Interview mit Jurist Martin Eckert

Was mit der EU-DSGVO auf das Schweizer Gesundheitswesen zukommt

Uhr

Ab dem 25. Mai 2018 gilt in der EU die neue Datenschutz-Grundverordnung. Was die Verordnung für das Schweizer Gesundheitswesen bedeutet, erklärt Martin Eckert, Legal Partner bei MME Legal, Tax, Compliance, im Interview.

Martin Eckert, Legal Partner, MME Legal, Tax, Compliance. (Source: zVg)
Martin Eckert, Legal Partner, MME Legal, Tax, Compliance. (Source: zVg)

Was hat die EU-DSGVO für Auswirkungen auf Schweizer Leistungserbringer im Gesundheitswesen?

Die EU-DSGVO hat extraterritoriale Wirkungen, deshalb können auch Schweizer Leistungserbringer unter sie fallen. Der Aufwand für Compliance und Datenhandling wird dadurch grösser. So gilt in Zukunft eine Dokumentationspflicht und Unternehmen müssen die ausdrückliche Einwilligung für die Verarbeitung von Patientendaten einholen. Auch die Risiken werden steigen, etwa durch Bussen, Reputationsrisiken oder die Kosten von Datenlecks. Leistungserbringer müssen zudem Compliance auf dem Markt nachweisen können.

Wo liegen die grössten Herausforderungen?

Ich sehe eine ganze Reihe von Herausforderungen. Fehlendes Knowhow ist ebenso darunter wie die vielen offenen rechtlichen Fragen, der gesteigerte «gefühlte» Datenschutz bei den Patienten, die Balance zwischen Aufwand und Ertrag bei Compliance-Massnahmen sowie das Recht der Patienten auf Widerruf der Einwilligung zur Datenverarbeitung.

Welche Akteure im Gesundheitswesen sind am besten vorbereitet?

Dazu kann ich mangels Visibilität noch keine Aussage machen. Ich gehe davon aus, dass die Systemanbieter besser aufgestellt sind als die Leistungserbringer.

Welche Prozesse im Arbeitsalltag von Ärzten, Spitälern & Co. ändern sich durch die neuen Bestimmungen?

Die Prozesse im Arbeitsalltag werden sich nicht wesentlich ändern. Erforderlich ist jedoch die Awareness und Schulung aller Beteiligten und die Überprüfung der technischen Sicherheit. In der Administration müssen neue Prozesse eingeführt werden, wie der Umgang mit Auskunftsbegehren oder ein Notfallplan für Datenlecks. Komplizierter wird die Nutzung von Gesundheitsdaten in der Forschung und Entwicklung.

Die EU-DSGVO verbietet die Verarbeitung von Gesundheits- und genetischen Daten. Was bedeutet das für Unternehmen?

Das Verbot klingt dramatisch. Es ändert sich aber weniger, als es auf den ersten Blick scheint. Es gibt Ausnahmen zum Verbot, die für das Gesundheitswesen von grosser Bedeutung sind. So gilt es nicht, wenn eine ausdrückliche Einwilligung der betroffenen Person vorliegt. Gerechtfertigt ist auch die Datenverarbeitung zu Zwecken, wie der medizinischen Versorgung, der Gewährleistung der öffentlichen Gesundheit und der Verwaltung von Leistungen der Versicherungen. Bevor also Unternehmen Gesundheitsdaten bearbeiten, müssen sie sicherstellen und auch dokumentieren können, dass ein Ausnahmetatbestand vorliegt und geeignete Schutzmassnahmen und Regeln eingehalten werden.

Die EU-DSGVO verlangt die Ernennung eines Datenschutzbeauftragten in Unternehmen. Wie können Schweizer Leistungserbringer dies umsetzen?

Zuerst ist abzuklären, ob die Benennung eines Datenschutzbeauftragten überhaupt notwendig ist. Für Gesundheitsunternehmen dürfte dies in aller Regel der Fall sein. Es kann ein interner oder externer Datenschutzbeauftragter benannt werden. Grundsätzlich kann der Datenschutzbeauftragte auch in der Schweiz sein; diesbezüglich sind aber die nationale Umsetzung und die Praxis der Aufsichtsbehörden abzuwarten. Vom Datenschutzbeauftragten zu unterscheiden ist der Vertreter in der Union. Schweizerische Unternehmen, die in der Union Waren oder Dienstleistungen anbieten und in der Union keine Niederlassung haben, müssen einen solchen Vertreter benennen. Dieser muss den Behörden des entsprechenden EU-Mitgliedstaates als Anlaufstelle zur Verfügung stehen.

Kommen mit der EU-DSGVO auch Erleichterungen für die Schweizer Leistungserbringer?

Die Erleichterung besteht theoretisch darin, dass für die ganze EU einheitliche Regeln gelten. Es wird jedoch nationale Umsetzungsgesetze geben, bei denen die Mitgliedstaaten einigen Spielraum haben. Damit relativiert sich der Vorteil der einheitlichen Rechtsgrundlage.

Was bedeuten die neuen Regelungen für die Patienten?

Die Rechte der Patienten werden gestärkt. Der Patient hat künftig Anspruch auf transparente und verständliche Informationen, was mit seinen Daten geschieht, wer für die Datenverarbeitung verantwortlich ist, wer die Empfänger der Daten sind, ob die Absicht der Übermittlung an ein Drittland besteht, wie lange seine Daten gespeichert werden und was seine Rechte sind. Der Patient hat ausserdem ein Recht auf Beschwerde bei einer Aufsichtsbehörde und kann gegen Verantwortliche und Auftragsbearbeiter klagen.

Wie lässt sich die EU-DSGVO Ihrer Meinung nach mit dem elektronischen Patientendossier vereinbaren?

Die EU-DSGVO enthält keine spezifischen Bestimmungen über das (schweizerische) elektronische Patientendossier. Die allgemeinen Regeln der EU-DSGVO gelten aber auch für die Verarbeitung von Daten, die in einem elektronischen Patientendossier bearbeitet werden, soweit die EU-DSGVO territorial anwendbar ist. Die EU-DSGVO ist allgemeiner Natur und bezweckt den Schutz der natürlichen Personen. Die Gesetzgebung über das elektronische Patientendossier hat in erster Linie technischen und operativen Charakter und ist mit dem heutigen Datenschutzgesetz kompatibel. Diese Kompatibilität wird der Gesetzgeber auch bei einer Revision des schweizerischen Datenschutzgesetzes in Anpassung an das Schutzniveau der EU-DSGVO sicherstellen.

Tags
Webcode
DPF8_81080