Ursula Uttinger 15. Oktober 2014 18.15 19.30 Uhr

Ursula Uttinger 15. Oktober 2014 18.15 19.30 Uhr

Dr. med. Michael Liebrenz, Leiter Gutachterstelle für Zivil- und Öffentlichrechtliche Fragestellung PUK Ursula Uttinger, lic. iur. /exec. MBA HSG, Präsidentin Datenschutz-Forum Schweiz, Gerschäftsführerin Activita Care Management AG Publikation bei SAEZ in Vorbereitung

Ausgangslage: Nutzung von Schreibservices Frage 1: Unterschied angestellte Arztsekretärin und externer Schreibservice? Frage 2: Anonymsierung oder Pseudonymisierung ein Muss? Frage 3: Umgang mit Daten, die Rückschlüsse auf Individuum zulassen? Frage 4: Transparenz gegenüber dem Patienten Anforderungen an eine Einwilligung? Frage 5: Datenschutzerklärungen von Outsourcingnehmer Nutzen? 3

Frage 6: Grenzüberschreittende Datenbearbeitung: EU und Nicht-EU? Frage 7: Nutzung von Cloud-Services? Frage 8: Anforderungen an Hard- und Software? 4

Viele administrative Aufgaben werden durch externe Dritte erbracht Finanzielle Überlegungen Planung, Organisation, Steuerung Konzentration auf Kernaufgaben Kundenorientierung Qualität Zeitlicher Druck medizinische Schreibservices

Arztsekretärin = Hilfsperson i.s. von Art. 101 OR: 1 Wer die Erfüllung einer Schuldpflicht oder die Ausübung eines Rechtes aus einem Schuldverhältnis, wenn auch befugterweise, durch eine Hilfsperson, wie Hausgenossen oder Arbeitnehmer vornehmen lässt, hat dem andern den Schaden zu ersetzen, den die Hilfsperson in Ausübung ihrer Verrichtungen verursacht. Erfüllungsgehilfe

Hilfsperson i.s. von Art.321 StGB: 1. Geistliche, Rechtsanwälte, Verteidiger, Notare, Patentanwälte, nach Obligationenrecht zur Verschwiegenheit verpflichtete Revisoren, Ärzte, Zahnärzte, Chiropraktoren, Apotheker, Hebammen, Psychologen sowie ihre Hilfspersonen, die ein Geheimnis offenbaren, das ihnen infolge ihres Berufes anvertraut worden ist oder das sie in dessen Ausübung wahrgenommen haben, werden, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. Heute: Kreis der Hilfspersonen weit gezogen

1 Das Bearbeiten von Personendaten kann durch Vereinbarung oder Gesetz Dritten übertragen werden, wenn: a. die Daten nur so bearbeitet werden, wie der Auftraggeber selbst es tun dürfte; und b. keine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet. 2 Der Auftraggeber muss sich insbesondere vergewissern, dass der Dritte die Datensicherheit gewährleistet. 3 Dritte können dieselben Rechtfertigungsgründe geltend machen wie der Auftraggeber.

Geheimhaltungsvereinbarung Rahmen der Datenbearbeitung Hinweis auf gesetzliche Bestimmungen (z.b. Art. 321 StGB) Keine Weitergabe an weitere Dritte ohne Wissen des Auftraggebers Ort der Datenbearbeitung Pflichten bezüglich Datensicherheit und Datenschutz Verantwortung bleibt bei Auftraggeber

Anonymisierung: unwiderrufliche Veränderung, Rückbestimmung nicht (mehr) möglich Pseudonymisierung: Bestimmbarkeit erschwert, aber für Inhaber von «Schlüssel» Bezug zu bestimmter Person möglich Pseudonymisierung wäre ideal Aufwand? Richtigkeit der Daten!

1 Wer Personendaten bearbeitet, hat sich über deren Richtigkeit zu vergewissern. Er hat alle angemessenen Massnahmen zu treffen, damit die Daten berichtigt oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind.

2 Ihre Bearbeitung hat nach Treu und Glauben zu erfolgen und muss verhältnismässig sein.

In medizinischer Forschung üblich, Aufwand vertretbar Medizinische Forschung keine Hilfstätigkeit Schreibservice = Hilfstätigkeit Rückschlüsse bei Schreibservice = Realität

Vertrauensverhältnis Arzt Patient Transparenz wer in Praxis arbeitet Transparenz wer bei Gutachter arbeitet? Information über AGB Informationelle Selbstbestimmung möglich Freie, informierte Entscheidfindung

Formulierung Umfang

Unterscheidung Länder mit gleichwertigem Datenschutzniveau und Länder ohne gleichwertigem Datenschutzniveau s. Staatenliste des eidg. Datenschutzbeauftragten

1 Personendaten dürfen nicht ins Ausland bekannt gegeben werden, wenn dadurch die Persönlichkeit der betroffenen Personen schwerwiegend gefährdet würde, namentlich weil eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet.

2 Fehlt eine Gesetzgebung, die einen angemessenen Schutz gewährleistet, so können Personendaten ins Ausland nur bekannt gegeben werden, wenn: a. hinreichende Garantien, insbesondere durch Vertrag, einen angemessenen Schutz im Ausland gewährleisten; b. die betroffene Person im Einzelfall eingewilligt hat;

Wichtig: klar formulieren, wo Datenbearbeitung erfolgt Welche Rechte Datenexporteur hat

Umstritten Kontra: Strafrecht im Ausland? Pro: Arztgeheimnis gibt es auch im Ausland Für betroffene Person: ev. sogar grössere Sicherheit, da weniger hohe Wahrscheinlichkeit, dass man Person kennt

Cloud Computing = Outsourcing

Keine Unterscheidung zwischen Hard- und Software Privacy design and default

uu@ursula-uttinger.ch