Compliance als Strukturprüfung
Die Datenschutz-Folgenabschätzung (DSFA) wird im Gesundheitswesen häufig als regulatorische Pflichtübung wahrgenommen – eine Notwendigkeit zur Erfüllung des revidierten Datenschutzgesetzes (revDSG) oder der DSGVO, insbesondere bei besonders schützenswerten Personendaten. Doch jenseits ihrer rechtlichen Verankerung bietet die DSFA eine oft unterschätzte Funktion: Sie ermöglicht eine strukturierte Sicht auf technische, organisatorische und prozessuale Schwachstellen – und macht verborgene Risiken in Versorgungsabläufen sichtbar.
Die DSFA als interdisziplinäre Analysemethode
Im Kern ist die DSFA ein standardisiertes Verfahren zur Risikoprüfung: Welche Daten werden in einem Prozess erhoben, verarbeitet, gespeichert oder weitergegeben? Welche technischen und organisatorischen Schutzmassnahmen bestehen? Und: Welche potenziellen Auswirkungen hätte ein Datenmissbrauch auf die betroffenen Personen?
Die Stärke der DSFA liegt darin, dass sie technische, rechtliche und betriebliche Perspektiven zusammenführt. Sie zwingt Projektverantwortliche, Systemverantwortliche und Datenschutzbeauftragte zur gemeinsamen Analyse von:
- Datenflüssen (innerhalb und ausserhalb der entsprechenden Systems)
- Zugriffsrechten und Rollenlogiken
- Speicherdauer, Archivierung und Löschkonzepten
- Schnittstellenrisiken bei Systemkopplungen (z. B. KIS, EPD, Drittanbieter)
- Rechtsgrundlagen und Einwilligungsprozessen
Schwachstellen sichtbar machen – systematisch und konstruktiv
Richtig angewendet, wirkt die DSFA wie ein strukturierter Prozess-Audit. Sie offenbart Inkonsistenzen in der Systemarchitektur, fehlende Schutzmechanismen oder ungeklärte Verantwortlichkeiten. Typische Erkenntnisse aus DSFA-Prozessen sind etwa:
- Nicht dokumentierte Systemkopplungen mit personenbezogenen Daten ohne nachvollziehbare Zweckbindung
- Redundante oder unklare Zugriffsrechte, die gegen das Need-to-Know-Prinzip verstossen
- Fehlende Löschroutinen für temporäre Datenablagen (z. B. lokal exportierte CSV-Dateien)
- Unklare Verantwortlichkeit bei verteilten Datenverarbeitungsprozessen (z. B. Pflege-Apps, Forschungsdatenbanken)
Diese Ergebnisse sind keine Hindernisse – sie bieten Ansatzpunkte zur gezielten Prozessverbesserung und Absicherung.
Fazit: Von der Pflicht zur strategischen Ressource
Die Datenschutz-Folgenabschätzung ist weit mehr als ein Compliance-Instrument. Richtig integriert, wird sie zum strukturierenden Werkzeug einer datensensiblen Digitalstrategie. Sie erhöht nicht nur die Rechtssicherheit, sondern fördert die Transparenz, Kohärenz und Effizienz datenbasierter Versorgungsprozesse.
Spitäler, die die DSFA als Teil institutionalisierter Governance begreifen, schaffen nicht nur Datenschutz – sie etablieren eine datenbewusste Organisationskultur mit klarem Blick auf Verantwortung, Struktur und Qualität.