Die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist ein unterschätztes Instrument – und gleichzeitig eine gesetzliche Pflicht, die viele Arztpraxen nicht kennen. Wer neue Technologien einführt, Gesundheitsdaten im großen Umfang verarbeitet oder systematisches Monitoring betreibt, muss vorab eine strukturierte Risikobewertung durchführen. Diese Checkliste zeigt Ihnen, wann und wie eine DSFA durchzuführen ist.

Die Checkliste

  1. Prüfen, ob eine DSFA verpflichtend ist: Eine DSFA ist nach Art. 35 Abs. 1 DSGVO erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen erzeugt. Die Aufsichtsbehörden veröffentlichen Positivlisten, die konkrete Verarbeitungstypen nennen – prüfen Sie diese.
  1. Typische DSFA-pflichtige Verarbeitungen in Arztpraxen identifizieren: Dazu gehören: systematische Verarbeitung von Gesundheitsdaten (Art. 9 DSGVO), Videoüberwachung in der Praxis, neue Telemedizin-Plattformen, KI-gestützte Diagnosetools und umfangreiche Patientenprofilierungen.
  1. Beschreibung der geplanten Verarbeitung erstellen: Die DSFA muss eine systematische Beschreibung der Verarbeitung enthalten: Zweck, Kategorien betroffener Personen, Datenflüsse, beteiligte Auftragsverarbeiter und Empfänger.
  1. Notwendigkeit und Verhältnismäßigkeit der Verarbeitung bewerten: Prüfen Sie, ob die Verarbeitung für den angestrebten Zweck notwendig ist und ob mildere Alternativen bestehen. Diese Bewertung muss schriftlich dokumentiert werden.
  1. Risiken für Betroffene systematisch bewerten: Identifizieren Sie konkrete Risiken: Datenverlust, unbefugter Zugriff, Diskriminierung durch algorithmische Entscheidungen, Datenmissbrauch. Bewerten Sie Eintrittswahrscheinlichkeit und Schwere der Auswirkungen.
  1. Maßnahmen zur Risikominderung festlegen: Für jedes identifizierte Risiko müssen konkrete technische und organisatorische Maßnahmen definiert werden, die das Risiko auf ein akzeptables Niveau reduzieren.
  1. Datenschutzbeauftragten in die DSFA einbeziehen: Falls ein DSB bestellt ist, muss er nach Art. 35 Abs. 2 DSGVO in die DSFA einbezogen werden. Dokumentieren Sie seine Beteiligung und eventuelle Stellungnahmen.
  1. Restrisiko bewerten und ggf. Aufsichtsbehörde konsultieren: Falls nach Risikoreduzierung ein hohes Restrisiko verbleibt, muss die zuständige Datenschutzaufsichtsbehörde konsultiert werden (Art. 36 DSGVO) – bevor die Verarbeitung beginnt.
  1. DSFA schriftlich dokumentieren und aufbewahren: Die vollständige DSFA muss schriftlich vorliegen und auf Anfrage der Aufsichtsbehörde vorgelegt werden können. Bewahren Sie sie dauerhaft auf.
  1. DSFA bei wesentlichen Änderungen aktualisieren: Eine DSFA gilt nicht für immer. Bei Änderungen der Verarbeitung (neue Funktionen, neuer Auftragsverarbeiter, neue Risiken) muss sie überprüft und ggf. aktualisiert werden.

Typische Fehler

  • DSFA erst nach Einführung neuer Systeme durchführen: Die DSFA muss vorab erfolgen – nicht im Nachhinein. Eine nachträgliche DSFA erfüllt die gesetzliche Anforderung nicht.
  • Keine Dokumentation der Risikobewertung: Eine mündliche Einschätzung genügt nicht – die DSFA muss schriftlich und strukturiert vorliegen.
  • DSB nicht einbezogen: Der Datenschutzbeauftragte muss nachweislich in die DSFA eingebunden worden sein – andernfalls ist das Verfahren fehlerhaft.

Fazit

Die Datenschutz-Folgenabschätzung ist ein wertvolles Instrument zur proaktiven Risikominimierung in der Arztpraxis. Ärzteversichert empfiehlt, bei jeder Einführung neuer Datenverarbeitungssysteme – von KI-Diagnosetools bis zu Telemedizin-Plattformen – zunächst zu prüfen, ob eine DSFA erforderlich ist. Weitere Artikel finden Sie in der Blog-Übersicht.

Quellen

Persönliche Beratung zu diesem Thema?

Kostenfreie Erstberatung anfragen →