VISCHER ist eine Schweizer Anwaltskanzlei, die sich der rechtlichen Lösung von Geschäfts-, Steuer- und Regulierungsfragen widmet.
SWISS LAW AND TAX
Dienstleistungen
Immaterialgüterrecht
Life Sciences, Pharma, Biotechnologie
Prozessführung und Schiedsgerichtsbarkeit
Lernen Sie unser Team kennen
Unser Know-how, unsere Expertise und unsere Publikationen
Alle anzeigen
Events
Blog
Karriere
Kategorien: Digital Business Law Bites, Blog
Mit der Reihe "Digital Business Law Bites" geben wir einen kleinen Einblick in die Fülle unserer Erfahrungen und Klientenprojekte rund um digitale Geschäftsprozesse.
Hackerangriffe auf Patientendaten nehmen in den USA und in Europa zu. Die Gefahr besteht auch in der Schweiz. Zusätzlich bedrohen Unachtsamkeit mit IT-Sicherheit und ungenügende Zugangskontrollen die Sicherheit von Patientendaten. Das Schweizer Datenschutzrecht verpflichtet Ärzte und Spitäler bisher nicht, Entwendungen personenbezogener Gesundheitsdaten (Patientendaten) an die Datenschutzaufsichtsbehörde oder an die betroffenen Patienten zu melden. Das könnte sich bald ändern.
Im Jahr 2015 betrafen die beiden grössten in Kalifornien an den Attorney General gemeldeten Entwendungen nicht verschlüsselter Personendaten (sog. Data Breach) einen Krankenversicherer (Anthem) und eine Gruppe von Spitälern (UCLA Health). Es waren personenbezogene Daten von 10,4 Millionen Versicherten bzw. 4,5 Millionen Patienten betroffen. Bei Data Breaches entwendete Daten werden typischerweise für Identitätsdiebstähle oder zur Erpressung betroffener Personen missbraucht.
Andere, ebenfalls häufige Ursachen für Data Breaches sind: 1) Verlust oder Diebstahl (physisch); 2) Unachtsamkeit von Mitarbeitern beim Umgang mit IT-Systemen sowie 3) der Missbrauch bzw. die unautorisierte Nutzung von Zugangsrechten (intern).
Diese Gefahren bestehen auch für in der Schweiz gespeicherte und verarbeitete Patientendaten.
Dieses Jahr wird in der Schweiz das elektronische Patientendossier eingeführt. Patientendaten werden weiterhin primär auf den Servern der jeweiligen Spitäler und Praxen gespeichert (sog. Primärsystem). Künftig besteht aber die Möglichkeit, dass Ärzte direkt auf bei anderen Ärzten oder bei Spitälern bzw. sog. Gemeinschaften oder Stammgemeinschaften gespeicherte Patientendaten zugreifen können, vorausgesetzt Arzt und Patient beteiligen sich am elektronischen Patientendossier (für Spitäler ist die Teilnahme obligatorisch).
Man spricht von einem dezentralen bzw. virtuellen Patientendossier. Sogenannte Gemeinschaften und Stammgemeinschaften ermöglichen und koordinieren den Zugriff auf die dezentral gespeicherten Daten (sog. Sekundärsystem). Sie müssen sich zertifizieren lassen und ein System zur Erkennung sicherheitsrelevanter Vorfälle implementieren. Sicherheitsrelevante Vorgänge müssen sie der Zertifizierungsstelle und dem Bundesamt für Gesundheit (BAG) melden. Für Spitäler und Ärzte gelten derzeit keine vergleichbaren gesetzlichen Meldepflichten.
Der Bundesrat hat sich in seiner Antwort auf die Interpellation Graf-Litscher zur Sicherheit elektronischer Patientendaten geäussert. Er hat festgestellt, dass «das allgemeine Sicherheitsniveau im Gesundheitswesen leider noch nicht demjenigen anderer Branchen (z. B. Finanzen, Versicherungen, Verwaltung)» entspricht und deshalb Handlungsbedarf bestehe. Was genau getan werden müsste, hat der Bundesrat aber nicht gesagt. Er hat auf die Zertifizierungsvoraussetzungen für Gemeinschaften und Stammgemeinschaften sowie auf die Datenschutzgesetze von Bund und Kantonen verwiesen. Bisher enthalten aber weder das Datenschutzgesetz des Bundes (DSG) noch die kantonalen Datenschutzgesetze Data Breach-Meldepflichten. Auf Bundesebene könnte sich das bald ändern.
Das DSG wird derzeit revidiert. Der Vorentwurf liegt seit dem 21. Dezember 2016 vor. Dieser sieht unter anderem die Pflicht vor, Verletzungen der Datensicherheit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu melden. Wenn es zum Schutz der betroffenen Personen erforderlich ist oder der EDÖB es verlangt, müssen (so die vorgeschlagene Regelung) diese ebenfalls informiert werden. Inspiriert ist die Regelung von der Meldepflicht, die in der EU ab dem 25. Mai 2018 gilt.
Wer Leistungen auf dem EU-Binnenmarkt erbringt, muss sich bei der Bearbeitung von Personendaten ab dem 25. Mai 2018 an die EU-Datenschutzgrundverordnung (DS-GVO) halten. Diese verpflichtet die für die Bearbeitung Verantwortlichen, unbefugte Zugriffe auf personenbezogene Daten an die zuständige Datenschutzaufsichtsbehörde zu melden. Die Meldung muss innert 72 Stunden erfolgen. Bei unterlassener Meldung droht eine Busse von bis zu 10 000 000 EUR oder von bis zu 2 % des im vorangegangenen Geschäftsjahr weltweit erzielten Umsatzes (je nachdem, welcher der Beträge höher ist).
Gemäss DS-GVO muss die Verletzung der Datensicherheit zusätzlich den betroffenen Personen gemeldet werden, wenn voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Dies ist dann der Fall, wenn Daten entwendet, offengelegt, vernichtet oder verändert wurden.
Die DS-GVO regelt nebst der Meldepflicht auch konkrete für die Meldung an die betroffenen Personen geltende Ausnahmen. Diese müssen in den folgenden Fällen nicht zusätzlich zur Aufsichtsbehörde informiert werden: 1) wenn der für die Bearbeitung Verantwortliche angemessene technische oder organisatorische Sicherheitsmassnahmen (z. B. Pseudonymisierung oder Verschlüsselung) getroffen hat und diese auf die vom Data Breach betroffenen Daten angewendet hat; 2) wenn er nach Entdeckung des Vorfalls durch Massnahmen sichergestellt hat, dass für die betroffenen Personen aller Wahrscheinlichkeit nach kein hohes Risiko mehr besteht; oder 3) wenn der Aufwand für eine individuelle Benachrichtigung der betroffenen Personen unverhältnismässig wäre und eine öffentliche Bekanntgabe vergleichbar wirksam wäre.
Im Bereich der Luftfahrt bestehen extensive Meldepflichten zu sicherheitsrelevanten Vorfällen. Sie tragen dazu bei, dass selbst kleinere Vorfälle untersucht und Sicherheitslücken geschlossen werden. Im Gesundheitsbereich hingegen fehlt diese Transparenz bisher. Wenn Leistungserbringer im Gesundheitswesen unerlaubte Zugriffe auf oder Entwendungen von personenbezogenen Gesundheitsdaten künftig – ähnlich wie in der EU – der Datenschutzaufsichtsbehörde melden müssten, könnte dies für mehr Transparenz sorgen.
Hierfür müssten aber nebst dem DSG auch die kantonalen Datenschutzgesetze angepasst werden. Denn Spitäler unterstehen bei der Bearbeitung personenbezogener Daten in vielen Bereichen dem kantonalen Datenschutzrecht. Zu diesen Bereichen gehören insbesondere stationäre Leistungen, die Spitäler ganz oder teilweise zulasten der obligatorischen Krankenpflegeversicherung erbringen, sowie unter einem kantonalen Leistungsauftrag erbrachte ambulante Leistungen.
Der EDÖB und die Aufsichtsbehörden des Bundes müssten in ihren jeweiligen Tätigkeitsberichten zumindest anonymisiert über gemeldete Data Breaches informieren. Zudem steht eine Meldung jeweils am Anfang einer internen Untersuchung des Vorfalls in Kooperation mit der Aufsichtsbehörde. Diese dient letztlich der Eruierung von Fehlerquellen und der Schliessung von Sicherheitslücken.
Autor: Thomas Steiner