Gesundheitsdaten gehören zu den heikelsten Daten überhaupt. Seit dem 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (DSG). Neu ist dabei weniger das Prinzip als die Konsequenz: Viele Pflichten bestanden schon vorher, wurden aber selten ernst genommen. Jetzt sind sie strafbewehrt.
Was in Ihrer Praxis besonders schützenswert ist
Das DSG zählt Gesundheitsdaten ausdrücklich zu den besonders schützenswerten Personendaten – neu ergänzt um genetische und biometrische Daten, sofern diese eine Person eindeutig identifizieren. Betroffen ist damit praktisch alles, was in einer Praxis anfällt: Krankengeschichten, Diagnosen, Laborresultate, Röntgenbilder, Medikationen. Und nicht nur Patientendaten – auch Personaldossiers und Lohndaten Ihrer Mitarbeitenden fallen darunter.
Die vier Pflichten, die im Alltag zählen
- Verzeichnis der Bearbeitungstätigkeiten: Es ersetzt das alte Register der Datensammlungen. Betriebe unter 250 Mitarbeitenden sind ausgenommen – aber nur, wenn ihre Datenbearbeitung ein geringes Risiko birgt. Bei umfangreicher Bearbeitung von Gesundheitsdaten ist das kaum je der Fall. FMH und Ärztekasse empfehlen Praxen deshalb, das Verzeichnis zu führen.
- Informationspflicht: Sie gilt neu für alle Personendaten, nicht mehr nur für heikle. Patientinnen, Patienten und Mitarbeitende müssen transparent erfahren, zu welchem Zweck ihre Daten bearbeitet werden und wer sie erhält. Für viele Praxen heisst das: Datenschutzerklärung überarbeiten.
- Datensicherheit: Technische und organisatorische Massnahmen, angemessen zum Risiko – Zugriffsbeschränkungen, Verschlüsselung, geprüfte Backups, abschliessbare Schränke für Papierakten, geschulte Mitarbeitende.
- Meldepflicht: Datensicherheitsverletzungen mit hohem Risiko für die Betroffenen sind so rasch als möglich dem EDÖB zu melden. Wer nach einem Vorfall erst tagelang rekonstruiert, was überhaupt passiert ist, hat ein Problem.
Wo Ihr IT-Partner ins Spiel kommt
Ein Teil dieser Pflichten lässt sich nicht am Empfang lösen, sondern nur in der Infrastruktur:
- Auftragsbearbeitung: Wer Datenbearbeitung auslagert – Praxissoftware, Cloud, Backup –, braucht dafür eine vertragliche Grundlage. Ihr IT-Dienstleister führt zudem ein eigenes Bearbeitungsverzeichnis als Auftragsbearbeiter.
- Protokollierung: Bei umfangreicher Bearbeitung besonders schützenswerter Daten sind Zugriffsprotokolle mindestens ein Jahr aufzubewahren – und zwar getrennt von dem System, in dem die Daten liegen. Das ist keine Aufgabe für die Praxis, sondern für den Betreiber der Systeme.
- Datenschutz durch Technik: Systeme müssen so eingerichtet sein, dass Datenschutz von Anfang an mitgedacht ist – mit datenschutzfreundlichen Voreinstellungen.
- Datenstandort: Wo Ihre Daten liegen und wer darauf zugreifen kann, müssen Sie beantworten können.
Was bei Verstössen wirklich droht
Bussen bis 250'000 Franken – und zwar, das ist die unangenehme Pointe, gegen die verantwortliche natürliche Person, nicht gegen die Praxis als Betrieb. Betroffen sind vorsätzliche Verstösse, etwa gegen die Informationspflicht oder die unerlaubte Bekanntgabe ins Ausland. Für ein fehlendes Bearbeitungsverzeichnis sind hingegen keine Bussen vorgesehen – was es nicht weniger sinnvoll macht.
Einordnung, keine Rechtsberatung
Dieser Beitrag ordnet ein und ersetzt keine juristische Prüfung Ihres konkreten Falls. Die FMH stellt Musterdokumente und eine Vorlage für das Bearbeitungsverzeichnis bereit; für die rechtliche Beurteilung ziehen Sie eine Fachperson bei.
padcom betreut die IT von Arztpraxen in der Ost- und Zentralschweiz: Praxissoftware auf Schweizer Servern, verschlüsselte Ablage, kontrollierte Zugriffe und geprüfte Backups aus 3 Schweizer Rechenzentren – im monatlichen Abo. Gerne schauen wir in einem kostenlosen Erstgespräch an, wo Ihre IT die Datenschutzanforderungen bereits erfüllt – und wo nicht.
Nächster Schritt
Fragen zu diesem Thema? Sprechen wir darüber.
Besprechen Sie Ihre Situation direkt mit uns – im kostenlosen und unverbindlichen Erstgespräch. Online-Termin wählen, und wir melden uns pünktlich bei Ihnen.
