Eine verbandsübergreifende Arbeitsgruppe bestehend aus Vertretern des Bundesverbandes Gesundheits-IT e.V. (bvitg), der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V. (GMDS, Arbeitsgruppe "Datenschutz und IT-Sicherheit im Gesundheitswesen") sowie der Deutsche Krankenhausgesellschaft e. V. hat eine gemeinsame Veröffentlichung zur Datenschutz-Folgenabschätzung vorgestellt.
Als Zielgruppe nennen die Autoren Verarbeiter von personenbezogenen Daten im Gesundheitswesen. Insbesondere versorgende Einrichtungen/Institutionen und medizinische Forscher sollen in dieser Ausarbeitung eine Unterstützung beim Umgang mit der DSFA finden.
Eine Datenschutz-Folgenabschätzung (abgekürzt DSFA) soll in den Fällen, in denen eine Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, helfen, die Risiken zu minimieren und durch Darstellung der Maßnahmen zur Reduzierung der Risiken auch für Dritte nachvollziehbar aufzeigen, wie Verantwortliche für die Datenverarbeitung mit diesen Risiken umgehen.
Dabei beschreibt Art. 35 DS-GVO verschiedene Fälle, in denen eine DSFA erfolgen muss. Unabhängig davon steht es jedem Verantwortlichen selbstverständlich frei, auch in anderen Fällen eine DSFA durchzuführen, beispielsweise zur Darstellung der Einhaltung der Vorgaben der DS-GVO hinsichtlich der Sicherheit der Verarbeitung.
Art. 35 DS-GVO definiert die Mindestanforderungen an die Inhalte einer DSFA.
Demzufolge sind diese Mindestinhalte
a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge;
b) eine systematische Beschreibung der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten
berechtigten Interessen;
c) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
d) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Art. 35 Abs. 1 DS-GVO;
e) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der
Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass die Anforderungen der DS-GVO eingehalten werden,
wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger betroffener Personen Rechnung getragen wird.
In dieser Praxishilfe wird auf Hinweise der Artikel-29-Datenschutzgruppe ebenso wie auf international bestehende Erfahrungen zur DSFA
zurückgegriffen und dargestellt, wie mit dieser Thematik umgegangen werden kann.
Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (GMDS) e.V.
German Association for Medical Informatics, Biometry and Epidemiology (GMDS)