus der verarbeiteten personenbezogenen Daten gewährleistet ist
  • Eine Schilderung des Schlüsselmanagements, insbesondere mit einer Darstellung des Umgangs hinsichtlich eines Schlüsseltausches, der Feststellung von Vorgehensweisen bei Kompromittierung
  • Eine Beschreibung, in welchen Stadien der Verarbeitung (Erhebung, Speicherung, Übermittlung, …) eine Verschlüsselung eingesetzt wird.
  • Eine Schilderung in welchen Systemen (Betriebssystem, Datenbank, Speichermedium, …), bei welchen Anwendungen und bei Nutzung welcher Protokolle/Dienste (z.B. Übertragungsprotokoll) eine Verschlüsselung erfolgt. Werden die Daten nicht verschlüsselt, so muss hier die Begründung zu finden sein, warum dies nicht geschieht.

Beispiel:

  • Bei elektronischer Übertragung von Patientendaten an externe Empfänger erfolgt regelmäßig eine Verschlüsselung. Im Rahmen von gesetzlich vorgeschriebenen Übermittlungen sind die rechtlichen Vorgaben bindend.
  • Bei einem elektronischen Export (z. B. als pdf-Datei) von Patientendaten entscheidet der jeweilige Anwender, ob eine Verschlüsselung erfolgen soll oder nicht, grundsätzlich wird die Verschlüsselung hierbei empfohlen.
  • Verbindliche Vorgaben der betroffenen Person werden beachtet.
  • der Verschlüsselungstechnik können nur die Möglichkeiten unseres KIS-Herstellers genutzt werden, der sich an den Vorgaben des BSI orientiert

6.7.1.3    Beschreibung des Verfahrens zur Gewährleistung der Verfügbarkeit der personenbezogenen Daten

In diesem Kapitel wird beschrieben, wie die Verfügbarkeit der Daten gewährleistet wird.

Beispiel: Näheres siehe Archivierungs- und Backupkonzept, hier erfolgt nur eine kurze Beschreibung zur Darstellung der getroffenen Maßnahmen.

  • Einsatz eines Spiegelservers:

Alle Daten werden auf einen anderen Server „gespiegelt“, d. h. es wird also ein 1:1-Abbild erstellt. Der Spiegelserver steht dabei in einem anderen Brandabschnitt als der eigentliche Server. Die Synchronisierung erfolgt asynchron, daher ist das „Spiegelbild“ nicht immer aktuell. Vielmehr erfolgt die Spiegelung stündlich.

Bei einem Zwischenfall erfolgt hierdurch einerseits nur ein möglichst geringer Datenverlust, andererseits wird der Produktivverlust begrenzt, da seitens der Anwender die Ausfallzeit minimiert wird.

  • Backup:

Ein Sicherungs-System wird zentral bereitgestellt. Dabei erfolgt eine Datensicherung nach dem „Generationenprinzip“. D. h. es wird gewährleistet, dass immer mehrere Sicherungen in verschiedenen zeitlichen Abstufungen („Großvater“, „Vater“ und „Sohn“, daher Generationenprinzip) vorhanden sind, um verschiedene Versionen für eine mögliche Wiederherstellung zur Verfügung zu haben. Die Tagessicherung entspricht dabei dem „Sohn“, die Wochensicherung dem „Vater“ und die Monatssicherung dem „Großvater“.

Die Langzeitsicherung erfolgt grundsätzlich auf entsprechenden Bändern oder einem vergleichbaren Sicherungsmedium. Die Lagerung der Bandsicherungen erfolgt in einem anderen Brandabschnitt als dem Standort der Server.

Eine „Rücksicherung wird probehalber quartalsweise für einzelne Datensätze, 1xjährlich für die gesamte Datenbank in einem Testsystem durchgeführt.

6.7.1.4    Beschreibung des Verfahrens zur Gewährleistung, den Zugang zu personenbezogenen Daten bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen

In diesem Kapitel wird beschrieben, wie der Zugang zu personenbezogenen Daten nach einem physischen oder technischen Zwischenfall rasch wiederhergestellt wird.

Beispiel: Dies wird durch den Einsatz des Spiegelservers wie auch des Backup-Konzepts gewährleistet

6.7.1.5    Beschreibung des Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit von technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

In diesem Abschnitt wird das Verfahren dargestellt, welches zur Überprüfung, Bewertung und

Evaluierung der Wirksamkeit der einzusetzenden technischen und organisatorischen Maßnahmen zur

Gewährleistung der Sicherheit der Verarbeitung genutzt wird.

Beispiel: Interne Prüfungen der Einhaltung der vorliegend definierten Standards können zu jeder Zeit, auch unangekündigt, durch den Datenschutzbeauftragten bzw. IT-Sicherheitsbeauftragten durchgeführt werden. Grundsätzlich erfolgen interne Prüfungen regelmäßig. Die Ergebnisse einer entsprechenden Prüfung werden dem zuständigen IT Verantwortlichen und dem zuständigen Geschäftsführer in Berichtform übersendet. Zur Ergänzung interner Prüfaktivitäten können auch externe Prüfungen durch den Verantwortlichen veranlasst werden. Die Vorgehensweise bei externen Prüfungen ist vergleichbar mit dem Vorgehen bei internen Prüfungen.

6.8 Darstellung der Auswirkungen der Sicherheitsmaßnahmen auf die Risiken, Restrisikobewertung

Darstellung, welche Maßnahmen welche Risiken adressieren und ob die dargestellten Risiken beseitigt oder derart minimiert wurden, dass das Risiko aus Sicht der betroffenen Person tragbar ist.

Beispiel: Grundsätzlich stellt jede Verarbeitung von personenbezogenen Daten für die betroffenen Personen ein Risiko bzgl. des Missbrauchs ihrer Daten dar. Bedingt durch die Sensibilität sowohl von Gesundheitsdaten als auch von genetischen Daten, die bei der Patientenbehandlung zwangsläufig verarbeitet werden müssen, ist auch das Risiko für die betroffenen Personen entsprechend hoch.

Daher wurden Maßnahmen getroffen, die das Risiko für betroffene Personen minimieren:

  • Ein Berechtigungskonzept beschränkt den berechtigten Zugriff auf die Personen, die entsprechend dem „Need-to-know“-Prinzip Zugriff auf die Daten benötigen
  • Pseudonymisierung wird dort eingesetzt, wo es möglich ist.
  • Wann immer es angebracht ist, werden Daten verschlüsselt. Eine elektronische Übermittlung erfolgt nur verschlüsselt.
  • Sicherheitskonzepte wie der Einsatz eines Spiegelungsservers als auch ein differenziertes Backupkonzept gewährleisten eine Minimierung von Ausfallzeiten und die Wiederherstellbarkeit der Daten.
  • Eine Firewall bewacht den Datenverkehr nach extern.
  • Ein Intrusion Detection System überwacht den internen Netzbereich auf unerwünschte Vorgänge.
  • Regelmäßige Schulungen unserer Beschäftigten zu Fragen bzgl. Datenschutz und IT-Sicherheit gewährleisten eine entsprechende Awareness bei dem bei uns eingesetzten Personal.

6.9  Fazit

6.9.1    Zusammenfassung

Hier sollte eine kurze Zusammenfassung erfolgen.

6.9.2    Bewertung

6.9.3 Entscheidung bzgl. Information Aufsichtsbehörde

Die Einbeziehung der Aufsichtsbehörde

  • ist notwendig, weil …
  • ist nicht notwendig, weil …

6.9.4    Nächster Prüfungstermin

(Datum oder auslösendes Ereignis)

Bundesverband Gesundheits-IT e. V.; Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V.; Arbeitskreis „Datenschutz und IT-Sicherheit im Gesundheitswesen“; Deutsche Krankenhausgesellschaft e. V.

Creative Commons, https://creativecommons.org/licenses/by-sa/4.0/deed.de; CC BY-SA 4.0

Abgerufen am 17.09.2019 von https://www.gesundheitsdatenschutz.org/download/dsfa_2019-09-17.pdf

Kategorie: Datenschutz

Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO (Teil 5)

Teil 5: Checkliste und Anhänge

7 Checkliste

1 .Wurde der Datenschutzbeauftragte einbezogen?

2. Ist eine Datenschutz-Folgenabschätzung erforderlich?

Indizien, die für die Erforderlichkeit einer DSFA sprechen, sind insbesondere:

  • Einsatz neuer Technologien, zu denen der Verantwortliche noch keine DSFA durchführte
  • Neue Verarbeitungsvorgänge, zu denen der Verantwortliche noch keine DSFA durchführte
  • Verarbeitung großer Datenmengen
  • Verarbeitung der Daten einer hohen Anzahl von Personen
  • Verarbeitung von Daten der besonderen Kategorien entsprechend Art. 9 DS-GVO
  • Profiling/Scoring
  • Erschwerte Rechtsausübung für die betroffenen Personen
  • Systematische Verarbeitungen
  • Öffentliche Überwachung

 Eine DSFA ist nicht erforderlich, weil

3. Werden bei der Durchführung der DSFA alle relevanten Gesichtspunkte berücksichtigt? Bei der Durchführung der DSFA sollten insbesondere die folgenden Punkte berücksichtigt werden:

  • Vorgaben der Aufsichtsbehörden insbesondere des Europäischen Datenschutz-Ausschusses
  • Ähnliche Verarbeitungsvorgänge, für welche bereits eine DSFA existiert oder die bei der aktuellen durchzuführenden DSFA mit berücksichtigt werden sollten
  • Rechtsgrundlage(n) bzgl. Verarbeitung
  • Berücksichtigung wirtschaftlicher/ökonomischer Gesichtspunkte

4. Entspricht die DSFA formal den Anforderungen der DS-GVO? Die DSFA sollte mindestens beinhalten:

  • Systematische Beschreibung der Verarbeitungsvorgänge
  • Systematische Beschreibung der Verarbeitungszwecke (ggf. einschließlich berechtigter Interessen)
  • Prüfung der Notwendigkeit und Verhältnismäßigkeit
  • Prüfung der Folgen bei einer Weitergabe an Dritte
  • Wahrung/Einschränkung Betroffenenrechte
  • Bewertung der Risiken
  • Einbeziehung betroffener Personen bzw. Personengruppen/Vertreter
  • Darstellung der Abhilfemaßnahmen/Maßnahmen zur Risikominimierung
  • Abschließende Bewertung
  • Entscheidung bzgl. Information/Einbeziehung der Aufsichtsbehörde

5. Ist die DSFA hinreichend dokumentiert, dass Externe sowohl die relevanten Risikofaktoren als auch die Entscheidung prüfen können?

Anhang 1 Umsetzungsbeispiele

Hier finden sich Hinweise zur konkreten Ausgestaltung der Dokumentation der DSFA.

Hinsichtlich nachfolgend aufgeführter Beispiele ist zu beachten, dass je nach Verarbeitung ggf. eine Mehrfachnennung notwendig ist, z. B. weil eine Verarbeitung zugleich mehrere Zwecke bedient oder mehrere Datenarten benötigt. 

Anhang 1.1: Beispiele für die Darstellung der Datenarten

(Hinsichtlich weitergehender Ausführungen siehe Kapitel 3.1)

1. Identifizierende Daten

a. Sozialversicherungsnummer
b. Personalausweisnummer
c. Reisepassnummer
d. Führerschein-ID
e. Kreditkartennummer
f. Krankenversicherungsnummer
g. Patient-ID aus Informationssystem (ggf. benennen aus welchem)
h. Andere (spezifizieren)

2. Stammdaten

a. Name/Vorname
b. Geburtsname
c. Geburtsdatum
d. Geburtsort
e. Geschlecht
f. Alter
g. Religionszugehörigkeit
h. Anschrift
i. Kontaktdaten (Telefon, Fax, E-Mail, …)
j. Ethnische Zugehörigkeit
k. Ausbildung
l. Titel
m. Krankenkasse
n. Andere (spezifizieren)

3. Beschäftigtendaten

a. Gelernte(r) Beruf(e)
b. Ausgeübter Beruf
c. Job-Beschreibung
d. Dienstliche Anschrift
e. Dienstliche Kontaktdaten (Telefon, Fax, E-Mail, …)
f. Gehalt/Vergütung
g. Bisheriges Arbeitsleben (bisherige Arbeit- bzw. Auftraggeber, …)
h. Zugehörigkeit zu Berufsverbänden oder anderen Organisationen
i. Andere (spezifizieren)

4. Biometrische Daten

a. Fingerprint
b. Handflächen-Scan
c. Stimmerkennung
d. Fotos (Gesicht)
e. Besondere Kennzeichen (Narben, Tätowierungen, …)
f. Gefäß-Scan
g. Retina/Iris-Scan
h. DNA-Profil
i. Andere (spezifizieren)

5. Administrative Daten

a. User-ID
b. IP-Adresse
c. Datum/Uhrzeit von Zugriffen (An-/Abmelden vom System, Zugriff auf bestimmte Daten)

6. Gesundheitsdaten

a. Physiologische Auffälligkeiten
b. Allgemeine Gesundheitsdaten (z. B. von Fitness-Trackern)
c. Klinische Informationen

7. Andere Informationen

a. Spezifizieren

Anhang 1.2: Beispiele für Verarbeitungszwecke

1. Administrative Zwecke
2. Aus- und Weiterbildung

a. Studierende in der Gesundheitsversorgung
b. Auszubildende in der Gesundheitsversorgung
c. Ärztliches Personal
d. Nicht-ärztliches medizinisches Personal
e. Administratives Personal

3. Gesundheitsversorgung

a. Ambulante Versorgung
b. Klinische Versorgung
c. Notfallversorgung
d. Öffentliches Gesundheitsmanagement
e. Überwachung der öffentlichen Gesundheit, Krankheitsbekämpfung

4. Nutzung durch die behandelte Person

a. Selbstversorgung und Pflege der eigenen Gesundheit
b. Wellness-Management und Lebensstilplanung
c. Häusliche Pflege
d. Information von Familie und/oder interessierten Dritten über die Krankengeschichte (Z. B. Einholung einer Zweitmeinung)
e. Übergabe der Gesundheitsversorgung an einen anderen Erbringer (z. B. zum Zwecke der Nach- oder Weiterbehandlung)
f. Für Anforderungen aus Anstellungsverfahren (z. B. Einstellungsuntersuchungen, Impfstatus)
g. Für Anforderungen aus Einwanderungsverfahren
h. Für Anforderungen aus Reisen in andere Länder (z. B. Impfnachweis)

5. Forschung

a. Durchführung von klinischen Versuchen, für die eine Zustimmung erforderlich ist
b. Durchführung von populationsbasierten Forschungen,
c. Durchführung von Rekrutierungsmaßnahmen für klinische Versuche oder sonstige Forschungsstudien

6. Qualitätssicherung von Gesundheitsdienstleistungen

a. Interne Qualitätssicherung
b. Externe Qualitätssicherung

7. Juristische Zwecke

a. Gefahrenabwehr
b. Rechtstreit
c. Strafverfolgung
d. Zivilrechtliche Zwecke

8. Eigene Zwecke

a. Abrechnung erbrachter Gesundheitsdienstleistungen
b. Marktstudien
c. Personalmanagement
d. Werbung

9. Ggf. andere

a. …

Anhang 1.3: Erlaubnistatbestände

(Hinsichtlich weitergehender Ausführungen zur Rechtmäßigkeit einer Datenverarbeitung siehe Kapitel 3.2.1)

In der DS-GVO existieren unterschiedliche Erlaubnistatbestände, die teilweise nebeneinander zu betrachten sind.

Art. 6 DS-GVO regelt die „Rechtmäßigkeit der Verarbeitung“ im Allgemeinen sofern „normale“ Daten verarbeitet werden, z. B. Mitarbeiterdaten im Rahmen eines Berechtigungskonzeptes bzw. dessen Umsetzung in einem Informationssystem. Art. 9 DS-GVO regelt die „Verarbeitung besonderer Kategorien personenbezogener Daten“ im Speziellen und trägt damit der besonderen Sensibilität dieser Daten Rechnung. Letzteres wird insbesondere an erhöhten Rechtmäßigkeitsvoraussetzungen deutlich.

Im Folgenden werden in einer exemplarischen Übersicht die Regelungen nebst Beispielen dargestellt, welche Verarbeitung unter welchen Tatbestand zu subsumieren ist.

1. Einwilligung der betroffenen Person

(Art. 6 Abs. 1 lit. a bzw. Art. 9 Abs. 2 lit. a DS-GVO)

2. Gesetzlicher Erlaubnistatbestand

a. Daten, auf die Art. 6 DS-GVO zutrifft

i. Zur Vertragserfüllung notwendig (Art. 6 Abs. 1 lit. b DS-GVO)


ii. Zur Erfüllung einer rechtlichen Verpflichtung, welcher der Verantwortliche unterliegt, erforderlich

(Art. 6 Abs. 1 Lit. c DS-GVO)

iii. Erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen

(Art. 6 Abs. 1 lit. d DS-GVO)

iv. Verarbeitung liegt im öffentlichen Interesse oder erfolgt in Ausübung öffentlicher Gewalt

(Art. 6 Abs. 1 lit. e DS-GVO)

v. Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen nicht

(Art. 6 Abs. 1 lit. f DS-GVO)

b. Besondere Kategorien von personenbezogenen Daten

i. Patientenbehandlung

(Art. 9 Abs. 2 lit. h i. V. m. Art. 9 Abs. 3 DS-GVO i. V. m. § 630a ff. BGB)

Zu beachten: Art. 9 Abs. 2 lit. h DS-GVO bedingt u. a., dass die Verarbeitung auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs erfolgt

ii. Weitergabe von Daten an Mit-/Nachbehandler (Art. 9 Abs. 2 lit. h i. V. m. Art. 9 Abs. 3 DS-GVO)

Zu beachten: Art. 9 Abs. 2 lit. h DS-GVO bedingt u. a., dass die Verarbeitung auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs beruht

iii. Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben (Art. 9 Abs. 2 lit. c DS-GVO)
iv. Abrechnung von Leistungen

(Art. 9 Abs. 2 lit. f, h DS-GVO i. V. m. z. B. § 301 SGB V)

v. Qualitätssicherung der Patientenversorgung

(Art. 9 Abs. 2 lit. i DS-GVO i. V. m. § 299 SGB V i. V. m. § 136 SGB V bzw. den Richtlinien des G-BA)

Zu beachten: Art. 9 Abs. 2 lit. i DS-GVO bedingt u. a., dass die Verarbeitung auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats beruht

vi. Gesetzlich geregelte Krankheitsregister (Art. 9. Abs. 2 lit. h, i DS-GVO)

Zu beachten: Art. 9 Abs. 2 lit. h DS-GVO bedingt u. a., dass die Verarbeitung auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs beruht

vii. Gesundheitsstatistik des Bundes und der Länder (Art. 9 Abs. 2 lit. j i. V. m. Art. 89 Abs. 1 DS-GVO)

Zu beachten: Art. 9 Abs. 2 lit. j DS-GVO bedingt u. a., dass die Verarbeitung auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats beruhtArbeitsmedizinische Untersuchung

(Art. 9 Abs. 2 lit. b, h i. V. m. Art. 9. Abs. 3 DS-GVO) Zu beachten:

− Art. 9 Abs. 2 lit. b DS-GVO bedingt u. a., dass die Verarbeitung auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten beruht

− Art. 9 Abs. 2 lit. h DS-GVO bedingt u. a., dass die Verarbeitung auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs beruht

ix. Untersuchung durch Gesundheitsamt

(Art. 9. Abs. 2 lit. i DS-GVO i. V. m. z. B. § § 6, 8 IfSG)

Zu beachten: Art. 9 Abs. 2 lit. i DS-GVO bedingt u. a., dass die Verarbeitung auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats beruht

x. Impfungen in Schule usw. durch Ämter (Art. 9. Abs. 2 lit. i DS-GVO)

Zu beachten: Art. 9 Abs. 2 lit. i DS-GVO bedingt u. a., dass die Verarbeitung auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats beruht

xi. Verteidigung der behandelnden Person vor Gericht (Art. 9 Abs. 2. lit. f DS-GVO)

xii. Wissenschaftliche u. historische Forschung

(Art. 9 Abs. 2 lit. j i. V. m. Art. 89 Abs. 1 DS-GVO i. V. m. Regelungen in deutschen Gesetzen wie bspw. Landeskrankenhausgesetzen, Arzneimittelgesetz Medizinproduktegesetz usw.)

Zu beachten: Art. 9 Abs. 2 lit. j DS-GVO bedingt u. a., dass die Verarbeitung auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats beruht

xiii. Gesetzlich vorgeschriebene Archivierung zu historischen Zwecken (Art. 9 Abs. 2 lit. j i. V. m. Art. 89 Abs. 1 DS-GVO)

Zu beachten: Art. 9 Abs. 2 lit. j DS-GVO bedingt u. a., dass die Verarbeitung auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats beruht

xiv. Verarbeitung von seitens der betroffenen Person öffentlich zugänglich gemachten Daten

(Art. 9 Abs. 2 lit. e DS-GVO)

Das in Art. 9 Abs. 2 lit. h, i, j DS-GVO angesprochene „Recht eines Mitgliedstaats“ kann in Deutschland durch die Spezialgesetzgebungen z. B. aus den Sozialgesetzbüchern, dem Arzneimittel-oder Medizinproduktegesetz gegeben sein, wenn diese Gesetze den Anforderungen der DS-GVO genügen. Gleiches gilt für landesrechtliche Regelungen, wie sie z. B. in den Landeskrankenhausgesetzen zu finden sind. Auch diese können – sofern die Regelungen den Anforderungen der DS-GVO genügen – Erlaubnistatbestände i.S.d. Art. 9 Abs. 4 DS-GVO darstellen.

Anhang 1.4: Beispiele für Risiken und Ursachen aus der DS-GVO

(Hinsichtlich weitergehender Ausführungen zum Begriff des Risikos siehe Kapitel 3.2.3)

ErwGr. 75 führt beispielhaft einige Risiken auf, die bei einer Datenschutz-Folgenabschätzung berücksichtigt werden sollten:

ErwGr. 83 benennt ebenfalls verschiedene Risiken, die berücksichtigt werden sollen:

− Vernichtung personenbezogener Daten

− Verlust personenbezogener Daten

− Veränderung personenbezogener Daten

− Unbefugte Offenlegung personenbezogener Daten

− Unbefugter Zugang zu personenbezogenen Daten

Dabei ist es unerheblich, ob die Risiken durch eine beabsichtigte, unbeabsichtigte oder auch unrechtmäßige Handlung entstehen. D. h. der Verantwortliche muss im Rahmen der Datenschutzfolgenabschätzung auch unrechtmäßige Handlungen berücksichtigen.

Anhang 1.5: Beispiele für Risiken aus dem IT-Einsatz

(Hinsichtlich weitergehender Ausführungen zum Begriff des Risikos siehe Kapitel 3.2.3) 

Beispiele Risiken

Bundesverband Gesundheits-IT e. V.; Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V.; Arbeitskreis „Datenschutz und IT-Sicherheit im Gesundheitswesen“; Deutsche Krankenhausgesellschaft e. V.

Creative Commons, https://creativecommons.org/licenses/by-sa/4.0/deed.de; CC BY-SA 4.0

Abgerufen am 17.09.2019 von https://www.gesundheitsdatenschutz.org/download/dsfa_2019-09-17.pdf

Kategorie: Datenschutz
© Swiss Infosec AG 2026