Per 1. September 2023 wird das neue Bundesgesetz über den Datenschutz in Kraft treten. Das neue Datenschutzgesetz wird an die technologischen und gesellschaftlichen Veränderungen unserer Zeit angepasst und stärkt insbesondere die Selbstbestimmung über die eigenen Daten, indem die Transparenzpflicht erhöht und die Rechte betroffener Personen erweitert werden. Die Grundregeln bleiben aber immer dieselben.
Welches sind die wesentlichen Neuerungen für das Gesundheitswesen?
- Neu werden genetische und biometrische Daten in die Definition der besonders schützenswerten Daten aufgenommen, sofern diese eine natürliche Person eindeutig identifizieren.
- Die Grundsätze «Privacy by Design» und «Privacy by Default» werden eingeführt. Das heisst, Datenbearbeitungen sind technisch und organisatorisch so zu gestalten, dass die Datenschutzvorschriften eingehalten werden (Datenschutz durch Technik) und sie beschränken sich auf das für den Verwendungszweck notwendige Mindestmass (datenschutzfreundliche Voreinstellungen).
- Das heute geltende Register der Datensammlungen wird abgelöst durch ein Verzeichnis der Bearbeitungstätigkeiten. Die Pflicht zur Führung eines solchen Verzeichnisses gilt insbesondere für alle, die besonders schützenswerte Personendaten in grossem Umfang bearbeiten.
- Die Informationspflicht wird ausgeweitet: Bei jeder Beschaffung von Personendaten muss die betroffene Person transparent über die Datenbearbeitung informiert werden. Bisher galt die Informationspflicht bei der Erhebung von besonders schützenswerten Personendaten.
- Die Strafbestimmungen werden verschärft. Diese stellen insbesondere die Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten sowie die Verletzung von Sorgfaltspflichten unter Strafe. Strafbar machen sich auf Antrag nur Personen, die vorsätzlich diese Pflichten verletzen. Dies ist bei einer verantwortungsvollen Datenbearbeitung kaum gegeben.
Für viele privatrechtliche Gesundheitseinrichtungen bedeuten diese Neuerungen aufwendige Vorbereitungsarbeiten, damit sie spätestens im September 2023 die neuen Regeln umgesetzt haben. Für das USZ gilt das neue Gesetz nur in wenigen Ausnahmefällen, weil es hauptsächlich dem kantonalen Datenschutzrecht untersteht – und das ändert sich 2023 nicht.
Zwei Pflichten, die auf Bundesebene neu eingeführt werden, gibt es im Kanton Zürich bereits und gelten somit weiterhin:
- Sofern ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht, müssen Datenschutz-Folgenabschätzungen durchgeführt werden. Dabei handelt es sich um eine datenschutzspezifische Risikoeinschätzung.
- Es besteht neu eine Meldepflicht für Verletzungen der Datensicherheit. Die Meldung erfolgt an die kantonale Aufsichtsbehörde – im USZ immer via Data Protection Officer.