Ab morgen gilt das neue Datenschutzgesetz!

Warum braucht die Schweiz ein neues Datenschutzgesetz? Das erste Bundesgesetz über den Datenschutz stammt aus dem Jahr 1992, gilt als veraltet und vor allem durchsetzungsschwach. Das neue Datenschutzgesetz soll die technischen und gesellschaftlichen Entwicklungen berücksichtigen und den Vollzug verbessern. Gleichzeitig muss es mit dem EU-Recht kompatibel sein – vor allem mit der Datenschutz-Grundverordnung (DSGVO) und einer revidierten Konvention, welche die Schweiz umzusetzen hat. Zieht die Schweiz hier nicht nach, könnte der freie Datenverkehr mit unseren europäischen Nachbarn stark erschwert werden, das wäre sicher nicht in unserem Interesse.

Was ändert sich für Arztpraxen und Spitäler? Das neue Datenschutzgesetz bringt zunächst einmal eine Reihe neuer Pflichten, und es führt zu erhöhten Rechtsrisiken. Viele dieser Pflichten existieren seit Jahren, aber sie wurden bisher nicht immer ernstgenommen. Das revidierte Gesetz soll hier insbesondere die Selbstbestimmung über die eigenen Daten der Patienten stärken. Es verpflichtet Arztpraxen und Spitäler deshalb zu erhöhter Transparenz, und es gibt den Betroffenen weitere Rechte. Es kommen zudem eine Reihe von organisatorischen Pflichten der Praxen und Spitäler dazu.

Was bedeutet das konkret? Jedes Spital oder jede Arztpraxis muss eine gewisse interne Organisation und Dokumentation haben. Es muss bspw. klar sein, welche Daten erhoben werden, wie sie bearbeitet werden, wie lange sie gespeichert bleiben, wie sie geschützt sind und wem sie bekanntgegeben werden, und wer jeweils die Ansprechperson ist. Das verlangt ein Inventar der Bearbeitungen, ein sogenanntes Bearbeitungsverzeichnis.

Was ändert sich bei der Beschaffung von Personendaten? Hier müssen die betroffenen Personen transparent über die Datenbearbeitungen informiert werden, insbesondere über den Bearbeitungszweck und allenfalls über die Empfänger der Daten. Das gilt nicht nur für Patienten, sondern auch für Mitarbeitende.

Müssen hierfür die Datenschutzerklärungen angepasst werden? In vielen Fällen ja. Bestehende Datenschutzerklärungen sollten deshalb in Bezug auf die neuen Bestimmungen überprüft werden. Man muss sich zudem überlegen, ob das Unternehmen auch der Datenschutz-Grundverordnung oder dem kantonalen Datenschutzrecht untersteht.

Der administrative Aufwand scheint mit der neuen Verordnung nicht weniger zu werden... Das ist so. Die meisten Unternehmen, und auch Arztpraxen und Spitäler werden einen gewissen Aufwand haben, um die Anforderungen des neuen Datenschutzrechts umzusetzen. Gleichzeitig ist auch laufend mit höherem Aufwand zu rechnen: Zum einen sieht das schweizerische Datenschutzrecht gewisse Dokumentationspflichten vor, die erfüllt werden müssen. Zum anderen führt eine verbesserte Datenschutzcompliance erfahrungsgemäss dazu, dass datenschutzrechtliche Herausforderungen besser erkannt werden.

Welche Auswirkungen hat das revidierte Gesetz auf die Verarbeitung sensibler Gesundheitsdaten? Arztpraxen und Spitäler sind bereits heute meist gut vorbereitet, weil sie den Umgang mit geheimen Informationen kennen. Zugleich kann die Bearbeitung der Gesundheitsdaten zu besonderen Pflichten unter dem Datenschutzgesetz führen, sogar auf technischer Ebene, etwa bei der Protokollierung von Datenbearbeitungen.

Zugleich steigen auch die Rechtsrisiken, oder? Ja, und zwar weil der EDÖB – also die Aufsichtsstelle im Privatbereich – weitere Kompetenzen erhält und in bestimmten Fällen auch weitere Strafrechtsrisiken entstehen. Man muss sich nur bewusst sein, dass der Datenschutz über den Geheimnisschutz hinausgeht und die Vertraulichkeit deshalb nur ein kleiner Teil der Datenschutz-Compliance ist.

Mit dem revidierten Datenschutzgesetz werden auch die Strafbestimmungen verschärft. Im schlimmsten Fall drohen Bussen bis 250'000 Franken. Das trifft zu, leider, muss man sagen – es ist richtig, bestimmte Verstösse schärfer zu ahnden, aber es sollte das Unternehmen sein, das die Busse trägt, nicht die einzelne Person. Leider ist das anders, und auch die Auswahl der Verletzungen, die zu einer Busse führen können, ist zufällig.

Können Sie ein Beispiel dazu machen? Wenn beispielsweise jemand die Informationspflicht verletzt, eine unvollständige oder falsche Datenschutzauskunft gibt oder Personendaten unerlaubterweise ins Ausland übermittelt, jeweils vorsätzlich, dann kann eine Busse von bis zu 250'000 Franken ausgesprochen werden. Die Busse trifft primär jene Person, die effektiv für die Verletzung des Datenschutzgesetzes verantwortlich ist. Wer mit Personendaten umgeht, hat also ein grosses Interesse, seinen Job ernst zu nehmen.

Was ändert sich für das Elektronische Patentendossier EPD? Mit dem neuen Datenschutzgesetz eigentlich nicht allzu viel. Das EPD ist spezialgesetzlich geregelt, und diese Gesetzgebung wird durch das neue DSG nicht angepasst. Es gelten weiterhin die datenbezogenen Regelungen der Gesetzgebung Elektronisches Patientendossier EPDG.

Jeder Kanton hat sein eigenes Datenschutzgesetz, das Bundesgesetz ist nur für die Bundesverwaltung sowie für privatwirtschaftliche Firmen und private Organisationen relevant. Was gilt denn nun für Spitäler und Arztpraxen? Spitäler und Arztpraxen müssen sich damit auseinandersetzen und vorab klären, wo sie als private Unternehmen tätig werden und wo sie kantonale Aufgaben wahrnehmen. Im letzteren Fall gelten sie als kantonale Organe. Sie müssen sie sich dann mit dem anwendbaren kantonalen Datenschutzrecht beschäftigen, falls sie das noch nicht getan haben. Auch die kantonalen Datenschutzrechte befinden sich in Revision, einige wurden bereits revidiert, andere befinden sich noch auf dem Weg. Und es kann auch eine Anwendung der Datenschutz-Grundverordnung DSGVO dazukommen, wenn eine Praxis oder ein Spital um ausländische Patienten werben.