Datenschutz-Folgenabschätzung (DSFA) im Pflegekontext: Wann sie erforderlich ist – und was passiert, wenn sie fehlt

Die Einführung neuer Technologien und Prozesse in Pflegeeinrichtungen ist heute Alltag – ob bei der digitalen Pflegedokumentation, dem Einsatz von KI-gestützter Medikamentenverwaltung oder cloudbasierter Dienstplanung. Doch sobald dabei besonders sensible personenbezogene Daten verarbeitet werden, steht eine zentrale datenschutzrechtliche Pflicht im Raum: die Datenschutz-Folgenabschätzung (DSFA).

Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Die Datenschutz-Folgenabschätzung ist ein Instrument der Datenschutz-Grundverordnung (Art. 35 DSGVO), das dazu dient, Risiken für die Rechte und Freiheiten betroffener Personen frühzeitig zu erkennen und zu minimieren – noch bevor ein neuer Datenverarbeitungsvorgang eingeführt wird.

Sie ist keine bürokratische Last, sondern ein aktives Schutzinstrument. Besonders in der Pflege, wo Gesundheits- und Sozialdaten täglich verarbeitet werden, kann eine DSFA entscheidend sein, um Datenschutz, Würde und Selbstbestimmung der Pflegebedürftigen sicherzustellen.

Wann ist eine DSFA im Pflegebereich erforderlich?

Eine DSFA muss durchgeführt werden, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (Art. 35 Abs. 1 DSGVO). Dies ist im Pflegekontext regelmäßig der Fall, wenn:

Gesundheitsdaten in großem Umfang verarbeitet werden,
neue oder risikobehaftete Technologien eingesetzt werden,
systematische Überwachung von Betroffenen erfolgt (z. B. durch Sensorik oder Bewegungsprofile),
eine Profilbildung mit Wirkung für die betroffene Person stattfindet.

Die Aufsichtsbehörden haben sogenannte „Blacklists“ veröffentlicht, die Verarbeitungstätigkeiten aufführen, bei denen eine DSFA verpflichtend ist. In vielen Bundesländern ist dort die digitale Pflegedokumentation ausdrücklich benannt.

Praxisbeispiel: Einführung eines KI-basierten Medikationssystems

Eine stationäre Pflegeeinrichtung plant die Einführung eines neuen Systems zur automatisierten Medikationsprüfung. Das System verarbeitet Gesundheitsdaten der Bewohner, ermittelt mögliche Wechselwirkungen und gibt Handlungsempfehlungen.

Risikoanalyse im Rahmen einer DSFA:

Risiken für die Betroffenen:
- Fehlinterpretation von Gesundheitsdaten durch das System
- Unbefugter Zugriff auf besonders schützenswerte Gesundheitsinformationen
- Mangelnde Transparenz über automatisierte Entscheidungen
Technische und organisatorische Schutzmaßnahmen:
- Verschlüsselung und Zugriffsbeschränkung
- Schulung des Pflegepersonals
- Transparente Information der Betroffenen

Nur durch die strukturierte Durchführung einer DSFA kann frühzeitig geprüft werden, ob der Datenschutz eingehalten wird und wie sich Risiken mindern lassen. Ohne DSFA bleibt das Risiko diffus – und rechtlich folgenreich.

Was passiert, wenn eine DSFA unterlassen wird?

Die unterlassene Durchführung einer erforderlichen DSFA stellt einen gravierenden Verstoß gegen die DSGVO dar.

Mögliche Rechtsfolgen:

Bußgelder bis zu 10 Mio. Euro oder 2 % des Jahresumsatzes (Art. 83 Abs. 4 DSGVO)
Untersagung der Datenverarbeitung durch die Aufsichtsbehörde
Haftungsrisiken bei Datenpannen oder Beschwerden
Vertrauensverlust bei Klienten, Angehörigen und Mitarbeitenden

Besonders kritisch: Wenn ein Pflegeunternehmen ohne DSFA ein datenintensives System einführt und es zu einem Datenschutzverstoß kommt, haftet es vollumfänglich, da es seiner Rechenschaftspflicht nicht nachgekommen ist.

Fazit: DSFA ist Pflicht – und Chance zugleich

Für Pflegeeinrichtungen ist die Datenschutz-Folgenabschätzung kein optionales Kontrollinstrument, sondern eine gesetzliche Pflicht bei risikobehafteten Verarbeitungen. Wer neue Technologien wie KI, Cloudsysteme oder digitale Dokumentation einsetzen möchte, sollte die DSFA frühzeitig, strukturiert und nachvollziehbar durchführen.

Sie schützt nicht nur die Rechte der Bewohnerinnen und Bewohner – sondern auch die Einrichtung selbst vor rechtlichen und wirtschaftlichen Folgen.