Interview

Datenschutzgesetz – das gilt es zu beachten

Hintergrund
Ausgabe
2023/36
DOI:
https://doi.org/10.4414/saez.2023.22094
Schweiz Ärzteztg. 2023;104(36):12-15

Publiziert am 06.09.2023

Gesetzesrevision Seit dem 1. September ist das totalrevidierte Datenschutzgesetz in Kraft. Ärztinnen und Ärzte bearbeiten regelmässig Personendaten und sind deshalb besonders betroffen. Die Abteilung Digitalisierung/eHealth und der Rechtsdienst der FMH haben Antworten auf die wichtigsten Fragen zusammengestellt.

Welches sind die wichtigsten Neuerungen im totalrevidierten Datenschutzgesetz (DSG)?

Ausbau der Informationspflichten: Neu informiert der Verantwortliche die betroffene Person angemessen über die Beschaffung von Personendaten; diese Informationspflicht gilt auch, wenn die Daten nicht bei der betroffenen Person beschafft werden (Art. 19 DSG).
Ausbau des Auskunftsrechts der betroffenen Personen: Einer betroffenen Person sind alle Informationen zur Verfügung zu stellen, die erforderlich sind, damit sie ihre Rechte nach dem Datenschutzgesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist (Art. 25 DSG).
Durchführung einer Datenschutz-Folgenabschätzung (DSFA), wenn eine Bearbeitung geplant ist, die voraussichtlich ein hohes Risiko für die Persönlichkeits- oder Grundrechte der betroffenen Person mit sich bringt (Art. 22 DSG).
Verpflichtung der Verantwortlichen und Auftragsbearbeiter unter bestimmten Voraussetzungen, ein Verzeichnis der Bearbeitungstätigkeiten zu führen (Art. 12 DSG).
Konkretisierung der Bearbeitung durch Auftragsbearbeiter (Art. 9 DSG).
Benennung eines Datenschutzberaters (Art. 10 DSG).
Meldepflicht bei Verletzungen der Datensicherheit. Die Meldung ist an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vorzunehmen (Art. 24 DSG).
Praxisärztinnen und -ärzte sollten sich mit dem neuen Datenschutzgesetz auseinandersetzen.
© Everythingpossible / Dreamstime

Welche Pflichten entstehen für Ärztinnen und Ärzte mit eigener Praxistätigkeit?

Je nach Praxisstruktur sind Ärztinnen und Ärzte unterschiedlich betroffen. Eine DSFA etwa ist nur durchzuführen, wenn die bisherigen Datenbearbeitungen nach dem 1. September 2023 geändert werden, zum Beispiel bei der Eröffnung einer neuen Arztpraxis. Für Verantwortliche und Auftragsbearbeiter gibt es Vorgaben zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten. Der Bundesrat sieht allerdings Ausnahmen für Unternehmen vor, die weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt.

Gibt es Unterschiede je nach Grösse der Praxis?

Ja, die Grösse spielt eine Rolle, weil eine Leitlinie des neuen Datenschutzgesetzes der risikobasierte Ansatz bildet: Je höher das Risiko der Datenbearbeitungen im Hinblick auf die Persönlichkeitsrechte ist, desto strenger werden die Pflichten der Verantwortlichen ausgelegt. Mit dem Umfang der Datenbearbeitungen sind demnach technische und organisatorische Massnahmen zu treffen, um das Risiko der Verletzung von Persönlichkeitsrechten zu minimieren.

Welche Anlaufstellen gibt es für Ärztinnen und Ärzte, um sich beraten zu lassen?

Wir empfehlen, die Hilfestellungen der FMH zu verwenden. Grössere Gruppenpraxen oder Praxisgemeinschaften sind zudem gut beraten, entsprechende Beratungsdienstleistungen wahrzunehmen oder einen Datenschutzberater bei der Umsetzung der Datenschutzanforderungen einzubeziehen.

Welche Hilfsmittel und Vorlagen stellt die FMH zur Verfügung?

Infoblatt mit Informationen über die Änderungen des revidierten Datenschutzgesetzes
Datenschutzerklärung, die im Fall des Angebots einer eigenen Webseite verwendet werden kann
Vorlagen und ein Leitfaden für eine Geheimhaltungs- und Auftragsbearbeitungsvereinbarung
Vorlage und ein Leitfaden für das Verzeichnis der Bearbeitungstätigkeiten
Leitfaden für die Aufbewahrung und Archivierung von Patientendaten sowie eine Anleitung für Auskunfts- und Herausgabegesuche der Krankengeschichte
Checkliste und eine Prozessbeschreibung bei Datenschutzverletzungen im Zusammenhang mit der Meldepflicht
Vorlage für eine Einwilligungserklärung

Wann kommen die Hilfsmittel zum Einsatz?

Die Hilfsmittel stellen ein Grundset dar, welches bedarfsgerecht genutzt werden kann. Sie kommen zum Einsatz, wenn zum Beispiel Patienten und Patientinnen um die Herausgabe ihrer Personendaten ersuchen oder wenn eine Datenschutzverletzung vorliegt. Da solche Vorkommnisse nicht tagtäglich geschehen, ist es wichtig, dass Hilfestellungen dazu vorhanden und die Verantwortlichkeiten klar geregelt sind.

Müssen die Vorlagen an den jeweiligen Kontext angepasst werden?

Die Vorlagen müssen hinsichtlich der Bedürfnisse der Arztpraxen angepasst werden. Dies betrifft insbesondere die Datenschutzerklärung sowie die Einwilligungserklärung.

Wann müssen die Patientinnen und Patienten das Einwilligungsformular unterzeichnen?

Das Einwilligungsformular ist durch die Patienten, die sich in Behandlung befinden, einmal zu unterzeichnen. Bei späteren Änderungen oder Bekanntgaben von gesundheitsrelevanten Personendaten müssen Patientinnen und Patienten wieder informiert werden. Auch dies muss dokumentiert werden.

Können Patientendaten weiterhin digital aufbewahrt und verschickt werden?

Das neue DSG verlangt wie bis anhin, dass technische und organisatorische Massnahmen bei der Aufbewahrung und Übermittlung von digitalen Daten ergriffen werden müssen. Diese sind beispielsweise physikalische Zugriffskontrollen, Verwendung von sicheren Passwörtern, verschlüsselte Übertragung der Daten, zum Beispiel per HIN-Mail, etc. Die FMH stellt diesbezüglich Empfehlungen zum IT-Grundschutz für ihre Mitglieder zur Verfügung.

Neu zählen auch genetische und biometrische Daten zu den besonders schützenswerten Gesundheitsdaten. Welche Daten umfasst das?

Genetische Daten sind Informationen über das Erbgut einer Person, die durch eine genetische Untersuchung gewonnen werden, einschliesslich des DNA-Profils über genetische Untersuchungen beim Menschen. Bei den biometrischen Daten handelt es sich um Fingerabdrücke, Gesichtsbilder, Bilder der Iris oder Aufnahmen einer Stimme. Bei den biometrischen Daten gilt, dass sie eine natürliche Person identifizieren. Das heisst, diese Daten müssen durch ein technisches Verfahren gewonnen werden, das auch die Identifikation der Person beinhaltet. Gewöhnliche Fotografien sind hiervon ausgenommen.

Ändert sich für die medizinischen Praxisassistentinnen und -assistenten etwas am Zugang zu Patientendaten?

Grundsätzlich ändert sich nichts für MPAs am Zugang zu Patientendaten. Sie sind wie bis anhin «Hilfspersonen», die dem Verantwortlichen für die Datenbearbeitung unterstehen und auf dessen Weisung zur Erfüllung seiner Aufgaben handeln. Leider wird oftmals vergessen, dass der Zugriff auf die Daten in einer Arztpraxis, wie vom DSG verlangt, nachvollziehbar sein muss. Insofern ist zu empfehlen, dass die MPA über ein persönliches Benutzerkonto verfügt, um nachvollziehen zu können, wer zu welchem Zeitpunkt auf die Personendaten zugegriffen hat.

Müssen die bestehenden Verträge mit externen Dienstleistern erneuert werden?

Wir gehen davon aus, dass die Dienstleister ihre Verträge hinsichtlich des neuen Datenschutzgesetzes rechtzeitig anpassen, sofern sie dies nicht bereits getan haben. Daneben gibt es jedoch Situationen, bei denen Dienstleister Tätigkeiten in der Arztpraxis durchführen und zufällig mit schützenswerten Personendaten in Berührung kommen. Wir empfehlen in diesem Fall, eine Geheimhaltungsvereinbarung abzuschliessen.

Was ist zu beachten, wenn die Datenbearbeitung ausgelagert wird?

Bei der Datenbearbeitung durch einen Auftragsbearbeiter handelt es sich typischerweise um ein Outsourcing der Datenbearbeitung, etwa beim Einsatz von elektronischen Krankengeschichten in einer Arztpraxis, die vom Anbieter in der Cloud betrieben werden. Diese Daten dürfen nur so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte. Zudem muss sich der Verantwortliche vergewissern, dass der Auftragsbearbeiter in der Lage ist, den Datenschutz und die Datensicherheit zu gewähren. Konkret sind die vertraglichen Vereinbarungen und damit verbundenen Risiken ohne vertiefte Fachexpertise kaum verständlich für Laien. Die FMH hat deshalb einen Rahmenvertrag für Cloud-Lösungen mit IT-Providern erarbeitet, welcher jetzt aktualisiert wird.

Was passiert bei Missachtung der neuen Vorschriften?

Es können hohe Bussen von bis zu 250 000 CHF gesprochen werden, wenn eine vorsätzliche strafbare Handlung gemäss DSG gegeben ist. Verstösse gegen das Datenschutzgesetz können auch zivilrechtliche Folgen nach sich ziehen. Das trifft insbesondere dann zu, wenn die Mindestanforderungen an die Datensicherheit fahrlässig nicht eingehalten werden.

Was sollen Arztpraxen tun, die noch nicht alle neuen Bestimmungen umsetzen?

Wir empfehlen allen Arztpraxen, sich mit dem DSG auseinanderzusetzen. Auch ist es wichtig zu wissen, welche Bestimmungen die Arztpraxen treffen. Wir verweisen gern auf die umfassenden Hilfestellungen, welche die FMH auch auf der Webpage zugänglich gemacht hat.

Es müssen alle dieVerantwortung wahrnehmen

Reinhold Sojer, weshalb wurde das Datenschutzgesetz totalrevidiert?
Die Revision des Datenschutzgesetzes war aufgrund der raschen Entwicklung im Bereich der Digitalisierung notwendig. Gleichzeitig war es für die Schweiz unumgänglich, dass eine Annäherung an die Datenschutzregelungen der Europäischen Union stattfindet. Die neuen Bestimmungen sollen die Transparenz über die Datenbearbeitungen erhöhen. Bürgerinnen und Bürger, über die Daten beschafft oder bearbeitet werden, sollen ihre Daten besser kontrollieren und besser darüber bestimmen können.
Dr. rer. biol. hum. Reinhold Sojer ist Leiter der Abteilung Digitalisierung/ eHealth der FMH.
© Eve Kohler
Weshalb ist die Ärzteschaft besonders von den Änderungen betroffen?
Grundsätzlich betreffen die Regelungen all diejenigen, die Personendaten bearbeiten, das heisst alle Branchen. Ärztinnen und Ärzte sind hiervon jedoch besonders betroffen, da sie regelmässig sensible Personendaten bearbeiten. Gleichzeitig muss betont werden, dass sich an den Grundsätzen für eine rechtmässige Datenbearbeitung nichts ändert. Praxisärztinnen und -ärzte, die bislang die heute geltenden Datenschutzbestimmungen eingehalten haben, erfüllen in einem hohen Mass die neuen Bestimmungen.
Die FMH stellt ihren Mitgliedern verschiedene Hilfsmittel und Vorlagen zur Verfügung. Wer war an der Ausarbeitung beteiligt?
Die Ausarbeitung wurde durch den Rechtsdienst der FMH und unseren Datenschutzberater Bruno Baeriswyl eng begleitet. Unterstützt wurden wir durch weitere Experten und Expertinnen in den Bereichen Datenschutz sowie IT-Sicherheit. Ein herzlicher Dank geht an unsere klinisch tätigen Ärztinnen und Ärzte, welche in Arbeitsgruppen die Ergebnisse hinsichtlich der Umsetzbarkeit in Arztpraxen validiert haben.
Haben Sie bereits Rückmeldungen von Arztpraxen erhalten, die die Unterlagen nutzen?
Ja. Die Rückmeldungen waren bislang positiv. Selbstverständlich gibt es auch negative Meinungen, die sich auf die zusätzlichen Aufwände seitens der Ärzteschaft beziehen. Die FMH ist nicht verantwortlich für die Regelungen im neuen Datenschutzgesetz. Sie ist aber bestrebt, ihren Mitgliedern konkrete und praxistaugliche Hilfestellungen zur Umsetzung anzubieten.
Insgesamt klingt es so, als würden die Neuerungen vor allem Mehraufwand für die Ärzteschaft verursachen.
Ja, das bedeutet Mehraufwand. Unbefriedigend und auch unhaltbar ist, dass die Praxisärztinnen und Praxisärzte immer noch mit einem Tarif arbeiten müssen, der vor der Digitalisierung erarbeitet wurde. Es ist also wichtig zu differenzieren zwischen den in der Schweiz verhältnismässigen Anforderungen an Datenschutz und Datensicherheit und dem dringenden Bedarf einer Tarifierung, welche die zusätzlichen Infrastrukturkosten auch betriebswirtschaftlich angemessen berücksichtigt.
Ist die Digitalisierung also mehr Fluch als Segen?
Dass wir in der Schweiz auf die Vorteile der Digitalisierung in Arztpraxen aufgrund der neuen Datenschutzbestimmungen verzichten möchten, wage ich zu bezweifeln. Fest steht jedoch, dass die angesprochene Verantwortung von allen wahrgenommen werden muss. Sie darf nicht nur auf den Schultern der Praxisärztinnen und -ärzte lasten. Auch Anbieter der Praxis-IT und weiterer Dienstleistungen wie Labor oder Bildgebung stehen in der Plicht.
Interview: Rahel Gutmann