Datenschutzfolgenabschätzung

Die Datenschutzfolgenabschätzung (DSFA) ist ein Verfahren nach Art. 35 DSGVO, das Verantwortliche durchführen müssen, bevor sie eine neue Verarbeitungstätigkeit einführen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. In Arztpraxen ist sie relevant bei der Einführung neuer Patientenverwaltungssoftware, der Anbindung an die Telematikinfrastruktur, dem Einsatz von KI-gestützten Diagnosesystemen oder der systematischen Verarbeitung genetischer oder biometrischer Daten.

Bedeutung für Ärzte

Eine DSFA umfasst: systematische Beschreibung der geplanten Verarbeitung, Bewertung der Notwendigkeit und Verhältnismäßigkeit, Abschätzung der Risiken für Betroffene, Maßnahmen zur Risikominimierung. Ergibt die DSFA, dass das Restrisiko trotz Maßnahmen hoch bleibt, muss die zuständige Datenschutzbehörde vorab konsultiert werden (Art. 36 DSGVO). Die Durchführung ohne pflichtgemäße DSFA kann Bußgelder nach Art. 83 Abs. 4 DSGVO von bis zu 10 Millionen Euro auslösen. Für kleinere Praxen ist die DSFA nur bei wirklich neuen, hochriskanten Verarbeitungen erforderlich.

Abgrenzung

Die DSFA ist nicht mit dem allgemeinen Verarbeitungsverzeichnis (Art. 30 DSGVO) zu verwechseln, das alle laufenden Verarbeitungstätigkeiten dokumentiert. Das Verarbeitungsverzeichnis ist ein Pflichtdokument für jede Praxis; die DSFA ist anlassbezogen nur bei neuen, risikoreichen Verarbeitungen notwendig.

Beispiel

Eine Praxis will ein KI-gestütztes Diagnoseunterstützungssystem einführen, das Befunddaten vollautomatisch auswertet. Da es sich um eine systematische, umfangreiche Verarbeitung von Gesundheitsdaten handelt, ist eine DSFA zwingend. Der externe Datenschutzbeauftragte führt die DSFA durch und empfiehlt technische Schutzmaßnahmen. Ärzteversichert empfiehlt, jede neue IT-Einführung datenschutzrechtlich vorab prüfen zu lassen.

Quellen

• BaFin – Bundesanstalt für Finanzdienstleistungsaufsicht
• Bundesministerium für Gesundheit