In diversen Kantonen müssen Videokameras zumindest der kantonalen Datenschutzbehörde gemeldet werden oder brauchen eine Bewilligung sowie ein Reglement. Quelle: Pixababy

Datenschutzrechtliche Herausforderungen in Spitälern und Heimen

Publiziert

Erstmals 2018 wurde Datenschutz breit diskutiert beziehungsweise sind Unternehmen in der Schweiz auf das Thema verstärkt aufmerksam geworden. Jetzt, ein knappes Jahr bevor das revidierte schweizerische Datenschutzgesetz am 1. September 2023 in Kraft tritt, ist wieder eine gewisse Unruhe zu spüren.

Grundsätzlich ist zu beachten, dass Datenschutz und die entsprechende Gesetzgebung nicht ein völlig neues Thema sind, das revidierte Bundesgesetz ist nicht etwas völlig Neues; es kommt fast der Verdacht auf, dass viele Unternehmen das Thema zu wenig beachtet haben. Im Gesundheitsumfeld hört man oft: «Man untersteht ja der beruflichen Schweigepflicht.» Das stimmt sicherlich, entbindet jedoch nicht, sich mit der Datenschutzgesetzgebung auseinanderzusetzen.

Welches Gesetz gilt?
Die erste Frage, die eine Organisation sich stellen sollte: Welches Datenschutzgesetz beziehungsweise welche gesetzlichen Anforderungen sind relevant? Die meisten Spitäler und Heime unterstehen in Bezug auf ihre Patientinnen und Patienten und Bewohnenden der kantonalen Datenschutzgesetzgebung. In § 3 IDG (Gesetz über die Information und den Datenschutz des Kantons Zürich) steht dazu:

«Öffentliche Organe sind: c. Organisationen und Personen des öffentlichen und privaten Rechts, soweit sie mit der Erfüllung öffentlicher Aufgaben betraut sind.»

Im Urner Datenschutzgesetz heisst es in Artikel 3: «Behörden: alle Organe der Verwaltung des Kantons, der Gemeinden, der öffentlich-rechtlichen Anstalten und Körperschaften sowie Kommissionen und private Personen, die mit der Erfüllung öffentlicher Aufgaben betraut sind.»

Die meisten Heime und Spitäler dürften auf die eine oder andere Art einen Leistungsauftrag eines/oder mehrerer Kantone haben. Im Verhältnis zu den Mitarbeitenden gilt dann, sofern die Organisation nicht in die kantonale Verwaltung eingebettet ist, das Bundesgesetz über den Datenschutz.

Grundsätzlich sind die verschiedenen Datenschutzgesetze nicht völlig unterschiedlich – der grösste Unterschied dürfte sein, dass man als kantonales Organ eine gesetzliche Grundlage für die Bearbeitung der Personendaten braucht. Diese dürfte in den entsprechenden Gesundheits- oder Sozialhilfegesetzen zu finden sein.

Teilweise hört man auch, dass Organisationen sich an der DSGVO orientieren und diese sogar als anwendbar erklären. Dies ist mit äusserster Zurückhaltung zu beurteilen. Grundsätzlich gilt das Marktortprinzip: Also, dort wo man die Institution hat, deren Gesetzgebung ist relevant. Selbst für internationale Gruppen, wie beispielsweise eine Hirslanden, sind in der Schweiz die schweizerische beziehungsweise kantonale Datenschutzgesetzgebung relevant.

Die DSGVO ist dann relevant für die Patientinnen und Patienten oder die Bewohnenden aus EU/EWR, wenn dort aktiv Werbung gemacht würde für die eigene Institution. Dies dürften Ausnahmen sein. Weil man beispielsweise in einem Skigebiet nach einem Unfall auch Gäste aus dem EU-/EWR-Raum als Patientinnen hat, bedeutet dies eben nicht, dass man als Klinik/Spital Werbung gemacht hat für die Behandlung. Ebenfalls nicht relevant ist, ob man als Organisation Mitarbeitende oder/und Grenzgänger aus der EU/dem EWR hat.

Leider hört und liest man regelmässig solche Falschinformationen – mehrheitlich von «Beratenden», die Datenschutz als neue Einnahmequelle entdeckt haben. Der «Vorteil» der DSGVO ist vor allem, dass die grossen Bussenhöhen mehr Eindruck machen, als die schweizerischen Rechtsmittel oder Bussen. Deshalb sollte dringendst in einem ersten Schritt geprüft werden, was anwendbar ist.

Zentrale Elemente/Grundsätze
Datenschutz beruht auf der Idee der informationellen Selbstbestimmung. Informationelle Selbstbestimmung bedeutet, dass man als betroffene Person bestimmt, was mit den eigenen Daten passiert, wer Zugriff haben soll etc. Auch wenn heute eine umfassende informationelle Selbstbestimmung nicht möglich ist – weiss doch das Smartphone fast mehr über uns als die eigene Familie –, ist diese Idee bei der Bearbeitung von Personendaten immer mitzunehmen.

Die wichtigsten Grundsätze sind

  • Verhältnismässigkeit
  • Treu und Glauben
  • Richtigkeit

sowie die Datensicherheit, an denen sich eine Organisation orientieren sollte.

Abgesehen von der Richtigkeit, handelt es sich um Begriffe, die auszulegen und auf die eigene Organisation anzupassen sind. Die Richtigkeit ist insofern schwarz/weiss, als etwas richtig oder falsch ist. Dass eine Organisation richtige Daten hat, ist im eigenen Interesse. Doch gehört zur Richtigkeit auch die Aktualität der Daten. Ein Datenfriedhof dürfte oft mit der Datenrichtigkeit im Konflikt stehen. Dies führt gleich weiter zum nächsten Grundsatz: Verhältnismässigkeit.

Dieser Grundsatz erfordert eine vertiefte Auseinandersetzung: Welche Daten sind tatsächlich notwendig? Braucht es Angaben zu Religion, zu Eigentum, Haustieren? Braucht es Angaben zu Angehörigen? Zumindest letzte Frage dürfte mehrheitlich mit «Ja» zu beantworten sein. Gleichzeitig ist zu akzeptieren, wenn jemand keine Angehörigen angeben möchte.

Anderes Thema: Braucht es einen Strafregisterauszug? Diese Frage ist differenziert zu beantworten: Von Patienten und Bewohnenden dürfte ein Strafregisterauszug kaum zu rechtfertigen sein. Bei Mitarbeitenden ist dies schon weniger klar. Aktuell gibt es eine Tendenz, für fast jede Funktion einen Strafregisterauszug zu verlangen, ohne zu hinterfragen, ob dies tatsächlich notwendig ist. Insbesondere bei Pflegefachpersonen gibt es inzwischen mehrere Kantone, die für die eigenverantwortliche Berufsausübung einen Strafregisterauszug verlangen, was dann von Organisationen gleich ungefragt übernommen wird.

Ein Sonderprivatauszug, der Auskunft gibt über Berufs- und Tätigkeitsverbote, kann Sinn machen; ein Privatauszug, aus dem auch Verkehrsdelikte ersichtlich sind, hat kaum Relevanz für eine Tätigkeit in einem Spital oder Heim – es sei denn, die Person hat Fahrdienste zu erbringen. Deshalb sollte hier gelten: «Es kommt darauf an.»

Zum Thema Verhältnismässigkeit gehört auch ein Rollenkonzept, mit dem die Zugriffe auf Daten geregelt und auf das Notwendigste beschränkt werden. Gerade im Spitalumfeld sind viele Klinikinformationssysteme nicht darauf ausgerichtet, die Zugriffe im Sinne einer datenschutzfreundlichen Technik auf das Notwendigste zu beschränken und sogenannte Notfall-Zugriffe zu ermöglichen. Die meisten Systeme sind relativ offen und Zugriffsbeschränkungen werden aus Bequemlichkeit nur minimal definiert. Wie es anders geht, kenn man im Personalwesen: Hier sind Zugriffsbeschränkungen systemimmanent.

Mit der Revision des Bundesgesetzes wird die dritte Dimension der Verhältnismässigkeit ausdrücklich verlangt: Daten müssen schnellstmöglich vernichtet oder anonymisiert werden. Es geht also um die Aufbewahrungsdauer von Daten. Die Schwierigkeit dabei spielen gesetzliche Aufbewahrungsfristen, die bezüglich Patientinnen und Patienten Daten kantonal unterschiedlich ausgestaltet sein können. Die meisten Kantone verlangen für die Patientendokumentation eine Mindestaufbewahrungsdauer, so beispielsweise das Aargauer Gesundheitsgesetz in § 15 Abs. 1 lit b; mit der neuen Haftungs-Verjährungsfrist von Art. 128a OR bei «vertragswidriger Körperverletzung oder Tötung» von 20 Jahren, sind viele Institutionen dazu übergegangen, alle Daten 20 Jahre aufzubewahren. Dies wird denn auch von der FMH ausdrücklich empfohlen. Die Sinnhaftigkeit dieser langen Dauer für alle Dokumente wird aus Angst, ein Beweismittel nicht mehr zu haben, kaum kritisch hinterfragt.

Bezüglich Personalakten ist heute unbestritten die gute Praxis, zu differenzieren, um welche Art Daten es sich handelt. Verwarnungen und Verweise sollten je nach Schwere spätestens nach zwei bis fünf Jahren aus dem Personaldossier entfernt werden; grundsätzlich kann erwartet werden, dass Personaldossiers periodisch kontrolliert, und nicht mehr benötigte Dokumente entfernt werden.

Treu und Glauben bedeutet, dass Daten fair und vertrauenswürdig bearbeitet werden, so wie dies eine betroffene Person erwarten darf und rechnen muss. Es liegt auf der Hand, dass Treu und Glauben unterschiedlich interpretiert wird; es ist grundsätzlich von einem «vernünftigen Menschen» auszugehen. Es entspricht Treu und Glauben, dass Daten im Zusammenhang mit der Gesundheit betroffener Personen sowohl in Spitälern als auch Heimen bearbeitet werden und Betreuende Zugriff haben. Es wäre aber gegen Treu und Glauben, wenn solche Daten der Wohngemeinde zur Verfügung gestellt würden. Ebenfalls kann erwartet werden, dass bei einer Krankmeldung von Mitarbeitenden Vorgesetzte erfahren, dass eine Person ausfällt, nicht aber, dass das gesamte Unternehmen darüber informiert wird, es sei denn, es handelt sich um ein Mitglied der Geschäftsleitung.

Datensicherheit
Ein weiteres wichtiges Kapitel betrifft die Datensicherheit: Das Bedürfnis nach Bequemlichkeit – sei es jederzeitiger Zugriff auf Daten, Arbeiten von unterwegs oder auch Zutritte mit Badge statt Schlüssel, WLAN usw. – öffnet die Türen für Cyberangriffe. Immer mehr Personendaten werden elektronisch erhoben, bearbeitet, verschickt und archiviert (= datenschutzrechtlich umfasst Bearbeiten jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln oder Verfahren. Dies birgt Risiken sowohl technischer als auch organisatorischer Natur. Viele Cyberangriffe gelingen, weil ein Mensch gutgläubig war und auf Phishing-Versuche hereingefallen ist oder Systeme ungenügend gesichert sind. Das Zusammenspiel zwischen Organisation und Technik ist entscheidend; Schulung und Sensibilisierung aller Mitarbeitenden ist zentral.

Ein grosses Thema ist auch die Videoüberwachung: Sicherheit ist das Hauptargument. Videoüberwachung von Zugängen, Kassen, in Räumen bis zur Überwachung von Personen. Gerade bei Videoinstallationen sind die datenschutzrechtlichen Grundsätze zu beachten. Eine Videoüberwachung muss notwendig sein für einen bestimmten Zweck, Zugriff auf die Daten dürfen nur ein beschränkter Personenkreis haben und die Aufnahmen müssen in relativ kurzer Zeit wieder überspielt werden. In diversen Kantonen müssen solche Videokameras zumindest der kantonalen Datenschutzbehörde gemeldet werden oder brauchen eine Bewilligung sowie ein Reglement.

Vielen Institutionen ist dies nicht bekannt und es werden Videokameras installiert, die den gesetzlichen Anforderungen nicht genügen. Revision Datenschutz – wichtigste Punkte Das revidierte Datenschutzgesetz, und bereits viele kantonale Datenschutzgesetze, verlangen von den verantwortlichen Datenbearbeitern ein Verzeichnis der Bearbeitungstätigkeiten. Die notwendigen Punkte eines solchen Verzeichnisses umfassen:

  • Identität des Verantwortlichen
  • Bearbeitungszweck
  • Beschreibung der Kategorie betroffener Personen und Kategorien der bearbeiteten Personendaten
  • Kategorie von Empfängerinnen und Empfängern
  • Aufbewahrungsdauer oder zumindest Kriterien zur Festlegung der Dauer
  • Allgemeine Beschreibung der Massnahmen der Datensicherheit
  • Falls Daten ins Ausland gegeben werden, wohin

Grundsätzlich müssen betroffene Personen informiert werden, wenn Daten über sie beschafft werden (Informationspflicht); werden Daten automatisiert bearbeitet, muss dies ebenfalls kommuniziert werden, sofern dadurch eine Entscheidung Rechtsfolgen oder erheblicher Beeinträchtigung für diese darstellt. Wichtig ist auch die Pflicht, eine Datenschutz-Folgeabschätzung (DSFA) zu erstellen, sofern eine Datenbearbeitung ein hohes Risiko für die Betroffenen darstellt. Neue Projekte sind immer zu prüfen auf allfällige Auswirkungen auf betroffene Personen. Ebenfalls eine neue Pflicht stellt die Meldung von Verletzungen der Datensicherheit beim eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten, sofern dadurch ein hohes Risiko für die betroffene Person möglich ist.

Die Revision des schweizerischen Datenschutzgesetzes führt also zu einer weitergehenden Transparenz der Datenbearbeitung und einer Stärkung des risikobasierten Ansatzes.

Organisationen, die bis anhin nichts gemacht haben, sollten sich ernsthafter mit dem Thema auseinandersetzen. Dass vor allem kleinere Organisationen kaum Datenschutzspezialistinnen oder -spezialisten anstellen, ist nachvollziehbar. Dennoch empfiehlt es sich eine interne Ansprechperson für Datenschutzfragen zu bestimmen. Für komplexere Fragestellungen kann externe Hilfe beigezogen werden. Diverse Anbieter von Weiterbildungen ermöglichen es, intern bestimmten Personen (oft im Umfeld Qualitätsmanagement) sich ein Grundwissen anzueignen.

EVENTS

Heimtextil

Weltweit führende Fachmesse für Wohn- und Objekttextilien

Datum: 14.-17. Januar 2025

Ort: Frankfurt am Main (D)

Empack Schweiz

The Future of Packaging Technology

Datum: 22.-23. Januar 2025

Ort: Zürich (CH)

LOGISTICS & AUTOMATION

Schweizer Fachmesse für Logistik und Transport

Datum: 22.-23. Januar 2025

Ort: Zürich (CH)

Pro Sweets Cologne

Internationale Zulieferer der Snack- und Süsswarenbranche

Datum: 02.-05. Februar 2025

Ort: Köln (D)

BioFach

Weltleitmesse für Bio-Lebensmittel

Datum: 11.-14. Februar 2025

Ort: Nürnberg (D)

Vivaness

Internationale Fachmesse für Naturkosmetik

Datum: 11.-14. Februar 2025

Ort: Nürnberg (D)

HealthEXPO

Gesundheit, New Health Care und Zukunftsform

Datum: 22. Februar 2025

Ort: Basel (CH)

LOPEC

International führende Fachmesse mit Kongress für gedruckte Elektronik

Datum: 25.-27. Februar 2025

Ort: München (D)

ZHAW-IFM Day

Der IFM-Day der ZHAW findet als Begegnungstag für FM-Ausbildung und FM-Praxis statt.

Datum: 07. März 2025

Ort: Wädenswil (CH)

LogiMat

Internationale Fachmesse für Intralogistik

Datum: 11.-13. März 2025

Ort: Stuttgart (D)

INTERNORGA

Leitmesse für den Ausser-Haus-Markt

Datum: 14.-18. März 2025

Ort: Hamburg (D)

Pro Wein

Internationale Fachmesse für Weine und Spirituosen

Datum: 16.-18. März 2025

Ort: Düsseldorf (D)

Additive Manufacturing Forum

Die Entscheider- und Expertenkonferenz bringt das gesamte Wertschöpfungssystem rund um die additive Fertigung zusammen.

Datum: 17.-18. März 2025

Ort: Berlin (D)

Gastia

Die Fach- und Erlebnismesse für Gastfreundschaft

Datum: 23.-25. März 2025

Ort: St.Gallen (CH)

HR Festival Europe

Fachmesse für HRM, trainings to business und Corporate Health

Datum: 25.-26. März 2025

Ort: Zürich (CH)

Trendtage Gesundheit Luzern

Die TGL sind die führende nationale Plattform für Trends und Perspektiven im Gesundheitswesen.

Datum: 26.-27. März 2025

Ort: Luzern (CH)

SWISS eHEALTH FORUM

Pusher der Digitalisierung im Gesundheitswesen

Datum: 27. - 28. März 2025

Ort: Bern (CH)

Hannover Messe

Transfoming Industry Togheter

Datum: 31. März.-04. April 2025

Ort: Hannover (D)

FutureHealth Basel

Accelerating the healthcare system

Datum: 07. April 2025

Ort: Basel (CH)

Altenpflegemesse

Leitmesse für die Pflegewirtschaft

Datum: 08.-10. April 2025

Ort: Nürnberg (D)

DMEA

Connecting Digital Health

Datum: 08.-10. April 2025

Ort: Berlin (D)

Lebensmitteltag

Die führende schweizerische Lebensmittelfachtagung von bio.inspecta und SQS

Datum: 10. April 2025

Ort: Luzern (CH)

Schoggifestival

Das Schoggifestival geht in die dritte Runde!

Datum: 12.-13. April 2025

Ort: Zürich (CH)

TUTTOFOOD

Internationale B2B-Messe für Food & Beverage

Datum: 05.-08. Mai 2025

Ort: Mailand (I)

Control

Internationale Fachmesse für Qualitätssicherung

Datum: 06.-09. Mai 2025

Ort: Stuttgart (D)

SBK Kongress

Kongress vom Berufsverband der diplomierten Pflegefachpersonen der Schweiz

Datum: 07.-08. Mai 2025

Ort: Bern (CH)

ICV Gesundheitstagung Schweiz

Controlling im Spannungsfeld von Innovation, Kostenmanagement und digitaler Transformation.

Datum: 13. Mai 2025

Ort: St. Gallen (CH)

LABVOLUTION

Europäische Fachmesse für innovative Laborausstattung und die Optimierung von Labor-Workflows

Datum: 20.-22. Mai 2025

Ort: Hannover (D)

Vorsorge-Symposium

Fachmesse 2. Säule sowie ein Vorsorge-Symposium

Datum: 04.-05. Juni 2025

Ort: Zürich (CH)

Swiss Medtech

Mastering Complexity

Datum: 25. Juni 2025

Ort: Bern (CH)

Automatica

Die Leitmesse für intelligente Automation und Robotik

Datum: 24.-27. Juni 2025

Ort: München (D)

AM Expo

Fachmesse und Symposium: Inspiration, Weiterbildung und Netzwerk

Datum: 09.-10. September 2025

Ort: Luzern (CH)

Swiss Medtech Expo

Fachmesse und Symposium: Inspiration, Weiterbildung und Netzwerk

Datum: 09.-10. September 2025

Ort: Luzern (CH)

Ilmac

Fachmesse für Prozess- und Labortechnologie

Datum: 16.-18. September 2025

Ort: Basel (CH)

CMS Berlin

Internationale Leitmesse für Reinigung und Hygiene

Datum: 23.-26. September 2025

Ort: Berlin (D)

POWTECH

Pharma.Manufacturing.Excellence

Datum: 23.-25. September 2025

Ort: Nürnberg (D)

FachPack

Europäische Fachmesse für Verpackung, Technik, Veredelung und Logistik

Datum: 23.-25. September 2025

Ort: Nürnberg (D)

Rehacare

Die REHACARE ist die internationale Fachmesse für Rehabilitation, Prävention, Inklusion und Pflege.

Datum: 17.-20. September 2025

Ort: Düsseldorf (D)

Anuga

Weltweite Ernährungsmesse für Handel und Gastronomie/Ausser-Haus-Markt

Datum: 04.-08. Oktober 2025

Ort: Köln (D)

IN.STAND

Die Messe für Instandhaltung und Services

Datum: 21.-22. Oktober 2025

Ort: Stuttgart (D)

A + A

Messe und Kongress für Arbeitsschutz und Arbeitssicherheit

Datum: 04.-07. November 2025

Ort: Düsseldorf (D)

igeho

Internationale Branchenplattform für Hotellerie, Gastronomie, Take-away und Care

Datum: 15.-19. November 2025

Ort: Basel (CH)

maintenance Schweiz

Schweizer Fachmesse für industrielle Instandhaltung und Facility Management

Datum: 26.-27. November 2025

Ort: Zürich (CH)

Pumps & Valves

Die Fachmesse für industrielle Pumpen, Armaturen & Prozesse

Datum: 26.-27. November 2025

Ort: Zürich (CH)

Swissbau

Führende Plattform der Bau- und Immobilienwirtschaft

Datum: 20.-23. Januar 2026

Ort: Basel (CH)

aqua pro

B2B-Plattform in der Schweiz für Fachkräfte des globalen Wasserkreislaufs

Datum: 04.-06. Februar 2026

Ort: Bulle (CH)

analytica

Weltleitmesse für Labortechnik, Analytik, Biotechnologie und analytica conference

Datum: 24.-27. März 2026

Ort: München (D)

Techtextil

Internationale Leitmesse für technische Textilien und Vliesstoffe

Datum: 21.-24. April 2026

Ort: Frankfurt am Main (D)

PFLEGE PLUS

Die Fachmesse PFLEGE PLUS bringt Fachbesucher mit ausstellenden Unternehmen, Branchenverbände sowie Experten des Pflegemarkts zusammen.

Datum: 05.-07. Mai 2026

Ort: Stuttgart (D)

interpack

Führende Messe für Prozesse und Verpackung

Datum: 07.-13. Mai 2026

Ort: Düsseldorf (D)

ArbeitsSicherheit Schweiz

Fachmesse für Arbeitssicherheit, Gesundheitsschutz und Gesundheitsförderung am Arbeitsplatz

Datum: 20.-21. Mai 2026

Ort: Zürich (CH)

MedtecLIVE with T4M

Fachmesse für die gesamte Wertschöpfungskette der Medizintechnik

Datum: 05.-07. Juni 2026

Ort: Stuttgart (D)

all about automation

Fachmesse für Industrieautomation

Datum: 26.-27. August 2026

Ort: Zürich (CH)

Ilmac Lausanne

Networking. Forum. Aussteller

Datum: 23.-24. September 2026

Ort: Lausanne (CH)

Chillventa

Weltleitmesse der Kältetechnik

Datum: 13.-15. Oktober 2026

Ort: Nürnberg (D)

SIAL

Fachmesse für Nahrungsmittel-Innovationen

Datum: 17.-21. Oktober 2026

Ort: Paris (F)

Anuga FoodTec

Internationale Zuliefermesse für die Lebensmittel- und Getränkeindustrie

Datum: 23.-26. März 2027

Ort: Köln (D)

Achema

Internationale Leitmesse der Prozessindustrie

Datum: 14.-18. Juni 2027

Ort: Frankfurt am Main (D)

drupa

Weltweit führende Fachmesse für Drucktechnologien

Datum: 09.-17. Mai 2028

Ort: Düsseldorf (D)

Bezugsquellenverzeichnis