Datenschutz-Folgenabschätzung (DSFA) in der Pflege: Wann sie erforderlich ist und was passiert, wenn sie fehlt

Eine DSFA ist besonders relevant, wenn in Pflegeeinrichtungen neue digitale Systeme eingeführt werden, sensible Gesundheitsdaten in großem Umfang verarbeitet werden oder ein hohes Risiko für Betroffene besteht. Wer die Pflicht übersieht, riskiert rechtliche und organisatorische Folgen.

Wann Sie in der Pflege an eine DSFA denken sollten

Einführung neuer KI- oder Assistenzsysteme
digitale Pflegedokumentation mit hohem Risikoprofil
umfangreiche Verarbeitung sensibler Gesundheitsdaten
automatisierte Bewertungen oder Profilbildungen

Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Die Datenschutz-Folgenabschätzung ist ein Instrument der Datenschutz-Grundverordnung (Art. 35 DSGVO), das dazu dient, Risiken für die Rechte und Freiheiten betroffener Personen frühzeitig zu erkennen und zu minimieren – noch bevor ein neuer Datenverarbeitungsvorgang eingeführt wird.

Sie ist keine bürokratische Last, sondern ein aktives Schutzinstrument. Besonders in der Pflege, wo Gesundheits- und Sozialdaten täglich verarbeitet werden, kann eine DSFA entscheidend sein, um Datenschutz, Würde und Selbstbestimmung der Pflegebedürftigen sicherzustellen.

Wann ist eine DSFA im Pflegebereich erforderlich?

Eine DSFA muss durchgeführt werden, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (Art. 35 Abs. 1 DSGVO). Dies ist im Pflegekontext regelmäßig der Fall, wenn:

Gesundheitsdaten in großem Umfang verarbeitet werden,
neue oder risikobehaftete Technologien eingesetzt werden,
systematische Überwachung von Betroffenen erfolgt (z. B. durch Sensorik oder Bewegungsprofile),
eine Profilbildung mit Wirkung für die betroffene Person stattfindet.

Die Aufsichtsbehörden haben sogenannte „Blacklists“ veröffentlicht, die Verarbeitungstätigkeiten aufführen, bei denen eine DSFA verpflichtend ist. In vielen Bundesländern ist dort die digitale Pflegedokumentation ausdrücklich benannt.

Praxisbeispiel: Einführung eines KI-basierten Medikationssystems

Eine stationäre Pflegeeinrichtung plant die Einführung eines neuen Systems zur automatisierten Medikationsprüfung. Das System verarbeitet Gesundheitsdaten der Bewohner, ermittelt mögliche Wechselwirkungen und gibt Handlungsempfehlungen.

Kurze Einschätzung zur DSFA für Ihre Pflegeeinrichtung buchen

Risikoanalyse im Rahmen einer DSFA:

Risiken für die Betroffenen:
- Fehlinterpretation von Gesundheitsdaten durch das System
- Unbefugter Zugriff auf besonders schützenswerte Gesundheitsinformationen
- Mangelnde Transparenz über automatisierte Entscheidungen

Technische und organisatorische Schutzmaßnahmen:
- Verschlüsselung und Zugriffsbeschränkung
- Schulung des Pflegepersonals
- Transparente Information der Betroffenen

Nur durch die strukturierte Durchführung einer DSFA kann frühzeitig geprüft werden, ob der Datenschutz eingehalten wird und wie sich Risiken mindern lassen. Ohne DSFA bleibt das Risiko diffus – und rechtlich folgenreich.

Was passiert, wenn eine DSFA unterlassen wird?

Die unterlassene Durchführung einer erforderlichen DSFA stellt einen gravierenden Verstoß gegen die DSGVO dar.

Mögliche Rechtsfolgen:

Bußgelder bis zu 10 Mio. Euro oder 2 % des Jahresumsatzes (Art. 83 Abs. 4 DSGVO)
Untersagung der Datenverarbeitung durch die Aufsichtsbehörde
Haftungsrisiken bei Datenpannen oder Beschwerden
Vertrauensverlust bei Klienten, Angehörigen und Mitarbeitenden

Besonders kritisch: Wenn ein Pflegeunternehmen ohne DSFA ein datenintensives System einführt und es zu einem Datenschutzverstoß kommt, haftet es vollumfänglich, da es seiner Rechenschaftspflicht nicht nachgekommen ist.

Fazit: DSFA ist Pflicht – und Chance zugleich

Für Pflegeeinrichtungen ist die Datenschutz-Folgenabschätzung kein optionales Kontrollinstrument, sondern eine gesetzliche Pflicht bei risikobehafteten Verarbeitungen. Wer neue Technologien wie KI, Cloudsysteme oder digitale Dokumentation einsetzen möchte, sollte die DSFA frühzeitig, strukturiert und nachvollziehbar durchführen.

Sie schützt nicht nur die Rechte der Bewohnerinnen und Bewohner – sondern auch die Einrichtung selbst vor rechtlichen und wirtschaftlichen Folgen.

Lars Werner – Externer Datenschutzbeauftragter für Pflegeeinrichtungen
Lars Werner ist ausgebildeter Datenschutzbeauftragter mit Fachqualifikation im Gesundheits- und Sozialwesen. Sein Schwerpunkt liegt auf Datenschutzlösungen für ambulante und stationäre Pflegeeinrichtungen.
Seine Ausbildung absolvierte er an der staatlich anerkannten EURAKA Akademie für Gesundheitsberufe.
Regelmäßige Weiterbildungen – u. a. bei Datenschutzexperte Stephan Hansen-Oest – sichern praxisnahes Know-how.