Datenschutz in Spitälern

Yves Gogniat
Datenschutz in Spitälern
Wohin mit den Patientendaten
Bei einem Spitalbesuch können und müssen die Patientendaten an diverse
Stellen weiterfliessen. Im Rahmen der Behandlung haben verschiedenste Personen Zugriﬀ auf diese Daten. Für die behandelnden Personen ist oft unklar,
welche Daten sie an welche Personen und Institutionen weitergeben dürfen.
Im Beitrag wird aus Spitalsicht aufgezeigt, wohin diese Daten überall fliessen
können, zudem wird auf die Datenschutzrisiken innerhalb eines Spitals aufmerksam gemacht.
Beitragsarten: Beiträge
Rechtsgebiete: Gesundheitsrecht; Datenschutz; Sozialversicherungsrecht;
Patientenrechte, Persönlichkeitsrechte; Kindes- und Erwachsenenschutzrecht
Zitiervorschlag: Yves Gogniat, Datenschutz in Spitälern, in: Jusletter 20. Juni 2016
ISSN 1424-7410, http://jusletter.weblaw.ch, Weblaw AG, [email protected], T +41 31 380 57 77
Yves Gogniat, Datenschutz in Spitälern, in: Jusletter 20. Juni 2016
Inhaltsübersicht
1.
2.
3.
4.
5.
6.
7.
8.
1.
Einleitung
Ausgangslage
2.1. Gesetzliche Grundlagen
2.2. Informationssicherheit
Zweck der Krankengeschichte / Patientendokumentation
Übersicht der Datenströme
Allgemeine Grundsätze bei der Datenbearbeitung von Patientendaten
5.1. Besonders schützenswerte Daten
5.2. Datenbearbeitung
5.3. Datenherausgabe an Dritte
5.4. Archivierung
Interner Datenaustausch
6.1. Spitalpersonal
6.1.1. Allgemeines
6.1.2. Patientengeheimnis
6.1.3. Hilfspersonen
6.1.4. Weitergabe von Patientendaten an Medizinalpersonen
6.1.5. Technische und organisatorische Massnahmen
6.2. Forschung
Externer Datenaustausch
7.1. Sozialversicherung
7.1.1. Allgemeines zu den Sozialversicherungen
7.1.2. Krankenkassen
7.1.2.1. Allgemeines
7.1.2.2. Swiss DRG
7.1.3. Unfallversicherung (UV)
7.1.4. Invalidenversicherung (IV)
7.2. Privatversicherung
7.2.1. Allgemeines
7.2.2. Haftpflichtversicherung
7.3. Bundesbehörden
7.3.1. Bundesamt für Statistik (BFS)
7.3.2. Bundesamt für Gesundheit (BAG)
7.4. Kantone
7.5. Erwachsenenschutzbehörde (KESB)
7.6. Pharmaunternehmen
7.7. Einsichtsrecht des Patienten
Fazit
Einleitung
[Rz 1] Heute sind Spitäler gezwungen diverse Daten mit Versicherungen, anderen Ärzten und
direkt mit dem Patienten auszutauschen. Viele Spitäler arbeiten zurzeit mit veralteten Systemen,
die oft Sicherheitslücken aufweisen und kein nutzerfreundliches Berechtigungsmanagement zulassen. Meist sind die Spitäler nach aussen gut gesichert. Eine Attacke über das Internet bleibt
dementsprechend schwer. Intern sind die Sicherheitsvorkehrungen aber oft ungenügend.1 Man-
1
Vgl. Gefahr für Patienten: Hacker im Operationssaal kapern medizinische Geräte, abrufbar unter http://www.
aargauerzeitung.ch/schweiz/gefahr-fuer-patienten-hacker-im-operationssaal-kapern-medizinische-geraete129763937 (Website zuletzt besucht am 6. Januar 2016).
2
Yves Gogniat, Datenschutz in Spitälern, in: Jusletter 20. Juni 2016
che Spitäler schützen ihre Systeme nur mit Standard-Passwörtern, andere nutzen ungeschützte
Testserver. Dies bestätigt auch eine aktuelle Untersuchung der ETH, bei der 500 Computersysteme von Schweizer Spitälern untersucht wurden. Bei jedem sechsten Spital wurden Sicherheitsmängel festgestellt.2
[Rz 2] Ein interner wie externer Austausch ist für das Funktionieren eines Spitals heutzutage unabdingbar. Dies birgt hohe Anforderungen an das Management und die Kontrolle der diversen
Schnittstellen. Die Gefahr eines Missbrauchs von Patientendaten bzw. einer Verletzung von Persönlichkeitsrechten besteht nicht nur von aussen, sondern auch innerhalb des Spitals. Oft haben
zu viele Personen Zugriﬀ auf einzelne Patientendokumentationen und greifen aus Neugier oder
monetären Interessen auf Daten zu, obwohl sie eigentlich gar nicht dürften. In diesen Fällen sind
meist nicht ganze Datenbanken das Ziel; es handelt sich meist nur um einzelne besonders interessante oder wertvolle Patientendaten. In der Schweiz hat der Verkaufsversuch der Patientenakte
von Michael Schumacher3 für Aufsehen gesorgt und in Deutschland hat sich beim Tugce-Fall4
herausgestellt, dass eine überdurchschnittliche Anzahl von Mitarbeitern die Patientenakte von
Frau Tugce5 gelesen haben, trotz interner Regelungen, welche einen unbegründeten Zugriﬀ eigentlich verbieten.
[Rz 3] Obwohl ein Hackerangriﬀ durch einen Dritten immer eine Gefahr darstellt und die Ergebnisse der erwähnten Studie6 sicherlich nicht auf die leichte Schulter genommen werden sollten,
finden viele Datenschutz- und Persönlichkeitsverletzungen von den in die Behandlung involvierten Personen statt. Neben der konstanten Aktualisierung der Informatikinfrastruktur ist es
ebenso wichtig, dass eine Sensibilisierung der Mitarbeiter betreﬀend die Sicherheit und den Datenschutz von Patientendaten vorgenommen wird. Für die Beteiligten ist aber nicht immer klar,
welche Daten mit wem geteilt werden dürfen, weshalb neben den technischen Massnahmen klare
und verständliche Regelungen für die Mitarbeiter geschaﬀen werden müssen. Oft weisen Mitarbeiterweisungen und Informatiksysteme in diesen Bereichen immer noch Lücken auf. Nachfolgende Ausführungen sollen dem Leser eine Übersicht über den Datenschutz bzw. den Datenaustausch in einem Spital geben.
2
Vgl. Gefahr für Patienten: Hacker im Operationssaal kapern medizinische Geräte, abrufbar unter http://www.
aargauerzeitung.ch/schweiz/gefahr-fuer-patienten-hacker-im-operationssaal-kapern-medizinische-geraete129763937 (Website zuletzt besucht am 6. Januar 2016).
3
Spur im Fall Schumacher führt zur Rega, abrufbar unter http://www.nzz.ch/panorama/ungluecksfaelle-undverbrechen/e-mail-von-helikopter-unternehmen-im-kanton-zuerich-versendet-1.18338439 (Website zuletzt besucht am 6. Januar 2016).
4
Ärzte und Pfleger lasen heimlich Tuçes Krankenakte, abrufbar unter http://www.stern.de/panorama/
pruegelopfer-tugce--aerzte-und-pfleger-lasen-heimlich-ihre-krankenakte-3975540.html (Website zuletzt besucht
am 6. Januar 2016).
5
Ärzte und Pfleger lasen heimlich Tuçes Krankenakte, abrufbar unter http://www.stern.de/panorama/
pruegelopfer-tugce--aerzte-und-pfleger-lasen-heimlich-ihre-krankenakte-3975540.html (Website zuletzt besucht
am 6. Januar 2016).
6
Vgl. Gefahr für Patienten: Hacker im Operationssaal kapern medizinische Geräte, abrufbar unter http://www.
aargauerzeitung.ch/schweiz/gefahr-fuer-patienten-hacker-im-operationssaal-kapern-medizinische-geraete129763937 (Website zuletzt besucht am 6. Januar 2016).
3
Yves Gogniat, Datenschutz in Spitälern, in: Jusletter 20. Juni 2016
2.
Ausgangslage
2.1.
Gesetzliche Grundlagen
[Rz 4] Bei der gesetzlichen Grundlage gilt es zwischen Privatspitälern ohne Leistungsauftrag,
öﬀentlich-rechtlichen Spitälern und Listenspitälern zu unterscheiden. Die Listenspitäler stellen
die gesundheitliche Grundversorgung sicher und übernehmen öﬀentliche Leistungsaufträge. Es
handelt sich dabei vor allem um stationäre Leistungen gemäss der Kranken-, Invaliden-, Unfallund Militärversicherung, stationäre OKP-Leistungen von Listenspitälern im Rahmen krankversicherungsrechtlicher Leistungsaufträge, Notfalldienste im Rahmen von Leistungsaufträgen etc.7
Die öﬀentlich-rechtlich organisierten Spitäler gelten als kantonale Behörden und unterstehen
dem kantonalen Datenschutzgesetz.8 Spitäler die einen Leistungsauftrag erbringen, gelten in diesem Bereich ebenfalls als kantonale Behörden. Dabei ist irrelevant, ob es sich um ein privatrechtliches Spital oder ein öﬀentlich-rechtliches Spital handelt. Das kantonale Datenschutzgesetz ist
grundsätzlich anwendbar. Die kantonalen Datenschutzgesetze regeln das formelle Datenschutzrecht und bilden die Rahmenbedingungen.9 Das heutige Gesundheitssystem ist jedoch eng mit
dem Sozialversicherungssystem verknüpft. Im Sozialversicherungsrecht bestehen heute zahlreiche Bestimmungen zur Datenbearbeitung und Datenweitergabe. Diese materiellen Spezialnormen regeln die notwendigen bereichsspezifischen Aufgaben, damit die verschieden Stellen im
Sozialversicherungssystem ihre Aufgaben überhaupt wahrnehmen können.10 Die Listenspitäler
sind der kantonalen Datenschutzaufsichtsstelle unterstellt11 und vielfach verpflichtet, ihre Datensammlungen registrieren zu lassen.
[Rz 5] Ein Listenspital hat sich bei der internen Datenbearbeitung grundsätzlich an das kantonale Datenschutzgesetz zu halten. Bei gleichzeitiger privatwirtschaftlicher Tätigkeit kann die
Abgrenzung aber schnell unübersichtlich und kompliziert werden, da für die involvierten Personen nicht immer klar ist, ob sie jetzt dem kantonalen oder dem Bundesrecht unterstehen. Dies ist
insofern bedeutsam, als die Datenschutzaufsicht durch kantonale Datenschutzbeauftragte rechtlich stärker ausgestaltet ist, als die Aufsicht durch den EDÖB, der sich im Privatrechtsbereich
grundsätzlich auf eine Systemkontrolle beschränken muss. Hinzu kommt die örtliche Nähe der
kantonalen Datenschutzbeauftragten zu den beaufsichtigten Unternehmen, was der kantonalen
Aufsicht tendenziell auch faktisch eine grössere Wirksamkeit verleihen dürfte.12 Rütsche kommt
in seinem Gutachten zum Ergebnis, dass Spitäler – die einen kantonalen Leistungsauftrag erfüllen bzw. Leistungen im Zusammenhang mit der Grundversicherung erbringen – der kantonalen
Datenschutzaufsicht unterstehen.13
7
Vgl. Bernhard Rütsche, Datenschutzrechtliche Aufsicht über Spitälern, in: Digma, Schriften zum Datenrecht,
Hrsg. Bruno Baeriswyl und Beat Rudin, Band 6, 2012, S. 48.
8
Vgl. EDÖB, Leitfaden für die Bearbeitung von Personendaten im medizinischen Bereich, Juli 2002, S. 4.
9
Vgl. BSK DSG, Rudin/Husi-Stämpfli, Art. 37 N1a, 3. Aufl., Helbing-Lichtenhahn-Verlag 2014.
10
Yvonne Prieur, Datenschutz im Sozialversicherungswesen, in Datenschutzrecht – Beraten in Privatwirtschaft und
öﬀentlicher Verwaltung, Passadelis/Rosenthal/Thür (Hrsg.), Handbücher für die Anwaltspraxis, 1. Aufl., HelbingLichtenhahn-Verlag 2015, Rz. 13.5. / vgl. auch Vgl. BSK DSG, Rudin/Husi-Stämpfli, Art. 37 N1c, 3. Aufl., HelbingLichtenhahn-Verlag 2014.
11
Yvonne Prieur, Welches Datenschutzrecht ist für Spitäler als Arbeitgeber anwendbar? Beispiel: Kanton Bern, in:
Jusletter 18. Mai 2015, Rz 41.
12
Vgl. Bernhard Rütsche, Datenschutzrechtliche Aufsicht über Spitälern, in: Digma, Schriften zum Datenrecht,
Hrsg. Bruno Baeriswyl und Beat Rudin, Band 6, 2012, S. 49.
13
Bernhard Rütsche, Gutachten: Datenschutzrechtliche Aufsicht über Spitäler nach Umsetzung der neuen Spitalfinanzierung, 31. März 2012, S. 43 f.
4
Yves Gogniat, Datenschutz in Spitälern, in: Jusletter 20. Juni 2016
[Rz 6] Für die Privatspitäler, die nicht auf der Spitalliste stehen und deshalb keine öﬀentlichen
Leistungsaufträge wahrnehmen, findet das Bundesgesetz über den Datenschutz (DSG) Anwendung. Lex specialis geht natürlich dem DSG vor.14 Dies gilt wiederum nicht für jene Kantone,
die bestimmte Organisationseinheiten des öﬀentlichen Rechts als solche der kantonalen Datenschutzaufsicht unterstellen, d.h. unabhängig davon, ob sie öﬀentliche Aufgaben erfüllen oder privatwirtschaftlich tätig sind (organisatorischer Organbegriﬀ). Dazu gehören namentlich die Kantone Bern15 , Luzern16 , Genf17 und Waadt18 . In solchen Kantonen unterstehen öﬀentliche Spitäler
auch im Bereich des privatwirtschaftlichen Handelns der kantonalen Datenschutzaufsicht, soweit
sie unter den organisatorischen Organbegriﬀ des kantonalen Datenschutzgesetzes fallen.19
[Rz 7] Für die interne Organisation und Sicherstellung des Datenschutzes wird die Frage der
Abgrenzung erst bei Spezialfragen relevant, da sowohl das DSG wie auch die kantonalen Datenschutzgesetze vergleichbare Anforderungen an den Datenschutz stellen.
[Rz 8] Der Vollständigkeit halber sei hier erwähnt, dass der Datenschutz nicht nur in Bezug auf
die Patienten einzuhalten ist, vielmehr gilt es diesen selbstverständlich bei jeder Bearbeitung von
Personendaten zu beachten. Dieser Artikel beschränkt sich auf die Patientendaten und lässt die
weiteren Personendaten wie bspw. Mitarbeiterdaten aussen vor.
2.2.
Informationssicherheit
[Rz 9] Die Einhaltung des Datenschutzes und des Patientengeheimnisses bilden Teil eines ganzheitlichen Datenschutzmanagementsystems (DSMS).
[Rz 10] Es ist deshalb wichtig, dass der Datenschutz und die Einhaltung des Patientengeheimnisses in die Gesamtstrategie integriert werden und die einzelnen Teile aufeinander abgestimmt
sind. Ein sinnvolles Datenschutzkonzept hat die internen Prozesse, die Mitarbeiter und auch die
Sicherheitssysteme zu berücksichtigen.
[Rz 11] Insbesondere das Design und die technischen Möglichkeiten der Schutzsysteme der ITInfrastruktur müssen in die Umsetzung einbezogen werden und ineinandergreifen. Ein Datenschutzkonzept, das nur auf dem Papier existiert, aber mit der vorhandenen IT-Infrastruktur nicht
korreliert, ist wertlos. Genauso, wenn die Anwendung für den Endnutzer zu kompliziert und umständlich ist, so dass eine Integration in die Arbeitsprozesse zu umständlich wird. Nachfolgend
wird daher wo notwendig auf die IT-Infrastruktur verwiesen.
3.
Zweck der Krankengeschichte / Patientendokumentation
[Rz 12] Die Krankengeschichte bzw. die vollständige Patientendokumentation erfüllt verschiedene Funktionen innerhalb des Spitals. Die Patientendokumentation stellt grundsätzlich das pri-
14
Vgl. EDÖB, Leitfaden für die Bearbeitung von Personendaten im medizinischen Bereich, Juli 2002, S. 4.
15
Art. 2 Abs. 6 Bst. a i.V.m. Art. 4 Abs. 2 Bst. a KDSG BE.
16
§ 2 Abs. 8 DSG LU.
17
Art. 3 LIPAD/GE.
18
Art. 3 LPrD/VD.
19
Bernhard Rütsche, Datenschutzrechtliche Aufsicht über Spitälern, in: Digma, Schriften zum Datenrecht, Hrsg.
Bruno Baeriswyl und Beat Rudin, Band 6, 2012, S. 48.
5
Yves Gogniat, Datenschutz in Spitälern, in: Jusletter 20. Juni 2016
märe Arbeitsinstrument für die Ärzte bei der Behandlung dar. Sie erfüllt gleichzeitig insbesondere
folgende zusätzliche Funktionen:
• Stellt die Dokumentation der ärztlichen Behandlung sicher (Dokumentationspflicht des Arztes).
• Sie dient als Informationsquelle bei einem Arztwechsel.
• Sie dient als Informationsquelle für das Pflegepersonal.
• Sie dient als Entscheidungsgrundlage der Versicherungen für Fragen der Kostenübernahme.
• Sie dient als eine Informationsgrundlage für vormundschaftliche oder strafrechtliche Massnahmen.
[Rz 13] Eine gut geführte Patientendokumentation sollte dementsprechend alle für die Behandlung erforderlichen Personendaten eines Patienten beinhalten sowie die Angaben für deren administrativen Bearbeitung. Der Umgang, die Dokumentation und die sichere Aufbewahrung sind
deshalb wesentlich für die Einhaltung des Datenschutzes. Der Inhalt und die Pflicht zur Führung
einer Patientendokumentation ist in den meisten kantonalen Gesundheitsgesetzen rudimentär
aber nicht abschliessend geregelt.20 Zumindest in den spitalinternen Reglementen sollte der wesentliche Inhalt einer Patientendokumentation genauer festgehalten werden und definiert sein,
welche Person für die Einträge verantwortlich ist. Sinnvollerweise wird die für die Behandlung
verantwortliche ärztliche Person dazu verpflichtet eine entsprechende Behandlungsdokumentation anzulegen und regelmässig nachzuführen.21
[Rz 14] Eine sorgfältig geführte Krankengeschichte weist in chronologischer Ordnung mindestens
folgende drei Elemente auf:22
• Sachverhaltsfeststellungen des Arztes samt Anamnese, Krankheitsverlauf, persönlichem Umfeld des Patienten und diﬀerenzierter Diagnose.
• Angeordnete Therapieformen (zeitlich und quantitativ umschriebene Verabreichung der Medikamente, Eingriﬀe mit Operationsberichten, physikalische oder andere Therapieformen).
• Ablauf und Gegenstand der Aufklärung des Patienten; von einem Arzt wird erwartet, dass
er den Patienten über die vorgesehene Behandlung (Risiken und Chancen einer geplanten
Heilbehandlung) orientiert und dazu seine Einwilligung einholt.
[Rz 15] Zum einen besteht die Krankengeschichte aus den festgehaltenen Beobachtungen und den
mündlichen Abklärungen, zum anderen besteht sie aus rein objektiven Einträgen und Zusatzdokumenten wie Röntgenbilder, Laborergebnisse, Diagnosen, Therapien oder einem Medikamentenprotokoll. Der Begriﬀ der geschützten Daten wird im Kontext des ärztlichen Berufsgeheimnisses weit ausgelegt.23 Der Umfang der Krankengeschichte ist deshalb ebenfalls weit auszulegen.
Es gilt aber zu beachten, dass nur sachbezogene Angaben in der Krankengeschichte festzuhalten
sind. Rein subjektive Wertungen, persönliche Bemerkungen oder Beurteilungen, zum Beispiel
über den Charakter, die Kleidung oder Eigenschaften des Patienten, sind nicht dokumentationswürdig, sofern sie für die Erfassung des Krankheitsbildes nicht bedeutsam sind.24
20
Anstelle von vielen; § 15 GesG AG; Art. 26 GesG BE; § 13 GesG ZH.
21
Als Beispiel kann hier auf § 37 ﬀ. des Reglements über die Rechte und Pflichten der Patientinnen und Patienten
des Luzerner Kantonsspitals verwiesen werden und auf § 55ﬀ. der Verordnungüber die Berufe, Organisationen und
Betriebe im Gesundheitswesen des Kantons Aargau.
22
Wolfgang Wiegand, in Heinrich Honsell (Hrsg.) Handbuch des Arztes, Zürich 1994, S. 198 ﬀ.
23
Vgl. BSK Strafrecht II – Oberholzer, Art. 321 N 10.
24
Vgl. EDÖB, Leitfaden für die Bearbeitung von Personendaten im medizinischen Bereich, Juli 2002, S. 9.
6
Yves Gogniat, Datenschutz in Spitälern, in: Jusletter 20. Juni 2016
4.
Übersicht der Datenströme
[Rz 16] Während der Behandlung eines Patienten werden von verschiedenen internen Stellen
und Personen Daten über den Patienten erfasst und untereinander ausgetauscht. Je nach Grund,
Umfang und Verlauf der Behandlung fordern verschiedene externe Stellen einen Zugang bzw. die
Herausgabe von (Teil-) Daten eines Patienten.
5.
Allgemeine Grundsätze bei der Datenbearbeitung von Patientendaten
[Rz 17] Die allgemeinen Grundsätze des Datenschutzes gelten grundsätzlich im Anwendungsbereich des kantonalen Datenschutzrechts sowie auch auf Bundesebene, da alle Kantone die Datenschutzgrundsätze ins kantonale Recht übernommen haben.
5.1.
Besonders schützenswerte Daten
[Rz 18] Patientendaten sind besonders schützenswerte Personendaten, da bei medizinischen Behandlungen oder Eingriﬀen gezwungenermassen intime Daten und Informationen zur Gesundheit erfasst werden müssen. Bei der Bearbeitung von besonders schützenswerten Personendaten
sind zusätzliche Anforderungen zu beachten. Besonders schützenswerte Personendaten dürfen
nur bearbeitet werden, wenn
• es ein formelles Gesetz ausdrücklich vorsieht,
• es für eine in einem formellen Gesetz klar umschriebene Aufgabe unentbehrlich ist,
• die betroﬀene Person im Einzelfall eingewilligt oder ihre Personendaten allgemein zugänglich
gemacht hat.
5.2.
Datenbearbeitung
[Rz 19] Nicht für jede Weitergabe von Personendaten besteht eine gesetzliche Grundlage und von
einer stillschweigenden Einwilligung kann auch nur in Ausnahmefällen ausgegangen werden. In
einem solchen Fall ist die Einwilligung bei der betroﬀenen Person einzuholen.
[Rz 20] Es dürfen nur rechtmässig beschaﬀte Daten verwendet werden. Die Angaben für die Krankengeschichte sind – wenn immer möglich – bei der betroﬀenen Person selbst zu erheben. Der
Patient hat dabei ein Recht auf Aufklärung über die Art und Weise der beabsichtigten Datenbearbeitung. Bereits bei der Beschaﬀung der Daten muss der Arzt die Einwilligung des Patienten
für die weitere Datenbearbeitung einholen. In der Praxis hat deshalb der Patient bei Spitaleintritt
eine Einwilligungserklärung zur Datenbearbeitung zu unterzeichnen.25
[Rz 21] Personendaten dürfen nur zum Zweck bearbeitet werden, der bei der Beschaﬀung angegeben wurde, aus den Umständen ersichtlich, zur Erfüllung der Aufgabe erforderlich oder gesetzlich vorgesehen ist. Neben dem Grundzweck der Erstellung der Patientendokumentation zur
25
Vgl. EDÖB, Leitfaden für die Bearbeitung von Personendaten im medizinischen Bereich, Juli 2002, S. 8.
7
Yves Gogniat, Datenschutz in Spitälern, in: Jusletter 20. Juni 2016
Durchführung einer medizinischen Behandlung werden die Personendaten aber noch für andere
Zwecke bearbeitet.26 Liegt eine ausreichende gesetzliche Grundlage vor, so ist eine persönliche
Einwilligung zur Datenherausgabe nicht notwendig27 , aus Transparenzgründen ist eine Aufklärung trotzdem empfehlenswert. Gerade im Sozialversicherungsbereich bestehen vielfach ausreichende gesetzliche Grundlagen, um eine Datenweitergabe ohne Einwilligung zu rechtfertigen.
[Rz 22] Die Daten dürfen nicht in einer Art und Weise erhoben werden, mit der die Person nach
Treu und Glauben nicht rechnen durfte und nicht einverstanden wäre.
[Rz 23] Es gilt den Grundsatz der Verhältnismässigkeit zu beachten. Es dürfen nur dort Personendaten bearbeitet werden, wo dies notwendig ist. Ausserdem muss die Bearbeitung geeignet sein,
den geforderten Zweck mit dem mildesten Mittel zu erreichen.
[Rz 24] Beispielsweise sind vor der ersten ärztlichen Konsultation von Erwachsenen neben Namen, Vornamen, Adresse und Krankenkasse keine weiteren Angaben zu erheben, wie bspw. genaue Geburtstage oder Berufe der Eltern oder Ehepartner. Letztere sind keine Angaben, die sich
direkt auf den neuen Patienten beziehen, und sind, sofern überhaupt erforderlich, erst in einem
späteren Zeitpunkt zu erfassen.28 Es sind deshalb technische und organisatorische Sicherheitsmassnahmen zu definieren, die das Risiko einer missbräuchlichen Bearbeitung minimieren.
[Rz 25] Für jede wichtige Aufgabe muss das Spital den Datenschutz sicherstellen und hier gilt es
nicht nur den elektronischen Bereich sondern auch den physischen Bereich zu berücksichtigen.
[Rz 26] Es sind:
• Klare Verantwortlichkeiten und Zugriﬀsrechte zu definieren.
• Der Zugriﬀ ist auf das Notwendige zu minimieren.
• Die physischen Prozesse (bspw. Umgang mit Papierakten) müssen ebenfalls berücksichtigt
werden.
• Der Zugriﬀ und die Datenbearbeitung sind entsprechend zu überwachen und zu kontrollieren (Protokollierung).
• Der Datentransfer hat sicher zu erfolgen.29
5.3.
Datenherausgabe an Dritte
[Rz 27] Dritten dürfen Auskünfte über den Patienten oder die Patientin nur dann erteilt werden,
wenn eine Einwilligung des Patienten vorliegt, eine gesetzliche Grundlage für die Weitergabe
besteht oder der behandelnde Arzt von der Aufsichtsbehörde vom Patientengeheimnis entbunden
wurde.30
[Rz 28] Der Patient kann gemäss EDÖB je nach Situation ausdrücklich – das heisst mündlich oder
schriftlich – oder stillschweigend in die Weitergabe seiner persönlichen Gesundheitsdaten einwilligen. Er muss freiwillig und ohne Druck entscheiden können, ob er seine Einwilligung geben
26
Vgl. EDÖB, Leitfaden für die Bearbeitung von Personendaten im medizinischen Bereich, Juli 2002, S. 9.
27
Vgl. BGE 133 V 359 E. 8.3.
28
Vgl. EDÖB, Leitfaden für die Bearbeitung von Personendaten im medizinischen Bereich, Juli 2002, S. 9.
29
Vgl. Art. 8 ﬀ. VDSG.
30
Vgl. Art. 17 Abs. 2 DSG und BSK-Strafrecht II – Oberholzer, Art. 321, N 18 ﬀ.
8
Yves Gogniat, Datenschutz in Spitälern, in: Jusletter 20. Juni 2016
will. Die Einwilligung ist ferner nur gültig, wenn sich der Patient über das Ausmass der ganzen
Datenbearbeitung, den Zweck und den/die Empfänger der Daten im Klaren ist.31
[Rz 29] Deshalb hält der EDÖB die pauschalen Einwilligungserklärungen für nichtig, welche auf
manchen Formularen für Versicherungsanträge oder in den Allgemeinen Geschäftsbedingungen
zu finden sind.
[Rz 30] Weshalb bei diesen pauschalen Einwilligungen – gleich wie bei einer stillschweigenden
Einwilligung – eine zurückhaltende Weitergabe ratsam ist. Sofern eine Weitergabe nicht oﬀensichtlich ist, wie bspw. bei der Weitergabe eines Arztberichts an den überweisenden Hausarzt zur
Durchführung der Nachkontrolle, ist unbedingt eine Einwilligung einzuholen.32
[Rz 31] Für ein Arzt und ein Spital ist es nicht immer einfach abzuschätzen, ob in einem konkreten Fall ein überwiegendes privates oder öﬀentliches Interesse vorliegt, das die Weitergabe von
Gesundheitsdaten – auch ohne oder gar gegen den Willen des Patienten – rechtfertigen würde.
[Rz 32] Ein öﬀentliches Interesse geht in der Regel mit einer entsprechenden Gesetzesbestimmung einher, die eindeutig formulierte Meldepflichten und – rechte enthält. Im Fall eines privaten Interesses muss der Arzt die Interessenabwägung «delegieren» und die zuständige Aufsichtsbehörde, in der Regel die kantonale Gesundheitsdirektion, um Befreiung vom Berufsgeheimnis
ersuchen (Art. 321 Schweizerisches Strafgesetzbuch, StGB).33
5.4.
Archivierung
[Rz 33] Die Daten sind nach Abschluss der Behandlung während mindestens zehn Jahre aufzubewahren. In bestimmten Fällen können kantonale Regelungen sogar eine längere Aufbewahrungsfrist vorsehen.34 Während der gesamten Aufbewahrungsdauer muss das Einsichtsrecht der Patienten in ihre Patientendokumentation gewahrt bleiben. Die Aufbewahrung muss über alle Systeme gewährleistet sein. Nach Ablauf der Aufbewahrungsfrist ist die Löschung sicherzustellen.35
Wird die Patientendokumentation nur elektronisch geführt, ist durch technische Vorkehrungen
sicherzustellen, dass einmal erfolgte Eintragungen nicht mehr gelöscht werden können und stattdessen eine Versionierung stattfindet. Dies deshalb, um die vom Gesetz verlangte Möglichkeit zur
lückenlosen Rückverfolgung der Urheberschaft aller zu irgendeinem Zeitpunkt einmal erfolgten
Eintragungen zu gewährleisten. Aus dem gleichen Grund hat sowohl bei der schriftlichen wie
der elektronischen Führung der Patientendokumentation eine allfällige Korrektur (einer tatsächlich erfolgten, aber falschen) Eintragung nicht durch deren Löschung bzw. Beseitigung, sondern
in Form einer entsprechenden Ergänzung zu erfolgen. Bei umstrittenen Eintragungen können
Patientinnen und Patienten eine Ergänzung der Patientendokumentation im Sinne einer Gegendarstellung verlangen, sofern sie ein schützenswertes Interesse geltend machen können.36
31
Vgl. EDÖB, Leitfaden für die Bearbeitung von Personendaten im medizinischen Bereich, Juli 2002, S. 18.
32
Vgl. EDÖB, Leitfaden für die Bearbeitung von Personendaten im medizinischen Bereich, Juli 2002, S. 18.
33
Schweizerische Akademie der Medizinischen Wissenschaften, Rechtliche Grundlagen im medizinischen Alltag –
Ein Leitfaden für die Praxis, 2. überarbeitete Auflage, 2013, S.136.
34
Vgl. Art. 26 Abs. 2 GesG BE; § 15 Abs. 2 GesG AG.
35
Vgl. Reto Mathys, Anforderungen an KIS, in: DIGMA 2015.1, S. 15.
36
Gesundheitsdirektion des Kantons Zürich, Weisung zum Patientinnen- und Patientengesetz, S. 8.
9
Yves Gogniat, Datenschutz in Spitälern, in: Jusletter 20. Juni 2016
[Rz 34] Für ein Spital ist es wichtig, dass technisch und organisatorisch die Vollständigkeit der
Patientendokumentation sichergestellt werden kann. Hier ist vor allem an die Ergänzung aller
Zusatzdokumente zu denken. Das Spital muss eine vollständige Einsicht (Auskunftsrecht), Datenherausgabe als Kopien und Archivierung gewährleisten können.37 Das Auskunftsrecht und
die Pflicht zur Archivierung sind in den kantonalen Gesetzen geregelt, ungeregelt bleibt aber die
Frage, ob die Patienten vor der Vernichtung der Patientendokumentation informiert werden müssen und die Patientendokumentation anstelle einer Vernichtung an die Patienten herausgegeben
werden darf. Sofern im Rahmen des Auskunftsrechts eine vollständige Einsicht gegeben werden
könnte, spricht eigentlich nichts dagegen, dass die Patienten anstelle von Kopien ihre Originalakte erhalten, dies aber natürlich erst nach Ablauf der gesetzlichen Aufbewahrungspflicht.
6.
Interner Datenaustausch
6.1.
Spitalpersonal
6.1.1.
Allgemeines
[Rz 35] Ein Spital haftet als Arbeitgeber und Leistungserbringer gegenüber seinen Vertragspartnern (Patienten und Lieferanten usw.) wie auch gegenüber Dritten. Es haftet für eine funktionierende und sichere Unternehmensorganisation, unter anderem für die sorgfältige Auswahl,
Instruktion und Überwachung seiner Arbeitnehmer.38 Alle Mitarbeiter haben sich an die organisatorischen und personellen Weisungen des Spitals zu halten.39 Das Spital hat dafür ihre Fürsorgepflichten als Arbeitgeber wahrzunehmen.40 Die leitenden Ärzte und Chefärzte arbeiten jedoch
fachlich weisungsungebunden.
[Rz 36] Die Führung und Organisation der Patientendokumentation ist Teil der Unternehmensorganisation und kann deshalb durch das Spital vorgegeben werden. Alle Mitarbeiter haben sich
daran zu halten inkl. den leitenden Ärzten und Chefärzten.
[Rz 37] Das Spital als Inhaber der Patientendaten ist für diese verantwortlich und hat die Datensicherheit und den Persönlichkeitsschutz nicht nur nach aussen sondern auch nach innen zu
gewährleisten. Es ist sicherzustellen, dass nur diejenigen Personen Zugriﬀ auf die Daten haben,
die dazu berechtigt sind bzw. die Daten für ihre Arbeit eﬀektiv benötigen.
6.1.2.
Patientengeheimnis
[Rz 38] Wie bereits ausgeführt41 , bedarf die Weitergabe an Dritte entweder einer Einwilligung
des Patienten, einer gesetzlichen Grundlage oder der behandelnde Arzt lässt sich durch die Aufsichtsbehörde im entsprechenden Verfahren vom Patientengeheimnis entbinden.
37
Vgl. Reto Mathys, Anforderungen an KIS, in: DIGMA 2015.1, S. 14; vgl. Ziﬀ. 0.
38
Schweizerische Akademie der Medizinischen Wissenschaften, Rechtliche Grundlagen im medizinischen Alltag –
Ein Leitfaden für die Praxis, 2. überarbeitete Auflage, 2013, S.136.
39
Vgl. Art. 321d OR.
40
Vgl. Art. 328 OR.
41
Siehe Datenherausgabe an Dritte.
10
Yves Gogniat, Datenschutz in Spitälern, in: Jusletter 20. Juni 2016
[Rz 39] Für einen Arzt ist es nicht immer einfach abzuschätzen, ob er nun zur Weitergabe berechtigt ist oder nicht.42 Ein Arzt ist nicht nur an den Datenschutz sondern gleichzeitig an das Berufsgeheimnis bzw. das Patientengeheimnis gebunden (Art. 321 StGB). In gewissen Fällen muss
er sich deshalb zuerst von der zuständigen Aufsichtsbehörde vom Berufsgeheimnis entbinden
lassen, wenn keine Einwilligung des Patienten beigebracht werden kann.
6.1.3.
Hilfspersonen
[Rz 40] Eine Weitergabe an eine Hilfsperson ist grundsätzlich zulässig, da Hilfspersonen der zur
Geheimhaltung verpflichteten Ärzte gleichgestellt sind. Unter Hilfspersonen versteht man Personen, die einen Geheimnisträger unterstützen und auch mit den vertraulichen Informationen in
Kontakt kommen. Der Kreis der Hilfspersonen wird heute sehr weit gezogen, wobei es vor allem
auf die Aufgabe und nicht auf die Funktion ankommt. Die Nähe zwischen Geheimnisträger und
Hilfsperson wird dadurch sehr relativ, entspricht aber den heutigen Realitäten.43 Im Kontext des
Spitals fängt die Hilfspersonenstellung beim Krankenpfleger an und hört beim Verwalter auf. Soweit Mitarbeiter mit Patienten oder Informationen über Patienten in Berührung kommen, z. B.
Reinigung, Ambulanz, Telefondienst, etc., gelten sie als Hilfspersonen. Nicht als Hilfspersonen
gelten Gärtner oder das Wartungspersonal für technische Einrichtungen.44
[Rz 41] Umso wichtiger werden deshalb die allgemeinen Grundsätze des Datenschutzgesetzes,
insbesondere Datensicherheit und Verhältnismässigkeit der Datenbearbeitung. Die Verantwortung für die Datenbearbeitung verbleibt immer beim Auftraggeber, der die den Umständen angemessenen Sorgfaltspflichten anwenden muss.45
[Rz 42] Ein grosser Teil der Mitarbeiter gilt somit bereits als Hilfsperson und darf grundsätzlich
in die Patientendaten Einsicht erhalten. Es gilt Verhältnismässigkeit zu wahren und die Einsichtsrechte bei den Hilfspersonen auf das Notwendige zu beschränken. Dies kann über Zugriﬀsrechte
und Weisungen gesteuert werden, was es natürlich zu kontrollieren gibt. Niemand muss auf alle
Patientendaten zugreifen können. Es sollten daher nur die Hilfspersonen auf eine Patientendokumentation Zugriﬀ haben, wenn sie an dessen Behandlung beteiligt sind. Gerade mit einem älteren
Klinikinformationssystem (KIS) wird sich dies aber in der Praxis meist nur schwer umsetzen lassen. Technisch ist der Zugang aber so weit als möglich zu beschränken, bspw. auf die Abteilung
oder jeweilige Station.
6.1.4.
Weitergabe von Patientendaten an Medizinalpersonen
[Rz 43] Selbst in einem Spital sind nicht alle medizinischen Mitarbeiter per se zum Zugriﬀ auf
eine Patientendokumentation berechtigt. Entgegen einer da und dort noch verbreiteten Meinung
bedarf auch die Weitergabe von Gesundheitsdaten an Ärzte oder andere Medizinalpersonen (Physiotherapeuten, Hebammen, Apotheker etc.) der Einwilligung des Patienten.46 Ein Arzt darf ei-
42
EDÖB, Leitfaden für die Bearbeitung von Personendaten im medizinischen Bereich, Juli 2002, S. 18.
43
Ursula Uttinger, Inwieweit bestimmen Patienten noch über ihre Daten?, in: Pflegerecht, 2015, S. 5; vgl. auch BSK
Strafrecht II – Oberholzer, Art. 321 N 6.
44
Vgl. Stefan Trechsel, Schweizersiches Strafgesetzbuch – Kurzkommentar, 2. Auflage, Art. 321 N 13.
45
Ursula Uttinger, Inwieweit bestimmen Patienten noch über ihre Daten?, in: Pflegerecht, 2015, S. 5.
46
EDÖB, Leitfaden für die Bearbeitung von Personendaten im medizinischen Bereich, Juli 2002, S. 18.
11
Yves Gogniat, Datenschutz in Spitälern, in: Jusletter 20. Juni 2016
nem anderen Arzt Angaben über einen Patienten nur weitergeben, wenn der Patient damit einverstanden ist.47 Ausserdem dürfen nur jene Informationen weitergegeben werden, die nötig sind.
Zwar kann neben der ausdrücklichen Zustimmung eine stillschweigende oder bloss mutmassliche Einwilligung des Patienten zulässig sein. Eine Weitergabe von Patienteninformation muss
sicherlich bei Notfallpatienten, gestützt auf eine mutmassliche Einwilligung zulässig sein. Doch
ist es sinnvoll, die Patienten ausdrücklich über die Abläufe zu informieren. Was für den Arzt
selbstverständlich ist, ist es nicht für die Patienten.48
[Rz 44] Im Spital darf man von der mutmasslichen Einwilligung des Patienten ausgehen, so dass
die an der Behandlung direkt beteiligten Personen einander jene Patientendaten mitteilen dürfen
und sollen, die für die sichere Behandlung nötig sind.49 Eine transparente Information über die
Weitergabe ist trotzdem zu empfehlen.
[Rz 45] Bei der Weitergabe an Ärzte ausserhalb des Spitals ist ebenfalls Vorsicht geboten. Von einer stillschweigenden bzw. mutmasslichen Einwilligung des Patienten zur Weitergabe von Daten
an den zuweisenden Hausarzt oder Spezialisten kann allenfalls aus den Umständen geschlossen
werden. Im Zweifelsfall ist jedoch die ausdrückliche Einwilligung des Patienten einzuholen.50
6.1.5.
Technische und organisatorische Massnahmen
[Rz 46] Das Spital hat technische und organisatorische Massnahmen zu treﬀen, damit die Patientendaten nicht ohne weiteres weitergegeben werden können oder darauf zugegriﬀen werden
kann. Der Zugriﬀ ist auch intern auf das Notwendige zu beschränken. Technisch steht hier das
KIS eines Spitals im Vordergrund. Gerade ein moderndes KIS ermöglicht heute eine umfassende
Verknüpfung mit der gesamten IT-Infrastruktur des gesamten Spitals. So können bspw. Laboranalysen oder CT-Aufnahmen direkt ins KIS übermittelt werden.51 Dieser schnelle und umfassende Austausch von Daten reduziert auf der einen Seite natürlich das Risiko, dass Information
zu langsam oder unvollständig an den behandelnden Arzt gelangen, auf der anderen Seite haben
über die vielen Schnittstellen potenziell mehr Personen Zugriﬀ auf Patientendaten, was wiederum die Gefahr eines Missbrauchs erhöht. Die oﬀenen Zugriﬀsrechte stellen eine oft angetroﬀene
Schwachstelle in den Spitälern dar.52
[Rz 47] Es kann hier Rudin nur zugestimmt werden, dass die Zeiten vorbei sein sollten, wo mit der
Begründung, dies sei zur guten Behandlung der Patientinnen und Patienten nötig, alle in einem
Spital auf die Patientendaten zugreifen können, keine Sperr- und Löschmöglichkeiten vorgesehen
sind und Datenzugriﬀe nicht aufgezeichnet werden.53
47
Vgl. EDÖB, Schweigepflicht – Gilt die Schweigepflicht auch zwischen Ärzten, abrufbar unter http://www.edoeb.
admin.ch/datenschutz/00768/00808/00831/index.html?lang=de (Website zuletzt besucht am 24. Mai 2016).
48
Schweizerische Akademie der Medizinischen Wissenschaften, Rechtliche Grundlagen im medizinischen Alltag –
Ein Leitfaden für die Praxis, 2. überarbeitete Auflage, 2013, S.108 f.
49
Schweizerische Akademie der Medizinischen Wissenschaften, Rechtliche Grundlagen im medizinischen Alltag –
Ein Leitfaden für die Praxis, 2. überarbeitete Auflage, 2013, S.108 f.
50
Vgl. das Beispiel des EDÖB im Leitfaden für die Bearbeitung von Personendaten im medizinischen Bereich, Juli
2002, S. 18.
51
Vgl. Reto Mathys, Anforderungen an KIS, in: DIGMA 2015.1, S. 15.
52
Vgl. Reto Mathys, Anforderungen an KIS, in: DIGMA 2015.1, S. 15.
53
Vgl. Beat Rudin, Datenschutz und IT-Sicherheit im Spital, in: DIGMA 2015.1, S. 4 f.
12
Yves Gogniat, Datenschutz in Spitälern, in: Jusletter 20. Juni 2016
[Rz 48] Als ersten Schritt ist ein Berechtigungskonzept zu erstellen, um organisatorisch die Zugriﬀsrechte zu regeln. Wie der Fall Tugce54 gezeigt hat, reichen organisatorische Massnahmen
alleine nicht aus. Es sind ebenfalls technische Massnahmen zu ergreifen. Insbesondere müssen
die technischen Möglichkeiten implementiert werden, um die organisatorischen Massnahmen
wirksam kontrollieren zu können. Um die Einhaltung überhaupt kontrollieren zu können und
allenfalls einen Missbrauch nachvollziehen zu können, ist eine Protokollierung notwendig. Eine Protokollierung wirkt meist auch präventiv, so dass diese beispielweise Zugriﬀe aus reiner
Neugier verhindert. Es gilt jede Datenbearbeitung zu protokollieren. Das Lesen, Verändern und
Löschen von Daten, inkl. Zugriﬀsversuche, ist zu protokollieren.55 Das gleiche gilt auch für die
Systemadministrationstätigkeiten (z.B. Wartungsvorgänge) und den Export von Daten. Die Protokolle dürfen natürlich wiederum nur von autorisierten Personen eingesehen werden. Die Protokollierung ist im Informatiksystem so auszugestalten, dass in der Praxis eine Auswertung eﬀektiv
möglich wird. Beispielsweise kann eine mehrstufige Auswertung stattfinden, um der Datenmenge Herr zu werden und nur die Verdachtsfälle genauer prüfen zu müssen.
[Rz 49] Durch die Implementierung von technischen Massnahmen können somit gewisse Verstösse bereits proaktiv verhindert werden. Gerade bei älteren Systemen lassen sich die nachfolgend
genannten Funktionen gar nicht vollständig umsetzen, da bei der Beschaﬀung des KIS der Datenschutz noch kein so grosses Thema war und eine nachträgliche Softwareanpassung zu teuer wäre.
In diesen Fällen bleibt die Überwachung oft die einzig sinnvolle Massnahme. Bei der Beschaﬀung
eines neuen KIS ist es deshalb wichtig einen Privacy by Design56 Ansatz zu verfolgen und bereits
an den Datenschutz zu denken. Am wichtigsten ist, dass ein Zugriﬀ auf Patientendaten grundsätzlich nur denjenigen möglich sein darf, die an der verwaltungsmässigen Abwicklung oder an
der medizinischen- oder pflegerischen Behandlung beteiligt sind.57
[Rz 50] Für einen datenschutzkonformen Betrieb sind folgende Funktionen notwendig:
•
•
•
•
•
•
•
•
Rollenbasierte Zugriﬀsvergabe,
Automatische Einschränkung auf alte Falldaten,
Automatische Einschränkung des Zugriﬀs auf Daten von Mitarbeitenden,
Protokollierung des Notfallzugriﬀs einschliesslich des Zugriﬀgrunds,
Zeitliche Sperrung von Benutzerkonten,
Sperrung bei wiederholt fehlerhafter Passworteingabe,
Automatische Erkennung unbenutzter Benutzerkonten,
Möglichkeit einer starken Authentifizierung (Zwei-Faktor-Authentifizierung) und eine automatische Überprüfung der Passwortstärke.58
[Rz 51] Auf der anderen Seite muss die Patientendokumentation als Ganzes oder in Teilen zweckmässig exportiert werden können. Je nach Situation kann dies ebenfalls die Zugriﬀs- und Änderungsprotokolle beinhalten.59 Die Zuständigkeiten, der Ablauf der Herausgabe und die Einsicht
von Patientendaten sind innerhalb des Spitals zu regeln. Es ist sicherzustellen, dass das Aus-
54
FN 5.
55
Vgl. Art. 10 VDSG.
56
Introduction to PbD abrufbar unter https://www.ipc.on.ca/english/Privacy/Introduction-to-PbD/ (Website zuletzt
besucht am 24. Mai 2016).
57
Helmut Eiermann, Langer Weg braucht langen Atem, in: DIGMA 2015.1, S. 6.
58
Vgl. Reto Mathys, Anforderungen an KIS, in: DIGMA 2015.1, S. 15.
59
Vgl. Privatim, Merkblatt – Klinikinformationssysteme (KIS), Dezember 2014, S. 2.
13
Yves Gogniat, Datenschutz in Spitälern, in: Jusletter 20. Juni 2016
kunftsrecht der Patienten umfassend gewährleistet werden kann. Technisch muss der Export aller Patienteninformationen zu einem Behandlungsfall, inkl. Zugriﬀs- und Änderungsprotokolle,
möglich sein.60 Gleichzeitig muss während der laufenden Behandlung die Ergänzung von Falldaten (inkl. referenzierten Systemen) gewährleistet werden, um die Berichtigung von falschen
Daten zu ermöglichen.61 Wie nachfolgend aufgezeigt wird, haben die verschiedenen Stellen unterschiedliche Rechte auf die Herausgabe von Daten. Teilweise ist auch eine Pseudonymisierung oder
Anonymisierung notwendig; auch dies gilt es bei der technischen und organisatorischen Umsetzung
zu berücksichtigen (Privacy by Design).
6.2.
Forschung
[Rz 52] Neben der Behandlung von Patienten wird in Spitälern auch Forschung betrieben. Die
Ärzte bleiben aber auch bei der Forschung grundsätzlich an das Patientengeheimnis gebunden.
Ärzte können sich zu Forschungszwecken durch die Aufsichtsbehörde von dem Patientengeheimnis entbinden lassen.62 Sie müssen die Patienten aber entsprechend aufklären oder sie zumindest
über ihr Widerspruchsrecht informieren.63 Dies muss in einer für den Patienten verständlichen
Weise geschehen und hat freiwillig zu erfolgen. Die Freiwilligkeit im Rahmen einer medizinischen Behandlung ist immer kritisch zu hinterfragen, da diese oft in einer Stresssituation des
Patienten erfolgt. Die Vor- und Nachteile sind deshalb möglichst objektiv darzulegen und dem
Patienten dürfen keinesfalls irgendwelche Vorteile versprochen werden.64 Der Patient darf nicht
den Eindruck erhalten, dass er bei einer Ablehnung, keine qualitativ gleichwertige Behandlung
erhält.
[Rz 53] Die Daten werden primär von den behandelnden Ärzten erfasst und an die Forscher zur
Gesundheitsforschung weitergegeben. Viele Daten werden anschliessend von weiteren Forschern
genutzt, die den Patienten nicht kennen.65 Dafür sind die Daten zu anonymisieren oder pseudonymisieren. Bereits im Zeitpunkt der Erhebung der Daten sind die Patienten über eine mögliche
Weitergabe der Daten zu informieren und gleichzeitig ist die Einwilligung der betroﬀenen Patienten einzuholen oder die Patienten sind über ihr Widerspruchsrecht zu informieren.66
[Rz 54] Um den Persönlichkeitsschutz möglichst zu gewährleisten, ist mit anonymisierten oder
mindestens verschlüsselten (= pseudonymisierten) Daten zu arbeiten.67 Für Personen, welche die
Zuordnungsregel bzw. den Schlüssel haben, stellen die pseudonymisierten Daten weiterhin Personendaten dar. Für alle anderen sind es keine Personendaten, sofern sie keinen Zugang zum
Schlüssel haben und auch sonst keine Rückschlüsse auf die Identität möglich sind. Der für die
Bestimmung einer Person zu betreibende Aufwand ist in diesem Sinne insb. dann nicht mehr
60
Vgl. Privatim, Merkblatt – Klinikinformationssysteme (KIS), Dezember 2014, S. 2.
61
Vgl. Reto Mathys, Anforderungen an KIS, in: DIGMA 2015.1, S. 14.
62
Art. 321bis StGB.
63
Art. 7 HFG.
64
Vgl. Botschaft zum Bundesgesetz über die Forschung am Menschen vom 21. Oktober 2009, BBl 2009 8106 und
8100.
65
Ursula Uttinger, Inwieweit bestimmen Patienten noch über ihre Daten?, in: Pflegerecht, 2015, S. 4.
66
Art. 17 HFG.
67
Ursula Uttinger, Inwieweit bestimmen Patienten noch über ihre Daten?, in: Pflegerecht, 2015, S. 4; vgl. auch Art.
32 ﬀ. HFG und § 49 f. Patientenreglement LUKS.
14
Yves Gogniat, Datenschutz in Spitälern, in: Jusletter 20. Juni 2016
vertretbar, wenn nach den allgemeinen Lebenserfahrungen nicht damit gerechnet werden muss,
dass ein Interessent diesen auf sich nehmen wird (etwa durch eine komplizierte Analyse einer
Statistik).68 Die Ergebnisdaten einer Arzneimittelstudie stellen nach Rosenthal für jene Kreise
Personendaten dar, welche die Identität der Probanden kennen; für den Sponsor (Auftraggeber)
der Studie oder eine Heilmittelbehörde stellen die Ergebnisdaten jedoch normalerweise keine
Personendaten dar, wenn die Namen und weiteren Kennzeichen zuvor durch eine neutrale Nummer ersetzt wurden.69 Soweit eine anonymisierte Verwendung der Information möglich ist und
daraus keine Rückschlüsse auf die Identität der Patienten gezogen werden können, liegt gar kein
Eingriﬀ in das Patientengeheimnis vor, so dass auch der Tatbestand von Art. 321bis StGB nicht
erfüllt ist70 .
[Rz 55] Bestehen Zweifel an einer ausreichenden Pseudonymisierung bzw. dass die Identität von
den Dritten entschlüsselt werden kann (Anonymisierung), sind die Patienten gestützt auf das
HFG aufzuklären. Ansonsten reicht es aus, wenn die Patienten auf ihr Widerspruchsrecht aufmerksam gemacht werden.71 Eine routinemässige Aufklärung im allgemeinen Aufnahmeformular genügt, da an die Aufklärung weniger hohe Anforderungen zu stellen sind als beim allgemeinen Rechtfertigungsgrund der Einwilligung des Verletzten. Ein Hinweis darauf, dass die personenbezogenen Daten für die medizinische Forschung verwendet werden können, genügt.72 Solange die Daten in verschlüsselter Form weitergegeben werden, ist eine pauschale Einwilligung
auch unter dem Humanforschungsgesetz möglich.73
[Rz 56] Ein Spital sollte deshalb eine entsprechende Aufklärung auf sein Aufnahmeformular aufnehmen. Zusätzlich bleibt ein Spital als Dateninhaber mitverantwortlich, dass die Daten nicht
mehr als Personendaten gelten und keine Personendaten weitergegeben werden. Ist dies nicht
möglich, hat das Spital sicherzustellen, dass eine Einwilligung vorliegt, der Patient entsprechend
aufgeklärt wurde und die notwendigen Bewilligungen der Aufsichtsbehörden vorliegen, ansonsten sich das Spital strafrechtlichen und datenschutzrechtlichen Risiken aussetzt.
7.
Externer Datenaustausch
7.1.
Sozialversicherung
7.1.1.
Allgemeines zu den Sozialversicherungen
[Rz 57] Im Sozialversicherungsrecht haben Personen, die Versicherungsleistungen beanspruchen,
alle Personen und Stellen, namentlich Arbeitgeber, Ärztinnen und Ärzte, Versicherungen sowie Amtsstellen im Einzelfall zu ermächtigen, die Auskünfte zu erteilen, die für die Abklärung
68
Vgl. BSK DSG – Gabor P. Blechta, 3. Auflage, Art. 3 N 11, 2014.
69
Vgl. David Rosenthal, Handkommentar DSG, Zürich 2008, Art. 3 Bst. b N 40.
70
BSK Strafrecht II – Oberholzer, Art. 321bis N 9.
71
Art. 32 ﬀ. HFG und Art. 321bis StGB.
72
BSK Strafrecht II – Oberholzer, Art. 321bis N 9; vgl. auch Trechsel, Schweizerisches Strafgesetzbuch – Kurzkommentar, 2. Auflage, Art. 321bis N 10.
73
Botschaft zum Bundesgesetz über die Forschung am Menschen vom 21. Oktober 2009, BBl 2009 8045, 8121,
(Kritsch dagegen: Ursula Uttinger, Inwieweit bestimmen Patienten noch über ihre Daten?, in: Pflegerecht, 2015,
S. 5 und der EDÖB lehnt ebenfalls pauschale Zustimmungen ab, EDÖB, Leitfaden für die Bearbeitung von Personendaten im medizinischen Bereich, Juli 2002, S. 18.
15
Yves Gogniat, Datenschutz in Spitälern, in: Jusletter 20. Juni 2016
von Leistungsansprüchen erforderlich sind. Diese Personen und Stellen sind zur Auskunft verpflichtet (Art. 28 Abs. 3 Bundesgesetz über den Allgemeinen Teil des Sozialversicherungsrechts;
ATSG). Alle Beteiligten, die an der Durchführung sowie der Kontrolle oder der Beaufsichtigung
der Durchführung der Sozialversicherungsgesetze beteiligt sind, haben gegenüber Dritten Verschwiegenheit zu bewahren (Art. 33 ATSG). Die ins Verfahren involvierten Parteien gelten aber
nicht als Dritte im Sinne von Art. 33 ATSG, weshalb eine Auskunft zulässig ist. Die Ermächtigung bezieht sich natürlich nur auf den konkret abzuklärenden Leistungsfall, jedoch können
dazu ebenfalls Angaben zu einem kausalen Vorzustand gehören. Der Umfang bzw. die zur Abklärung notwendigen medizinischen Akten kann die jeweilige Sozialversicherung festlegen. Dies
hat das Bundesgericht in einem Entscheid 201174 festgehalten.75
[Rz 58] Bereits aus den allgemeinen Regelungen des Sozialversicherungsrechts ergibt sich somit
für ein Spital und deren Ärzte eine Mitwirkungspflicht und Auskunftspflicht. Das heisst aber
nicht, dass Ärzte den Umfang der Datenweitergabe nicht weiterhin kritisch hinterfragen dürfen.
[Rz 59] Natürlich kann ein Patient eine Auskunft an die Sozialversicherung verweigern. In diesem
Fall dürfen das Spital und die behandelnden Ärzte keine Auskunft erteilen. Der Patient muss aber
mit der Ablehnung einer Leistung rechnen. Aufgrund der Sorgfaltspflicht sind die involvierten
Parteien verpflichtet den Patienten über dessen Nachteile bei einer Verweigerung aufzuklären.76
7.1.2.
Krankenkassen
7.1.2.1. Allgemeines
[Rz 60] Die zu Lasten der obligatorischen Krankenpflegeversicherung erbrachten Leistungen
(Art. 25–31 Bundesgesetz über die Krankenversicherung; KVG) müssen wirksam, zweckmässig
und wirtschaftlich sein (Art. 32 Abs. 1 Satz 1 KVG). Der Krankenversicherer ist berechtigt und
verpflichtet zu überprüfen, ob die erbrachten Leistungen das Wirtschaftlichkeitsgebot respektieren.77 Sie führen dafür eine WZW-Prüfung durch.
[Rz 61] Nach Art. 84 KVG sind die mit der Durchführung sowie der Kontrolle oder der Beaufsichtigung der Durchführung dieses Gesetzes betrauten Organe, wozu auch die Krankenversicherer gehören, befugt, die Personendaten, einschliesslich besonders schützenswerter Personendaten und Persönlichkeitsprofile, zu bearbeiten oder bearbeiten zu lassen, die sie benötigen, um
die ihnen nach diesem Gesetz übertragenen Aufgaben zu erfüllen, namentlich unter anderem um
Leistungsansprüche zu beurteilen (Art. 84 lit. c KVG). Die Bearbeitung von Personendaten muss
sich auf das beschränken, was zur Erfüllung der Aufgaben nötig ist; besondere Bestimmungen,
wie etwa Art. 42 KVG, haben Vorrang vor der allgemeinen Regelung.78 Es liegt somit eine formell
gesetzliche Grundlage vor, die eine Datenherausgabe erlaubt.
74
BGE 137 V 210 E. 1.2.1, S. 219
75
Vgl. Hubert Bär, Herausgabe medizinischer Daten an Versicherer, in: ASA/SVV Medinfo 2012/1, S. 73.
76
Vgl. Hubert Bär, Herausgabe medizinischer Daten an Versicherer, in: ASA/SVV Medinfo 2012/1, S. 65.
77
BGE 127 V 43 E. 2e, S. 48.
78
Vgl. BGE 133 V 359 E. 6.4.
16
Yves Gogniat, Datenschutz in Spitälern, in: Jusletter 20. Juni 2016
7.1.2.2. Swiss DRG
[Rz 62] Im Spitalbereich wir überwiegend nach SwissDRG abgerechnet. Die Spitäler erstellen ihre Rechnungen gemäss SwissDRG. Die verlangten Angaben sind somit bereits standardisiert und
ein Spital hat hier keinen Spielraum. Das Spital liefert die entsprechenden administrativen und
medizinischen Angaben (Minimal Clinical Dataset, MCD) gemäss Art. 42 Abs. 3 KVG i.V.m. Art.
59 Verordnung über die Krankenversicherung (KVV) damit die Versicherer eine WZW-Prüfung
(Wirksamkeit, Zweckmässigkeit und Wirtschaftlichkeit)79 durchführen können. Damit der Datenschutz gewährleistet ist und der Versicherer nur in diejenigen medizinischen Daten Einsicht
hat, die er tatsächlich benötigt, gehen die SwissDRG-Rechnungen nicht direkt an den Versicherer, sondern zuerst an die Datenannahmestelle (DAS) des Versicherers.80 Die DAS führt eine sogenannte Dunkelprüfung durch. Bei der sogenannten Dunkelprüfung wird untersucht, ob die
Rechnung und das MCD, d.h. die darin enthaltenen Diagnosen und Prozeduren, Auﬀälligkeiten aufweisen. Für die Dunkelprüfung werden Auslenkungsregeln angewandt, welche durch den
Krankenversicherer definiert werden. Diese Auslenkungsregeln können verschiedenartig ausgestaltet sein. Einerseits sind solche vonnöten, die die eben erwähnte versicherungstechnische Prüfung der Rechnung ermöglichen. Andererseits müssen Auslenkungsregeln definiert werden, welche die WZW-Prüfung auf der Basis der medizinischen Daten durchführen. Hier wird z.B. auf der
Rechnung überprüft, ob die Haupt- und Nebendiagnose miteinander kompatibel sind oder ob die
Diagnose und die Behandlung übereinstimmen. Wird durch die Anwendung der Auslenkungsregeln eine Auﬀälligkeit entdeckt, sei sie versicherungstechnischer oder medizinischer Art, wird
die Rechnung ausgelenkt. Dies bedeutet, dass sie zu einer genaueren und diesmal individuellen
Überprüfung an eine zuständige Stelle des Krankenversicherers geleitet wird.81 Werden keine
Auﬀälligkeiten entdeckt wird die Rechnung direkt bezahlt. In diesem Fall ergeben sich auch keine weiteren datenschutzrelevanten Probleme. Bestehen Auﬀälligkeiten, wird eine individuelle
Prüfung durch die DRG-Fachstelle oder den Vertrauensarzt durchgeführt. Beide können, falls
sie es benötigen, zusätzliche Auskünfte medizinischer Natur verlangen (Art. 42 Abs. 4 KVG). Ist
die DRG-Fachstelle die ersuchende Stelle, muss die versicherte Person darauf hingewiesen werden, dass die Möglichkeit besteht, diese zusätzlichen Daten nur dem Vertrauensarzt bekannt zu
geben (Art. 59a Abs. 5 KVV).82 Die versicherte Person kann bereits beim Spitalaustritt verlangen, dass das Spital die SwissDRG-Rechnung mit einem Vermerk «Vertrauensarzt/vertraulich»
versieht (Art. 42 Abs. 5 KVG). In einem solchen Fall wird die Rechnung von der DAS direkt an
den Vertrauensarzt weitergeleitet. Die Spitäler sollten ihre Patienten entsprechend aufklären und
die internen Abläufe so ausgestalten, dass ein Vertraulichkeitsvermerk entsprechend angebracht
wird, wenn ein solcher gewünscht ist.
[Rz 63] Hat die versicherte Person beim Austritt die Weitergabe an den Vertrauensarzt nicht gewünscht und möchte der Versicherer zu einem ausgelenkten medizinischen Datensatz weitere
Angaben vom Leistungserbringer, so hat er die versicherte Person darüber zu informieren. Die
versicherte Person hat nun erneut ein Wahlrecht, ob sie mit der Bekanntgabe der weitergehenden
79
Vgl. Rudolf Luginbühl, Zauberwort WZW, in: Schweizer Personalvorsorge xx 12, S. 1f.
80
SwissDRG und Datenannahmestellen, abrufbar unter http://www.edoeb.admin.ch/datenschutz/
00756/00973/01149/index.html?lang=de (Website zuletzt besucht am 6. Januar 2016).
81
Sarah Winkler, Datenschutzrechtliche Anforderungen an die Datenbearbeitungen der Datenannahmestelle nach
Art. 59a KVV, in Jusletter 24. August 2015, Rz 17 f.
82
Sarah Winkler, Datenschutzrechtliche Anforderungen an die Datenbearbeitungen der Datenannahmestelle nach
Art. 59a KVV, in Jusletter 24. August 2015, Rz 21.
17
Yves Gogniat, Datenschutz in Spitälern, in: Jusletter 20. Juni 2016
medizinischen Angaben an den Versicherer einverstanden ist oder ob sie die Bekanntgabe an den
Vertrauensarzt wünscht. In der Praxis setzen die Versicherer diese Vorschrift oftmals so um,
dass sie auf das Informieren der versicherten Person verzichten und die weiteren medizinischen Angaben vom Leistungserbringer generell zuhanden des Vertrauensarztes verlangen.83
Datenschutzrechtlich Problematisch ist der Fall, wenn die Fachstelle DRG weitere und sehr umfassende medizinische Daten verlangt. Grundsätzlich ist das Spital verpflichtet die notwendigen
Angaben zu liefern84 , die die Krankenversicherung benötigt, um die Rechnung zu prüfen und
die WZW-Prüfung durchzuführen. Werden im Rahmen einer Detailprüfung jedoch weitere Daten benötigt, hat das Spital diese an einen Vertrauensarzt zu senden und nicht direkt an die
Versicherung.
[Rz 64] Dies führt zu folgendem Vorgehen:
1. Stufe: Das Spital stellt der Versicherung eine detaillierte und verständliche Rechnung zu (DRG
konform).
2. Stufe: Benötigt die Krankenversicherung im Einzelfall zusätzliche Angaben, gelangt diese mit
spezifischen und auf den konkreten Fall bezogenen Fragen an das Spital. Das Spital beantwortet die Anfrage und stellt die Antwort ggf. dem vertrauensärztlichen Dienst zu. Die Krankenversicherung stellt der versicherten Person zur Information eine Kopie der Anfrage zu.
3. Stufe: Sind diese Angaben ausnahmsweise nicht ausreichend, kann die Krankenversicherung
einen Austritts- oder Operationsbericht einholen. Sie stellt der versicherten Person zur Information eine Kopie zu. Das Spital sendet die Unterlagen meist direkt an den vertrauensärztlichen
Dienst.85
7.1.3.
Unfallversicherung (UV)
[Rz 65] Die Unfallversicherung muss den Sachverhalt gemäss Art. 43 ATSG von Amtes wegen
abklären. Es gilt die Untersuchungsmaxime. Die obligatorische Unfallversicherung basiert – im
Unterschied zur Krankenversicherung – auf dem Naturalleistungsprinzip. Der Versicherer hat
die Pflegeleistungen in natura auf seine Kosten zu erbringen. Der Versicherer wird damit zum
Schuldner gegenüber dem Arzt oder dem Spital. Die Ärzte und Spitäler als Leistungserbringer
sind aufgrund einer öﬀentlich-rechtlichen Rechtsbeziehung im Auftrag des Unfallversicherers
tätig und zur Mitwirkung verpflichtet.86
[Rz 66] Die UVG-Versicherer haben mit den Art. 96 und 97 ﬀ. Bundesgesetz über die Unfallversicherung (UVG) die notwendigen gesetzlichen Grundlagen zur Datenbearbeitung und Datenbeschaﬀung. Zudem gelten für Abklärung und Mitwirkung die Art. 27 ﬀ. ATSG. Hinzu kommt der
Art. 54a UVG, welcher die Auskunftspflicht der Leistungserbringer (Ärzte, Spitäler) regelt und
damit sowohl eine formalgesetzliche Grundlage für die Datenbekanntgabe, wie auch eine Ausnahme von der ärztlichen Schweigepflicht beinhaltet. Nun ist zu beachten, dass gemäss Art. 1
83
SwissDRG und Datenannahmestellen, abrufbar unter http://www.edoeb.admin.ch/datenschutz/
00756/00973/01149/index.html?lang=de (Website zuletzt besucht am 6. Januar 2016).
84
Art. 42 KVG.
85
Austritts- und Operationsberichte, abrufbar unter http://www.edoeb.admin.ch/datenschutz/
00628/00653/00662/index.html?lang=de (Website zuletzt besucht am 6. Januar 2016).
86
M. Fuchs, U. Uttinger, B, Soltermann, Datenschutz und UVG, in Schweizerische Ärztezeitung, 2001, 82, Nr. 50,
S. 2624.
18
Yves Gogniat, Datenschutz in Spitälern, in: Jusletter 20. Juni 2016
UVG das Medizinalrecht und Tarifwesen vom Anwendungsbereich des ATSG ausgeschlossen ist.
Daraus folgt, dass das ATSG auf das Verhältnis der versicherten Person zur Unfallversicherung
anwendbar ist, nicht aber auf die Beziehungen der Unfallversicherung zu den Leistungserbringern. Das heisst, dass Art. 54a UVG massgebend ist für Art und Umfang der Auskunftserteilung
durch Leistungserbringer.87
[Rz 67] Zu Inhalt und Umfang der Auskunftspflicht in der Unfallversicherung kann auf eine
inzwischen gefestigte Praxis verwiesen werden. Unter die in Art. 54a UVG genannten Angaben
fallen nicht nur Auskünfte, sondern auch Unterlagen, also Urkunden und Augenscheinobjekte.
Nun hat der Versicherungsträger unter Mitwirkung der versicherten Person gestützt auf Art. 43
ATSG für die richtige und vollständige Feststellung des rechtserheblichen Sachverhalts zu sorgen.
Dieser umfasst sämtliche anspruchsbegründenden, anspruchsvermindernden und anspruchsvernichtenden Tatsachen.88
[Rz 68] Liefert ein Arzt oder ein Spital trotz Auﬀorderung keine oder nur ungenügende Angaben, können sich daraus negative Folgen für den Leistungserbringer wie auch für den Patienten ergeben.
So wäre der Versicherungsträger unter gewissen Voraussetzungen und nach einer Abmahnung
befugt, die Leistungen einzustellen. Dies wiederum könnte zu rechtlichen Schritten des Patienten
gegenüber dem Arzt oder dem Spital führen.89
[Rz 69] Ein Arzt oder Spital kann die Herausgabe von Unterlagen nur in drei Ausnahmefällen
verweigern, nämlich:90
• aus persönlichen Gründen, wenn die Beantwortung der Fragen bzw. die Herausgabe von Unterlagen für den Arzt und/oder seine nächsten Verwandten einen Schaden bedeuten würde;
• wenn es sich um Personendaten ausschliesslich zum persönlichen Gebrauch handelt (z.B. persönliche Notizen auf dem Krankenblatt des Versicherten, Vermerke organisatorischer Art);
• wenn und solange es sich um unerhebliche oder sachfremde Daten handelt. Für die Beurteilung der Heilbehandlung eines einfachen Meniskusschadens muss beispielsweise das Durchführungsorgan keine Kenntnis von einer früheren psychiatrischen Behandlung haben. Der
rechtserhebliche Sachverhalt ist allerdings eher weit zu fassen.
[Rz 70] Im Ergebnis ist somit das Spital nicht nur befugt, sondern verpflichtet dem UVG-Versicherer
alle notwendigen Unterlagen herauszugeben.
7.1.4.
Invalidenversicherung (IV)
[Rz 71] Mit der Anmeldung bei der IV sieht das Gesetz eine gesetzliche Ermächtigung zur Auskunftserteilung vor – ohne dass der Versicherte aktiv einwilligt: Gemäss Art. 6a Bundesgesetz
über die Invalidenversicherung (IVG) müssen in Abweichung zu Art. 28 Abs. 3 ATSG mit der
Geltendmachung des Leistungsanspruches alle in der Anmeldung erwähnten Personen und Stellen der IV-Versicherung sämtliche Auskünfte erteilen. Diese Auskunftspflicht besteht auch für
87
Markus Fuchs, Aktuelle datenschutzrechtliche Fragen im UVG, in: SZS 2012, 431.
88
Markus Fuchs, Aktuelle datenschutzrechtliche Fragen im UVG, in: SZS 2012, 432; vgl. dazu auch Roger Peter,
Besteht eine Pflicht des Arztes zur Herausgabe von Daten seines Patienten an das Durchführungsorgan der obligatorischen Unfallversicherung?, in: SZS 2001, 154 ﬀ.
89
Markus Fuchs, Aktuelle datenschutzrechtliche Fragen im UVG, in: SZS 2012, 433.
90
M. Fuchs, U. Uttinger, B, Soltermann, Datenschutz und UVG, in: Schweizerische Ärztezeitung, 2001, 82, Nr. 50,
S. 2625.
19
Yves Gogniat, Datenschutz in Spitälern, in: Jusletter 20. Juni 2016
Arbeitgeber und Leistungserbringer, wenn sie nicht in der Anmeldung erwähnt sind. Eine Einwilligung ist nicht Voraussetzung. Argumentiert wird mit Prozessökonomie und Verfahrensbeschleunigung.91
[Rz 72] Das Spital bzw. der zuständige Arzt ist somit grundsätzlich zur Auskunft verpflichtet.
7.2.
Privatversicherung
7.2.1.
Allgemeines
[Rz 73] Im Gegensatz zu den Sozialversicherungen besteht hier ein privatrechtliches Vertragsverhältnis. Das ATSG ist nicht anwendbar. Es gelten die Regeln des Datenschutzgesetzes. Das
Recht zur Datenbearbeitung ergibt sich aus den gegenseitigen Vertragspflichten der Parteien. Ein
Rechtfertigungsgrund zur Bearbeitung von Personendaten durch den Versicherer lässt sich aus
Art. 13 Abs. 2 lit. a DSG ableiten. Personendaten dürfen zum Zweck der Vertragserfüllung bearbeitet werden. Um die Versicherungsansprüche umfassend abzuklären, müssen die Schadenspezialisten Einsicht in die Patientendokumentation haben.92 Zur Abklärung der medizinischen
Seite können diese beratende Ärzte beiziehen. Die beratenden Ärzte unterstehen als Hilfspersonen ebenfalls dem DSG. Eine Weitergabe der medizinischen Akten nur an die Vertrauensärzte,
analog Art. 57 KVG, ist nicht vorgesehen.93
[Rz 74] Das Spital bzw. der behandelnde Arzt kann Patientendaten grundsätzlich an die Privatversicherung herausgeben. Sicherheitshalber sollte dies aber erst nach Rücksprache mit dem
Patienten geschehen, da dieser ein Verweigerungsrecht hat.
7.2.2.
Haftpflichtversicherung
[Rz 75] Im Haftpflichtbereich ist der Patient nicht Versicherungsnehmer, sondern Geschädigter
und Anspruchsteller. Er steht in keinem Vertragsverhältnis zur Versicherung. Er macht jedoch
einen ausservertraglichen Schaden (Personenschaden) bei der Versicherung geltend. Derjenige
der einen Schaden geltend macht, hat diesen im Haftpflichtrecht zu beweisen (Art. 41 Obligationenrecht; OR, Art. 8 Schweizerisches Zivilgesetzbuch; ZGB). Der Patient hat also regelmässig die
Pflicht, seinen (Personen-)Schaden und den Kausalzusammenhang zum Schadenereignis nachzuweisen um Leistungen zu erhalten. Das kann er nur mit seinem medizinischen Dossier oder der
Aussage des Arztes.94 Der Aussage von Bär, dass oﬀensichtlich einige gute Gründe vorliegen, den
Haftpflichtversicherer mit Patientenakten zu bedienen, kann nur teilweise gefolgt werden.95 Natürlich hat der Patient ein Interesse einen Schaden zu belegen, daraus aber bereits auf die Einwilligung zur Herausgabe von Akten zu schliessen, ginge zu weit. Da weder eine gesetzliche Grundlage noch ein überwiegendes privates oder öﬀentliches Interesse besteht, ist die Einwilligung des
Patienten erforderlich. Eine stillschweigende Einwilligung kann hier nicht angenommen werden.
91
Ursula Uttinger, Inwieweit bestimmen Patienten noch über ihre Daten?, in: Pflegerecht, 2015, S. 3.
92
Vgl. Hubert Bär, Herausgabe medizinischer Daten an Versicherer, in: ASA/SVV Medinfo 2012/1, S. 70.
93
Vgl. Hubert Bär, Herausgabe medizinischer Daten an Versicherer, in: ASA/SVV Medinfo 2012/1, S. 69.
94
Hubert Bär, Herausgabe medizinischer Daten an Versicherer, in: ASA/SVV Medinfo 2012/1, S. 70.
95
Vgl. Aussage Hubert Bär, Herausgabe medizinischer Daten an Versicherer, in: ASA/SVV Medinfo 2012/1, S. 70.
20
Yves Gogniat, Datenschutz in Spitälern, in: Jusletter 20. Juni 2016
[Rz 76] Verweigert der Patient die Herausgabe, ist er auf die möglichen Nachteile hinzuweisen.
Will der Patient nur Teile der Akten herausgeben, ist Vorsicht geboten, da evtl. damit der Tatbestand der Beihilfe zum Versicherungsbetrug erfüllt werden könnte.96 Das Spital bzw. der Arzt
sollte in diesem Fall entweder einen Vermerk in den Akten machen oder die gesamten Patientenakten an den Patienten oder deren Rechtsvertreter aushändigen. Dann kann der Patient selber
entscheiden, ob er das Risiko eingehen will und nur einen Teil der Akten einreichen möchte.
7.3.
Bundesbehörden
7.3.1.
Bundesamt für Statistik (BFS)
[Rz 77] Das Bundesstatistikgesetz sammelt entsprechende Falldaten, mit dem Ziel der Einrichtung von Gesundheitsstatistiken auf nationaler Ebene. Dadurch soll eine Beurteilung des
Gesundheits- und Sozialwesen ermöglicht werden (Art. 3 Abs. 2b Bundesstatistikgesetz; BStatG).
Dafür arbeitet das BFS mit den Kantonen und Gemeinden (Art. 3 Abs. 3 und Art. 7 BStatG)
zusammen. Ausserdem sieht das BStAtG vor, dass der Bundesrat bei der Anordnung einer Erhebung natürliche und juristische Personen des privaten und öﬀentlichen Rechts zur Auskunft
verpflichten kann (Art. 6, Abs.1 BStatG). Vorschriften bezüglich der medizinischen Statistik der
Krankenhäuser enthält die Verordnung vom 30. Juni 1993 über die Durchführung von statistischen Erhebungen des Bundes. Diese Verordnung bestimmt das BFS zum verantwortlichen Erhebungsorgan und regelt die Durchführung.97
[Rz 78] Die Kantone wurden mit der Organisation der Erhebung beauftragt und liefern die Daten
an das BFS.
[Rz 79] Damit liegt eine ausreichende rechtliche Grundlage vor, die das Spital zur Weitergabe von
Gesundheitsdaten verpflichtet.
[Rz 80] Teilweise verlangt das BFS individuelle Patientendaten, um diese zu einer Gesamtübersicht verknüpfen zu können (z.B. Rehospitalisationen). Der Datenschutz ist insofern gewährleistet, als das BFS selbst eine Anonymisierung der Daten vornimmt und um die Einhaltung des
Datenschutzes besorgt ist.98
7.3.2.
Bundesamt für Gesundheit (BAG)
[Rz 81] Das Bundesamt für Gesundheit ist beauftragt, Betriebskennzahlen und medizinische
Qualitätsindikatoren der Schweizer Spitäler zu veröﬀentlichen. Sie basieren auf den Daten der
Krankenhausstatistik und der medizinischen Statistik der Krankenhäuser, welche das Bundesamt für Statistik jährlich erhebt.99 Sie erhalten somit die Daten bereits in anonymisierter Form
vom BFS.
96
Vgl. Hubert Bär, Herausgabe medizinischer Daten an Versicherer, in: ASA/SVV Medinfo 2012/1, S. 71.
97
Vgl. Bundesamt für Statistik, Medizinische Statistik der Krankenhäuser – Detailkonzept 1997, Version vom 12.
Dezember 2005, S. 9.
98
Vgl. Bundesamt für Statistik, Medizinische Statistik der Krankenhäuser – Detailkonzept 1997, Version vom 12.
Dezember 2005, S. 37 ﬀ.
99
Spitäler, abrufbar unter http://www.bag.admin.ch/themen/krankenversicherung/01156/01157/?lang=de (Website
zuletzt besucth am 6. Januar 2016).
21
Yves Gogniat, Datenschutz in Spitälern, in: Jusletter 20. Juni 2016
7.4.
Kantone
[Rz 82] In den kantonalen Gesundheits- und Spitalgesetzen finden sich an verschiedenen Stellen
ein Recht der kantonalen Behörden von den Spitälern Daten und teilweise auch Patientendaten zu
Kontroll- und Überwachungszwecken heraus zu verlangen und zu bearbeiten. Dabei bleiben die
Kantone an die allgemeinen Grundsätze des kantonalen Datenschutzrechts gebunden und haben
insbesondere die Verhältnismässigkeit zu wahren. So können bspw. bei einer Kodierrevision oder
bei einem Controlling der Wirksamkeit, Zweckmässigkeit, Wirtschaftlichkeit und Qualität der
Leistungserbringung Personendaten bearbeitet werden. Bei einer Kodierrevision sind die gleich
hohen Massstäbe anzusetzen wie bei den Krankenversicherungen. Die Weitergabe muss auf das
Notwendige beschränkt sein und darf nur an die gesetzlich vorgesehenen Stellen und Personen
erfolgen. Ein freier Zugriﬀ ist abzulehnen.
7.5.
Erwachsenenschutzbehörde (KESB)
[Rz 83] Solange eine Person urteilsfähig ist, hat diese selber zu entscheiden. Erst wenn eine Person
urteilsunfähig ist, kommt das Erwachsenschutzrecht zum Tragen. Das neue Erwachsenenschutzrecht räumt Angehörigen oder nahestehenden Personen eines Urteilsunfähigen gewisse gesetzliche Vertretungsrechte ein. Behördliche Massnahmen des Erwachsenenschutzes sind nur dann
anzuordnen, wenn sich die eigene Vorsorge und die Betreuung durch Angehörige als ungenügend
erweisen.100
[Rz 84] Bestehen Zweifel an der Urteilsfähigkeit, der Vertretungsbefugnis eines Angehörigen oder
der Gültigkeit einer Patientenverfügung, ist die zuständige Erwachsenschutzbehörde zu informieren.101 Die genauen Zuständigkeiten und der Umfang einer Meldung sind kantonal geregelt.
Die Entbindung von der Schweigepflicht zur Abklärung von Kinds- und Erwachsenschutzmassnahmen ist in den kantonalen Gesundheitsgesetzen jeweils genauer geregelt.102 Die Erwachsenschutzbehörde entscheidet danach in einem Verfahren über die Ergreifung einer Massnahme. Im
Rahmen dieses Verfahrens hat die Behörde den Sachverhalt von Amtes wegen abzuklären. Um
die Urteilsfähigkeit nach Art. 16 ZGB abklären zu können und (medizinische) Massnahmen anzuordnen, ist diese auf die medizinischen Unterlagen angewiesen. Im Rahmen dieses Verfahrens
sind die Informationen an die Behörde herauszugeben.
7.6.
Pharmaunternehmen
[Rz 85] Interessieren sich Pharmaunternehmen für Patientendaten zu Forschungszwecken, sind
diese analog den Ausführungen über die Forschung weiterzugeben.
[Rz 86] Bei Daten z. B. zu Marketingzwecken ist das DSG zu beachten. Handelt es sich um Personendaten, ist eine Einwilligung notwendig, ausser die Daten können in anonymisierter Form
weitergegeben werden.
100 Schweizerische Akademie der Medizinischen Wissenschaften, Rechtliche Grundlagen im medizinischen Alltag –
Ein Leitfaden für die Praxis ,2. überarbeitete Auflage, 2013, S. 28.
101 Vgl. Art. 381 Abs. 2 ZGB.
102 Vgl. bspw. § 21 Abs. 2 GesG AG; § 2 Patientinnen- und Patientengesetz ZH.
22
Yves Gogniat, Datenschutz in Spitälern, in: Jusletter 20. Juni 2016
[Rz 87] Das Spital muss hier jeweils eine Einzelfallbeurteilung vornehmen.
7.7.
Einsichtsrecht des Patienten
[Rz 88] Beim Patienten stellt sich nicht die Frage einer zulässigen Datenherausgabe, da es sich
um seine eigene Daten handelt. Im Kontext des Spital-Patientenverhältnis stellen sich Fragen der
Richtigkeit und Vollständigkeit der Daten, des Einsichtsrechts und der Aufbewahrungsdauer.
Erst durch das Einsichtsrecht ist ein Patient überhaupt in der Lage nachzuprüfen, ob ein Patientendossier richtig und vollständig ist, wobei der Patient als Laie für die Kontrolle wiederum
auf eine Fachperson angewiesen sein wird. Inwiefern eine Akte berechtigt werden muss, kann
natürlich wiederum zu grossen Diskussionen führen und kann im Rahmen dieses Beitrags nicht
abgehandelt werden.
[Rz 89] Der behandelnde Arzt und das Spital haben zum einen aus Auftragsrecht eine Rechenschaftspflicht, zum anderen kann jeder Patient gestützt auf das anwendbare Datenschutzrecht
Auskunft verlangen und in seine Patientendokumentation Einsicht nehmen. Nur wenn ein Patient Auskunft über seine Daten erhält, kann er dessen Vollständigkeit und Richtigkeit überprüfen.
[Rz 90] Der Inhaber der Datensammlung muss der auskunftsverlangenden Person grundsätzlich
sämtliche über sie in ihrer Datensammlung vorhandenen Daten (je nach den Umständen des Einzelfalles beispielsweise die ganze Krankengeschichte, objektivierbare Untersuchungsergebnisse, Labor- und Röntgenbefunde, erhärtete Diagnosen sowie Bild- und Tonaufzeichnungen über
durchgeführte medizinische Massnahmen, Gutachten, Berichte und Zeugnisse) mitteilen.103
[Rz 91] Allgemein gilt:
[Rz 92] Was aufbewahrt wird, wird auch mitgeteilt. Sofern sie nicht bereits aus den Unterlagen selbst
hervorgehen, sind auch folgende Angaben mitzuteilen:
• Der Zweck der Bearbeitung
• Gegebenenfalls die Rechtsgrundlage des Bearbeitens
• Kategorien der an der Erfassung von Patientendaten Beteiligten (wer, ausser dem Arzt, Daten
eingeben oder verändern darf)
• Kategorien von allfälligen Datenempfängern104
[Rz 93] Der Patient hat das Recht, sich aus seinem Patientendossier Kopien (bzw. Ausdrucke bei
elektronisch geführten Dossiers) geben zu lassen. Wenn nur einzelne Unterlagen kopiert werden
müssen, sollte dies kostenlos sein. Wenn der Arbeitsaufwand für diese Kopien besonders gross
ist, können dafür allenfalls Gebühren verlangt werden.105 Gerade die Herausgabe bzw. der Erhalt
von Kopien der Akten sind für den Patienten wichtig, denn nur so kann er bspw. eine Behandlung
an einem anderen Ort nahtlos weiterführen.
[Rz 94] Das Einsichtsrecht des Patienten könnte aufgrund eines schutzwürdigen Interesses Dritter oder des behandelnden Personals eingeschränkt werden.106 Eine Auskunft ist nur in Ausnah-
103 EDÖB, Leitfaden für die Bearbeitung von Personendaten im medizinischen Bereich, Juli 2002, S. 11.
104 Robert Gmür, Die ärztliche Dokumentationspflicht und das Auskunftsrecht der Patientin, Schweizerische Ärzte-
zeitung, Band 75, Heft 9, 2. März 1994, S. 342.
105 Datenschutzbeauftragter Kanton Zürich, Patientendossier – meine Rechte, 2., aktualisierte Auflage, April 2014, S.
4; § 38 Abs. 3 Patientenreglement LUKS.
106 § 40 Patientenreglement LUKS.
23
Yves Gogniat, Datenschutz in Spitälern, in: Jusletter 20. Juni 2016
mefällen zu verweigern, da bei einer Interessenabwägung die Interessen des Patienten praktisch
immer überwiegen werden. Vor allem im Bereich der Psychiatrie kann es zu Ausnahmen kommen, wenn bspw. Familienangehörige oder andere Drittpersonen betroﬀen sind, deren Geheimhaltungsinteressen überwiegen.107 In einem solchen Fall wäre eine Teileinsicht zu prüfen oder
die Patientendokumentation allenfalls an den Vertrauensarzt des Patienten herauszugeben. Eine
komplette Verweigerung ist nur zulässig, wenn kein milderes Mittel möglich ist.
8.
Fazit
[Rz 95] In die Behandlung eines Patienten sind heute viele Personen gemeinsam involviert und
aufgrund unseres umfassenden und komplexen Sozialversicherungssystems sind immer wieder
unterschiedliche Stellen über den Behandlungsverlauf eines Patienten zu informieren. Immer
mehr Prozesse sind oder werden in Zukunft automatisiert. Trotzdem werden gerade in der Krankenpflege und im Gesundheitswesen immer noch Menschen mitarbeiten und den Austausch von
Personendaten veranlassen oder diese Daten bzw. den Datenaustausch kontrollieren. Es genügt
deshalb als Spital nicht, lediglich die IT-Sicherheit auf dem neusten Stand zu halten. Die eingebunden Stellen und Personen müssen sich über den Umgang mit Personendaten ebenfalls im
Klaren sein. Werden Personendaten bewusst oder unbewusst falsch bearbeitet und fahrlässig weitergeben, hilft auch kein noch so gutes IT-System.
Yves Gogniat, ist Rechtsanwalt in Luzern/ Zürich bei Die Advokatur Sury AG und Lehrbeauftragter für Informatik- und Immaterialgüterrecht an der Zürcher Hochschule für angewandte
Wissenschaften (ZHAW) in Winterthur.
107 EDÖB, Leitfaden für die Bearbeitung von Personendaten im medizinischen Bereich, Juli 2002, S. 13.
24

Download Report