Das neue Datenschutzgesetz: Anpassungen in Arztpraxen ab 1. September 2023
27.03.2023
Datenschutzerklärung der Praxis
- Bei der Beschaffung von Personendaten sind die betroffenen Personen transparent über die Datenbearbeitungen zu informieren, insbesondere über den Bearbeitungszweck (Art. 19 DSG)
- In vielen Fällen ist eine Anpassung der Datenschutzerklärung der Praxis notwendig. Auf jeden Fall ist eine bestehende Datenschutzerklärung in Bezug auf die neuen Bestimmungen zu überprüfen
- Die Einwilligung der Patient:innen für die Bearbeitung der Daten hat ausdrücklich zu erfolgen und ist nur gültig, wenn sie für eine oder mehrere bestimmte Bearbeitungen nach angemessener Information freiwillig erfolgt (Art. 6 Abs. 6 und 7 DSG)
Technik und Sicherheit
- Das bisherige Register der Datensammlungen wird zu einem Verzeichnis der Bearbeitungstätigkeiten (Art. 12 DSG)
- Das Verzeichnis hat die im Gesetz deatilliert aufgeführten Angaben zu enthalten.
- Ein besonderes Gewicht legt das neue Datenschutzgesetz auf die datenschutzfreundliche Technikgestaltung und die Datensicherheit.
- Die Datenbearbeitung ist technisch und organisatorisch so zu gestalten, dass die Datenschutzvorschriften eingehalten werden («Privacy by design» Art. 7 DSG)
- Der Verantwortliche hat dafür zu sorgen, dass mit geeigneten Voreinstellungen sichergestellt ist, dass die Datenbearbeitungen auf das für den Verwendungszweck notwendige Mindestmass beschränkt sind («Privacy by default» Art. 7 DSG)
- Generell hat der Verantwortliche eine dem Risiko angemessene Datensicherheit zu gewährleisten (Art. 8 DSG) - auch beim Beizug eines Auftragsdatenbearbeiters sich darüber zu vergewissern, dass dieser in der Lage ist, die Datensicherheit zu gewährleisten (Art. 9 DSG)
- IT-Grundschutz: Zu berücksichtigen sind die neuen Anforderungen in Bezug auf die Datenschutz-Folgenabschätzung («Risikoanalyse» Art. 22 DSG) und die Erstellung eines Datenbearbeitungsreglements (Art. 5 DSV)
- In gewissen Fällen hat die Arztpraxis eine Verletzung der Datensicherheit der Aufsichtsbehörde, dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), zu melden (Art. 24 DSG).
- Eine Meldepflicht besteht nur, wenn dadurch vermutungsweise ein hohes Risiko für die Persönlichkeitsrechte der betroffenen Personen entsteht, was bei Gesundheitsdaten nicht zum vornherein auszuschliessen ist.
Das Auskunftsrecht
- Wie bisher ist den betroffenen Personen Auskunft darüber zu erteilen, welche Daten über sie bearbeitet werden («Auskunftsrecht» Art. 25 DSG)
- Das neue Datenschutzgesetz hat zahlreiche Strafbestimmungen (Art. 60 ff. DSG). Sie stellen insbesondere die Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten sowie die Verletzung von Sorgfaltspflichten unter Strafe. Dabei sind Bussen bis CHF 250’000.- vorgesehen.
- Strafbar machen sich auf Antrag nur Personen, die vorsätzlich - mit Wissen und Willen - diese Pflichten verletzen.
Unter folgendem Link sind weitere Informationen zu finden: https://saez.ch/article/doi/saez.2022.21291
Hilfsmittel von der FMH zum neuen Dateschutzgesetz (mit direkter Verlinkung):
Infoblatt zum Datenschutz der FMH
- Datenschutzerklärung
- Einwilligungserklärung
- Vorlage und Leitfaden Verzeichnis der Bearbeitungstätigkeiten
- Leitfaden für die Aufbewahrung und Archivierung
- Checklist und Prozessablauf bei Datenschutzverletzungen
- Anleitung Auskunfts- und Herausgabegesuche
- Vorlage zur Vereinbarung für eine Auftragsbearbeitung
- Vorlage zur Geheimhaltungsvereinbarung
- Leitfaden zur Geheimhaltungs- und Auftragsbearbeitungsvereinbarung