Dürfen Gesundheitsfachpersonen Patientendaten in einer Cloud aufbewahren? Ist der Versand des Fotos eines Behandlungsdossiers datenschutzkonform? Und welche Konsequenzen können Datenschutzverletzungen haben? Adrian Lobsiger, Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter, gibt Auskunft.
Herr Lobsiger, welche Konsequenzen können Datenschutzverletzungen im Gesundheitswesen haben?Im Gesundheitswesen werden neben den Personenattributen wie Name, Alter, Adresse und Telefonnummer typischerweise Informationen über die Gesundheit und medizinische Behandlungen bestimmbarer Personen bearbeitet. Solche Personendaten gelten gemäss geltendem als auch neuem Datenschutzgesetz (DSG) als besonders schützenswert. Denn wenn Daten über Erkrankungen, Prädispositionen, Sucht oder Risikoverhalten an Krankenversicherer gehen, könnten Betroffene beispielsweise von einer Zusatzversicherung ausgeschlossen oder mit höheren Prämien belastet werden. Oder sie könnten Opfer von Erpressern werden, die drohen, gestohlene Informationen im Darknet zu publizieren. Und mit welchen Folgen müssen Leistungserbringer im Falle einer Datenschutzverletzung rechnen?Wer schützenswerte Daten bearbeitet, muss entweder eine explizite Einwilligung der Betroffenen oder einen anderen Rechtfertigungsgrund nachweisen oder sich auf eine hinreichend bestimmte Grundlage im Gesetz berufen können. Dem hohen Schutzbedarf von Gesundheitsdaten muss bei deren Bearbeitung auch durch taugliche Sicherheitsvorkehren Rechnung getragen werden. Die Anforderungen an die technische Sicherheit werden durch die neue Datenschutzgesetzgebung verschärft. Die verantwortlichen Personen können mit Bussen bis CHF 250’000 belegt werden, falls ihnen nachgewiesen werden kann, dass sie einen voraussehbaren Verlust von sensiblen Personendaten in Kauf genommen haben.
Adrian Lobsiger wurde im November 2015 vom Bundesrat zum Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gewählt und im März 2016 vom Parlament bestätigt. 2019 hat der Bundesrat seine Wiederwahl für eine zweite Amtsperiode bis Ende 2023 bestätigt.
« Das Berufsgeheimnis der Medizinalpersonen verpflichtet auch Hilfspersonen. Als solche gelten auch Mitarbeitende von Cloud-Diensten, wenn sie Zugriff auf Gesundheitsdaten der Kunden haben. »
Die Bearbeitung und Aufbewahrung von Patientendaten in der Cloud sind im Gesundheitswesen immer wieder ein Thema. Was müssen Gesundheitsfachpersonen beachten? Das ist ein vielschichtiges Thema. Die Verordnung zum Datenschutzgesetz legt fest, dass Privatpersonen, die Personendaten bearbeiten, für die Vertraulichkeit dieser Daten sorgen müssen. Für patientenbezogene Daten kommen die strafrechtlich geschützten Berufsgeheimnisse der Medizinalpersonen hinzu. Diese verpflichten auch deren Hilfspersonen – und als solche gelten zum Beispiel auch Mitarbeitende von Cloud-Diensten, wenn sie Zugriff auf Gesundheitsdaten der Kunden haben. Ob der Datenschutz und das Berufsgeheimnis rechtlich hinreichend geschützt, durchsetzbar und durch entsprechende Haftungsklauseln untermauert sind, hängt von der Ausgestaltung der vertraglichen Vereinbarungen ab, die der Datenherr mit den Cloudanbietern abschliesst.
« Wir empfehlen, ausserhalb der Schweiz oder weiteren Regionen mit angemessenem Datenschutz bearbeitete Personendaten zu anonymisieren oder zu verschlüsseln. »
Was gilt es zu beachten, wenn sich der Cloudstandort nicht in der Schweiz befindet?Befindet sich der Cloudstandort ausserhalb der Schweiz, kommt als zusätzliche Dimension hinzu, dass ausländische Behörden auf dort bearbeitete Daten zugreifen könnten. In Ländern mit einem Datenschutzniveau, das jenem der Schweiz gleichwertig ist – wie in den Staaten des Europäischen Wirtschaftsraums oder in Grossbritannien – erfolgen solche Zugriffe nur in einem justizförmigen Verfahren auf richterliche Anordnung hin. Beim Datenexport in andere Staaten muss hingegen damit gerechnet werden, dass die dortigen Behörden in intransparenter Weise auf die in einer Cloud bearbeiteten Daten zugreifen, ohne den Cloudbetreibern oder den direkt betroffenen Personen einen wirksamen Rechtschutz zu gewähren. Leider gehören nicht nur autoritäre, sondern auch demokratische Staaten wie die USA zum Kreis dieser Länder. Das macht den Export von Personendaten in Clouds, die auf US-Boden betrieben werden, kompliziert. Es wäre der Rechtsicherheit zuträglich, wenn zwischen den USA und Europa bald ein Ersatz für das dahingefallene «Privacy Shield»-Regelwerk vereinbart werden könnte. Solange dies nicht der Fall ist, empfehlen wir, ausserhalb der Schweiz oder weiteren Regionen mit angemessenem Datenschutz bearbeitete Personendaten entweder zu anonymisieren oder so zu verschlüsseln, dass sie dort niemand auslesen kann.
Und wie lassen sich Daten entsprechend verschlüsseln oder anonymisieren?Bei der Anonymisierung werden die Personendaten zu Sachdaten gemacht, sodass keine Rückschlüsse auf bestimmbare Personen mehr möglich sind. Bei der Verschlüsselung werden Personendaten für Dritte unlesbar gemacht. Letztere stösst heute an technische Grenzen, wenn die Daten nicht nur archiviert, sondern noch verändert werden sollen. Die Entwicklung datenschutzfreundlicher Technologien schreitet indessen voran. Vielversprechend ist die neue Technologie der homomorphen Verschlüsselung, welche die aktive Bearbeitung von Daten auch im verschlüsselten Zustand ermöglichen soll. Für detaillierte Informationen zur Problematik der Datenauslagerung ins Ausland verweise ich auf die Webseite des EDÖB.
« Gesundheitsdaten aus dem beruflichen Umfeld dürfen weder auf private Datenträger kopiert noch über privat benutzte Kanäle wie WhatsApp weitergegeben werden. »
Ein weiteres Szenario, das im Arbeitsalltag von Gesundheitsfachpersonen ein Stolperstein darstellen könnte: Eine MPA schickt ein Foto des Behandlungsdossiers eines Patienten per WhatsApp an einen Arzt…Gesundheitsdaten, die auf Datenträgern und Infrastrukturen des Arbeitgebers bearbeitet werden, dürfen weder auf private Datenträger wie ein Smartphone kopiert noch über privat benutzte Kanäle wie WhatsApp weitergegeben werden. Solches Tun sprengt den Rahmen der in den internen Nutzungsreglementen autorisierten Datenbearbeitungen und unterläuft die technischen Sicherheitsvorkehren, mit denen Unternehmen und Gesundheitseinrichtungen ihre Infrastrukturen schützen.
Über seine Aufgaben als EDÖB, die Besonderheiten des Gesundheitswesens und über die Herausforderungen rund um das EPD spricht Adrian Lobsiger im ersten Teil des Interviews.
Die HIN Academy sensibilisiertDie HIN Academy der Health Info Net AG (HIN) sensibilisiert Akteure des Gesundheitswesens für den Datenschutz und die Gefahren durch Cyberkriminalität. Das neue Modul Datenschutz legt den Fokus vollumfänglich auf das Thema Datenschutz. Sowohl individuell konfigurierbare Schulungen für Institutionen als auch die Teilnahme als Einzelperson sind möglich.HIN Academy kennenlernen
Autor: Philipp Senn - Leiter Kommunikation
Sprache und Informationstechnik haben mich schon immer fasziniert – bei HIN kann ich beides verbinden. Als Leiter Kommunikation bei HIN und «nebenamtlicher» Referent für die HIN Academy möchte ich unseren Lesern vielschichtige Aspekte der digitalen Transformation vermitteln und ihr Bewusstsein für die damit zusammenhängenden Fragen der IT-Sicherheit schärfen.