FAQ Datenschutz in der Arzt- und Therapiepraxis
Mit dem nachfolgenden frequently asked questions (FAQ), versuchen wir als Ärztekasse die Fragen, die uns aus dem Alltag gestellt werden, zu sammeln und zu beantworten. Die Antworten sind immer abhängig vom konkreten Einzelfall, die nachfolgenden Ausführungen sind für eine rasche Übersicht und allgemeine Antworten gedacht. Sie ersetzen weder eine juristische Beratung noch sind sie vollständig und auf jeden Fall anwendbar.
I. allgemeine Datenerhebung in der Praxis
Als Personendaten oder auch personenbezogene Daten gelten alle Daten, die sich auf eine Person beziehen und diese identifizieren oder zur Identifizierung der Person beitragen. Der Begriff der Personendaten ist daher weit zu fassen. Das Datenschutzgesetz unterscheidet dabei zwischen (schützenswerten) Personendaten und besonders schützenswerten Personendaten.
Schützenswert sind dabei grundsätzlich alle Personendaten.
Als besonders schützenswerte Personendaten nennt das Gesetz unter anderem Daten über die Gesundheit, die Intimsphäre sowie Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten. Im Zusammenhang mit der Bearbeitung von besonders schützenswerten Personendaten sieht das Gesetz jedoch zusätzliche Anforderungen vor.
Zu den Personendaten, die in Praxen bearbeitet werden, gehören beispielsweise:
- Stamm- und Kontaktdaten von Patientinnen / Patienten, Mitarbeitenden, Ansprechpersonen von Dienstleistern oder anderen Gesundheitseinrichtungen (z.B. Namen, Telefonnummer, Anschrift, E-Mail-Adresse oder auch das Geburtsdatum)
- Aufzeichnungen über den Verlauf einer Behandlung, Symptombeschreibungen, Diagnosen, Verordnungen, Reaktionen, Laborresultate, Röntgenbilder, Medikationen
- Sozialversicherungsstatus
- Daten über Intimsphäre wie etwa der Gesundheitszustand, das Sexualleben oder die Gefühlswelt
- Daten zu Mitarbeitenden und dem Anstellungsverhältnis inklusive Leistungsbeurteilungen und Lohnabrechnungen
- Stamm- und Kontaktdaten von Patientinnen / Patienten, Ansprechpersonen von Dienstleistern oder anderen Gesundheitseinrichtungen (z.B. Namen, Telefonnummer, Anschrift, E-Mail-Adresse oder auch das Geburtsdatum)
- Aufzeichnungen über den Verlauf einer Behandlung, Symptombeschreibungen, Diagnosen, Verordnungen, Reaktionen, Laborresultate, Röntgenbilder, Medikationen
- Sozialversicherungsstatus
- Daten über Intimsphäre wie etwa der Gesundheitszustand, das Sexualleben oder die Gefühlswelt
Die Praxen sind aber auch verpflichtet die Daten der eigenen Mitarbeitenden korrekt zu bearbeiten. Dazu gehört auch die Einwilligung der Mitarbeitenden. Häufig beinhaltet dies die folgenden Personendaten:
- Daten zu Mitarbeitenden und dem Anstellungsverhältnis inklusive Leistungsbeurteilungen und Lohnabrechnungen
Die Erhebung der Daten hängt immer vom Zweck ab. Das heisst, der Grund wieso Daten erfragt werden, ist entscheidend. Grundsätzlich drängen sich für die Arzt- und Therapiepraxis zwei Datengrundlagen auf:
In Administrativer Hinsicht
Die Patientenadministration darf Name, Geburtsdatum, Kontaktdaten, den Versicherungsträger und Versichertennummer erfragen, sofern die Abrechnung über die Krankenkasse erfolgt. Minimal erforderlich sind Name und Adresse für eine Rechnungsstellung, wenn die Krankenkasse nicht involviert werden sollte. Dazu gehört auch eine E-Mail-Adresse, wenn beispielsweise die Rechnungskopie im Tiers payant elektronisch zugestellt wird. Die Patientin / der Patient soll eine E-Mail-Adresse angeben, auf die nur sie / er Zugriff hat. Die Patientin / der Patient entscheidet aber abschliessend über den Zugriff und die Verschlüsselungsstandards die ihre / seine E-Mail-Adresse aufweist. Soweit nötig, können auch weitere Daten erfragt werden.
In medizinischer Sicht
Im Rahmen der medizinischen Behandlung müssen noch weitere Informationen erfragt werden. Diese Daten stehen im Zusammenhang mit dem Behandlungsauftrag. Das kann vorbestehende Erkrankungen, bekannte Allergien, Medikamentenunverträglichkeit, übertragbare Krankheiten, Symptome und so weiter beinhalten. Auch hier gilt, dass der Behandlungsauftrag als Zweck der medizinischen Datenerhebung vorgibt.
Die klassische Krankengeschichte
Das Medizinalberufegesetz und die kantonalen Gesundheitsgesetze sehen eine explizite Aufbewahrungspflicht vor. Ganz grundsätzlich müssen Gesundheitsfachpersonen damit in der Lage sein, die erfolgte Behandlung und die Aufklärung an der Patientin / am Patienten zu dokumentieren. Hier trifft jede Gesundheitsfachperson eine Beweispflicht.
Inhaltlich ist die Feststellung des medizinischen Sachverhalts nach den gültigen Regeln der Medizin durch den Arzt festzustellen. Dazu gehören insbesondere Anamnese, Krankheitsverlauf und die jeweilige Diagnose. Ebenfalls wichtig ist der Hinweis auf allfällige Kostenübernahme durch die Patientin / den Patienten oder Unsicherheiten hinsichtlich der Zahlung durch die jeweilige Versicherung.
Daneben ist in der Krankengeschichte auch die angeordnete Therapie mit den erfolgten Ausführungen gegenüber der Patientin / dem Patienten sowie verschriebene Medikamente oder ausgestellte Arbeitsunfähigkeitszeugnisse festzuhalten.
Diese Informationen haben objektiv zu erfolgen. Nach ständiger Praxis gehören nur persönliche Notizen nicht zur Krankengeschichte, davon soll aber sehr zurückhaltend Gebrauch gemacht werden.
Das Berufsgeheimnis besteht für die in Art. 321 Strafgesetzbuch genannten Berufe zusätzlich. An sich geht das Berufsgeheimnis noch weiter als der Datenschutz. An sich kann entweder die Patientin / der Patient in die Weitergabe der vom Berufsgeheimnis (und vom Datenschutz) erfassten Daten einwilligen (vgl. auch Patienteneinwilligung) oder es gibt gesetzliche Gründe, dass die Daten ohne Einwilligung weitergegeben werden dürfen. Der häufigste Fall in der Praxis ist die Weitergabe von Daten an eine andere Gesundheitsfachperson in der direkten Behandlungskette. Im Zweifelsfall bieten auch die kantonalen Gesundheitsdirektionen oder -ämter eine «amtliche Entbindung» an, die aber konkret beantragt werden muss. Umstritten ist hier die Frage, ob die Entbindung von der beruflichen Schweigepflicht pro Behandlung eingeholt werden müsste. In der Praxis ist dies wiederum mit administrativem Aufwand verbunden, so dass vorderhand auf das Patientenformular mit der entsprechenden Entbindung bei der Anmeldung abgestellt werden könnte.
Der Datenschutz befasst sich mit der informationellen Selbstbestimmung sowie dem Schutz vor missbräuchlicher Datenbearbeitung, welche natürliche Personen in ihrer Persönlichkeit oder ihren Grundrechten einschränkt. Das Datenschutzgesetz hat zum Zweck, diese Rechte zu schützen, indem es Vorgaben zum Umgang und zur Bearbeitung mit Personendaten definiert.
Das revidierte Datenschutzgesetz (DSG), welches am 1. September 2023 in Kraft tritt, stärkt insbesondere die Selbstbestimmung über die eigenen Daten der betroffenen Personen, indem Verantwortliche zu erhöhter Transparenz verpflichtet und die Rechte der betroffenen Personen erweitert werden. Für Praxen sind in erster Linie nachfolgende Änderungen relevant:
- Die Definition der besonders schützenswerten Personendaten wird erweitert um genetische und biometrische Daten, sofern diese eine natürliche Person eindeutig identifizieren.
- Die strengeren Bedingungen an die Bearbeitung besonders schützenswerter Personendaten gelten zukünftig auch für diese Arten von Daten.
- Das heute geltende Register der Datensammlungen wird abgelöst durch ein Verzeichnis der Bearbeitungstätigkeiten. Damit stehen nicht mehr die Datensammlungen im Fokus, sondern die Art und Weise sowie der Zweck einer Bearbeitung von Personendaten.
- Neu sieht das Gesetz die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) vor, wenn eine Bearbeitung geplant ist, welche voraussichtlich ein hohes Risiko für die Persönlichkeits- oder Grundrechte der betroffenen Person mit sich bringt.
- Das revidierte Datenschutzgesetz sieht eine Meldepflicht für Verletzungen der Datensicherheit vor.
- Die Strafbestimmungen werden verschärft.
Grundsätzlich sind und bleiben die Daten im Eigentum der Patientin / des Patienten. Das heisst die Patientin / der Patient kann ausserhalb der gesetzlichen Verpflichtungen über die Verwendung ihrer / seiner Personendaten entscheiden. Daneben gehen für jede Gesundheitsfachperson mit den Patientendaten Pflichten einher: allem voran die Aufbewahrungspflicht. Die Gesetzgebung verpflichtet die Gesundheitsfachpersonen, die «Krankengeschichte» aufzuzeichnen. Daneben sieht nun das neue Datenschutzgesetz vor, dass die Einwilligung für die Bearbeitung besonders schützenswerter Personendaten, ausdrücklich eingeholt werden muss. Ausdrücklich heisst neu, dass belegt werden muss, dass die Patientinnen und Patienten als betroffene Personen, mit der Bearbeitung ihrer / seiner Daten einverstanden sind. Dabei muss die Patientin / der Patient aufgeklärt werden und sie / er muss wissen, wer die Daten zu welchem Zweck erhält. Dafür hat die Ärztekasse das Patientenformular angepasst und ein entsprechendes Informationsschreiben für die Patientinnen und Patienten zur Einsicht oder Abgabe verfasst.
Die Frage kann aktuell nur zurückhaltend beantwortet werden. Die Zeit wird die nötigen Erfahrungen hervorbringen. Wichtig scheint, dass der Prozess der ausdrücklichen Einwilligung bei den Patientinnen und Patienten aufgenommen wird und per 1. September 2023 konsequent umgesetzt wird. Mit einiger Wahrscheinlichkeit ist die Einwilligung nicht pro Fall – so ist es im stationären Bereich vorgesehen – einzuholen. Es zeichnet sich ab, dass eine sinnvolle Periodizität gefunden wird, die den administrativen Aufwand nicht unnötig erhöht. Derzeit scheint als Richtwert alle 2 - 3 Jahre indiziert, wobei das je nach Einzelfall differieren kann.
Es handelt sich letztlich bei der Einwilligungserklärung um eine Beweismassnahme der Gesundheitsfachperson, welche unter Umständen nachweisen muss, dass die Patientin X / der Patient Y ausdrücklich in ihre / seine Bearbeitung inkl. der Weiterleitung an bestimmte Adressaten, einverstanden ist. Es empfiehlt sich daher, entweder die Einwilligung einzuscannen und im jeweiligen Patientendossier zu speichern. Das Original muss nicht zwingend aufbewahrt werden, wenn die gescannte Einwilligung gut lesbar ist. Denkbar wäre auch, alle unterzeichneten Formulare in einem Ordner gesondert abzulegen.
II. Datenschutzgrundsätze
Das Gesetz und die Verordnung sehen zwingende Bestimmungen vor, die bei der Bearbeitung von Daten eingehalten werden müssen. Die Bearbeitung von Personendaten ist grundsätzlich rechtmässig, wenn die geltende Rechtsordnung und die Datenschutzvorgaben eingehalten werden.
Im Zusammenhang mit der Bearbeitung von Personendaten haben Gesundheitsfachpersonen gegenüber betroffenen Personen (unter anderem Patientinnen und Patienten) eine Informations- und Aufklärungspflicht. Die Gesundheitsfachpersonen haben die Patientinnen und Patienten über die Datenbearbeitung in verständlicher Art und Weise darüber zu informieren, zu welchem Zweck die Personendaten erhoben und bearbeitet werden und an welche Kategorien von Empfängern eine Weitergabe der Daten erfolgt.
Die Erhebung sowie der Zweck der Bearbeitung haben transparent und nach Treu und Glauben zu erfolgen. Sofern die Datenbeschaffung und der Zweck der Bearbeitung für die betroffene Person nicht ersichtlich sind, muss sie darüber informiert werden. Treu und Glauben bedeutet auch, dass die Daten nur so bearbeitet werden, wie es die betroffene Person erwarten kann.
Die Bearbeitung der Personendaten hat verhältnismässig zu erfolgen. Die Verhältnismässigkeit ist gegeben, wenn die Bearbeitung auf die Daten beschränkt wird, die für die Erfüllung der Aufgabe oder die Erreichung des angegebenen Zwecks geeignet und notwendig ist.
Die Bearbeitung muss zweckmässig sein. Die Zweckmässigkeit ist gegeben, wenn die Bearbeitung von Personendaten nur zu dem Zweck erfolgt, welcher definiert und bei der Beschaffung der Daten angegeben wurde.
Sind die Personendaten nicht korrekt, sind diese zu berichtigen oder zu löschen.
Bearbeitung beinhaltet im Sinne des Gesetzes jeden Umgang mit Personendaten, unabhängig von den angewandten Mittel und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten der Daten. Das Bekanntgeben von Personendaten bedeutet sowohl das Übermitteln als bewusste Weitergabe, als auch das Zugänglichmachen, indem auch Unbefugten Daten aus Unvorsichtigkeit offengelegt werden.
Zusammenfassend, wenn auch nicht abschliessend, stehen die folgenden Grundsätze im Alltag im Vordergrund:
1. Rechtmässigkeit: Personendaten dürfen nur gestützt auf das Gesetz oder Vertrag und nach Treu und Glauben bearbeitet werden.
Habe ich eine Vereinbarung mit der Patientin / dem Patienten, Geschäftspartnerin / -partner bzw. eine Einwilligung oder muss ich die Daten verarbeiten, weil es ein Gesetz vorsieht.
2. Verhältnismässigkeit: Die Datenbearbeitung muss verhältnismässig sein. Das heisst, Daten müssen für den Zweck erforderlich, angemessen und objektiv geeignet sein.
Brauche ich die Daten wirklich, um zu arbeiten, den Vertrag zu erfüllen oder eine gesetzliche Pflicht einzuhalten.
3. Transparenz und Zweckbindung: Personendaten dürfen nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft und bearbeitet werden.
Ist für mich und den Patientinnen / Patienten klar, weshalb und wofür ich ihre / seine Daten brauche.
4. Aufbewahrung: Sobald Personendaten den Zweck erfüllt haben, werden diese vernichtet (gelöscht) oder anonymisiert.
Der Zweck bestimmt die Aufbewahrung(-frist). Achtung im Gesundheitswesen steht die Aufbewahrungspflicht KG entgegen.
5. Datenintegrität: Wer Personendaten bearbeitet, muss sich über deren Richtigkeit vergewissern und alle angemessenen Massnahmen treffen, damit unrichtige oder unvollständige Daten berichtigt, gelöscht oder vernichtet werden.
Die Daten sind grundsätzlich aktuell und korrekt zu halten.
6. Einwilligung: Ist die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung nur gültig, wenn sie für eine oder mehrere bestimmte Bearbeitungen nach angemessener Information freiwillig erteilt wird. Dies gilt insbesondere für die Bearbeitung von besonders schützenswerten Daten. Besonders schützenswerte Personendaten dürfen Dritten ohne Rechtfertigungsgrund oder Zustimmung der betroffenen Person nicht bekanntgegeben werden.
Bei Gesundheitsdaten ist eine ausdrückliche Einwilligung (unterschrieben) einzuholen, wobei die Datenkategorien, der Zweck und allfällige Empfänger zu nennen sind.
7. Datensicherheit: Personendaten müssen durch technische und organisatorische Massnahmen vor unbefugten Bearbeitungen geschützt werden und dürfen nur für den vorgesehenen Zweck bearbeitet werden.
Die Systeme und Zugänge zu den Daten – sei es auf dem PC oder mittels Aktenschranks – sind zu kontrollieren und abzuschliessen, damit niemand unbefugt «eindringen» kann. Das gilt auch für Passwörter, für laufende PC oder für Krankenakten im Behandlungsraum.
III. Datenherausgabe
Grundsätzlich haben die Patientinnen und Patienten in die Weitergabe einzuwilligen. Das Einwilligungsformular der Ärztekasse trägt den üblichen Weitergaben bereits Rechnung.
Auch gegenüber dem Spital gelten grundsätzlich die gleichen Grundsätze des Datenschutzes. Jedoch können diese, je nach kantonaler Gesetzesgrundlagen noch weitergehende Bestimmungen beinhalten. Die Kantone haben häufig kantonale Datenschutzgesetzgebungen, die vorwiegend gegenüber öffentlichen Anstalten oder Behörden zum Tragen kommen – je nach Ausgestaltung gelten diese auch für die Spitäler.
IV. Organisation der Datenbearbeitung in der Praxis
Grundsätzlich ist jede Praxis verpflichtet, den Zugang auf die Daten zu schützen. Für elektronische Daten bedeutet dies, dass der Zugriff mit Passwörtern geschützt wird, dass die Zugänge technisch gesichert sind und die PC bzw. die Server nicht zugänglich sind. Dazu gehört auch, dass die Passwörter nicht weitergegeben werden oder mittels Post-it am Monitor hängen. Der Zugang muss persönlich sein, sprich das neue Datenschutzgesetz bzw. die Verordnung verlangt, dass aufgezeichnet wird, wer, wann auf Daten zugreift und diese verändert oder löscht. Dasselbe gilt auch für physische Daten, die entsprechend abgeschlossen sein müssen.
Zur Vereinfachung des Zugriffsmanagement hat die Ärztekasse das Single Sign-On (SSO) eingeführt. Damit wird es möglich, die Zugriffe, die persönlich erfolgen müssen, zuzuordnen.
Mit Inkrafttreten des neuen Bundesgesetzes über den Datenschutz (DSG) werden Verantwortliche unter bestimmten Voraussetzungen verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten zu führen. Diese Pflicht trifft Verantwortliche mit mehr als 250 Mitarbeitenden sowie Verantwortliche, welche eine umfangreiche Bearbeitung von besonders schützenswerten Personendaten vornehmen. Aufgrund der Sensitivität der Gesundheitsdaten wird Gesundheitsfachpersonen beziehungsweise den Praxen empfohlen, zumindest diejenigen Bearbeitungstätigkeiten in das Verzeichnis aufzunehmen, bei welchen die Bearbeitung von besonders schützenswerten Personendaten im Fokus steht (z. B. Führung und Verwaltung der Krankengeschichten, Verwaltung der Patientendaten zur Abrechnung der Sozialversicherungen, Personalverwaltung etc.). Grundsätzlich haben sowohl die Verantwortlichen (bspw. Praxen) als auch bestimmte Auftragsbearbeiterinnen und Auftragsbearbeiter (bspw. Abrechnungscenter) je ein Verzeichnis zu führen.
Neu sieht das Gesetz die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) vor, wenn eine Bearbeitung geplant ist, welche voraussichtlich ein hohes Risiko für die Persönlichkeits- oder Grundrechte der betroffenen Person mit sich bringt. Ein solches Risiko kann beispielsweise vorliegen, wenn besonders schützenswerte Personendaten wie Gesundheitsdaten bearbeitet werden oder wenn neue Technologien (z.B. Cloud-Produkte, Künstliche Intelligenz) bei der Bearbeitung der Personendaten zum Einsatz kommen. Von einer DSFA kann abgesehen werden, wenn die Bearbeitung aufgrund einer gesetzlichen Vorgabe erfolgt, wenn die eingesetzten Systeme, Produkte oder Dienstleistungen für die vorgesehene Bearbeitung zertifiziert sind oder wenn ein dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vorgelegter Verhaltenskodex eingehalten wird.
Der Verantwortliche im Sinne des Datenschutzgesetzes ist und bleibt grundsätzlich die Arzt- und Therapiepraxis. Sie ist dafür verantwortlich, den Datenschutz einzuhalten und hat insbesondere dafür zu sorgen, dass die Persönlichkeits- und Grundrechte ihrer Patientinnen und Patienten sowie der Mitarbeitenden geschützt sind.
Wünscht oder benötigt eine Praxis Unterstützung bei der Umsetzung der Datenschutzanforderungen, hat sie die Möglichkeit, eine interne oder eine externe datenschutzberatende Person beizuziehen. Eine Datenschutzberaterin / ein -berater ist für privatrechtlich geführte Praxen freiwillig und keine gesetzliche Pflicht.
V. Aufbewahrung und Löschung von Daten
VI. Datensicherheit
Datensicherheit ist nicht Datenschutz. Die Datensicherheit stellt mittels technischer und organisatorischer Massnahmen sicher, dass der Datenschutz nicht verletzt wird. Die Datensicherheit ist damit sehr individuell und dem Datenschutz nachgelagert. Damit die Persönlichkeits- und Grundrechte von Patientinnen und Patienten sowie von Mitarbeitenden gewahrt werden, müssen die Personendaten vor unberechtigten Zugriffen, Veränderungen sowie vor Verlust geschützt werden. Die Praxis hat entsprechende technische und organisatorische Massnahmen für die Datensicherheit zu treffen. Die zu wählenden technischen und organisatorischen Massnahmen richten sich grundsätzlich nach dem Risiko. Es sind entsprechend die Vorgaben zur Datensicherheit in der Verordnung über den Datenschutz (DSV) zu beachten.
Zugriffsbeschränkungen, auf Systeme und physische Daten (z.B. Papierakten), Datensicherungen (Back-ups), Schulungen von Mitarbeitenden etc.
Eine Verschlüsselung wird empfohlen. Viele Anbietende bieten dies entsprechend an. HIN bietet dafür eine hervorragende Umgebung an.
Auch hier gilt, dass die Patientin / der Patient dies selbst entscheiden darf. Grundsätzlich macht die Patientin / der Patient Angaben zu ihrer / seiner gewünschten E-Mail-Adresse. Mit der entsprechenden Aufklärung dürfen die Daten auch unverschlüsselt übermittelt werden, wenn die Patientin / der Patient ausdrücklich einwilligt. Dies gilt aber nicht zwingend für eingehende E-Mails, die nicht zwingend von der Person stammen, welche die E-Mail versandt hat. Zudem sollten Gesundheitsfachpersonen nie von sich aus eine unverschlüsselte E-Mail-Konversation mit den Patientinnen und Patienten starten, wenn die entsprechende E-Mail-Adresse nicht ausdrücklich von der jeweiligen Patientin / vom jeweiligen Patienten genannt und bestätigt wurde.