Sie sind auf Seite 1von 24

Yves Gogniat

Datenschutz in Spitälern
Wohin mit den Patientendaten

Lors d’une hospitalisation, les données des patients peuvent et doivent être
transférées à divers endroits. Ces données viennent dans le cadre du traite-
ment à la connaissance de différentes personnes. Le personnel soignant ne sait
souvent pas quelles données il peut transmettre à quelles personnes et institu-
tions. La contribution présente, sous l’angle de l’hôpital, où ces données sont
susceptibles de circuler et attire également l’attention sur les risques en matiè-
re de protection des données au sein même d’un hôpital. (nse)

Catégories d’articles: Contributions


Domaines juridiques: Droit de la santé; Protection des données; Droit des
assurances sociales; Droits des patients. Droits de la personnalité; Protection des
enfants et des adultes

Proposition de citation: Yves Gogniat, Datenschutz in Spitälern, in : Jusletter 20 juin 2016

ISSN 1424-7410, http://jusletter.weblaw.ch, Weblaw AG, info@weblaw.ch, T +41 31 380 57 77


Yves Gogniat, Datenschutz in Spitälern, in : Jusletter 20 juin 2016

Inhaltsübersicht
1. Einleitung
2. Ausgangslage
2.1. Gesetzliche Grundlagen
2.2. Informationssicherheit
3. Zweck der Krankengeschichte / Patientendokumentation
4. Übersicht der Datenströme
5. Allgemeine Grundsätze bei der Datenbearbeitung von Patientendaten
5.1. Besonders schützenswerte Daten
5.2. Datenbearbeitung
5.3. Datenherausgabe an Dritte
5.4. Archivierung
6. Interner Datenaustausch
6.1. Spitalpersonal
6.1.1. Allgemeines
6.1.2. Patientengeheimnis
6.1.3. Hilfspersonen
6.1.4. Weitergabe von Patientendaten an Medizinalpersonen
6.1.5. Technische und organisatorische Massnahmen
6.2. Forschung
7. Externer Datenaustausch
7.1. Sozialversicherung
7.1.1. Allgemeines zu den Sozialversicherungen
7.1.2. Krankenkassen
7.1.2.1. Allgemeines
7.1.2.2. Swiss DRG
7.1.3. Unfallversicherung (UV)
7.1.4. Invalidenversicherung (IV)
7.2. Privatversicherung
7.2.1. Allgemeines
7.2.2. Haftpflichtversicherung
7.3. Bundesbehörden
7.3.1. Bundesamt für Statistik (BFS)
7.3.2. Bundesamt für Gesundheit (BAG)
7.4. Kantone
7.5. Erwachsenenschutzbehörde (KESB)
7.6. Pharmaunternehmen
7.7. Einsichtsrecht des Patienten
8. Fazit

1. Einleitung
[Rz 1] Heute sind Spitäler gezwungen diverse Daten mit Versicherungen, anderen Ärzten und
direkt mit dem Patienten auszutauschen. Viele Spitäler arbeiten zurzeit mit veralteten Systemen,
die oft Sicherheitslücken aufweisen und kein nutzerfreundliches Berechtigungsmanagement zu-
lassen. Meist sind die Spitäler nach aussen gut gesichert. Eine Attacke über das Internet bleibt
dementsprechend schwer. Intern sind die Sicherheitsvorkehrungen aber oft ungenügend.1 Man-

1 Vgl. Gefahr für Patienten: Hacker im Operationssaal kapern medizinische Geräte, abrufbar unter http://www.
aargauerzeitung.ch/schweiz/gefahr-fuer-patienten-hacker-im-operationssaal-kapern-medizinische-geraete-
129763937 (Website zuletzt besucht am 6. Januar 2016).

2
Yves Gogniat, Datenschutz in Spitälern, in : Jusletter 20 juin 2016

che Spitäler schützen ihre Systeme nur mit Standard-Passwörtern, andere nutzen ungeschützte
Testserver. Dies bestätigt auch eine aktuelle Untersuchung der ETH, bei der 500 Computersys-
teme von Schweizer Spitälern untersucht wurden. Bei jedem sechsten Spital wurden Sicherheits-
mängel festgestellt.2
[Rz 2] Ein interner wie externer Austausch ist für das Funktionieren eines Spitals heutzutage un-
abdingbar. Dies birgt hohe Anforderungen an das Management und die Kontrolle der diversen
Schnittstellen. Die Gefahr eines Missbrauchs von Patientendaten bzw. einer Verletzung von Per-
sönlichkeitsrechten besteht nicht nur von aussen, sondern auch innerhalb des Spitals. Oft haben
zu viele Personen Zugriff auf einzelne Patientendokumentationen und greifen aus Neugier oder
monetären Interessen auf Daten zu, obwohl sie eigentlich gar nicht dürften. In diesen Fällen sind
meist nicht ganze Datenbanken das Ziel; es handelt sich meist nur um einzelne besonders inter-
essante oder wertvolle Patientendaten. In der Schweiz hat der Verkaufsversuch der Patientenakte
von Michael Schumacher3 für Aufsehen gesorgt und in Deutschland hat sich beim Tugce-Fall4
herausgestellt, dass eine überdurchschnittliche Anzahl von Mitarbeitern die Patientenakte von
Frau Tugce5 gelesen haben, trotz interner Regelungen, welche einen unbegründeten Zugriff ei-
gentlich verbieten.
[Rz 3] Obwohl ein Hackerangriff durch einen Dritten immer eine Gefahr darstellt und die Ergeb-
nisse der erwähnten Studie6 sicherlich nicht auf die leichte Schulter genommen werden sollten,
finden viele Datenschutz- und Persönlichkeitsverletzungen von den in die Behandlung invol-
vierten Personen statt. Neben der konstanten Aktualisierung der Informatikinfrastruktur ist es
ebenso wichtig, dass eine Sensibilisierung der Mitarbeiter betreffend die Sicherheit und den Da-
tenschutz von Patientendaten vorgenommen wird. Für die Beteiligten ist aber nicht immer klar,
welche Daten mit wem geteilt werden dürfen, weshalb neben den technischen Massnahmen klare
und verständliche Regelungen für die Mitarbeiter geschaffen werden müssen. Oft weisen Mitar-
beiterweisungen und Informatiksysteme in diesen Bereichen immer noch Lücken auf. Nachfol-
gende Ausführungen sollen dem Leser eine Übersicht über den Datenschutz bzw. den Datenaus-
tausch in einem Spital geben.

2 Vgl. Gefahr für Patienten: Hacker im Operationssaal kapern medizinische Geräte, abrufbar unter http://www.
aargauerzeitung.ch/schweiz/gefahr-fuer-patienten-hacker-im-operationssaal-kapern-medizinische-geraete-
129763937 (Website zuletzt besucht am 6. Januar 2016).
3 Spur im Fall Schumacher führt zur Rega, abrufbar unter http://www.nzz.ch/panorama/ungluecksfaelle-und-
verbrechen/e-mail-von-helikopter-unternehmen-im-kanton-zuerich-versendet-1.18338439 (Website zuletzt be-
sucht am 6. Januar 2016).
4 Ärzte und Pfleger lasen heimlich Tuçes Krankenakte, abrufbar unter http://www.stern.de/panorama/
pruegelopfer-tugce--aerzte-und-pfleger-lasen-heimlich-ihre-krankenakte-3975540.html (Website zuletzt besucht
am 6. Januar 2016).
5 Ärzte und Pfleger lasen heimlich Tuçes Krankenakte, abrufbar unter http://www.stern.de/panorama/
pruegelopfer-tugce--aerzte-und-pfleger-lasen-heimlich-ihre-krankenakte-3975540.html (Website zuletzt besucht
am 6. Januar 2016).
6 Vgl. Gefahr für Patienten: Hacker im Operationssaal kapern medizinische Geräte, abrufbar unter http://www.
aargauerzeitung.ch/schweiz/gefahr-fuer-patienten-hacker-im-operationssaal-kapern-medizinische-geraete-
129763937 (Website zuletzt besucht am 6. Januar 2016).

3
Yves Gogniat, Datenschutz in Spitälern, in : Jusletter 20 juin 2016

2. Ausgangslage
2.1. Gesetzliche Grundlagen
[Rz 4] Bei der gesetzlichen Grundlage gilt es zwischen Privatspitälern ohne Leistungsauftrag,
öffentlich-rechtlichen Spitälern und Listenspitälern zu unterscheiden. Die Listenspitäler stellen
die gesundheitliche Grundversorgung sicher und übernehmen öffentliche Leistungsaufträge. Es
handelt sich dabei vor allem um stationäre Leistungen gemäss der Kranken-, Invaliden-, Unfall-
und Militärversicherung, stationäre OKP-Leistungen von Listenspitälern im Rahmen krankversi-
cherungsrechtlicher Leistungsaufträge, Notfalldienste im Rahmen von Leistungsaufträgen etc.7
Die öffentlich-rechtlich organisierten Spitäler gelten als kantonale Behörden und unterstehen
dem kantonalen Datenschutzgesetz.8 Spitäler die einen Leistungsauftrag erbringen, gelten in die-
sem Bereich ebenfalls als kantonale Behörden. Dabei ist irrelevant, ob es sich um ein privatrecht-
liches Spital oder ein öffentlich-rechtliches Spital handelt. Das kantonale Datenschutzgesetz ist
grundsätzlich anwendbar. Die kantonalen Datenschutzgesetze regeln das formelle Datenschutz-
recht und bilden die Rahmenbedingungen.9 Das heutige Gesundheitssystem ist jedoch eng mit
dem Sozialversicherungssystem verknüpft. Im Sozialversicherungsrecht bestehen heute zahlrei-
che Bestimmungen zur Datenbearbeitung und Datenweitergabe. Diese materiellen Spezialnor-
men regeln die notwendigen bereichsspezifischen Aufgaben, damit die verschieden Stellen im
Sozialversicherungssystem ihre Aufgaben überhaupt wahrnehmen können.10 Die Listenspitäler
sind der kantonalen Datenschutzaufsichtsstelle unterstellt11 und vielfach verpflichtet, ihre Da-
tensammlungen registrieren zu lassen.
[Rz 5] Ein Listenspital hat sich bei der internen Datenbearbeitung grundsätzlich an das kan-
tonale Datenschutzgesetz zu halten. Bei gleichzeitiger privatwirtschaftlicher Tätigkeit kann die
Abgrenzung aber schnell unübersichtlich und kompliziert werden, da für die involvierten Perso-
nen nicht immer klar ist, ob sie jetzt dem kantonalen oder dem Bundesrecht unterstehen. Dies ist
insofern bedeutsam, als die Datenschutzaufsicht durch kantonale Datenschutzbeauftragte recht-
lich stärker ausgestaltet ist, als die Aufsicht durch den EDÖB, der sich im Privatrechtsbereich
grundsätzlich auf eine Systemkontrolle beschränken muss. Hinzu kommt die örtliche Nähe der
kantonalen Datenschutzbeauftragten zu den beaufsichtigten Unternehmen, was der kantonalen
Aufsicht tendenziell auch faktisch eine grössere Wirksamkeit verleihen dürfte.12 Rütsche kommt
in seinem Gutachten zum Ergebnis, dass Spitäler – die einen kantonalen Leistungsauftrag erfül-
len bzw. Leistungen im Zusammenhang mit der Grundversicherung erbringen – der kantonalen
Datenschutzaufsicht unterstehen.13

7 Vgl. Bernhard Rütsche, Datenschutzrechtliche Aufsicht über Spitälern, in: Digma, Schriften zum Datenrecht,
Hrsg. Bruno Baeriswyl und Beat Rudin, Band 6, 2012, S. 48.
8 Vgl. EDÖB, Leitfaden für die Bearbeitung von Personendaten im medizinischen Bereich, Juli 2002, S. 4.
9 Vgl. BSK DSG, Rudin/Husi-Stämpfli, Art. 37 N1a, 3. Aufl., Helbing-Lichtenhahn-Verlag 2014.
10 Yvonne Prieur, Datenschutz im Sozialversicherungswesen, in Datenschutzrecht – Beraten in Privatwirtschaft und
öffentlicher Verwaltung, Passadelis/Rosenthal/Thür (Hrsg.), Handbücher für die Anwaltspraxis, 1. Aufl., Helbing-
Lichtenhahn-Verlag 2015, Rz. 13.5. / vgl. auch Vgl. BSK DSG, Rudin/Husi-Stämpfli, Art. 37 N1c, 3. Aufl., Helbing-
Lichtenhahn-Verlag 2014.
11 Yvonne Prieur, Welches Datenschutzrecht ist für Spitäler als Arbeitgeber anwendbar? Beispiel: Kanton Bern, in:
Jusletter 18. Mai 2015, Rz 41.
12 Vgl. Bernhard Rütsche, Datenschutzrechtliche Aufsicht über Spitälern, in: Digma, Schriften zum Datenrecht,
Hrsg. Bruno Baeriswyl und Beat Rudin, Band 6, 2012, S. 49.
13 Bernhard Rütsche, Gutachten: Datenschutzrechtliche Aufsicht über Spitäler nach Umsetzung der neuen Spitalfi-
nanzierung, 31. März 2012, S. 43 f.

4
Yves Gogniat, Datenschutz in Spitälern, in : Jusletter 20 juin 2016

[Rz 6] Für die Privatspitäler, die nicht auf der Spitalliste stehen und deshalb keine öffentlichen
Leistungsaufträge wahrnehmen, findet das Bundesgesetz über den Datenschutz (DSG) Anwen-
dung. Lex specialis geht natürlich dem DSG vor.14 Dies gilt wiederum nicht für jene Kantone,
die bestimmte Organisationseinheiten des öffentlichen Rechts als solche der kantonalen Daten-
schutzaufsicht unterstellen, d.h. unabhängig davon, ob sie öffentliche Aufgaben erfüllen oder pri-
vatwirtschaftlich tätig sind (organisatorischer Organbegriff). Dazu gehören namentlich die Kan-
tone Bern15 , Luzern16 , Genf17 und Waadt18 . In solchen Kantonen unterstehen öffentliche Spitäler
auch im Bereich des privatwirtschaftlichen Handelns der kantonalen Datenschutzaufsicht, soweit
sie unter den organisatorischen Organbegriff des kantonalen Datenschutzgesetzes fallen.19
[Rz 7] Für die interne Organisation und Sicherstellung des Datenschutzes wird die Frage der
Abgrenzung erst bei Spezialfragen relevant, da sowohl das DSG wie auch die kantonalen Daten-
schutzgesetze vergleichbare Anforderungen an den Datenschutz stellen.
[Rz 8] Der Vollständigkeit halber sei hier erwähnt, dass der Datenschutz nicht nur in Bezug auf
die Patienten einzuhalten ist, vielmehr gilt es diesen selbstverständlich bei jeder Bearbeitung von
Personendaten zu beachten. Dieser Artikel beschränkt sich auf die Patientendaten und lässt die
weiteren Personendaten wie bspw. Mitarbeiterdaten aussen vor.

2.2. Informationssicherheit
[Rz 9] Die Einhaltung des Datenschutzes und des Patientengeheimnisses bilden Teil eines ganz-
heitlichen Datenschutzmanagementsystems (DSMS).
[Rz 10] Es ist deshalb wichtig, dass der Datenschutz und die Einhaltung des Patientengeheim-
nisses in die Gesamtstrategie integriert werden und die einzelnen Teile aufeinander abgestimmt
sind. Ein sinnvolles Datenschutzkonzept hat die internen Prozesse, die Mitarbeiter und auch die
Sicherheitssysteme zu berücksichtigen.
[Rz 11] Insbesondere das Design und die technischen Möglichkeiten der Schutzsysteme der IT-
Infrastruktur müssen in die Umsetzung einbezogen werden und ineinandergreifen. Ein Daten-
schutzkonzept, das nur auf dem Papier existiert, aber mit der vorhandenen IT-Infrastruktur nicht
korreliert, ist wertlos. Genauso, wenn die Anwendung für den Endnutzer zu kompliziert und um-
ständlich ist, so dass eine Integration in die Arbeitsprozesse zu umständlich wird. Nachfolgend
wird daher wo notwendig auf die IT-Infrastruktur verwiesen.

3. Zweck der Krankengeschichte / Patientendokumentation


[Rz 12] Die Krankengeschichte bzw. die vollständige Patientendokumentation erfüllt verschiede-
ne Funktionen innerhalb des Spitals. Die Patientendokumentation stellt grundsätzlich das pri-

14 Vgl. EDÖB, Leitfaden für die Bearbeitung von Personendaten im medizinischen Bereich, Juli 2002, S. 4.
15 Art. 2 Abs. 6 Bst. a i.V.m. Art. 4 Abs. 2 Bst. a KDSG BE.
16 § 2 Abs. 8 DSG LU.
17 Art. 3 LIPAD/GE.
18 Art. 3 LPrD/VD.
19 Bernhard Rütsche, Datenschutzrechtliche Aufsicht über Spitälern, in: Digma, Schriften zum Datenrecht, Hrsg.
Bruno Baeriswyl und Beat Rudin, Band 6, 2012, S. 48.

5
Yves Gogniat, Datenschutz in Spitälern, in : Jusletter 20 juin 2016

märe Arbeitsinstrument für die Ärzte bei der Behandlung dar. Sie erfüllt gleichzeitig insbesondere
folgende zusätzliche Funktionen:
• Stellt die Dokumentation der ärztlichen Behandlung sicher (Dokumentationspflicht des Arz-
tes).
• Sie dient als Informationsquelle bei einem Arztwechsel.
• Sie dient als Informationsquelle für das Pflegepersonal.
• Sie dient als Entscheidungsgrundlage der Versicherungen für Fragen der Kostenübernahme.
• Sie dient als eine Informationsgrundlage für vormundschaftliche oder strafrechtliche Mass-
nahmen.
[Rz 13] Eine gut geführte Patientendokumentation sollte dementsprechend alle für die Behand-
lung erforderlichen Personendaten eines Patienten beinhalten sowie die Angaben für deren ad-
ministrativen Bearbeitung. Der Umgang, die Dokumentation und die sichere Aufbewahrung sind
deshalb wesentlich für die Einhaltung des Datenschutzes. Der Inhalt und die Pflicht zur Führung
einer Patientendokumentation ist in den meisten kantonalen Gesundheitsgesetzen rudimentär
aber nicht abschliessend geregelt.20 Zumindest in den spitalinternen Reglementen sollte der we-
sentliche Inhalt einer Patientendokumentation genauer festgehalten werden und definiert sein,
welche Person für die Einträge verantwortlich ist. Sinnvollerweise wird die für die Behandlung
verantwortliche ärztliche Person dazu verpflichtet eine entsprechende Behandlungsdokumenta-
tion anzulegen und regelmässig nachzuführen.21
[Rz 14] Eine sorgfältig geführte Krankengeschichte weist in chronologischer Ordnung mindestens
folgende drei Elemente auf:22
• Sachverhaltsfeststellungen des Arztes samt Anamnese, Krankheitsverlauf, persönlichem Um-
feld des Patienten und differenzierter Diagnose.
• Angeordnete Therapieformen (zeitlich und quantitativ umschriebene Verabreichung der Me-
dikamente, Eingriffe mit Operationsberichten, physikalische oder andere Therapieformen).
• Ablauf und Gegenstand der Aufklärung des Patienten; von einem Arzt wird erwartet, dass
er den Patienten über die vorgesehene Behandlung (Risiken und Chancen einer geplanten
Heilbehandlung) orientiert und dazu seine Einwilligung einholt.
[Rz 15] Zum einen besteht die Krankengeschichte aus den festgehaltenen Beobachtungen und den
mündlichen Abklärungen, zum anderen besteht sie aus rein objektiven Einträgen und Zusatzdo-
kumenten wie Röntgenbilder, Laborergebnisse, Diagnosen, Therapien oder einem Medikamen-
tenprotokoll. Der Begriff der geschützten Daten wird im Kontext des ärztlichen Berufsgeheimnis-
ses weit ausgelegt.23 Der Umfang der Krankengeschichte ist deshalb ebenfalls weit auszulegen.
Es gilt aber zu beachten, dass nur sachbezogene Angaben in der Krankengeschichte festzuhalten
sind. Rein subjektive Wertungen, persönliche Bemerkungen oder Beurteilungen, zum Beispiel
über den Charakter, die Kleidung oder Eigenschaften des Patienten, sind nicht dokumentations-
würdig, sofern sie für die Erfassung des Krankheitsbildes nicht bedeutsam sind.24

20 Anstelle von vielen; § 15 GesG AG; Art. 26 GesG BE; § 13 GesG ZH.
21 Als Beispiel kann hier auf § 37 ff. des Reglements über die Rechte und Pflichten der Patientinnen und Patienten
des Luzerner Kantonsspitals verwiesen werden und auf § 55ff. der Verordnungüber die Berufe, Organisationen und
Betriebe im Gesundheitswesen des Kantons Aargau.
22 Wolfgang Wiegand, in Heinrich Honsell (Hrsg.) Handbuch des Arztes, Zürich 1994, S. 198 ff.
23 Vgl. BSK Strafrecht II – Oberholzer, Art. 321 N 10.
24 Vgl. EDÖB, Leitfaden für die Bearbeitung von Personendaten im medizinischen Bereich, Juli 2002, S. 9.

6
Yves Gogniat, Datenschutz in Spitälern, in : Jusletter 20 juin 2016

4. Übersicht der Datenströme


[Rz 16] Während der Behandlung eines Patienten werden von verschiedenen internen Stellen
und Personen Daten über den Patienten erfasst und untereinander ausgetauscht. Je nach Grund,
Umfang und Verlauf der Behandlung fordern verschiedene externe Stellen einen Zugang bzw. die
Herausgabe von (Teil-) Daten eines Patienten.

5. Allgemeine Grundsätze bei der Datenbearbeitung von Patientendaten


[Rz 17] Die allgemeinen Grundsätze des Datenschutzes gelten grundsätzlich im Anwendungsbe-
reich des kantonalen Datenschutzrechts sowie auch auf Bundesebene, da alle Kantone die Daten-
schutzgrundsätze ins kantonale Recht übernommen haben.

5.1. Besonders schützenswerte Daten


[Rz 18] Patientendaten sind besonders schützenswerte Personendaten, da bei medizinischen Be-
handlungen oder Eingriffen gezwungenermassen intime Daten und Informationen zur Gesund-
heit erfasst werden müssen. Bei der Bearbeitung von besonders schützenswerten Personendaten
sind zusätzliche Anforderungen zu beachten. Besonders schützenswerte Personendaten dürfen
nur bearbeitet werden, wenn
• es ein formelles Gesetz ausdrücklich vorsieht,
• es für eine in einem formellen Gesetz klar umschriebene Aufgabe unentbehrlich ist,
• die betroffene Person im Einzelfall eingewilligt oder ihre Personendaten allgemein zugänglich
gemacht hat.

5.2. Datenbearbeitung
[Rz 19] Nicht für jede Weitergabe von Personendaten besteht eine gesetzliche Grundlage und von
einer stillschweigenden Einwilligung kann auch nur in Ausnahmefällen ausgegangen werden. In
einem solchen Fall ist die Einwilligung bei der betroffenen Person einzuholen.
[Rz 20] Es dürfen nur rechtmässig beschaffte Daten verwendet werden. Die Angaben für die Kran-
kengeschichte sind – wenn immer möglich – bei der betroffenen Person selbst zu erheben. Der
Patient hat dabei ein Recht auf Aufklärung über die Art und Weise der beabsichtigten Datenbe-
arbeitung. Bereits bei der Beschaffung der Daten muss der Arzt die Einwilligung des Patienten
für die weitere Datenbearbeitung einholen. In der Praxis hat deshalb der Patient bei Spitaleintritt
eine Einwilligungserklärung zur Datenbearbeitung zu unterzeichnen.25
[Rz 21] Personendaten dürfen nur zum Zweck bearbeitet werden, der bei der Beschaffung ange-
geben wurde, aus den Umständen ersichtlich, zur Erfüllung der Aufgabe erforderlich oder ge-
setzlich vorgesehen ist. Neben dem Grundzweck der Erstellung der Patientendokumentation zur

25 Vgl. EDÖB, Leitfaden für die Bearbeitung von Personendaten im medizinischen Bereich, Juli 2002, S. 8.

7
Yves Gogniat, Datenschutz in Spitälern, in : Jusletter 20 juin 2016

Durchführung einer medizinischen Behandlung werden die Personendaten aber noch für andere
Zwecke bearbeitet.26 Liegt eine ausreichende gesetzliche Grundlage vor, so ist eine persönliche
Einwilligung zur Datenherausgabe nicht notwendig27 , aus Transparenzgründen ist eine Aufklä-
rung trotzdem empfehlenswert. Gerade im Sozialversicherungsbereich bestehen vielfach ausrei-
chende gesetzliche Grundlagen, um eine Datenweitergabe ohne Einwilligung zu rechtfertigen.
[Rz 22] Die Daten dürfen nicht in einer Art und Weise erhoben werden, mit der die Person nach
Treu und Glauben nicht rechnen durfte und nicht einverstanden wäre.
[Rz 23] Es gilt den Grundsatz der Verhältnismässigkeit zu beachten. Es dürfen nur dort Personen-
daten bearbeitet werden, wo dies notwendig ist. Ausserdem muss die Bearbeitung geeignet sein,
den geforderten Zweck mit dem mildesten Mittel zu erreichen.
[Rz 24] Beispielsweise sind vor der ersten ärztlichen Konsultation von Erwachsenen neben Na-
men, Vornamen, Adresse und Krankenkasse keine weiteren Angaben zu erheben, wie bspw. ge-
naue Geburtstage oder Berufe der Eltern oder Ehepartner. Letztere sind keine Angaben, die sich
direkt auf den neuen Patienten beziehen, und sind, sofern überhaupt erforderlich, erst in einem
späteren Zeitpunkt zu erfassen.28 Es sind deshalb technische und organisatorische Sicherheits-
massnahmen zu definieren, die das Risiko einer missbräuchlichen Bearbeitung minimieren.
[Rz 25] Für jede wichtige Aufgabe muss das Spital den Datenschutz sicherstellen und hier gilt es
nicht nur den elektronischen Bereich sondern auch den physischen Bereich zu berücksichtigen.
[Rz 26] Es sind:
• Klare Verantwortlichkeiten und Zugriffsrechte zu definieren.
• Der Zugriff ist auf das Notwendige zu minimieren.
• Die physischen Prozesse (bspw. Umgang mit Papierakten) müssen ebenfalls berücksichtigt
werden.
• Der Zugriff und die Datenbearbeitung sind entsprechend zu überwachen und zu kontrollie-
ren (Protokollierung).
• Der Datentransfer hat sicher zu erfolgen.29

5.3. Datenherausgabe an Dritte


[Rz 27] Dritten dürfen Auskünfte über den Patienten oder die Patientin nur dann erteilt werden,
wenn eine Einwilligung des Patienten vorliegt, eine gesetzliche Grundlage für die Weitergabe
besteht oder der behandelnde Arzt von der Aufsichtsbehörde vom Patientengeheimnis entbunden
wurde.30
[Rz 28] Der Patient kann gemäss EDÖB je nach Situation ausdrücklich – das heisst mündlich oder
schriftlich – oder stillschweigend in die Weitergabe seiner persönlichen Gesundheitsdaten einwil-
ligen. Er muss freiwillig und ohne Druck entscheiden können, ob er seine Einwilligung geben

26 Vgl. EDÖB, Leitfaden für die Bearbeitung von Personendaten im medizinischen Bereich, Juli 2002, S. 9.
27 Vgl. BGE 133 V 359 E. 8.3.
28 Vgl. EDÖB, Leitfaden für die Bearbeitung von Personendaten im medizinischen Bereich, Juli 2002, S. 9.
29 Vgl. Art. 8 ff. VDSG.
30 Vgl. Art. 17 Abs. 2 DSG und BSK-Strafrecht II – Oberholzer, Art. 321, N 18 ff.

8
Yves Gogniat, Datenschutz in Spitälern, in : Jusletter 20 juin 2016

will. Die Einwilligung ist ferner nur gültig, wenn sich der Patient über das Ausmass der ganzen
Datenbearbeitung, den Zweck und den/die Empfänger der Daten im Klaren ist.31
[Rz 29] Deshalb hält der EDÖB die pauschalen Einwilligungserklärungen für nichtig, welche auf
manchen Formularen für Versicherungsanträge oder in den Allgemeinen Geschäftsbedingungen
zu finden sind.
[Rz 30] Weshalb bei diesen pauschalen Einwilligungen – gleich wie bei einer stillschweigenden
Einwilligung – eine zurückhaltende Weitergabe ratsam ist. Sofern eine Weitergabe nicht offen-
sichtlich ist, wie bspw. bei der Weitergabe eines Arztberichts an den überweisenden Hausarzt zur
Durchführung der Nachkontrolle, ist unbedingt eine Einwilligung einzuholen.32
[Rz 31] Für ein Arzt und ein Spital ist es nicht immer einfach abzuschätzen, ob in einem konkre-
ten Fall ein überwiegendes privates oder öffentliches Interesse vorliegt, das die Weitergabe von
Gesundheitsdaten – auch ohne oder gar gegen den Willen des Patienten – rechtfertigen würde.
[Rz 32] Ein öffentliches Interesse geht in der Regel mit einer entsprechenden Gesetzesbestim-
mung einher, die eindeutig formulierte Meldepflichten und – rechte enthält. Im Fall eines priva-
ten Interesses muss der Arzt die Interessenabwägung «delegieren» und die zuständige Aufsichts-
behörde, in der Regel die kantonale Gesundheitsdirektion, um Befreiung vom Berufsgeheimnis
ersuchen (Art. 321 Schweizerisches Strafgesetzbuch, StGB).33

5.4. Archivierung
[Rz 33] Die Daten sind nach Abschluss der Behandlung während mindestens zehn Jahre aufzube-
wahren. In bestimmten Fällen können kantonale Regelungen sogar eine längere Aufbewahrungs-
frist vorsehen.34 Während der gesamten Aufbewahrungsdauer muss das Einsichtsrecht der Pati-
enten in ihre Patientendokumentation gewahrt bleiben. Die Aufbewahrung muss über alle Sys-
teme gewährleistet sein. Nach Ablauf der Aufbewahrungsfrist ist die Löschung sicherzustellen.35
Wird die Patientendokumentation nur elektronisch geführt, ist durch technische Vorkehrungen
sicherzustellen, dass einmal erfolgte Eintragungen nicht mehr gelöscht werden können und statt-
dessen eine Versionierung stattfindet. Dies deshalb, um die vom Gesetz verlangte Möglichkeit zur
lückenlosen Rückverfolgung der Urheberschaft aller zu irgendeinem Zeitpunkt einmal erfolgten
Eintragungen zu gewährleisten. Aus dem gleichen Grund hat sowohl bei der schriftlichen wie
der elektronischen Führung der Patientendokumentation eine allfällige Korrektur (einer tatsäch-
lich erfolgten, aber falschen) Eintragung nicht durch deren Löschung bzw. Beseitigung, sondern
in Form einer entsprechenden Ergänzung zu erfolgen. Bei umstrittenen Eintragungen können
Patientinnen und Patienten eine Ergänzung der Patientendokumentation im Sinne einer Gegen-
darstellung verlangen, sofern sie ein schützenswertes Interesse geltend machen können.36

31 Vgl. EDÖB, Leitfaden für die Bearbeitung von Personendaten im medizinischen Bereich, Juli 2002, S. 18.
32 Vgl. EDÖB, Leitfaden für die Bearbeitung von Personendaten im medizinischen Bereich, Juli 2002, S. 18.
33 Schweizerische Akademie der Medizinischen Wissenschaften, Rechtliche Grundlagen im medizinischen Alltag –
Ein Leitfaden für die Praxis, 2. überarbeitete Auflage, 2013, S.136.
34 Vgl. Art. 26 Abs. 2 GesG BE; § 15 Abs. 2 GesG AG.
35 Vgl. Reto Mathys, Anforderungen an KIS, in: DIGMA 2015.1, S. 15.
36 Gesundheitsdirektion des Kantons Zürich, Weisung zum Patientinnen- und Patientengesetz, S. 8.

9
Yves Gogniat, Datenschutz in Spitälern, in : Jusletter 20 juin 2016

[Rz 34] Für ein Spital ist es wichtig, dass technisch und organisatorisch die Vollständigkeit der
Patientendokumentation sichergestellt werden kann. Hier ist vor allem an die Ergänzung aller
Zusatzdokumente zu denken. Das Spital muss eine vollständige Einsicht (Auskunftsrecht), Da-
tenherausgabe als Kopien und Archivierung gewährleisten können.37 Das Auskunftsrecht und
die Pflicht zur Archivierung sind in den kantonalen Gesetzen geregelt, ungeregelt bleibt aber die
Frage, ob die Patienten vor der Vernichtung der Patientendokumentation informiert werden müs-
sen und die Patientendokumentation anstelle einer Vernichtung an die Patienten herausgegeben
werden darf. Sofern im Rahmen des Auskunftsrechts eine vollständige Einsicht gegeben werden
könnte, spricht eigentlich nichts dagegen, dass die Patienten anstelle von Kopien ihre Original-
akte erhalten, dies aber natürlich erst nach Ablauf der gesetzlichen Aufbewahrungspflicht.

6. Interner Datenaustausch
6.1. Spitalpersonal
6.1.1. Allgemeines

[Rz 35] Ein Spital haftet als Arbeitgeber und Leistungserbringer gegenüber seinen Vertragspart-
nern (Patienten und Lieferanten usw.) wie auch gegenüber Dritten. Es haftet für eine funktio-
nierende und sichere Unternehmensorganisation, unter anderem für die sorgfältige Auswahl,
Instruktion und Überwachung seiner Arbeitnehmer.38 Alle Mitarbeiter haben sich an die organi-
satorischen und personellen Weisungen des Spitals zu halten.39 Das Spital hat dafür ihre Fürsor-
gepflichten als Arbeitgeber wahrzunehmen.40 Die leitenden Ärzte und Chefärzte arbeiten jedoch
fachlich weisungsungebunden.
[Rz 36] Die Führung und Organisation der Patientendokumentation ist Teil der Unternehmens-
organisation und kann deshalb durch das Spital vorgegeben werden. Alle Mitarbeiter haben sich
daran zu halten inkl. den leitenden Ärzten und Chefärzten.
[Rz 37] Das Spital als Inhaber der Patientendaten ist für diese verantwortlich und hat die Da-
tensicherheit und den Persönlichkeitsschutz nicht nur nach aussen sondern auch nach innen zu
gewährleisten. Es ist sicherzustellen, dass nur diejenigen Personen Zugriff auf die Daten haben,
die dazu berechtigt sind bzw. die Daten für ihre Arbeit effektiv benötigen.

6.1.2. Patientengeheimnis

[Rz 38] Wie bereits ausgeführt41 , bedarf die Weitergabe an Dritte entweder einer Einwilligung
des Patienten, einer gesetzlichen Grundlage oder der behandelnde Arzt lässt sich durch die Auf-
sichtsbehörde im entsprechenden Verfahren vom Patientengeheimnis entbinden.

37 Vgl. Reto Mathys, Anforderungen an KIS, in: DIGMA 2015.1, S. 14; vgl. Ziff. 0.
38 Schweizerische Akademie der Medizinischen Wissenschaften, Rechtliche Grundlagen im medizinischen Alltag –
Ein Leitfaden für die Praxis, 2. überarbeitete Auflage, 2013, S.136.
39 Vgl. Art. 321d OR.
40 Vgl. Art. 328 OR.
41 Siehe Datenherausgabe an Dritte.

10
Yves Gogniat, Datenschutz in Spitälern, in : Jusletter 20 juin 2016

[Rz 39] Für einen Arzt ist es nicht immer einfach abzuschätzen, ob er nun zur Weitergabe berech-
tigt ist oder nicht.42 Ein Arzt ist nicht nur an den Datenschutz sondern gleichzeitig an das Be-
rufsgeheimnis bzw. das Patientengeheimnis gebunden (Art. 321 StGB). In gewissen Fällen muss
er sich deshalb zuerst von der zuständigen Aufsichtsbehörde vom Berufsgeheimnis entbinden
lassen, wenn keine Einwilligung des Patienten beigebracht werden kann.

6.1.3. Hilfspersonen

[Rz 40] Eine Weitergabe an eine Hilfsperson ist grundsätzlich zulässig, da Hilfspersonen der zur
Geheimhaltung verpflichteten Ärzte gleichgestellt sind. Unter Hilfspersonen versteht man Per-
sonen, die einen Geheimnisträger unterstützen und auch mit den vertraulichen Informationen in
Kontakt kommen. Der Kreis der Hilfspersonen wird heute sehr weit gezogen, wobei es vor allem
auf die Aufgabe und nicht auf die Funktion ankommt. Die Nähe zwischen Geheimnisträger und
Hilfsperson wird dadurch sehr relativ, entspricht aber den heutigen Realitäten.43 Im Kontext des
Spitals fängt die Hilfspersonenstellung beim Krankenpfleger an und hört beim Verwalter auf. So-
weit Mitarbeiter mit Patienten oder Informationen über Patienten in Berührung kommen, z. B.
Reinigung, Ambulanz, Telefondienst, etc., gelten sie als Hilfspersonen. Nicht als Hilfspersonen
gelten Gärtner oder das Wartungspersonal für technische Einrichtungen.44
[Rz 41] Umso wichtiger werden deshalb die allgemeinen Grundsätze des Datenschutzgesetzes,
insbesondere Datensicherheit und Verhältnismässigkeit der Datenbearbeitung. Die Verantwor-
tung für die Datenbearbeitung verbleibt immer beim Auftraggeber, der die den Umständen an-
gemessenen Sorgfaltspflichten anwenden muss.45
[Rz 42] Ein grosser Teil der Mitarbeiter gilt somit bereits als Hilfsperson und darf grundsätzlich
in die Patientendaten Einsicht erhalten. Es gilt Verhältnismässigkeit zu wahren und die Einsichts-
rechte bei den Hilfspersonen auf das Notwendige zu beschränken. Dies kann über Zugriffsrechte
und Weisungen gesteuert werden, was es natürlich zu kontrollieren gibt. Niemand muss auf alle
Patientendaten zugreifen können. Es sollten daher nur die Hilfspersonen auf eine Patientendoku-
mentation Zugriff haben, wenn sie an dessen Behandlung beteiligt sind. Gerade mit einem älteren
Klinikinformationssystem (KIS) wird sich dies aber in der Praxis meist nur schwer umsetzen las-
sen. Technisch ist der Zugang aber so weit als möglich zu beschränken, bspw. auf die Abteilung
oder jeweilige Station.

6.1.4. Weitergabe von Patientendaten an Medizinalpersonen

[Rz 43] Selbst in einem Spital sind nicht alle medizinischen Mitarbeiter per se zum Zugriff auf
eine Patientendokumentation berechtigt. Entgegen einer da und dort noch verbreiteten Meinung
bedarf auch die Weitergabe von Gesundheitsdaten an Ärzte oder andere Medizinalpersonen (Phy-
siotherapeuten, Hebammen, Apotheker etc.) der Einwilligung des Patienten.46 Ein Arzt darf ei-

42 EDÖB, Leitfaden für die Bearbeitung von Personendaten im medizinischen Bereich, Juli 2002, S. 18.
43 Ursula Uttinger, Inwieweit bestimmen Patienten noch über ihre Daten?, in: Pflegerecht, 2015, S. 5; vgl. auch BSK
Strafrecht II – Oberholzer, Art. 321 N 6.
44 Vgl. Stefan Trechsel, Schweizersiches Strafgesetzbuch – Kurzkommentar, 2. Auflage, Art. 321 N 13.
45 Ursula Uttinger, Inwieweit bestimmen Patienten noch über ihre Daten?, in: Pflegerecht, 2015, S. 5.
46 EDÖB, Leitfaden für die Bearbeitung von Personendaten im medizinischen Bereich, Juli 2002, S. 18.

11
Yves Gogniat, Datenschutz in Spitälern, in : Jusletter 20 juin 2016

nem anderen Arzt Angaben über einen Patienten nur weitergeben, wenn der Patient damit einver-
standen ist.47 Ausserdem dürfen nur jene Informationen weitergegeben werden, die nötig sind.
Zwar kann neben der ausdrücklichen Zustimmung eine stillschweigende oder bloss mutmass-
liche Einwilligung des Patienten zulässig sein. Eine Weitergabe von Patienteninformation muss
sicherlich bei Notfallpatienten, gestützt auf eine mutmassliche Einwilligung zulässig sein. Doch
ist es sinnvoll, die Patienten ausdrücklich über die Abläufe zu informieren. Was für den Arzt
selbstverständlich ist, ist es nicht für die Patienten.48
[Rz 44] Im Spital darf man von der mutmasslichen Einwilligung des Patienten ausgehen, so dass
die an der Behandlung direkt beteiligten Personen einander jene Patientendaten mitteilen dürfen
und sollen, die für die sichere Behandlung nötig sind.49 Eine transparente Information über die
Weitergabe ist trotzdem zu empfehlen.
[Rz 45] Bei der Weitergabe an Ärzte ausserhalb des Spitals ist ebenfalls Vorsicht geboten. Von ei-
ner stillschweigenden bzw. mutmasslichen Einwilligung des Patienten zur Weitergabe von Daten
an den zuweisenden Hausarzt oder Spezialisten kann allenfalls aus den Umständen geschlossen
werden. Im Zweifelsfall ist jedoch die ausdrückliche Einwilligung des Patienten einzuholen.50

6.1.5. Technische und organisatorische Massnahmen

[Rz 46] Das Spital hat technische und organisatorische Massnahmen zu treffen, damit die Pati-
entendaten nicht ohne weiteres weitergegeben werden können oder darauf zugegriffen werden
kann. Der Zugriff ist auch intern auf das Notwendige zu beschränken. Technisch steht hier das
KIS eines Spitals im Vordergrund. Gerade ein moderndes KIS ermöglicht heute eine umfassende
Verknüpfung mit der gesamten IT-Infrastruktur des gesamten Spitals. So können bspw. Labo-
ranalysen oder CT-Aufnahmen direkt ins KIS übermittelt werden.51 Dieser schnelle und umfas-
sende Austausch von Daten reduziert auf der einen Seite natürlich das Risiko, dass Information
zu langsam oder unvollständig an den behandelnden Arzt gelangen, auf der anderen Seite haben
über die vielen Schnittstellen potenziell mehr Personen Zugriff auf Patientendaten, was wieder-
um die Gefahr eines Missbrauchs erhöht. Die offenen Zugriffsrechte stellen eine oft angetroffene
Schwachstelle in den Spitälern dar.52
[Rz 47] Es kann hier Rudin nur zugestimmt werden, dass die Zeiten vorbei sein sollten, wo mit der
Begründung, dies sei zur guten Behandlung der Patientinnen und Patienten nötig, alle in einem
Spital auf die Patientendaten zugreifen können, keine Sperr- und Löschmöglichkeiten vorgesehen
sind und Datenzugriffe nicht aufgezeichnet werden.53

47 Vgl. EDÖB, Schweigepflicht – Gilt die Schweigepflicht auch zwischen Ärzten, abrufbar unter http://www.edoeb.
admin.ch/datenschutz/00768/00808/00831/index.html?lang=de (Website zuletzt besucht am 24. Mai 2016).
48 Schweizerische Akademie der Medizinischen Wissenschaften, Rechtliche Grundlagen im medizinischen Alltag –
Ein Leitfaden für die Praxis, 2. überarbeitete Auflage, 2013, S.108 f.
49 Schweizerische Akademie der Medizinischen Wissenschaften, Rechtliche Grundlagen im medizinischen Alltag –
Ein Leitfaden für die Praxis, 2. überarbeitete Auflage, 2013, S.108 f.
50 Vgl. das Beispiel des EDÖB im Leitfaden für die Bearbeitung von Personendaten im medizinischen Bereich, Juli
2002, S. 18.
51 Vgl. Reto Mathys, Anforderungen an KIS, in: DIGMA 2015.1, S. 15.
52 Vgl. Reto Mathys, Anforderungen an KIS, in: DIGMA 2015.1, S. 15.
53 Vgl. Beat Rudin, Datenschutz und IT-Sicherheit im Spital, in: DIGMA 2015.1, S. 4 f.

12
Yves Gogniat, Datenschutz in Spitälern, in : Jusletter 20 juin 2016

[Rz 48] Als ersten Schritt ist ein Berechtigungskonzept zu erstellen, um organisatorisch die Zu-
griffsrechte zu regeln. Wie der Fall Tugce54 gezeigt hat, reichen organisatorische Massnahmen
alleine nicht aus. Es sind ebenfalls technische Massnahmen zu ergreifen. Insbesondere müssen
die technischen Möglichkeiten implementiert werden, um die organisatorischen Massnahmen
wirksam kontrollieren zu können. Um die Einhaltung überhaupt kontrollieren zu können und
allenfalls einen Missbrauch nachvollziehen zu können, ist eine Protokollierung notwendig. Ei-
ne Protokollierung wirkt meist auch präventiv, so dass diese beispielweise Zugriffe aus reiner
Neugier verhindert. Es gilt jede Datenbearbeitung zu protokollieren. Das Lesen, Verändern und
Löschen von Daten, inkl. Zugriffsversuche, ist zu protokollieren.55 Das gleiche gilt auch für die
Systemadministrationstätigkeiten (z.B. Wartungsvorgänge) und den Export von Daten. Die Proto-
kolle dürfen natürlich wiederum nur von autorisierten Personen eingesehen werden. Die Proto-
kollierung ist im Informatiksystem so auszugestalten, dass in der Praxis eine Auswertung effektiv
möglich wird. Beispielsweise kann eine mehrstufige Auswertung stattfinden, um der Datenmen-
ge Herr zu werden und nur die Verdachtsfälle genauer prüfen zu müssen.
[Rz 49] Durch die Implementierung von technischen Massnahmen können somit gewisse Verstös-
se bereits proaktiv verhindert werden. Gerade bei älteren Systemen lassen sich die nachfolgend
genannten Funktionen gar nicht vollständig umsetzen, da bei der Beschaffung des KIS der Daten-
schutz noch kein so grosses Thema war und eine nachträgliche Softwareanpassung zu teuer wäre.
In diesen Fällen bleibt die Überwachung oft die einzig sinnvolle Massnahme. Bei der Beschaffung
eines neuen KIS ist es deshalb wichtig einen Privacy by Design56 Ansatz zu verfolgen und bereits
an den Datenschutz zu denken. Am wichtigsten ist, dass ein Zugriff auf Patientendaten grund-
sätzlich nur denjenigen möglich sein darf, die an der verwaltungsmässigen Abwicklung oder an
der medizinischen- oder pflegerischen Behandlung beteiligt sind.57
[Rz 50] Für einen datenschutzkonformen Betrieb sind folgende Funktionen notwendig:
• Rollenbasierte Zugriffsvergabe,
• Automatische Einschränkung auf alte Falldaten,
• Automatische Einschränkung des Zugriffs auf Daten von Mitarbeitenden,
• Protokollierung des Notfallzugriffs einschliesslich des Zugriffgrunds,
• Zeitliche Sperrung von Benutzerkonten,
• Sperrung bei wiederholt fehlerhafter Passworteingabe,
• Automatische Erkennung unbenutzter Benutzerkonten,
• Möglichkeit einer starken Authentifizierung (Zwei-Faktor-Authentifizierung) und eine auto-
matische Überprüfung der Passwortstärke.58
[Rz 51] Auf der anderen Seite muss die Patientendokumentation als Ganzes oder in Teilen zweck-
mässig exportiert werden können. Je nach Situation kann dies ebenfalls die Zugriffs- und Ände-
rungsprotokolle beinhalten.59 Die Zuständigkeiten, der Ablauf der Herausgabe und die Einsicht
von Patientendaten sind innerhalb des Spitals zu regeln. Es ist sicherzustellen, dass das Aus-

54 FN 5.
55 Vgl. Art. 10 VDSG.
56 Introduction to PbD abrufbar unter https://www.ipc.on.ca/english/Privacy/Introduction-to-PbD/ (Website zuletzt
besucht am 24. Mai 2016).
57 Helmut Eiermann, Langer Weg braucht langen Atem, in: DIGMA 2015.1, S. 6.
58 Vgl. Reto Mathys, Anforderungen an KIS, in: DIGMA 2015.1, S. 15.
59 Vgl. Privatim, Merkblatt – Klinikinformationssysteme (KIS), Dezember 2014, S. 2.

13
Yves Gogniat, Datenschutz in Spitälern, in : Jusletter 20 juin 2016

kunftsrecht der Patienten umfassend gewährleistet werden kann. Technisch muss der Export al-
ler Patienteninformationen zu einem Behandlungsfall, inkl. Zugriffs- und Änderungsprotokolle,
möglich sein.60 Gleichzeitig muss während der laufenden Behandlung die Ergänzung von Fall-
daten (inkl. referenzierten Systemen) gewährleistet werden, um die Berichtigung von falschen
Daten zu ermöglichen.61 Wie nachfolgend aufgezeigt wird, haben die verschiedenen Stellen un-
terschiedliche Rechte auf die Herausgabe von Daten. Teilweise ist auch eine Pseudonymisierung oder
Anonymisierung notwendig; auch dies gilt es bei der technischen und organisatorischen Umsetzung
zu berücksichtigen (Privacy by Design).

6.2. Forschung
[Rz 52] Neben der Behandlung von Patienten wird in Spitälern auch Forschung betrieben. Die
Ärzte bleiben aber auch bei der Forschung grundsätzlich an das Patientengeheimnis gebunden.
Ärzte können sich zu Forschungszwecken durch die Aufsichtsbehörde von dem Patientengeheim-
nis entbinden lassen.62 Sie müssen die Patienten aber entsprechend aufklären oder sie zumindest
über ihr Widerspruchsrecht informieren.63 Dies muss in einer für den Patienten verständlichen
Weise geschehen und hat freiwillig zu erfolgen. Die Freiwilligkeit im Rahmen einer medizini-
schen Behandlung ist immer kritisch zu hinterfragen, da diese oft in einer Stresssituation des
Patienten erfolgt. Die Vor- und Nachteile sind deshalb möglichst objektiv darzulegen und dem
Patienten dürfen keinesfalls irgendwelche Vorteile versprochen werden.64 Der Patient darf nicht
den Eindruck erhalten, dass er bei einer Ablehnung, keine qualitativ gleichwertige Behandlung
erhält.
[Rz 53] Die Daten werden primär von den behandelnden Ärzten erfasst und an die Forscher zur
Gesundheitsforschung weitergegeben. Viele Daten werden anschliessend von weiteren Forschern
genutzt, die den Patienten nicht kennen.65 Dafür sind die Daten zu anonymisieren oder pseud-
onymisieren. Bereits im Zeitpunkt der Erhebung der Daten sind die Patienten über eine mögliche
Weitergabe der Daten zu informieren und gleichzeitig ist die Einwilligung der betroffenen Pati-
enten einzuholen oder die Patienten sind über ihr Widerspruchsrecht zu informieren.66
[Rz 54] Um den Persönlichkeitsschutz möglichst zu gewährleisten, ist mit anonymisierten oder
mindestens verschlüsselten (= pseudonymisierten) Daten zu arbeiten.67 Für Personen, welche die
Zuordnungsregel bzw. den Schlüssel haben, stellen die pseudonymisierten Daten weiterhin Per-
sonendaten dar. Für alle anderen sind es keine Personendaten, sofern sie keinen Zugang zum
Schlüssel haben und auch sonst keine Rückschlüsse auf die Identität möglich sind. Der für die
Bestimmung einer Person zu betreibende Aufwand ist in diesem Sinne insb. dann nicht mehr

60 Vgl. Privatim, Merkblatt – Klinikinformationssysteme (KIS), Dezember 2014, S. 2.


61 Vgl. Reto Mathys, Anforderungen an KIS, in: DIGMA 2015.1, S. 14.
62 Art. 321bis StGB.
63 Art. 7 HFG.
64 Vgl. Botschaft zum Bundesgesetz über die Forschung am Menschen vom 21. Oktober 2009, BBl 2009 8106 und
8100.
65 Ursula Uttinger, Inwieweit bestimmen Patienten noch über ihre Daten?, in: Pflegerecht, 2015, S. 4.
66 Art. 17 HFG.
67 Ursula Uttinger, Inwieweit bestimmen Patienten noch über ihre Daten?, in: Pflegerecht, 2015, S. 4; vgl. auch Art.
32 ff. HFG und § 49 f. Patientenreglement LUKS.

14
Yves Gogniat, Datenschutz in Spitälern, in : Jusletter 20 juin 2016

vertretbar, wenn nach den allgemeinen Lebenserfahrungen nicht damit gerechnet werden muss,
dass ein Interessent diesen auf sich nehmen wird (etwa durch eine komplizierte Analyse einer
Statistik).68 Die Ergebnisdaten einer Arzneimittelstudie stellen nach Rosenthal für jene Kreise
Personendaten dar, welche die Identität der Probanden kennen; für den Sponsor (Auftraggeber)
der Studie oder eine Heilmittelbehörde stellen die Ergebnisdaten jedoch normalerweise keine
Personendaten dar, wenn die Namen und weiteren Kennzeichen zuvor durch eine neutrale Num-
mer ersetzt wurden.69 Soweit eine anonymisierte Verwendung der Information möglich ist und
daraus keine Rückschlüsse auf die Identität der Patienten gezogen werden können, liegt gar kein
Eingriff in das Patientengeheimnis vor, so dass auch der Tatbestand von Art. 321bis StGB nicht
erfüllt ist70 .
[Rz 55] Bestehen Zweifel an einer ausreichenden Pseudonymisierung bzw. dass die Identität von
den Dritten entschlüsselt werden kann (Anonymisierung), sind die Patienten gestützt auf das
HFG aufzuklären. Ansonsten reicht es aus, wenn die Patienten auf ihr Widerspruchsrecht auf-
merksam gemacht werden.71 Eine routinemässige Aufklärung im allgemeinen Aufnahmeformu-
lar genügt, da an die Aufklärung weniger hohe Anforderungen zu stellen sind als beim allgemei-
nen Rechtfertigungsgrund der Einwilligung des Verletzten. Ein Hinweis darauf, dass die perso-
nenbezogenen Daten für die medizinische Forschung verwendet werden können, genügt.72 So-
lange die Daten in verschlüsselter Form weitergegeben werden, ist eine pauschale Einwilligung
auch unter dem Humanforschungsgesetz möglich.73
[Rz 56] Ein Spital sollte deshalb eine entsprechende Aufklärung auf sein Aufnahmeformular auf-
nehmen. Zusätzlich bleibt ein Spital als Dateninhaber mitverantwortlich, dass die Daten nicht
mehr als Personendaten gelten und keine Personendaten weitergegeben werden. Ist dies nicht
möglich, hat das Spital sicherzustellen, dass eine Einwilligung vorliegt, der Patient entsprechend
aufgeklärt wurde und die notwendigen Bewilligungen der Aufsichtsbehörden vorliegen, ansons-
ten sich das Spital strafrechtlichen und datenschutzrechtlichen Risiken aussetzt.

7. Externer Datenaustausch
7.1. Sozialversicherung
7.1.1. Allgemeines zu den Sozialversicherungen

[Rz 57] Im Sozialversicherungsrecht haben Personen, die Versicherungsleistungen beanspruchen,


alle Personen und Stellen, namentlich Arbeitgeber, Ärztinnen und Ärzte, Versicherungen so-
wie Amtsstellen im Einzelfall zu ermächtigen, die Auskünfte zu erteilen, die für die Abklärung

68 Vgl. BSK DSG – Gabor P. Blechta, 3. Auflage, Art. 3 N 11, 2014.


69 Vgl. David Rosenthal, Handkommentar DSG, Zürich 2008, Art. 3 Bst. b N 40.
70 BSK Strafrecht II – Oberholzer, Art. 321bis N 9.
71 Art. 32 ff. HFG und Art. 321bis StGB.
72 BSK Strafrecht II – Oberholzer, Art. 321bis N 9; vgl. auch Trechsel, Schweizerisches Strafgesetzbuch – Kurzkom-
mentar, 2. Auflage, Art. 321bis N 10.
73 Botschaft zum Bundesgesetz über die Forschung am Menschen vom 21. Oktober 2009, BBl 2009 8045, 8121,
(Kritsch dagegen: Ursula Uttinger, Inwieweit bestimmen Patienten noch über ihre Daten?, in: Pflegerecht, 2015,
S. 5 und der EDÖB lehnt ebenfalls pauschale Zustimmungen ab, EDÖB, Leitfaden für die Bearbeitung von Perso-
nendaten im medizinischen Bereich, Juli 2002, S. 18.

15
Yves Gogniat, Datenschutz in Spitälern, in : Jusletter 20 juin 2016

von Leistungsansprüchen erforderlich sind. Diese Personen und Stellen sind zur Auskunft ver-
pflichtet (Art. 28 Abs. 3 Bundesgesetz über den Allgemeinen Teil des Sozialversicherungsrechts;
ATSG). Alle Beteiligten, die an der Durchführung sowie der Kontrolle oder der Beaufsichtigung
der Durchführung der Sozialversicherungsgesetze beteiligt sind, haben gegenüber Dritten Ver-
schwiegenheit zu bewahren (Art. 33 ATSG). Die ins Verfahren involvierten Parteien gelten aber
nicht als Dritte im Sinne von Art. 33 ATSG, weshalb eine Auskunft zulässig ist. Die Ermäch-
tigung bezieht sich natürlich nur auf den konkret abzuklärenden Leistungsfall, jedoch können
dazu ebenfalls Angaben zu einem kausalen Vorzustand gehören. Der Umfang bzw. die zur Ab-
klärung notwendigen medizinischen Akten kann die jeweilige Sozialversicherung festlegen. Dies
hat das Bundesgericht in einem Entscheid 201174 festgehalten.75
[Rz 58] Bereits aus den allgemeinen Regelungen des Sozialversicherungsrechts ergibt sich somit
für ein Spital und deren Ärzte eine Mitwirkungspflicht und Auskunftspflicht. Das heisst aber
nicht, dass Ärzte den Umfang der Datenweitergabe nicht weiterhin kritisch hinterfragen dürfen.
[Rz 59] Natürlich kann ein Patient eine Auskunft an die Sozialversicherung verweigern. In diesem
Fall dürfen das Spital und die behandelnden Ärzte keine Auskunft erteilen. Der Patient muss aber
mit der Ablehnung einer Leistung rechnen. Aufgrund der Sorgfaltspflicht sind die involvierten
Parteien verpflichtet den Patienten über dessen Nachteile bei einer Verweigerung aufzuklären.76

7.1.2. Krankenkassen

7.1.2.1. Allgemeines

[Rz 60] Die zu Lasten der obligatorischen Krankenpflegeversicherung erbrachten Leistungen


(Art. 25–31 Bundesgesetz über die Krankenversicherung; KVG) müssen wirksam, zweckmässig
und wirtschaftlich sein (Art. 32 Abs. 1 Satz 1 KVG). Der Krankenversicherer ist berechtigt und
verpflichtet zu überprüfen, ob die erbrachten Leistungen das Wirtschaftlichkeitsgebot respektie-
ren.77 Sie führen dafür eine WZW-Prüfung durch.
[Rz 61] Nach Art. 84 KVG sind die mit der Durchführung sowie der Kontrolle oder der Beauf-
sichtigung der Durchführung dieses Gesetzes betrauten Organe, wozu auch die Krankenversi-
cherer gehören, befugt, die Personendaten, einschliesslich besonders schützenswerter Personen-
daten und Persönlichkeitsprofile, zu bearbeiten oder bearbeiten zu lassen, die sie benötigen, um
die ihnen nach diesem Gesetz übertragenen Aufgaben zu erfüllen, namentlich unter anderem um
Leistungsansprüche zu beurteilen (Art. 84 lit. c KVG). Die Bearbeitung von Personendaten muss
sich auf das beschränken, was zur Erfüllung der Aufgaben nötig ist; besondere Bestimmungen,
wie etwa Art. 42 KVG, haben Vorrang vor der allgemeinen Regelung.78 Es liegt somit eine formell
gesetzliche Grundlage vor, die eine Datenherausgabe erlaubt.

74 BGE 137 V 210 E. 1.2.1, S. 219


75 Vgl. Hubert Bär, Herausgabe medizinischer Daten an Versicherer, in: ASA/SVV Medinfo 2012/1, S. 73.
76 Vgl. Hubert Bär, Herausgabe medizinischer Daten an Versicherer, in: ASA/SVV Medinfo 2012/1, S. 65.
77 BGE 127 V 43 E. 2e, S. 48.
78 Vgl. BGE 133 V 359 E. 6.4.

16
Yves Gogniat, Datenschutz in Spitälern, in : Jusletter 20 juin 2016

7.1.2.2. Swiss DRG

[Rz 62] Im Spitalbereich wir überwiegend nach SwissDRG abgerechnet. Die Spitäler erstellen ih-
re Rechnungen gemäss SwissDRG. Die verlangten Angaben sind somit bereits standardisiert und
ein Spital hat hier keinen Spielraum. Das Spital liefert die entsprechenden administrativen und
medizinischen Angaben (Minimal Clinical Dataset, MCD) gemäss Art. 42 Abs. 3 KVG i.V.m. Art.
59 Verordnung über die Krankenversicherung (KVV) damit die Versicherer eine WZW-Prüfung
(Wirksamkeit, Zweckmässigkeit und Wirtschaftlichkeit)79 durchführen können. Damit der Da-
tenschutz gewährleistet ist und der Versicherer nur in diejenigen medizinischen Daten Einsicht
hat, die er tatsächlich benötigt, gehen die SwissDRG-Rechnungen nicht direkt an den Versiche-
rer, sondern zuerst an die Datenannahmestelle (DAS) des Versicherers.80 Die DAS führt eine so-
genannte Dunkelprüfung durch. Bei der sogenannten Dunkelprüfung wird untersucht, ob die
Rechnung und das MCD, d.h. die darin enthaltenen Diagnosen und Prozeduren, Auffälligkei-
ten aufweisen. Für die Dunkelprüfung werden Auslenkungsregeln angewandt, welche durch den
Krankenversicherer definiert werden. Diese Auslenkungsregeln können verschiedenartig ausge-
staltet sein. Einerseits sind solche vonnöten, die die eben erwähnte versicherungstechnische Prü-
fung der Rechnung ermöglichen. Andererseits müssen Auslenkungsregeln definiert werden, wel-
che die WZW-Prüfung auf der Basis der medizinischen Daten durchführen. Hier wird z.B. auf der
Rechnung überprüft, ob die Haupt- und Nebendiagnose miteinander kompatibel sind oder ob die
Diagnose und die Behandlung übereinstimmen. Wird durch die Anwendung der Auslenkungs-
regeln eine Auffälligkeit entdeckt, sei sie versicherungstechnischer oder medizinischer Art, wird
die Rechnung ausgelenkt. Dies bedeutet, dass sie zu einer genaueren und diesmal individuellen
Überprüfung an eine zuständige Stelle des Krankenversicherers geleitet wird.81 Werden keine
Auffälligkeiten entdeckt wird die Rechnung direkt bezahlt. In diesem Fall ergeben sich auch kei-
ne weiteren datenschutzrelevanten Probleme. Bestehen Auffälligkeiten, wird eine individuelle
Prüfung durch die DRG-Fachstelle oder den Vertrauensarzt durchgeführt. Beide können, falls
sie es benötigen, zusätzliche Auskünfte medizinischer Natur verlangen (Art. 42 Abs. 4 KVG). Ist
die DRG-Fachstelle die ersuchende Stelle, muss die versicherte Person darauf hingewiesen wer-
den, dass die Möglichkeit besteht, diese zusätzlichen Daten nur dem Vertrauensarzt bekannt zu
geben (Art. 59a Abs. 5 KVV).82 Die versicherte Person kann bereits beim Spitalaustritt verlan-
gen, dass das Spital die SwissDRG-Rechnung mit einem Vermerk «Vertrauensarzt/vertraulich»
versieht (Art. 42 Abs. 5 KVG). In einem solchen Fall wird die Rechnung von der DAS direkt an
den Vertrauensarzt weitergeleitet. Die Spitäler sollten ihre Patienten entsprechend aufklären und
die internen Abläufe so ausgestalten, dass ein Vertraulichkeitsvermerk entsprechend angebracht
wird, wenn ein solcher gewünscht ist.
[Rz 63] Hat die versicherte Person beim Austritt die Weitergabe an den Vertrauensarzt nicht ge-
wünscht und möchte der Versicherer zu einem ausgelenkten medizinischen Datensatz weitere
Angaben vom Leistungserbringer, so hat er die versicherte Person darüber zu informieren. Die
versicherte Person hat nun erneut ein Wahlrecht, ob sie mit der Bekanntgabe der weitergehenden

79 Vgl. Rudolf Luginbühl, Zauberwort WZW, in: Schweizer Personalvorsorge xx 12, S. 1f.
80 SwissDRG und Datenannahmestellen, abrufbar unter http://www.edoeb.admin.ch/datenschutz/
00756/00973/01149/index.html?lang=de (Website zuletzt besucht am 6. Januar 2016).
81 Sarah Winkler, Datenschutzrechtliche Anforderungen an die Datenbearbeitungen der Datenannahmestelle nach
Art. 59a KVV, in Jusletter 24. August 2015, Rz 17 f.
82 Sarah Winkler, Datenschutzrechtliche Anforderungen an die Datenbearbeitungen der Datenannahmestelle nach
Art. 59a KVV, in Jusletter 24. August 2015, Rz 21.

17
Yves Gogniat, Datenschutz in Spitälern, in : Jusletter 20 juin 2016

medizinischen Angaben an den Versicherer einverstanden ist oder ob sie die Bekanntgabe an den
Vertrauensarzt wünscht. In der Praxis setzen die Versicherer diese Vorschrift oftmals so um,
dass sie auf das Informieren der versicherten Person verzichten und die weiteren medizini-
schen Angaben vom Leistungserbringer generell zuhanden des Vertrauensarztes verlangen.83
Datenschutzrechtlich Problematisch ist der Fall, wenn die Fachstelle DRG weitere und sehr um-
fassende medizinische Daten verlangt. Grundsätzlich ist das Spital verpflichtet die notwendigen
Angaben zu liefern84 , die die Krankenversicherung benötigt, um die Rechnung zu prüfen und
die WZW-Prüfung durchzuführen. Werden im Rahmen einer Detailprüfung jedoch weitere Da-
ten benötigt, hat das Spital diese an einen Vertrauensarzt zu senden und nicht direkt an die
Versicherung.
[Rz 64] Dies führt zu folgendem Vorgehen:
1. Stufe: Das Spital stellt der Versicherung eine detaillierte und verständliche Rechnung zu (DRG
konform).
2. Stufe: Benötigt die Krankenversicherung im Einzelfall zusätzliche Angaben, gelangt diese mit
spezifischen und auf den konkreten Fall bezogenen Fragen an das Spital. Das Spital beant-
wortet die Anfrage und stellt die Antwort ggf. dem vertrauensärztlichen Dienst zu. Die Kran-
kenversicherung stellt der versicherten Person zur Information eine Kopie der Anfrage zu.
3. Stufe: Sind diese Angaben ausnahmsweise nicht ausreichend, kann die Krankenversicherung
einen Austritts- oder Operationsbericht einholen. Sie stellt der versicherten Person zur Informa-
tion eine Kopie zu. Das Spital sendet die Unterlagen meist direkt an den vertrauensärztlichen
Dienst.85

7.1.3. Unfallversicherung (UV)

[Rz 65] Die Unfallversicherung muss den Sachverhalt gemäss Art. 43 ATSG von Amtes wegen
abklären. Es gilt die Untersuchungsmaxime. Die obligatorische Unfallversicherung basiert – im
Unterschied zur Krankenversicherung – auf dem Naturalleistungsprinzip. Der Versicherer hat
die Pflegeleistungen in natura auf seine Kosten zu erbringen. Der Versicherer wird damit zum
Schuldner gegenüber dem Arzt oder dem Spital. Die Ärzte und Spitäler als Leistungserbringer
sind aufgrund einer öffentlich-rechtlichen Rechtsbeziehung im Auftrag des Unfallversicherers
tätig und zur Mitwirkung verpflichtet.86
[Rz 66] Die UVG-Versicherer haben mit den Art. 96 und 97 ff. Bundesgesetz über die Unfallver-
sicherung (UVG) die notwendigen gesetzlichen Grundlagen zur Datenbearbeitung und Datenbe-
schaffung. Zudem gelten für Abklärung und Mitwirkung die Art. 27 ff. ATSG. Hinzu kommt der
Art. 54a UVG, welcher die Auskunftspflicht der Leistungserbringer (Ärzte, Spitäler) regelt und
damit sowohl eine formalgesetzliche Grundlage für die Datenbekanntgabe, wie auch eine Aus-
nahme von der ärztlichen Schweigepflicht beinhaltet. Nun ist zu beachten, dass gemäss Art. 1

83 SwissDRG und Datenannahmestellen, abrufbar unter http://www.edoeb.admin.ch/datenschutz/


00756/00973/01149/index.html?lang=de (Website zuletzt besucht am 6. Januar 2016).
84 Art. 42 KVG.
85 Austritts- und Operationsberichte, abrufbar unter http://www.edoeb.admin.ch/datenschutz/
00628/00653/00662/index.html?lang=de (Website zuletzt besucht am 6. Januar 2016).
86 M. Fuchs, U. Uttinger, B, Soltermann, Datenschutz und UVG, in Schweizerische Ärztezeitung, 2001, 82, Nr. 50,
S. 2624.

18
Yves Gogniat, Datenschutz in Spitälern, in : Jusletter 20 juin 2016

UVG das Medizinalrecht und Tarifwesen vom Anwendungsbereich des ATSG ausgeschlossen ist.
Daraus folgt, dass das ATSG auf das Verhältnis der versicherten Person zur Unfallversicherung
anwendbar ist, nicht aber auf die Beziehungen der Unfallversicherung zu den Leistungserbrin-
gern. Das heisst, dass Art. 54a UVG massgebend ist für Art und Umfang der Auskunftserteilung
durch Leistungserbringer.87
[Rz 67] Zu Inhalt und Umfang der Auskunftspflicht in der Unfallversicherung kann auf eine
inzwischen gefestigte Praxis verwiesen werden. Unter die in Art. 54a UVG genannten Angaben
fallen nicht nur Auskünfte, sondern auch Unterlagen, also Urkunden und Augenscheinobjekte.
Nun hat der Versicherungsträger unter Mitwirkung der versicherten Person gestützt auf Art. 43
ATSG für die richtige und vollständige Feststellung des rechtserheblichen Sachverhalts zu sorgen.
Dieser umfasst sämtliche anspruchsbegründenden, anspruchsvermindernden und anspruchsver-
nichtenden Tatsachen.88
[Rz 68] Liefert ein Arzt oder ein Spital trotz Aufforderung keine oder nur ungenügende Angaben, kön-
nen sich daraus negative Folgen für den Leistungserbringer wie auch für den Patienten ergeben.
So wäre der Versicherungsträger unter gewissen Voraussetzungen und nach einer Abmahnung
befugt, die Leistungen einzustellen. Dies wiederum könnte zu rechtlichen Schritten des Patienten
gegenüber dem Arzt oder dem Spital führen.89
[Rz 69] Ein Arzt oder Spital kann die Herausgabe von Unterlagen nur in drei Ausnahmefällen
verweigern, nämlich:90
• aus persönlichen Gründen, wenn die Beantwortung der Fragen bzw. die Herausgabe von Un-
terlagen für den Arzt und/oder seine nächsten Verwandten einen Schaden bedeuten würde;
• wenn es sich um Personendaten ausschliesslich zum persönlichen Gebrauch handelt (z.B. per-
sönliche Notizen auf dem Krankenblatt des Versicherten, Vermerke organisatorischer Art);
• wenn und solange es sich um unerhebliche oder sachfremde Daten handelt. Für die Beurtei-
lung der Heilbehandlung eines einfachen Meniskusschadens muss beispielsweise das Durch-
führungsorgan keine Kenntnis von einer früheren psychiatrischen Behandlung haben. Der
rechtserhebliche Sachverhalt ist allerdings eher weit zu fassen.
[Rz 70] Im Ergebnis ist somit das Spital nicht nur befugt, sondern verpflichtet dem UVG-Versicherer
alle notwendigen Unterlagen herauszugeben.

7.1.4. Invalidenversicherung (IV)

[Rz 71] Mit der Anmeldung bei der IV sieht das Gesetz eine gesetzliche Ermächtigung zur Aus-
kunftserteilung vor – ohne dass der Versicherte aktiv einwilligt: Gemäss Art. 6a Bundesgesetz
über die Invalidenversicherung (IVG) müssen in Abweichung zu Art. 28 Abs. 3 ATSG mit der
Geltendmachung des Leistungsanspruches alle in der Anmeldung erwähnten Personen und Stel-
len der IV-Versicherung sämtliche Auskünfte erteilen. Diese Auskunftspflicht besteht auch für

87 Markus Fuchs, Aktuelle datenschutzrechtliche Fragen im UVG, in: SZS 2012, 431.
88 Markus Fuchs, Aktuelle datenschutzrechtliche Fragen im UVG, in: SZS 2012, 432; vgl. dazu auch Roger Peter,
Besteht eine Pflicht des Arztes zur Herausgabe von Daten seines Patienten an das Durchführungsorgan der obliga-
torischen Unfallversicherung?, in: SZS 2001, 154 ff.
89 Markus Fuchs, Aktuelle datenschutzrechtliche Fragen im UVG, in: SZS 2012, 433.
90 M. Fuchs, U. Uttinger, B, Soltermann, Datenschutz und UVG, in: Schweizerische Ärztezeitung, 2001, 82, Nr. 50,
S. 2625.

19
Yves Gogniat, Datenschutz in Spitälern, in : Jusletter 20 juin 2016

Arbeitgeber und Leistungserbringer, wenn sie nicht in der Anmeldung erwähnt sind. Eine Ein-
willigung ist nicht Voraussetzung. Argumentiert wird mit Prozessökonomie und Verfahrensbe-
schleunigung.91
[Rz 72] Das Spital bzw. der zuständige Arzt ist somit grundsätzlich zur Auskunft verpflichtet.

7.2. Privatversicherung
7.2.1. Allgemeines

[Rz 73] Im Gegensatz zu den Sozialversicherungen besteht hier ein privatrechtliches Vertrags-
verhältnis. Das ATSG ist nicht anwendbar. Es gelten die Regeln des Datenschutzgesetzes. Das
Recht zur Datenbearbeitung ergibt sich aus den gegenseitigen Vertragspflichten der Parteien. Ein
Rechtfertigungsgrund zur Bearbeitung von Personendaten durch den Versicherer lässt sich aus
Art. 13 Abs. 2 lit. a DSG ableiten. Personendaten dürfen zum Zweck der Vertragserfüllung be-
arbeitet werden. Um die Versicherungsansprüche umfassend abzuklären, müssen die Schaden-
spezialisten Einsicht in die Patientendokumentation haben.92 Zur Abklärung der medizinischen
Seite können diese beratende Ärzte beiziehen. Die beratenden Ärzte unterstehen als Hilfsperso-
nen ebenfalls dem DSG. Eine Weitergabe der medizinischen Akten nur an die Vertrauensärzte,
analog Art. 57 KVG, ist nicht vorgesehen.93
[Rz 74] Das Spital bzw. der behandelnde Arzt kann Patientendaten grundsätzlich an die Pri-
vatversicherung herausgeben. Sicherheitshalber sollte dies aber erst nach Rücksprache mit dem
Patienten geschehen, da dieser ein Verweigerungsrecht hat.

7.2.2. Haftpflichtversicherung

[Rz 75] Im Haftpflichtbereich ist der Patient nicht Versicherungsnehmer, sondern Geschädigter
und Anspruchsteller. Er steht in keinem Vertragsverhältnis zur Versicherung. Er macht jedoch
einen ausservertraglichen Schaden (Personenschaden) bei der Versicherung geltend. Derjenige
der einen Schaden geltend macht, hat diesen im Haftpflichtrecht zu beweisen (Art. 41 Obligatio-
nenrecht; OR, Art. 8 Schweizerisches Zivilgesetzbuch; ZGB). Der Patient hat also regelmässig die
Pflicht, seinen (Personen-)Schaden und den Kausalzusammenhang zum Schadenereignis nachzu-
weisen um Leistungen zu erhalten. Das kann er nur mit seinem medizinischen Dossier oder der
Aussage des Arztes.94 Der Aussage von Bär, dass offensichtlich einige gute Gründe vorliegen, den
Haftpflichtversicherer mit Patientenakten zu bedienen, kann nur teilweise gefolgt werden.95 Na-
türlich hat der Patient ein Interesse einen Schaden zu belegen, daraus aber bereits auf die Einwil-
ligung zur Herausgabe von Akten zu schliessen, ginge zu weit. Da weder eine gesetzliche Grund-
lage noch ein überwiegendes privates oder öffentliches Interesse besteht, ist die Einwilligung des
Patienten erforderlich. Eine stillschweigende Einwilligung kann hier nicht angenommen werden.

91 Ursula Uttinger, Inwieweit bestimmen Patienten noch über ihre Daten?, in: Pflegerecht, 2015, S. 3.
92 Vgl. Hubert Bär, Herausgabe medizinischer Daten an Versicherer, in: ASA/SVV Medinfo 2012/1, S. 70.
93 Vgl. Hubert Bär, Herausgabe medizinischer Daten an Versicherer, in: ASA/SVV Medinfo 2012/1, S. 69.
94 Hubert Bär, Herausgabe medizinischer Daten an Versicherer, in: ASA/SVV Medinfo 2012/1, S. 70.
95 Vgl. Aussage Hubert Bär, Herausgabe medizinischer Daten an Versicherer, in: ASA/SVV Medinfo 2012/1, S. 70.

20
Yves Gogniat, Datenschutz in Spitälern, in : Jusletter 20 juin 2016

[Rz 76] Verweigert der Patient die Herausgabe, ist er auf die möglichen Nachteile hinzuweisen.
Will der Patient nur Teile der Akten herausgeben, ist Vorsicht geboten, da evtl. damit der Tat-
bestand der Beihilfe zum Versicherungsbetrug erfüllt werden könnte.96 Das Spital bzw. der Arzt
sollte in diesem Fall entweder einen Vermerk in den Akten machen oder die gesamten Patienten-
akten an den Patienten oder deren Rechtsvertreter aushändigen. Dann kann der Patient selber
entscheiden, ob er das Risiko eingehen will und nur einen Teil der Akten einreichen möchte.

7.3. Bundesbehörden
7.3.1. Bundesamt für Statistik (BFS)

[Rz 77] Das Bundesstatistikgesetz sammelt entsprechende Falldaten, mit dem Ziel der Einrich-
tung von Gesundheitsstatistiken auf nationaler Ebene. Dadurch soll eine Beurteilung des
Gesundheits- und Sozialwesen ermöglicht werden (Art. 3 Abs. 2b Bundesstatistikgesetz; BStatG).
Dafür arbeitet das BFS mit den Kantonen und Gemeinden (Art. 3 Abs. 3 und Art. 7 BStatG)
zusammen. Ausserdem sieht das BStAtG vor, dass der Bundesrat bei der Anordnung einer Er-
hebung natürliche und juristische Personen des privaten und öffentlichen Rechts zur Auskunft
verpflichten kann (Art. 6, Abs.1 BStatG). Vorschriften bezüglich der medizinischen Statistik der
Krankenhäuser enthält die Verordnung vom 30. Juni 1993 über die Durchführung von statisti-
schen Erhebungen des Bundes. Diese Verordnung bestimmt das BFS zum verantwortlichen Erhe-
bungsorgan und regelt die Durchführung.97
[Rz 78] Die Kantone wurden mit der Organisation der Erhebung beauftragt und liefern die Daten
an das BFS.
[Rz 79] Damit liegt eine ausreichende rechtliche Grundlage vor, die das Spital zur Weitergabe von
Gesundheitsdaten verpflichtet.
[Rz 80] Teilweise verlangt das BFS individuelle Patientendaten, um diese zu einer Gesamtüber-
sicht verknüpfen zu können (z.B. Rehospitalisationen). Der Datenschutz ist insofern gewährleis-
tet, als das BFS selbst eine Anonymisierung der Daten vornimmt und um die Einhaltung des
Datenschutzes besorgt ist.98

7.3.2. Bundesamt für Gesundheit (BAG)

[Rz 81] Das Bundesamt für Gesundheit ist beauftragt, Betriebskennzahlen und medizinische
Qualitätsindikatoren der Schweizer Spitäler zu veröffentlichen. Sie basieren auf den Daten der
Krankenhausstatistik und der medizinischen Statistik der Krankenhäuser, welche das Bundes-
amt für Statistik jährlich erhebt.99 Sie erhalten somit die Daten bereits in anonymisierter Form
vom BFS.

96 Vgl. Hubert Bär, Herausgabe medizinischer Daten an Versicherer, in: ASA/SVV Medinfo 2012/1, S. 71.
97 Vgl. Bundesamt für Statistik, Medizinische Statistik der Krankenhäuser – Detailkonzept 1997, Version vom 12.
Dezember 2005, S. 9.
98 Vgl. Bundesamt für Statistik, Medizinische Statistik der Krankenhäuser – Detailkonzept 1997, Version vom 12.
Dezember 2005, S. 37 ff.
99 Spitäler, abrufbar unter http://www.bag.admin.ch/themen/krankenversicherung/01156/01157/?lang=de (Website
zuletzt besucth am 6. Januar 2016).

21
Yves Gogniat, Datenschutz in Spitälern, in : Jusletter 20 juin 2016

7.4. Kantone
[Rz 82] In den kantonalen Gesundheits- und Spitalgesetzen finden sich an verschiedenen Stellen
ein Recht der kantonalen Behörden von den Spitälern Daten und teilweise auch Patientendaten zu
Kontroll- und Überwachungszwecken heraus zu verlangen und zu bearbeiten. Dabei bleiben die
Kantone an die allgemeinen Grundsätze des kantonalen Datenschutzrechts gebunden und haben
insbesondere die Verhältnismässigkeit zu wahren. So können bspw. bei einer Kodierrevision oder
bei einem Controlling der Wirksamkeit, Zweckmässigkeit, Wirtschaftlichkeit und Qualität der
Leistungserbringung Personendaten bearbeitet werden. Bei einer Kodierrevision sind die gleich
hohen Massstäbe anzusetzen wie bei den Krankenversicherungen. Die Weitergabe muss auf das
Notwendige beschränkt sein und darf nur an die gesetzlich vorgesehenen Stellen und Personen
erfolgen. Ein freier Zugriff ist abzulehnen.

7.5. Erwachsenenschutzbehörde (KESB)


[Rz 83] Solange eine Person urteilsfähig ist, hat diese selber zu entscheiden. Erst wenn eine Person
urteilsunfähig ist, kommt das Erwachsenschutzrecht zum Tragen. Das neue Erwachsenenschutz-
recht räumt Angehörigen oder nahestehenden Personen eines Urteilsunfähigen gewisse gesetz-
liche Vertretungsrechte ein. Behördliche Massnahmen des Erwachsenenschutzes sind nur dann
anzuordnen, wenn sich die eigene Vorsorge und die Betreuung durch Angehörige als ungenügend
erweisen.100
[Rz 84] Bestehen Zweifel an der Urteilsfähigkeit, der Vertretungsbefugnis eines Angehörigen oder
der Gültigkeit einer Patientenverfügung, ist die zuständige Erwachsenschutzbehörde zu infor-
mieren.101 Die genauen Zuständigkeiten und der Umfang einer Meldung sind kantonal geregelt.
Die Entbindung von der Schweigepflicht zur Abklärung von Kinds- und Erwachsenschutzmass-
nahmen ist in den kantonalen Gesundheitsgesetzen jeweils genauer geregelt.102 Die Erwachsen-
schutzbehörde entscheidet danach in einem Verfahren über die Ergreifung einer Massnahme. Im
Rahmen dieses Verfahrens hat die Behörde den Sachverhalt von Amtes wegen abzuklären. Um
die Urteilsfähigkeit nach Art. 16 ZGB abklären zu können und (medizinische) Massnahmen an-
zuordnen, ist diese auf die medizinischen Unterlagen angewiesen. Im Rahmen dieses Verfahrens
sind die Informationen an die Behörde herauszugeben.

7.6. Pharmaunternehmen
[Rz 85] Interessieren sich Pharmaunternehmen für Patientendaten zu Forschungszwecken, sind
diese analog den Ausführungen über die Forschung weiterzugeben.
[Rz 86] Bei Daten z. B. zu Marketingzwecken ist das DSG zu beachten. Handelt es sich um Per-
sonendaten, ist eine Einwilligung notwendig, ausser die Daten können in anonymisierter Form
weitergegeben werden.

100 Schweizerische Akademie der Medizinischen Wissenschaften, Rechtliche Grundlagen im medizinischen Alltag –
Ein Leitfaden für die Praxis ,2. überarbeitete Auflage, 2013, S. 28.
101 Vgl. Art. 381 Abs. 2 ZGB.
102 Vgl. bspw. § 21 Abs. 2 GesG AG; § 2 Patientinnen- und Patientengesetz ZH.

22
Yves Gogniat, Datenschutz in Spitälern, in : Jusletter 20 juin 2016

[Rz 87] Das Spital muss hier jeweils eine Einzelfallbeurteilung vornehmen.

7.7. Einsichtsrecht des Patienten


[Rz 88] Beim Patienten stellt sich nicht die Frage einer zulässigen Datenherausgabe, da es sich
um seine eigene Daten handelt. Im Kontext des Spital-Patientenverhältnis stellen sich Fragen der
Richtigkeit und Vollständigkeit der Daten, des Einsichtsrechts und der Aufbewahrungsdauer.
Erst durch das Einsichtsrecht ist ein Patient überhaupt in der Lage nachzuprüfen, ob ein Pati-
entendossier richtig und vollständig ist, wobei der Patient als Laie für die Kontrolle wiederum
auf eine Fachperson angewiesen sein wird. Inwiefern eine Akte berechtigt werden muss, kann
natürlich wiederum zu grossen Diskussionen führen und kann im Rahmen dieses Beitrags nicht
abgehandelt werden.
[Rz 89] Der behandelnde Arzt und das Spital haben zum einen aus Auftragsrecht eine Rechen-
schaftspflicht, zum anderen kann jeder Patient gestützt auf das anwendbare Datenschutzrecht
Auskunft verlangen und in seine Patientendokumentation Einsicht nehmen. Nur wenn ein Pati-
ent Auskunft über seine Daten erhält, kann er dessen Vollständigkeit und Richtigkeit überprüfen.
[Rz 90] Der Inhaber der Datensammlung muss der auskunftsverlangenden Person grundsätzlich
sämtliche über sie in ihrer Datensammlung vorhandenen Daten (je nach den Umständen des Ein-
zelfalles beispielsweise die ganze Krankengeschichte, objektivierbare Untersuchungsergebnis-
se, Labor- und Röntgenbefunde, erhärtete Diagnosen sowie Bild- und Tonaufzeichnungen über
durchgeführte medizinische Massnahmen, Gutachten, Berichte und Zeugnisse) mitteilen.103
[Rz 91] Allgemein gilt:
[Rz 92] Was aufbewahrt wird, wird auch mitgeteilt. Sofern sie nicht bereits aus den Unterlagen selbst
hervorgehen, sind auch folgende Angaben mitzuteilen:
• Der Zweck der Bearbeitung
• Gegebenenfalls die Rechtsgrundlage des Bearbeitens
• Kategorien der an der Erfassung von Patientendaten Beteiligten (wer, ausser dem Arzt, Daten
eingeben oder verändern darf)
• Kategorien von allfälligen Datenempfängern104
[Rz 93] Der Patient hat das Recht, sich aus seinem Patientendossier Kopien (bzw. Ausdrucke bei
elektronisch geführten Dossiers) geben zu lassen. Wenn nur einzelne Unterlagen kopiert werden
müssen, sollte dies kostenlos sein. Wenn der Arbeitsaufwand für diese Kopien besonders gross
ist, können dafür allenfalls Gebühren verlangt werden.105 Gerade die Herausgabe bzw. der Erhalt
von Kopien der Akten sind für den Patienten wichtig, denn nur so kann er bspw. eine Behandlung
an einem anderen Ort nahtlos weiterführen.
[Rz 94] Das Einsichtsrecht des Patienten könnte aufgrund eines schutzwürdigen Interesses Drit-
ter oder des behandelnden Personals eingeschränkt werden.106 Eine Auskunft ist nur in Ausnah-

103 EDÖB, Leitfaden für die Bearbeitung von Personendaten im medizinischen Bereich, Juli 2002, S. 11.
104 Robert Gmür, Die ärztliche Dokumentationspflicht und das Auskunftsrecht der Patientin, Schweizerische Ärzte-
zeitung, Band 75, Heft 9, 2. März 1994, S. 342.
105 Datenschutzbeauftragter Kanton Zürich, Patientendossier – meine Rechte, 2., aktualisierte Auflage, April 2014, S.
4; § 38 Abs. 3 Patientenreglement LUKS.
106 § 40 Patientenreglement LUKS.

23
Yves Gogniat, Datenschutz in Spitälern, in : Jusletter 20 juin 2016

mefällen zu verweigern, da bei einer Interessenabwägung die Interessen des Patienten praktisch
immer überwiegen werden. Vor allem im Bereich der Psychiatrie kann es zu Ausnahmen kom-
men, wenn bspw. Familienangehörige oder andere Drittpersonen betroffen sind, deren Geheim-
haltungsinteressen überwiegen.107 In einem solchen Fall wäre eine Teileinsicht zu prüfen oder
die Patientendokumentation allenfalls an den Vertrauensarzt des Patienten herauszugeben. Eine
komplette Verweigerung ist nur zulässig, wenn kein milderes Mittel möglich ist.

8. Fazit
[Rz 95] In die Behandlung eines Patienten sind heute viele Personen gemeinsam involviert und
aufgrund unseres umfassenden und komplexen Sozialversicherungssystems sind immer wieder
unterschiedliche Stellen über den Behandlungsverlauf eines Patienten zu informieren. Immer
mehr Prozesse sind oder werden in Zukunft automatisiert. Trotzdem werden gerade in der Kran-
kenpflege und im Gesundheitswesen immer noch Menschen mitarbeiten und den Austausch von
Personendaten veranlassen oder diese Daten bzw. den Datenaustausch kontrollieren. Es genügt
deshalb als Spital nicht, lediglich die IT-Sicherheit auf dem neusten Stand zu halten. Die ein-
gebunden Stellen und Personen müssen sich über den Umgang mit Personendaten ebenfalls im
Klaren sein. Werden Personendaten bewusst oder unbewusst falsch bearbeitet und fahrlässig wei-
tergeben, hilft auch kein noch so gutes IT-System.

Yves Gogniat, ist Rechtsanwalt in Luzern/ Zürich bei Die Advokatur Sury AG und Lehrbeauf-
tragter für Informatik- und Immaterialgüterrecht an der Zürcher Hochschule für angewandte
Wissenschaften (ZHAW) in Winterthur.

107 EDÖB, Leitfaden für die Bearbeitung von Personendaten im medizinischen Bereich, Juli 2002, S. 13.

24