Relevante Änderungen für Arztpraxen
Für Arztpraxen bringt das revidierte DSG einige Herausforderungen mit sich. So müssen sie zunächst herausfinden, welche gesetzlichen Grundlagen für sie gelten. Neben dem Bundesgesetz, das für die Bundesverwaltung sowie für privatwirtschaftliche Firmen und private Organisationen relevant ist, hat jeder Kanton sein eigenes Datenschutzgesetz. Nehmen Arztpraxen kantonale Aufgaben wahr, gelten sie als kantonale Organe und unterliegen damit den kantonalen Datenschutzregelungen. Als privatwirtschaftliche Firmen dagegen haben sie sich an das Bundesgesetz zu halten. Werben die Arztpraxen um ausländische Patientinnen und Patienten, kann zusätzlich die Europäische Datenschutzgrundverordnung (DSGVO) Anwendung finden.Für Ärztinnen und Ärzte bringt das neue Datenschutzgesetz eine Reihe von Neuerungen mit sich. Dazu gehören etwa strengere Vorschriften für besonders schützenswerte Personendaten, zu denen neu auch genetische und biometrische Daten zählen. In vielen Fällen, in denen Daten automatisch verarbeitet werden, besteht nun eine weitgehende Informationspflicht.
Eine weitere Änderung betrifft den sogenannten Datenschutz durch Technik: Die Datenbearbeitung muss technisch und organisatorisch an die neuen Datenschutzvorschriften angepasst werden. Dabei sollte die Datenbearbeitung das für den jeweiligen Verwendungszweck notwendige Mindestmass nicht überschreiten.
Neu steht die Art und Weise sowie der Zweck einer Bearbeitung von Personendaten im Fokus. Das revidierte Datenschutzgesetz sieht zudem eine Meldepflicht für Verletzungen der Datensicherheit vor, ausserdem wurden die Strafbestimmungen verschärft. Haftbar ist dabei nicht etwa die Praxis als Unternehmen, sondern die fehlbare natürliche Person, sofern diese die Datenschutzverletzung vorsätzlich begangen hat.
Grundsätze bei der Bearbeitung von Personendaten
Im Zusammenhang mit der Bearbeitung von Personendaten haben Ärztinnen und Ärzte gegenüber den betroffenen Patientinnen und Patienten eine Informations- und Aufklärungspflicht. Konkret haben die Ärztinnen und Ärzte die Patientinnen und Patienten über die Datenbearbeitung in verständlicher Art und Weise darüber zu informieren, zu welchem Zweck die Personendaten erhoben und bearbeitet werden und an welche Kategorien von Empfängern eine allfällige Weitergabe der Daten erfolgt. Die Erhebung sowie der Zweck der Bearbeitung haben transparent zu erfolgen. Sofern die Datenbeschaffung und der Zweck der Bearbeitung für die betroffene Person nicht ersichtlich sind, muss sie darüber informiert werden.Eine Möglichkeit, um Transparenz zu schaffen, ist die Bereitstellung einer Datenschutzerklärung, mittels welcher über die Datenbearbeitung aufgeklärt wird.
Verantwortlichkeiten innerhalb der Arztpraxen
Verantwortlich im Sinne des Datenschutzgesetzes ist grundsätzlich die Arztpraxis als Datenbearbeiterin. Sie ist dafür verantwortlich, den Datenschutz einzuhalten und hat insbesondere dafür zu sorgen, dass die Persönlichkeits- und Grundrechte ihrer Patientinnen und Patienten sowie der Mitarbeitenden geschützt sind.Wünscht eine Arztpraxis Unterstützung bei der Umsetzung der Datenschutzvorgaben, hat sie die Möglichkeit, eine interne oder eine externe Datenschutzberaterin beizuziehen. Dies ist für privatrechtlich geführte Arztpraxen freiwillig. Die Datenschutzberaterin unterstützt, berät und schult die Mitarbeitenden des jeweiligen Unternehmens in Fragen rund um den Datenschutz und wirkt bei der Umsetzung von Datenschutzanforderungen mit.