Pflegeinstitutionen – also beispielsweise Institutionen im Alters- und Behindertenbereich – bearbeiten schützenswerte Patientendaten. Die folgenden Ausführungen geben einen einfachen Überblick über die entsprechend zu beachtenden Datenschutzbestimmungen.

Mit den im Schweizer Datenschutzgesetz festgehaltenen Bestimmungen zum Datenschutz wird bezweckt, dass aus der Bearbeitung von Daten über Personen keine Persönlichkeits- und Grundrechtsverletzungen resultieren. Als (Personen-)Daten werden alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen, verstanden. Demnach unterliegt jeder Umgang mit Personendaten – beispielsweise deren Beschaffung, (elektronische) Speicherung, Verwendung oder Bekanntgabe – individuellen Schutzvorschriften. In Pflegeinstitutionen werden in Patientendossiers Patientendaten, also Daten über die Gesundheit und die Intimsphäre von Patienten, bearbeitet.

Patientendaten sind besonders schützenswert

Patientendaten sind besonders schützenswerte Daten. Als solche unterliegen sie qualifizierten Schutzbestimmungen: Einerseits sind Patientendaten bereits strafrechtlich vollumfänglich durch das Berufsgeheimnis geschützt: So unterliegen Ärzte, Psychologen, Pflegepersonen und anderweitige Angehörige von Gesundheitsberufen im Sinne von Art. 321 des Schweizer Strafrechtgesetzbuches Sanktionen, wenn sie Patientendaten offenbaren, also Dritten ohne Einwilligung des Patienten zugänglich machen.

Strafrechtliche Folgen möglich

Andererseits kann auch eine Verletzung der nachfolgend stichwortartig gelisteten datenschutzrechtlichen Grundsätze und Vorgaben bei der Bearbeitung von Patientendaten strafrechtliche Folgen nach sich ziehen. Aus der Verletzung entsprechender Bestimmungen ergibt sich aber insbesondere eine zivilrechtliche Gefahr der Haftung für Schadenersatz und Genugtuung:

• Die Patientendatenverarbeitung muss verhältnismässig sein, also ein vernünftiges Verhältnis zwischen Mittel und Zweck aufweisen, und dem Grundsatz von Treu und Glauben entsprechen;
• Die Patientendatenverarbeitung darf nur zu dem Zweck erfolgen, der bei deren Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen war;
• Patienten (oder deren Vertreter) müssen erkennen, dass (über sie) Daten erhoben werden und ihre ausdrückliche Einwilligung zur Erhebung der Daten geben;
• Patientendaten müssen richtig erhoben werden;
• Patientendaten müssen mittels angemessener technischer und organisatorischer Massnahmen (z.B. Verarbeitung von Daten nur in geschlossenen Räumen, Verschlüsselung des elektronischen Datenverkehrs, ausreichender Passwortschutz, Virenschutzprogramme, etc.) gegen unbefugtes Bearbeiten geschützt werden;
• Patienten muss Auskunft betreffend der über sie erhobenen Daten gegeben werden können.

Kurz erklärt: das elektronische Patientendossier

Am 15. April 2017 ist das neue Gesetz über das elektronische Patientendossier (kurz: „EPDG“) in Kraft getreten. Das EPDG bezweckt nicht die (datenschutz-)rechtliche Regelung, inwiefern Pflege- und anderweitige Gesundheitsinstitutionen die Krankengeschichte ihrer Patienten in elektronischen Patientendossiers – ihre sogenannten „Primärsysteme“ – anlegen und führen müssen. Die Führung des Pimärsystems soll im Sinne der ordentlichen Datenschutzbestimmungen (vgl. obenstehende Ausführungen) ausgestaltet werden. Das EPDG regelt die Führung eines elektronischen Patientendossiers (kurz: „EPD“) als „Sekundärsystem“. Im EPD macht eine Pflege- oder anderweitige Gesundheitsinstitution für eine Behandlung relevante Ausschnitte aus ihrem elektronischen Primärsystem – z.B. Impfungen, Röntgenbil-der, Rezepte, etc. – anderen Pflege- oder anderweitigen Gesundheitsinstitutionen zugänglich. Der Patient selbst hat jederzeit Zugriff und Einsicht in sein EPD und er kann den Zugang und die Einsicht von anderen in das Dossier steuern und überprüfen. Der Bund stellt unter folgendem Link ausführliche Informationen zum EPD zur Verfügung: www.patientendossier.ch

DSGVO: Das müssen Sie wissen

In der EU ist seit dem 25. Mai 2018 die neue Datenschutz-Grundverordnung (kurz: „DSGVO“) in Kraft. Fast jede Schweizer Firma ist davon betroffen.

Ziel der DSGVO ist es, Bürgern der EU mehr Kontrolle über die Verarbeitung ihrer Personendaten zu ermöglichen. Konkret sieht die DSGVO vor, dass Personen, deren Personendaten verarbeitet werden – also beispielsweise Patienten –, umfassende Kontrollmöglichkeiten haben. Mithin müssen Unternehmen Verfahren und Mechanismen vorsehen, die es betroffenen Personen ermöglicht, folgende Rechte auszuüben:

• Recht auf Information, welche Daten verarbeitet werden;
• Recht auf Benachrichtigung, dass Daten verarbeitet werden;
• Recht auf Berichtigung / Ergänzung von erhobenen Daten;
• Recht auf Löschung (Recht auf Vergessenwerden) von erhobenen Daten;
• Recht auf Benachrichtigung über Datenschutzzverletzungen.

Neustart für den Datenschutz

Der DSGVO unterstellte Unternehmen haben eine Rechenschaftspflicht insofern als, dass sie beweisen können müssen, dass sie die Vorschriften der DSGVO einhalten. Bloss in der Schweiz niedergelassene und agierende Pflegeinstitutionen müssen die Vorschriften der DSGVO nur dann einhalten, wenn sie ihre Dienstleistungen im Ausland – speziell in der EU – anbieten. Da das Schweizer Datenschutzgesetz allerdings in Kürze der DSGVO angeglichen wird, empfiehlt sich eine Überprüfung, ob die entsprechenden DSGVO-Vorschriften eingehalten werden (eine hilfreiche Übersicht über Einzelheiten der DSGVO finden Sie hier.

Gültig ab: 25. Mai 2018

Die Datenschutz-Grundverordnung(DSGVO) ist auch für Schweizer Unternehmen relevant – und zwar nicht nur für Grosskonzerne, sondern auch für KMUs.

Ihr Ansprechpartner

Florance Schmid MLaw Junior Associate schmid@domenig.law

Domenig & Partner Rechtsanwälte AG
Hirschengraben 2
CH-3011 Bern
Tel 031 380 11 00
www.domenig.law