Am 1. September 2023 tritt in der Schweiz das neue, totalrevidierte Datenschutzgesetz (DSG) in Kraft. Damit gehen auch einige Änderungen für Arztpraxen und Spitäler einher. Bei Verstössen drohen hohen Bussen von bis zu 250’000 Euro. Worauf es jetzt bei der Bearbeitung von Patientendaten ankommt, erklärt der folgende Artikel.
Neues Datenschutzgesetz ab September 2023
Im September 2023 löst das totalrevidierte Datenschutzgesetz die alte Gesetzgebung ab. Das bisherige DSG stammt aus dem Jahr 1992 und ist nicht mit EU-Recht kompatibel, insbesondere mit der Datenschutz-Grundverordnung (DSGVO), was den Datenverkehr mit den europäischen Nachbarländern erschwert. Das neue DSG soll diese Kompatibilität schaffen und zugleich für einen besseren Schutz personenbezogener Daten sorgen. Ziel ist es, die Selbstbestimmung über persönliche Daten zu stärken und die Transparenz über die Datenbeschaffung zu verbessern.
Für Arztpraxen bringt das neue DSG einige Herausforderungen mit sich. So müssen sie zunächst herausfinden, welche gesetzlichen Grundlagen für sie eigentlich gelten. Neben dem Bundesgesetz, das für die Bundesverwaltung sowie für privatwirtschaftliche Firmen und private Organisationen relevant ist, hat jeder Kanton sein eigenes DSG. Nehmen Praxen kantonale Aufgaben wahr, gelten sie als kantonale Organe und unterliegen damit den kantonalen Datenschutzregelungen. Als privatwirtschaftliche Firmen dagegen haben sie sich an das Bundesgesetz zu halten. Werben sie um ausländische Patienten/-innen, kann zusätzlich die DSGVO Anwendung finden.
Die wesentlichen Änderungen für Arztpraxen im Überblick
Welche Änderungen des DSG sind nun für Arztpraxen besonders relevant? Hier gibt es eine Übersicht:
Definition von besonders schützenswerten Personendaten wird erweitert
Das neue DSG soll Patienten/-innen mehr Selbstbestimmungsrechte über die Verwendung ihrer persönlichen Daten einräumen. In diesem Zuge wird die Definition der besonders schützenswerten Personendaten erweitert. Zum bisherigen Katalog kommen genetische und biometrische Daten hinzu, über die eine natürliche Person eindeutig identifiziert werden kann.
Mehr Transparenz bei der Datenbeschaffung
Um die Selbstbestimmungsrechte der Patienten/-innen und Praxis-Mitarbeitenden zu wahren, müssen Arztpraxen sie künftig transparent über die Beschaffung und Bearbeitung ihrer persönlichen Daten informieren. So muss ihnen zum Beispiel mitgeteilt werden, zu welchem Zweck die Datenbearbeitung erfolgt und wer die Daten empfängt. Viele Praxen müssen aus diesem Grund ihre Datenschutzerklärungen überarbeiten und entsprechend anpassen.
Datenbearbeitung auf das notwendige Mindestmass beschränken
Eine weitere Änderung betrifft den sogenannten Datenschutz durch Technik: Die Datenbearbeitung muss technisch und organisatorisch an die neuen Datenschutzvorschriften angepasst werden. Dabei sollte die Datenbearbeitung das für den jeweiligen Verwendungszweck notwendige Mindestmass nicht überschreiten.
Änderungen bei der Datendokumentation
Auch bei der Datendokumentation müssen sich Arztpraxen umstellen. Das Register der Datensammlung wird durch ein Verzeichnis der Bearbeitungstätigkeiten abgelöst. Das Verzeichnis legt den Fokus auf die Art und Weise sowie den Zweck der Datenbearbeitung. Zu führen ist das Verzeichnis von der verantwortlichen Person, welche die Bearbeitung der besonders schützenswerten Personendaten vornimmt.
Zu den dokumentationspflichtigen Fällen in Arztpraxen gehören etwa das Führen und Verwalten der Krankengeschichte und die Verwaltung der Patientendaten zur Abrechnung. Aus dem Bearbeitungsverzeichnis muss unter anderem hervorgehen, welche Daten erhoben werden, wie sie bearbeitet werden, welche Datenschutzmassnahmen getroffen werden, wie lange die Daten gespeichert bleiben und an wen sie weitergeleitet werden. Zudem muss die zuständige Ansprechperson genannt werden.
Datenschutz-Folgeabschätzung (DSFA)
Planen Arztpraxen, Patientendaten in einer Weise zu bearbeiten, mit denen voraussichtlich ein hohes Risiko einhergeht, müssen sie eine Datenschutz-Folgeabschätzung (DSFA) durchführen. Als besonders risikoreich gelten zum Beispiel die Bearbeitung von Gesundheitsdaten oder die Datenverarbeitung mit neuen Technologien wie Künstliche Intelligenz und Cloud-Produkten.
Praxen dürfen von einer DSFA absehen, wenn die Bearbeitung zur Einhaltung gesetzlicher Vorgaben erfolgt, wenn sie zertifizierte Systeme verwenden oder wenn sie einen Verhaltenskodex einhalten, der mit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) abgestimmt wurde.
Meldepflicht für Verletzungen der Datensicherheit
Das totalrevidierte DSG bringt zudem eine Meldepflicht für Verletzungen der Datensicherheit mit sich. Demnach sind Verletzungen der Datensicherheit, die zu einem hohen Risiko für die Persönlichkeits- und Grundrechte der Betroffenen führen, schnellstmöglich dem EDÖB zu melden.
Bei Verstössen sind Bussen bis CHF 250’000 möglich
Das neue Datenschutzgesetz bedeutet für Arztpraxen einen gesteigerten administrativen Aufwand. Zugleich ermöglicht es, Schwächen im bisherigen Datenschutz zu erkennen. Ganz neu sind viele der nun geltenden Pflichten nicht, sie gehen jetzt aber mit verschärften Strafbestimmungen einher. Verletzen Arztpraxen die verpflichtenden Datenschutzanforderungen, kann dies mit Bussen von bis zu CHF 250’000 belangt werden. Haftbar ist dabei nicht etwa die Praxis als Unternehmen, sondern die fehlbare natürliche Person, sofern diese die Datenschutzverletzung vorsätzlich begangen hat.
Neueste Arztstellen
Neueste Arztstellen
