Mit der Ärztekasse gut gerüstet für die Zukunft

Neues Datenschutzgesetz:
Anpassungen in Arzt- und Therapiepraxen per September 2023

Liebe Ärztinnen und Ärzte, liebe Therapeutinnen und Therapeuten

Seit dem 1. September 2023 gilt das lange angekündigte revidierte Datenschutzgesetz (DSG).

Es enthält neue Bestimmungen im Umgang mit Personendaten in medizinischer und therapeutischer Praxis. Zwar ist es keine Revolution, aber für die tägliche Arbeit in der Arzt- und Therapiepraxis besteht zwischen Berufsgeheimnis und Datenschutz in verschiedener Hinsicht Anpassungsbedarf. Gerne geben wir eine Übersicht und verweisen auf die entsprechenden Hilfsmittel und Checklisten der FMH.

Das Wichtigste in Kürze:

Einwilligung durch Patientinnen und Patienten

Die Patientinnen und Patienten behalten die Herrschaft ihrer Daten – die Gesundheitsfachpersonen tragen die Verantwortung. In der medizinischen und therapeutischen Praxis werden täglich Personendaten beschafft und bearbeitet. Mit der Gesetzesrevision wird es damit noch entscheidender, dass die betroffenen Personen, also Ihre Patientinnen und Patienten, transparent über die Datenbearbeitungen informiert werden - insbesondere über den Bearbeitungszweck und allenfalls über weitere Empfängerinnen und Empfänger der Daten. Für diese Einwilligung ist es künftig notwendig, dass diese ausdrücklich – also schriftlich mit einer entsprechenden Unterschrift als Bestätigung - erfolgt. Ganz grundsätzlich empfehlen wir die Einwilligung fortlaufend einzuholen und entsprechend abzulegen. Derzeit hat sich noch keine Praxis entwickelt, wie häufig dieser Vorgang zu wiederholen wäre.

Verantwortliche und Auftragsbearbeitende

Das Gesetz sieht die Verantwortung explizit und damit auch die Haftung bei jeder Ärztin/jedem Arzt und jeder Therapeutin/jedem Therapeut selbst. An den Grundsätzen für eine rechtmässige Datenbearbeitung ändert sich nichts. Dennoch hat der Datenbearbeiter – oder der «Verantwortliche», wie er im neuen Gesetz genannt wird – verschiedene neue Bestimmungen zu beachten, die eine Anpassung der bisherigen Datenbearbeitungsprozesse beinhalten können. Wir haben das in unseren Dienstleistungsverträgen künftig bereits berücksichtigt.

Bearbeitungsverzeichnis

Aktuell gehen wir davon aus, dass die Mehrheit der Praxen verpflichtet sein werden, ein Verzeichnis für die Bearbeitungstätigkeit zu führen. Diese künftige Pflicht zur Führung eines solchen Verzeichnisses gilt für alle, die «besonders schützenswerte Personendaten in grossem Umfang» bearbeiten. Das Verzeichnis hat die im Gesetz detailliert aufgeführten Angaben zu enthalten. Gegenwärtig bestand diese Pflicht partiell in der Führung des sog. Registers der Datensammlungen.

Datenschutzerklärung

Zudem beinhaltet die Revision unter Umständen auch die Anpassung der Datenschutzerklärung Ihrer Praxis. Datenschutzerklärungen sind heute häufig im Zusammenhang mit der Homepage oder konkreten Hinweisen zur Datenbearbeitung erlassen worden. Es ist daher ratsam, bestehende Datenschutzerklärungen in Bezug auf die neuen Bestimmungen zu überprüfen.

Verletzung Datensicherheit

Die Praxen haben eine Verletzung der Datensicherheit in gewissen Fällen der Aufsichtsbehörde, d.h. dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), zu melden. Eine Verletzung der Datensicherheit liegt beispielsweise vor, wenn ein USB-Stick mit gespeicherten Personendaten verloren geht oder das Praxissystem von aussen «gehackt» wurde. Eine Meldepflicht besteht nur, wenn dadurch vermutungsweise ein hohes Risiko für die Persönlichkeitsrechte der betroffenen Personen entsteht, was bei Gesundheitsdaten nicht zum vornherein auszuschliessen ist. Für die Praxen empfiehlt es sich deshalb, ein Vorgehen zu definieren, wie mit solchen Situationen umzugehen ist.

Datenschutzanfragen, Herausgabebegehren und Aufbewahrung

Zwar nicht neu, aber immer wieder ein Thema sind Datenschutzanfragen und Herausgabebegehren. Dafür haben wir eine Checkliste, welche direkt entsprechende Standardantworten vorsieht und eine Wegleitung für eine korrekte und rasche Beantwortung ist.

Im Zuge der neuen Gesetzgebung wurde auch die Aufbewahrung und die Löschung aktualisiert. Auch wenn hier keine revolutionären Anpassungen umgesetzt wurden, so lohnt es sich dennoch, zu prüfen, ob die Konformität gegeben ist. Wichtig ist der Hinweis, dass die gesetzliche Aufbewahrungspflicht der Ärzteschaft gestützt auf das Medizinalberufegesetz und die einschlägigen Bestimmungen im kantonalen Gesundheitsgesetz, einem Löschungsanspruch der Patientinnen und Patienten grundsätzlich entgegenstehen. Wir raten daher zu konkreter Prüfung und nur zu zurückhaltender Löschung, wenn diese von Patientinnen und Patienten verlangt wird.

Letztlich müssen Sie auch an Ihre Mitarbeitenden wie MPAs, Lieferanten und weitere Geschäftspartnerinnen und Geschäftspartner denken. Sämtliche Pflichten, die Sie im Zusammenhang mit dem Datenschutz haben, treffen auch Ihre «Partnerinnen und Partner». Auch hier gehen wir davon aus, dass die entsprechenden Vereinbarungen bereits heute existieren. Falls das nicht zutreffend ist, besteht auch hier die Empfehlung, vorderhand abzuwarten und mit einer/einem allfälligen Partnerin/Partner erst Kontakt aufzunehmen, wenn von dieser/diesem bis im Sommer keine entsprechende Information erfolgt. In unseren Verträgen und anwendbaren Bestimmungen sind diese Geheimhaltungen bereits vorhanden.

Vergessen Sie nicht, dass das Berufsgeheimnis ohnehin über dem Datenschutz steht. Das befreit Sie zwar nicht von der Einhaltung der vorstehenden Datenschutzbestimmungen, aber der korrekte Umgang mit dem «Patientengeheimnis» erfüllt bereits viele Anforderungen an den Datenschutz.

Ärztekasse Training-Video «Neues Datenschutzgesetz»

Unter folgendem Link finden Sie eine Reihe Hilfsmittel.

Wichtiger Hinweis

Wir passen unsere Webseite fortlaufend an und werden auch die Muster immer wieder aktualisieren. Besuchen Sie uns daher regelmässig.

Gerne werden wir zudem die wichtigsten Fragen im FAQ beantworten. Die Verwendungen der Inhalte unserer Webseite sowie der Muster und Checklisten, sind als Hilfsmittel und als Unterstützung für Ihren datenschutzrechtlichen Alltag gedacht, die gesetzlichen und vertraglichen Bestimmungen gehen diesen vor.