Die Datenschutz-Grundverordnung der Europäischen Union (DS-GVO) trat am 25. Mai 2018 in Kraft, gleichzeitig laufen die Revisionen des nationalen und der kantonalen Datenschutzgesetze. Was hat sich für Heime und Spitäler geändert und was ist zu erwarten?

▶ CHRISTIAN PETER

Meldung von Datenschutzverletzungen
In Zukunft müssen Verletzungen der Datensicherheit gemeldet werden. Das betrifft nicht kleinere, unbedeutende Verletzungen, wie beispielsweise ein einzelner Fehlzugriff in einem Informationssystem. Nur wenn eine Verletzung dazu führt, dass Personendaten verloren, verändert oder zugänglich gemacht werden und hieraus ein hohes Risiko für die Persönlichkeit der betroffenen Personen entsteht, muss eine Meldung erfolgen. In der Regel reicht eine Information an den behördlichen Datenschutzbeauftragten aus. Nur wenn es zum Schutz der betroffenen Personen erforderlich ist, müssen diese direkt informiert werden. Zum Beispiel dann, wenn sie ihre Zugangsdaten oder Passwörter ändern müssen. Mit der Pflicht zur Datenschutz-Folgenabschätzung sollen Risiken, die beim Einsatz von Datenbearbeitungsvorhaben entstehen können, erkannt und bewertet werden. Auf der Basis dieser Abschätzung können anschliessend angemessene Massnahmen definiert werden, um diese Risiken für die betroffene Person zu minimieren. Ziel ist es, allfällige datenschutzrechtliche Probleme präventiv anzugehen und dadurch nicht zuletzt Kosten zu sparen. Da bei Heimen und Spitälern sehr oft sehr umfangreich besonders schützenswerte Daten bearbeitet werden, ist davon auszugehen, dass bei allen Informationssystemen eine Datenschutz-Folgeabschätzung durchzuführen ist und anschliessend definiert werden muss, mit welchen Massnahmen diese Risiken bewältigt werden sollen. Ein weiteres zentrales Element der Revisionen der Datenschutzgesetze ist die Stärkung der Betroffenenrechte. Personen sollen besser als früher über ihre Daten bestimmen können und es soll ihnen leichter fallen, die Nutzung ihrer Daten zu kontrollieren. Hierzu brauchen sie zum einen Informationen und zum anderen die Möglichkeit ihre Anliegen anzubringen. Ein klarer Ansprechpartner ist hierfür unabdingbar. An diesen können sie dann beispielsweise ihr Auskunftsbegehren stellen. Nur wenn sie Informationen über die Datenbearbeitung haben, können sie anschliessend beantragen, dass die Daten berichtigt, gesperrt oder gelöscht werden. Wobei der Löschung von Behandlungsdaten die Pflicht der Behandelnden, die Behandlung zu dokumentieren, entgegensteht und somit eine Löschung von Behandlungsdaten während der Aufbewahrungspflichten nicht möglich ist.

Bussen keine Bedrohung
Auch wenn vor allem im Zusammenhang mit dem europäischen Recht die Bussen immer wieder als riesiges Damoklesschwert bezeichnet wurde, ist diese Bedrohung zu relativieren. Zwar sieht das nationale Recht auch Bussen vor (die kantonalen Gesetze verzichten regelmässig auf Bussen), und zwar für Leitungspersonen, welche weitreichenden Entscheidungsbefugnisse haben, doch diese gibt es bereits im aktuellen Recht und nur vorsätzliches Handeln wird bestraft und dies auch nur, wenn Informations-, Melde- und Auskunftspflichten verletzt werden. Begeht man somit fahrlässig eine Datenschutzverletzung, drohen weder Busse noch Haft. Zusammenfassend ist festzuhalten, dass die neuen Datenschutzbestimmungen bei Heimen und Spitälern nicht zu Aktivismus führen muss. Vielmehr ist angezeigt, die Änderungen im nationalen und kantonalen Recht zu beobachten und mit Augenmass umzusetzen. Der Datenschutz ist schon längst zu einer selbstverständlichen Leistung in einer serviceorientierten Dienstleistungsgesellschaft geworden und wo dem Datenschutz nicht die notwendige Aufmerksamkeit gewidmet wird, da ist die Ausrichtung letztlich auch nicht patientenbezogen.

Dr. iur. Christian Peter ist Partner bei HEP & Partner und arbeitet seit über 14 Jahren als Jurist für Spitäler, Heime und Verbände im Gesundheitswesen; sei dies als Rechtskonsulent oder als externer betrieblicher Datenschutzbeauftragter.