Datenschutz-Folgenabschätzung (DSFA)
Datenschutz-Folgenabschätzung (DSFA)
Gemäß Art. 35 DSGVO
Beschreibung der Verarbeitungstätigkeit
Zweck: Prospektive Erfassung und Auswertung von Gesundheitsdaten (Gewicht, Symptome, Flüssigkeitszufuhr, Urin-SG, kognitive Tests, HealthKit-Vitaldaten) zur Frühwarnung vor DPH im Rahmen einer klinischen Beobachtungsstudie.
Verantwortlicher: Universitätsklinikum Hamburg-Eppendorf (UKE), Klinik für Neurochirurgie.
Betroffene Personen: Patienten nach TSS (ca. 200 Personen), Study Nurses (ca. 2–4 Personen, keine Gesundheitsdaten).
Verarbeitete Datenkategorien
| Kategorie | Daten | Rechtsgrundlage |
|---|---|---|
| Pseudonymisierte ID | Studien-ID (z. B. UKE-482917) | Art. 6(1)(a) |
| Demographie | Alter, Geschlecht, BMI | Art. 9(2)(a) |
| Klinische Daten | Histologie, Tumorgröße, OP-Datum, Medikamente, Labor | Art. 9(2)(a) + (i) |
| App-Eingaben | Gewicht (2x/Tag), Trinkmenge, Symptom-Score, Urin-SG | Art. 9(2)(a) |
| HealthKit-Daten | Schritte, Herzfrequenz, HRV, Schlaf, Gehstabilität | Art. 9(2)(a) |
| Kognitive Tests | Reaktionszeit, Trail Making, Tapping-Score | Art. 9(2)(a) |
Rechtsgrundlage
- Art. 6(1)(a) DSGVO – Einwilligung des Betroffenen
- Art. 9(2)(a) DSGVO – Ausdrückliche Einwilligung zur Verarbeitung von Gesundheitsdaten
- Art. 9(2)(i) DSGVO – Verarbeitung im öffentlichen Interesse für wissenschaftliche Forschung
Datenflüsse
Notwendigkeit und Verhältnismäßigkeit
DPH tritt bei 10,5 % der Patienten auf und kann unerkannt zu Krampfanfällen, Koma oder Tod führen. Die ambulante Phase (POD 3–14) ist nicht systematisch überwacht. App-basiertes Monitoring ist die verhältnismäßigste Lösung gegenüber Alternativen.
Alternativenbewertung
| Alternative | Bewertung |
|---|---|
| Tägliche telefonische Abfrage | Nicht praktikabel bei 200 Patienten, keine strukturierten Daten |
| Papierfragebogen | Keine Echtzeit-Auswertung, Übertragungsfehler |
| Stationäre Überwachung bis POD 14 | Nicht indiziert, hohe Kosten, Patientenpräferenz |
Datenminimierung: Nur studienrelevante Parameter, kein GPS, keine Kontakte, keine Fotos. Speicherbegrenzung: Lokale Daten nur während 14-Tage-Monitoring. Pseudonymisierung: Kein Klarname in App oder REDCap, nur Studien-ID. Zweckbindung: Daten ausschließlich für Studienauswertung.
Risikobewertung
| # | Risiko | Wahrscheinlichkeit | Risiko-Level |
|---|---|---|---|
| R1 | Unbefugter Zugriff auf Gesundheitsdaten am Gerät | Niedrig | MITTEL |
| R2 | Abfangen von Daten bei REDCap-Übertragung |
Sehr niedrig | NIEDRIG |
| R3 | Verlust/Diebstahl des Geräts | Mittel | MITTEL |
| R4 | Re-Identifizierung über Studien-ID | Niedrig | NIEDRIG |
| R5 | Unberechtigter Zugriff auf Nurse-Bereich | Niedrig | NIEDRIG |
| R6 | Datenbank-Korruption / Datenverlust | Niedrig | NIEDRIG |
| R7 | Fehlinterpretation der Ampel-Warnung | Mittel | MITTEL |
Maßnahmen
| Risiko | Maßnahme | Status |
|---|---|---|
| R1 | Face ID / Gerätecode, Study Nurse PIN (SHA-256 + Salt), iOS Sandbox | Implementiert |
| R2 | HTTPS/TLS 1.3-Pflicht (App Transport Security), Certificate Pinning |
ATS aktiv |
| R3 | Remote Wipe via MDM, keine Klarnamen auf Gerät, automatische Sperre | MDM-Konzept vorhanden |
| R4 | Studien-ID ohne Patientenbezug, Zuordnungsliste nur bei PI | Umgesetzt |
| R5 | PIN-Authentifizierung + QR-Auth + NFC | Implementiert |
| R6 | SwiftData mit WAL-Journaling |
Umgesetzt |
| R7 | Disclaimer: “Kein Ersatz für ärztliche Kontrolle”, POD7-Na⁺ bleibt Pflicht | Im Consent |
Technische und Organisatorische Maßnahmen (TOM)
| Maßnahme | Umsetzung |
|---|---|
| Verschlüsselung at rest | iOS-Geräteverschlüsselung (AES-256), Keychain für Secrets |
| Verschlüsselung in transit | HTTPS/TLS 1.3 (App Transport Security erzwungen) |
| Pseudonymisierung | Studien-ID statt Klarname, keine Namen in App |
| Zugriffskontrolle | Face ID, Gerätecode, Study Nurse PIN (SHA-256 + Salt) |
| Datenminimierung | Nur studienrelevante Parameter |
| Löschkonzept | App-Reset löscht alle lokalen Daten; REDCap per Antrag an PI |
| Audit Trail | [In Planung – Logging von Datenänderungen] |
| Backup | Nur verschlüsseltes lokales Backup (iCloud deaktiviert bei Leihgeräten) |
| Schulung | Study Nurses erhalten Einweisung in Datenschutz und App-Bedienung |
Restrisiko-Bewertung
Nach Umsetzung aller Maßnahmen verbleibt ein niedriges Restrisiko. Die Verarbeitung ist unter Berücksichtigung der Maßnahmen verhältnismäßig und zulässig.
Konsultation des Datenschutzbeauftragten
| Datum | Ergebnis |
|---|---|
| [Datum] | [Stellungnahme des DSB eintragen] |
Genehmigung
| Rolle | Name | Datum | Unterschrift |
|---|---|---|---|
| Studienleiter (PI) | |||
| Datenschutzbeauftragter | |||
| IT-Sicherheitsbeauftragter |