DSGVO und DSG: Datenschutz und Gesundheitsdaten in der Schweiz
Wissen
Der Schutz von Gesundheitsdaten ist ein zentrales Thema im Schweizer Datenschutzrecht und gewinnt mit dem technologischen Fortschritt zunehmend an Bedeutung. Im Interview mit Dr. iur. Christian Wind, Rechtsanwalt, sprechen wir über die Herausforderungen und Besonderheiten des Schweizer Datenschutzgesetzes bei der Verarbeitung von sensiblen Gesundheitsdaten.
Darüber hinaus beleuchtet er die Rolle neuer Technologien wie Künstlicher Intelligenz und Blockchain, deren Potenziale und ethische Fallstricke sowie die Bedeutung internationaler Datenschutzstandards. Lesen Sie, welche Schritte Institutionen ergreifen können, um sich rechtlich abzusichern und gleichzeitig Innovationen zu fördern.
Welche Herausforderungen siehst du im Zusammenhang mit der Erhebung und Nutzung von Gesundheitsdaten?
Gesundheitsdaten sind besonders sensibel und unterliegen als besonders schützenswerte Personendaten sowohl in der Schweiz als auch in der EU strengen Schutzanforderungen. Das Datenschutzgesetz (DSG) sagt, dass falls eine Einwilligung bei der Bearbeitung von besonders schützenswerten Personendaten (wie z.B. Gesundheitsdaten) erforderlich ist, dann muss diese Einwilligung – anders als sonst – ausdrücklich sein. Das DSG sagt aber nicht, dass es immer eine Einwilligung braucht. So können z.B. Gesundheitsdaten bei ärztlichen Behandlungen auch ohne weiteres ohne Einwilligung bearbeitet werden. Zudem bestehen hohe Anforderungen an die Datensicherheit, da Cyberangriffe ein wachsendes Risiko darstellen.
Wie schätzt du die Rolle neuer Technologien wie Künstlicher Intelligenz oder Blockchain beim Umgang mit Gesundheitsdaten ein? Welche rechtlichen oder ethischen Fragen ergeben sich dabei?
Künstliche Intelligenz kann Datenanalysen revolutionieren, birgt aber Risiken wie Diskriminierung oder Intransparenz. Blockchain bietet Datensicherheit, widerspricht aber gewissen Datenschutzgrundsätzen wie dem „Recht auf Vergessenwerden“.
Konkret stellen sich bei der Künstlichen Intelligenz nicht nur rechtliche Fragen, wie z.B. Transparenz der Algorithmen, Haftung bei Fehlentscheidungen, Datenschutz und Minimalprinzip bei sensiblen Daten, sondern auch ethische, wie z.B. Risiko algorithmischer Diskriminierung, Einschränkung der Patientenautonomie oder Vertrauen in datenbasierte Entscheidungen.
Bei der Blockchain können rechtlich ebenfalls Fragen aufgeworfen werden, wie z.B. Unvereinbarkeit mit dem Recht auf Vergessenwerden, Sicherheitsrisiken in peripheren Systemen oder eingeschränkte Flexibilität bei der Datennutzung, respektive auf der ethischen Seite, z.B. Kontrolle über Zugriffsrechte, Energieverbrauch bei bestimmten Implementierungen, ethische Vertretbarkeit unveränderlicher Datenaufzeichnung.
Was sind die zentralen rechtlichen Rahmenbedingungen für den Umgang mit Gesundheitsdaten in der Schweiz?
Das DSG regelt den Umgang mit personenbezogenen Daten schweizweit, d.h. es findet Anwendung auf Datenbearbeitungen durch Private (natürliche wie juristische Personen) und Bundesbehörden.
Kantonale Datenschutzgesetze finden Anwendung auf Datenbearbeitungen durch kantonale und kommunale Behörden (unter Umständen auch Private, sofern sie Datenbearbeitungen im Zusammenhang mit der Erfüllung kantonaler Aufgaben wahrnehmen) und sind z.B. auch durch Kantonsspitäler zu berücksichtigen.
Bei internationalen Projekten können Regeln der EU-Datenschutzgrundverordnung (DSGVO) anwendbar sein.
Wie unterscheidet sich das Schweizer Datenschutzrecht (insbesondere das DSG) vom europäischen Datenschutzrecht (DSGVO)?
Das DSG gilt in der Schweiz, während die DSGVO in der EU und auch extraterritorial zur Anwendung kommt, wenn unter gewissen Umständen personenbezogene Daten von sich in der EU befindenden Personen verarbeitet werden, unabhängig davon, wo die Organisation ansässig ist.
Das DSG bietet weniger Rechte für Betroffene (z. B. kein ausdrückliches Recht auf Datenübertragbarkeit) und niedrigere Sanktionen. Das DSG ist weniger strikt und umfassend als die DSGVO, insbesondere bei den Betroffenenrechten, Sanktionsmechanismen und Meldepflichten. Die DSGVO setzt international einen strengeren Standard.
Wie können Institutionen sicherstellen, dass diese Anforderungen eingehalten werden?
Durch eine Einführung eines Datenschutz-Managementsystems, regelmässige Schulungen und Datenschutzfolgeabschätzungen (DSFA) bei risikoreichen Verarbeitungen.
Was sind häufige Fehler, die du in der Praxis bei der Einhaltung des Datenschutzes antriffst?
In der Regel sind es mangelhafte Einwilligungen, unzureichende Sicherheitsmassnahmen und Missachtung von Betroffenenrechten.
Wie können Organisationen und Unternehmen diese Fehler vermeiden?
Empfehlenswert ist es, regelmässige Audits durchzuführen, klare Verantwortlichkeiten und Prozesse festzulegen, zu dokumentieren, regelmässig zu überprüfen und im Unternehmen zu kommunizieren sowie fortlaufende Sensibilisierung der Mitarbeitenden durch stufengerechte Schulungen.
Welche Herausforderungen ergeben sich bei der Verarbeitung von Gesundheitsdaten in internationalen Projekten?
An erster Stelle stehen die unterschiedlichen Datenschutzstandards und zusätzliche Anforderungen bei der Übertragung in Länder ohne angemessenen Datenschutz.
Gibt es spezifische Anforderungen für den Datentransfer ins Ausland? Was müssen allenfalls Hersteller von Medtechgeräten, die selbst Daten generieren, dabei beachten? Wie sieht es bei Spitälern aus, deren Patienten im Ausland wohnen?
Der Transfer personenbezogener Daten ins Ausland ist nur zulässig, wenn der Datenschutz im Zielland ein angemessenes Schutzniveau bietet oder geeignete Garantien bestehen. Bei Ärzten kommt noch das Arztgeheimnis hinzu, bezüglich welchem es unklar ist, ob Daten, die dem Arztgeheimnis unterstehen, überhaupt ins Ausland übermittelt werden können, weil wegen des strafrechtlichen Territorialitätsprinzips bei Auslandsdatenbekanntgabe (selbst in Länder mit angemessenem Datenschutz) der Schutz des schweizerischen Strafgesetzbuches wegfällt.
Der Bundesrat führt eine Liste von Ländern, die ein angemessenes Datenschutzniveau gewährleisten. Für die anderen Länder sind zusätzliche Massnahmen erforderlich, wie z. B. Standardvertragsklauseln oder Binding Corporate Rules. Daten sollten bei Übertragungen ins Ausland zudem verschlüsselt und pseudonymisiert werden, insbesondere bei sensiblen Daten wie Gesundheitsdaten.
Hersteller, deren Geräte selbst Gesundheitsdaten generieren, müssen sicherstellen, dass Datenverarbeitung rechtskonform erfolgt (z. B. Einwilligung oder gesetzliche Grundlage) und Daten nur zu definierten Zwecken genutzt werden. Hersteller, die Daten ins Ausland übertragen, müssen prüfen, ob das Zielland ein angemessenes Datenschutzniveau bietet, oder geeignete Garantien wie Standardvertragsklauseln implementieren. Geräte sollten Datenschutz-by-Design-Prinzipien folgen und Sicherheitsprotokolle wie Verschlüsselung implementieren, um unbefugten Zugriff zu verhindern. Hersteller müssen Nutzende über die Art der Datenverarbeitung, Datenempfänger und mögliche Transfers ins Ausland klar informieren.
Spitäler müssen die relevanten Datenschutzvorschriften des Heimatlandes des Patienten sowie Schweizer Datenschutzrecht beachten. Je nach Zielland könnte die DSGVO anwendbar sein. Nur mit Einwilligung des Patienten oder einer anderen rechtlichen Grundlage ist ein Datentransfer ins Ausland zulässig. Zusätzliche Massnahmen wie Standardvertragsklauseln oder eine Verschlüsselung der Daten können erforderlich sein, wenn das Zielland kein angemessenes Datenschutzniveau hat. Spitäler sollten den Datenfluss lückenlos dokumentieren und sicherstellen, dass bei grenzüberschreitendem Datentransfer die notwendigen rechtlichen Anforderungen erfüllt sind.
Wie siehst du die Zukunft des Umgangs mit Gesundheitsdaten in der Schweiz?
Effiziente Datennutzung und der verstärkte Einsatz von Künstlicher Intelligenz (KI), maschinellem Lernen und Big Data in der Medizin hat das Potential die Diagnose, Prävention und Behandlung von Krankheiten und die Gesundheitsversorgung zu revolutionieren. Personalisierte Medizin wird durch die Auswertung grosser Gesundheitsdatensätze weiter an Bedeutung gewinnen. Es sind strengere Regulierungen, z.B. zusätzliche Vorschriften, um den Umgang mit sensiblen Daten, KI-Einsatz und genetischen Informationen präziser zu regeln, und Investitionen in Technologien zu erwarten, die Datenschutz und Innovation kombinieren. Patienten werden wahrscheinlich zunehmend mehr Kontrolle über ihre Daten verlangen. Digitale Tools wie Patientenportale und elektronische Gesundheitsakten (EGA) werden eine Schlüsselrolle spielen.
Welche regulatorischen Entwicklungen erwartest du in den nächsten Jahren? Wird die Schweiz die Chancen packen können, die sich aus dem effizienten Einsatz von Gesundheitsdaten ergeben?
Die Schweiz könnte durch klare Regeln und innovative Technologien Vorreiter in der Gesundheitsdatennutzung werden. Dies würde nicht nur die medizinische Versorgung verbessern, sondern auch wirtschaftliche Vorteile und neue Arbeitsplätze schaffen. Investitionen in Datenschutz und Transparenz sind essenziell, um Vertrauen aufzubauen und Daten effizient einzusetzen.
Vielen Dank für deine wertvollen Einblicke. Möchtest du zum Abschluss noch etwas hinzufügen, das Dir besonders wichtig ist?
Datenschutz muss als integraler Bestandteil jeder Datenverarbeitung betrachtet werden und das nicht als lästige Pflicht, sondern als einer der Grundpfeiler und nachhaltigen Erfolgsfaktoren zum langfristigen Wohl der Organisation. Denn Sensibilisierung, klare Regeln und Prozesse sowie Transparenz im Umgang mit Daten und vor allem mit besonders schützenswerten Personendaten schaffen Vertrauen, Sicherheit und ermöglichen gleichzeitig Innovation.