Datenschutzfolgenabschätzung

Die Datenschutzfolgenabschätzung (DSFA, englisch: Data Protection Impact Assessment, DPIA) ist eine nach Art. 35 DSGVO verpflichtende systematische Vorabprüfung, die Risiken einer geplanten Datenverarbeitung für die Rechte und Freiheiten betroffener Personen bewertet und Maßnahmen zur Risikominimierung dokumentiert.

Bedeutung für Ärzte

In Arztpraxen ist eine DSFA insbesondere dann Pflicht, wenn neue IT-Systeme eingeführt werden, die Gesundheitsdaten in großem Umfang verarbeiten, etwa eine elektronische Patientenakte (ePA), ein KI-gestütztes Diagnosesystem oder eine neue Praxissoftware mit Cloud-Speicherung. Da Gesundheitsdaten zu den sensibelsten Datenkategorien der DSGVO gehören (Art. 9), ist die Schwelle für eine DSFA-Pflicht niedrig. Die Aufsichtsbehörden veröffentlichen sogenannte Blacklists mit konkreten Verarbeitungstypen, die immer eine DSFA erfordern. Bei Nichtdurchführung drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.

Abgrenzung

Die DSFA ist von der allgemeinen Datenschutz-Dokumentation (Verarbeitungsverzeichnis nach Art. 30 DSGVO) zu unterscheiden: Das Verarbeitungsverzeichnis listet alle Datenverarbeitungen auf, während die DSFA eine tiefgehende Risikoanalyse für besonders riskante Verarbeitungen darstellt. Außerdem ist die DSFA keine einmalige Maßnahme, sondern muss bei wesentlichen Systemänderungen wiederholt werden.

Beispiel

Eine Orthopädie-Praxis plant, ein KI-System zur automatisierten Röntgenauswertung einzuführen. Vor der Einführung erstellt der Datenschutzbeauftragte eine DSFA, bewertet Risiken für Patientenrechte, prüft Datensicherheitsmaßnahmen und konsultiert die zuständige Aufsichtsbehörde. Erst nach Abschluss der DSFA mit dokumentierten Schutzmaßnahmen wird das System aktiviert.

Ärzteversichert weist darauf hin, dass eine unterlassene DSFA auch zivilrechtliche Haftungsansprüche auslösen kann, die durch eine spezielle Cyber- und Datenschutzversicherung abgesichert werden können.

Quellen: DSGVO Art. 35-36, Datenschutzkonferenz (DSK) Kurzpapier Nr. 5, Blacklists der Landesdatenschutzbehörden.