Neues Datenschutzgesetz: Das müssen Akteure des Gesundheitswesens wissen (Teil 2)

Neues Datenschutzgesetz: Das müssen Akteure des Gesundheitswesens wissen (Teil 2)

Philipp Senn
Philipp Senn

Das neue Datenschutzgesetz (nDSG) und die neue Datenschutzverordnung (DSV) sowie die neue Verordnung über Datenschutzzertifizierungen (VDSZ) treten am 1. September 2023 in Kraft. Gewisse Neuerungen können in Arztpraxen oder Institutionen des Gesundheitswesens eine Anpassung oder Erweiterung der bisherigen Richtlinien und Datenbearbeitungsprozesse für Personendaten erfordern.

Im ersten Blogbeitrag zum neuen Datenschutzgesetz hatten wir eine Übersicht wichtiger Änderungen gegeben und sind auf einige Neuerungen in puncto Datenbearbeitung eingegangen. In diesem Beitrag geht es nun um wichtige Punkte bezüglich Datenbearbeitung, -archivierung und -löschung.

Verzeichnis der Datenbearbeitungen

Mit Inkrafttreten des neuen Bundesgesetzes über den Datenschutz werden Verantwortliche unter bestimmten Voraussetzungen verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten zu führen. Diese Pflicht trifft Unternehmen mit mehr als 250 Mitarbeitenden sowie Verantwortliche, welche eine umfangreiche Bearbeitung von besonders schützenswerten Personendaten vornehmen.Aufgrund der Sensitivität der Gesundheitsdaten wird Arztpraxen und anderen Institutionen des Gesundheitswesens empfohlen, ein solches Verzeichnis zu führen, auch als Basis für etwaige Datenauskünfte. Allerdings sind bei dessen Fehlen keine Bussen vorgesehen. Im Verzeichnis der Datenbearbeitungen aufgeführt sein sollten alle Bearbeitungstätigkeiten, bei welchen die Bearbeitung von besonders schützenswerten Personendaten im Fokus steht.Beispiele hierfür:

  • Führung und Verwaltung der Krankengeschichten
  • Verwaltung der Patientendaten zur Abrechnung der Sozialversicherungen
  • Laboranalysen
  • Verwaltung von Medikamenten- und Materialbestellungen
  • Mitarbeiterverwaltung

Die FMH bietet eine Vorlage für das Verzeichnis der Bearbeitungstätigkeiten, siehe «Vorlage Verzeichnis der Bearbeitungstätigkeiten» auf der Informationsseite der FMH.Nachfolgenden erklären wir die Spalten, welche mindestens geführt werden sollen:

  • Bearbeitungstätigkeit: spezifische Bearbeitungstätigkeit, in welcher Personendaten bearbeitet werden. Zusammenhängende oder ähnliche Bearbeitungstätigkeiten können zusammengefasst aufgeführt werden.
  • Zweck: Zweck, aufgrund dessen die Personendaten bearbeitet werden. Es können auch mehrere Zwecke aufgeführt werden (z.B. Ermittlung Laborwerte, Dokumentation der Behandlung).
  • Verantwortliche Person: Person, welche für die Bearbeitungstätigkeit und die bearbeiteten Daten verantwortlich ist. Gemeint ist die Person, welche darüber entscheidet, wie und womit die Daten bearbeitet werden (z. B. die Ärztin oder der Arzt). Sind für eine Bearbeitungstätigkeit (z. B. die Führung der Krankengeschichte in einer Gemeinschaftspraxis) mehrere Personen verantwortlich, so wird empfohlen den Namen der Arztpraxis sowie die Funktionen der Verantwortlichen aufzuführen (z. B. behandelnde Ärztin oder behandelnder Arzt).
  • Kategorien betroffener Personen: betroffenen Personen, über welche Daten bearbeitet werden. Gemeint sind typisierte Gruppen, die bestimmte gemeinsame Merkmale haben (z. B. Interessenten, Patientinnen und Patienten, Mitarbeitende, Dienstleistende).
  • Kategorien der Personendaten: die bearbeiteten Personendaten, in Kategorien zusammengefasst (nicht zu detailliert, z. B. Personalien, Stammdaten, Kontaktdaten, Lohndaten, Versicherungsdaten, Bankverbindungsdaten, Behandlungsdaten, Gesundheitsdaten).
  • Kategorie der Empfänger: Empfänger, welche im Rahmen einer Tätigkeit Einsicht in oder Zugang auf die Personendaten erhalten, in Kategorien zusammengefasst. Empfänger können Personen, Unternehmen, Behörden etc. sein. Aussagekräftige Bezeichnungen für Kategorien der Empfänger sind beispielsweise Krankenkassen, Invalidenversicherungen, Buchhaltung, Steuerverwaltung, Aufsichtsbehörden, Dienstleister.
  • Aufbewahrungsdauer / Aufbewahrungskriterium: Fristen für die Aufbewahrung der Daten (z. B. Anzahl Tage oder Jahre), sofern bekannt. Dabei sind insbesondere gesetzliche bzw. standesrechtliche Aufbewahrungspflichten zu berücksichtigen, siehe Kapitel «Datenarchivierung und Datenlöschung». Bestehen keine gesetzlich bzw. standesrechtlich festgelegten Aufbewahrungsfristen, sollte festgehalten werden, nach welchen Kriterien die Personendaten aufbewahrt werden (z. B. bis zur Erfüllung des Zwecks, bis Austritt der Mitarbeitenden).
  • Massnahmen zur Datensicherheit: technische und organisatorische Massnahmen, welche bereits umgesetzt werden, um die Daten vor Verlust der Vertraulichkeit, der Integrität und der Verfügbarkeit zu schützen (z. B. abgeschlossene Schränke bei physischen Krankengeschichten, verschlüsselter E-Mail-Verkehr, Zugriffsbeschränkung auf digitale Ablagen, Schulung der Mitarbeitenden etc.). Hier besteht auch die Möglichkeit, auf bestehende Sicherheitskonzepte zu verweisen.
     

Datenarchivierung

Die mit dem Datenschutzgesetz regulierten und in Gesundheitseinrichtungen zahlreich bearbeiteten Personendaten unterliegen unterschiedlichen gesetzlichen Anforderungen zur Archivierung und zur Vernichtung bzw. Löschung.Nachfolgend geben wir eine Übersicht darüber, welche Daten – unter anderem aufgrund des revidierten Datenschutzgesetztes – wie lange aufbewahrt werden müssen, sortiert nach Aufbewahrungsdauer. Die Umsetzung in Ihrer Praxis oder Institution können Sie im oben erklärten Verzeichnis der Datenbearbeitungen dokumentieren.

Daten, die in der Praxis oder Institution bearbeitet werden:

  • Personaldossier, Zeiterfassung und Lohnwesen: 5 Jahre ab Austritt des Mitarbeitenden.
  • Rechnungen, Spesen und Steuerunterlagen: 10 Jahre ab Beendigung des Geschäftsjahres.
  • Krankengeschichte: aufgrund der Verjährungsfrist im Haftungsrecht 20 Jahre nach Abschluss der letzten Untersuchung oder Behandlung. Darüber hinaus darf sie nur mit der Zustimmung der betroffenen Person aufbewahrt bleiben.
  • Aufzeichnungen im Zusammenhang mit dem Umgang mit Blut oder Blutprodukten (z. B. bei Blutentnahme): 30 Jahre
Daten, welche bei Partnern bearbeitet werden:
  • Protokolle umfangreicher Datenbearbeitungen (Event Logs) besonders schützenswerter Personendaten: mindestens 1 Jahr, getrennt vom System, in welchem die Personendaten bearbeitet werden. Dies betrifft primär Ihre IT Service Provider, welche für die Speicherung Ihrer elektronischen Daten verantwortlich sind.
  • EPD-Protokolle: 10 Jahre. Dies betrifft primär Ihre Stammgemeinschaft.
  • Elektronische Patientendossiers (EPD): Diese müssen bei entfallenem Zweck, nach Aufforderung der betroffenen Person (dem Patienten) oder spätestens nach 20 Jahren gelöscht werden. Dies betrifft primär Ihre Stammgemeinschaft.

Begriffsdefinitionen: Vernichtung, Löschung, Archivierung, Backup

Archivierung bedeutet, dass Daten in eine sichere und unveränderbare physische Lagerung oder digitale Speicherung überführt werden, um über einen definierten Zeitraum Nachweise erbringen zu können. Im Gegensatz dazu dient ein Backup zur unmittelbaren Wiederherstellung der operativen Daten nach einem Datenverlust. Werden Daten unwiderruflich vernichtet, wird bei physischen Daten (wie beispielsweise Patientendossiers auf Papier) von einer Vernichtung gesprochen, bei elektronischen Daten hingegen von einer Löschung.

Die Vernichtung oder Löschung der Daten erfolgt in diesem Fall in der Regel durch Ihre Partner. Sollten Sie unsicher sein, fragen Sie bei diesen nach.Weitere Details finden sie im «Leitfaden für die Aufbewahrung und Archivierung» der FMH auf der Informationsseite der FMH.
 

Das Wichtigste in Kürze

  • Transparente Datenbearbeitung: Patientinnen und Patienten müssen transparent informiert werden über die Bearbeitung ihrer Daten. Eine Vorlage finden Sie auf der Informationsseite der FMH, siehe «Datenschutzerklärung».
  • Einwilligungspflicht bei Datenweitergabe: Patientinnen und Patienten müssen in die Weitergabe ihrer Daten an Dritte explizit einwilligen (nicht aber zwingend schriftlich). Eine Vorlage für eine Einverständniserklärung, finden Sie auf der Informationsseite der FMH (siehe «Einwilligungserklärung / Patientenformular»).
  • Datensparsamkeit: Speichern und bearbeiten Sie Daten nur, wenn dies wirklich nötig ist und geben Sie nur Daten an Dritte weiter, wenn diese sie nachweislich zwingend benötigen.
  • Verzeichnis Ihrer Datenbearbeitungen: Führen Sie das oben erklärte Verzeichnis und halten Sie es aktuell. Sie werden keine Busse erhalten, wenn sie es nicht tun. Doch das Verzeichnis ist auch für Sie hilfreich, um die Übersicht über Ihre Datenbearbeitungen zu behalten.
  • Datenschutz und Datensicherheit: Schützen Sie Patientendaten im Arbeitsalltag sorgfältig. Lassen Sie z.B. physische Dossiers niemals offen herumliegen und investieren Sie in eine sichere IT-Infrastruktur. Schützen Sie Computer und Notebooks, auf denen digitale Personendaten gespeichert sind, mit einem sicheren Passwort. E-Mails, die Patientendaten enthalten, müssen verschlüsselt übermittelt werden. Siehe auch IT-Grundschutz der FMH.
  • Technische und organisatorische Massnahmen: Definieren Sie konkrete Vorgaben zur Umsetzung der technischen und organisatorischen Massnahmen in Bezug auf Datenschutz und Datensicherheit in Ihrer Praxis. Setzen Sie diese sorgfältig um, prüfen Sie ihre Aktualität und Einhaltung immer wieder und passen Sie sie wenn nötig an. Die Verantwortung über die Datenbearbeitung bedeutet neu ein ständiger Prozess.

Mehr Informationen

Quellenverzeichnis 

nDSG: https://www.fedlex.admin.ch/eli/cc/2022/491/de 

DSV: https://www.fedlex.admin.ch/eli/cc/2022/568/de 

FMH: https://www.fmh.ch/themen/ehealth/datenschutz/neues-datenschutzgesetz-dsg.cfm

Philipp Senn
Autor: Philipp Senn - Leiter Kommunikation

Sprache und Informationstechnik haben mich schon immer fasziniert – bei HIN kann ich beides verbinden. Als Leiter Kommunikation bei HIN und «nebenamtlicher» Referent für die HIN Academy möchte ich unseren Lesern vielschichtige Aspekte der digitalen Transformation vermitteln und ihr Bewusstsein für die damit zusammenhängenden Fragen der IT-Sicherheit schärfen.

Expertise
Sprache und Informationstechnik haben mich schon immer fasziniert – bei HIN kann ich beides verbinden. Als Kommunikationsspezialist habe ich in der IT, im Verbandswesen und in der öffentlichen Verwaltung Erfahrung gesammelt. Als Leiter Kommunikation bei HIN und «nebenamtlicher» Referent für die HIN Academy möchte ich unseren Lesern vielschichtige Aspekte der digitalen Transformation vermitteln und ihr Bewusstsein für die damit zusammenhängenden Fragen der IT-Sicherheit schärfen.

Redaktionelle Inhalte
Im HIN Blog informiere ich über aktuelle Entwicklungen bei HIN, stelle Persönlichkeiten und Meinungen zur Digitalisierung im Gesundheitswesen vor und berichte über E-Health und Datensicherheit. Ich führe Interviews mit Exponenten der Branche oder recherchiere Hintergrundinformationen – und gebe Ihnen so einen Einblick hinter die Kulissen.

Ganz persönlich
(Fremd-)Sprachen und Technik stehen bei mir auch privat hoch im Kurs, sei es bei Reisen in ferne und weniger ferne Gefilde oder kleinen Bastelprojekten in Haus und Garten. Meine Freizeit verbringe ich am liebsten mit meiner Familie. Ich lache gern und bin für ein spannendes Gespräch unter Freunden, Kollegen oder Bekannten immer zu haben.

Weitere Artikel von Weitere Artikel von Philipp Senn