Aufgaben des Datenschutzes

Folgende Themenbereiche müssen für die Datenschutzkonformität einmalig erarbeitet und laufend gepflegt werden:

  • Verzeichnis von Bearbeitungstätigkeiten
  • Informationspflichten
  • Dokumentationspflichten
  • Datensicherheit

Verzeichnis von Bearbeitungstätigkeiten

Pro Datenverzeichnis (Patientenverwaltung, Mitarbeiterverwaltung, Terminverwaltung, etc.) müssen folgende Informationen (Art. 11 DSG) dokumentiert werden:

    • Identität des Verantwortlichen
    • Bearbeitungszweck
    • betroffene Personen (von wem werden die Daten verwaltet, z. B. Patienten, Mitarbeiter, Lieferanten)
    • Daten, welche von den betroffenen Personen verwaltet werden (Kontaktdaten, Abrechnungsdaten, Lohndaten, etc.)
    • Empfänger, an welche die Daten weitergeleitet werden
    • Aufbewahrungdauer der einzelnen Datenkategorien
    • wenn die Daten ins Ausland transferiert werden, die entsprechenden Garantien
    • Beschreibung der Massnahmen zur Datensicherheit

Informationspflichten

Datenschutzerklärung

Ein Grundpfeiler des Datenschutzes ist es, Personen (Patienten, Mitarbeiter, Kunden, Lieferanten) zum Zeitpunkt der Datenerfassung darüber zu informieren, wenn personenbezogene Daten von ihnen verarbeitet werden. Die Tatsache, dass eine Person situationsbedingt von einer Datenverarbeitung ausgehen kann reicht nicht aus. Eine weitere Besonderheit ist, dass diese Information auch erfolgen muss, wenn die Daten nicht von der Person direkt sondern über einen Dritten erfasst wurden (binnen 30 Tagen). Das Gesetz (Art. 17 DSG) schreibt im Detail vor, welche Elemente diese Information beinhalten muss:

  • die Identität und die Kontaktdaten des Verantwortlichen (der Datenverarbeiter)
  • den Bearbeitungszweck
  • die bearbeiteten Personendaten
  • gegebenenfalls die Empfängerinnen und Empfänger denen Personendaten bekanntgegeben werden (Datenweiterleitung)
  • die Liste ihrer Rechte
  • gegebenenfalls die Absicht des Verantwortlichen, Personendaten zur Prüfung der Kreditwürdigkeit der betroffenen Person zu bearbeiten und sie Dritten bekannt zu geben.
  • bei Bekanntgabe der Daten ins Ausland, das Land und die Garantien

Auskunftsrecht

Jede Person kann vom Verantwortlichen binnen 30 Tagen kostenlos Auskunft darüber verlangen, ob und welche Personendaten über sie bearbeitet werden (Art. 23 DSG). Diese Auskunft muss folgende Informationen beinhalten:

  • die Identität und die Kontaktdaten des Verantwortlichen (der Datenverarbeiter)
  • die bearbeiteten Personendaten
  • den Bearbeitungszweck
  • die Aufbewahrungsdauer
  • die Herkunft der Personendaten
  • gegebenenfalls das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der die Entscheidung beruht
  • gegebenenfalls die Empfängerinnen und Empfänger denen Personendaten bekanntgegeben werden (Datenweiterleitung)

Einwilligung

Eine Einwilligung ist immer dann erforderlich, wenn personenbezogene Daten ohne entsprechende Rechtsgrundlage verarbeitet werden. Die Speicherung der Behandlungsdaten innerhalb eines PIS-Systemes bedarf keiner Einwilligung, da Ärzte zur Dokumentation der Behandlung verpflichtet sind. Werden jedoch Daten beispielsweise an ein Labor oder im Zuge einer Überweisung weitergeleitet, muss der Patient einwilligen. Diese Einwilligung muss nicht zwingend schriftlich erfolgen, im Falle von Unstimmigkeiten ist dies aber von Vorteil.

Dokumentationspflichten

Folgende Dokumentationen fordern Aufsichtsbehörden in der EU in Regel bei einer Überprüfung an:

  • Verzeichnis der Bearbeitungstätigkeiten
  • Informationen an die betroffenen Personen
  • Muster von Einwilligungserklärungen
  • Informationen zu Datenschutzschulungen der Mitarbeitenden
  • Verträge mit Auftragsberarbeitern oder andere aktuelle Verträge mit allfälligen Dienstleistungserbringern, die mit personenbezogenen Daten in Berührung kommen (z. B. Hard- und Softwarelieferanten, Application Service Provider)
  • Dokumentation von Datenschutzverletzungen
  • Datenschutz-Folgenabschätzungen
  • Dokumentation der Datensicherheitsmassnahmen
  • Prozessbeschreibungen

Datensicherheit

Die Massnahmen der Datensicherheit sollen sicherstellen, dass dass Personendaten nicht unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden. Das heisst bei der Überprüfung der Datensicherheit werden die Risiken nach den Kriterien der Vertraulichkeit, Verfügbarkeit und Integrität analysiert. Gesundheitsdaten sind gemäss diesen Kriterien immer hoch risikoreich, wenn deren unbeabsichtigte Veröffentlichung, Verlust oder Veränderung für den Patienten fatale Konsequenzen nach sich ziehen können. Das Bundesamt für Sicherheit und Informationsschutz (BSI), die Datenschutzkonferenz (DSK) sowie die FMH veröffentlichten hierzu Richtlinien bzw. "technische und organisatorische Massnahmen (TOMs)", die als Leitfaden bei der Analyse dienen können.

Die Herausforderung bei der Umsetzung und laufenden Sicherstellung der Datensicherheit stellt die Vernetzung der einzelnen Themen (Organisation, Datenschutz, IT-Fragen) und damit die Beteiligung von unterschiedlichen Personen, Abteilungen und externen Dienstleistern dar. In der Praxis ist es oft so, dass die Verantwortlichkeiten zwischen den Beteiligten unklar ist. Beispielsweise herrscht oftmals gegenüber dem externen IT-Dienstleister der Anspruch, dass dieser für die Gewährleistung der IT-Sicherheit zuständig ist. Dabei geht wirkungsvolle gelebte IT-Sicherheit weit über eine gute Firewall, Virenschutz, etc. hinaus. Prozesse müssen definiert werden, Merkblätter für die Mitarbeiter erstellt und Verträge mit Externen erstellt werden. Idealerweise ist eine zentrale (interne) Stelle eingerichtet, welche alle Aufgaben überwacht und koordiniert.