Teil 2: Der rechtliche Hintergrund und die Vorgaben der Aufsichtsbehörden

3 Erläuterungen zum rechtlichen Hintergrund

3.1  Art der Daten

Die DS-GVO unterscheidet zwischen zwei Arten von Daten: „normale“ Daten und Daten der besonderer Kategorien gem. Art. 9 Abs. 1 DS-GVO. Die Aufzählung der besonderen Kategorien in Art. 9 DS-GVO ist abschließend. Diese Daten der besonderen Kategorien sind jedoch aus Sicht der DS-GVO besonders sensitive Daten, denen entsprechend durch Art. 9 DS-GVO ein erhöhter Schutz gewährt wird.

Zu den besonderen Kategorien von Daten gehören:

• Rassische und ethnische Herkunft

Die Begrifflichkeiten sind weitgehend aufzufassen, um dem aus Art. 21 Abs. 1 GRCh innewohnenden Diskriminierungsverbot zu entsprechen. Informationen über rassische Herkunft schließen daher Angaben über Hautfarbe oder sonstige markante äußere Merkmale, aus denen entsprechende Erkenntnisse gewonnen werden können, ein.

Die ethnische Herkunft zielt auf den kulturellen Aspekt, der eine Menschengruppe kennzeichnet, ab. Hierzu zählen Sprache, Geschichte, Tradition, gemeinsame Werte und ein Zusammengehörigkeitsgefühl; hingegen wird die Zugehörigkeit zu einer sozialen Schicht nicht davon geschützt.

• Politische Meinungen

Die Kategorie der politischen Meinungen umfasst sowohl die Ablehnung wie auch die Unterstützung bestimmter Ideen und Ansichten. Auch hier reicht der Schutz von Art. 9 DS-GVO sehr weit: Neben Zugehörigkeit zu Parteien ist beispielsweise auch das Abonnement einer politischen Zeitschrift, die Teilnahme an Petitionen oder das Engagement bei Versammlungen oder Demonstrationen davon erfasst.

• Religiöse oder weltanschauliche Überzeugungen

Diese Kategorie umfasst neben religiösen Informationen (z. B Zugehörigkeit zu Religionen wie dem Christentum, Islam, Hinduismus, Shintoismus usw.) auch weltanschauliche Überzeugungen wie z.B. Atheismus oder Pazifismus. Zielrichtung des Schutzes ist sowohl die Überzeugung als auch die Betätigung, also das Ausleben dieser Überzeugungen.

• Gewerkschaftszugehörigkeit
• Genetische Daten

(siehe Art. 4 Ziff. 13 DS-GVO)

Hierzu zählen alle Daten zu ererbten oder erworbenen genetischen Eigenschaften, welche eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern. Dementsprechend gehören Augen- oder Haarfarbe nicht zu diesen Informationen, wenn aus diesen keine Informationen über Physiologie oder Gesundheit ableitbar sind.

• Biometrischen Daten zur eindeutigen Identifizierung (siehe Art. 4 Ziff. 14 DS-GVO)

Der Schutz erstreckt sich ausdrücklich nicht auf alle biometrischen Daten, sondern ausschließlich auf die Daten, die zur eindeutigen Identifizierung genutzt werden können. Biometrische Daten wie z. B. Fingerabdrücke oder Iris-Abbildungen ermöglichen auf Grund ihrer Einmaligkeit ebenso wie genetische Daten immer die Zuordnung der Daten zu einer natürlichen Person und fallen daher immer in diese Kategorie.

Entsprechend ErwGr. 51 sollen hingegen Lichtbilder nur dann unter diese Kategorie fallen, „wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen“.

• Gesundheitsdaten

(siehe Art. 4 Ziff. 15 DS-GVO) Gesundheitsdaten sind Daten,

• „die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen beziehen und
• aus denen Informationen über deren Gesundheitszustand hervorgeht“. Grundsätzlich zählen alle Informationen dazu, die zu medizinischen Zwecken verarbeitet werden, also z. B. auch Nummern oder andere Identifikatoren, die in medizinischen Informationssystemen genutzt werden, d. h. der Begriff der Gesundheitsdaten ist im Sinne des Schutzgedankens weit auszulegen. So können auch Telekommunikationsdaten zwischen betroffener Person und Gesundheitsdienstleister darunter fallen.

Dabei ist es für den Schutz der Daten unerheblich, wer die Daten verarbeitet: Unabhängig davon, ob medizinisches oder nicht-medizinische Personen die Daten verarbeiten oder ob die Daten von einem Gerät stammen; der Schutz aus Art. 9 DS-GVO resultiert aus der Zuordnung zu der Kategorie „Gesundheitsdaten“.

• Daten zum Sexualleben oder der sexuellen Orientierung Hierzu gehören alle Daten zur Sexualität, wie z.B.
  • Hetero-, Bi- oder Homosexualität
  • Informationen bzgl. einer Geschlechtsumwandlung
  • Leben in der Ehe oder in einer eingetragenen Lebenspartnerschaft.

Grundsätzlich gehören alle Daten, die Rückschlüsse auf die Sexualität zulassen, dazu. Also auch Daten wie der Kauf oder die Einnahme von Aphrodisiaka oder von Verhütungsmitteln, desgleichen der Erwerb, die Ausleihe oder das Ansehen pornographischer Filme. D. h., auch diese Datenkategorie ist sehr weit auszulegen.

3.2  Art. 35 und seine tatbestandlichen Voraussetzungen

Nach Art. 35 Abs. 1 DS-GVO muss eine DSFA erfolgen, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat.

Darüber hinaus ist gemäß Art. 35 Abs. 3 DS-GVO eine DSFA insbesondere in den folgenden Fällen erforderlich:

1. bei einer systematischen und umfassenden Bewertung persönlicher Aspekte natürlicher Personen, die sich auf eine automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen können oder
2. bei einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DS-GVO oder
3. bei der umfangreichen Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DS-GVO oder
4. bei der systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche.

Diese Voraussetzungen – sowie weitere, darüber hinausgehende Anforderungen – werden nachfolgend im Einzelnen näher erläutert.

3.2.1    Rechtmäßigkeit der Datenverarbeitung

Art. 35 DS-GVO enthält zwar nicht ausdrücklich die Forderung, dass in einer DSFA die Rechtmäßigkeit des geplanten Verarbeitungsverfahrens betrachtet wird, jedoch besteht das Ziel einer DSFA gerade darin, eine risikoreiche Verarbeitung in Einklang mit den Anforderungen der DS-GVO zu bringen. Dazu ist auch die Betrachtung der Rechtmäßigkeit der Datenverarbeitung erforderlich. Jegliche Verarbeitung personenbezogener Daten stellt eine Durchbrechung des Verbots mit Erlaubnisvorbehalt (Art. 6 Abs. 1, Art. 9 Abs. 1 DS-GVO) dar, weshalb die Erlaubnistatbestände in der Untersuchung dargelegt und überprüft werden müssen, ob diese die Verarbeitung legitimieren. Eine Verarbeitung erfolgt immer dann legitim, wenn entweder ein rechtlicher Erlaubnistatbestand oder eine Einwilligung der betroffenen Person vorliegt.

(Beispiele zu Erlaubnistatbeständen finden sich in Anhang 1.3)

3.2.1.1   Einwilligung

Hinsichtlich der Erlaubnistatbestände behandelt Art. 6 DS-GVO personenbezogene Daten, besonderen Kategorien von Daten, insbesondere auch Gesundheitsdaten, werden in Art. 9 DS-GVO geregelt.

Art. 6 Abs. 1 lit. a DS-GVO gestattet die Verarbeitung personenbezogener Daten, wenn die betroffene

Person ihre Einwilligung zu der Verarbeitung gegeben hat. Art. 9 Abs. 2 lit. a DS-GVO gestattet eine

Verarbeitung besonderer Kategorien personenbezogener Daten, wenn

1. die betroffene Person ausdrücklich einwilligt und
2. Unionsrecht oder das Recht von Mitgliedstaaten die Verarbeitung nicht verbieten.

Für eine wirksame Einwilligung müssen die Vorgaben der DS-GVO eingehalten werden.

3.2.1.2   Verarbeitung ohne Einwilligung des Betroffenen

Zusätzlich zur Einwilligung sieht die DS-GVO eine Reihe von Erlaubnistatbeständen hinsichtlich der

Verarbeitung besonderer Kategorien von personenbezogenen Daten vor, z. B.:

• Der Austausch von Patientendaten zwischen gemeinsam behandelnden niedergelassenen Ärzten wird durch Art. 9 Abs. 2 lit. h DS-GVO i. V. m. § 22 Abs. 1 Ziff. 1 lit. b BDSG n.F. erlaubt.
• Die eigentliche Patientenbehandlung findet eine Legitimierung in Art. 9 Abs. 2 lit. h DS-GVO i. V. m. § 630a ff. BGB, jedoch ist zwingend erforderlich, dass die Verarbeitung entsprechend Art. 9 Abs. 3 DS-GVO

1. durch Fachpersonal oder unter dessen Verantwortung erfolgt,
2. dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt
3. oder, wenn die Verarbeitung durch andere Personen erfolgt, dass diese Personen ebenfalls einer entsprechenden Geheimhaltungspflicht unterliegen.

Dieser Anforderung bzgl. Verschwiegenheitspflicht der datenverarbeitenden Personen wird insbesondere durch § 203 StGB genügt.

• Datenübermittlungen an weiter- / nachbehandelnde Ärzte / Einrichtungen (Krankenhäuser / MVZ / Ambulanzen, etc.) sofern eine gesetzliche Regelung dazu in einem Landeskrankenhausgesetz (z. B. Art. 27 Abs. 5 S. 2 BayKrG, § 24 Abs. 5 Ziff. 2 LKHG Berlin,

§ 29 S. 1 Ziff. 1 BbgKHEG, usw.) oder einem dreiseitigen Vertrag auf Landesebene gem. § 115 Abs. 2 S. 2 Nr.2 SGB V (z. B. in Baden-Württemberg, Bayern, Brandenburg, Hamburg, usw.) existiert (Art. 9 Abs. 2 lit. h, Abs. 3, Abs. 4 DS-GVO i. V. m. der entsprechenden Regelung auf Landesebene).

• Zur Abrechnung von einem Patienten gegenüber erbrachten Leistungen müssen naturgemäß auch dessen personenbezogene Daten verarbeitet werden. Art. 9 Abs. 2 lit. f, h DS-GVO, beispielsweise i. V. m. § 301 SGB V als nationaler Erlaubnistatbestand, gestattet dies den Krankenhäusern.
• Arbeitsmedizinische Untersuchungen können einerseits durch Art. 9 Abs. 2 lit. b DS-GVO gestattet sein, anderseits werden diese auch von Art. 9 Abs. 2 lit. h DS-GVO adressiert.
• Die gesetzliche Qualitätssicherung (z. B. § § 137, 137a SGB V; § 136 SGB V i. V. m. § 299 SGB V bzw. den Richtlinien des G-BA) wie auch die Regelungen zur öffentlichen Gesundheitsvorsorge (Gesundheitsämter, Impfungen in Schule usw. durch Ämter) können einen Legitimationstatbestand in Art. 9. Abs. 2 lit. i DS-GVO in Verbindung mit den entsprechenden nationalen Regelungen finden.

Hierbei muss beachtet werden, Art. 9 Abs. 2 lit. b, g, h, i, j DS-GVO vorsehen, dass die Verarbeitung auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats erfolgt, welches der DS-GVO genügende Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht.

Grundsätzlich muss die Legitimation der Verarbeitung im jeweiligen Einzelfall genauestens geprüft werden.

3.2.1.3    Verarbeitung nach Treu und Glauben

Des Weiteren muss die Verarbeitung der Daten legitim erfolgen, d. h. die Verarbeitung der Daten erfolgt auf Grund eines Erlaubnistatbestandes nach Treu und Glauben. Was genau der

Verordnungsgeber unter der Regelung einer „Verarbeitung nach Treu und Glauben“ versteht, wird an keiner Stelle in der DS-GVO präzisiert. Jegliche Vergleiche zu entsprechenden Regelungen in anderen Richtlinien oder zu nationalen Regelungen (z. B. zu § 242 BGB) überzeugen nicht, weshalb eine klare Definition noch nicht feststeht.

In ErwGr. 38 RL 95/46 findet sich hierzu Folgendes: „Datenverarbeitung nach Treu und Glauben setzt voraus, dass die betroffenen Personen in der Lage sind, das Vorhandensein einer Verarbeitung zu erfahren und ordnungsgemäß und umfassend über die Bedingungen der Erhebung informiert zu werden, wenn Daten bei ihnen erhoben werden.“ D. h. die Verarbeitung muss „fair“ erfolgen.

3.2.2    Rechte und Freiheiten natürlicher Personen

Da auch bei einer rechtmäßigen Verarbeitung ein hohes Risiko für die betroffenen Personen bestehen kann, bedarf es zunächst einer Darstellung, welche „Betroffenenrechte“ existieren, um eine Aussage treffen zu können, ob diesbezüglich Risiken zu vermuten oder Schäden zu erwarten sind. Dabei ist als Ausgangspunkt zu beachten, dass der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ein Grundrecht darstellt. Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten (siehe ErwGr. 1 DS-GVO). Eine besondere Ausprägung dieses Schutzes findet sich in Kapitel III DS-GVO „Rechte der betroffenen Person“ (Artt. 12 – 22). Dort werden die Rechte der betroffenen Person geregelt, die sich im Überblick wie folgt darstellen:

• Transparente Verarbeitung ihrer Daten, Art. 12 DS-GVO
• Informationspflicht bei Erhebung bzw. Zweckänderung von personenbezogenen Daten, unterschieden nach:
  • Erhebung bei der betroffenen Person („Direkterhebung“), Art. 13 DS-GVO
  • Erhebung nicht bei der betroffenen Person („Dritterhebung“), Art. 14 DS-GVO
• Auskunftsrecht, Art. 15 DS-GVO
• Recht auf Berichtigung, Art. 16 DS-GVO
• Recht auf Löschung, Art. 17 DS-GVO
• Recht auf Einschränkung der Verarbeitung, Art. 18 DS-GVO
• Mitteilungspflicht bei Berichtigung, Löschung oder Einschränkung, Art. 19 DS-GVO
• Recht auf Datenübertragbarkeit, Art. 20 DS-GVO
• Widerspruchsrecht, Art. 21 DS-GVO
• Beschränkung der Zulässigkeit automatisierter Entscheidungen im Einzelfall, Art. 22 DS-GVO.

Die Rechte und Freiheiten natürlicher Personen sind in einem europarechtlichen Kontext auszulegen und so umfassend zu verstehen, dass darunter alle von der „Konvention zum Schutz der Menschenrechte und Grundfreiheiten“ (EMRK) und der „Charta der Grundrechte der Europäischen Union“ („GrCh“) geschützten Grundrechte und Grundfreiheiten natürlicher Personen, sowie alle einfachgesetzlichen individuellen Rechte fallen, soweit diese von der DS-GVO adressiert werden.

Diese Regelungen gehen über die in der DS-GVO genannten Betroffenenrechte hinaus. Insbesondere wird auf Art. 8 GRCh verwiesen: „Schutz personenbezogener Daten“.

Diese Rechte sind nicht absolut, sondern werden sowohl durch den europäischen als auch nationalen

Gesetzgeber beschränkt, z. B. um die Rechte und Freiheiten anderer zu schützen oder die nationale

Sicherheit zu gewährleisten.

3.2.3    Risiko der Verarbeitung

Der Begriff des Risikos wird in unterschiedlichen Disziplinen unterschiedlich definiert. Die DIN ISO 31000 definiert Risiko als „Auswirkung von Unsicherheit auf Ziele“, wobei „Auswirkungen“ als eine Abweichung von Erwartungen dargestellt wird und Ziele verschiedene Aspekte umfassen (z. B. Finanzen, Gesundheit, Umwelt) sowie auf verschiedenen Ebenen gelten (z. B. strategische, organisationsweite, projekt-, produkt- und prozessbezogene Ziele) können. Das Gabler Wirtschaftslexikon definiert Risiko als eine „Kennzeichnung der Eventualität, dass mit einer Wahrscheinlichkeit ein Schaden bei einer (wirtschaftlichen) Entscheidung eintritt oder ein erwarteter Vorteil ausbleiben kann“. Die DS-GVO verlangt aber einen speziellen Risikobegriff, der sich auf die betroffene Person fokussiert.

Die DS-GVO definiert den Begriff „Risiko“ nur indirekt. In Art. 24 Abs. 1 S. 1 DS-GVO findet sich: „Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um“. Auch in ErwGr. 75 und 76 werden Risiken als abhängige Größe von der Eintrittswahrscheinlichkeit und der Schwere der Beeinträchtigung der Rechte und Freiheiten der betroffenen Person beschrieben. Daraus folgt, dass die Höhe des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne des Art. 35 DS-GVO somit in Abhängigkeit von „Eintrittswahrscheinlichkeit“ und „Schadensschwere“ darzustellen ist.

Die Definition eines Risikos aus Sicht der DS-GVO kann daher lauten:

„Risiko = Produkt aus Eintrittswahrscheinlichkeit und Schwere einer Beeinträchtigung der Rechte und Freiheiten natürlicher von der Verarbeitung betroffener Personen

Nach ErwGr. 76 sollen die Eintrittswahrscheinlichkeit und die Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person „in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung“ bestimmt werden. Dabei kennt die DS-GVO verschiedene Grade bzgl. eines Risikos:

Daraus lässt sich eine Abstufung bzgl. der Einteilung von Risiken herleiten:

• Hohes Risiko
• Erhebliches Risiko
• (Normales) Risiko
• Voraussichtlich kein Risiko
• Kein Risiko

Das Risiko soll anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung kein Risiko, voraussichtlich kein Risiko, ein normales (im Sinne des „Lebensrisikos“), erhebliches oder ein hohes Risiko in sich birgt.

(Beispiele zu Risiken und Ursachen aus der DS-GVO finden sich in Anhang 1.4, zu Risiken aus dem IT-Einsatz in Anhang 1.5)

3.2.3.1   Bewertung eines voraussichtlichen Risikos, Art. 35 Abs. 1 S. 1 DS-GVO

Art. 35 Abs. 1 DS-GVO setzt lediglich voraus, dass ein Risiko „voraussichtlich“ eintritt. D. h., es wird eine objektive (ErwGr. 76) Bewertung bzgl. der Unsicherheit verlangt. Die Richtigkeit der Bewertung muss ggf. gerichtlich überprüfbar sein, d. h. kann von unabhängigen Stellen ebenfalls bewertet werden. Somit muss sich der Verarbeiter bewusst sein, dass die DS-GVO den Spielraum bzgl. der Bewertung des Risikos nicht bei ihm sieht. Vielmehr ist eine nachvollziehbare Bewertung des Risikos aufgrund der Berücksichtigung der relevanten und überprüfbaren Risikofaktoren aus objektiver Sicht der betroffenen Personen erforderlich.

Später eintretende Tatsachen oder nicht vorhersehbare Entwicklungen verändern jedoch die Richtigkeit der Bewertung nicht rückwirkend. Für die Beurteilung bzgl. der Bewertung ist einzig und allein relevant, dass zum Zeitpunkt der Erstellung eine Analyse der zu diesem Zeitpunkt vorhandenen Informationen erfolgte. Dies heißt jedoch nicht, dass eine DSFA nach einmaliger Durchführung abgeschlossen ist. Vielmehr muss bei geänderter Informationslage die Datenschutz-Folgenabschätzung angepasst oder auch neu durchgeführt werden (bzgl. den Erfordernissen einer regelmäßigen Überprüfung siehe Abschnitt 4.5).

Entsprechend ErwGr. 83 ist es unerheblich, ob die Risiken aus einer beabsichtigten, einer unbeabsichtigten oder auch einer unrechtmäßigen Handlung resultieren. D. h. der Verantwortliche muss im Rahmen einer DSFA grundsätzlich auch unrechtmäßige Handlungen berücksichtigen.

3.2.3.2   Hohes Risiko für die Rechte und Freiheiten natürlicher Personen, Art. 35 Abs. 1 S. 1 DS-GVO

Die DS-GVO beschreibt nicht, wann das Risiko einer Verarbeitung „hoch“ ist. Ein Risiko ist zumindest dann als „hoch“ einzustufen, wenn mit „hoher Wahrscheinlichkeit ein Schaden für die Rechte und Freiheiten natürlicher Personen“ anzunehmen ist. Ein hohes Risiko kann sowohl aus einer hohen Eintrittswahrscheinlichkeit (des Schadens) als auch aus einem hohen Schaden resultieren. Daneben ergibt sich aus ErwGr. 91, dass insbesondere die Sensibilität der Daten die Wahrscheinlichkeit eines „hohen“ Risikos vermuten lässt. Auch sieht ErwGr. 51 DS-GVO bei besonderen Kategorien von personenbezogenen Daten einen besonders hohen Schutzbedarf: „Personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, verdienen einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können.“ Eine Verarbeitung dieser Datenkategorien beinhaltet also immer „erhebliche Risiken für die Grundrechte und Grundfreiheiten“ betroffener Personen (ErwGr. 51 DS-GVO), d. h. diese Daten haben immer einen hohen Schutzbedarf.

ErwGr. 75 führt weiter aus, dass von entsprechenden Risiken für die Rechte und Freiheiten natürlicher Personen insbesondere dann auszugehen ist, wenn die Verarbeitung zu

• einer Diskriminierung,
• einem Identitätsdiebstahl oder -betrug,
• einem finanziellen Verlust,
• einer Rufschädigung,
• einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten,
• der unbefugten Aufhebung der Pseudonymisierung

oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann. Desgleichen, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren. Insbesondere wenn personenbezogene Daten verarbeitet werden, die zu den besonderen Kategorien von Daten gemäß Art. 9 DS-GVO gehören, muss von hohen Risiken ausgegangen werden.

Allerdings steht in dem von der Artikel-29-Datenschutzgruppe veröffentlichtem Working Paper 248, welches vom europäischen Datenschutz-Ausschuss in seiner ersten Sitzung bzgl. seiner Gültigkeit bestätigt wurde, dass eine DSFA bei einer Verarbeitung der in Art. 9 Abs. 1 DS-GVO genannten besonderen Kategorien zwingend erforderlich ist, wenn zusätzlich zu dieser Verarbeitung ein weiteres der neun in Abschnitt III(B,a) genannten Kriterien erfüllt ist. Das Papier schließt allerdings nicht aus, dass keine DSFA durchzuführen ist, wenn keines der weiteren Kriterien erfüllt ist.

3.2.4     „Neue Technologien“

Der in Art. 35 Abs. 1 S. 1 DS-GVO genannte Begriff „Verwendung neuer Technologien“ wird im Rahmen der DS-GVO nicht definiert, jedoch in ErwGr. 89 aufgegriffen. Gemeint sind insbesondere Verarbeitungsvorgänge, bei denen „neue Technologien eingesetzt werden oder die neuartig sind“ und die bisher noch nicht Gegenstand einer DSFA waren bzw. bei denen aufgrund der seit der ursprünglichen Verarbeitung vergangenen Zeit eine DSFA notwendig geworden ist. Dabei ist der Begriff „Technologie“ die Übersetzung des englischen Wortes „technologies“, der in der englischsprachigen Bedeutung umfassender ist als sein korrespondierender deutscher Begriff. Unter „technologies“ sind Techniken, Fähigkeiten, Methoden und Prozesse zu verstehen. Dementsprechend weit ist auch der Begriff im Sinne des Art. 35 DS-GVO auszulegen.

3.2.5    Art und Umfang der Verarbeitung, Art. 35 Abs. 1 S. 1 DS-GVO

Um Art und Umfang einer Verarbeitung näher beschreiben zu können, ist zunächst zu klären, was alles unter den Begriff „Verarbeitung“ zu subsumieren ist. Der Begriff der Verarbeitung ist in der DS-GVO weiter gefasst als im bisherigen deutschen Datenschutzrecht.

3.2.5.1   Art der Verarbeitung

Art. 4 Ziff. 2 DS-GVO nennt als Arten der Verarbeitung insbesondere:

• Erheben,
• Erfassen,
• Organisation,
• Ordnen,
• Speicherung,
• Anpassung oder Veränderung,
• Auslesen,
• Abfragen,
• Verwendung,
• Offenlegung durch Übermittlung,
• Verbreitung oder eine andere Form der Bereitstellung,
• Abgleich oder die Verknüpfung,
• Einschränkung,
• Löschen oder Vernichtung.

3.2.5.2   Umfang der Verarbeitung

Aus den korrespondierenden ErwGr. 75 bzw. 91 wird ersichtlich, dass im Bereich des „Umfangs der Datenverarbeitung“ zwei Einflussgrößen zu berücksichtigen sind: Zum einen die Anzahl der Personen, zum anderen die Menge der verarbeiteten Daten. Entsprechend ErwGr. 91 ist bzgl. des Umfangs auch zu berücksichtigen, ob große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene verarbeitet werden, was letztlich auch wiederum den Umfang der Datenmenge („große Mengen“) adressiert.

Daraus folgt zum einen, dass je mehr Daten zu einer Person vorhanden sind, desto weitreichendere Aussagen sind über eine bestimmte Person möglich, wodurch sich das Risiko für diese Person erhöht. Zum anderen folgt daraus, dass je höher die Anzahl der betroffenen Personen ist, deren Daten verarbeitet werden, desto bessere/genauere Aussagen sind möglich z. B. über etwaige Verbindungen zwischen diesen Personen. Aus diesen Verbindungen lassen sich wiederum weitere Schlüsse über die betroffene Person ziehen, sodass sich daraus wiederum höhere Risiken hinsichtlich der informationellen Selbstbestimmung für die betroffenen Personen ergeben. Zugleich erhöht sich mit einem größeren Verarbeitungsumfang auch die Eintrittswahrscheinlichkeit etwaiger Risiken.

In der Fassung der DS-GVO vom europäischen Parlament war in den ErwGr. 63 und 75 und auch im Art. 32a („Risk analysis“) von der Verarbeitung der Daten von 5000 betroffenen Personen innerhalb von 12 Monaten die Rede. Auch wenn dieser Ansatz nicht in der finalen Version des DS-GVO Einzug fand, bietet dieser Wortlaut einen Hinweis, was sich der europäische Gesetzgeber unter einer großen Anzahl von betroffenen Personen vorstellte.

Diesen Erwägungen folgend, sollten sich medizinische Einrichtungen, die um die 5000 Behandlungsfälle in einem Jahr zu verzeichnen haben, gut überlegen, ob sie auf eine DSFA – aus welchen Gründen auch immer – für ihre Daten verarbeitenden Systeme verzichten wollen.

Die Artikel-29-Datenschutzgruppe empfiehlt in ihrem Working Paper 243, welches auf der ersten Sitzung des europäischen Datenschutzausschusses als weiterhin gültig bestätigt wurde, im Abschnitt 2.1.3 bei der Klärung, ob eine Verarbeitung umfangreich ist, folgende Faktoren zu berücksichtigen:

• die Zahl der betroffenen Personen – entweder als bestimmte Zahl oder als Anteil an der maßgeblichen Bevölkerung
• das Datenvolumen und/oder das Spektrum an in Bearbeitung befindlichen Daten
• die Dauer oder Permanenz der Datenverarbeitungstätigkeit
• die geografische Ausdehnung der Verarbeitungstätigkeit.

3.2.6    Zwecke der Verarbeitung, Art. 35 Abs. 1 S. 1 DS-GVO

Art. 35 Abs. 1 S. 1 DS-GVO nennt außerdem als Grund für die Durchführung einer DFSA, wenn Umstände und Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben. (Beispiele zu Zwecken der Verarbeitung finden sich in Anhang 1.2)

3.2.6.1   Systematische Beschreibung der Zwecke der Verarbeitung

Art. 35 Abs. 7 lit. a DS-GVO fordert daher bei der Durchführung der DSFA in einem ersten Schritt eine systematische Beschreibung des geplanten Verarbeitungsvorgangs und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen.

Die systematische Beschreibung des geplanten Verarbeitungsvorgangs erfordert in diesem Zusammenhang eine Erläuterung

• des Datenverarbeitungsprozesses,
• der hierfür eingesetzten Technik sowie
• Art, Umfang und Umstände der Datenverarbeitung.

Die Beschreibung der Zwecke der Datenverarbeitung erfordert eine Erläuterung des konkreten Einsatzgebietes der verarbeiteten Daten bzw. des Zweckes ihrer Verarbeitung. Dem Wortlaut nach fakultativ sind bei der Beschreibung des Prüfgegenstandes der DSFA die von dem Verantwortlichen verfolgten berechtigten Interessen zu erläutern. Art. 5 Abs. 1 lit. b DS-GVO gibt vor, dass personenbezogene Daten nur zu festgelegten, eindeutigen und legitimen Zwecken verarbeitet werden dürfen. Andere Sprachfassungen der DS-GVO machen deutlich, dass mit dem Begriff „eindeutig“ eher „explizit“ oder „konkret“ gemeint sein dürfte. Es geht also darum, die Verarbeitungszwecke nicht zu breit anzugeben. Der Verarbeitungszweck sollte klar umschrieben werden. Vermieden werden sollte darüber hinaus eine vage Zweckfestlegung, die eine Erhebung und Speicherung zu vielen unterschiedlichen Zwecken ermöglicht und im Ergebnis keine wirkliche Festlegung darstellen würde.

3.2.6.2   Bewertung der Notwendigkeit und Verhältnismäßigkeit

Gemäß Art. 35 Abs. 7 lit. b DS-GVO sind bei der Durchführung der DSFA sodann in einem zweiten Schritt die Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck der Verarbeitung zu bewerten. Der Verantwortliche hat in diesem Zusammenhang auch zu prüfen, ob es alternative und datenschutzrechtlich weniger eingreifende Verarbeitungsformen gibt, durch die der Zweck der Datenverarbeitung in gleichem Maße erreicht werden kann. Die Datenverarbeitung ist in Bezug auf den Zweck grundsätzlich als notwendig anzusehen, wenn der verfolgte Zweck sonst nicht, nicht vollständig oder nicht in rechtmäßiger Weise erreicht werden kann. Im Rahmen der Verhältnismäßigkeitsprüfung sind der Datenverarbeitungsprozess und der mit ihm durch den Verantwortlichen verfolgte Zweck zueinander ins Verhältnis zu setzen und gegeneinander abzuwägen. Je umfassender und intensiver die Datenverarbeitung ist, desto höherrangiger muss der Zweck einzuordnen sein.

3.2.6.2.1    Erforderlichkeit, Notwendigkeit

Die Begrifflichkeiten „Erforderlichkeit“ und „Notwendigkeit“ werden oftmals synonym verwendet. Im juristischen Schrifttum besagt der Grundsatz der Verhältnismäßigkeit, dass kollidierende Interessen, Freiheiten oder Rechtsprinzipien nur dann in einem angemessenen Verhältnis zueinander stehen, wenn das zu wahrende Interesse, Freiheitsrecht oder Rechtsprinzip schwerer wiegt als das zu seinen Gunsten geopferte. Auch im Sinne dieses Grundsatzes können die Begrifflichkeiten „Erforderlichkeit“ und „Notwendigkeit“ synonym verwendet werden.

In der DS-GVO selbst wird der Begriff der „Erforderlichkeit“ bzw. „Notwendigkeit“ nicht definiert. Allerdings finden sich in den Erwägungsgründen Kriterien, welche die Beurteilung der Erforderlichkeit erleichtern. Die Verarbeitung von Daten ist insbesondere dann erforderlich bzw. notwendig, wenn

• der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann (Erwägungsgrund 39) oder
• der Zweck der Verarbeitung im lebenswichtigen Interesse der betroffenen Person liegt (Erwägungsgrund 112).

D. h. damit eine Maßnahme erforderlich ist, darf es kein milderes (= in die Rechte Betroffener weniger eingreifendes) Mittel geben, welches den gleichen Erfolg mit vergleichbarem Aufwand erreicht. Um die Erforderlichkeit / Notwendigkeit beurteilen zu können, müssen daher drei Fragen beantwortet werden:

1. Gibt es ein anderes Mittel?
2. Ist dieses in gleicher Weise geeignet, den Zweck zu erreichen?
3. Ist dieses Mittel ein milderes, also die Rechte der betroffenen Person weniger belastendes Mittel?

3.2.6.2.2    Verhältnismäßigkeit / Interessenabwägung

Der BGH konkretisierte die erforderliche Abwägung, die bei einer Verarbeitung personenbezogener Daten vorgenommen werden muss, in seinem Urteil vom 17.12.1985 (Az. VI ZR 244/84) . Demzufolge ist eine Abwägung des Persönlichkeitsrechts des Betroffenen und des Stellenwerts, den die Offenlegung und Verwendung der Daten für den oder die Betroffenen hat, gegen die Interessen der speichernden Stelle und der Dritten, für deren Zweck die Speicherung erfolgte, erforderlich. „Dabei sind Art, Inhalt und Aussagekraft der beanstandeten Daten an den Aufgaben und Zwecken zu messen, denen ihre Speicherung dient.

Diese Abwägung ist für jede Art der Datenverarbeitung (Erhebung, Speicherung, Übermittlung, …) getrennt, den entsprechenden rechtlichen Regelungen nach zu prüfen. Dabei kann es vorkommen, dass eine Abwägung zum Ergebnis führt, dass die Erhebung und Speicherung von personenbezogenen Daten statthaft ist, eine Übermittlung der Daten an andere Empfänger jedoch nicht legitimiert werden kann.

Grundsätzlich kommen als schutzwürdige Interessen der Betroffenen „alle menschlichen Ziele in Betracht, wie etwa das Streben nach Geld, Anerkennung, nach Privatheit wie nach Kommunikation“, ebenso „das Streben nach Glück“. Dabei gilt, dass die Interessen der Betroffenen als umso schutzwürdiger anzusehen sind,

• je sensitiver die Daten sind und
• je größer die Zahl der die Daten verarbeitenden Personen bzw., bei Übermittlungen, der

Abrufberechtigten ist.

Bei der Darstellung der Betroffeneninteressen kann die Sphärentheorie, und ihre Einteilung in die drei Sphären Intim-, Privat- und Sozialsphäre helfen:

• ein Eingriff in die Intimsphäre muss vermieden werden, da hier der Kern der Menschenwürde betroffen ist
• Privat- und Sozialsphäre: hier gilt, je stärker der Eingriff, desto gewichtiger muss das verfolgte Gemeinwohlinteresse (= Verarbeitungszweck) sein.

3.2.6.3   Beispiel: Zugriff auf im Krankenhaus vorhandene Vorbehandlungsdaten

Danach könnte im Krankenhaus beispielsweise als Datenverarbeitungsprozess der Zugriff auf im Krankenhaus vorhandene Vorbehandlungsdaten in Betracht kommen. Im ersten Schritt wären demnach neben der Nennung dieses Datenverarbeitungsprozesses die hierfür erforderliche Technik und der Umfang der Datenverarbeitung zu erläutern. Um den Zweck der Verarbeitung möglichst konkret zu beschreiben, könnte beispielsweise neben der Nennung der „Behandlung des Patienten“ als Verarbeitungszweck ergänzend erläutert werden, dass der Zugriff auf Vorbehandlungsdaten erfolgt, um eine optimale Behandlung des Patienten sicherzustellen. Durch den Zugriff auf Vorbehandlungsdaten sollen insbesondere Wechselwirkungen der aktuellen Behandlung mit vorangegangenen Behandlungen des Patienten überprüft und negative Auswirkungen auf die aktuelle Behandlung, deren Ursache in vorangegangenen Behandlungen des Patienten liegen können, ausgeschlossen werden.

Darüber hinaus folgt aus der im zweiten Schritt vorzunehmenden Bewertung der Notwendigkeit und Verhältnismäßigkeit, dass ein Zugriff auf Vorbehandlungsdaten nicht generell, sondern nur zulässig ist, wenn dies zur Erreichung des Verarbeitungszweckes erforderlich und verhältnismäßig ist. Insofern wäre beispielsweise zu erläutern, dass ein Zugriff auf Vorbehandlungsdaten nur erforderlich und verhältnismäßig ist, wenn Anhaltspunkte für mögliche Wechselwirkungen bzw. Auswirkungen auf die aktuelle Behandlung durch vorangegangene Behandlungen des Patienten ersichtlich sind. Darüber hinaus darf bei einem Vorliegen derartiger Anhaltspunkte nur im erforderlichen Umfang auf die für die aktuelle Behandlung notwendigen Vorbehandlungsdaten zugegriffen werden. Kann hingegen ein Zusammenhang zwischen aktueller und vorheriger Behandlung des Patienten mit hinreichender Sicherheit ausgeschlossen werden, besteht keine Notwendigkeit für einen Zugriff auf im Krankenhaus vorhandene Vorbehandlungsdaten.

3.2.7    Fallkonstellationen gemäß Art. 35 Abs. 3 DS-GVO

3.2.7.1   Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, Art. 35 Abs. 3 lit. a DS-GVO

Art. 35 Abs. 3 lit. a DS-GVO bestimmt des Weiteren, dass eine DSFA insbesondere im Falle einer systematischen und umfassenden Bewertung persönlicher Aspekte natürlicher Personen erforderlich ist, ohne die genauen Anforderungen weiter zu umschreiben. Der ErwGr. 91 führt hierzu ergänzend aus, dass eine DSFA auch durchgeführt werden sollte, wenn die personenbezogenen Daten für das Treffen von Entscheidungen in Bezug auf bestimmte natürliche Personen im Anschluss an eine systematische und eingehende Bewertung persönlicher Aspekte natürlicher Personen auf der Grundlage eines Profilings dieser Daten oder im Anschluss an die Verarbeitung besonderer Kategorien von personenbezogenen Daten, biometrischen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten sowie damit zusammenhängende Sicherungsmaßregeln verarbeitet werden.

ErwGr. 24 stellt dar, dass eine Verarbeitungstätigkeit der Beobachtung des Verhaltens von betroffenen Personen dient bzw. beinhaltet, wenn ihre Aktivitäten nachvollziehbar werden. Das LDI NRW leitet daraus ab, dass eine systematische Beobachtung dann vorliegt, wenn die Beobachtung methodisch nach einem bestimmten, vorgegebenen System oder einer Strategie erfolgt. Nach Ansicht der deutschen Datenschutz-Aufsichtsbehörden stellt das Anlegen einer Patientenakte und die ärztliche Anamnese- und Diagnosetätigkeit auf der Grundlage dieser Daten schon deshalb keine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen im Sinne des Art. 35 Abs. 3 lit. a, Art. 22 Abs. 1 DS-GVO dar, da sie keine rein automatisierte Datenverarbeitung ist.

Art. 22 DS-GVO behandelt die „automatisierte Entscheidungen im Einzelfall einschließlich Profiling“ und regelt, dass eine betroffene Person das Recht hat, „nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“. Art. 35 Abs. 3 lit. a DS-GVO geht bzgl. der Forderung nach der Durchführung einer DSFA über die Erfordernisse von Art. 22 DS-GVO hinaus und umfasst alle Entscheidungen und nicht nur die automatisierten Entscheidungen, die sich auf eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen basierend auf einer automatisierten Verarbeitung einschließlich Profiling gründen und „und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen“.

3.2.7.2   Umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten, Art. 35 Abs. 3 lit. b DS-GVO

Gemäß Art. 35 Abs. 3 lit. b DS-GVO ist eine DSFA des Weiteren insbesondere im Falle einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DS-GVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DS-GVO erforderlich.

Bzgl. der Einordnung der Begrifflichkeit „umfangreiche Verarbeitung“ wird auf Abschnitt 3.2.5.2 verwiesen.

Zu den besonderen Kategorien von personenbezogenen Daten entsprechend Art. 9 DS-GVO gehören:

• Rassische und ethnische Herkunft
• Politische Meinungen
• Religiöse oder weltanschauliche Überzeugungen
• Gewerkschaftszugehörigkeit
• Genetischen Daten
• Biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person
• Gesundheitsdaten
• Daten zum Sexualleben oder der sexuellen Orientierung.

Fokussiert auf den Bereich des Gesundheitswesens sind insbesondere die Kategorien „Gesundheitsdaten“ und „genetische Daten“ von Relevanz, da eine dieser Kategorien nahezu immer betroffen sein dürfte. D. h., hier ist die Entscheidung bzgl. der Notwendigkeit der Durchführung einer DSFA gemäß Art. 35 Abs. 3 lit. b DS-GVO ausschließlich vom Umfang der Datenverarbeitung abhängig. Allerdings kann auch bei einem geringen Umfang eine DSFA auf Grund des hohen Risikos, welches in der Verarbeitung selbst begründet liegt, erforderlich sein (siehe Abschnitt 3.2.3 ff).

ErwGr. 91 führt aus, dass die Verarbeitung personenbezogener Daten nicht als umfangreich gilt, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. D. h. das Kriterium „umfangreiche Verarbeitung“ ist bei einer Arztpraxis mit einem Arzt und dessen Personal regelmäßig nicht erfüllt, so dass dort deswegen grundsätzlich keine DSFA durchzuführen ist. Hierbei ist zu beachten, dass der ErwGr. von einem Arzt und dessen Personal ausgeht; ob der ErwGr. daher für eine Praxis mit zwei Ärzten gilt, kann nur im Einzelfall betrachtet werden. Sicherlich stellt dieser ErwGr. jedoch keine Ausnahme für Krankenhäuser dar.

3.2.7.3   Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche, Art. 35 Abs. 3 lit. c DS-GVO

Art. 35 Abs. 3 lit. c DS-GVO verlangt eine DSFA, wenn öffentlich zugängliche Bereiche systematisch und umfangreich überwacht werden. ErwGr. 91 benennt hier insbesondere optoelektronische Vorrichtungen zur Überwachung, also Videoüberwachungen. Eine Videoüberwachung erfolgt stets systematisch, jedoch ist nicht jede Videoüberwachung gleichzeitig als „umfangreich“ anzusehen. Somit muss nicht für jede Videoüberwachung eine DSFA erfolgen, sondern nur dort, wo diese in einem besonderen Umfang (siehe Abschnitt 3.2.5) erfolgt.

Bei der Bewertung der Videoüberwachung ist neben dem Umfang auch die Intensität (z. B. hinsichtlich der Möglichkeit des Hineinzoomens in Gesichtsabschnitte) zu berücksichtigen. Evtl. ist in diesen Fällen eine DSFA aus anderen Gründen erforderlich, z. B. weil aus dieser Datenverarbeitung besonders hohe Risiken für die betroffene Person erwachsen. Ein Beispiel hierfür könnte sein, wenn eine Videokamera eine Kasse überwacht und mit der Zoomfunktion die Eingabe der Geheimnummer von Kreditkarten eingesehen werden kann.

Art. 35 Abs. 3 lit. c DS-GVO beschränkt den Tatbestand nicht nur auf die Überwachung des öffentlichen Raumes. Vielmehr werden von dieser Regelung alle Räumlichkeiten erfasst, welche der Öffentlichkeit zugänglich gemacht werden. Damit wird grundsätzlich auch ein Privatgelände adressiert, wenn dieses der Öffentlichkeit zugänglich ist.

3.3  „Befreiung“ von der Datenschutz-Folgenabschätzung

Gemäß Art. 35 Abs. 10 DS-GVO kann trotz eines hohen Risikos eine Datenschutz-Folgenabschätzung entfallen, falls es sich bei der Verarbeitung um einen der folgenden Erlaubnistatbestände handelt:

• Verarbeitung gemäß Art. 6 Abs. 1 lit. c DS-GVO, d. h. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, welcher der Verantwortliche unterliegt
• Verarbeitung gemäß Art. 6 Abs. 1 lit. e DS-GVO, d. h. die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

Allerdings müssen zusätzlich alle nachfolgend dargestellten Voraussetzungen erfüllt sein, damit keine Datenschutz-Folgenabschätzung erforderlich ist.

• Die Verarbeitung erfolgt auf einer gesetzlichen Rechtsgrundlage, welcher der Verantwortliche unterliegt.
• Die Rechtsgrundlage regelt den konkreten Verarbeitungsvorgang.
• Eine allgemeine Datenschutz-Folgenabschätzung erfolgte im Gesetzgebungsverfahren.
• Der zuständige Mitgliedsstaat verlangt für den Vorgang nicht explizit eine Datenschutz-Folgenabschätzung.

Daraus können sich beispielsweise für den Krankenhausbereich Ausnahmen für die Verpflichtung zur Durchführung von DSFA ergeben.

Dabei ist die am schwierigsten zu überprüfende Voraussetzung die im dritten Spiegelstrich der Aufzählung dargestellte Frage, ob bei dem Erlass der spezifischen mitgliedstaatlichen Rechtsgrundlage vom Gesetzgeber eine DSFA durchgeführt worden ist. Nach einer Auffassung in der Literatur können Anhaltspunkte hierfür z. B. den jeweiligen Gesetzesbegründungen entnommen werden, sofern dort entsprechende Ausführungen gemacht wurden. Des Weiteren können der Rechtsgrundlage selbst Hinweise entnommen werden, dass sie als Ergebnis einer DSFA abgefasst worden ist. Dies ist z. B. anzunehmen, wenn auf der Tatbestandsebene spezifische und riskante Datenverarbeitungen beschrieben werden, die nur bei Einhaltung besonderer Voraussetzungen und konkreter risikominimierender technischer und organisatorischer Anforderungen zulässig sind. Maßgeblich ist, ob die Rechtsgrundlage aufgrund ihrer spezifischen Anforderungen zur Minimierung von Datensicherheitsrisiken beiträgt und trotz der Einstufung als riskante Datenverarbeitung im Ergebnis zu einem angemessenen Datenschutzniveau für den Betroffenen führt. Nach einer anderen Auffassung in der Literatur enthält die DS-GVO keine konkreten Anforderungen an die allgemeine Folgenabschätzung durch den Gesetzgeber, so dass es genügt, wenn eine allgemeine aber systematische Erfassung und Analyse der intendierten und unbeabsichtigten Folgen der Rechtsnormen stattgefunden hat. Hiervon zu unterscheiden sind Datenverarbeitungen auf der Grundlage von Einwilligungen von Patienten.

3.4  Inhalt einer Datenschutzfolgenabschätzung, Art. 35 Abs. 7 DS-GVO

Entsprechend Art. 35 Abs. 7 DS-GVO enthält eine Datenschutz-Folgenabschätzung mindestens

1. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge;
2. eine systematische Beschreibung der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
3. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
4. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Art. 35 Abs. 1 DS-GVO;
5. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass die Anforderungen der DS-GVO eingehalten werden, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger betroffener Personen Rechnung getragen wird.

3.5  Weitergehende Anforderungen

3.5.1    Einbindung des Datenschutzbeauftragten, Art. 35 Abs. 2 DS-GVO

Entsprechend Art. 35 Abs. 2 DS-GVO holt der Verantwortliche bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten ein. Gemäß Art. 39 Abs. 1 lit. c DS-GVO gehört zu den Aufgaben des Datenschutzbeauftragten auch die Überwachung der Durchführung einer DSFA. Somit ist der Datenschutzbeauftragte nicht derjenige, der eine DSFA durchführt, denn die Durchführung einer DSFA durch den Datenschutzbeauftragten würde zu einem Interessenkonflikt führen, da sich der Datenschutzbeauftragte dann selbst überwachen müsste. Hinzu kommt, dass die DSFA stets ein interdisziplinäres Vorgehen erfordert, so dass der Datenschutzbeauftragte alleine nicht die Kompetenzen für die Durchführung der Datenschutz-Folgenabschätzung haben kann.

3.5.2    Standpunkt der Betroffenen, Art. 35 Abs. 9 DS-GVO

Der Verantwortliche holt gemäß Art. 35 Abs. 9 DS-GVO gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung ein. Durch den Zusatz „gegebenenfalls“ ist unklar, unter welchen Umständen der Standpunkt der Betroffenen einzuholen ist und in welchen Fällen darauf verzichtet werden kann. Um die Frage der Notwendigkeit der Einbeziehung der Betroffenen zu klären, wird sich der Verantwortliche im Rahmen der DSFA damit auseinanderzusetzen haben, ob eine Einbeziehung der betroffenen Personen sinnvoll erscheint. Sofern eine Einbeziehung nicht praktikabel oder mit einem hohen wirtschaftlichen Aufwand verbunden ist, dürfte im Regelfall keine Verpflichtung bestehen. Z. B. bei DSFA bzgl. der Verarbeitung von Arbeitnehmerdaten dürfte eine Beteiligung der betroffenen Personen in der Regel ohne großen Aufwand, z. B. über das Intranet, möglich sein. In derartigen Fällen müsste somit eine Beteiligung erfolgen bzw. es wäre in der DSFA zu dokumentieren, aus welchen Gründen dennoch von der Einbeziehung abgesehen wurde. Ferner sollte die Einbeziehung der Betroffenen grundsätzlich nur dann in Betracht kommen, wenn eine solche Einbeziehung geeignet ist, d. h. zu einem Mehrwert bzw. zusätzlichen Erkenntnissen für den Verantwortlichen führt.

Fraglich ist, wie die Entscheidung zu treffen ist, sofern es um die Verarbeitung von Patientendaten geht. Der Betroffenenkreis „Patienten“ kann zwar grob benannt werden, je nach DSFA ist allerdings fraglich, welche Patienten dies betrifft und wie deren Einbeziehung erfolgen könnte. Denkbar ist die Einbeziehung von Betroffenengruppen wie z. B. krankheitsbezogenen Selbsthilfegruppen als Vertreter im Sinne des Art. 35 Abs. 9 DS-GVO. Sollte keine entsprechende Interessensgruppierung bekannt sein, könnte sich die Kontaktaufnahme zu der Bundesarbeitsgemeinschaft der PatientInnenstellen und -Initiativen anbieten, um zu versuchen, über deren Kontakte eine entsprechende Beteiligung von Patientenvertretern zu realisieren.

In denjenigen Fällen, in denen die Angemessenheitsprüfung ergibt, dass der Standpunkt der Betroffenen einzuholen ist, ist des Weiteren fraglich, ob die Regelung auch eine Informationspflicht zur Meinungsbildung der Betroffenen vorsieht. Davon ist auszugehen, da Betroffene ihren Standpunkt nur einbringen können, wenn ihnen alle benötigten Informationen zur Verfügung gestellt werden. Die Regelung kann auch einzelne Personen adressieren.

Informationen, die einem besonderen Geheimhaltungsschutz unterworfen sind, sind hiervon entsprechend Art. 35 Abs. 9 DS-GVO nicht betroffen. Denn die Einholung des Standpunktes erfolgt „unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge“. Insbesondere sind somit Informationen, deren Bekanntwerden für öffentliche Interessen oder der Sicherheit der Verarbeitung Nachteile beinhalten, nicht von dieser Informationspflicht betroffen.

In Fällen einer automatisierten Verarbeitung, „die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen“ ist ggf. unabhängig vom Umfang der Verarbeitung eine DSFA durchzuführen.

Auch wenn die DS-GVO lediglich vorschreibt, dass der Standpunkt einzuholen ist, dürfte davon auszugehen sein, dass sich der Verantwortliche mit dem dargelegten Standpunkt bzw. den Standpunkten auch auseinandersetzen und in der Datenschutz-Folgenabschätzung darauf eingehen muss, da die Regelung ansonsten ins Leere liefe.

3.5.3    Überprüfung durch den Verantwortlichen, Art. 35 Abs. 11 DS-GVO

Gemäß Art. 35 Abs. 11 DS-GVO hat der Verantwortliche erforderlichenfalls zu überprüfen, ob die im Rahmen der DSFA festgelegten Prozesse und Standards bei der Datenverarbeitung umgesetzt werden. Erforderlich ist eine Überprüfung zumindest dann, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.

3.5.4    Rechenschaftspflicht, Art. 5 Abs. 2 DS-GVO

Auch für die Datenschutzfolgenabschätzung gilt die in Art. 5 Abs. 2 DS-GVO definierte „Rechenschaftspflicht“. Nach dieser Pflicht muss der Verantwortliche nachweisen können, dass die Datenverarbeitung (zu jeder Zeit) rechtskonform erfolgt(e). Diese gesetzliche Anforderung hat mithin zur Konsequenz, dass bei einer Änderung von Verfahren, die eine erneute DSFA erfordern, eine Historie vorhanden ist, um damit die Einhaltung der Vorgaben der DS-GVO auch für den zurückliegenden Zeitraum nachweisen zu können.

3.6  Verantwortlichkeiten, Art. 35 Abs. 1, Art. 4 Nr. 7 DS-GVO

Verantwortlich für die Durchführung einer DSFA ist „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“, also der „Verantwortliche“ im Sinne des Art. 4 Nr. 7 DS-GVO. Der Verantwortliche muss gewährleisten, dass sowohl die Erforderlichkeit einer DSFA bei entsprechenden Verarbeitungsverfahren geprüft wird als auch die Durchführung der DSFA, sofern die Prüfung dies ergibt.

In der Praxis dürfte deshalb diese Verantwortlichkeit der mit der Führung des Unternehmens / Organisation betrauten Person(en) obliegen, z. B. Geschäftsführer, Vorstand, etc. In einzelnen Ausnahmefällen kann jedoch auch eine einzelne natürliche Person wie beispielsweise die ein bestimmtes Forschungsprojekt durchführende ärztliche Person – ggf. gemeinsam mit der Geschäftsführung – als „Verantwortlicher“ anzusehen sein oder sogar als alleiniger Verantwortlicher.

Die Verantwortlichkeit kann nicht beim betrieblichen Datenschutzbeauftragten liegen vgl. Abschnitt 3.5.1.

3.7  Kumulierte Folgenabschätzung, Art. 35 Abs. 1 S. 2 DS-GVO

Oftmals ist es sinnvoll, die Betrachtung des „Verfahrens“ bzw. der Verarbeitung umfassender zu verstehen und eine DSFA nicht lediglich auf ein bestimmtes Projekt zu beziehen. So nennt etwa ErwGr. 92 nachfolgende Beispiele, die auch im Gesundheitsbereich Relevanz haben:

• Gemeinsame Anwendungen oder Verarbeitungsplattformen
• Verarbeitungsumgebung für einen gesamten Wirtschaftssektor
• Verarbeitungsumgebung für ein bestimmtes Marktsegment.

Dem Wortlaut dieses Erwägungsgrundes folgend, kann eine DSFA deshalb auch für ein entsprechendes Geschäftsmodell erfolgen. Für mehrere ähnliche/thematisch zusammenpassende Verarbeitungsvorgänge mit ähnlich hohem Risiko erlaubt Art. 35 Abs. 1 S. 2 DS-GVO daher eine gemeinsame DSFA. Dies ist im Sinne einer Klarstellung/Erleichterung zu verstehen, dass eine Verarbeitung aus mehreren einzelnen Verarbeitungsvorgängen bestehen kann.

Neben der Betrachtung des Gesamtrisikos adressiert die Möglichkeit einer gemeinsamen DSFA entsprechend ErwGr. 92 insbesondere auch „ökonomische“ sowie „vernünftige“ Gesichtspunkte. D. h. eine gemeinsame DSFA soll auch den ökonomischen und pragmatischen Zielen des Verarbeiters entsprechen.

Dabei sollte entsprechend ErwGr. 92 gerade bei Geschäftsmodellen nach Ansicht der Verfasser zweistufig vorgegangen werden. Auf der ersten Stufe sollten zunächst die abstrakten Risiken bewertet werden, die mit einem solchen Geschäftsmodell einhergehen können. In einem zweiten Schritt gilt es dann, die konkreten Risiken, die bei der Umsetzung in der Praxis bestehen können, zu bewerten.

So könnte beispielsweise eine (abstrakte) Datenschutz-Folgenabschätzung für einrichtungsübergreifende Gesundheitsaktensysteme erfolgen, die beispielsweise von einer wissenschaftlichen Fachgesellschaft durchgeführt wird. Im Rahmen der Umsetzung einer konkreten Schlaganfallakte würden dann durch deren Betreiber (= Verantwortlicher im Sinne der DS-GVO) diese abstrakte DSFA als Vorlage genutzt und für ihre konkrete, real existierende Anwendung erweitert werden. Hierbei werden die speziell in dieser Anwendung existierenden konkreten Risiken benannt und betrachtet.

3.8 Folgen/Vorherige Konsultation der Aufsichtsbehörde, ErwGr. 84, Art. 36 Abs. 1 DS-GVO

Die Ergebnisse der DSFA sind entsprechend ErwGr. 84 zu berücksichtigen, wenn darüber entschieden wird, welche geeigneten Maßnahmen ergriffen werden müssen,

1. damit die Verarbeitung der personenbezogenen Daten den Anforderungen der DS-GVO genügt und
2. um dies nachweisen zu können.

Geht aus einer DSFA hervor, dass Verarbeitungsvorgänge ein hohes Risiko bergen und der Verantwortliche dieses Risiko nicht durch geeignete Maßnahmen in Bezug auf verfügbare Technik und Implementierungskosten hinreichend eindämmen kann, so muss die Aufsichtsbehörde gemäß Art. 36 Abs. 1 DS-GVO vor der Verarbeitung konsultiert werden.

3.9  Bedeutung für das deutsche Gesundheitswesen

Kennzeichnend für das Gesundheitswesen ist die Verwendung von Gesundheitsdaten, ggf. auch von genetischen Daten. Daher werden im Bereich des Gesundheitswesens immer Daten der besonderen

Kategorien entsprechend Art. 9 DS-GVO verarbeitet. Zudem hat die Verarbeitung von personenbezogenen Daten im Bereich der Gesundheitsversorgung nahezu immer erheblichen Einfluss auf die betroffene Person. Ob eine Datenschutz-Folgenabschätzung erforderlich ist, entscheidet sich – unter der Maßgabe (siehe Kapitel 3.3), dass keine gesetzliche Grundlage eine Befreiung der Pflicht zur Datenschutz-Folgenabschätzung beinhaltet – dementsprechend an folgenden Fragestellungen:

• Beinhaltet die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen?
• Erfolgt eine „umfangreiche Verarbeitung“?
• Erfolgt eine systematische und umfassende Bewertung basierend auf einer Verarbeitung unter Einsatz von automatisierten Verfahren und dient diese Bewertung als Grundlage für Entscheidungen, welche eine „Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen“ kann. Im Rahmen der Gesundheitsversorgung ist hier ggf. also auch ein Einfluss auf die Gesundheit der betroffenen Person zu beachten.

Ist eine dieser Fragen mit „ja“ zu beantworten, so ist eine DSFA für die Verarbeitung unumgänglich.

Beispiele, wann eine DSFA erforderlich ist, finden sich in Kapitel 5.1.2.

Ist der Verantwortliche der Meinung, dass eine DSFA nicht erforderlich ist, ist die Einholung einer Zweitmeinung anzuraten. Denn kommt die Aufsichtsbehörde oder schlimmstenfalls ein Gericht zu der Auffassung, dass eine DSFA für die Verarbeitung der Gesundheitsdaten/genetischen Daten erforderlich gewesen wäre, so könnte die Verarbeitung ggf. auch einen Verstoß gegen die Vorgaben von Art. 5 DS-GVO darstellen, welcher mit einer höheren Geldbuße sanktioniert würde als ein Verstoß gegen Art. 35 bzw. 36 DS-GVO.

D. h., in allen Fällen, in denen man die Notwendigkeit einer DSFA nicht sicher ausschließen kann, sollte – unter entsprechender Dokumentation – dies vorab ausreichend geklärt werden. Insbesondere unter Berücksichtigung der Tatsache, dass eine DSFA ein Mittel zur Erfüllung der Rechenschaftspflicht im Sinne von Art. 5 DS-GVO darstellt, ist im Zweifelsfall die Durchführung einer DSFA anzuraten.

3.10 Sanktionierung

Wird eine Datenschutz-Folgenabschätzung nicht oder nicht richtig durchgeführt oder eine erforderliche Meldung an die Aufsichtsbehörde unterlassen, so erfüllen diese Handlungen bzw. die Unterlassung dieser Handlungen den Tatbestand des Art. 83 Abs. 4 lit. a DS-GVO. Eine Aufsichtsbehörde kann diesbezüglich ein Bußgeld von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs (je nachdem, welcher der Beträge höher ist) verhängen.

Bei der Verhängung des Bußgeldes sind auch die Vorgaben von Art. 83 Abs. 2 zu berücksichtigen, insbesondere sind zu beachten:

Tabelle 2: Bei der Verhängung eines Bußgeldes von Aufsichtsbehörden zu berücksichtigende Vorgaben

4 Vorgaben durch die Aufsichtsbehörden

Da eine einheitliche Anwendung der Regelungen der DS-GVO in der gesamten EU schwierig umzusetzen ist, werden den Aufsichtsbehörden – neben der Verpflichtung zu ihrer Zusammenarbeit– zahlreiche Aufgaben übertragen, um zu einer einheitlichen Anwendung beizutragen. Beispielhaft seien hier im Allgemeinen die Überwachung sowie Durchsetzung der Anwendung der DS-GVO, die Beratung von Betroffenen, die Sensibilisierung von Verantwortlichen und Auftragsverarbeitern hinsichtlich der ihnen aus der DS-GVO entstehenden Pflichten und viele mehr genannt.

Um zu einer einheitlichen Anwendung beizutragen, ist des Weiteren ein Europäischer Datenschutzausschuss gemäß Art. 68 DS-GVO einzurichten. Dieser setzt sich gemäß Art. 68 Abs. 3 DS-GVO aus den Leitern der Datenschutzbehörden der EU-Mitgliedstaaten sowie dem Europäischen Datenschutzbeauftragten zusammen. Entsprechend Art. 70 Abs. 1 lit. e DS-GVO gehört es zu den Aufgaben des Datenschutzausschusses, Leitlinien, Empfehlungen und bewährte Verfahren bereitzustellen, welche eine einheitliche Anwendung der DS-GVO in Europa gewährleisten. Insofern bestimmt letztlich der Datenschutzausschuss, wie die Regelungen der DS-GVO in Europa zu interpretieren sind. Die entsprechenden Ausarbeitungen liegen noch nicht vor und bleiben abzuwarten. Allerdings gilt es zu bedenken, dass der Datenschutzausschuss das bisher bekannte Beratungsgremium der Artikel-29-Datenschutzgruppe ersetzt, deren personellen Zusammensetzungen sich decken. Daher kommt den Ausarbeitungen / Empfehlungen der Artikel-29-Datenschutzgruppe – unter Berücksichtigung neuer Entwicklungen – bei der Interpretation der DS-GVO eine besondere Bedeutung zu.

Ergänzend muss klargestellt werden, dass die endgültige Entscheidungshoheit nicht bei den Aufsichtsbehörden liegt, sondern bei den zuständigen Gerichten, d. h. den nationalen Gerichten, aber insbesondere auch dem Europäischen Gerichtshof (EuGH). Dies wird aus Art. 78 DS-GVO deutlich, welcher das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde beinhaltet.

4.1  Listen von Verarbeitungsvorgängen

Gemäß Art. 35 Abs. 4 DS-GVO muss die Aufsichtsbehörde eine Liste der Verarbeitungsvorgänge erstellen und veröffentlichen, für die eine DSFA zwingend erforderlich ist. Diese Liste muss dem europäischen Datenschutz-Ausschuss übermittelt werden (sog. „Positivliste“).

Weiterhin kann die Aufsichtsbehörde eine Liste von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung durchzuführen ist, Art. 35 Abs. 5 DS-GVO. Auch diese Liste muss dem europäischen Datenschutz-Ausschuss übermittelt werden (sog. „Negativliste“).

In Deutschland besteht diesbezüglich die Besonderheit, dass 18 verschiedene Aufsichtsbehörden existieren, die entsprechende Listen erstellen müssen/können. Um einheitliche Rahmenbedingungen in Deutschland zu gewährleisten, wird insofern die Forderung unterstützt, dass der nationale Gesetzgeber die verschiedenen Aufsichtsbehörden zur Koordination beim Erlass der entsprechenden Listen im Sinne von Art. 35 Abs. 4 sowie 5 DS-GVO verpflichtet. Die Datenschutzkonferenz (DSK) stellt als das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder und bemüht sich, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen.

4.2  Eine DSFA ist erforderlich …

Am 4. April 2017 veröffentlichte die Artikel-29-Datenschutzgruppe eine Orientierungshilfe (Arbeitspapier 248), in welcher sie aus ihrer Sicht darstellte, wann eine DSFA zu erfolgen hat.

Grundsätzlich muss eine DSFA nach Ansicht der Artikel-29-Datenschutzgruppe immer dann erfolgen, wenn eine Verarbeitung ein hohes Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen Personen mit sich bringt. Wenn seitens des Verantwortlichen nicht eindeutig zu bestimmen ist, ob eine DSFA notwendig ist oder nicht, empfiehlt die Artikel-29-Datenschutzgruppe die Durchführung einer DSFA.

Weiterhin führt die Artikel-29-Datenschutzgruppe aus, dass es sich bei der Aufzählung in Art. 35 Abs. 3 DS-GVO nicht um eine abschließende Aufzählung handelt, sondern lediglich Beispiele von Verarbeitungen aufgezeigt werden, die in einem hohen Risiko münden. Die Artikel-29-Datenschutzgruppe erstellte 10 Kriterien, an Hand derer Verantwortliche Verarbeitungen identifizieren können, denen ein hohes Risiko innewohnt:

1. Bewertung/Scoring (inklusive Profiling) von sie betreffenden persönlichen Aspekten, insbesondere „zur Analyse oder Prognose von Aspekten bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten, Aufenthaltsort oder Ortswechsel der betroffenen Person“ (ErwGr. 71, 91)
2. Automatisierte Entscheidungsfindung, welche als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen
3. Systematische Überwachung: Verarbeitung, die genutzt wird, um natürliche Personen zu beobachten, überwachen oder zu kontrollieren
4. Verarbeitung sensibler Daten, dazu gehört insbesondere die Verarbeitung von Daten, welche zu den besonderen Kategorien gemäß Art. 9 oder zu den in Art. 10 genannten Daten bzgl. strafrechtliche Verurteilungen und Straftaten gehören
5. Verarbeitung großer Mengen an Daten: die DS-GVO definiert nicht, was eine „große Menge“ ist, die Artikel29-Datenschutzgruppe geht von der Erfüllung der Anforderung aus, wenn
   1. die Anzahl der betroffenen Personen hoch ist, sei es numerischer Natur oder prozentual bzgl. einer bestimmten Populatio oder
   2. die Datenmenge groß ist oder die Heterogenität der Daten hoch ist oder
6. die Verarbeitungsdauer oder die Speicherdauer sehr lang ist oder
7. die geografische Ausdehnung der Verarbeitungsaktivität hoch ist
8. Datenbestände, die entweder aufeinander abgestimmt („been matched“) oder zusammengeführt wurden
9. Verarbeitung von Daten schutzbedürftiger Personen (i. S. v. ErwGr. 71): Hier kann eine DSFA z. B. auf Grund eines bestehenden Ungleichgewichts, wie es, z. B. zwischen Arbeitgeber und Arbeitnehmer existiert, erforderlich sein, ebenso besitzen Kinder einen hohen Schutzbedarf, da diese die Folgen der Verarbeitung ggf. nicht abschätzen können
10. Innovative Nutzung oder Anwendung technologischer oder organisatorischer Lösungen: Einerseits kann die Anwendung neuer Technologe eine DSFA erforderlich machen (Art. 35 Abs. 1 DS-GVO bzw. ErwGr. 89, 91), andererseits können eingesetzte Lösungen, wie z. B. die Kombination von Fingerabdruckscannern mit Gesichtserkennung zur Zugangskontrolle für sensible Bereiche, ein hohes Risiko für die betroffenen Personen beinhalten
11. Datentransfer außerhalb der EU (ErwGr. 116)
12. Wenn die Verarbeitungsvorgänge den betroffenen Personen die Ausübung ihrer Rechte erschweren (Art. 22 DS-GVO, ErwGr. 91)

Je mehr der oben genannten Kriterien auf das Verarbeitungsvorhaben zutreffen, desto höher ist nach Meinung der Artikel-29-Datenschutzgruppe die Wahrscheinlichkeit, dass das Verarbeitungsvorhaben ein hohes Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen Personen beinhaltet. In einigen Fällen wird nach Ansicht der Artikel-29-Datenschutzgruppe aber auch schon die Erfüllung eines Kriteriums ausreichen, um eine DSFA erforderlich zu machen.

4.2.1    Beispiel „hospital information system“

Die Artikel-29-Datenschutzgruppe führt in ihrem Arbeitspapier 248 weiter aus, dass eine DSFA für „a general hospital keeping patients’ medical records“ erforderlich ist. Beispielhaft führt sie in dem Arbeitspapier aus, dass für ein „hospital information system“ eine DSFA grundsätzlich erforderlich ist.

So wie bei sämtlichen anderen Datenschutzbeauftragten ist auch bei den Mitgliedern der Artikel-29-Datenschutzgruppe – und auch beim späteren Datenschutz-Ausschuss – das gesetzlich geforderte Fachwissen vorhanden. Bei der Interpretation der an das Fachpublikum gerichteten Informationen muss somit das jeweils aktuelle rechtliche, betriebswirtschaftliche, informationstechnische und branchenspezifische Fachwissen herangezogen werden. Im Gesundheitswesen beinhaltet das „branchenspezifische Fachwissen“ sowohl das entsprechende medizinische Fachwissen bzgl. Aufbau und Organisation der verantwortlichen Stelle sowie deren Ablaufstrukturen im medizinischen Bereich, als auch spezielle Kenntnisse in medizinischer Informatik. Diese Bereiche müssen daher zur Interpretation der Arbeitspapiere der Artikel-29-Datenschutzgruppe herangezogen werden. Nur so können branchenspezifische Fachbegriffe, wie z. B. „hospital information system“, in den Papieren der Artikel-29-Datenschutzgruppe richtig interpretiert werden.

Insofern liegt dem Verständnis eines HIS ein anderes Verständnis zugrunde als der Beschreibung eines KIS in der Orientierungshilfe Krankenhausinformationssysteme der deutschen Aufsichtsbehörden. Unabhängig von begrifflichen Feinziselierungen – die OH KIS definiert zusätzlich auch noch den Begriff eines PAS (Patientenaktensystems) – sollte der Fokus der Praxis eher auf die konkreten Verarbeitungsvorgänge gerichtet werden. Wenn ein konkreter Verarbeitungsvorgang aus materiell rechtlichen Gründen eine DSFA erfordert, ist die Unterscheidung eher akademisch, ob dieser in einem HIS, KIS oder PAS erfolgt.

4.3  Eine DSFA ist nicht erforderlich …

Entsprechend des o.g. Arbeitspapiers 248 der Artikel-29-Datenschutzgruppe ist eine DSFA insbesondere dann nicht erforderlich, wenn

• die Verarbeitung „wahrscheinlich [kein] hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt“ (Art. 35 Abs. 1 DS-GVO)

oder

• sich die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung von denen einer anderen Verarbeitung, für die bereits eine DSFA durchgeführt wurde, nur in geringem Maße unterscheiden (Art. 35 Abs. 1 DS-GVO)

oder

• die Verarbeitungsvorgänge vor Mai 2018 von einer Aufsichtsbehörde unter bestimmten Bedingungen geprüft worden sind, die sich nicht geändert haben

oder

• ein Verarbeitungsvorgang gemäß Artikel 6 Absatz 1 Buchstabe c oder e auf einer Rechtsgrundlage im Unionsrecht oder im Recht der Mitgliedstaaten beruht und diese Rechtsvorschrift den konkreten Verarbeitungsvorgang regelt und falls bereits im Rahmen der

Schaffung dieser Rechtsgrundlage eine DSFA erfolgte (Art. 35 Abs. 10 DS-GVO), es sei denn, ein Mitgliedstaat erklärt, dass es notwendig ist, vor den fraglichen Verarbeitungstätigkeiten eine DSFA durchzuführen

oder

• der Verarbeitungsvorgang auf einer (von der Aufsichtsbehörde erstellten) optionalen Liste der Verarbeitungsvorgänge aufgeführt ist, für die keine DSFA erforderlich ist (Art. 35 Abs. 5).

4.4  Vorgehen bei einer DSFA

Es gibt verschiedene Methoden, eine DSFA anzulegen. Welche der Verantwortliche nimmt, bleibt ihm überlassen. Im Anhang 1 des Arbeitspapieres 248 zählt die Artikel-29-Datenschutzgruppe einige Möglichkeiten auf, ohne einzelnen hierbei einen Vorzug einzuräumen.

4.5  DSFA als dynamischer Prozess

Eine DSFA muss mindestens den Anforderungen von Art. 35 Abs. 7 DS-GVO in Verbindung mit ErwGr. 84 und 90 genügen. Der Prozess der Erstellung einer DSFA wird von der Artikel-29-Datenschutzgruppe als PDCA-Zyklus angesehen und sollte mindestens alle 3 Jahre erneuert werden, je nach Art der Verarbeitung und der Anzahl der Änderungen im Verarbeitungsprozess auch früher. Auch wenn die Verordnung selbst keine Pflicht zu einer turnusmäßigen Erneuerung / Kontrolle vorschreibt, sollte dieser Empfehlung gefolgt werden. Indirekt ergibt sich die Notwendigkeit entsprechender Kontrollen nämlich daraus, dass es regelmäßiger Prüfungen bedarf, ob eine Veränderung des Risikos eingetreten ist.

Eine Veröffentlichung der DSFA ist gesetzlich nicht gefordert, wird aber von der Artikel-29-Datenschutzgruppe im Sinne des Transparenzgedankens empfohlen. Dabei muss nicht zwangsläufig die vollständige DSFA veröffentlicht werden, insbesondere nicht die Teile einer DSFA, welche ggf. Sicherheitsrisiken oder Firmengeheimnisse des Verarbeiters enthüllen würde.

Bundesverband Gesundheits-IT e. V.; Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V.; Arbeitskreis „Datenschutz und IT-Sicherheit im Gesundheitswesen“; Deutsche Krankenhausgesellschaft e. V.