Am 10. Juni 2021 verhängte die italienische Datenschutzbehörde gegen einen Zahnarzt eine Geldstrafe in Höhe von 20 000 Euro mit der Begründung, der Zahnarzt habe sich geweigert, einen HIV-Patienten zu behandeln, ohne deutlich darauf hinzuweisen, dass eine solche Offenlegung zu einer Verweigerung der Behandlung und nicht nur zu Konsequenzen für die mögliche Behandlung führen könnte.
Auch wenn es sich hier um einen Sonderfall handelt, so wird doch mit der Annahme aufgeräumt, dass die Einhaltung des Datenschutzes nur große Unternehmen betrifft, die als einzige in der Lage sind, personenbezogene Daten in großem Umfang zu verwerten, und die daher als einzige ins Fadenkreuz der Behörden und möglicher Sanktionen geraten.
Es stellt sich die Frage, welche Maßnahmen Ärzte, Zahnärzte und andere Juristen (die ich der Einfachheit halber im Folgenden als „Praktiker“ bezeichne) vernünftigerweise ergreifen sollten, um ein Missgeschick zu vermeiden.
In Wirklichkeit sind diese Schritte recht einfach. Zunächst ist daran zu erinnern, dass die Praktiker, sofern sie sich an in Europa ansässige Personen nicht wenden, nicht der RGPD, sondern nur dem Bundesgesetz über den Datenschutz unterliegen, dessen Revision im Laufe des Jahres 2022 in Kraft treten dürfte.
Ohne ins Detail zu gehen, gibt es drei Hauptpflichten für Praktiker, von denen die ersten beiden im Auge behalten werden sollten:
Die Verpflichtung zur Führung eines Tätigkeitsregisters erfordert grundsätzlich, dass unter anderem die Art der Verarbeitung, der Zweck der Verarbeitung, die Kategorien von Personen (Patienten, Beschäftigte, manchmal Lieferanten) und die Kategorien personenbezogener Daten (die im medizinischen Bereich sensibel sein können), die verarbeitet werden, sowie mögliche Übermittlungen ins Ausland und die Empfänger dieser möglichen Übermittlungen festgelegt werden.
Der Bundesrat hat jedoch Unternehmen mit weniger als 250 Beschäftigten von dieser Verpflichtung ausgenommen, wenn die betreffende Verarbeitung nicht in großem Umfang mit der Verarbeitung sensibler Daten verbunden ist oder nicht zur Erstellung eines Hochrisikoprofils führt. Auch wenn ein risikoreiches Profiling für Praktiker von vornherein ausgeschlossen werden kann, ist die Verarbeitung sensibler Daten, insbesondere im medizinischen Bereich, durchaus möglich. Das Erfordernis des „großen Umfangs“ scheint jedoch eine massive Verarbeitung innerhalb eines Krankenhauses oder einer Klinik vorauszusetzen, was bei einer Privatpraxis auf den ersten Blick nicht der Fall sein dürfte.
Dies ist eine Verpflichtung, von der die Praktiker befreit werden sollten.
Alle für die Datenverarbeitung Verantwortlichen, einschließlich praktizierender Ärzte, sind grundsätzlich verpflichtet, die betroffene Person angemessen über die Erhebung personenbezogener Daten und den Zweck der Erhebung zu informieren (d. h. wofür die Daten verwendet werden sollen und warum ihre Erhebung notwendig ist).
Eine solche Verpflichtung ist zwar leicht umzusetzen, doch sieht das Gesetz vor, dass der für die Verarbeitung Verantwortliche von dieser Verpflichtung befreit ist, wenn es sich um eine Privatperson handelt, die einer gesetzlichen Geheimhaltungspflicht unterliegt. Die Ärzte unterliegen einer solchen Verpflichtung gemäß Artikel 321 des Strafgesetzbuches; es ist daher davon auszugehen, dass sie rechtlich nicht verpflichtet sind, ihre Patienten oder Kunden über die durchgeführten Behandlungen zu informieren.
Es gibt jedoch eine Ausnahme von diesem Grundsatz. Erfordert die vorgesehene Verarbeitung die Verarbeitung sensibler Daten, wie z. B. medizinischer Daten, so ist die ausdrückliche Einwilligung der betroffenen Person erforderlich, was bedeutet, dass diese ordnungsgemäß über die betreffende Verarbeitung informiert werden muss, damit ihre Einwilligung gültig ist, wobei im schweizerischen Recht, anders als im europäischen Recht, die Einwilligung auch dann als ausdrücklich gilt, wenn sie unter Bezugnahme auf allgemeine Bedingungen erteilt wird.
Letzten Endes sind es die Pflichten der Praktiker, die dafür sorgen müssen, dass angemessene Sicherheitsmaßnahmen zum Schutz der Daten vor den damit verbundenen Risiken getroffen werden, die am wichtigsten sind.
Welche Ratschläge können den Praktikern daraus gegeben werden?
Drei Bemerkungen:
Auch wenn wir gesehen haben, dass sich die Informationspflicht eigentlich auf die Verarbeitung sensibler Daten (z. B. medizinischer Daten) beschränkt, für die eine ausdrückliche Zustimmung erforderlich ist, ist es dennoch einfach und meines Erachtens eine gute Praxis, hier ein gewisses Maß an Transparenz zu fördern, was mit weniger Aufwand auf zwei Arten geschehen kann:
Schließlich kann nicht oft genug betont werden, dass eine Datenübermittlung ins Ausland nur mit der ausdrücklichen Zustimmung der betroffenen Person erfolgen sollte und dass die verarbeiteten Daten nach einem festzulegenden Zeitraum (in der Regel gesetzlich festgelegt) gelöscht werden müssen, sobald die betroffene Person nicht mehr Patient oder Kunde ist (z. B. 20 Jahre bei Zahnärzten).
Auch wenn das Bundesdatenschutzgesetz und der große Medienrummel, den es auslöst, beängstigend sein mögen, so ist es für freiberuflich Tätige doch einfach, ihm mit einer Reihe von Maßnahmen zu entsprechen, die alles in allem minimal sind: eine angemessene Datenschutzerklärung, ein Formular, das es ermöglicht, die ausdrückliche Zustimmung im Falle der Verarbeitung sensibler Daten sicherzustellen (auch wenn eine Unterschrift an sich nicht unbedingt erforderlich ist) und vor allem angemessene Sicherheitsmaßnahmen, die nur das Ergreifen von Maßnahmen erfordern, die alles in allem recht einfach sind.
Haben Sie Fragen zu den in diesem Artikel behandelten Themen?
Unsere Anwälte lieben und verstehen das Wirtschaftsrecht, sowohl in der Schweiz als auch international. Sie sind sehr ansprechbar und tragen die Angelegenheiten ihrer Mandanten, um die beste rechtliche und praktische Lösung zu finden. Sie verfügen über langjährige internationale Erfahrung im Wirtschaftsrecht. Sie sprechen mehrere Fremdsprachen fließend und haben Korrespondenten in der ganzen Welt.
Avenue de Rumine 13
Postfach
CH – 1001 Lausanne
+41 21 711 71 00
info@wg-avocats.ch
©2024 Wilhelm Rechtsanwälte AG – Datenschutzerklärung – Realisierung Mediago