Persönlichkeits- und Datenschutz im Alltag der Medizin und Pflege

Das heute geltende Datenschutzrecht umfasst folgende Grundsätze:

• Grundsatz der Rechtmässigkeit (Art.4 Abs.1 DSG)
• Grundsatz von Treu und Glaube (Art.4 Abs. 2 DSG)
• Grundsatz der Verhältnismässigkeit (Art.4 Abs. 2 DSG)
• Grundsatz der Zweckbindung {Art. 4 Abs. 3 DSG)
• Grundsatz der Transparenz und Erkennbarkeit {Art.4 Abs. 4 DSG)
• Grundsatz der Datenrichtigkeit {Art.5 Abs.1 DSG)
• Grundsatz der Datensicherheit (Art.7 DSG, siehe insbesondere auch VDSG 7,8 und 9)
  

Im Rahmen des Gesetzgebungsverfahrens zum Elektronischen Patienten Dossier (EPD) wurde bewusst darauf verzichtet, die allgemeinen Bearbeitungsgrundsätze des Datenschutzes im Gesetz über das elektronische Patientendossier (EPDG) zu wiederholen. Stattdessen gelten für das EPD die Datenschutzgesetze des Bundes und der Kantone. Es ist jedoch wichtig zu beachten, dass gewisse Datenschutzregelungen im EPDG mit einigen der Grundsätze des DSG und der kantonalen Regelungen in Konflikt stehen können, insbesondere der Grundsatz der Zweckbindung (Art. 4 Abs. 3 DSG).

Aktuell dürfen die im EPD enthaltenen Daten nicht für andere als im derzeit geltenden EPDG genannten Zwecke verwendet werden. Eine spätere Nutzung der im EPD enthaltenen Patientendaten zu anderen Zwecken könnte jedoch gegen den Zweckbindungs-Grundsatz verstoßen.

Gemäß DSG müssen Personendaten und besonders schützenswerte Personendaten angemessen vor unbefugter Vernichtung geschützt werden (Art. 8 Abs. 1 lit. a VDSG). Hierfür sind angemessene technische und organisatorische Maßnahmen erforderlich, einschließlich einer Einschätzung der Risiken und des aktuellen Standes der Technik (Art. 8 Abs. 2 VDSG).

Im Gesetzestext zum EPD sind jedoch keine gesetzlich verbindlichen Parameter zur Festlegung der technischen Vorgaben für IT-Sicherheit und IT-Resilienz festgelegt. Da es sich bei Gesundheitsdaten in der Regel um besonders schützenswerte Personendaten handelt, wäre es daher wichtig, dass auf rechtlicher Ebene technische und organisatorische Minimalstandards für die Umsetzung eines angemessenen (technischen) Schutzes von Gesundheitsdaten definiert werden und diese in der Praxis verpflichtend umgesetzt werden, sowohl in den Bereichen der kantonalen, öffentlich-rechtlichen Zuständigkeit als auch bei privatrechtlich organisierten Institutionen im Gesundheitswesen. Unbestimmte Gesetzesbegriffe wie ‚Angemessenheit‘ und ‚Stand der Technik‘ (vgl. Art. 8 Abs. 2 VDSG) sollten hierbei genauer definiert werden.