Datenschutzfolgeabschätzung

Gemäß Art. 35 Abs. 3 lit. b DSGVO ist eine Datenschutzfolgeabschätzung im Falle der umfangreichen Verarbeitung sensibler personenbezogener Daten nach Art. 9 erforderlich. Nicht umfangreich sind laut Erwägungsgrund 91 DSGVO lediglich Datenverarbeitungen, die durch einen einzelnen Arzt oder sonstigen Angehörigen eines Gesundheitsberufes vorgenommen werden. Diese enge Auslegung wurde von den Datenschutzaufsichtsbehörden dahingehend erweitert, dass eine Verarbeitung mit weniger als zehn mit der Datenverarbeitung beschäftigten Personen keine umfangreiche Verarbeitung sein sollen.

„Die Datenschutz-Aufsichtsbehörden haben sich im Jahr 2018 darauf verständigt, dass eine Verarbeitung von Gesundheitsdaten bei Verantwortlichen mit weniger als 10 mit der Datenverarbeitung beschäftigten Personen weiterhin als nicht umfangreich im Sinne des Art. 37 Abs. 1 lit. c DS-GVO gelten soll.“
(Quelle: https://www.lfd.niedersachsen.de/startseite/themen/gesundheit/benennung_von_datenschutzbeauftra
gten_im_gesundheitswesen/datenschutz-im-gesundheitswesen-163647.html)

Leitlinien der WP 29 Arbeitsgruppe

Entsprechend den Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) der WP 29 Arbeitsgruppe in WP 248 Rev. 01 des EDSA ist eine DSFA dann erforderlich, wenn

  • Vertrauliche oder höchstpersönliche Daten (verarbeitet werden) … Hierfür seien als Beispiele ein allgemeines Krankenhaus genannt, das die Krankenakten seiner Patienten archiviert,
  • Daten zu schutzbedürftigen Betroffenen (verarbeitet werden) … als schutzbedürftige Betroffene gelten beispielsweise folgende Bevölkerungsgruppen: Kinder (bei ihnen kann nicht davon ausgegangen werden, dass sie in der Lage sind, der Verarbeitung ihrer Daten wissentlich und überlegt zu widersprechen bzw. zuzustimmen), Arbeitnehmer, Teile der Bevölkerung mit besonderem Schutzbedarf (psychisch Kranke, Asylbewerber, Senioren, Patienten usw.)
    (kursiv: Zitate aus dem Papier der Art. 29 Gruppe)

Erfüllt ein Verarbeitungsvorgang zwei dieser Kriterien, muss der für die Datenverarbeitung Verantwortliche in den meisten Fällen zu dem Schluss kommen, dass eine DSFA obligatorisch ist.

Quelle: Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“, Art. 29 Gruppe, WP 248 Rev. 01.

Eine Datenschutzfolgeabschätzung (DSFA) ist kein bürokratisches Monster

sondern ein hilfreicher Evaluationsprozesse, der große Einrichtungen im Gesundheitswesen und deren Patienten wirksam schützen kann. In der Regel sind an der Erstellung einer DSFA mindestens beteiligt:

  • eine Person als DSFA-Leitung
  • eine oder mehrere Verantwortliche
  • der Leiter oder die Leiterin der IT
  • der oder die zuständige Datenschutzbeauftragte
  • ggf. Dienstleister, die Komponenten des Kernprozesses betreuen, sofern das nicht inhouse geschieht

Eine DSFA nach Art. 35 ist als iterativer Prozess zu organisieren, bestehende technisch-organisatorische Maßnahmen sind regelmäßig zu überprüfen und ggf. nachzujustieren.

Wir helfen mit unserer Fachkompetenz diesen Prozess sinnvoll und kostengünstig zu organisieren. Gern führen wir mit Ihnen ein kostenfreies Erstgespräch zur Evaluierung des Bedarfs durch.