Ab morgen gilt das neue Datenschutzgesetz!

Am 1. September 2023 tritt das revidierte Datenschutzgesetz in Kraft. Was dieses für Arztpraxen und Spitäler bedeutet, erklärt der Anwalt und Datenschutzexperte David Vasella im Interview.

, 14. Juni 2023 um 09:11
image
Arztpraxen und Spitäler sind bereits heute meist gut vorbereitet, sagt David Vasella, Datenschutzexperte . | zvg

Dieses Interview erschien bereits in leicht abgeänderter Form auf Medinside und wird aus aktuellem Anlass erneut publiziert.
Warum braucht die Schweiz ein neues Datenschutzgesetz? Das erste Bundesgesetz über den Datenschutz stammt aus dem Jahr 1992, gilt als veraltet und vor allem durchsetzungsschwach. Das neue Datenschutzgesetz soll die technischen und gesellschaftlichen Entwicklungen berücksichtigen und den Vollzug verbessern. Gleichzeitig muss es mit dem EU-Recht kompatibel sein – vor allem mit der Datenschutz-Grundverordnung (DSGVO) und einer revidierten Konvention, welche die Schweiz umzusetzen hat. Zieht die Schweiz hier nicht nach, könnte der freie Datenverkehr mit unseren europäischen Nachbarn stark erschwert werden, das wäre sicher nicht in unserem Interesse.
Was ändert sich für Arztpraxen und Spitäler? Das neue Datenschutzgesetz bringt zunächst einmal eine Reihe neuer Pflichten, und es führt zu erhöhten Rechtsrisiken. Viele dieser Pflichten existieren seit Jahren, aber sie wurden bisher nicht immer ernstgenommen. Das revidierte Gesetz soll hier insbesondere die Selbstbestimmung über die eigenen Daten der Patienten stärken. Es verpflichtet Arztpraxen und Spitäler deshalb zu erhöhter Transparenz, und es gibt den Betroffenen weitere Rechte. Es kommen zudem eine Reihe von organisatorischen Pflichten der Praxen und Spitäler dazu.

Für Arztpraxen sind folgende Änderungen von besonderer Relevanz:
  • Die Definition der besonders schützenswerten Personendaten wird erweitert um genetische und biometrische Daten, sofern diese eine natürliche Person eindeutig identifizieren
  • Die Datenbearbeitungen sind technisch und organisatorisch so zu gestalten, dass die Datenschutzvorschriften eingehalten werden (Datenschutz durch Technik)
  • Die Datenbearbeitungen beschränken sich auf das für den Verwendungszweck notwendige Mindestmass (datenschutzfreundliche Voreinstellungen)
  • Das heute geltende Register der Datensammlungen wird abgelöst durch ein Verzeichnis der Bearbeitungstätigkeiten
  • Es gibt neue Anforderungen in Bezug auf die Datenschutz-Folgenabschätzung (DSFA)
  • Es besteht neu eine Meldepflicht für Verletzungen der Datensicherheit
  • Die Strafbestimmungen im DSG werden verschärft.
Quelle: FMH

Was bedeutet das konkret? Jedes Spital oder jede Arztpraxis muss eine gewisse interne Organisation und Dokumentation haben. Es muss bspw. klar sein, welche Daten erhoben werden, wie sie bearbeitet werden, wie lange sie gespeichert bleiben, wie sie geschützt sind und wem sie bekanntgegeben werden, und wer jeweils die Ansprechperson ist. Das verlangt ein Inventar der Bearbeitungen, ein sogenanntes Bearbeitungsverzeichnis.
Was ändert sich bei der Beschaffung von Personendaten? Hier müssen die betroffenen Personen transparent über die Datenbearbeitungen informiert werden, insbesondere über den Bearbeitungszweck und allenfalls über die Empfänger der Daten. Das gilt nicht nur für Patienten, sondern auch für Mitarbeitende.
Müssen hierfür die Datenschutzerklärungen angepasst werden? In vielen Fällen ja. Bestehende Datenschutzerklärungen sollten deshalb in Bezug auf die neuen Bestimmungen überprüft werden. Man muss sich zudem überlegen, ob das Unternehmen auch der Datenschutz-Grundverordnung oder dem kantonalen Datenschutzrecht untersteht.
Der administrative Aufwand scheint mit der neuen Verordnung nicht weniger zu werden... Das ist so. Die meisten Unternehmen, und auch Arztpraxen und Spitäler werden einen gewissen Aufwand haben, um die Anforderungen des neuen Datenschutzrechts umzusetzen. Gleichzeitig ist auch laufend mit höherem Aufwand zu rechnen: Zum einen sieht das schweizerische Datenschutzrecht gewisse Dokumentationspflichten vor, die erfüllt werden müssen. Zum anderen führt eine verbesserte Datenschutzcompliance erfahrungsgemäss dazu, dass datenschutzrechtliche Herausforderungen besser erkannt werden.
Welche Auswirkungen hat das revidierte Gesetz auf die Verarbeitung sensibler Gesundheitsdaten? Arztpraxen und Spitäler sind bereits heute meist gut vorbereitet, weil sie den Umgang mit geheimen Informationen kennen. Zugleich kann die Bearbeitung der Gesundheitsdaten zu besonderen Pflichten unter dem Datenschutzgesetz führen, sogar auf technischer Ebene, etwa bei der Protokollierung von Datenbearbeitungen.
Zugleich steigen auch die Rechtsrisiken, oder? Ja, und zwar weil der EDÖB – also die Aufsichtsstelle im Privatbereich – weitere Kompetenzen erhält und in bestimmten Fällen auch weitere Strafrechtsrisiken entstehen. Man muss sich nur bewusst sein, dass der Datenschutz über den Geheimnisschutz hinausgeht und die Vertraulichkeit deshalb nur ein kleiner Teil der Datenschutz-Compliance ist.
Mit dem revidierten Datenschutzgesetz werden auch die Strafbestimmungen verschärft. Im schlimmsten Fall drohen Bussen bis 250'000 Franken. Das trifft zu, leider, muss man sagen – es ist richtig, bestimmte Verstösse schärfer zu ahnden, aber es sollte das Unternehmen sein, das die Busse trägt, nicht die einzelne Person. Leider ist das anders, und auch die Auswahl der Verletzungen, die zu einer Busse führen können, ist zufällig.
Können Sie ein Beispiel dazu machen? Wenn beispielsweise jemand die Informationspflicht verletzt, eine unvollständige oder falsche Datenschutzauskunft gibt oder Personendaten unerlaubterweise ins Ausland übermittelt, jeweils vorsätzlich, dann kann eine Busse von bis zu 250'000 Franken ausgesprochen werden. Die Busse trifft primär jene Person, die effektiv für die Verletzung des Datenschutzgesetzes verantwortlich ist. Wer mit Personendaten umgeht, hat also ein grosses Interesse, seinen Job ernst zu nehmen.
Was ändert sich für das Elektronische Patentendossier EPD? Mit dem neuen Datenschutzgesetz eigentlich nicht allzu viel. Das EPD ist spezialgesetzlich geregelt, und diese Gesetzgebung wird durch das neue DSG nicht angepasst. Es gelten weiterhin die datenbezogenen Regelungen der Gesetzgebung Elektronisches Patientendossier EPDG.
Jeder Kanton hat sein eigenes Datenschutzgesetz, das Bundesgesetz ist nur für die Bundesverwaltung sowie für privatwirtschaftliche Firmen und private Organisationen relevant. Was gilt denn nun für Spitäler und Arztpraxen? Spitäler und Arztpraxen müssen sich damit auseinandersetzen und vorab klären, wo sie als private Unternehmen tätig werden und wo sie kantonale Aufgaben wahrnehmen. Im letzteren Fall gelten sie als kantonale Organe. Sie müssen sie sich dann mit dem anwendbaren kantonalen Datenschutzrecht beschäftigen, falls sie das noch nicht getan haben. Auch die kantonalen Datenschutzrechte befinden sich in Revision, einige wurden bereits revidiert, andere befinden sich noch auf dem Weg. Und es kann auch eine Anwendung der Datenschutz-Grundverordnung DSGVO dazukommen, wenn eine Praxis oder ein Spital um ausländische Patienten werben.
Haben Sie Fragen zum neuen Datenschutzgesetz? Schreiben Sie uns: info@medinside.ch

  • datenschutz
  • spital
  • arztpraxen
  • recht
Artikel teilen

Loading

Comment

2 x pro Woche
Abonnieren Sie unseren Newsletter.

oder

Mehr zum Thema

image

Jede Notfall-Konsultation kostet 460 Franken

Notfallstationen werden immer öfter besucht. Eine Obsan-Studie bietet neue Zahlen dazu. Zum Beispiel: 777'000 Personen begaben sich dreimal in einem Jahr auf den Spital-Notfall.

image

Zürcher Krankenhäuser und Versicherer haben sich geeinigt

Nun ist ein jahrelanger Streit beendet: Die Zürcher Spitäler vereinbaren mit Helsana, Sanitas und KPT einen Taxpunktwert von 93 Rappen - ein Kompromiss.

image

Balgrist-Team behandelt im Spital Männedorf

Das Spital Männedorf hat eine neue Klinik für Orthopädie und Traumatologie. Das Team kommt vom Balgrist.

image

Solothurner Spitäler: Bericht zu CEO-Lohn bleibt vorerst geheim

Noch ist unklar, ob Zusatzzahlungen an den Ex-Chef der Solothurner Spitäler rechtens waren. Der Bericht dazu ist da - aber nicht öffentlich.

image

Kispi wegen «Riesenfete» kritisiert – doch die Köche arbeiten gratis

Das überschuldete Kinderspital Zürich feiere seinen Neubau mit einem Michelin-Sternkoch, schreibt ein Online-Medium provokativ.

image

Weitere Umstrukturierung bei Hirslanden – Thomas Bührer in die Konzernleitung

Die Spitalgruppe schafft intern eine neue «Region Mittelland». Damit sollen die Versorgerregionen auch näher an der Konzernleitung sein.

Vom gleichen Autor

image

«Manche haben unrealistische Erwartungen an die Schweiz»

Die Schweiz erscheint für viele ausländische Ärzte als Traumland. Was es braucht, damit der Jobwechsel gelingt, erklären die Ärztevermittler Francesca und Jan Saner.

image

«Die Anspruchshaltung ist spürbar gestiegen»

Die Spitäler verspüren mehr Gewaltbereitschaft bei Patienten. Adrian Kaegi, ehemaliger Staatsanwalt für Gewaltkriminalität und Ärztefälle, über die Hintergründe.

image

«Das Spital wird als rechtsfreier Raum wahrgenommen»

Gewalttätige Patienten und Angehörige belasten das Gesundheitspersonal – doch Konsequenzen haben sie kaum zu fürchten. Das muss ändern, sagt Pflegefachmann und Aggressions-Trainer Stefan Reinhardt.