Datenschutz bei Gesundheitsdaten: Praxisleitfaden für Entwickler

Datenschutz bei Gesundheitsdaten: Praxisleitfaden für Entwickler

Inhaltsverzeichnis

Einleitung und Kurzüberblick für Entscheider

Der Datenschutz in Gesundheitsdaten ist kein optionales Feature, sondern das Fundament für Vertrauen und rechtliche Konformität digitaler Gesundheitsprodukte. Für Entwickler, Produktmanager und Gründer in Start-ups und KMU ist ein tiefes Verständnis der rechtlichen Rahmenbedingungen, insbesondere der Datenschutz-Grundverordnung (DSGVO auf Deutsch, GDPR auf Englisch), unerlässlich. Dieser Leitfaden bietet eine praxisorientierte Perspektive, um die komplexen Anforderungen greifbar zu machen und in konkrete, technische und organisatorische Maßnahmen zu übersetzen. Ziel ist es, Ihnen nicht nur die rechtlichen Pflichten, sondern auch die strategischen Vorteile eines robusten Datenschutzkonzepts aufzuzeigen, das die Akzeptanz bei Nutzern und Partnern maßgeblich steigert.

Für Entscheider zusammengefasst: Die Verarbeitung von Gesundheitsdaten unterliegt strengsten Regeln (Art. 9 DSGVO). Eine Datenschutz-Folgenabschätzung (DSFA) ist fast immer obligatorisch. Die Auswahl sicherer Kommunikationswege, die sorgfältige Prüfung von Dienstleistern und eine klare Strategie für Datentransfers sind entscheidend für den Erfolg und die rechtliche Absicherung Ihres Produkts. Ein proaktiver Ansatz, der den Datenschutz von Beginn an in den Entwicklungsprozess integriert („Privacy by Design“), minimiert Risiken und spart langfristig Kosten.

Warum Gesundheitsdaten besonders geschützt sind (Art. 9 DSGVO)

Gesundheitsdaten gehören gemäß Artikel 9 der DSGVO zu den „besonderen Kategorien personenbezogener Daten“. Dies bedeutet, ihre Verarbeitung ist grundsätzlich verboten, es sei denn, eine der eng definierten Ausnahmen trifft zu. Zu Gesundheitsdaten zählen alle Informationen, die sich auf den körperlichen oder geistigen Gesundheitszustand einer Person beziehen, einschließlich erbrachter Gesundheitsdienstleistungen, die Rückschlüsse auf ihren Gesundheitszustand zulassen.

Was macht sie so besonders?

  • Hohes Missbrauchspotenzial: Informationen über Krankheiten, genetische Veranlagungen oder psychische Zustände können zu Diskriminierung am Arbeitsplatz, bei Versicherungen oder im sozialen Umfeld führen.
  • Strikte Zweckbindung: Die Verarbeitung ist nur für klar definierte Zwecke erlaubt, die dem Betroffenen transparent kommuniziert wurden.
  • Erforderlichkeit einer expliziten Rechtsgrundlage: Die häufigsten Rechtsgrundlagen für die Verarbeitung sind die ausdrückliche Einwilligung des Patienten (Art. 9 Abs. 2 lit. a DSGVO) oder die Erforderlichkeit für Zwecke der Gesundheitsvorsorge, der medizinischen Diagnostik oder der Behandlung (Art. 9 Abs. 2 lit. h DSGVO).

Ein Verstoß gegen diese strengen Auflagen hat nicht nur empfindliche Bußgelder zur Folge, sondern führt unweigerlich zu einem massiven Vertrauensverlust bei den Nutzern. Der korrekte Umgang mit dem Datenschutz in Gesundheitsdaten ist daher ein zentraler Baustein für jedes digitale Gesundheitsprodukt.

Schnelleinstieg: 8 konkrete Schritte für KMU und Start-ups

Für Unternehmen, die digitale Gesundheitsprodukte entwickeln, ist ein strukturierter Ansatz entscheidend. Hier sind acht grundlegende Schritte, um den Datenschutz von Anfang an korrekt zu implementieren:

  1. Datenflüsse analysieren (Data Mapping): Identifizieren Sie präzise, welche Gesundheitsdaten an welcher Stelle in Ihrem System erfasst, verarbeitet, gespeichert und gelöscht werden.
  2. Rechtsgrundlage bestimmen: Legen Sie für jede einzelne Verarbeitungstätigkeit eine gültige Rechtsgrundlage gemäß Art. 6 und Art. 9 DSGVO fest (z. B. Einwilligung, Behandlungsvertrag).
  3. Datenschutz-Folgenabschätzung (DSFA) durchführen: Analysieren und bewerten Sie die Risiken für die Rechte und Freiheiten der Betroffenen. Bei der Verarbeitung von Gesundheitsdaten ist eine DSFA in der Regel verpflichtend.
  4. Technische und Organisatorische Maßnahmen (TOMs) definieren: Implementieren Sie konkrete Schutzmaßnahmen wie Verschlüsselung, Zugriffskontrollen und Pseudonymisierung.
  5. Datenschutzbeauftragten (DSB) benennen: Prüfen Sie, ob Sie gesetzlich zur Benennung eines DSB verpflichtet sind. Dies ist oft der Fall, wenn die Kerntätigkeit in der umfangreichen Verarbeitung sensibler Daten besteht.
  6. Auftragsverarbeitungsverträge (AVV) abschließen: Schließen Sie mit allen externen Dienstleistern (z. B. Cloud-Hostern, Analyse-Tools), die in Ihrem Auftrag Daten verarbeiten, rechtssichere AVVs ab.
  7. Einwilligungsmanagement etablieren: Sofern die Verarbeitung auf einer Einwilligung beruht, muss dieser Prozess DSGVO-konform sein: freiwillig, informiert, spezifisch und widerrufbar.
  8. Verzeichnis von Verarbeitungstätigkeiten (VVT) führen: Dokumentieren Sie alle Verarbeitungsprozesse lückenlos in Ihrem VVT. Dies ist eine gesetzliche Pflicht und die Grundlage für die Rechenschaftspflicht.

DSFA praktisch: Muster, Schritt-für-Schritt-Ausfüllhilfe und Beispielanalyse

Die Datenschutz-Folgenabschätzung (DSFA), oft auch mit dem englischen Kürzel DPIA (Data Protection Impact Assessment auf Englisch) bezeichnet, ist ein zentrales Werkzeug zur Risikoanalyse im Datenschutz. Für Gesundheitsdaten ist sie fast immer ein Muss.

Schritt-für-Schritt zur DSFA

  1. Beschreibung der Verarbeitungsvorgänge:
    • Art, Umfang, Kontext und Zwecke: Beschreiben Sie detailliert, welche Daten wie und warum verarbeitet werden. Beispiel: Eine App zur Diabetes-Überwachung erhebt Blutzuckerwerte, Aktivitätsdaten und Mahlzeiten zur Erstellung eines personalisierten Gesundheitsprofils.
    • Beteiligte Akteure: Wer ist der Verantwortliche, wer sind die Auftragsverarbeiter, wer hat Zugriff auf die Daten?
  2. Bewertung der Notwendigkeit und Verhältnismäßigkeit:
    • Rechtsgrundlage: Auf welcher Basis erfolgt die Verarbeitung (z. B. Einwilligung)?
    • Zweckbindung: Ist die Datenerhebung auf das absolut Notwendige beschränkt (Datenminimierung)?
  3. Risikoanalyse für die Betroffenen:
    • Identifizierung der Risiken: Was könnte schiefgehen? (z. B. unbefugter Zugriff, Datenverlust, fehlerhafte Daten, Diskriminierung durch Datenleak).
    • Bewertung der Eintrittswahrscheinlichkeit und Schwere: Wie wahrscheinlich ist das Risiko und wie gravierend wären die Folgen für die Person?
  4. Geplante Abhilfemaßnahmen:
    • TOMs: Welche technischen (z. B. Ende-zu-Ende-Verschlüsselung) und organisatorischen (z. B. Schulungen, Zugriffskonzepte) Maßnahmen werden ergriffen, um die identifizierten Risiken zu minimieren?

Beispielanalyse für eine Telemedizin-App: Ein hohes Risiko besteht bei der Videoübertragung der Arzt-Patienten-Kommunikation. Eine Abhilfemaßnahme wäre die zwingende Implementierung einer sicheren Ende-zu-Ende-Verschlüsselung und die Auswahl eines zertifizierten europäischen Videodienstanbieters, mit dem ein AVV geschlossen wurde.

Technische und organisatorische Maßnahmen (TOMs) speziell für mHealth und Kliniksoftware

Die Auswahl und Implementierung der richtigen technischen und organisatorischen Maßnahmen (TOMs) ist entscheidend für den Schutz von Gesundheitsdaten. Hier einige praxisrelevante Beispiele:

Technische Maßnahmen (TOMs)

  • Verschlüsselung: Daten müssen sowohl bei der Übertragung (in transit, z. B. durch TLS 1.3) als auch bei der Speicherung (at rest, z. B. Festplattenverschlüsselung, Datenbankverschlüsselung) stark verschlüsselt werden.
  • Pseudonymisierung und Anonymisierung: Wo immer möglich, sollten direkte Personenbezüge entfernt werden. Die Schlüssel zur Wiederherstellung der Identität müssen getrennt und sicher aufbewahrt werden.
  • Strenge Zugriffskontrollen: Implementieren Sie ein Rollen- und Berechtigungskonzept nach dem Need-to-know-Prinzip. Jeder Mitarbeiter darf nur auf die Daten zugreifen, die er für seine Aufgabe zwingend benötigt. Multi-Faktor-Authentifizierung (MFA) sollte Standard sein.
  • Sichere Softwareentwicklung (Secure SDLC): Integrieren Sie Sicherheitspraktiken wie Code-Reviews, Penetrationstests und statische Code-Analysen in den Entwicklungsprozess, um Schwachstellen frühzeitig zu erkennen.
  • Protokollierung (Logging): Alle Zugriffe auf Gesundheitsdaten müssen lückenlos und revisionssicher protokolliert werden, um unbefugte Aktivitäten nachvollziehen zu können.

Organisatorische Maßnahmen (TOMs)

  • Datenschutzschulungen: Regelmäßige und verpflichtende Schulungen für alle Mitarbeiter, die mit Gesundheitsdaten in Kontakt kommen.
  • Incident-Response-Plan: Ein detaillierter Notfallplan, der festlegt, wie im Falle einer Datenpanne reagiert wird (Meldepflichten, Kommunikation, technische Eindämmung).
  • Richtlinien zur Datennutzung: Klare interne Weisungen zum Umgang mit Daten, zur Nutzung von Geräten und zur sicheren Datenlöschung.
  • Sorgfältige Auswahl von Dienstleistern: Ein strukturierter Prozess zur Überprüfung der Datenschutzkonformität von externen Partnern.

Kommunikation mit Patienten: Risikoabschätzung für E-Mail, WhatsApp, SMS und sichere Alternativen

Die direkte Kommunikation mit Patienten birgt erhebliche Datenschutzrisiken, wenn unsichere Kanäle genutzt werden. Eine sorgfältige Risikoabschätzung ist unerlässlich.

Kommunikationskanal Risikoanalyse Empfehlung
Standard-E-Mail Hohes Risiko. Oft unverschlüsselte Übertragung (“Postkartenprinzip”). Metadaten und Inhalte können von Providern eingesehen werden. Drittstaatentransfer (z. B. bei US-Providern) ist wahrscheinlich. Nur für organisatorische, nicht-sensible Informationen nach vorheriger Einwilligung nutzen. Für sensible Daten sind Ende-zu-Ende-verschlüsselte Lösungen erforderlich.
WhatsApp / andere Consumer-Messenger Sehr hohes Risiko. Metadaten-Analyse durch den Anbieter. Mangelnde Transparenz über Datenflüsse in Drittstaaten (USA). Unklare Trennung von privaten und beruflichen Kontakten. Verstoß gegen die DSGVO ist sehr wahrscheinlich. Für die Kommunikation von Gesundheitsdaten ungeeignet und strikt zu vermeiden.
SMS Hohes Risiko. Übertragung erfolgt unverschlüsselt im Mobilfunknetz und ist für Dritte potenziell einsehbar. Nur für sehr allgemeine Informationen (z. B. Terminerinnerung ohne Angabe des Grundes) nach Einwilligung verwenden.

Sichere Alternativen für 2025 und darüber hinaus

  • Patientenportale mit gesichertem Login: Bieten eine geschützte Umgebung für Kommunikation, Dokumentenaustausch und Terminverwaltung.
  • Zertifizierte Gesundheits-Messenger: Speziell für den medizinischen Bereich entwickelte Apps, die Ende-zu-Ende-Verschlüsselung und DSGVO-Konformität garantieren (z. B. Siilo, Threema Work).
  • Ende-zu-Ende-verschlüsselte E-Mail-Dienste: Einsatz von Standards wie S/MIME oder PGP oder Nutzung spezialisierter Anbieter.

Auftragsverarbeitung und externe Dienstleister: Vertragspunkte und Prüfpfad

Sobald Sie einen externen Dienstleister (z. B. für Cloud-Hosting, Software-Wartung, Analyse-Tools) mit der Verarbeitung von Gesundheitsdaten beauftragen, agiert dieser als Auftragsverarbeiter. Sie als Verantwortlicher bleiben jedoch vollumfänglich für den Datenschutz haftbar. Die rechtliche Grundlage dieser Zusammenarbeit ist der Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.

Wesentliche Vertragspunkte eines AVV

  • Gegenstand und Dauer der Verarbeitung: Genaue Beschreibung, welche Daten zu welchem Zweck verarbeitet werden.
  • Technische und organisatorische Maßnahmen (TOMs) des Dienstleisters: Der AVV muss konkrete Sicherheitsmaßnahmen festschreiben.
  • Umgang mit Unterauftragnehmern: Der Dienstleister darf weitere Subunternehmer nur mit Ihrer vorherigen schriftlichen Genehmigung einsetzen.
  • Weisungsgebundenheit: Der Auftragsverarbeiter darf die Daten nur nach Ihren dokumentierten Weisungen verarbeiten.
  • Unterstützungspflichten: Der Dienstleister muss Sie bei der Erfüllung von Betroffenenrechten, bei der DSFA und bei der Meldung von Datenpannen unterstützen.
  • Rückgabe und Löschung der Daten: Nach Vertragsende müssen die Daten nach Ihrer Wahl zurückgegeben oder sicher gelöscht werden.

Prüfpfad zur Auswahl von Dienstleistern

  1. Anforderungsdefinition: Welche Datenschutz- und Sicherheitsanforderungen muss der Dienstleister erfüllen?
  2. Marktanalyse: Identifizieren Sie Anbieter, die sich auf den Gesundheitssektor spezialisiert haben oder relevante Zertifizierungen (z. B. ISO 27001, C5) vorweisen können.
  3. Selbstauskunft und AVV-Prüfung: Fordern Sie eine detaillierte Selbstauskunft zum Datenschutz an und prüfen Sie den Vertragsentwurf des AVV sorgfältig.
  4. Risikobewertung: Bewerten Sie das verbleibende Risiko, insbesondere bei Anbietern außerhalb der EU.
  5. Dokumentation: Halten Sie den gesamten Auswahl- und Prüfprozess schriftlich fest.

Grenzüberschreitende Übermittlungen: Entscheidungspfad zu Angemessenheitsbeschlüssen und Standardvertragsklauseln

Die Übermittlung von Gesundheitsdaten in Länder außerhalb der EU/EWR (sogenannte Drittstaaten) ist eine der größten Herausforderungen im Datenschutz. Ein solcher Transfer ist nur unter strengen Voraussetzungen zulässig.

Entscheidungspfad für Drittstaatentransfers

  1. Prüfung eines Angemessenheitsbeschlusses:
    • Frage: Hat die EU-Kommission für das Zielland ein angemessenes Datenschutzniveau festgestellt (z. B. Schweiz, Kanada)?
    • Antwort Ja: Der Datentransfer ist ohne weitere Garantien zulässig.
    • Antwort Nein: Gehe zu Schritt 2.
  2. Nutzung geeigneter Garantien:
    • Frage: Können Standardvertragsklauseln (SVK auf Deutsch, SCC auf Englisch) der EU-Kommission verwendet werden?
    • Antwort Ja: Schließen Sie die aktuellen SVK mit dem Datenempfänger ab und gehen Sie zu Schritt 3.
    • Antwort Nein: Prüfen Sie andere seltene Optionen wie Binding Corporate Rules (BCR auf Deutsch).
  3. Durchführung eines Transfer Impact Assessments (TIA):
    • Frage: Sind die durch die SVK gewährten Garantien im Zielland auch praktisch wirksam? Bestehen Gesetze (z. B. Überwachungsgesetze), die den Schutz untergraben?
    • Antwort Ja, sie sind wirksam: Der Transfer ist zulässig. Dokumentieren Sie das TIA.
    • Antwort Nein, es bestehen Risiken: Gehe zu Schritt 4.
  4. Implementierung zusätzlicher Maßnahmen:
    • Frage: Können technische (z. B. starke Verschlüsselung, bei der der Empfänger den Schlüssel nicht hat) oder vertragliche Maßnahmen die Risiken ausgleichen?
    • Antwort Ja: Der Transfer ist nach Implementierung und Dokumentation dieser Maßnahmen zulässig.
    • Antwort Nein: Der Datentransfer ist unzulässig.

Anonymisierung versus Pseudonymisierung: Entscheidungsbaum und Implementierungshinweise

Die Begriffe Anonymisierung und Pseudonymisierung werden oft verwechselt, haben aber fundamental unterschiedliche datenschutzrechtliche Konsequenzen.

  • Pseudonymisierung: Personenbezogene Daten werden so verändert, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden können (z. B. Ersetzen eines Namens durch eine User-ID). Wichtig: Pseudonymisierte Daten sind weiterhin personenbezogene Daten und unterliegen der DSGVO.
  • Anonymisierung: Der Personenbezug wird unwiderruflich entfernt, sodass eine Re-Identifizierung der Person nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand möglich ist. Wichtig: Echte anonyme Daten fallen nicht mehr unter die DSGVO.

Entscheidungsbaum: Anonymisierung oder Pseudonymisierung?

  1. Frage: Ist es für den Verarbeitungszweck (z. B. Forschung, Statistik) zwingend erforderlich, zu einem späteren Zeitpunkt den Personenbezug wiederherstellen zu können?
    • Antwort Ja: Wählen Sie die Pseudonymisierung. Sichern Sie die zusätzlichen Informationen (den “Schlüssel”) getrennt und mit strengsten Zugriffskontrollen.
    • Antwort Nein: Gehe zu Frage 2.
  2. Frage: Ist es technisch möglich, den Personenbezug so zu entfernen, dass eine Re-Identifizierung nach dem Stand der Technik ausgeschlossen ist?
    • Antwort Ja: Wählen Sie die Anonymisierung (z. B. durch k-Anonymität, l-Diversität, Aggregation).
    • Antwort Nein: Der Datensatz kann nicht sicher anonymisiert werden. Bleiben Sie bei der Pseudonymisierung oder verzichten Sie auf die Verarbeitung.

Implementierungshinweis für Entwickler: Bei der Pseudonymisierung sollten Techniken wie Hashing mit Salt oder der Einsatz von separaten, sicheren Token-Systemen bevorzugt werden, anstatt einfache, fortlaufende IDs zu verwenden.

Sektor bezogene Kurzfallstudien

Fallstudie 1: Arztpraxis mit digitaler Patientenakte

Eine Praxis führt eine neue Software ein. Herausforderung: Die Daten werden bei einem Cloud-Anbieter gehostet. Lösung: Es muss ein AVV mit dem Hoster geschlossen werden, der spezifische TOMs für Gesundheitsdaten garantiert. Der Zugriff innerhalb der Praxis wird über ein Rollenkonzept gesteuert, sodass nur behandelndes Personal die vollständige Akte einsehen kann.

Fallstudie 2: Telemedizinplattform für Videosprechstunden

Eine Plattform bietet Videosprechstunden an. Herausforderung: Sicherstellung der Vertraulichkeit. Lösung: Die Plattform muss eine Ende-zu-Ende-Verschlüsselung für die Video- und Audioübertragung implementieren. Vor der ersten Nutzung müssen Patienten eine informierte, separate Einwilligung für die Datenverarbeitung im Rahmen der Videosprechstunde erteilen.

Fallstudie 3: Gesundheits-App zur Blutdruckmessung

Eine App zeichnet Blutdruckwerte auf und bietet an, diese mit dem Arzt zu teilen. Herausforderung: Transparente Einwilligung und Datenminimierung. Lösung: Die App fragt die Einwilligung für jede Datenverarbeitung (Speicherung, Analyse, Teilen) separat ab (“granulare Einwilligung”). Es werden nur die Daten erhoben, die für die Kernfunktion zwingend notwendig sind. Das Teilen von Daten ist standardmäßig deaktiviert (“Privacy by Default”).

Checklisten und Vorlagen

DSFA-Quickcheck

  • Verarbeiten Sie Gesundheitsdaten in großem Umfang?
  • Nutzen Sie neue Technologien (z. B. KI, Wearables)?
  • Findet ein systematisches Monitoring von Personen statt?
  • Werden Daten aus verschiedenen Quellen zusammengeführt?
  • Wird betroffenen Personen der Zugang zu einer Dienstleistung verwehrt oder gewährt?

Wenn Sie eine dieser Fragen mit “Ja” beantworten, ist eine DSFA sehr wahrscheinlich erforderlich.

Verzeichnis von Verarbeitungstätigkeiten (VVT) – Minimale Inhalte

  • Name und Kontaktdaten des Verantwortlichen (und ggf. des DSB).
  • Zwecke der Verarbeitung.
  • Beschreibung der Kategorien von betroffenen Personen (z. B. Patienten, Ärzte).
  • Beschreibung der Kategorien personenbezogener Daten (z. B. Stammdaten, Diagnosedaten).
  • Kategorien von Empfängern (z. B. Krankenkassen, Labore).
  • Informationen zu Drittstaatentransfers.
  • Geplante Fristen für die Löschung der Daten.
  • Allgemeine Beschreibung der TOMs.

Glossar in leichter Sprache für Entwickler und Produktmanager

  • Personenbezogene Daten: Jede Information, die sich auf eine identifizierte oder identifizierbare Person bezieht (z. B. Name, E-Mail, IP-Adresse, aber auch Gesundheitsdaten).
  • Verarbeitung: Jeder Vorgang im Zusammenhang mit personenbezogenen Daten (z. B. Erheben, Speichern, Auslesen, Übermitteln, Löschen).
  • Verantwortlicher: Die Person oder das Unternehmen, die/das über die Zwecke und Mittel der Verarbeitung entscheidet (z. B. der App-Anbieter).
  • Auftragsverarbeiter: Eine Person oder ein Unternehmen, die/das Daten im Auftrag des Verantwortlichen verarbeitet (z. B. ein Cloud-Hoster).
  • DSFA (Datenschutz-Folgenabschätzung): Ein Prozess zur Analyse und Minimierung von Risiken bei Datenverarbeitungen, die voraussichtlich ein hohes Risiko für Betroffene darstellen.
  • TOMs (Technische und organisatorische Maßnahmen): Alle konkreten Sicherheitsvorkehrungen zum Schutz von Daten (z. B. Verschlüsselung, Zugriffskontrollen).
  • Einwilligung: Eine freiwillige, informierte und unmissverständliche Willensbekundung der betroffenen Person, mit der sie der Verarbeitung ihrer Daten zustimmt.

Zusammenfassung mit Prioritätenliste und Umsetzungsfahrplan für 2025

Der sorgfältige Datenschutz in Gesundheitsdaten ist ein entscheidender Wettbewerbsvorteil und eine rechtliche Notwendigkeit. Ein proaktiver, transparenter und gut dokumentierter Ansatz schützt nicht nur die Patienten, sondern auch Ihr Unternehmen vor empfindlichen Strafen und Reputationsschäden.

Prioritätenliste für die Umsetzung in 2025

  1. Bestandsaufnahme und Dokumentation: Erstellen oder aktualisieren Sie Ihr Verzeichnis von Verarbeitungstätigkeiten (VVT). Wissen Sie genau, wo welche Gesundheitsdaten fließen.
  2. Risiko-Hotspots identifizieren: Führen Sie Datenschutz-Folgenabschätzungen (DSFA) für alle Kernprozesse durch, insbesondere für neue Produkte und Features.
  3. Verträge prüfen und sichern: Überprüfen Sie alle Verträge mit externen Dienstleistern auf gültige und umfassende Auftragsverarbeitungsverträge (AVV). Achten Sie besonders auf Regelungen zu Drittstaatentransfers.
  4. Sicherheitshärtung (TOMs): Implementieren Sie State-of-the-Art-Sicherheitsmaßnahmen, mit einem Fokus auf Verschlüsselung, Zugriffskontrolle und sichere Softwareentwicklung.
  5. Transparenz schaffen: Überarbeiten Sie Ihre Datenschutzerklärung und Einwilligungstexte. Sie müssen präzise, transparent und leicht verständlich sein.

Anhang: Muster-DSFA als kopierbare Vorlage und Quick-Check-Tabellen

Muster-Struktur einer Datenschutz-Folgenabschätzung (vereinfacht)

1. Beschreibung der geplanten Verarbeitungsvorgänge

– Systematische Beschreibung: (Was ist der Prozess? Welche Daten werden verarbeitet? Wer sind die Beteiligten?)

– Zwecke der Verarbeitung: (Was soll erreicht werden?)

– Rechtsgrundlage(n): (Auf Basis welcher rechtlichen Erlaubnis wird verarbeitet?)

2. Bewertung der Notwendigkeit und Verhältnismäßigkeit

– Datenminimierung: (Werden nur die absolut notwendigen Daten verarbeitet?)

– Einhaltung von Verhaltensregeln: (Werden anerkannte Standards befolgt?)

3. Analyse und Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen

– Risikoquelle, Ursache und mögliche Folgen: (z.B. Datenpanne durch Hackerangriff führt zu Veröffentlichung von Diagnosen)

– Eintrittswahrscheinlichkeit: (z.B. gering / mittel / hoch)

– Schwere des Schadens: (z.B. gering / mittel / hoch / sehr hoch)

– Ergebnis: (Akzeptables oder hohes Restrisiko?)

4. Geplante Abhilfemaßnahmen zur Risikominimierung

– Technische Maßnahmen: (z.B. Implementierung von Ende-zu-Ende-Verschlüsselung, 2-Faktor-Authentifizierung)

– Organisatorische Maßnahmen: (z.B. Datenschutzschulung für Mitarbeiter, Need-to-know-Prinzip bei Zugriffen)

– Rechtliche Maßnahmen: (z.B. Abschluss eines AVV mit dem Hoster)

5. Gesamteinschätzung und Freigabe

– Bewertung des Restrisikos nach Umsetzung der Maßnahmen.

– Stellungnahme des Datenschutzbeauftragten.

– Freigabeentscheidung durch die Geschäftsführung.

 

Quick-Check-Tabelle: Einwilligung

Kriterium Ja/Nein Anmerkung / Umsetzungsnachweis
Freiwillig? (Kein Zwang, keine Kopplung an nicht notwendige Dienste)    
Informiert? (Wer, was, wozu, wie lange, welche Rechte?)    
Spezifisch? (Separate Einwilligung für unterschiedliche Zwecke?)    
Unmissverständlich? (Aktive Handlung, keine voran gekreuzten Kästchen?)    
Jederzeit widerrufbar? (Widerruf ist so einfach wie die Erteilung?)    

 

Weiterführende Beiträge