Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO (Teil 1)

Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO (Teil 1)

03/2020

 

Teil 1: Einführung und Absichten des europäischen Gesetzgebers

 

1 Einführung

Zielgruppe dieser Ausarbeitung sind alle Verarbeiter von personenbezogenen Daten im Gesundheitswesen. Dies betrifft insbesondere natürlich die Leistungserbringer wie die versorgenden Einrichtungen/Institutionen (z. B. Krankenhäuser, Apotheken) sowie medizinische Forscher. Darüber hinaus sind aber auch alle anderen Institutionen des Gesundheitswesens wie z. B. Leistungsfinanzierer oder auch Interessenverbände angesprochen, wenn diese entsprechende Daten verarbeiten und die Notwendigkeit einer DSFA beurteilen und ggf. eine DSFA auch durchführen müssen. Für alle diese Adressaten soll diese Ausarbeitung eine Unterstützung beim Umgang mit der DSFA darstellen, sowohl bei der Interpretation der rechtlichen Vorgaben als auch hinsichtlich der Umsetzung dieser Vorgaben, also der Durchführung einer DSFA.

 

Denn da auch bei einer rechtmäßigen Verarbeitung personenbezogener Daten Risiken für die betroffenen Personen entstehen, sieht die EU Datenschutz-Grundverordnung (DS-GVO) unabhängig von sonstigen Voraussetzungen für die Verarbeitung vor, dass diese Risiken durch geeignete Abhilfemaßnahme (insbesondere durch technische und organisatorische Maßnahmen (TOMs)) eingedämmt werden. Das Instrument einer „Datenschutz-Folgenabschätzung“ (DSFA, engl. „Data protection impact assessment“) kann hierfür systematisch eingesetzt werden. Die DSFA stellt ein spezielles Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten dar. Sie ist in Art. 35 DS-GVO geregelt und bestimmt die Voraussetzungen, unter denen eine DSFA erfolgen muss.

 

Die für ganz Europa vorgeschriebene DSFA ist im anglo-amerikanischen Raum wesentlicher Bestandteil zur Gewährleistung von „Privacy“ und ist dort in mehr oder weniger abgewandelter Form als „Privacy Impact Assessment“ (PIA) bekannt. Sowohl bei der DSFA als auch bei der PIA wird das gleiche Ziel verfolgt. Denn in beiden Verfahren gilt es, die Auswirkungen eines Verarbeitungsverfahrens personenbezogener Daten auf die Gewährleistung des Rechts auf informationelle Selbstbestimmung des Betroffenen zu untersuchen, darzustellen und zu bewerten.

 

Bei der Verarbeitung personenbezogenen Daten im Gesundheitswesen werden i.d.R. besondere Kategorien personenbezogener Daten verarbeitet, dazu fallen in Einrichtungen wie Krankenhäusern, Forschungseinrichtungen oder Institutionen zugleich größere Datenmengen an, so dass die Wahrscheinlichkeit, dass hier eine Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung greift, sehr hoch ist.

 

Dabei erfolgen über die Zwecke der Behandlung und hieran anschließende Zwecke (Abrechnung, Qualitätssicherung, öffentliche Gesundheit) sowie ggf. der medizinischen Forschung hinaus in Krankenhäusern noch eine größere Zahl allgemeiner Datenverarbeitungen, wie sie auch in anderen Unternehmen zu finden sind, sowie z. B. für das Personalmanagement und zur Unternehmenssteuerung. Für Verarbeitungen zu diesen Zwecken sind nach Ansicht der deutschen Datenschutz-Aufsichtsbehörden regelmäßig keine Datenschutz-Folgenabschätzungen durchzuführen.

 

Ferner sei bemerkt, dass diese Ausarbeitung die wesentlichen Inhalte sowie Fragen zum Thema „DSFA“ abhandelt, aber keinen Anspruch auf Vollständigkeit erhebt. Es bleibt vorbehalten, die Ausführungen / Darstellungen den spezifischen Anforderungen des konkreten Anwenders / Nutzers anzupassen.

 

2 Intention des europäischen Gesetzgebers bzgl. der DSFA und Anwendung auf laufende Verarbeitungsvorgänge

 

Entsprechend ErwGr. 84 DS-GVO soll „in Fällen, in denen die Verarbeitungsvorgänge wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen“, eine DSFA durchgeführt werden. Bei der DSFA handelt es sich also um eine Präventionsmaßnahme des europäischen Gesetzgebers, was sich auch im Wortlaut von Art. 35 Abs. 1 DS-GVO wiederfindet, wenn auf „voraussichtliche Risiken“ verwiesen wird. ErwGr. 89 DS-GVO bzw. Art. 35 Abs. 1 DS-GVO weisen darauf hin, dass der europäische Gesetzgeber diesbezüglich insbesondere neue Technologien als Auslöser einer DSFA im Blick hatte.

 

In diesem Zusammenhang stellt sich die Frage, ab welchem Zeitpunkt, die Pflicht zur Durchführung einer DSFA konkret greift, bzw. auf welche Verarbeitungen diese in zeitlicher Hinsicht abstellt. ErwGr. 171 DS-GVO sieht vor, dass „Verarbeitungen, die zum Zeitpunkt der Anwendung (25. Mai 2016) dieser Verordnung bereits begonnen haben, innerhalb von zwei Jahren nach dem Inkrafttreten dieser Verordnung mit ihr in Einklang gebracht werden sollten“. Im Umkehrschluss bedeutet dies, dass Verfahren, die bis zum 24. Mai 2018 beendet sind, von dieser Regelung nicht betroffen sind.

 

Allerdings ist fraglich, ob zum Zeitpunkt des Inkrafttretens der DS-GVO etablierte Verfahren, die ohne Beanstandung seit Jahren betrieben werden und deren Verarbeitung auch nach der DS-GVO rechtmäßig erfolgen, eine DSFA benötigen. Dagegen spricht, dass schon Art. 17 Abs. 1 S.2 RL 95/46 eine Risikobetrachtung forderte („ein Schutzniveau [zu] gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist“) und dementsprechend alle bereits nach heutigem Stand rechtskonform erfolgenden Verarbeitungen einem risikobasierten Ansatz folgen. Hinzu kommt der Präventionsgedanke des Verordnungsgebers, dass eine DSFA „vorab“ (Art. 35 Abs. 1 S. 1 DS-GVO) durchzuführen ist und nicht hinsichtlich etablierter Verfahren.

 

In diesem Sinne dürfte einiges dafür sprechen, dass eine DSFA für etablierte und entsprechend den Vorgaben der RL 95/46 langjährig durchgeführte und unbeanstandete sowie legitim eingesetzte Verarbeitungsverfahren nicht erforderlich sein dürfte. Jedoch kann bei Anpassung/Änderung des Verfahrens nach Geltungseintritt der DS-GVO eine DSFA erforderlich werden, da die regelmäßige Pflicht zur Überprüfung auch für bereits laufende Verfahren gilt.

 

Genau diese Ansicht vertritt auch der Europäische Datenschutzausschuss (EDSA) in seinen „Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 ‚wahrscheinlich ein hohes Risiko mit sich bringt‘“ auf Seite 16:

 

„Eine DSFA muss für bereits laufende Verarbeitungsvorgänge durchgeführt werden, wenn diese wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen und wenn sich deren Risiken im Hinblick auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung geändert haben.“ (Hervorhebung durch Verfasser)

 

Bundesverband Gesundheits-IT e. V.; Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V.; Arbeitskreis „Datenschutz und IT-Sicherheit im Gesundheitswesen“; Deutsche Krankenhausgesellschaft e. V.

 

Creative Commons, https://creativecommons.org/licenses/by-sa/4.0/deed.de; CC BY-SA 4.0

 

Abgerufen am 17.09.2019 von https://www.gesundheitsdatenschutz.org/download/dsfa_2019-09-17.pdf

 

Swiss Infosec AG; 27.02.2020
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch

 

datenschutz fingerabdruck

 

Datenschutz

Datenschutz greift auch in unsere Lebensprozesse ein

 

Datenschutz ist allgegenwärtig und begleitet uns im Berufsalltag wie auch im Privatleben. Erfahren Sie bei uns alles über Beratung, Ausbildung und Services im Fachbereich Datenschutz und wie wir Sie als erfahrene Datenschutzspezialisten unterstützen können.

 

Kontaktieren Sie uns, denn wir wissen, welche Daten wie zu schützen sind! Wir beraten Sie gerne. +41 41 984 12 12, infosec@infosec.ch

 

Mehr