Über die Komplexität des Schweizer Gesundheitswesens und Lücken bei digitalen Basisdiensten: Im Gespräch mit Adrian Lobsiger

Herr Lobsiger, was sind Ihre Aufgaben als EDÖB?Als Datenschutzbeauftragter beaufsichtige ich mit meinem Team die Bearbeitung von Personendaten durch private Unternehmen und Organisationen sowie Bundesbehörden und bundesnahe Betriebe wie SBB, Post oder Swisscom. Das geltende wie auch das neue Datenschutzgesetz des Bundes sehen vor, dass wir diese Akteure bei der Planung und Umsetzung digitaler Projekte beraten. Den Bürgerinnen und Bürgern stellen wir vormittags eine kostenlose telefonische Hotline zur Verfügung.Als Öffentlichkeitsbeauftragter leite ich zudem Schlichtungen nach dem Bundesgesetz über das Öffentlichkeitsprinzip. Wenn zum Beispiel zwischen dem Bundesamt für Gesundheit und einer Person, die Zugang zu Verträgen mit Herstellern von Impfstoffen verlangt, Uneinigkeit über deren Herausgabe besteht, versuche ich zwischen den Parteien eine Einigung herbeizuführen.Sie sind zuständig für Bundesorgane und private Personen bzw. Unternehmen, nicht jedoch für kommunale oder kantonale Behörden. Welche Institutionen des Gesundheitswesens fallen in Ihren Zuständigkeitsbereich?Die Abgrenzung der Kompetenzen ist nicht banal, weil sie sich nicht allein von der Organisationsform eines Leistungserbringers ableiten lässt. So können Privatspitäler sowohl im Bereich eines öffentlich-rechtlichen Leistungsauftrags eines Kantons als auch privatrechtlich tätig sein. Soweit sie einen kantonalen Leistungsauftrag erfüllen, unterstehen sie dem kantonalen Datenschutzrecht und der Aufsicht meiner kantonalen Kolleginnen und Kollegen. Hausärztinnen, Arztpraxen, Therapeutinnen oder Apotheken unterstehen in der Regel dem Datenschutzrecht und der Aufsicht des Bundes, fallen also in meinen Zuständigkeitsbereich.

Welche Besonderheiten weist das Gesundheitswesen in Bezug auf den Datenschutz auf?Unser Gesundheitswesen ist geprägt von einem komplexen Zusammenwirken der Behörden von Bund, Kantonen und Gemeinden, den Krankenversicherern und den Leistungserbringern mit teilweise gegenläufigen Interessen. In diesem anspruchsvollen und hoch regulierten Umfeld gilt es einerseits, die anfallenden Daten digital verfügbar zu halten und den Akteuren ein Maximum an wissenschaftlich und wirtschaftlich verwertbaren Sachdaten zugänglich zu machen. Gleichzeitig verlangt der Persönlichkeits- und Datenschutz, dass der Zugang der Akteure auf personenbezogene Informationen stets auf das zur Erfüllung ihrer Aufgaben nötige Minimum beschränkt bleibt. Dies zu erreichen, ist eine Herausforderung.Zudem verfügt die Schweiz einerseits über leistungsfähige und stabile Netze, andererseits bestehen gravierende Lücken bei digitalen Basisdiensten wie der staatlich anerkannten elektronischen Identität (eID). Der Gesundheitssektor zahlt wohl einen besonders hohen Preis für diese asynchrone Digitalisierung. Denken Sie nur an die Datenbearbeitung durch die Stiftung meineimpfungen.ch: Unsere Untersuchung in dieser Sache hat gezeigt, wie nützlich es wäre, wenn vor dem Zugriff auf Systeme mit Gesundheitsdaten die beruflichen Qualifikationen von Medizinalpersonen sicher nachgewiesen und überprüft werden könnten. Fotokopien von leicht fälschbaren Promotionsurkunden und anderen Diplomen sind keine zeitgemässe Lösung. Dasselbe gilt für Kopien von Pässen und Identitätskarten, die im Gesundheitswesen bis heute zur Erlangung datenschutzrechtlicher Auskünfte verwendet werden. Letztere werden zuweilen immer noch unverschlüsselt und ohne Mehrfaktorenauthentifizierung über ungesicherte Kanäle erteilt.

Das Thema EPD beschäftigt das Gesundheitswesen seit vielen Jahren. Was sind datenschutztechnisch die grössten Herausforderungen?Die erwähnte Komplexität unseres Gesundheitssystems und die Lücken bei den digitalen Basisdiensten haben dazu geführt, dass die Einführung des EPD nicht mit der vom Gesetzgeber von 2015 erwarteten Geschwindigkeit voranschreitet. Diese Verzögerung hat die Politik inzwischen veranlasst, laut darüber nachzudenken, das Erfordernis der Patienteneinwilligung durch eine Widerspruchslösung abzulösen. Das würde dann eine Teilrevision des EPDG nötig machen. Aus Sicht des Datenschutzes wäre eine solche jedoch problematisch. Denn die informationelle Selbstbestimmung der Patientinnen und Patienten ist ein verfassungsmässig geschütztes Grundrecht. Sollte es zu einer Teilrevision des EPDG oder Änderungen anderer Rechtsgrundlagen kommen, werde ich die Gelegenheit wahrnehmen, mich im Rahmen der Ämterkonsultationen und gegebenenfalls auch Anhörungen durch die vorberatenden Kommissionen zu den datenschutzrechtlichen Aspekten zu äussern. Also sollen die Grundlagen des EPDG Ihrer Meinung nach nicht verändert werden?Ich will nicht bestreiten, dass konzeptionelle Verbesserungen zu Recht diskutiert werden. Als blosse Ablage von rasch veraltenden PDF-Dokumenten bringt das EPD nur beschränkte Vorteile, weshalb über eine Dynamisierung und teilweise Zentralisierung der Datenhaltung nachgedacht wird. Das macht durchaus Sinn.

Und welche Herausforderungen entstehen durch das EPD auf der technischen Ebene?Auch diesbezüglich verbleiben einige Knacknüsse: Es ist nicht banal, die Verfügbarkeit des EPD und dessen Kompatibilität mit den dezentralen Primärsystemen der Leistungserbringer zu gewährleisten und dabei die erforderliche technische Datensicherheit einzuhalten. Schon bei der Eröffnung von Patientendossiers zeigt sich die bereits erwähnte asynchrone Digitalisierung: Für die Eröffnung muss heute in der Regel ein physischer Identitätsnachweis vorgelegt werden, für einen vollkommen digitalen Prozess fehlt es – wie erwähnt – an einer landesweit anerkannten staatlichen eID. Um trotzdem die Online-Eröffnung von Patientendossiers zu ermöglichen, empfiehlt der Bundesrat im Bericht vom 11. August 2021 zur Motion Wehrli den Stammgemeinschaften die baldige Einführung einer Identifikation per Videokonferenz. Es liegt auf der Hand, dass sich auch hier datenschutzrechtliche Fragen stellen, mit denen sich meine Behörde befassen wird.

Auch für die Rechte der Patientinnen und Patienten sind Sie zuständig. Welche datenschutzrechtlichen Aspekte sind für diese Anspruchsgruppe beim EPD entscheidend?Die Datenbearbeitung der privatrechtlich organisierten Stammgemeinschaften unterstehen dem DSG und damit der Aufsicht des EDÖB. Gleiches gilt für alle übrigen Akteure im Umfeld des EPD, wie beispielsweise die Infrastrukturanbieter, die Zertifizierungsstelle oder die angeschlossenen Leistungserbringer, soweit es sich dabei um Private handelt. Der EDÖB kann nach geltendem Recht indessen nicht Einzelanliegen behandeln, sondern nur bei Vorliegen sogenannter Systemfehler einschreiten. Wenn uns also Hinweise auf systematische Verletzungen der Rechte von Patientinnen und Patienten vorliegen, werden wir aufsichtsrechtlich tätig.

Für Leistungserbringer wäre es ein Vorteil, im EPD möglichst viele Informationen über einen Patienten zu erhalten. Patienten möchten jedoch individuell entscheiden, wem sie welche Informationen zur Verfügung stellen. Wie lässt sich dieser Interessenkonflikt lösen?Wie sich die Praxis entwickeln wird, wird sich erst zeigen. Die Verbreitung des EPD ist noch gering. Zweifellos spielt aber das Vertrauen eine zentrale Rolle. Nimmt sich ein Leistungserbringer die Zeit, die Patientinnen zu informieren, werden diese tendenziell mehr Zugriffsrechte einräumen, als wenn sie auf sich alleine gestellt in einem Gang vor dem Formular sitzen. Zudem sieht das EPDG die Möglichkeit eines Notfallzugriffs vor. Die Patienten können allerdings auch diese Zugriffsmöglichkeit ausschliessen – oder erweitern. Ich gehe aber nicht davon aus, dass davon häufig Gebrauch gemacht werden wird.Das neue Datenschutzgesetz (nDSG) tritt voraussichtlich 2022 in Kraft. Was ändert sich dadurch für Arztpraxen?Das neue Gesetz verlangt, dass Arztpraxen ein Verzeichnis ihrer Bearbeitungstätigkeiten führen. Ich rate ihnen, bei dieser Gelegenheit die Verträge mit Dienstleistern wie beispielsweise Abrechnungsdiensten zu sichten und auf ihre Vereinbarkeit mit dem nDSG hin zu überprüfen. Weitere Hinweise finden sich auf der Homepage des EDÖB.Und für Spitäler?Institutionen des Gesundheitswesens wie Spitäler sollten beachten, dass das nDSG den generellen Ansatz der risikobasierten Bearbeitung von Personendaten vorsieht. Dies bedeutet, dass solche Institutionen Datenschutz-Folgenabschätzungen erstellen müssen, wenn sie digitale Transformationsprojekte angehen. Vor diesem Hintergrund begrüssen wir, dass viele Spitäler über fest angestellte oder mandatierte Datenschutzverantwortliche verfügen, die solche Abschätzungen professionell vornehmen. Letztere sind wichtige Ansprechstellen für die Datenschutzbehörden von Bund und Kantonen.Über die Konsequenzen von Datenschutzverletzungen und die Aufbewahrung von Patientendaten in der Cloud spricht Adrian Lobsiger im zweiten Teil des Interviews.