Grundsätzlich ist zu beachten, dass Datenschutz und die entsprechende Gesetzgebung nicht ein völlig neues Thema sind, das revidierte Bundesgesetz ist nicht etwas völlig Neues; es kommt fast der Verdacht auf, dass viele Unternehmen das Thema zu wenig beachtet haben. Im Gesundheitsumfeld hört man oft: «Man untersteht ja der beruflichen Schweigepflicht.» Das stimmt sicherlich, entbindet jedoch nicht, sich mit der Datenschutzgesetzgebung auseinanderzusetzen.
Welches Gesetz gilt?
Die erste Frage, die eine Organisation sich stellen sollte: Welches Datenschutzgesetz beziehungsweise welche gesetzlichen Anforderungen sind relevant? Die meisten Spitäler und Heime unterstehen in Bezug auf ihre Patientinnen und Patienten und Bewohnenden der kantonalen Datenschutzgesetzgebung. In § 3 IDG (Gesetz über die Information und den Datenschutz des Kantons Zürich) steht dazu:
«Öffentliche Organe sind: c. Organisationen und Personen des öffentlichen und privaten Rechts, soweit sie mit der Erfüllung öffentlicher Aufgaben betraut sind.»
Im Urner Datenschutzgesetz heisst es in Artikel 3: «Behörden: alle Organe der Verwaltung des Kantons, der Gemeinden, der öffentlich-rechtlichen Anstalten und Körperschaften sowie Kommissionen und private Personen, die mit der Erfüllung öffentlicher Aufgaben betraut sind.»
Die meisten Heime und Spitäler dürften auf die eine oder andere Art einen Leistungsauftrag eines/oder mehrerer Kantone haben. Im Verhältnis zu den Mitarbeitenden gilt dann, sofern die Organisation nicht in die kantonale Verwaltung eingebettet ist, das Bundesgesetz über den Datenschutz.
Grundsätzlich sind die verschiedenen Datenschutzgesetze nicht völlig unterschiedlich – der grösste Unterschied dürfte sein, dass man als kantonales Organ eine gesetzliche Grundlage für die Bearbeitung der Personendaten braucht. Diese dürfte in den entsprechenden Gesundheits- oder Sozialhilfegesetzen zu finden sein.
Teilweise hört man auch, dass Organisationen sich an der DSGVO orientieren und diese sogar als anwendbar erklären. Dies ist mit äusserster Zurückhaltung zu beurteilen. Grundsätzlich gilt das Marktortprinzip: Also, dort wo man die Institution hat, deren Gesetzgebung ist relevant. Selbst für internationale Gruppen, wie beispielsweise eine Hirslanden, sind in der Schweiz die schweizerische beziehungsweise kantonale Datenschutzgesetzgebung relevant.
Die DSGVO ist dann relevant für die Patientinnen und Patienten oder die Bewohnenden aus EU/EWR, wenn dort aktiv Werbung gemacht würde für die eigene Institution. Dies dürften Ausnahmen sein. Weil man beispielsweise in einem Skigebiet nach einem Unfall auch Gäste aus dem EU-/EWR-Raum als Patientinnen hat, bedeutet dies eben nicht, dass man als Klinik/Spital Werbung gemacht hat für die Behandlung. Ebenfalls nicht relevant ist, ob man als Organisation Mitarbeitende oder/und Grenzgänger aus der EU/dem EWR hat.
Leider hört und liest man regelmässig solche Falschinformationen – mehrheitlich von «Beratenden», die Datenschutz als neue Einnahmequelle entdeckt haben. Der «Vorteil» der DSGVO ist vor allem, dass die grossen Bussenhöhen mehr Eindruck machen, als die schweizerischen Rechtsmittel oder Bussen. Deshalb sollte dringendst in einem ersten Schritt geprüft werden, was anwendbar ist.
Zentrale Elemente/Grundsätze
Datenschutz beruht auf der Idee der informationellen Selbstbestimmung. Informationelle Selbstbestimmung bedeutet, dass man als betroffene Person bestimmt, was mit den eigenen Daten passiert, wer Zugriff haben soll etc. Auch wenn heute eine umfassende informationelle Selbstbestimmung nicht möglich ist – weiss doch das Smartphone fast mehr über uns als die eigene Familie –, ist diese Idee bei der Bearbeitung von Personendaten immer mitzunehmen.
Die wichtigsten Grundsätze sind
- Verhältnismässigkeit
- Treu und Glauben
- Richtigkeit
sowie die Datensicherheit, an denen sich eine Organisation orientieren sollte.
Abgesehen von der Richtigkeit, handelt es sich um Begriffe, die auszulegen und auf die eigene Organisation anzupassen sind. Die Richtigkeit ist insofern schwarz/weiss, als etwas richtig oder falsch ist. Dass eine Organisation richtige Daten hat, ist im eigenen Interesse. Doch gehört zur Richtigkeit auch die Aktualität der Daten. Ein Datenfriedhof dürfte oft mit der Datenrichtigkeit im Konflikt stehen. Dies führt gleich weiter zum nächsten Grundsatz: Verhältnismässigkeit.
Dieser Grundsatz erfordert eine vertiefte Auseinandersetzung: Welche Daten sind tatsächlich notwendig? Braucht es Angaben zu Religion, zu Eigentum, Haustieren? Braucht es Angaben zu Angehörigen? Zumindest letzte Frage dürfte mehrheitlich mit «Ja» zu beantworten sein. Gleichzeitig ist zu akzeptieren, wenn jemand keine Angehörigen angeben möchte.
Anderes Thema: Braucht es einen Strafregisterauszug? Diese Frage ist differenziert zu beantworten: Von Patienten und Bewohnenden dürfte ein Strafregisterauszug kaum zu rechtfertigen sein. Bei Mitarbeitenden ist dies schon weniger klar. Aktuell gibt es eine Tendenz, für fast jede Funktion einen Strafregisterauszug zu verlangen, ohne zu hinterfragen, ob dies tatsächlich notwendig ist. Insbesondere bei Pflegefachpersonen gibt es inzwischen mehrere Kantone, die für die eigenverantwortliche Berufsausübung einen Strafregisterauszug verlangen, was dann von Organisationen gleich ungefragt übernommen wird.
Ein Sonderprivatauszug, der Auskunft gibt über Berufs- und Tätigkeitsverbote, kann Sinn machen; ein Privatauszug, aus dem auch Verkehrsdelikte ersichtlich sind, hat kaum Relevanz für eine Tätigkeit in einem Spital oder Heim – es sei denn, die Person hat Fahrdienste zu erbringen. Deshalb sollte hier gelten: «Es kommt darauf an.»
Zum Thema Verhältnismässigkeit gehört auch ein Rollenkonzept, mit dem die Zugriffe auf Daten geregelt und auf das Notwendigste beschränkt werden. Gerade im Spitalumfeld sind viele Klinikinformationssysteme nicht darauf ausgerichtet, die Zugriffe im Sinne einer datenschutzfreundlichen Technik auf das Notwendigste zu beschränken und sogenannte Notfall-Zugriffe zu ermöglichen. Die meisten Systeme sind relativ offen und Zugriffsbeschränkungen werden aus Bequemlichkeit nur minimal definiert. Wie es anders geht, kenn man im Personalwesen: Hier sind Zugriffsbeschränkungen systemimmanent.
Mit der Revision des Bundesgesetzes wird die dritte Dimension der Verhältnismässigkeit ausdrücklich verlangt: Daten müssen schnellstmöglich vernichtet oder anonymisiert werden. Es geht also um die Aufbewahrungsdauer von Daten. Die Schwierigkeit dabei spielen gesetzliche Aufbewahrungsfristen, die bezüglich Patientinnen und Patienten Daten kantonal unterschiedlich ausgestaltet sein können. Die meisten Kantone verlangen für die Patientendokumentation eine Mindestaufbewahrungsdauer, so beispielsweise das Aargauer Gesundheitsgesetz in § 15 Abs. 1 lit b; mit der neuen Haftungs-Verjährungsfrist von Art. 128a OR bei «vertragswidriger Körperverletzung oder Tötung» von 20 Jahren, sind viele Institutionen dazu übergegangen, alle Daten 20 Jahre aufzubewahren. Dies wird denn auch von der FMH ausdrücklich empfohlen. Die Sinnhaftigkeit dieser langen Dauer für alle Dokumente wird aus Angst, ein Beweismittel nicht mehr zu haben, kaum kritisch hinterfragt.
Bezüglich Personalakten ist heute unbestritten die gute Praxis, zu differenzieren, um welche Art Daten es sich handelt. Verwarnungen und Verweise sollten je nach Schwere spätestens nach zwei bis fünf Jahren aus dem Personaldossier entfernt werden; grundsätzlich kann erwartet werden, dass Personaldossiers periodisch kontrolliert, und nicht mehr benötigte Dokumente entfernt werden.
Treu und Glauben bedeutet, dass Daten fair und vertrauenswürdig bearbeitet werden, so wie dies eine betroffene Person erwarten darf und rechnen muss. Es liegt auf der Hand, dass Treu und Glauben unterschiedlich interpretiert wird; es ist grundsätzlich von einem «vernünftigen Menschen» auszugehen. Es entspricht Treu und Glauben, dass Daten im Zusammenhang mit der Gesundheit betroffener Personen sowohl in Spitälern als auch Heimen bearbeitet werden und Betreuende Zugriff haben. Es wäre aber gegen Treu und Glauben, wenn solche Daten der Wohngemeinde zur Verfügung gestellt würden. Ebenfalls kann erwartet werden, dass bei einer Krankmeldung von Mitarbeitenden Vorgesetzte erfahren, dass eine Person ausfällt, nicht aber, dass das gesamte Unternehmen darüber informiert wird, es sei denn, es handelt sich um ein Mitglied der Geschäftsleitung.
Datensicherheit
Ein weiteres wichtiges Kapitel betrifft die Datensicherheit: Das Bedürfnis nach Bequemlichkeit – sei es jederzeitiger Zugriff auf Daten, Arbeiten von unterwegs oder auch Zutritte mit Badge statt Schlüssel, WLAN usw. – öffnet die Türen für Cyberangriffe. Immer mehr Personendaten werden elektronisch erhoben, bearbeitet, verschickt und archiviert (= datenschutzrechtlich umfasst Bearbeiten jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln oder Verfahren. Dies birgt Risiken sowohl technischer als auch organisatorischer Natur. Viele Cyberangriffe gelingen, weil ein Mensch gutgläubig war und auf Phishing-Versuche hereingefallen ist oder Systeme ungenügend gesichert sind. Das Zusammenspiel zwischen Organisation und Technik ist entscheidend; Schulung und Sensibilisierung aller Mitarbeitenden ist zentral.
Ein grosses Thema ist auch die Videoüberwachung: Sicherheit ist das Hauptargument. Videoüberwachung von Zugängen, Kassen, in Räumen bis zur Überwachung von Personen. Gerade bei Videoinstallationen sind die datenschutzrechtlichen Grundsätze zu beachten. Eine Videoüberwachung muss notwendig sein für einen bestimmten Zweck, Zugriff auf die Daten dürfen nur ein beschränkter Personenkreis haben und die Aufnahmen müssen in relativ kurzer Zeit wieder überspielt werden. In diversen Kantonen müssen solche Videokameras zumindest der kantonalen Datenschutzbehörde gemeldet werden oder brauchen eine Bewilligung sowie ein Reglement.
Vielen Institutionen ist dies nicht bekannt und es werden Videokameras installiert, die den gesetzlichen Anforderungen nicht genügen. Revision Datenschutz – wichtigste Punkte Das revidierte Datenschutzgesetz, und bereits viele kantonale Datenschutzgesetze, verlangen von den verantwortlichen Datenbearbeitern ein Verzeichnis der Bearbeitungstätigkeiten. Die notwendigen Punkte eines solchen Verzeichnisses umfassen:
- Identität des Verantwortlichen
- Bearbeitungszweck
- Beschreibung der Kategorie betroffener Personen und Kategorien der bearbeiteten Personendaten
- Kategorie von Empfängerinnen und Empfängern
- Aufbewahrungsdauer oder zumindest Kriterien zur Festlegung der Dauer
- Allgemeine Beschreibung der Massnahmen der Datensicherheit
- Falls Daten ins Ausland gegeben werden, wohin
Grundsätzlich müssen betroffene Personen informiert werden, wenn Daten über sie beschafft werden (Informationspflicht); werden Daten automatisiert bearbeitet, muss dies ebenfalls kommuniziert werden, sofern dadurch eine Entscheidung Rechtsfolgen oder erheblicher Beeinträchtigung für diese darstellt. Wichtig ist auch die Pflicht, eine Datenschutz-Folgeabschätzung (DSFA) zu erstellen, sofern eine Datenbearbeitung ein hohes Risiko für die Betroffenen darstellt. Neue Projekte sind immer zu prüfen auf allfällige Auswirkungen auf betroffene Personen. Ebenfalls eine neue Pflicht stellt die Meldung von Verletzungen der Datensicherheit beim eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten, sofern dadurch ein hohes Risiko für die betroffene Person möglich ist.
Die Revision des schweizerischen Datenschutzgesetzes führt also zu einer weitergehenden Transparenz der Datenbearbeitung und einer Stärkung des risikobasierten Ansatzes.
Organisationen, die bis anhin nichts gemacht haben, sollten sich ernsthafter mit dem Thema auseinandersetzen. Dass vor allem kleinere Organisationen kaum Datenschutzspezialistinnen oder -spezialisten anstellen, ist nachvollziehbar. Dennoch empfiehlt es sich eine interne Ansprechperson für Datenschutzfragen zu bestimmen. Für komplexere Fragestellungen kann externe Hilfe beigezogen werden. Diverse Anbieter von Weiterbildungen ermöglichen es, intern bestimmten Personen (oft im Umfeld Qualitätsmanagement) sich ein Grundwissen anzueignen.