Frage von Dr. med. M.N. in B.: «Am 1. September 2023 treten das neue Bundesgesetz über den Datenschutz und die dazugehörige Verordnung über den Datenschutz in Kraft. Mit dem neuen Gesetz und dessen Verordnung müssen alle Arztpraxen in der Schweiz verschärfte Datenschutzregeln beachten. Geben Sie mir bitte eine Zusammenfassung der wichtigsten Bestimmungen und Anweisungen für uns Ärztinnen und Ärzte. Und sagen Sie mir, wie man allfällige Verstösse gegen die Bestimmungen des Datenschutzgesetzes versichern kann, da ja von diesem Gesetz mit Bussen bis zu 250'000 Franken gedroht wird.»
Der YLEX-Online-Datenschutz-Check
Die Anwaltsgemeinschaft YLEX bietet in ihren Büros in Bern, St. Gallen, Winterthur und Zürich sowie telefonisch, per Video-Call oder online Unterstützung bei Rechtsfragen an. Im Zusammenhang mit dem neuen Schweizer Datenschutzrecht zählt dazu der Online-Datenschutz-Check: Damit kann online rasch geprüft werden, ob ein Unternehmen oder eine Arztpraxis den Anforderungen des am 1. September 2023 in Kraft tretenden neuen Schweizer Datenschutzgesetzes entspricht. Der Basischeck ist kostenlos.
Datenschutzerklärung
Webseiten benötigen obligatorisch eine Datenschutzerklärung. Oft wird im Cookie-Banner auf die Datenschutzerklärung verwiesen. Auf jeden Fall muss die Datenschutzerklärung auf der Homepage auffindbar sein, beispielsweise durch eine Verlinkung in der Fusszeile. Aber auch Arztpraxen, welche keine Webseite betreiben, benötigen eine Datenschutzerklärung, weil personenbezogene Daten erhoben werden.
Die FMH stellte den Arztpraxen eine Musterdatenschutzerklärung zur Verfügung.
Einwilligungserklärung
Eine Arztpraxis bearbeitet Gesundheitsdaten, die zu den besonders schützenswerten Personendaten zählen. Die FMH bietet ein Muster für ein Patientenformular, bei dem eine gesetzeskonforme Einwilligungserklärung eingebaut ist.
Verzeichnis der Datenbearbeitungstätigkeiten
Artikel 12 des neuen Datenschutzgesetzes verlangt von den Unternehmen, ein Verzeichnis der Datenbearbeitungstätigkeiten zu führen. Dieses dient im Rahmen des Datenschutzes als Übersicht über die Bearbeitung von Personendaten im Unternehmen. Die gute Nachricht für etliche Klein- und Mittelunternehmen KMU: Gemäss Artikel 24 der Verordnung über den Datenschutz sind «Unternehmen und andere privatrechtliche Organisationen, die am 1. Januar eines Jahres weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen, sowie natürliche Personen von der Pflicht befreit, ein Verzeichnis der Bearbeitungstätigkeiten zu führen, ausser eine der folgenden Voraussetzungen ist erfüllt:
- Es werden besonders schützenswerte Personendaten in grossem Umfang bearbeitet.
- Es wird ein Profiling mit hohem Risiko durchgeführt.»
Arztpraxen, bearbeiten besonders schützenswerte, sogar berufsgeheimnisgeschützte Personendaten. Deshalb ist ein Verzeichnis der Datenbearbeitungstätigkeiten notwendig. Die FMH bietet einen «Leitfaden Verzeichnis der Bearbeitungstätigkeiten» sowie eine «Vorlage Verzeichnis der Bearbeitungstätigkeiten».
Geheimhaltung
Sobald ein Dritter von einer Arztpraxis mit einer Datenbearbeitung beauftragt wird, ist die Vereinbarung für eine Auftragsbearbeitung und die Geheimhaltungsvereinbarung abzuschliessen. Die FMH biete dazu den «Leitfaden Geheimhaltungs- und Auftragsbearbeitungsvereinbarung» sowie die Vorlage für eine «Geheimhaltungsvereinbarung».
Bussen bis zu 250'000 Franken
Es lohnt sich, die strengen Bestimmungen des neuen Datenschutzgesetzes minutiös einzuhalten. Im «8. Kapitel: Strafbestimmungen» des Datenschutzgesetzes wird nämlich festgehalten: Die Verletzungen von Informations-, Auskunfts- und Mitwirkungspflichten, die Verletzungen von Sorgfaltspflichten, die Verletzungen der beruflichen Schweigepflicht sowie das Missachten von Verfügungen können allesamt mit Bussen bis zu 250'000 Franken geahndet werden.
Zur Vermeidung von Sanktionen ist es namentlich wichtig, allfällige Datenauskunftsbegehren rasch und richtig zu beantworten. Gemäss dem Datenschutzgesetz hat nämlich jede Person ein Auskunftsrecht darüber, welche Daten über sie gespeichert sind. Zudem besteht das Recht, die Daten löschen oder korrigieren zu lassen. Wer für die Daten verantwortlich ist, muss in der Datenschutzerklärung zu finden sein. Dort muss das Unternehmen zudem die Kontaktadresse angeben, an welche das Datenauskunftsbegehren gestellt werden kann. Die betroffene Person muss anschliessend diejenigen Informationen erhalten, die erforderlich sind, damit sie ihre Rechte nach dem Datenschutzgesetz geltend machen kann.
Die FMH bietet in diesem Zusammenhang die «Anleitung Auskunft- und Herausgabegesuche über Personendaten» sowie die «Checkliste und Prozessablauf bei Datenschutzverletzungen».
Wie kann man Verstösse gegen das Datenschutzgesetz versichern?
Frage an die Medienstelle der AXA Versicherungen: «Mit welcher Versicherung lässt sich das Risiko, dass man Bestimmungen des Datenschutzgesetzes bewusst, fahrlässig oder grobfahrlässig nicht einhält und entsprechend gebüsst wird, versichern. Oder ist das schon in bestehenden Versicherungen versichert?»
Antwort der AXA: «Bei Datenschutzverletzungen handelt es sich um reine Vermögensschäden die normalerweise nicht Bestandteil einer klassischen Betriebs- und Berufshaftpflichtversicherung sind. Im Sinne eines für unsere Kundinnen und Kunden möglichst weitgehenden Versicherungsumfangs gewähren wir im Rahmen unserer Allgemeinen Vertragsbedingungen (AVB) ‘Haftpflichtversicherung Unternehmen’ trotzdem auch Versicherungsschutz für Vermögensschäden aus Persönlichkeitsrechtsverletzungen wegen unbefugter Heraus- oder Weitergabe von personenbezogenen Daten durch Versicherte anlässlich dienstlicher Tätigkeiten. Die entsprechende AVB ‘Haftpflichtversicherung Unternehmen’ gelangt dabei als Basis auch bei der Versicherung von Ärztinnen und Ärzten zur Anwendung.
Ein weitergehender Versicherungsschutz im Zusammenhang mit Datenschutzverletzungen ist im Rahmen der Betriebs- und Berufshaftpflichtversicherung nicht möglich. Die genaue Prüfung des Versicherungsschutzes erfolgt jeweils im konkreten einzelnen Schadenfall. Allfällig nicht versicherte Schäden wären dem Unternehmerrisiko der Ärztinnen und Ärzte zuzurechnen.»
Einen raschen und kompetenten Einblick in die Regelungen des neuen Datenschutzgesetzes bietet die Publikation «Das neue Datenschutzgesetz aus Sicht des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB».