Logo

GMDS Arbeitsgruppe
„Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG)

Datenschutzhinweise   Cookie-Hinweise   Impressum   Kontakt   Sitemap
Veranstaltungskalender

Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO

Eine Datenschutz-Folgenabschätzung (abgekürzt DSFA) soll in den Fällen, in denen eine Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, helfen, die Risiken zu minimieren und durch Darstellung der Maßnahmen zur Reduzierung der Risiken auch für Dritte nachvollziehbar aufzeigen, wie Verantwortliche für die Datenverarbeitung mit diesen Risiken umgehen.
Dabei beschreibt Art. 35 DS-GVO verschiedene Fälle, in denen eine DSFA erfolgen muss. Unabhängig davon steht es jedem Verantwortlichen selbstverständlich frei, auch in anderen Fällen eine DSFA durchzuführen, beispielsweise zur Darstellung der Einhaltung der Vorgaben der DS-GVO hinsichtlich der Sicherheit der Verarbeitung.
Art. 35 DS-GVO definiert die Mindestanforderungen an die Inhalte einer DSFA. Demzufolge sind diese Mindestinhalte
  1. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge;
  2. eine systematische Beschreibung der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
  3. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  4. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Art. 35 Abs. 1 DS-GVO;
  5. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass die Anforderungen der DS-GVO eingehalten werden, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger betroffener Personen Rechnung getragen wird.
In dieser Praxishilfe wird auf Hinweise der Artikel-29-Datenschutzgruppe ebenso wie auf international bestehende Erfahrungen zur DSFA zurückgegriffen und dargestellt, wie mit dieser Thematik umgegangen werden kann.
In der nunmehr vorliegenden zweiten Version wurden viele, wenngleich nicht alle Punkte aufgegriffen, die von den deutschen Aufsichtsbehörden zur Version 1 angemerkt wurden. An dieser Stelle herzlich Dank an den Arbeitskreis „Gesundheit und Soziales“ der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder: die konstruktiven Rückmeldungen trugen wesentlich dazu bei, diese Praxishilfe noch weiter zu verbessern.

Hinweis: Ein Beispiel für die Umsetzung einer DSFA ist auch verfügbar.

Die Ausarbeitung wurde unter einen Creative Commons-Lizenz (4.0 Deutschland Lizenzvertrag) veröffentlicht. Um sich die Lizenz anzusehen, gehen Sie bitte ins Internet auf die Webseite https://creativecommons.org/licenses/by-sa/4.0/deed.de bzw. für den vollständigen Lizenztext auf die Webseite https://creativecommons.org/licenses/by-sa/4.0/legalcode.

Download der Ausarbeitung:

(Stand: 2019-09-17)