zur Übersicht

Patienten- und Gesundheitsdaten zu schützen, war schon immer ein Muss. Mit fortschreitender Digitalisierung, der schweizweiten Einführung des elektronischen Patientendossiers und der absehbaren Verschärfung des Datenschutzgesetzes stellen sich im Schweizer Gesundheitswesen neue Herausforderungen. Leistungserbringer, Patienten und IT-Dienstleister sind gefordert. Für den künftigen Datenschutz lautet der Grundsatz: Effizient digital, aber dennoch sicher!

Wenn wir uns beim Hausarzt wegen einer Erkrankung behandeln oder im Spital eine Sportverletzung operieren lassen, werden Informationen über uns abgespeichert. Diese reichen von Versicherung und Kontaktinformationen über die Behandlungsart und den -verlauf bis hin zu Blutwerten und der Medikation. Da überlegt man sich mitunter schon, was mit den Daten geschieht:

  • Wie sicher sind Personendaten abgespeichert?
  • Wer kann auf die Daten zugreifen?
  • Wofür werden die Daten (z. B. Röntgen- bilder, Laboranalysen, Diagnoseberichte, Vitaldaten usw.) verwendet?
  • An wen gibt der Arzt die Daten weiter?
  • Was passiert mit den Daten, wenn man den Arzt oder das Spital wechselt bzw. verlässt?

Einheitlicher Datenschutz in der EU

Solche Fragen sind zentrale Bestandteile des Schweizer Bundesgesetzes über den Datenschutz (DSG). Am 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Kraft getreten. Damit wird der Datenschutz in der EU erstmals auf eine einheitliche rechtliche Grundlage gestellt. Die DSGVO stärkt die Rechte von Betroffenen, die leichter Zugang zu ihren persönlichen Daten und Informationen über deren Nutzung erhalten sollen. Zudem bringt die DSGVO auch inhaltliche Neuerungen, zum Beispiel das «Recht auf Vergessenwerden», also das Recht auf Löschung oder Teillöschung der eigenen Daten. Die DSGVO erhöht die rechtlichen, betrieblichen und technisch-organisatorischen Anforderungen an den Datenschutz in Unternehmen und Institutionen und kommt auch bei Unternehmen mit Sitz ausserhalb der EU zur Anwendung, wenn sich ihre Angebote an EU-Bürger richten. Bei Verstössen gegen das DSGVO drohen empfindliche Geldbussen.

Auch in der Schweiz steht eine Totalrevision des Bundesgesetzes über den Datenschutz (DSG) an. Sie hat das Ziel, die Transparenz von Datenbearbeitungen zu verbessern und die Rechte der betroffenen Personen zu stärken. Ein Entwurf liegt bereits vor und ist der DSGVO in vielen Bereichen ähnlich. Dennoch herrscht noch Unsicherheit in Bezug auf die finale Umsetzung des Schweizer Datenschutzgesetzes. Es ist jedoch zu erwarten, dass sich Schweizer Unternehmen bei der Umsetzung der revidierten Datenschutzregelungen an der DSGVO orientieren können. Für die Schweiz ist eine Annäherung an die DSGVO wichtig, damit sie von der EU auch zukünftig als Land mit adäquatem Datenschutz anerkannt wird. Die staatspolitische Kommission des Nationalrats teilte Anfang 2018 mit, dass aufgrund der DSGVO die Revision des Bundesgesetzes über den Datenschutz in zwei Etappen erfolgen soll. Sie will zuerst die notwendigen Anpassungen an die neue Datenschutz-Grundverordnung vornehmen und erst anschliessend die Totalrevision des Datenschutzgesetzes angehen.

«Die Daten gehören dem Kunden, Unternehmen haben ein Bearbeitungsrecht.»

Was sind die Folgen des schärferen Datenschutzes?

Ein deutlich grösseres Augenmerk auf Datenschutz und schärfere Datenschutzbestimmungen für besonders schützenswerte Personendaten sind nach der EU entsprechend bald auch in der Schweiz zu erwarten. Doch was bedeutet die Annäherung an die neue EU-Datenschutzverordnung bzw. die Verschärfung des Datenschutzes für betriebliche, organisatorische und technische Prozesse innerhalb eines Spitals oder für die Krankenversicherer? Die Datenschutz-Grundverordnung positioniert Patienten grundsätzlich als Eigentümer ihrer Daten. Daraus ergeben sich die folgenden Anforderungen:

    1. Verzeichnis von Verarbeitungstätigkeiten
      Unternehmen müssen ein Verzeichnis über die Verarbeitungstätigkeiten sämtlicher personenbezogener Daten führen. Das Verzeichnis soll auch aufzeigen, welche Datensammlungen vorhanden sind.
    2. Datenschutz durch Reporting und Löschung bzw. Teillöschung
      Kunden haben das Recht, die Daten einzusehen, die ein Unternehmen über sie führt, und deren Berichtigung oder (Teil-) Löschung einzufordern.
    3. Datenschutz durch Technologie-Gestaltung
      Technologie soll genutzt werden, um das Speichern und Aufbewahren von Daten in bzw. aus den Prozessen zu minimieren.
    4. Datenschutz-Folgeabschätzung
      Für die Verarbeitung von sensiblen Personendaten muss das Unternehmen eine Analyse der Datenschutzrisiken vornehmen.
    5. Datenschutz-Meldepflicht
      Nach Entdeckung einer Datenschutz-Verletzung müssen Aufsichtsbehörden und betroffene Personen innert 72 Stunden informiert werden.

Um diesen Anforderungen aus der DSGVO gerecht zu werden, müssen Unternehmen ihre Datensammlungen durchforsten und mehr Transparenz schaffen. Ein Ansatz, der sich in verschiedenen Projekten bewährt hat, ist die Szenario-Technik.

Vorgehensweise für die systematische Analyse der Anforderungen und Handlungsempfehlung betreffend Datenschutz

Analyse mittels «Szenario-Technik»

Mit einer systematischen Analyse lässt sich der Handlungsbedarf betreffend Datenschutz in einem Spital konkretisieren. Die Analyse erfolgt dabei mit Hilfe von Szenarien, die Abläufe im Unternehmen organisationsübergreifend darstellen, zum Beispiel den typischen Patienten- bzw. Behandlungspfad. Dabei werden vorhandene Strukturen der Organisation, Prozesse und Applikationen auf Basis der Daten- und Informationsflüsse übergreifend betrachtet. Ergänzt wird die Analyse durch strukturierte Interviews mit ausgewählten Schlüsselpersonen. Mittels Logfile- und Schnittstellen-Analysen können für datenschutzkritische Prozesse mit Integrationsplattformen weitere Prüfungen vorgenommen werden. Die Vorgehensweise für eine systematische Analyse umfasst vier wesentliche Schritte (vgl. Abbildung oben), um eine Handlungsempfehlung zu erarbeiten:

  • Verarbeitungstätigkeiten identifizieren
  • Szenario-Landkarte festlegen
  • Szenario-Analysen durchführen
  • Kritikalitätsbeurteilung durchführen

Eine strukturierte, interdisziplinäre Zusammenarbeit der Bereiche Rechtsdienst, Compliance, Administration, Personalbereich, interne Revision und IT ist für die Analyse erforderlich. Das Ergebnis dieses Prozesses ist ein umfassender Bericht, der die Handlungsempfehlungen prozessual und zeitlich nach verschiedenen Kriterien aus den Datenschutzgesetzen aufzeigt. Die identifizierten Handlungsfelder werden priorisiert und entsprechend ihrer Kritikalität planerisch umgesetzt.

Im Schweizer Gesundheitswesen war es für Leistungserbringer schon immer Pflicht, sensible Patienten- und Gesundheitsdaten zu schützen. Mit der rasant fortschreitenden Digitalisierung, der Einführung des elektronischen Patientendossiers und den sich verschärfenden Datenschutzbestimmungen gilt dies heute umso mehr. Insbesondere Spitäler und Krankenversicherer sowie IT-Dienstleister und Software-Anbieter sind gefordert, die gesetzlichen Datenschutz-Bestimmungen in ihren Prozessen bzw. Produkten umzusetzen. Im Umgang mit den Patienten- und Gesundheitsdaten geniesst die Sicherheit einen enorm hohen Stellenwert. Die Patienten haben berechtigterweise hohe Erwartungen an die Unternehmen im Gesundheitswesen. Sie bearbeiten teilweise sehr schützenswerte Daten (beispielsweise Ergebnisse von Blut- oder Tumor-Untersuchungen), deren Nutzung äusserst sensitiv ist. Geraten diese Daten in falsche Hände, geht sehr schnell das Vertrauen in moderne Prozesse und Technologien verloren. Die neuen Datenschutzgesetze beinhalten bei Verletzung der Vorgaben auch empfindliche Bussen.

Mehr zur Szenario-Technik erfahren Sie im Beitrag «Szenarien machen die Komplexität sicht- und greifbar»: Link zum Artikel

Datenschutz ist Chefsache

Deshalb ist in der Digitalisierung von Prozessen, Daten und Dokumenten dem Datenschutz von der Konzeption bis zur operativen Kontrolle entsprechende Priorität einzuräumen. Es empfiehlt sich, die Datenschutz-Verantwortung in der Organisation unabhängig von anderen Linienfunktionen zu positionieren. Die Geschäftsleitung sowie der Verwaltungsrat müssen das Thema regelmässig in ihre Agenda integrieren, da sie für den Datenschutz die abschliessende Verantwortung tragen.