Home/Neues Datenschutzgesetz: Was müssen Ärzte beachten?
image

Neues Datenschutzgesetz: Was müssen Ärzte beachten?

Frage von Dr. med. M.N. in B.: «Am 1. September 2023 treten das neue Bundesgesetz über den Datenschutz und die dazugehörige Verordnung über den Datenschutz in Kraft. Mit dem neuen Gesetz und dessen Verordnung müssen alle Arztpraxen in der Schweiz verschärfte Datenschutzregeln beachten. Geben Sie mir bitte eine Zusammenfassung der wichtigsten Bestimmungen und Anweisungen für uns Ärzte. Und sagen Sie mir, wie man allfällige Verstösse gegen die Bestimmungen des Datenschutzgesetzes versichern kann, da ja von diesem Gesetz mit Bussen bis zu 250 000 Franken gedroht wird.»

ABC Ärzteberatung15.8.20232"
Der YLEX-Online-Datenschutz-Check Die Anwaltsgemeinschaft YLEX bietet in ihren Büros in Bern, St. Gallen, Winterthur und Zürich sowie telefonisch, per Video-Call oder online Unterstützung bei Rechtsfragen an. Im Zusammenhang mit dem neuen Schweizer Datenschutzrecht zählt dazu der Online-Datenschutz-Check: Damit kann online rasch geprüft werden, ob ein Unternehmen oder eine Arztpraxis den Anforderungen des am 1. September 2023 in Kraft tretenden neuen Schweizer Datenschutzgesetzes entspricht. Der Basischeck ist kostenlos. Datenschutzerklärung Webseiten benötigen obligatorisch eine Datenschutzerklärung. Oft wird im Cookie-Banner auf die Datenschutzerklärung verwiesen. Auf jeden Fall muss die Datenschutzerklärung auf der Homepage auffindbar sein, beispielsweise durch eine Verlinkung in der Fusszeile. Aber auch Arztpraxen, welche keine Webseite betreiben, benötigen eine Datenschutzerklärung, weil personenbezogene Daten erhoben werden. Die FMH stellte den Arztpraxen eine Musterdatenschutzerklärung zur Verfügung. Einwilligungserklärung Eine Arztpraxis bearbeitet Gesundheitsdaten, die zu den besonders schützenswerten Personendaten zählen. Die FMH bietet ein Muster für ein Patientenformular, bei dem eine gesetzeskonforme Einwilligungserklärung eingebaut ist.

Verzeichnis der Datenbearbeitungstätigkeiten Artikel 12 des neuen Datenschutzgesetzes verlangt von den Unternehmen, ein Verzeichnis der Datenbearbeitungstätigkeiten zu führen. Dieses dient im Rahmen des Datenschutzes als Übersicht über die Bearbeitung von Personendaten im Unternehmen. Die gute Nachricht für etliche Klein- und Mittelunternehmen KMU: Gemäss Artikel 24 der Verordnung über den Datenschutz sind «Unternehmen und andere privatrechtliche Organisationen, die am 1. Januar eines Jahres weniger als 250 Mitarbeiter beschäftigen, sowie natürliche Personen von der Pflicht befreit, ein Verzeichnis der Bearbeitungstätigkeiten zu führen, ausser eine der folgenden Voraussetzungen ist erfüllt:
  1. Es werden besonders schützenswerte Personendaten in grossem Umfang bearbeitet.
  2. Es wird ein Profiling mit hohem Risiko durchgeführt.»
Arztpraxen, bearbeiten besonders schützenswerte, sogar berufsgeheimnisgeschützte Personendaten. Deshalb ist ein Verzeichnis der Datenbearbeitungstätigkeiten notwendig. Die FMH bietet einen «Leitfaden Verzeichnis der Bearbeitungstätigkeiten» sowie eine «Vorlage Verzeichnis der Bearbeitungstätigkeiten». Geheimhaltung Sobald ein Dritter von einer Arztpraxis mit einer Datenbearbeitung beauftragt wird, ist die Vereinbarung für eine Auftragsbearbeitung und die Geheimhaltungsvereinbarung abzuschliessen. Die FMH bietet dazu den «Leitfaden Geheimhaltungs- und Auftragsbearbeitungsvereinbarung» sowie die Vorlage für eine «Geheimhaltungsvereinbarung» an. Bussen bis zu 250 000 Franken Es lohnt sich, die strengen Bestimmungen des neuen Datenschutzgesetzes minutiös einzuhalten. Im «8. Kapitel: Strafbestimmungen» des Datenschutzgesetzes wird nämlich festgehalten: Die Verletzungen von Informations-, Auskunfts- und Mitwirkungspflichten, die Verletzungen von Sorgfaltspflichten, die Verletzungen der beruflichen Schweigepflicht sowie das Missachten von Verfügungen können allesamt mit Bussen bis zu 250000 Franken geahndet werden.
Zur Vermeidung von Sanktionen ist es namentlich wichtig, allfällige Datenauskunftsbegehren rasch und richtig zu beantworten. Gemäss dem Datenschutzgesetz hat nämlich jede Person ein Auskunftsrecht darüber, welche Daten über sie gespeichert sind. Zudem besteht das Recht, die Daten löschen oder korrigieren zu lassen. Wer für die Daten verantwortlich ist, muss in der Datenschutzerklärung zu finden sein. Dort muss das Unternehmen zudem die Kontaktadresse angeben, an welche das Datenauskunftsbegehren gestellt werden kann. Die betroffene Person muss anschliessend diejenigen Informationen erhalten, die erforderlich sind, damit sie ihre Rechte nach dem Datenschutzgesetz geltend machen kann.
Die FMH bietet in diesem Zusammenhang die

Wie kann man Verstösse gegen das Datenschutzgesetz versichern? Frage an die Medienstelle der AXA Versicherungen: «Mit welcher Versicherung lässt sich das Risiko, dass man Bestimmungen des Datenschutzgesetzes bewusst, fahrlässig oder grobfahrlässig nicht einhält und entsprechend gebüsst wird, versichern. Oder ist das schon in bestehenden Versicherungen versichert?»
Antwort der AXA: «Bei Datenschutzverletzungen handelt es sich um reine Vermögensschäden die normalerweise nicht Bestandteil einer klassischen Betriebs- und Berufshaftpflichtversicherung sind. Im Sinne eines für unsere Kunden möglichst weitgehenden Versicherungsumfangs gewähren wir im Rahmen unserer Allgemeinen Vertragsbedingungen (AVB) ‘Haftpflichtversicherung Unternehmen’ trotzdem auch Versicherungsschutz für Vermögensschäden aus Persönlichkeitsrechtsverletzungen wegen unbefugter Heraus- oder Weitergabe von personenbezogenen Daten durch Versicherte anlässlich dienstlicher Tätigkeiten. Die entsprechende AVB ‘Haftpflichtversicherung Unternehmen’ gelangt dabei als Basis auch bei der Versicherung von Ärzten zur Anwendung.
Ein weitergehender Versicherungsschutz im Zusammenhang mit Datenschutzverletzungen ist im Rahmen der Betriebs- und Berufshaftpflichtversicherung nicht möglich. Die genaue Prüfung des Versicherungsschutzes erfolgt jeweils im konkreten einzelnen Schadenfall. Allfällig nicht versicherte Schäden wären dem Unternehmerrisiko der Ärzte zuzurechnen.» Einen raschen und kompetenten Einblick in die Regelungen des neuen Datenschutzgesetzes bietet die Publikation «Das neue Datenschutzgesetz aus Sicht des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB».PS


Weiterführende Informationen

Quelle: ABC Ärzteberatung/Medienmitteilung, 08.08.2023

Rosenbergstrasse 115
8212 Neuhausen am Rheinfall
Telefon: +41 52 675 51 74
info@docinside.ch
www.docinside.ch

Handelsregistereintrag
Firmenname: DOCINSIDE AG
UID: CHE-412.607.286

Über uns
Bankverbindung

Schaffhauser Kantonalbank
8200 Schaffhausen
IBAN: CH76 0078 2008 2797 0810 2

Mehrwertsteuer-Nummer
CHE-412.607.286

Kontakte

Dr. med. Adrian Müller
Betrieb und Inhalte
adrian.mueller@docinside.ch

Dr. med. Richard Altorfer
Inhalte und Redaktion
richard.altorfer@docinside.ch

Dr. med. Christine Mücke
Inhalte und Redaktion
christine.muecke@docinside.ch

Copyright © 2021 Alle Rechte vorbehalten.
Powered by Deep Impact / Spectra