Datenschutzerklärung
Das neue Bundesgesetz über den Datenschutz (DSG) tritt am 1. September 2023 in Kraft und stellt einen wichtigen Schritt hin zu einem verstärkten Schutz von Daten und einer sichereren Nutzung personenbezogener Informationen dar.
Cédric Flotron, Rechtsanwalt für Datenschutz, antwortet auf unsere Fragen und erklärt Therapeut*innen, wie diese neuen Bestimmungen umzusetzen sind.
Welches sind die grundlegenden Änderungen des neuen Datenschutz-Gesetzes?
Die Terminologie hat sich verändert, um sich allgemein anerkannten Begrifflichkeiten anzupassen: Bearbeitungsverzeichnis, Weitergabe oder Übermittlung von Daten, datenschutzverantwortliche Person …;
Neue Rechte werden gewährt, wie das Recht auf Übertragbarkeit (Recht auf die Weitergabe oder Übermittlung personenbezogener Daten) oder das Recht auf Löschung der Daten;
Neue Pflichten wurden eingeführt: die erweiterte Informationspflicht gegenüber Patient*innen, wenn personenbezogene Daten durch Therapeut*innen oder Dritte erhoben werden (Fakturierung, Online-Terminkalender …). Eine Datenschutzerklärung muss die Patient*innen knapp und verständlich über die Verwendung ihrer Daten informieren, um die Transparenz der Datenverarbeitung zu gewährleisten. Die Therapeut*innen sind gehalten, technische und organisatorische Massnahmen einzuführen, damit die Datenverarbeitung dem DSG entspricht.
Sie sprechen mehrere Punkte an, die ASCA-Therapeuten direkt betreffen, wie die datenschutzverantwortliche Person, das Bearbeitungsverzeichnis, die Datenschutzerklärung und die Datenübermittlung.
Wer ist die datenschutzverantwortliche Person und ist sie obligatorisch?
Das Gesetz definiert die datenschutzverantwortliche Person wie folgt: «die private (natürliche oder juristische) Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet».
Das Gesetz schreibt also vor, dass eine bestimmte Person für die Datenverarbeitung verantwortlich ist, sobald personenbezogene Daten gesammelt und verarbeitet werden – was bei einer therapeutischen Tätigkeit der Fall ist.
Konkret wäre dies in einer Einzelpraxis die therapeutische Fachperson. Sie muss ihre Rechte und Pflichten in Bezug auf das Gesetz kennen und wissen, wie diese in ihrer beruflichen Ausübung umgesetzt werden. Sie gilt in diesen Fragen als Bezugsperson ihrer Patient*innen.
In einer Gemeinschaftspraxis ist einer therapeutischen Fachperson der Zugang zu Patientendaten ihrer Kolleg*innen untersagt.
Zum Bearbeitungsverzeichnis: Müssen alle Therapeut*innen ein solches führen und wenn ja, was muss es enthalten?
Das Verzeichnis soll Auskunft geben, wie die Daten verarbeitet werden, und den Therapeut*innen einen Überblick aller Verarbeitungsvorgänge im Zusammenhang mit personenbezogenen Daten bieten.
Auch wenn das Gesetz Privatpersonen und KMU mit weniger als 250 Angestellten nicht dazu verpflichtet, empfehle ich es Therapeut*innen und gegebenenfalls ihren Zulieferern dennoch, ein Verzeichnis führen, und zwar aufgrund der besonders schützenswerten Gesundheitsdaten.
Im Verzeichnis muss enthalten sein:
die Identität der für die Behandlung verantwortlichen Person (im Regelfall die therapeutische Fachperson);
eine Beschreibung der Kategorien der betroffenen Personen (Patient*innen, Angestellte) und der Daten der behandelten Personen (Adressen, Anamnese etc.);
der Verarbeitungszweck (Patientendossier, Fakturierung, Termin);
die Aufbewahrungsdauer der personenbezogenen Daten (im Gesundheitsbereich in der Regel 20 Jahre);
eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit im Sinne des Gesetzes.
Zusammengefasst führen Therapeut*innen ein internes Dokument darüber, welche Daten durch wen und zu welchem Zweck verarbeitet werden. Wenn die Daten durch Dritte verwaltet werden (Fakturierung, Online-Terminkalender, Cloud für Patientendossiers), müssen diese zusichern, dass sie sich ebenfalls an das DSG halten.
Die Therapeut*innen, die ihre Daten nur auf Papier oder auf ihrer eigenen Festplatte aufbewahren, müssen ebenfalls sicherstellen, dass diese geschützt sind (abgeschlossen oder durch ein Passwort gesichert).
Das DSG verlangt eine Datenschutzerklärung, wenn Daten erhoben werden. In welcher Form müssen die Therapeut*innen diese vorlegen und was muss sie enthalten?
Die Datenschutzerklärung muss die Patient*innen über ihre Rechte und Pflichten informieren sowie die gesetzlichen Pflichtangaben gemäss DSG enthalten.
Muss die Datenschutzerklärung auf der Website verfügbar sein und gibt es Vorlagen dafür?
Die Erklärung muss tatsächlich auf der Website verfügbar gemacht werden, da die Therapeut*innen eine aktive Informationspflicht gegenüber ihren Patient*innen haben. Nachfolgend finden Sie eine Vorlage, die von der OdA KT zur Verfügung gestellt wurde. Beachten Sie, dass die Vorlage an die besonderen Umstände und Tätigkeiten der einzelnen Therapeutinnen und Therapeuten angepasst werden muss.
Wann ist die Weitergabe von Daten an Dritte erlaubt?
Wenn die Patient*innen dazu einwilligen oder das Gesetz es vorsieht. Es gibt jedoch Ausnahmen, bei denen die Weitergabe der Daten an Dritte gewährt wird (z. B. wenn die betroffene Person bereits über die entsprechenden Informationen verfügt) oder gesetzliche Einschränkungen (z. B. eine gesetzliche Geheimhaltungspflicht – Berufs- oder Amtsgeheimnis)
Worauf muss geachtet werden, wenn die Daten in elektronischer Form gespeichert werden?
Ihre Sicherheit muss gemäss anerkanntem aktuellem Stand des Wissens und der technischen Mittel optimal gewährleistet sein. Eine erhöhte Risikosituation entsteht bei der Datenübermittlung ins Ausland, bisweilen ohne Wissen der für die Datenverarbeitung hauptsächlich verantwortlichen Person.
Insbesondere die Nutzung von Diensten wie iCloud Drive, Google Drive oder Dropbox erfüllt diese Kriterien erwiesenermassen nicht. Die Therapeut*innen dürfen dort keine personenbezogenen Daten ihrer Patient*innen speichern, auch nicht als Backup.
Ich empfehle Therapeut*innen, die Daten auf eine der folgenden Arten aufzubewahren:
auf Papier in einem verschliessbaren Schrank oder
auf einer passwortgeschützten Festplatte oder
auf einer Cloud, welche die Daten in der Schweiz speichert und sich zur Einhaltung des DSG verpflichtet.
Können Berichte, Rechnungen u. a. per E-Mail an Patient*innen, Ärzt*innen und Versicherer geschickt werden und sind dafür besondere Sicherheitsmassnahmen erforderlich?
Je sensibler die verarbeiteten Daten sind, desto höher sind die Anforderungen an die Sicherheit. Therapeut*innen müssen die notwendigen Massnahmen ergreifen, um jegliche Sicherheitsverletzung (Verlust der personenbezogenen Daten, Änderung, Löschung, Offenlegung, Vernichtung oder Zugriff) durch Unbefugte zu verhindern.
In der Praxis müssen Therapeut*innen die Einwilligung ihrer Patient*innen für den Versand der Daten einholen und sollten vorzugsweise eine verschlüsselte E-Mail-Adresse benutzen.
NEU
Unser kostenloses Rechnungsprogramm ASCA590 beinhaltet ab dem 1. September auch den Versand von verschlüsselten Rechnungen.
Wie wählt man den richtigen Anbieter für eine Praxissoftware aus (z. B. Software für Rechnungsstellung, Terminkalender, Buchhaltung, Online-Terminvereinbarung)?
Wenn Sie sich für einen Anbieter von Praxissoftware entscheiden, wird der Datenschutz zu einem wichtigen Aspekt. Es gibt mehrere Punkte, auf die Sie achten sollten, um sicherzustellen, dass die Daten Ihrer Patient*innen angemessen geschützt werden:
Datenschutzrichtlinie: Stellen Sie sicher, dass der Anbieter eine klare Datenschutzrichtlinie hat, aus der hervorgeht, wie er mit den gesammelten Daten umgeht, welche Informationen gesammelt werden, wie lange sie aufbewahrt werden und ob er sie an Dritte weitergibt.
Verschlüsselung: Stellen Sie sicher, dass die übertragenen und gespeicherten Daten verschlüsselt sind.
Datenspeicherung: Informieren Sie sich darüber, wo die Daten gespeichert werden. Idealerweise sollten sich die Server des Anbieters in der Schweiz befinden, die über strenge Datenschutzgesetze verfügt und somit eine höhere Sicherheit für Ihre Informationen gewährleistet.
Zugriff auf die Daten: Überprüfen Sie, welche Personen innerhalb des Unternehmens des Anbieters Zugriff auf Ihre Daten haben. Es ist wichtig, dass nur eine kleine, autorisierte Gruppe darauf zugreifen kann.
Datensicherung und -wiederherstellung: Informieren Sie sich über die vom Anbieter verwendeten Verfahren zur Datensicherung und -wiederherstellung, um sicherzustellen, dass Ihre Daten im Falle eines technischen Problems oder Ausfalls schnell geschützt und verfügbar sind.
Kundenservice und Support: Vergewissern Sie sich, dass der Anbieter über einen zuverlässigen Support verfügt, der Ihnen bei Datenschutzproblemen oder technischen Fragen helfen kann.
Erfahrungsberichte und Referenzen: Suchen Sie nach Erfahrungsberichten von anderen Praxen oder Kunden, die bereits mit dem Anbieter zusammengearbeitet haben. Dadurch erhalten Sie einen Einblick in deren Datenschutzpraktiken.
Wenn Sie diese Aspekte berücksichtigen, können Sie sicher sein, dass Sie einen Anbieter von Software für Arztpraxen wählen, der angemessene Datenschutzmassnahmen ergreift und so die Sicherheit der sensiblen Informationen Ihrer Kunden gewährleistet.
Entspricht die Rechnungssoftware ASCA590, die den ASCA-Therapeut*innen kostenlos zur Verfügung steht, den Anforderungen des neuen DSG?
Ja, die Software ASCA590 erfüllt die oben genannten Kriterien. Ab dem 1. September haben die Nutzer auch die Option, Rechnungen verschlüsselt zu versenden.
Was kann ich per (ungesicherter) Mail und WhatsApp mitteilen?
Um maximale Sicherheit zu gewährleisten, sollten Therapeut*innen vermeiden, persönliche Daten per Mail oder WhatsApp zu versenden. Die Terminvereinbarung über WhatsApp ist beispielsweise möglich. Es ist wichtig, dass sensible Informationen wie Name, Geburtsdatum, Adresse usw. nicht in Nachrichten oder Chats weitergegeben werden, um die Datenschutzbestimmungen einzuhalten und die Vertraulichkeit der Daten der Patient*innen zu gewährleisten. Die Kommunikation über WhatsApp sollte sich auf allgemeine, nicht persönliche Fragen beschränken, während für den Austausch sensibler Daten sicherere Kommunikationsmittel verwendet werden sollten.
Zu beachten ist, dass es den Patienten*innen freisteht, ihre Daten weiterzugeben, an wen und mit welchen Kommunikationsmittel sie wollen, indem sie dies tun, stimmen sie selbst der Handlung zu.
Was tun im Falle eines Problems?
Die Patient*innen müssen so schnell wie möglich informiert werden, wenn die Daten kompromittiert wurden, und die ergriffenen Massnahmen sind anzugeben. Die Patient*innen müssen schnell reagieren können (z. B. ihr Passwort ändern). Infolge eines schwerwiegenden Vorfalls, zum Beispiel wenn ein USB-Schlüssel ohne Passwort mit sensiblen Patientendaten verlorengeht, ist grundsätzlich eine Meldung beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten erforderlich.
Wo finden interessierte Therapeut*innen weitergehende Informationen zum Thema Datenschutz?
Weitere Informationen und Vorlagen finden Sie auf der Website der OdA GT (www.oda-kt.ch) sowie auf der Website des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (www.edoeb.admin.ch). Dort finden Sie auch den Gesetztestext.
Interview in Zusammenarbeit mit:
Rechtsanwalt Cédric Flotron
eingetragen im Anwaltsregister des Kantons Waadt und Mitglied des Schweizerischen Anwaltsverbandes, Anwaltspatent seit 2017, CAS Datenschutz – Unternehmen und Verwaltung
Hinweis: Das Interview wurde im August 2023 geführt, bevor das Gesetz in Kraft trat. Es wurde auf der Grundlage des Wissensstandes von August 2023 so genau und vollständig wie möglich verfasst. Eine Gewähr in rechtlichem Sinne kann trotzdem nicht geleistet werden. Jeder Fall erfordert eine besondere Analyse.