Datenschutzgesetz

  • Home   /  
  • Datenschutzgesetz

Neues Datenschutzgesetz, Umsetzung in der Zahnarztpraxis

Im Folgenden wird auf die Neuerungen aufgrund des revidierten Datenschutzgesetzes eingegangen.

  1. Sachlicher Geltungsbereich

Zu schützen sind Personendaten, also alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Daten über juristische Personen werden neu nicht mehr vom Gesetz erfasst. Strengere Anforderungen gelten für besonders schützenswerte Personendaten. Dabei handelt es sich um folgende Daten:

  1. Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten,
  2. Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie,
  3. genetische Daten
  4. biometrische Daten, die eine natürliche Person eindeutig identifizieren2,
  5. Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen,
  6. Daten über Massnahmen der sozialen Hilfe.

Personendaten dürfen bearbeitet werden, solange sie die Persönlichkeit der betroffenen Person nicht widerrechtlich verletzt wird. Widerrechtlich ist eine Bearbeitung von Personendaten dann, wenn «sie nicht durch Einwilligung des Verletzten, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist. Bei besonders schützenswerten Personendaten hat die Einwilligung ausdrücklich zu erfolgen. D.h. nach der wohl überwiegenden Meinung bezieht sich «ausdrücklich» sowohl auf den Inhalt als auch auf die Ausdrucksform, wobei nur eine aktive zustimmende Handlung als hinreichende Ausdrucksform betrachtet wird. In Bezug auf die Einwilligung in die Bearbeitung besonders schützenswerter Personendaten oder in ein Profiling mit hohem Risiko wird daher eine Information und vorformulierte Einwilligung in den AGB nur selten ausreichend sein, solange der Kunde/Patient nicht bspw. aufgrund der Umstände, wie z.B. dem Gegenstand des Vertrags, mit solchen Datenbearbeitungen zu rechnen hat und Informationen dazu somit auch in blossen AGB erwarten kann3 . Es könnte somit sein, dass im Bereich der AGB der Zahnarztpraxen kein Anpassungsbedarf besteht, da in der Zahnarztpraxis mit der Bearbeitung von Gesundheitsdaten zu rechnen ist.

  1. Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen (Privacy by Design/Privacy by Default)

Das neue Datenschutzgesetz verlangt, dass Unternehmen ihre Applikationen u.a. so ausgestalten, dass die Daten standardmässig anonymisiert oder gelöscht werden. Dies entspricht dem Grundsatz der Verhältnismässigkeit der Datensammlung, indem nur so viele Daten als nötig gesammelt und diese nur solange als nötig gespeichert werden.

Datenschutzfreundliche Voreinstellungen schützen die Kunden/Patienten vor privaten Online-Angeboten, die sich weder mit Nutzungsbedingungen noch den daraus abzuleitenden Widerspruchsrechten auseinandergesetzt haben, indem nur die für den Verwendungszweck unbedingt nötigen Daten bearbeitet werden, solange die Nutzer nicht aktiv werden und weitergehende Bearbeitungen autorisieren.4 Als Beispiel können hier die Cookies auf der Website genannt werden. Entsprechend wäre die Voreinstellung «nur technisch notwendige Cookies» als Voreinstellung zu wählen.

  1. Datenschutzberater und Datenschutzberaterinnen

Im Unterschied zum europäischen Recht ist der Beizug eines Datenschutzberaters für private Datenbearbeiter (Zahnarztpraxen) freiwillig.

  1. Datenschutz-Folgenabschätzung (Risikoabschätzung)

Bei der Datenschutz-Folgenabschätzung geht es darum, die Persönlichkeitsrechte der natürlichen Personen, über welche Daten gesammelt werden, zu schützen. Eine Datenschutz-Folgenabschätzung ist dann vorzunehmen, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Das hohe Risiko ergibt sich, insbesondere bei Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Es liegt namentlich vor:

  1. bei der umfangreichen Bearbeitung besonders schützenswerter Personendaten;
  2. wenn systematisch umfangreiche öffentliche Bereiche überwacht werden.

Die Datenschutz-Folgenabschätzung enthält eine Beschreibung der geplanten Bearbeitung, eine

Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person sowie die

Massnahmen zum Schutz der Persönlichkeit und der Grundrechte. Von der Erstellung einer

Datenschutz-Folgenabschätzung ausgenommen sind private Verantwortliche, wenn sie gesetzlich zur Bearbeitung der Daten verpflichtet sind.5

Die SSO geht davon aus, dass die Zahnarztpraxen gesetzlich zur Sammlung von Patientendaten

(Krankengeschichte) verpflichtet sind und damit für diesen Bereich der besonders schützenswerten Daten nicht unter die Pflicht zur Ausarbeitung einer Datenschutz-Folgenabschätzung fallen. Trotzdem empfiehlt es sich, das Ergebnis der Prüfung, ob eine Datenschutz-Folgenabschätzung gemacht werden muss, formell in einem Protokoll festzuhalten. Ein entsprechendes Dokument «Protokoll Risikobeurteilung Datenschutz Folgenabschätzung» kann auf der Website der SSO im Dossier Datenschutz heruntergeladen werden.

  1. Verzeichnis der Bearbeitungstätigkeiten

Auch wenn davon auszugehen ist, dass die Zahnarztpraxen als KMU nicht verpflichtet sind, ein Bearbeitungsverzeichnis zu führen, so ist es doch sehr zu empfehlen, den Überblick zu behalten über die Daten, die in der Praxis gesammelt werden. Das Bearbeitungsverzeichnis listet die üblichen Daten auf, die in einer Zahnarztpraxis vorhanden sind. Das Bearbeitungsverzeichnis sollte folgende Angaben enthalten:

  1. die Identität des Verantwortlichen;
  2. den Bearbeitungszweck;
  3. eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten;
  4. die Kategorien der Empfängerinnen und Empfänger;
  5. wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer;
  6. wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit nach Artikel 8 nDSG;
  7. falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien nach Artikel 16 Absatz 2 nDSG.

Auf der Website der SSO im Dossier Datenschutz kann ein Musterverzeichnis für Zahnarztpraxen heruntergeladen werden. Sollten in der Zahnarztpraxis zusätzliche Daten bearbeitet werden, so wäre das Dokument entsprechend zu ergänzen. Werden im Dokument aufgeführte Daten nicht verarbeitet, so können die entsprechenden Abschnitte entfernt werden.

  1. Datenschutzerklärung (Informationspflicht)

Nach neuem Datenschutzgesetz muss ein privater Datenbearbeiter grundsätzlich bei jeder beabsichtigten Beschaffung von Personendaten die betroffene Person vorgängig angemessen informieren, selbst wenn die Daten nicht direkt bei ihr beschafft werden. Die Datenschutzerklärung sollte Informationen beinhalten, die erforderlich sind, damit die betroffenen Personen ihre Rechte geltend machen können und eine transparente Datenbearbeitung gewährleistet ist.6

In der Datenschutzerklärung geht es darum, den Patienten bekannt zu geben, wer für die Daten verantwortlich ist und welche Daten zu welchem Zweck in der Zahnarztpraxis bearbeitet werden. Die Information der Patienten ist Voraussetzung für die Bearbeitung von besonders schützenswerten

Personendaten. Werden Daten in Ausland versendet, so ist dies ebenfalls zu deklarieren. Auf der Website der SSO im Dossier Datenschutz kann eine Mustererklärung für Zahnarztpraxen heruntergeladen werden. Eine Datenschutzerklärung für Praxen, welche eine Website betreiben, ist ebenfalls aufgeschaltet.

  1. Meldepflicht bei Datensicherheitsverletzungen

Das neue Datenschutzgesetz sieht bei Datenschutzverletzungen, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen, eine Meldepflicht vor. In der Meldung ist folgendes festzuhalten:

  1. die Art der Verletzung;
  2. soweit möglich den Zeitpunkt und die Dauer;
  3. soweit möglich die Kategorien und die ungefähre Anzahl der betroffenen Personendaten;
  4. soweit möglich die Kategorien und die ungefähre Anzahl der betroffenen Personen;
  5. die Folgen, einschliesslich der allfälligen Risiken für die betroffenen Personen;
  6. welche Massnahmen getroffen wurden oder vorgesehen sind, um den Mangel zu beheben und die Folgen, einschliesslich der allfälligen Risiken, zu mindern;
  7. den Namen und die Kontaktdaten einer Ansprechperson.

Die Verletzung ist zu dokumentieren und die Dokumentation muss 2 Jahre aufbewahrt werden.7

Eine Verletzung der Datensicherheit ist dann gegeben, wenn Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden. Die Daten sind deshalb entsprechend sicher aufzubewahren. Dazu sollte der Zugriff auf die Daten auf das notwendige Personal eingeschränkt und die Datensicherung regelmässig vorgenommen werden. Auf der Website der SSO im Dossier Datenschutz sind ein Verzeichnis zu Festlegung der Zugriffsberechtigung, ein

Datensicherungsprotokoll sowie ein Dokument zum Vorgehen bei einem allfälligen

Datenschutzverstoss (resp. Datensicherheitsverstoss) abrufbar. Des Weiteren verweisen wir explizit auf die Dokumente «IT-Grundschutz-SSO» und das Dokument zu den Technischen und Organisatorischen Massnahmen «TOM’s». Die Datensicherheit ist schliesslich nur dann gewährleistet, wenn auch das Praxispersonal entsprechend geschult wurde. Eine solche Schulung ist aus Beweisgründen ebenfalls zu protokollieren. Ein entsprechendes Schulungsprotokoll ist ebenfalls abrufbar.

   8. Auskunftsrecht

Wie bisher kann jede betroffene Person Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden. Die Auskunft muss folgende Elemente enthalten:

  1. die Identität und die Kontaktdaten des Verantwortlichen;
  2. die bearbeiteten Personendaten als solche;
  3. der Bearbeitungszweck;
  4. die Aufbewahrungsdauer der Personendaten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer;
  5. die verfügbaren Angaben über die Herkunft der Personendaten, soweit sie nicht bei der betroffenen Person beschafft wurden;
  6. gegebenenfalls das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der die Entscheidung beruht;
  7. gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden, sowie die Informationen nach Artikel 19 Absatz 4 (Datenbearbeitung durch Auftragsbearbeiter).

Die Auskunft ist in der Regel innerhalb von 30 Tagen zu erteilen.8 Ist die Erteilung der Auskunft mit einem unverhältnismässigen Aufwand verbunden, so kann man von der betroffenen Person verlangen, dass sie sich an den Kosten angemessen beteiligt. Die Beteiligung beträgt jedoch maximal 300 Franken. Wird eine Beteiligung verlangt, so muss man der betroffenen Person die Höhe der Beteiligung vor der Auskunftserteilung mitteilen. Bestätigt die betroffene Person das Gesuch nicht innerhalb von zehn Tagen, so gilt es als ohne Kostenfolge zurückgezogen.9

  1. Strafbestimmungen

Das neue Datenschutzgesetz sieht folgende Straftatbestände vor:

Art. 60 Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten

Mit Busse bis zu 250 000 Franken werden private Personen auf Antrag bestraft:

  1. die ihre Pflichten nach den Artikeln 19, 21 (Informationspflichten) und 25—27 (Auskunftsrecht) verletzen, indem sie vorsätzlich eine falsche oder unvollständige Auskunft erteilen;
  2. die es vorsätzlich unterlassen:
    1. die betroffene Person nach den Artikeln 19 Absatz 1 und 21 Absatz 1 zu informieren, oder
    2. ihr die Angaben nach Artikel 19 Absatz 2 zu liefern.

Mit Busse bis zu 250 000 Franken werden private Personen bestraft, die unter Verstoss gegen Artikel 49 Absatz 3 dem EDÖB im Rahmen einer Untersuchung vorsätzlich falsche Auskünfte erteilen oder vorsätzlich die Mitwirkung verweigern.

Art. 61 Verletzung von Sorgfaltspflichten

Mit Busse bis zu 250 000 Franken werden private Personen auf Antrag bestraft, die vorsätzlich:

  1. unter Verstoss gegen Artikel 16 Absätze 1 und 2 und ohne dass die Voraussetzungen nach Artikel 17 erfüllt sind, Personendaten ins Ausland bekanntgeben;
  2. die Datenbearbeitung einem Auftragsbearbeiter übergeben, ohne dass die Voraussetzungen nach Artikel 9 Absätze 1 und 2 erfüllt sind;
  3. die Mindestanforderungen an die Datensicherheit, die der Bundesrat nach Artikel 8 Absatz 3 erlassen hat, nicht einhalten.

Art. 62 Verletzung der beruflichen Schweigepflicht

Wer geheime Personendaten vorsätzlich offenbart, von denen sie oder er bei der Ausübung ihres oder seines Berufes, der die Kenntnis solcher Daten erfordert, Kenntnis erlangt hat, wird auf Antrag mit Busse bis zu 250 000 Franken bestraft.

2Gleich wird bestraft, wer vorsätzlich geheime Personendaten offenbart, von denen sie oder er bei der Tätigkeit für eine geheimhaltungspflichtige Person oder während der Ausbildung bei dieser Kenntnis erlangt hat.

3Das Offenbaren geheimer Personendaten ist auch nach Beendigung der Berufsausübung oder der Ausbildung strafbar.

Art. 63 Missachten von Verfügungen

Mit Busse bis zu 250 000 Franken werden private Personen bestraft, die einer Verfügung des EDÖB oder einem Entscheid der Rechtsmittelinstanzen, die oder der unter Hinweis auf die Strafdrohung dieses Artikels ergangen ist, vorsätzlich nicht Folge leisten.