Mit der Totalrevision sollen die Grundrechte und die Persönlichkeitsrechte der Bürgerinnen und Bürger garantiert werden. Die neuen Bestimmungen sollen mehr Transparenz über die Datenbearbeitungen schaffen, indem die Rahmenbedingungen im Umgang mit Personendaten konkretisiert werden und eine datenschutzfreundliche Technologiegestaltung diese angemessen schützen soll. An den Grundsätzen für eine rechtmässige Datenbearbeitung ändert sich nichts. Dennoch hat der Datenbearbeiter – oder der «Verantwortliche», wie er im neuen Gesetz genannt wird – verschiedene neue Bestimmungen zu beachten, die eine Anpassung der bisherigen Datenbearbeitungsprozesse beinhalten können.

Die FMH stellt den Ärztinnen und Ärzten für die Anpassung ihrer bestehenden Richtlinien und Datenschutzerklärungen notwendige Unterlagen in Form von Leitfäden und Musterdokumente zur Verfügung.

DISCLAIMER​​​​​​​: Mit dem Inkrafttreten des totalrevidierten Datenschutzgesetzes am 1. September 2023 gibt es zahlreiche Neuerungen im Umgang mit Personendaten in der ärztlichen Praxis. Die FMH hat hierfür Musterdokumente erarbeitet, welche als Hilfsmittel und Empfehlungen bei der Umsetzung der datenschutzrechtlichen Vorgaben zu verstehen sind. An den bereits im bisherigen Datenschutzgesetz verankerten Grundsätzen für eine rechtmässige Datenbearbeitung hat sich aber inhaltlich nichts geändert. Dennoch hat der Datenbearbeiter – oder der «Verantwortliche», wie er im neuen Gesetz genannt wird – verschiedene neue Bestimmungen zu beachten, die eine Anpassung im Einzelfall der bisherigen Datenbearbeitungsprozesse beinhalten können. Für allfällige, notwendige inhaltliche Änderungen in Ihrem Umgang mit Personendaten in der ärztlichen Praxis, ist im Gesetz keine Übergangsfrist vorgesehen.

Hilfsmittel und Musterdokumente für Arztpraxen:

Infoblatt zum Datenschutz

Das Infoblatt Datenschutz enthält Informationen über die Änderungen des revidierten DSG sowie eine Anleitung, wie die zur Verfügung gestellten Hilfsmittel der FMH in den Arztpraxen zu verwenden sind.

Datenschutzerklärung

Bei der Beschaffung von Personendaten sind die betroffenen Personen transparent über die Datenbearbeitungen zu informieren, insbesondere über den Bearbeitungszweck und allenfalls über Empfängerinnen und Empfänger der Daten. Dies beinhaltet in vielen Fällen eine Anpassung der Datenschutzerklärung der Arztpraxis. Auf jeden Fall ist eine bestehende Datenschutzerklärung in Bezug auf die neuen Bestimmungen zu überprüfen. Die FMH hat eine Musterdatenschutzerklärung erstellt.

Geheimhaltungs- und Auftragsbearbeitungsvereinbarung

Ärztinnen und Ärzte sowie deren Hilfspersonen unterliegen dem Berufsgeheimnis gemäss Art. 321 StGB. Der Begriff der Hilfsperson ist dabei weit gefasst und umfasst alle Personen, die die Ärztin oder den Arzt in ihrer beruflichen Tätigkeit direkt oder indirekt unterstützen. Sobald ein Dritter mit einer Datenbearbeitung beauftragt wird, ist die Vereinbarung für eine Auftragsbearbeitung und die Geheimhaltungsvereinbarung abzuschliessen. Die FMH hat Vorlagen für eine Geheimhaltungsvereinbarung sowie eine Vereinbarung für eine Auftragsbearbeitung erarbeitet.

Vorlage und Leitfaden für das Verzeichnis der Bearbeitungstätigkeiten

Das bisherige Register der Datensammlungen wird zu einem Verzeichnis der Bearbeitungstätigkeiten.  Zwar gilt die Pflicht zur Führung eines solchen Verzeichnisses nicht mehr für alle Verantwortlichen, aber für alle, die «besonders schützenswerte Personendaten in grossem Umfang»  bearbeiten. Damit fallen Arztpraxen mit ihren Patientendossiers regelmässig unter diese Pflicht. Das Verzeichnis hat die im Gesetz detailliert aufgeführten Angaben zu enthalten. Mit einer Vorlage und einem Leitfaden stellt die FMH den Arztpraxen die notwendigen Unterlagen zur Verfügung, um die gesetzlichen Anforderungen zu erfüllen.

Leitfaden für die Aufbewahrung und Archivierung

Das Dokument bietet eine Hilfestellung dafür, wann Personendaten gelöscht bzw. vernichtet werden können oder müssen und was dabei zu beachten ist.

Anleitung Auskunft- und Herausgabegesuche über Personendaten

Eine Ärztin oder ein Arzt darf Dritten Auskunft geben, wenn die Einwilligung der Patientin oder des Patienten dazu vorliegt, ein Gesetz dies vorsieht oder er von der kantonalen Behörde vom Geheimnis entbunden wurde. Den Patientinnen und Patienten ist Auskunft darüber zu erteilen, welche Daten über sie bearbeitet werden («Auskunftsrecht»). Patientinnen und Patienten haben einen Anspruch auf Herausgabe der Kopien ihrer Krankengeschichte. Für die korrekte Behandlung von Auskunfts- oder Herausgabegesuchen hat die FMH eine konkrete Handlungsanleitung erarbeitet.

Checkliste und Prozessablauf bei Datenschutzverletzungen

In gewissen Fällen hat die Arztpraxis eine Verletzung der Datensicherheit der Aufsichtsbehörde, dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), zu melden.  Eine Verletzung der Datensicherheit liegt beispielsweise vor, wenn ein USB-Stick mit gespeicherten Personendaten verloren geht oder das Praxissystem von aussen «gehackt» wurde. Eine Meldepflicht besteht nur, wenn dadurch vermutungsweise ein hohes Risiko für die Persönlichkeitsrechte der betroffenen Personen entsteht, was bei Gesundheitsdaten nicht zum vornherein auszuschliessen ist. Für Arztpraxen empfiehlt es sich deshalb, ein Vorgehen zu definieren, wie mit solchen Situationen umzugehen ist. Hierfür stellt die FMH eine Checkliste und eine Prozessbeschreibung bei Datenschutzverletzungen zur Verfügung.

Einwilligungserklärung

Soweit für die Bearbeitung von besonders schützenswerten Personendaten – hierzu gehören die Gesundheitsdaten einer Person – eine Einwilligung notwendig ist, hat diese ausdrücklich zu erfolgen und ist nur gültig, wenn sie für eine oder mehrere bestimmte Bearbeitungen nach angemessener Information freiwillig erfolgt.  Eine Einwilligungserklärung, die im Rahmen der Patienteninformation eingeholt werden kann, finden Sie hier.