Datenschutzfolgeabschätzung im Gesundheitswesen

Publiziert

Mit der Revision des Bundesgesetzes über den Datenschutz (DSG), welche per 1. September in Kraft treten wird, ist bei vielen Unternehmen das Bewusstsein für den Datenschutz gewachsen. Dazu beigetragen haben auch verschiedene Schreckensszenarien von Beratern. Der Verein SHPP hat sich zum Ziel gesetzt, das Thema Datenschutz und Datensicherheit im Gesundheitswesen pragmatisch anzugehen.

Gesetzliche Grundlage für Datenschutz-Folgenabschätzung (DSFA)
Die Revision des DSG fördert und fordert verstärkt einen risikobasierten Ansatz bei der Datenbearbeitung. In diesem Sinne verlangt das revDSG in Art. 22 eine Datenschutz-Folgenabschätzung (DSFA). Eine solche ist vorgängig durchzuführen, wenn eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringen kann.
Der Artikel führt weiter aus, dass sich ein hohes Risiko ergibt bei der Verwendung neuer Technologien, aus Art, Umfang etc. insbesondere ist dies gegeben, wenn umfangreich besonders schützenswerte Personendaten bearbeitet werden. Und dies dürfte im Gesundheitswesen mehrheitlich der Fall sein.
Von einer DSFA kann jedoch abgesehen werden, wenn der private Bearbeiter zur Bearbeitung gesetzlich verpflichtet ist. Ebenfalls kann davon abgesehen werden, wenn ein System, ein Produkt oder eine Dienstleistung eine Datenschutz-Zertifizierung hat oder es einen Verhaltenskodex in der Branche gibt, der auf einer DSFA beruht.
Weiter gilt es zu beachten, dass je nach Dienstleister ein kantonaler Leistungsauftrag besteht, sodass die kantonalen Gesetze anwendbar sind, und diese wiederum verlangen je nach Kanton unabhängig von der Risikoeinschätzung eine DSFA. Mit anderen Worten, als Unternehmen ist man gut beraten, sich mit der DSFA einmal auseinanderzusetzen – ohne dass deswegen gleich ein Studium absolviert werden muss.

Workshop DSFA
SHPP hat deshalb einen Workshop angeboten und durchgeführt. Dieser Workshop war aufgeteilt in einen theoretischen Teil, anschliessend haben die Teilnehmenden eine DSFA für einen konkreten Fall ihres Unternehmens erstellt.
Idealerweise ist die DSFA ein Schritt im Rahmen des Projektmanagements – und sobald Personendaten bearbeitet werden, stellt man sich die Frage, ob die Bearbeitung der Daten für die Betroffenen ein hohes Risiko darstellt. (Achtung: Im Kanton Zürich müssen Unternehmen mit Leistungsauftrag unabhängig von der Höhe des Risikos eine DSFA durchführen).

Schwellenwertanalyse
Als Schwellenwertanalyse bezeichnet man die Beurteilung, ob eine DSFA durchgeführt werden muss. Gemäss revDSG ist eine DSFA immer durchzuführen, wenn der Bearbeiter besonders schützenswerte Personendaten umfangreich bearbeiten will oder wenn systematisch umfangreiche öffentliche Bereiche überwacht werden.
Im Gesundheitswesen dürfte Ersteres häufig der Fall sein. Wobei umfangreich wiederum im konkreten Einzelfall zu interpretieren ist: Umfangreich kann in Bezug auf die Menge der Daten pro Person, eine grosse Menge von Personen oder geografisch umfangreich sein. Im Zweifel empfiehlt es sich, eine DSFA durchzuführen – oder wenn nicht, zu dokumentieren, warum man zum Entschluss gekommen ist, dass es keine umfangreiche Bearbeitung sei.
Ein Hilfsmittel kommt aus der EU: Die Arbeitgruppe Artikel 29 hat eine Leitlinie erstellt, die auf die europäische Datenschutz-Grundverordnung (DSGVO) ausgerichtet ist, aber eine Orientierungshilfe auch in der Schweiz ist. Als Faustregel gilt, wenn zwei oder mehr Kriterien gegeben sind, sollte in der Regel eine DSFA durchgeführt werden. Kriterien sind, wenn die Datenbearbeitung Folgendes umfasst:
❱ Evaluation oder Scoring
❱ Automatisierte Entscheidfindungen mit Rechtswirkung oder ähnlich bedeutsamer Wirkung
❱ Systemische Überwachung
❱ Vertrauliche Daten oder höchst persönliche Daten
❱ Verarbeitung von Daten in grossem Umfang
❱ Abgleich oder Zusammenführen von Datensätzen
❱ Daten betreffend schutzbedürftige Personen
❱ Innovative Nutzung oder Anwendung technischer oder organisatorischer Lösungen
❱ Verarbeitungen, welche die Ausübung von Rechten oder die Inanspruchnahme von Leistungen oder den Abschluss von Verträgen durch die betroffene Person verhindern

Verfahrensschritte
Zur Theorie gehören die einzelnen Schritte einer DSFA und auch das Wissen, wo es welche Hilfsmittel bereits gibt. In einem ersten Schritt ist die geplante Bearbeitung zu beschreiben und das «Brutto-Risiko» zu definieren: Also: Welche Risiken beinhaltet eine Bearbeitung für die betroffenen Personen.
Dann sind die Risiken zu bewerten – wie hoch ist die Eintretenswahrscheinlichkeit und wie hoch ist das Risiko für die betroffene Person. Bei der Bewertung ist ebenfalls eine Einschätzung mitenthalten, ob die Datenschutzvorschriften eingehalten sind. In einem letzten Schritt werden Massnahmen beschrieben, mit denen die Risiken reduziert werden können; dies dürfte vor allem durch technische und organisatorische Massnahmen erfolgen.
Ein Beispiel: Wird im Rahmen der Digitalisierung eine Bearbeitung von Daten in eine Cloud verschoben, könnten Zugriffe nur mittels Multi-Faktor-Authentifizierung möglich sein. Also nebst einem Passwort braucht es noch eine biometrische Authentifizierung oder einen Token, um zugreifen zu können. Die Daten sind in der Cloud verschlüsselt, und nur der Datenverantwortliche hat den Schlüssel etc.

Umsetzung einer DSFA
In einem zweiten Schritt haben die Teilnehmenden des Workshops sich in Gruppen aufgeteilt und einen konkreten Fall erarbeitet, wobei die einzelnen Gruppen unterschiedliche Vorlagen genutzt haben (einmal ein Tool von einer kantonalen Datenschutzbehörde, einmal ein Tool von einer Anwaltskanzlei). Dabei zeigte sich schnell, dass die Durchführung einer DSFA mehr Zeit in Anspruch nimmt als man gemeinhin annehmen könnte. Erkenntnisse aus dem Workshop waren:
❱ Idealerweise füllt die verantwortliche Person, allenfalls die Projektleitung das Formular bereits aus;
❱ In einem zweiten Schritt wird dieses Formular in einer grösseren Gruppe diskutiert (keinesfalls einfach abgenickt). Folgende Funktionen sind idealerweise vertreten: Datenschutzberater, IT-Verantwortlicher, Person, in deren Interesse das Projekt/die Datenbearbeitung erfolgt, eventuell noch eine Person, von der man weiss, dass sie Sachen kritisch hinterfragt.

Fazit
Für die Teilnehmenden war insbesondere der Austausch vor Ort mit Personen aus der gleichen Branche sehr wertvoll, nebst dem praktischen Ausfüllen der Formulare. Es gibt nicht ein Formular, das gegenüber den anderen besser ist, vielmehr ist es auch eine Frage des Geschmackes, was man lieber ausfüllt.
Weiter wurde festgestellt, dass je nach Kanton die Behörden die Herausforderungen der Branche mehr oder weniger gut verstehen. Schwierig wird es immer dann, wenn eine Behörde ohne Verständnis für eine Branche Dokumente verlangt, um der Dokumente willen. Gerade in solchen Fällen ist es hilfreich, wenn sich Unternehmen aus dem gleichen Kanton koordinieren.
Die DSFA ist ein neuer Schritt, der im Projektmanagement aufzunehmen ist. Hat man eine DSFA erstellt, werden die nächsten einfacher sein – und bei ähnlichen Bearbeitungen kann auch eine DSFA ergänzt werden bzw. es können einzelne Punkte übernommen werden.
Die DSFA ist Teil der Datenschutz-Compliance. Nebst Datenschutz-Compliance sollte nie vergessen werden: Datenschutz ist auch ein Menschenrecht – und deshalb geht es bei der DSFA auch um die Grundrechte und den Schutz der Persönlichkeit.

SHPP
Da das Gesundheitswesen spezielle Fragestellungen hat, ist inzwischen ein Verein gegründet worden, ausgerichtet auf Datenschutz im Gesundheitsumfeld (vgl. www.shpp.ch). Datenschutz ist kein Wettbewerbsvorteil, ein gegenseitiger Austausch hilft allen.

EVENTS

LOPEC

International führende Fachmesse mit Kongress für Gedruckte Elektronik

Datum: 05.-07. März 2024

Ort: München (D)

Trendtage Gesundheit Luzern

Die TGL sind die führende nationale Plattform für Trends und Perspektiven im Gesundheitswesen.

Datum: 06.-07. März 2024

Ort: Luzern (CH)

5. VVG Forum

Die eidgenössische Finanzmarktaufsicht macht Druck auf die Krankenversicherer, der Preisüberwacher auf die Tarife in den Halbprivat- und Privatversicherungen.

Datum: 07. März 2024 (Digital/Online – Teil 1) / 21. März 2024 (2. Teil – physisch)

Ort: Zürich (CH)

INTERNORGA

Leitmesse für den Ausser-Haus-Markt

Datum: 08.-12. März 2024

Ort: Hamburg (D)

IFM Day 2024

Kreislaufwirtschaft: Neue Chancen für das Facility Management durch innovative Geschäftsmodelle

Datum: 8. März 2024

Ort: Wädenswil (CH)

ZHAW-IFM Day

Der IFM-Day der ZHAW findet als Begegnungstag für FM-Ausbildung und FM-Praxis statt.

Datum: 08. März 2024

Ort: Wädenswil (CH)

Pro Wein

Internationale Fachmesse für Weine und Spirituosen

Datum: 10.-12. März 2024

Ort: Düsseldorf (D)

LogiMat

Internationale Fachmesse für Intralogistik

Datum: 19.-21. März 2024

Ort: Stuttgart (D)

Anuga FoodTec

Internationale Zuliefermesse für die Lebensmittel- und Getränkeindustrie

Datum: 19.-22. März 2024

Ort: Köln (D)

Additive Manufacturing Forum

Die Entscheider- und Expertenkonferenz bringt das gesamte Wertschöpfungssystem rund um die additive Fertigung zusammen.

Datum: 20.-21. März 2024

Ort: Berlin (D)

Führungstagung

Veranstaltung der SGGPsy und Careum 2024

Datum: 20. März 2024

Ort: Zürich (CH)

FutureHealth Basel

Accelerating the healthcare system

Datum: 21. März 2024

Ort: Basel (CH)

SWISS eHEALTH FORUM

Pusher der Digitalisierung im Gesundheitswesen

Datum: 21. März 2024

Ort: Bern (CH)

Gastia

Die Fach- und Erlebnismesse für Gastfreundschaft

Datum: 24.-26. März 2024

Ort: St.Gallen (CH)

Schoggifestival

Das Schoggifestival geht in die dritte Runde!

Datum: 24. März 2024

Ort: Zürich (CH)

HR Festival Europe

Fachmesse für HRM, trainings to business und Corporate Health

Datum: 26.-27. März 2024

Ort: Zürich (CH)

analytica

Leitmesse für Labortechnik, Analytik, Biotechnologie und analytica conference

Datum: 09.-12. April 2024

Ort: München (D)

DMEA

Connecting Digital Health

Datum: 09.-11. April 2024

Ort: Berlin (D)

Lebensmitteltag

Die führende schweizerische Lebensmittelfachtagung von bio.inspecta und SQS

Datum: 18. April 2024

Ort: Luzern (CH)

Hannover Messe

Transfoming Industry Togheter

Datum: 22.-26. April 2024

Ort: Hannover (D)

Altenpflegemesse

Leitmesse für die Pflegewirtschaft

Datum: 23.-25. April 2024

Ort: Essen (D)

Control

Internationale Fachmesse für Qualitätssicherung

Datum: 23.-26. April 2024

Ort: Stuttgart (D)

SBK Kongress

Kongress vom Berufsverband der diplomierten Pflegefachpersonen der Schweiz

Datum: 02.-03. Mai 2024

Ort: Bern (CH)

ICV Gesundheitstagung Schweiz

Controlling im Spannungsfeld von Innovation, Kostenmanagement und digitaler Transformation.

Datum: 07.05.2024

Ort: St. Gallen (CH)

HealthEXPO

Gesundheit, New Health Care und Zukunftsform

Datum: 25. Mai 2024

Ort: Basel (CH)

drupa

Weltweit führende Fachmesse für Drucktechnologien

Datum: 28. Mai-07.Juni 2024

Ort: Düsseldorf (D)

Vorsorge-Symposium

Fachmesse 2. Säule sowie ein Vorsorge-Symposium

Datum: 5. - 6. Juni 2024

Ort: Zürich (CH)

ArbeitsSicherheit Schweiz

Fachmesse für Arbeitssicherheit, Gesundheitsschutz und Gesundheitsförderung am Arbeitsplatz

Datum: 05.-06. Juni 2024

Ort: Zürich (CH)

Achema

Internationale Leitmesse der Prozessindustrie

Datum: 10.-14. Juni 2024

Ort: Frankfurt am Main (D)

Swiss Medtech

Mastering Complexity

Datum: 11. Juni 2024

Ort: Bern (CH)

PFLEGE PLUS

Die Fachmesse PFLEGE PLUS bringt Fachbesucher mit ausstellenden Unternehmen, Branchenverbände sowie Experten des Pflegemarkts zusammen.

Datum: 14.-16. Mai 2024

Ort: Stuttgart (D)

MedtecLIVE with T4M

Fachmesse für die gesamte Wertschöpfungskette der Medizintechnik

Datum: 18.-20. Juni 2024

Ort: Stuttgart (D)

Blezinger Healthcare

9. Fachkonferenz – Das Pflegeheim der Zukunft

Datum: 20.-21. Juni 2024

Ort: Luzern (CH)

e-Healthcare Circle

Immer wieder wird erzählt, welche positiven Wirkungen Digitalisierung auf das Gesundheitswesen haben kann.

Datum: 21. Juni 2024

Ort: Zürich (CH)

Blezinger Healthcare

9. Fachkonferenz - Das Pflegeheim der Zukunft

Datum: 20.-21. Juni 2024

Ort: Luzern (CH)

all about automation

Fachmesse für Industrieautomation

Datum: 28.-29. August 2024

Ort: Zürich (CH)

maintenance Schweiz

Schweizer Fachmesse für industrielle Instandhaltung und Facility Management

Datum: 28.-29. August 2024

Ort: Zürich (CH)

Rehacare

Die REHACARE ist die internationale Fachmesse für Rehabilitation, Prävention, Inklusion und Pflege.

Datum: 25. - 28. September 2024

Ort: Düsseldorf (D)

Immohealthcare

Ein Treffpunkt für die Healthcarebranche

Datum: 18. September 2024

Ort: Basel (CH)

FachPack

Europäische Fachmesse für Verpackung, Technik, Veredelung und Logistik

Datum: 24.-26. September 2024

Ort: Nürnberg (D)

Ilmac Lausanne

Networking. Forum. Aussteller

Datum: 25.-26. September 2024

Ort: Lausanne (CH)

Ilmac

Fachmesse für Prozess- und Labortechnologie

Datum: 18.-19. September 2024

Ort: Lausanne (CH)

Blezinger Healthcare

14. Fachkonferenz – Das Spital der Zukunft

Datum: 10.-12. September 2024

Ort: Bern (CH)

IN.STAND

Die Messe für Instandhaltung und Services

Datum: 08.-09. Oktober 2024

Ort: Stuttgart (D)

Chillventa

Weltleitmesse der Kältetechnik

Datum: 08.-10. Oktober 2024

Ort: Nürnberg (D)

SIAL

Fachmesse für Nahrungsmittel-Innovationen

Datum: 19.-23 Oktober 2024

Ort: Paris (F)

ZAGG

DER BRANCHENTREFFPUNKT MIT RELEVANTEN GASTRO-TRENDS

Datum: 20.-23. Oktober 2024

Ort: Luzern (CH)

IFAS

Fachmesse für den Gesundheitsmarkt

Datum: 22.-24. Oktober 2024

Ort: Zürich (CH)

ALL4PACK EMBALLAGE

The global marketplace for Packaging Processing Printing Handling

Datum: 04.-07. November 2024

Ort: Paris (F)

5. Future Food Symposium

 «Made in Switzerland - Gute Partnerschaften für mehr Ernährungssouveränität»

Datum: 8. Februar 2024

Ort: Online-Event (CH)

Medica

Die Weltleitmesse der Medizinbranche

Datum: 11.-14. November 2023

Ort: Düsseldorf (D)

AUTOMA+

Pharmaceutical Automation and Digitalisation Congress 2024

Datum: 18.-19. November 2024

Ort: Geneva (CH)

Swiss Handicap

Nationale Messe für Menschen mit und ohne Behinderung.

Datum: 29. November-1. Dezember 2024

Ort: Luzern (CH)

TUTTOFOOD

Internationale B2B-Messe für Food & Beverage

Datum: 05.-08. Mai 2025

Ort: Mailand (I)

LABVOLUTION

Europäische Fachmesse für innovative Laborausstattung und die Optimierung von Labor-Workflows

Datum: 20.-22. Mai 2025

Ort: Hannover (D)

Automatica

Die Leitmesse für intelligente Automation und Robotik

Datum: 24.-27. Juni 2025

Ort: München (D)

Swiss Medtech Expo

Fachmesse und Symposium: Inspiration, Weiterbildung und Netzwerk

Datum: 16. - 17. September 2025

Ort: Luzern (CH)

Oils + fats

Leitmesse der Öl- und Fettindustrie in Europa.

Datum: 15.-19. September 2025

Ort: München (D)

AM Expo

Fachmesse und Symposium: Inspiration, Weiterbildung und Netzwerk

Datum: 16.-17. September 2025

Ort: Luzern (CH)

CMS Berlin

Internationale Leitmesse für Reinigung und Hygiene

Datum: 23.-26. September 2025

Ort: Berlin (D)

POWTECH

Pharma.Manufacturing.Excellence

Datum: 23. - 25. September 2025

Ort: Nürnberg (D)

Anuga

Weltweite Ernährungsmesse für Handel und Gastronomie/Ausser-Haus-Markt

Datum: 04.-08. Oktober 2025

Ort: Köln (D)

A + A

Messe und Kongress für Arbeitsschutz und Arbeitssicherheit

Datum: 04.-07. November 2025

Ort: Düsseldorf (D)

igeho

Internationale Branchenplattform für Hotellerie, Gastronomie, Take-away und Care

Datum: 15.-19. November 2025

Ort: Basel (CH)

Pumps & Valves

Die Fachmesse für industrielle Pumpen, Armaturen & Prozesse

Datum: 26. - 27. November 2025

Ort: Zürich (CH)

interpack

Führende Messe für Prozesse und Verpackung

Datum: 07.-13. Mai 2026

Ort: Düsseldorf (D)

Bezugsquellenverzeichnis