Im September 2023 trat die DSG-Revision in Kraft. Seitdem haben wir viele Gesundheitsinstitutionen erfolgreich dabei unterstützt, ihren Datenschutz und ihre Datensicherheit zu aktualisieren.
Gesundheitsdaten sind besonders schützenswerte Personendaten, welche kontinuierlich bearbeitet werden. Sie unterliegen strengen Schweigepflichten, etwa nach Art. 321 StGB oder anderer kantonaler Gesundheitserlasse.
Die Regeln zur Datenbearbeitung im neuen Datenschutzgesetz (DSG) werden durch die Digitalisierung immer wichtiger. Besonders schützenswerte Personendaten dürfen nur mit Einwilligung der Patienten bearbeitet werden. Dies erfordert eine gründliche Aufklärung der Patienten. Das Datenschutzgesetz (DSG) fordert von den Verantwortlichen mehr Transparenz und stärkt die Rechte der betroffenen Personen.
Verantwortliche wissen oft nicht genau, welche Personendaten bei welcher Tätigkeit bearbeitet werden. Sie sind sich auch nicht immer bewusst, wer Einblick in die Daten erhält.
Es gibt Unsicherheiten darüber, welche Anforderungen gelten, wenn Dritte als Auftragsbearbeiter hinzugezogen werden. Dies gilt auch bei der Einführung neuer Softwarelösungen oder der Bearbeitung von Patientenanfragen. Die Bearbeitung von Personendaten muss klar geregelt sein, um den Anforderungen des Datenschutzgesetzes in der Schweiz zu entsprechen.
Die Digitalisierung macht auch vor dem Gesundheitswesen nicht halt. Cloud-Lösungen, elektronische Patientendossiers und neue Kommunikationsformen bringen neue datenschutzrechtliche Fragen mit sich.
Der erste Schritt ist die Erstellung eines Verzeichnisses der Bearbeitungstätigkeiten. Dadurch erhält man einen Überblick und kann mögliche Risiken identifizieren, auch wenn die gesetzliche Pflicht dazu bei KMU regelmässig entfällt. Auf dieser Basis kann ein Datenschutzkonzept für das Unternehmen erarbeitet werden.
Ausserdem werden Datenschutzerklärungen erstellt, Patientenvereinbarungen aktualisiert und notwendige Verträge wie Auftragsbearbeitungsverträge geschlossen. Es werden Merkblätter bereitgestellt und Weisungen an Mitarbeitende erteilt. Verschiedene Branchenverbände haben ihre Empfehlungen publiziert, welche das Spannungsfeld zwischen Digitalisierung, Datenbearbeitung und Schweigepflicht im Gesundheitswesen entschärfen sollen. Diese gilt es praxisnah und einzelfallbezogen umzusetzen.
Immer mehr Gesundheitsinstitutionen nutzen KI-Modelle in ihren Geschäftsprozessen und automatisieren die Datenbearbeitung. Daten werden für KI-Anwendungen zugänglich gemacht und auf vordefinierten Servern bearbeitet. Die Anbieter dieser KI- Anwendungen sind oft Auftragsbearbeiter gemäss Datenschutzgesetz (DSG).
Die verantwortliche Gesundheitsinstitution entscheidet über den Zweck und die Mittel der Datenbearbeitung. Wenn sie eine KI-Anwendung nutzt, muss sie sicherstellen, dass die Bearbeitung nur im erlaubten Umfang erfolgt. Sie muss den Auftragsbearbeiter sorgfältig auswählen und vertraglich absichern, dass das Berufsgeheimnis gewahrt bleibt. Ausserdem muss sie sicherstellen, dass der Auftragsbearbeiter die Daten nur zur Vertragserfüllung verwendet. Viele Anbieter von KI-Anwendungen erfüllen diese Voraussetzungen nicht. Oft werden wichtige Verträge wie Auftragsbearbeitungsverträge oder Geheimhaltungsvereinbarungen nicht zur Verfügung gestellt. Die Bearbeitung ist oft intransparent, grenzüberschreitend oder Daten werden für eigene Zwecke verwendet.
Das Datenschutzgesetz (DSG) in der Schweiz verlangt eine Datenschutz-Folgenabschätzung (DSFA) bei hohem Risiko für die Persönlichkeit oder Grundrechte der Betroffenen. Besonders bei neuen Technologien müssen Risiken ermittelt, bewertet und reduziert werden.
Bei automatisierter Datenbearbeitung müssen Angaben zur internen Organisation festgehalten werden. Das Datenbearbeitungs- und Kontrollverfahren sowie auch die Bearbeitung von Personendaten müssen ebenfalls dokumentiert werden. Massnahmen zur Datensicherheit und mögliche Verletzungen der Datensicherheit sind ebenfalls in einem Bearbeitungsreglement festzuhalten. Die Einbindung von KI-Anwendungen erfordert erhöhte technische und organisatorische Massnahmen, um rechtliche Risiken zu minimieren.
Unser Team steht Ihnen bei der Umsetzung von Projekten jederzeit gerne zur Verfügung. Wir prüfen das bestehende Datenschutzkonzept, erstellen und aktualisieren sämtliche Dokumentationen und unterstützen bei rechtlichen Fragen in komplexen Projekten.
Möchten Sie mehr darüber erfahren, wie wir Ihr Unternehmen datenschutzkonform unterstützen können? Kontaktieren Sie uns für weitere Informationen!
Erreichen Sie uns über das Kontaktformular oder telefonisch unter +41 71 510 92 20. Wir stehen Ihnen gerne zur Verfügung.