SORMAS-X Datenschutz: Einzelne Themen (1)

- Februar 1, 2023

Wie in den vorangegangenen Beiträgen bereits erwähnt, besteht die Datenschutz-Dokumentation aus über 50 einzelnen Dokumenten. Nachfolgend werden die wichtigsten kurz vorgestellt.

Datenschutz-Folgenabschätzung (DSFA)

Eigentlich hatten es sich die Gesetzgebenden in Europa gut überlegt.

„Hat eine Form der Verarbeitung … voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch“. (Art. 35 Abs. 1 DSGVO).

Das heißt, bevor eine Stelle mit einem möglicherweise riskanten Verfahren hantiert, soll sie die Risiken prüfen und minimieren.

„Der Verantwortliche“ soll, so die Vorschrift weiter, „bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten einholen“. (Art. 35 Abs. 2 DSGVO).

Die Datenschutzaufsichtsbehörden hatten schon zu einem sehr frühen Zeitpunkt die Erstellung einer solchen Datenschutz-Folgenabschätzung (DSFA) für die SORMAS-X Software gefordert. (Zu Recht. Was sonst, wenn nicht die millionenfache Verarbeitung von Gesundheitsdaten sollte ein risikoreiches Verfahren sein).

Art. 35 DSGVO

Nun waren wir als Datenschutzteam des SORMAS@DEMIS Projektes nicht „der Verantwortliche“ (Art. 4 Nr. 7 DSGVO) für die Software, aber wir waren noch die Fachkundigsten von allen beteiligten Stellen. Allerdings fehlten uns zu diesem frühen Zeitpunkt – Herbst 2020 – grundlegende Informationen, die eine wirklich fundierte Erstellung einer DSFA möglich gemacht hätten. Dies lag wiederum darin begründet, dass die Software in der Anpassung und Weiterentwicklung befindlich war. Wir konnten daher nicht eine DSFA erstellen, die den von Art. 35 DSGVO vorgesehenen Ablauf einhält: eine Vorab-Beschreibung der Funktionalitäten der Software, Beschreibung der Zwecke, Rechtsgrundlagen und technischen und organisatorischen Sicherheitsmaßnahmen, Beschreibung der Risiken, Bewertung der Risiken.

Somit entstand eine DSFA, die eher ein fundierter Entwurf einer DSFA war, der im Verlauf des weiteren Verfahrens zu ergänzen war.

Von Seiten der Landesdatenschutzbeauftragten brachte uns das viel Kritik ein, aber was sollten wir tun. Immerhin hatten wir mit dem Entwurf der DSFA eine geschlossene Beschreibung aller möglichen Risiken, an der wir uns im Verlauf bei der weiteren Definition der Sicherheitsanforderungen orientieren konnten.

Da einige Vorhaben der Weiterentwicklung der Software innerhalb der Projektlaufzeit nicht zu Ende gebracht werden konnten, blieb der Entwurf der DSFA ein Entwurf.

Stand jetzt, Anfang 2023, nehmen wir die Arbeiten für die Erstellung einer vollständigen DSFA für die SORMAS-X Software wieder auf. Sie soll dann auch den Gesundheitsämtern, die SORMAS-X weiterhin einsetzen, zur Verfügung gestellt werden.

Im nächsten Artikel geht es weiter mit einzelnen Themen und hier geht es zum Anfang der Serie.

Wir erarbeiten Sicherheitskonzepte und übernehmen für Sie den externen betrieblichen Datenschutz.