Beispiel für eine Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO
Am Beispiel eines Krankenhaus-Informationssystems
Der Umgang mit der Datenschutz-Folgenabschätzung ist bisher in Deutschland weitestgehend unbekannt. Eine auf das Gesundheitswesen ausgerichtete Praxishilfe wurde erarbeitet und basierend auf dieser Praxishilfe soll das vorliegende Beispiel eine Hilfestellung bieten, wie eine Datenschutz-Folgenabschätzung umgesetzt werden kann.
Dieses Beispiel besteht aus verschiedenen Teilen:
Eine Beschreibung des Beispiel-Krankenhauses und des darin eingesetzten Krankenhaus-Informations-Systems; beides entspringt vollständig der Phantasie, wobei selbstverständlich darauf geachtet wurde, dass die Beschreibung reellen Anwendungen aus der täglichen Praxis entspricht.
Eine Umsetzung einer Datenschutz-Folgenabschätzung, basierend auf der beispielhaften Beschreibung. Diese Folgenabschätzung basiert auf zwei Teilen:
Der textuellen Beschreibung der zugrundeliegenden Sachverhalte.
Einer Excel-Tabelle, in welcher die Risiken sowie die Behandlung der Risiken beschrieben werden.
In der Excel-Tabelle können aus Platzgründen die technisch-organisatorischen Maßnahmen nicht vollumfänglich beschrieben werden; die Übersicht ginge verloren, wenn dies in der tabellenhaften Darstellung erfolgen würde. Daher wurde die ausführlichere Beschreibung dieser Maßnahmen in den Anhang der textuellen Beschreibung eingefügt.
Eine Datenschutz-Folgenabschätzung soll gemäß Art. 35 Abs. 7 lit. a DS-GVO eine „eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung“ beinhalten. Dies beinhaltet natürlich nicht, dass alles von Grund auf erklärt werden muss; in der Praxis gelebte und anerkannte Verfahren bedürfen keiner Erklärung. Zum Beispiel kann davon ausgegangen werden, dass bekannt ist, was unter einer medizinischen Untersuchung zu verstehen oder was HL7 ist. Auch diejenigen, die eine Datenschutz-Folgenabschätzung lesen und ggf. beurteilen, müssen die entsprechende Fachkenntnis aufweisen, zumindest in dem Rahmen, wie man es bei auch bei einem Datenschutzbeauftragten entsprechend den Vorgaben von Art. 37 Abs. 5 DS-GVO („auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens“) erwarten kann.
Eine systematische Beschreibung des geplanten Verarbeitungsvorgangs erfordert eine Erläuterung