Das noch aus dem Jahr 1992 stammende Schweizer Datenschutzgesetz wird per 1. September 2023 durch das neue Datenschutzgesetz ersetzt. Damals steckte das Internet noch in den Kinderschuhen. Es ist naheliegend, dass das Gesetz überarbeitet werden musste. Das neue Gesetz regelt die Handhabung von sensiblen Personendaten, dessen Beschluss im Parlament im September 2020 stattfand.
Das neue Datenschutzgesetz gilt für die Bearbeitung von Personendaten durch Private, Unternehmen, Vereine oder Bundesorgane. So auch für Praxisbetreiber. Wichtig zu wissen ist: Als Praxisbetreiber:in bist Du für die Daten (Personendaten/Klientendaten), welche in Deinem Auftrag bearbeitet werden, verantwortlich.
Zur Erleichterung: die Handhabung, wie man mit (sensitiven) Personendaten umgehen sollte, hat sich nicht gänzlich verändert. Es gibt nun aber einen ganz klaren, rechtlichen Rahmen, in dem vor allem auch die Betroffenenrechte und die Informationspflicht verstärkt zum Ausdruck kommen (die Informationspflicht kommt in einer Datenschutzerklärung zum Ausdruck und die Betroffenenrechte enthalten v.a. das Recht auf Auskunft, Löschung, etc.).
Kernpunkte des neuen Datenschutzgesetzes
Im Folgenden werden die wichtigsten Kernpunkte des neuen Datenschutzgesetzes aufgeführt:
Anwendungsbereich
Unter "Personendaten" versteht man alle Daten, die sich auf bestimmte oder bestimmbare natürliche Personen beziehen, was in der Praxis sehr weitreichend sein kann (einschliesslich einfacher IP-Adressen). Jede Bearbeitung von Personendaten, sei es die Beschaffung, Speicherung, Veränderung, Löschung etc., fällt in den Anwendungsbereich des Datenschutzgesetzes.
Während Unternehmen und Vereine in der Regel nicht um die Einhaltung des Datenschutzrechts herumkommen, sind Privatpersonen von der Einhaltung befreit, solange die Datenbearbeitung nur für das engere Privat- und Familienleben stattfindet und die Daten ausschliesslich zum persönlichen Gebrauch bearbeitet werden. Dies schliesst in der Regel keine öffentlichen Websites mit ein. Daher betrifft das neue Datenschutzgesetz private Website-Betreiber meisst genauso wie kommerzielle Betreiber.
Betroffene Personen
Betroffene Personen sind insbesondere Kunden, aber auch Mitarbeiter. Es empfiehlt sich, eine Übersicht über die von Deiner Praxis bearbeiteten Personendaten zu erstellen. In der Ausgestaltung dieser Übersicht bist Du völlig frei.
Recht- / Zweckmässigkeit
Es ist wichtig, dass Personendaten nur rechtmässig bearbeitet werden, dass die Bearbeitung nach Treu und Glauben erfolgt und dass sie verhältnismässig ist. Daten dürfen nur zu dem Zweck bearbeitet werden, für den sie erhoben wurden, und dieser Zweck soll für die betroffene Person erkennbar sein.
Zugriffsrechte
Der Zugriff auf Personendaten sollte nur für diejenigen Personen möglich sein, die ihn auch wirklich benötigen, und es sollten technische und organisatorische Massnahmen getroffen werden, um dies sicherzustellen.
Informationspflicht
Wenn Personendaten bearbeitet werden, müssen die betroffenen Personen über den Umfang und den Zweck der Datenbearbeitungen informiert werden. Dies geschieht meistens mittels einer Datenschutzerklärung. Dazu empfiehlt es sich, folgende Tipps zu beachten:
- Die Datenschutzerklärung sollte auf einer Website einfach auffindbar sein, am besten auf jeder Seite im Footer.
- Es sollte über sämtliche Datenbearbeitungen informiert werden, auch über die Bearbeitung der Daten, die über die unmittelbare Website hinausgeht.
- Bei Aktionen, bei denen sensible Personendaten angegeben werden wie z.B. bei der Online-Buchung, sollte ein Link zur Datenschutzerklärung vorliegen.
Bearbeitung im Ausland
Werden Personendaten im Ausland bearbeitet, müssen die betroffenen Personen künftig darüber informiert werden. Gewährleistet das betreffende Land keinen gleichwertigen Datenschutz, müssen zusätzliche Massnahmen ergriffen werden, beispielsweise die Einholung einer Einwilligung der betroffenen Person oder eine bilaterale Vereinbarung eines genügenden Datenschutzes.
Berufsgeheimnis
Das Berufsgeheimnis wurde im Datenschutzrecht erweitert und geheime Personendaten, die im Rahmen der beruflichen Tätigkeit anvertraut werden, müssen geheim gehalten werden.
Auskunft
Personen, deren Personendaten bearbeitet werden, haben das Recht, Auskunft über ihre eigenen Daten zu erhalten oder fehlerhafte Daten korrigieren zu lassen. Personendaten sind Betroffenen innert 30 Tagen herauszugeben. Was die Datenherausgabepflicht für Therapierende im Detail bedeutet, liest Du auf dem Merkblatt der CAMsuisse c/o OdA KT: Merkblatt Aktenherausgabe.
Löschung
Personendaten müssen gelöscht oder anonymisiert werden, sobald sie für den Zweck der Bearbeitung nicht mehr erforderlich sind. Personen, deren Personendaten bearbeitet werden, haben jederzeit das Recht, die Löschung von Daten zu verlangen. Ein Klient bei Dir in der Praxis kann also beispielsweise verlangen, dass alle seine Daten aus jeglichen Systemen gelöscht werden - sofern dem keine gesetzlichen Fristen entgegenstehen. Die gesetzliche Aufbewahrungsfrist von Patientendaten ist in der Regel 20 Jahre (physische als auch digitale Daten). Darüber hinaus darf sie nur mit der Zustimmung der betroffenen Person aufbewahrt bleiben. Einen Leitfaden für die Aufbewahrung und Archivierung der unterschiedlichen Personendaten findest Du beim FMH: Leitfaden Datenaufbewahrung.
Privacy by Default
Die Datenschutzgrundsätze "Privacy by Default" und "Privacy by Design" verlangen grundsätzlich datenschutzfreundliche Voreinstellungen und technischen Datenschutz.
Besonders schützenswerte Personendaten
Bearbeitet ein Unternehmen besonders schützenswerte Personendaten – bspw. religiöse Ansichten, Informationen zur Intimsphäre, Gesundheit oder zu strafrechtlichen Sanktionen – muss dafür eine ausdrückliche Einwilligung der betroffenen Personen eingeholt werden.
Zuständige Person
Es ist empfehlenswert, eine Person im Unternehmen, Verein oder einer Organisation zu bestimmen, die sich um den Datenschutz kümmert und ein datenschutzrechtliches Grundwissen hat. Auf diese Weise kann auch die Wahrung von Betroffenenrechten (wie Auskunft oder Löschung) organisiert werden. In einer Einzelpraxis bist Du als Therapeut:in selbst die 'zuständige Person'.
Mitarbeiterschulung
Im Falle, dass Du eine grössere Praxis betreibst, ist es sinnvoll, wenn Deine Mitarbeiter:innen auf das neue Datenschutzgesetz vorbereitet werden. Eine Mitarbeiterschulung kann da viel bewirken und für Akzeptanz sorgen. Tipp: Aufgrund der Arbeit mit besonders sensitiven Daten in einer Therapie-Praxis, kann das Datenschutzthema beispielsweise auch in einem Arbeitsvertrag aufgenommen werden. Bei einem Austritt könnte nochmals auf den weiterhin geltenden Datenschutz hingewiesen werden.
Bearbeitungsverzeichnis
Unternehmen und Organisationen mit 250 Mitarbeitenden und mehr müssen ein Inventar über sämtliche Bearbeitungen führen. Unternehmen mit weniger als 250 Mitarbeitenden sind grundsätzlich davon befreit, es sei denn, es werden besonders schützenswerte Personendaten in grossem Umfang bearbeitet oder es wird ein Profiling mit hohem Risiko durchgeführt. Die OdA KT empfiehlt dennoch allen Therapierenden, auch kleinen Praxen, ein Bearbeitungsverzeichnis zu führen (Merkblatt Bearbeitungsverzeichnis & Co). Das kann eine ganz einfache Liste sein, die zeigt, welche Daten durch welche Person und für welchen Zweck gesammelt werden und ob sie weitergegeben werden. Eine Beispielliste findest Du zum Download bei der OdA KT > Download OdA KT oder beim FMH > Download FMH.
Verletzung Datenschutz
Bei Verletzung der Vertraulichkeit, Integrität oder Verfügbarkeit von Personendaten, die ein hohes Risiko für betroffene Personen darstellt, muss dies dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden.
To Do's für Dich als Therapeut:in
Was Du nun konkret tun kannst, um konform zu sein und worauf Du achten solltest, liest Du in folgendem Abschnitt:
Datenschutzerklärung Website
Falls Du eine Website hast, püfe Deine bestehende Datenschutzerklärung auf Deiner Homepage. Wenn Du noch keine Datenschutzerklärung auf Deiner Website hast, dann bist Du gemäss Datenschutzgesetz dazu verpflichtet, eine solche aufzuschalten. Wie die Datenschutzerklärung ausgestaltet ist, hängt davon ab, wie und wo Du Personendaten verarbeitest. Du bist verpflichtet, Deine Websitebesucher zu informieren, was mit deren Personendaten passiert, resp. wie diese bearbeitet werden (zum Verständnis, es geht dabei nicht um allfällige AGBs, sondern wörtlich um die Datenschutzerklärung).
Hinweis: im Hilfe-Center von Sanasearch findest Du zwei Beispiel-Datenschutzerklärungen, die Du als Vorlage für Deine Website verwenden darfst - eine allgemein gehaltene Datenschutzerklärung und eine auf den Anbieter 'Squarespace' zugeschnittene Datenschutzerklärung (für Praxis-Websites, die von Sanasearch erstellt wurden). In jedem Fall musst Du die Datenschutzerklärung vorab durchlesen und für Deine Bedürfnisse anpassen. Die Vorlagen findest Du in Deinem Login > Hilfe Center > Vorlagen > Beispiel Datenschutzerklärung Website. Weitere Vorlagen für eine Datenschutzerklärung findest Du auch bei der OdA KT oder beim FMH.
Zustimmung bei Datenweitergabe
Für die Gültigkeit der Datenschutzbestimmungen braucht es keine aktive Zustimmung der Nutzer/Klient:innen. Es reicht beispielsweise für die Website-Nutzer, wenn eine Datenschutzbestimmung auf der Website zu finden ist. Eine aktive Zustimmung braucht es dabei nicht.
Wenn jedoch Klientendaten an Dritte weitergegeben werden, dann braucht es korrekterweise eine aktive Zustimmung der betroffenen Personen. Nicht zuletzt sollte hierauf ein Augenmerk gelegt werden, da Patientendaten als besonders schützenswerte Daten gelten:
A) Im Falle einer Online-Buchung sollten die Datenschutzbestimmungen im Buchungsprozess zu finden sein, so dass der Nutzer mit der Buchung der Verarbeitung der Daten aktiv zustimmt.
B) Strenggenommen gilt die 'Pflicht einer aktiven Zustimmung' für alle Praxisbesucher, deren sensitive Daten an Dritte weitergegeben werden, wie an eine Abrechnungssoftware (z.B. die Sanasearch-Praxissoftware). Es gibt zwar den Sachverhalt, dass eine Einwilligung durch konkludentes Verhalten erfolgen kann (beispielsweise wenn Patient:innen im Spital eine Blutentnahme machen, müssen sie mit einer Übersendung der Probe an ein Laboratorium rechnen). Der Umstand, dass Therapeut:innen für die Rechnungsstellung Dritte heranziehen, scheint jedoch nicht grundsätzlich von der Einwilligung durch konkludentes Verhalten abgedeckt zu sein. Im Optimalfall sollten Therapeutinnen und Therapeuten deshalb ihre Patient:innen um deren ausdrückliche Einwilligung bitten (Hinweis EDÖB).
Hinweis: A) Bei der Online-Buchung EASY-Sana von Sanasearch sind die Datenschutzbestimmungen von uns bereits hinterlegt. Darin wird u.a. geregelt, wie die Daten über die Online-Buchung gemäss DSG verarbeitet werden. Es gibt da nichts weiter für Dich zu tun. B) Falls Du Deine Klient:innen, welche in Deine Praxis kommen, ganz grundsätzlich um eine schriftliche Einwilligung für die Datenbearbeitung in Deiner Praxissoftware etc. bitten möchtest, findest Du eine Vertragsvorlage unter Login > Hilfe Center > Vorlagen > Patientenformular mit Einwilligungserklärung
Auftragsverarbeitungsvertrag abschliessen
Mit externen Dienstleistern, die Deine Personendaten bearbeiten, wie Software-Anbieter, Treuhänder, externe IT-Provider oder Marketingexperten, muss eine Auftragsverarbeitungsvereinbarung abgeschlossen werden, welche den Umgang mit Personendaten regelt. In diesem Vertrag muss ersichtlich sein, dass die Personendaten im Einklang mit den geltenden Datenschutzbestimmungen erfolgt. Der Auftragnehmer verpflichtet sich darin Dir gegenüber, die Personendaten, die er für Dich bearbeitet, gemäss den rechtmässigen Bestimmungen des Datenschutzgesetzes zu handhaben.
Hinweis: Sanasearch wird Dir per Ende August einen Auftragsverarbeitungsvertrag zum Download zur Verfügung stellen.
Software-Sicherheit
Die Sicherung von Klientendaten sollte organisatorisch und technisch gewährleistet sein. Grundsätzlich muss die Bearbeitung und die Speicherung der Daten dem Schweizer Datenschutzgesetz entsprechen. Deine Klientendaten sollten an einem möglichst sicheren Ort aufbewahrt werden. Optimalerweise arbeitest Du mit einer Praxissoftware, in der Deine Klientendaten verschlüsselt werden. Damit sind die Daten für Unbefugte unlesbar. Ebenfalls sollte die Software regelmässige Backups generieren und die Server sollten in einer technisch sicheren Umgebung sein. Doch aller Schutz nützt nichts, wenn es keine ‘Zugriffskontrolle’ gibt. D.h. nur berechtigte Personen, sollten den Zugang (Passwort, Login) zu Deinen Klientendaten erhalten. Allfällig nicht mehr notwendige, sensitive Daten sollten gelöscht werden, denn Personendaten dürfen nur so lange gespeichert werden, wie es für den ursprünglichen Zweck, für den sie erhoben wurden, notwendig ist.
Hinweis: Die Sanasearch-Praxissoftware ist sicherheitstechnisch auf sehr hohem Stand. In unserer Therapeut:innen-Software sind die Patientendaten sowie alle Patientenberichte verschlüsselt. Jeder Therapeut bekommt bei der Anmeldung einen eigenen Schlüssel per Post zugestellt. So hat ausschliesslich der Therapeut Zugriff auf seine Patientendaten. Ausserdem ist die Verbindung zu unseren Servern mit TLS gesichert. Des Weiteren sind die Zugänge auf die Infrastruktur, wo die verschlüsselten Daten liegen, streng gesichert. Alle Daten werden geloggt und es wird festgehalten, wer welchen Key verwendet. Ebenfalls wird unsere Praxissoftware ausschliesslich auf ISO-zertifizierten, Schweizer Servern gehostet. Die Webinare zur Praxissoftware finden am 28. September sowie Anfang Oktober statt: zur Webinar-Seite.
Mail-Versand (und SMS)
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) setzt voraus, dass Praxisbetreiber für den Rechnungsversand geeignete technische und organisatorische Massnahmen ergreifen, wozu Verschlüsselungsmassnahmen und Mehr-Faktor-Athentifizierungsmassnahmen gehören. Wenn Du Personendaten unverschlüsselt per E-Mail an Klienten sendest, solltest Du sicherheitshalber das Einverständnis der Klienten einholen. Detaillierte Informationen darüber, was Du bei der elektronischen Übermittlung von Rechnungskopien beachten solltest, findest Du beim EDÖB. Des Weiteren ist es sinnvoll, das Einverständnis des Klienten einzuholen, wenn Personendaten zum Versand von SMS-Nachrichten an einen SMS-Provider weitergegeben werden.
Hinweis: Wenn Du Deine Klient:innen um Einverständnis für den Versand von Personendaten per E-Mail oder SMS fragen möchtest, dann findest Du eine Vertragsvorlage unter Login > Hilfe Center > Vorlagen > Einverständniserklärung Email / Einverständniserklärung SMS. Natürlich kannst Du diese Information auch in die 'Patientenformular mit Einwilligungserklärung' aufnehmen.
Synchronisation Drittkalender
Die Synchronisation von Terminen mit Drittkalendern wie Google, Apple und Co. sind sehr beliebt. Grundsätzlich ist eine solche Übermittlung an ausländische Anbieter nicht verboten. Es sollte jedoch ein Auftragsverarbeitungsvertrag vorhanden sein, der Dritt-Anbieter muss sich an das Schweizer Datenschutzgesetz halten und die Patient:innen müssen mit der Datenweitergabe sensitiver Daten einverstanden sein.
Hinweis: Die Personendaten der Praxissoftware und Online-Buchung von Sanasearch sind ausschliesslich auf zertifizierten Schweizer Servern gelagert und sind in der neuen Praxissoftware zusätzlich verschlüsselt. Für die Synchronisation der Online-Buchung "EASY-Sana" zu Drittkalendern ausländischer Anbieter, empfehlen wir, um Risiken zu minimieren, Termine nur als Terminblöcke zu übermitteln (ohne Patientendaten).
Wir hoffen, dass wir Dir damit einen Einblick in das neue Datenschutzgesetz geben konnten. Für Fragen zur neuen Praxissoftware darfst Du gerne an unserem Webinar am Montag, den 28. September um 17.00 Uhr teilnehmen. Im Oktober finden die Webinare je Brufsgruppe statt: Komplementärtherapie, Alternativmedizin, Physiotherapie, Psychotherapie, Ergotherapie und Ernährungsberatung. Auf unserer Eventseite findest weitere Informationen: Anmeldung zum Webinar 'neue Praxissoftware'.
Weiterführende Informationen findest Du auf folgenden Seiten:
- Merkblätter für Praktizierende der OdA KT (Reiter 'Datenschutz') > Link OdA KT
- Merkblätter für Praktizierende der OdA AM > Link OdA AM
- FAQ zum revidierten Datenschutzgesetz der OdA KT > Link FAQ
- Informationsseite zum neuen Datenschutz des FMH > Link FMH