Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Anfrage
arrow-to-top

Gesundheitsdaten

Schutz und Sicherheit von Daten im Gesundheitswesen

EPDG, DSG und wer sonst noch für unsere Datengesundheit zuständig ist

So, wie ein Regenschutz nicht den Regen schützt, schützt auch der Datenschutz nicht die Daten, sondern die Personen, über die Daten bearbeitet werden. Diese Überlegung beschreibt nach Bruno Baeriswyl, Datenschutzbeauftragter des Kantons Zürich, die Ausgangslage des rechtlichen Datenschutzes. Das Datenschutzgesetz (DSG) bezweckt nach Artikel 1 den Schutz der Persönlichkeit und der Grundrechte der Personen, deren Daten bearbeitet werden. Damit knüpft das Gesetz an die Bundesverfassung an, in der die persönliche Freiheit (Art. 10 Abs. 2 BV) und die Selbstbestimmung über persönliche Daten und Informationen als Teil der persönlichen Freiheit in einer liberalen Gesellschaft festgeschrieben sind. Der Schutz der Privatsphäre (Art. 13 BV), d.h. der persönlichen Daten und Informationen, soll auch dann gewährleistet sein, wenn Daten von Dritten bearbeitet werden. Insgesamt soll ein umfassender Schutz der informationellen Integrität sichergestellt werden, so Baeriswyl. Dieses Schutzprinzip beruht auf dem Übereinkommen zum Schutze der Menschenrechte und Grundfreiheiten (EMRK, SEV 005), in dem das Recht auf Achtung des Privat- und Familienlebens (Art. 8) festgeschrieben ist.

Menschenrechtliche Grundlage und ihre Konsequenzen

Im Unterschied zu den USA kennen die Schweiz und die EU eine menschenrechtliche Grundlage des Datenschutzes. Entsprechend kann in die persönliche Freiheit nur auf der Basis eines Rechtfertigungsgrunds eingegriffen werden. Zu solchen Gründen zählen eine gesetzliche Grundlage, die Einwilligung der betroffenen Person, über die Daten bearbeitet werden, oder überwiegende Interessen des Datenbearbeiters. Schweizer Datenschutzgesetze regeln solche Eingriffe und sind sowohl an privatrechtliche Datenbearbeiter (Unternehmen) als auch an öffentlich-rechtliche Datenbearbeiter (z.B. Spitäler) adressiert. Für Letztere sind die kantonalen Informations- und Datenschutzgesetze als Rahmenbedingungen massgeblich. Die Gesetze sind nur anwendbar, wenn es sich um Personendaten handelt, also sie einer Person zugeordnet werden können. Anonymisierte Daten fallen nicht unter das Datenschutzgesetz, pseudonymisierte oder verschlüsselte Daten hingegen schon.

Internationale Rahmenbedingungen setzt neben der oben erwähnten EMRK aus dem Jahr 1950 (in der Schweiz in Kraft seit 28.11.1974) auch das Übereinkommen zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten (SEV 108) aus dem Jahr 1981 (in der Schweiz in Kraft seit 1.2.1998). Letzteres ist die erste und einzige internationale Konvention, die sich mit der automatischen Verarbeitung von Personendaten beschäftigt. Sie entstand als Reaktion auf eine technologische Entwicklung, die sich zwischen 1950 und 1981 vollzog, namentlich die Entwicklung von Grosscomputern seit den 1960er Jahren. In dieser Zeit wurde sichtbar, dass solche Technologie ein Risiko für die persönliche Freiheit und die Grundrechte von Personen mit sich bringen kann. In der Schweiz wurden diese Bedenken in der Motion Bussey (17.3.1971) zum Ausdruck gebracht: «Die Speicher des Computers ermöglichten die Schaffung von eigentlichen Datenbanken, die z.B. viele bisher verstreut vorhandene Auskünfte über Personen und Unternehmen zusammenfassen […] Eine geeignete Gesetzgebung könnte a) den Bürger und seine Privatsphäre gegen missbräuchliche Verwendung der Computer schützen; b) eine normale Entwicklung der Verwendung von Computern ermöglichen.» Mehr als 20 Jahre später hatte die Schweiz ein Datenschutzgesetz. Wichtig ist laut Baeriswyl zu sehen, dass das Datenschutzrecht letztlich ein Technologiefolgenrecht ist. Vom Prinzip her ist das Datenschutzrecht keine Neuerfindung, sondern dient dem Schutz der persönlichen Freiheit

Prinzipien des Datenschutzes

Prinzipien des Datenschutzes sind laut Baeriswyl folgende: An erster Stelle steht die Verantwortung, die jemand hat, der Daten über eine Person bearbeitet. Er braucht einen Rechtfertigungsgrund oder eine Rechtsgrundlage, dass er Daten bearbeiten darf. Des Weiteren gilt der Satz der Verhältnismässigkeit. Dieser beinhaltet, dass Daten nur so weit bearbeitet werden dürfen, als es zur Erreichung eines bestimmten Zwecks erforderlich ist. Mit Blick auf die Verhältnismässigkeit wird damit auch die Datenmenge limitiert. Weitere Prinzipien der Datenbearbeitung sind die Zweckbindung und die Integrität, d.h. die Richtigkeit und Vollständigkeit der Daten. Gemäss dem Prinzip der Sicherheit ist der Schutz vor unbefugtem Bearbeiten von Daten zu gewährleisten. Die Datenschutzgesetzgebung sieht zudem verschiedene Kontrollmechanismen vor. Kontrolle übt zum einen das Individuum selbst aus, das jederzeit ein Auskunftsrecht beim Datenbearbeiter geltend machen kann. Zum anderen haben Datenschutzbehörden Kontrollaufgaben. Damit ist laut Baeriswyl das formelle Datenschutzrecht beschrieben, welches die Rahmenbedingungen der Datenbearbeitungen vorgibt. Die konkrete Ausgestaltung findet sektorenspezifisch im materiellen Datenschutzrecht statt. Für den Gesundheitsbereich sind hier das Berufsgeheimnis (Art. 321 StGB), das Humanforschungsgesetz, welches klare Bestimmungen über Informationspflichten und Einwilligungen beinhaltet, die kantonalen Gesundheitsgesetze, die u. a. den Umgang und die Weitergabe von Patientendaten festlegen, sowie als Beispiel aus jüngster Zeit das elektronische Patientendossier zu nennen, das im Bundesgesetz über das elektronische Patientendossier (EPDG) geregelt ist.

Herausforderungen im Zuge der Digitalisierung

Im Anschluss wendet sich Baeriswyl den Veränderungen zu, die sich mit der Digitalisierung ergeben. Nach seinem Verständnis fordert die Digitalisierung die Werte Privatheit und Selbstbestimmung heraus, auf die das datenschutzrechtliche Konzept aufgebaut ist. Bei der Datenbearbeitung stehen für Baeriswyl zwei Phänomene im Vordergrund. Erstens ist eine enorme Zunahme der Datenmenge zu beobachten (Big Data). Diese Datenmenge kommt einerseits durch Inhaltsdaten (Informationen), andererseits durch die beim Gebrauch elektronischer Geräte generierten Randdaten (Nutzung, Zeit, Dauer, Umgebung, Verhalten etc.) zustande. Diese Daten sind zu einer eigenständigen Ressource geworden. Strukturierte und unstrukturierte Daten werden gesammelt (ohne je gelöscht zu werden), ausgewertet und personalisiert. Zudem werden Korrelationen erkannt oder identifiziert, sodass laut Baeriswyl von einer generellen Personalisierung der Daten gesprochen werden kann. Mit personalisierten Daten können Firmen (monetäre) Werte generieren. Daraus ergeben sich aus Sicht des Datenschutzes wichtige Fragen: Wer trägt die Verantwortung für welche Datenbearbeitung, wie können die betroffenen Personen die informationelle Selbstbestimmung wahrnehmen? Genügen dafür die heutigen datenschutzrechtlichen Schutzmechanismen? Bezüglich Gesundheitsdaten hält Baeriswyl eine Aussage von IBM vom 15.4.2015 für bedenkenswert: «Die Zukunft der Gesundheitsvorsorge ist personalisiert. Mit digitalen Fitnessbegleitern, telemedizinischen Lösungen und Sensoren kann heute jederzeit der individuelle Gesundheitszustand gemessen und kontrolliert werden. Dabei entstehen grosse Datenmengen – ein Mensch generiert heute in seinem Leben durchschnittlich eine Million Gigabyte an gesundheitsrelevanten Daten. Das entspricht 300 Millionen Büchern. […] Diese wachsenden Datenberge liefern wertvolle Informationen, um die allgemeine und persönliche Gesundheitsvorsorge sowie therapeutische Massnahmen weiter zu verbessern und zu optimieren.»

Spezialfall personalisierte Medizin?

Bei der personalisierten Medizin geht es zwar um individuelle Daten. Genetische Daten sowie Daten aus der Forschung, Daten von gesunden Personen sowie Umweltdaten sind aber letztlich als Daten Dritter zu klassifizieren. Entsprechend ist bei ihrer Bearbeitung nach dem Rechtfertigungsgrund der Verwendung dieser Daten von Dritten zu fragen. Bei Apps im Kontext des «Quantified Self» ist der Rechtfertigungsgrund die Einwilligung der betroffenen Person, welche diese in der Regel mit der Installation der App gibt. Die Methode, nach der die persönlichen Daten ausgewertet werden, ist jedoch oft intransparent, merkt Baeriswyl kritisch an. Anders ist dies beim elektronischen Patientendossier, dessen Datenverwendung relativ transparent ist. Es ist eigentlich kein Dossier, sondern ein Verzeichnis von Daten. Die Verantwortlichkeiten (Art. 10 EPDG), die schriftliche Einwilligung (Art. 3 EPDG) und auch die Zugriffsrechte (Art. 9 EPDG) sind gesetzlich geregelt. Zusammengefasst stellen sich für Baeriswyl mehrere Herausforderungen im Zusammenhang mit der Digitalisierung:

  • Wer trägt Verantwortung? Gibt es noch Einzelverantwortungen, und wer übernimmt Verantwortung fürs Ganze?
  • Wo sind die Rechtsgrundlagen, wo der Rechtfertigungsgrund?
  • Gibt es eine Verhältnismässigkeit, oder werden einfach überall Daten gesammelt?
  • Gibt es eine Zweckbindung und Beschränkungen bezüglich der Weiterverwendung?
  • Wie steht es um die Integrität der Daten, wenn Korrelationen identifiziert und Daten nicht überprüft werden?
  • Wie ist es mit der Sicherheit, wenn standardisierte Cloud-Anwendungen verwendet werden?
  • Wie kann das Individuum sein Kontroll- und Auskunftsrecht wahrnehmen?
Risiken in der Praxis

Aus den weitgehend unbeantworteten Fragen ergeben sich Risiken in der Praxis: Die Gesellschaft und jeder Einzelne erlebt, so Baeriswyl, einen Verlust der Kontrolle darüber, wie bestimmte Anbieter die persönlichen Daten verwenden. Es besteht keine Sicherheit in Bezug auf die «Cloud». Eine unkontrollierte Verwendung und ein Missbrauch von Daten werden so möglich. Auch die Datenqualität ist fraglich und kann falsche Interpretationen zur Folge haben. Zudem besteht die Gefahr einer Diskriminierung aufgrund des Gesundheitszustandes, wenn Daten an Versicherungen oder Arbeitgeber gelangen. Angesichts der Risiken der Digitalisierung – nämlich Transparenz, Selbstbestimmung, Privatheit und Kontrolle zu verlieren – braucht es nach Baeriswyl Reformen des Datenschutzrechts. In dieser Sache gibt es zahlreiche Bemühungen. Die wichtigsten Reformen für die Schweiz sind die im Europarat am 18. Mai 2018 verabschiedete Konvention SEV 108, die EU Richtlinie 2016/680, die seit dem 6. Mai 2018 in Kraft ist, die EU-Datenschutz-Grundverordnung 2016/679 (in Kraft seit 25. Mai 2018), die Botschaft zur Totalrevision des Datenschutzgesetzes vom Bund vom 15. September 2017 sowie die verschiedenen kantonalen Gesetze. Die Reformen haben zum Ziel, Transparenz zu erhöhen, indem sie Informationspflichten des Datenbearbeiters einführen und im Sinne der Selbstbestimmung die Anforderungen an Einwilligungserklärungen verstärken. Zudem sollen Risikofolgenabschätzungen in Bezug auf den Schutz der Privatheit und persönlichen Freiheit durchgeführt werden. Auch durch die Technikgestaltung sollen Risiken eingedämmt werden, z.B. durch «Privacy by Design» oder «Privacy by Default» (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen). Schliesslich wird geprüft, die Kontrollrechte durch eine Aufsicht mit mehr Sanktionsmöglichkeiten zu erweitern oder durch zusätzliche Individualrechte wie das «Recht auf Vergessenwerden» zu stärken. Die europäische Konvention SEV 108 ist der Minimalstandard, der nach Baeriswyl auch in der Schweiz eingeführt werden sollte und folgende Punkte beinhaltet:

  • Einwilligung (Art. 5, Abs. 2): spezifisch, eindeutig
  • Informationspflicht (Art. 8): generell
  • Automatisierte Entscheidungen (Art. 9, Abs. 1 lit. a): Einbezug der betroffenen Person
  • Auskunftsrecht (Art. 9 Abs. 1 lit c): inklusive Grundlagen der Datenauswertung
  • Dokumentation der Compliance (Art. 10 Abs. 1): Nachweis
  • Datenschutz-Folgenabschätzung (Art. 10 Abs. 2): Vorgängige Risikoanalyse
  • Technikgestaltung (Art. 10 Abs. 3): Minimierung der Risiken

Da durch die Digitalisierung die Grundlagen von Privatheit und Selbstbestimmung herausgefordert werden, die dem datenschutzrechtlichen Konzept zugrunde liegen, zieht Baeriswyl folgendes Fazit: Erstens braucht Digitalisierung eine sozialverträgliche Technikgestaltung. Das heisst für ihn, dass die verfassungsmässigen Grundrechte und die Grundwerte einer liberalen Rechtsordnung die Leitlinie der Technikgestaltung bilden sollten. Zweitens braucht es Reformen des Datenschutzrechts, um für den Schutz der Selbstbestimmung und Privatheit wirkungsvolle Instrumente bereitzustellen. Und drittens müssen Chancen und Risiken der digitalen Gesellschaft für den liberalen Rechtsstaat und die damit zusammenhängenden Werte thematisiert und Schutzmechanismen weiterentwickelt werden.

http://creativecommons.org/licenses/by/4.0
Schweizerische Akademie der Medizinischen Wissenschaften (2018): Autonomie und Digitalisierung. Ein neues Kapitel für die Selbstbestimmung in der Medizin? Bericht zur Tagung vom 15. Juni 2018 des Veranstaltungszyklus «Autonomie in der Medizin».
Vortrag Bruno Baeriswyl


© Swiss Infosec AG 2024