Finanzplanungs- und Treuhand-News

Alles was niedergelassene Mediziner:innen und Inhaber:innen von Praxen jetzt wissen müssen

Am 1. September 2023 tritt in der Schweiz das neue, revidierte Datenschutzgesetz (revDSG) in Kraft. Für niedergelassene Mediziner:innen und Inhaber:innen von grösseren Praxen gilt zu beachten, rigide Vorgaben betreffen vor allem Unternehmen

1. mit mehr als 250 Mitarbeitenden
2. und Auslandsbezug
3. sowie Unternehmen, die «in grossem Umfang» besonders schützenswerte Daten verarbeiten.

Besonders schützenswerte Personendaten sind beispielsweise medizinische Patientendaten (z.B. Befunde, Medizinische Dokumentation, Diagnosen, Bilddaten, Dokumente usw.); genetische und biometrische Daten; Daten über die Intimsphäre usw.

Ein Problem hierbei ist, dass weder der zuständige Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) noch Anwält:innen derzeit eine Definition dieses «grossen Umfangs» geben können.

Per se ist die Verarbeitung «besonders schützenswerter Daten» für Praxeninhaber:innen nichts Neues, da das Berufsgeheimnis ohnehin ÜBER dem Datenschutz steht. Das befreit niedergelassene Mediziner:innen zwar nicht von der Einhaltung der vorstehenden Datenschutzbestimmungen, aber der korrekte Umgang mit dem «Patientengeheimnis» erfüllt bereits viele Anforderungen an den Datenschutz.

Folgendes müssen Inhaber:innen von Praxen aktuell umsetzen, um den neuen Anforderungen zu genügen:

1. Mail-Disclaimer adaptieren

Niedergelassene Mediziner:innen sollten ihre E-Mail-Abbinder wie folgt ergänzen:

«Der Inhalt dieser E-Mail ist vertraulich und nur für die in der Nachricht angegebenen Empfänger:innen bestimmt. Sollten Sie diese Nachricht versehentlich erhalten haben, informieren Sie bitte den Absender und löschen Sie die E-Mail in Ihrem System ohne Kopien anzufertigen.»

2. Patient:innen um Einwilligung zur Datenbearbeitung bitten

Ärzt:innen mit eigener Praxis sind künftig verpflichtet, ihre Patientinnen und Patienten, transparent darüber zu informieren, welche Daten sie von ihnen erheben, wie diese verarbeitet und wem sie zugänglich gemacht werden. Mit dem neuen Datenschutzgesetz müssen Patient:innen ihre Einwilligung künftig schriftlich geben. Empfohlen wird, diese Bestätigung seitens der Patient:innen fortlaufend also immer wieder neu einzuholen, wobei hier bisher kein bestimmter Turnus vorgegeben ist.

Eine sehr gute Vorlage hat hier die Ärztekasse Genossenschaft erstellt: https://www.aerztekasse.ch/media/formular_einwilligung_dsg_de_a4_120723_web.pdf

Zusätzlich empfiehlt es sich im Warteraum gut sichtbar ein Informationsblatt aufzuhängen. Beispiel hier:

https://www.aerztekasse.ch/media/infoblatt_patienten_dsg_de_a4_120723_web.pdf

WICHTIG ZU WISSEN: Die Verantwortlichkeit dafür sieht der Gesetzgeber auf Mediziner:innenseite. Diese sind je nach Umfang der Daten zum Führen eines Bearbeitungsverzeichnisses das alle erhobenen Patient:innendaten ausweist, verpflichtet.

3. Datenschutzerklärung anpassen

Niedergelassene Ärzt:innen sollten die Datenschutzerklärung auf ihrer Homepage dem neuen Wortlaut anpassen.

Praxeninhaber:innen, die bei der Texterstellung Hilfe benötigen, empfiehlt die ACADEMIX Consult den Datenschutz Generator des Dienstleisters LivingTech, der für einmalig nur 69 Franken speziell auf die Anforderungen der Kund:innen zugeschnittene individuelle Datenschutzbestimmungen erstellt. Hier der Link: https://livingtech.ch/datenschutzgenerator

4. Meldung von Datensicherheitsverletzungen

Darüber hinaus müssen Arztpraxen künftig Verletzungen der Datensicherheit in gewissen Fällen der Aufsichtsbehörde, d.h. dem EDÖB, melden. Eine solche Verletzung der Datensicherheit liegt beispielsweise vor, wenn ein USB-Stick mit gespeicherten Personendaten verloren geht oder das Praxissystem von aussen «gehackt» wurde. Eine Meldepflicht besteht nur, wenn dadurch vermutungsweise ein hohes Risiko für die Persönlichkeitsrechte der betroffenen Personen entsteht, was bei Gesundheitsdaten nicht von vornherein auszuschliessen ist. Für die Praxen empfiehlt es sich deshalb, ein Vorgehen zu definieren, wie mit solchen Situationen umzugehen ist.

5. Anfragen zur Datenherausgabe und Datenlöschung

«Im Zuge der neuen Gesetzgebung wurde auch die Aufbewahrung und die Löschung aktualisiert. Auch wenn hier keine revolutionären Anpassungen umgesetzt wurden, so lohnt es sich dennoch, zu prüfen, ob die Konformität gegeben ist. Wichtig ist der Hinweis, dass die gesetzliche Aufbewahrungspflicht der Ärzteschaft gestützt auf das Medizinalberufegesetz und die einschlägigen Bestimmungen im kantonalen Gesundheitsgesetz, einem Löschungsanspruch der Patientinnen und Patienten grundsätzlich entgegenstehen. Wir raten daher zu konkreter Prüfung und nur zu zurückhaltender Löschung, wenn diese von Patientinnen und Patienten verlangt wird.» (Zitat der Ärztekasse Genossenschaft)

6. Vermeiden Sie unnötigen Aufwand!

Zu beachten gilt weiterhin: Sämtliche Pflichten, die Sie im Zusammenhang mit dem Datenschutz haben, treffen auch Ihre «Partnerinnen und Partner», also beispielsweise Banken und Treuhänder. Hier können sie OHNE eigene «Vereinbarungen zur Auftragsbearbeitung» wie bis anhin auch davon ausgehen, dass die entsprechenden Vereinbarungen bereits heute existieren, respektive diese Partner die eigenen Datenschutzerklärungen sowie Abläufe ggfs. dem Gesetz anpassen müssen.