24. Nov. 2023

nDSG – Was ist zu tun?

Mit der Revision des Schweizer Datenschutzgesetzes (nDSG) haben sich zum 1. September 2023 die Bestimmungen zur Bearbeitung von personenbezogenen Daten geändert. Welche Änderungen das für Zahnarztpraxen und Dentallabore mit sich bringt, darüber haben wir mit Peter Schaad von IT dental gesprochen.

Herr Schaad, um was geht es bei der Revision des Schweizer Datenschutzgesetzes?
Peter Schaad: Im Zentrum des neuen Datenschutzgesetzes steht der bessere Schutz persönlicher Daten. Der Datenschutz wurde an die technologischen Entwicklungen angepasst. Es geht im Großen und Ganzen um die Themen: Big Data, Soziale Netzwerke, Cloud Computing und Internet of things. Insgesamt soll die Transparenz bei der Beschaffung persönlicher Daten erhöht werden.

Welche Zusammenhänge bestehen zwischen der Datenschutzgrundverordnung der Europäischen Union und dem neuen Datenschutzgesetz der Schweiz?
Peter Schaad: Es geht um dieSicherstellung der Vereinbarkeit des neues Datenschutzrechtes mit dem europäischen Recht als Basis für eine Ratifizierung der modernisierten Datenschutzkonvention 108 des Europarates. Weiterhin  geht es um die Anerkennung der Schweiz als Drittstaat mit einem angemessenen Datenschutzniveau. Damit bleibt die grenzüberschreitende Datenübermittlung auch künftig ohne zusätzliche Anforderungen möglich.

Was bedeutet das für Praxis und Labor? Was ist konkret zu tun?
Peter Schaad: In einem ersten Schritt erfolgt die Analyse der individuellen Situation in der Praxis. In einem zweiten Schritt muss – möglichst gemeinsam mit dem IT-Dienstleister – entschieden wer-
den, was in Hinblick auf die Umsetzung des revidierten DSG konkret zu erledigen ist. Sollte der eigene IT-Dienstleister dazu nicht in der Lage sein, empfehle ich eine Kooperation mit einem spezialisierten externen Dienstleister. Als Start bietet sich die Inventarisierung der aktuellen Prozesse, Abläufe und Kompetenzen im IT-Bereich in der Praxis an. Nicht zu unterschätzen ist hierbei der Koordinierungsaufwand für die zahlreichen Abklärungen, da eine Praxis meist Hard- und Software verschiedener Lieferanten im Einsatz hat.

Was muss denn genau überprüft und angepasst werden?
Peter Schaad: Die eigenen Datenbearbeitungsprozesse sind auf Konformität mit dem revidierten Datenschutzgesetz zu überprüfen. Dazu gehört die Überprüfung der Rechtskonformität der schriftlichen Einwilligung der Patienten zur Datenbeschaffung und -bearbeitung, die Einführung eines Datenbearbeitungsverzeichnisses, die Überprüfung und eventuelle Anpassung der Datenschutzerklärung, die Einführung von Prozessen bei der Verletzung der Datensicherheit, die Einführung von Prozessen beim Herausgabebegehren von Patienten und die Überprüfung von Aufbewahrungsregeln in der Praxis.

Muss denn jeder seine eigene Datenschutzerklärung formulieren oder gibt es eine Quelle für Muster-Datenschutzerklärungen?
Peter Schaad: Das muss natürlich nicht jeder von Grund auf selbst erledigen. Die Schweizerische Zahnärzte-Gesellschaft SSO hat für ihre Mitglieder einige Muster und ein Informationsschreiben verfasst. Diese sind jedoch nur über den Login-Bereich zugänglich. Zahnärzte, die nicht SSO-Mitglied sind, haben somit ein Problem und müssen sich selbst zurechtfinden. Als Alternative kann man sich natürlich auch unter Kollegen austauschen und die Einwilligung für die Kopie überprüfter Datenschutzerklärungen einholen. Das ist jedoch nur in Ausnahmefällen zu empfehlen! Besser ist der Beizug eines externen zertifizierten Datenschutzbeauftragten, welcher rechtskonforme Datenschutzerklärungen abgeben kann. Ich rate allerdings ausserdem auch zum Beizug eines auf IT-Recht spezialisierten Anwaltes, um rechtskonform zu agieren.

Welche Konsequenzen hat das nDSG für bisherige Abläufe in Praxis und Labor?
Peter Schaad: Sämtliche Datenbearbeitungsprozesse in der Praxis sind unbedingt auf Rechtskonformität hin zu überprüfen.

Wie wird das DSG in der Praxissoftware abgebildet?
Peter Schaad: Diese Frage kann nicht generell beantwortet werden. Eine Klärung kann nur direkt mit dem jeweiligen Softwareanbieter erfolgen. Empfohlen wird das Einholen einer schriftlichen Bestätigung, dass die genutzte Praxissoftware sämtliche Anforderungen an das revidierte DSG erfüllt.

Welche Konsequenzen drohen bei vorsätzlichen Verstössen?
Peter Schaad: Es drohen Bussen bis CHF 250 000. Zuständig dafür sind die kantonalen Strafverfolgungsbehörden.

Wie kann ein Datenschutzberater helfen?
Peter Schaad: Ein externer Datenschutzberater nimmt zunächst die Ist-Situation betreffend Rechtskonformität der praxisinternen Datenbearbeitungsprozesse mit dem revidierten DSG auf. Im Anschluss verfasst er einen Massnahmenplan zur Erreichung der Rechtskonformität mit dem neuen DSG. Er koordiniert die Abklärungen mit den verschiedenen Lieferanten und unterstützt bei der Aus- und Weiterbildung des Praxispersonals.

Vielen Dank für diesen Überblick, Herr Schaad.