Das neue Schweizer Datenschutzgesetz verstehen und umsetzen
Seit dem 1. September 2023 müssen Zahnarztpraxen ihre Datenschutzpraktiken an die neuen Richtlinien des revidierten Schweizer Datenschutzgesetzes anpassen. Bei der Umsetzung dieser Veränderungen ist es oft hilfreich, sich externe Hilfe zu holen. Wir haben mit einem Datenschutzexperten gesprochen: Daniel Rankl setzt sich als Geschäftsführer der Zahnarztpraxis Dr. Merz in Basel tagtäglich mit der Materie auseinander.
Herr Rankl, die revDSG hat einen umfassenden Wandel in Bezug auf Datenschutz und Datensicherheit in die Schweiz gebracht. Welches sind denn die grössten Herausforderungen in der täglichen Praxis?
Rankl: Meiner Meinung nach liegt die grösste Herausforderung im Bewusstsein und Know-how über die neuen Anforderungen, die eine Grundvoraussetzung für eine konforme Umsetzung bilden. Die Sensibilisierung und Schulung aller Mitarbeitenden sind daher entscheidend. Da MitarbeiterInnen in Zahnarztpraxen persönliche Daten verarbeiten, telefonisch Informationen weitergeben und gegebenenfalls Einwilligungen einholen müssen, ist eine fundierte Schulung unerlässlich. Dies sollte nicht nur die rechtlichen Aspekte, sondern insbesondere praxisrelevante Beispiele und Best Practices umfassen.
Die Implementierung klarer Workflows ist ein weiterer Schlüsselaspekt. Diese sollten so gestaltet sein, dass sie den Praxisalltag nicht übermässig belasten, jedoch maximale Sicherheit für Patienten und Praxis gewährleisten. Effiziente Workflows berücksichtigen die verschiedenen Datenschutzaspekte, ohne den normalen Arbeitsablauf zu verlangsamen.
Was haben Sie in der Praxis denn konkret umgesetzt?
Rankl: Zunächst haben wir uns eingehend mit dem Gesetz vertraut gemacht und es gewissermaßen in eine praxisorientierte «Übersetzung» überführt. Dabei haben wir eine Prioritätenliste erstellt, die von der Identifikation potenzieller Angriffsflächen für Sanktionen bis hin zur Schaffung eines sicheren Gefühls für unsere Patienten reicht. Ein entscheidender Schritt war die Erstellung des Bearbeitungsverzeichnisses, das als Basis für viele weitere Datenschutzanforderungen dient. Dies umfasste nicht nur die Erfassung von Datenverarbeitungsprozessen, sondern auch die Festlegung von Löschkonzepten, die Identifikation von Auftragsbearbeitern, die Umsetzung technischer und organisatorischer Massnahmen sowie die Erstellung erforderlicher Einwilligungserklärungen. Das Bearbeitungsverzeichnis ermöglichte uns eine systematische Analyse unserer Datenverarbeitungstätigkeiten. Dadurch konnten wir potenzielle Risiken identifizieren und entsprechende Schutzmassnahmen ergreifen. Zudem diente es als Grundlage für die Festlegung von Prozessen zur fristgerechten Löschung von Daten, zur sicheren Auftragsverarbeitung und zur Implementierung technischer Sicherheitsvorkehrungen. Zusätzlich haben wir ein internes Meldesystem für Datenpannen eingeführt, um den Anforderungen gerecht zu werden und gleichzeitig eine positive Fehlerkultur zu fördern. Dieses interne Meldesystem ermöglicht es uns, Fehler transparent zu identifizieren, zu analysieren und daraus zu lernen, was zu einer ständigen Verbesserung unserer Prozesse führt. Bei schwerwiegenden Verstössen oder Datenpannen mit hohem Risiko besteht die Möglichkeit, die Meldung unverzüglich an den EDÖB weiterzuleiten.
Datenschutzexperte Daniel Rankl.
Sie haben in Deutschland schon viel Erfahrung mit der Europäischen Datenschutz-Grundverordnung gesammelt. Wie kam es dazu?
Rankl: Nach meinem Wirtschaftsstudium und einer Ausbildung zum Prozessberater ging ich in die Unternehmensberatung. Das entscheidende Ereignis ergab sich im Sommer 2018. Das Unternehmen, für welches ich tätig war, geriet kurz nach Inkrafttreten der DSGVO in eine Stichprobenkon-trolle der bayrischen Landesdatenschutzbehörde. Innerhalb eines Zeitraums von nur vier Wochen wurden wir aufgefordert, ein umfangreiches Datenschutzkonzept vorzulegen. Diese intensive Prüfung durch die Behörde war wie eine Art «Validierung» für mich, und sie markierte den Anfang meiner Vertiefung in das Thema Datenschutz. Statt dies als lästige Pflicht zu betrachten, habe ich es als eine Chance wahrgenommen, mich tiefer in die Materie einzuarbeiten und meine Expertise aufzubauen. Die Auseinandersetzung damit wurde zu einer persönlichen und beruflichen Reise, die mich schliesslich dazu führte, mein Wissen und meine Erfahrungen gezielt auf die Gesundheitsbranche zu fokussieren, insbesondere auf Zahnarztpraxen. Es ist, als ob das Thema Datenschutz mich ausgesucht hat, anstatt umgekehrt.
Wo gelten die strengeren Regeln – in der Schweiz oder in der EU?
Rankl: Inhaltlich nähert sich die Schweiz mit dem neuen Datenschutzgesetz deutlich an die DSGVO an. Es werden aber eigene Schwerpunkte gesetzt und man kann sagen, dass viele Regelungen im Schweizer Datenschutzgesetz kompakter ausgestaltet sind und die Schweiz somit einen pragmatischen Ansatz gewählt hat. Einen der markantesten Unterschiede sehe ich bei den Sanktionen. Das EU-Gesetz sieht nämlich keine Bussen für Private vor, kann Unternehmen aber mit bis zu 20 Mio. Euro oder 4 % des weltweiten Gesamtjahresumsatzes des Unternehmens büssen. In der Schweiz hingegen können private Verantwortliche mit bis zu 250 000 CHF gebüsst werden.
"Die Sensibilisierung und Schulung der Mitarbeitenden ist entscheidend."
Wo gibt es erfahrungsgemäss den grössten Nachbesserungsbedarf in Schweizer Praxen?
Rankl: Die Praxen, die bereits in den vergangen Jahren ihren Datenschutz an der DSGVO orientiert haben, haben einen wesentlich geringeren Aufwand, um konform mit dem neuen Gesetz zu werden. Es gilt aber dennoch sämtliche Datenschutzerklärungen – online und offline – zu überprüfen, ein Verzeichnis der Datenbearbeitungstätigkeiten anzulegen und zu führen, Prozesse zur raschen Erfüllung der Informationspflicht festzulegen, ein Meldeverfahren bei Datenschutzverstössen einzuführen sowie Verträge mit sogenannten Auftragsbearbeitern anzupassen oder zu erstellen. Genaugenommen gibt es aber keinen endgültigen Punkt, an dem alle Aufgaben abgeschlossen sind, da Datenschutz als kontinuierlicher Prozess betrachtet werden muss. Es sollte also immer mal wieder nachgebessert werden.
Das klingt alles recht zeitintensiv. Kann eine Zahnarztpraxis denn problemlos die geforderten Auflagen umsetzen?
Rankl: Wer seinen Prozess bisher rein an dem alten DSG ausgerichtet hat, muss sicherlich etwas mehr Zeit investieren, um ein solides Fundament aufzubauen. Schafft man es durch regelmässige Sensibilisierung des Teams den Datenschutz zur Gemeinschaftsaufgabe zu machen, kann das Schutzniveau aber dauerhaft aufrecht erhalten bleiben – und der Folgeaufwand hält sich in Grenzen. Wir haben für unsere Praxis eine Schulungs- und Prozessplattform erarbeitet, über die jederzeit Unterweisungen durchgeführt und relevante Prozesse eingesehen werden können. Auch unser Meldesystem ist dort integriert. Auf Anfrage gebe ich gerne Auskünfte zu unserer Plattform, durch die sich der Zeitaufwand enorm verringert.
Gibt es denn auch schon Erkenntnisse darüber, welche Konsequenz bei vorsätzlichem Verstoss für eine Praxis droht?
Rankl: Art. 60-64 revDSG regelt die strafbaren Tatbestände. Wer beispielsweise seine Informationspflichten verletzt, indem er Nutzer seiner Webseite über die Datenerhebung nicht ausreichend informiert oder gegen Sorgfaltspflichten verstösst und die Bearbeitung von Personendaten einem Dritten überträgt, obwohl vertraglich eine Übertragung ausgeschlossen war, kann mit einer Busse von bis zu 250 000 CHF bestraft werden. Wie bereits erwähnt, macht man sich in der Schweiz bei Datenschutzverstössen persönlich strafbar und kann die Bussen nicht wie in der EU auf das Unternehmen überwälzen. Man spricht zwar im revDSG immer von vorsätzlichen Datenschutzrechtsverletzungen, allerdings ist auch der Eventualvorsatz ausreichend, d. h. wenn Datenschutzrechtsverletzungen in Kauf genommen werden.
"Inhaltlich nähert sich die Schweiz mit dem neuen Datenschutzgesetz deutlich an die DSGVO an."
Der Schutz von Daten sollte eine Selbstverständlichkeit sein – sollte also nicht nur Pflicht, sondern auch ein Wettbewerbsvorteil sein. Oder wie sehen Sie das?
Rankl: In der Zahnarztbranche ist es durchaus verständlich, dass die strengeren Datenschutzanforderungen anfangs mit einer erhöhten Bürokratie und einer gewissen Prozesshemmung assoziiert werden. Die Fokussierung eines Zahnarztes oder einer Zahnärztin liegt zweifellos auf der Kernkompetenz, nämlich der bestmöglichen Behandlung der Patienten. In diesem Kontext könnten die zusätzlichen Anforderungen des Datenschutzes als eine zusätzliche Belastung wahrgenommen werden. Allerdings sehe ich die Betrachtung, dass ein solides Datenschutzkonzept nicht nur eine Pflicht, sondern auch als potenzieller Wettbewerbsvorteil betrachtet werden kann, als äusserst wertvoll. In einer Zeit, in der Patienten zunehmend datenschutzaffin sind, spielt der Schutz ihrer sensiblen Daten eine immer wichtigere Rolle. Die Möglichkeit, Datenschutz als differenzierendes Merkmal zu präsentieren, könnte dazu beitragen, das Vertrauen der Patienten zu stärken und die Reputation der Praxis zu verbessern. Ein solides Datenschutzkonzept signalisiert nicht nur Professionalität, sondern zeigt auch das Engagement für den Schutz der Privatsphäre. In einer Wettbewerbsumgebung, in der Patienten verstärkt auf Datenschutzaspekte achten, könnte dies zu einem klaren Vorteil gegenüber Mitbewerbern führen. Es könnte nicht nur die Patientenzufriedenheit steigern, sondern auch potenzielle Patienten dazu ermutigen, sich für eine Praxis zu entscheiden, die ihre Daten mit höchster Sorgfalt behandelt.