Loading ...

Das Magazin von Physiobern

Lesedauer ca. 11 Min.

Datenschutz im Praxisalltag: mit kleinen Schritten viel bewirken

Datenschutz

Datenschutz im Praxisalltag: mit kleinen Schritten viel bewirken

Mit dem revidierten Datenschutzgesetz vom 1. September 2023 ist klar: Wer in der Schweiz Gesundheitsdaten bearbeitet, hat erhöhte Sorgfaltspflichten – und das betrifft jede Physiotherapie-Praxis.

Dieser Beitrag will weder eine juristische Abhandlung sein noch den Teufel an die Wand malen. Er soll Mitgliedern von Physioswiss KV Bern eine praxisnahe Orientierung geben: Was ist wirklich heikel im Alltag? Welche Schritte machen mit kleinem Aufwand und ohne grosses Budget den grössten Unterschied? Und wo finden wir verlässliche Hilfsmittel? Am Ende stehen eine kompakte Checkliste und ein Quellenverzeichnis zum Nachlesen.

1. Worum geht es eigentlich? Besonders schützenswerte Personendaten
Das revidierte Datenschutzgesetz (revDSG) unterscheidet zwischen normalen Personendaten und sogenannten besonders schützenswerten Personendaten. Dazu gehören insbesondere Gesundheitsdaten, biometrische und genetische Daten sowie Angaben zur Intimsphäre [1]. Damit fällt fast alles, was wir in der Praxis täglich bearbeiten, in diese streng geschützte Kategorie:

- ärztliche Verordnungen mit Diagnose oder ICD-/ICF-Codes,

- Behandlungsnotizen, Befunde, Assessments, Bewegungsanalysen,

- Fotos und Videos aus der Therapie,

- Korrespondenz mit Ärzt:innen und Versicherern,

- Rechnungen mit Tarifpositionen, die Rückschlüsse auf die Diagnose zulassen.

Auch die blosse Information, dass jemand bei uns in Behandlung ist, kann bereits ein Gesundheitsdatum sein [1]. Dazu kommt das Berufsgeheimnis nach Art. 321 StGB: Es gilt explizit auch für Physiotherapeut:innen und ihre Hilfspersonen, lebenslang – also auch nach Praxisaustritt oder Pensionierung [2].

2. Wo wird es im Alltag heikel?
In der Praxis tauchen drei Konstellationen besonders häufig auf, in denen der Schutz dieser Daten ins Wanken kommen kann.

a) Private Messenger (bspw. WhatsApp)
Patient:innen schicken Befunde, Bilder oder Fragen über WhatsApp. Auch wenn die Inhalte zwischen Sender und Empfänger verschlüsselt sind, fallen Metadaten (wer schreibt wem, wann, wie oft) auf Servern ausserhalb der Schweiz an, und die Praxis verliert die Kontrolle über den Datenfluss. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) empfiehlt für sensitive Inhalte ausdrücklich Dienste mit Schweizer Datenstandort und Ende-zu-Ende-Verschlüsselung [3].

b) Cloud-Speicher von US-Anbietern
Google Drive, Apple iCloud oder Dropbox sind bequem und weit verbreitet. Allerdings unterliegen US-Konzerne dem CLOUD Act: US-Behörden können von ihnen die Herausgabe von Daten verlangen, auch wenn die Server physisch in Europa stehen. Der EDÖB hat darauf mehrfach hingewiesen und empfiehlt bei Auslagerung in solche Dienste zusätzliche technische Schutzmassnahmen [4]. Für besonders schützenswerte Daten ist das ein struktureller Konflikt mit Schweizer Recht – kein Vertrag der Welt bindet eine US-Behörde.

c) Privatkonto vs. Geschäftskonto: ein häufiges Missverständnis
Bei Cloud-Diensten gibt es zwei Vertragstypen, die verwechselt werden können: Privatversionen und Business- bzw. Enterprise-Versionen. Der Unterschied liegt nicht primär im Preis, sondern in den Vertragsbedingungen.

Der zentrale Begriff dabei ist der Auftragsbearbeitungsvertrag (englisch «Data Processing Agreement», kurz DPA): ein schriftlicher Vertrag zwischen der Praxis als Auftraggeberin und dem Cloud-Anbieter als Bearbeiter. Der Vertrag legt fest, zu welchem Zweck der Anbieter die Daten verwenden darf, verpflichtet ihn auf angemessene Sicherheitsmassnahmen, regelt den Beizug von Subunternehmern und sichert der Praxis die nötigen Auskunfts- und Löschrechte. Ohne einen solchen Vertrag fehlt die rechtliche Grundlage, Patientendaten überhaupt an einen externen Anbieter weiterzugeben.

Privatversionen – auch bezahlte wie iCloud+, Google One oder Dropbox Plus – bieten mehr Speicher, aber keinen Auftragsbearbeitungsvertrag, kein Bearbeitungsprotokoll und keinen wählbaren Datenstandort. Business- und Enterprise-Versionen enthalten einen Auftragsbearbeitungsvertrag, eine zentrale Admin-Konsole für die Praxis und in der Regel die Möglichkeit, den Datenstandort auf die Schweiz oder die EU festzulegen. Für die Bearbeitung besonders schützenswerter Daten verlangt das revDSG einen schriftlichen Auftrag an den Bearbeiter und eine angemessene Sicherheit [5]. Diese Anforderung erfüllen erst Business- oder Enterprise-Versionen – und auch sie nur, wenn der Datenstandort entsprechend gewählt und der Vertrag unterzeichnet ist.

Faustregel:

Privatkonto + Patientendaten = nicht zulässig, unabhängig davon, ob gratis oder bezahlt. Business-Konto + Schweizer oder EU-Datenstandort + Vertrag = der saubere Weg.

3. Schritt für Schritt zu einer datenschutzfreundlichen Praxis
Die folgenden Schritte sind so geordnet, dass jede:r Einzelne für sich schon einen spürbaren Unterschied macht. Es muss nicht alles auf einmal umgesetzt werden – wer mit den Schritten 1 bis 3 beginnt, deckt bereits den grössten Teil der typischen Alltagsrisiken ab.

Schritt 1 – Geräte absichern (kostenlos, ca. 30 Minuten)
Warum? Stellen wir uns vor, ein Praxis-Laptop wird im Zug liegen gelassen oder ein altes Smartphone landet bei der Entsorgung im falschen Container. Ohne Festplatten-Verschlüsselung kann jede Person, die das Gerät in die Hand bekommt, die Festplatte ausbauen und an einem fremden Computer anschliessen – Patientenakten, Fotos und Verordnungen sind dann im Klartext lesbar, ganz unabhängig vom Login-Passwort. Mit aktivierter Verschlüsselung liegen die Daten auf dem Datenträger nur als unleserliche Zeichenfolge. Erst beim Hochfahren mit dem korrekten Passwort entschlüsselt das Betriebssystem die Inhalte im laufenden Betrieb wieder.

Was tun? Auf Windows heisst die eingebaute Funktion BitLocker, auf Mac FileVault. Beide sind im Betriebssystem enthalten, kosten nichts zusätzlich und müssen nur einmal je Gerät aktiviert werden – danach läuft die Verschlüsselung unsichtbar im Hintergrund, ohne dass sich am Arbeitsalltag etwas ändert. Auf Smartphones (iOS und Android) ist die Verschlüsselung standardmässig eingeschaltet, sobald ein Code oder eine PIN gesetzt ist. Wichtig zu wissen: Die Festplatten-Verschlüsselung schützt das Gerät im ausgeschalteten oder gesperrten Zustand – sie ersetzt also nicht die Bildschirmsperre während der Arbeitszeit, sondern ergänzt sie.

Dazu kommen drei weitere Basismassnahmen, die zusammen wenig Zeit kosten und viel bewirken: Bildschirmsperre nach maximal fünf Minuten Inaktivität, starkes und einmaliges Passwort pro Konto sowie Zwei-Faktor-Authentifizierung auf allen beruflich genutzten Konten. Damit deckt die Praxis einen wesentlichen Teil der Anforderung an «angemessene technische und organisatorische Massnahmen» nach revDSG ab [5].

Schritt 2 – Berufliches und Privates trennen (kostenlos)
Privates Smartphone und privater E-Mail-Account sollten nicht für Patientenkommunikation verwendet werden. Wo eine vollständige Geräte-Trennung nicht möglich ist, helfen getrennte Profile oder dedizierte Apps mit eigenem Passwort und klar geregelten Zugriffen. In solchen Fällen sind Mindestanforderungen wie Gerätesperre, regelmässige Updates und ein sorgfältiger Umgang mit Daten verbindlich festzulegen. Empfehlenswert ist zudem, Mitarbeitende regelmässig für das Thema Datenschutz zu sensibilisieren und auf Vertraulichkeit zu verpflichten.

Schritt 3 – Sichere Kommunikation einrichten
Warum? Eine normale E-Mail ist technisch wie eine Postkarte: Sie wandert über mehrere Server, von denen jeder den Inhalt grundsätzlich mitlesen könnte. Bereits eine Terminbestätigung enthält Personendaten im Gesundheitskontext und ist daher nicht unkritisch. Sobald aber ein Befund, eine Verordnung oder ein Diagnose-Hinweis im Text oder Anhang steht, übergeben wir besonders schützenswerte Daten an einen offenen Übertragungsweg – das ist mit den Anforderungen des revDSG [3] nicht vereinbar.

Was tun? Für E-Mails mit Patientenbezug ist HIN-Mail der etablierte Schweizer Standard im Gesundheitswesen – Daten bleiben in der Schweiz, die Übertragung ist zwischen HIN-Konten verschlüsselt. Physioswiss bietet seinen Mitgliedern dafür ein vergünstigtes Abo an [6][7]. Für die schnelle Kommunikation zwischen Fachpersonen gibt es HIN Talk, das auf Threema-Technologie basiert und Daten ausschliesslich in der Schweiz verarbeitet [7]. Threema Work wiederum ist eine Schweizer Alternative für die Kommunikation im Team ebenfalls mit Schweizer Hosting und Ende-zu-Ende-Verschlüsselung [8]. Bald sollte auch eine Möglichkeit zur Kommunikation mit Patient:innen möglich sein. Wer schrittweise vorgehen will, beginnt mit dem Kanal, der am häufigsten heikel wird – meistens die WhatsApp-Korrespondenz im Team und mit Patient:innen.

Schritt 4 – Cloud bewusst wählen
Warum? Sobald wir Patientendaten bei einem Cloud-Anbieter ablegen, übergeben wir sie an einen Dritten. Damit das mit dem Berufsgeheimnis und dem revDSG vereinbar ist, braucht es einen Auftragsbearbeitungsvertrag (siehe Abschnitt 2c) und einen Datenstandort, der dem Schweizer Schutzniveau entspricht [5]. In der Praxis bedeutet das: Der Anbieter darf die Daten nur für die vereinbarten Zwecke nutzen – also nicht für Werbung, nicht für KI-Training und nicht für eigene Auswertungen. Ohne diesen vertraglichen Rahmen bleibt die Praxis allein in der Verantwortung, und das Berufsgeheimnis steht im Raum.

Was tun? Verordnungen, Befunde und Patientendokumente gehören nicht in einen privaten Google-Drive- oder Dropbox-Account. Es gibt zwei saubere Wege:

1. Praxissoftware mit integriertem Dokumentenmanagement nutzen. Das ist meistens die einfachste Lösung, weil Daten gar nicht erst in eine allgemeine Cloud wandern.

2. Schweizer Cloud-Anbieter mit Datenstandort in der Schweiz und einem unterzeichneten Auftragsbearbeitungsvertrag wählen.

Wer aus betrieblichen Gründen weiterhin auf Microsoft 365 oder Google Workspace angewiesen ist, kann besonders schützenswerte Dokumente vor dem Hochladen verschlüsseln, zum Beispiel mit frei verfügbaren Open-Source-Werkzeugen. Der Anbieter sieht dann nur einen verschlüsselten Container – ein Schutz, der auch unter dem CLOUD Act greift [4].

Schritt 5 – Patientenfotos und Social Media
Vor jedem Foto, das öffentlich oder auf Social Media geteilt werden soll, braucht es eine schriftliche, informierte Einwilligung – idealerweise differenziert nach Verwendungszweck (Praxis-Akte / Praxis-Website / Social Media / Fachartikel). Der Widerruf muss niederschwellig möglich sein, ohne Begründung und ohne Nachteile für die Patient:innen. Diese Anforderung ergibt sich aus dem revDSG und aus dem persönlichkeitsrechtlichen Schutz nach ZGB Art. 28 [9].

Schritt 6 – Bearbeitungsverzeichnis und Meldepflicht
Warum? Praxen, die regelmässig besonders schützenswerte Daten bearbeiten, müssen ein Bearbeitungsverzeichnis führen [1]. Das ist kein bürokratischer Selbstzweck, sondern ein Steuerungsinstrument: Es zwingt die Praxis dazu, einmal sauber zu dokumentieren, welche Daten wo, von wem und wie lange bearbeitet werden – und genau dieser Überblick ist die Voraussetzung dafür, im Ernstfall überhaupt reagieren zu können.

Was steht drin? In knapper Form: Wofür bearbeiten wir Daten (Zweck), welche Kategorien von Daten (Stammdaten, Diagnosen, Bilder), wer hat Zugriff (Mitarbeitende, externe Bearbeiter), wie lange bewahren wir was auf (Aufbewahrungsfristen) und welche Sicherheitsmassnahmen sind getroffen. Eine fertige Vorlage stellt Physioswiss im Mitgliederbereich zur Verfügung – ausfüllen ist meist eine Sache von ein bis zwei Stunden [6].

Was bei einer Datenpanne? Wenn Patientendaten verloren gehen, gestohlen werden oder Unbefugte Zugriff hatten und ein hohes Risiko für die betroffenen Personen besteht, muss der EDÖB so rasch als möglich informiert werden [10]. Typische Beispiele: ein gestohlener, unverschlüsselter Praxis-Laptop oder eine fehlversendete E-Mail mit Befund an den falschen Empfänger. Auch hier hilft das Bearbeitungsverzeichnis, weil sofort klar ist, welche Daten betroffen sind und wer informiert werden muss.

Checkliste für die nächste Woche
1. BitLocker (Windows) oder FileVault (Mac) aktivieren.

2. Bildschirmsperre auf maximal fünf Minuten setzen.

3. Zwei-Faktor-Authentifizierung in allen beruflichen Konten einschalten.

4. Privates und berufliches Smartphone trennen oder zumindest getrennte Profile einrichten.

5. WhatsApp-Korrespondenz mit Patient:innen schrittweise auf HIN-Mail oder Threema umstellen.

6. Prüfen, wo Verordnungen und Dokumente derzeit liegen – bei privaten Cloud-Konten Wechsel zur Praxissoftware oder zu einer Schweizer Cloud-Lösung planen.

7. Einwilligungserklärung für Fotos und Social Media auffrischen.

8. Bearbeitungsverzeichnis aktualisieren (Vorlage von Physioswiss nutzen).

Fazit
Datenschutz wird nicht über Nacht perfekt – und das muss er auch nicht. Es geht nicht darum, die Praxis in eine Datenschutz-Festung zu verwandeln, sondern darum, die offensichtlichen Lücken im Alltag zu schliessen. Wer heute BitLocker einschaltet und nächste Woche die WhatsApp-Korrespondenz umstellt, hat schon viel erreicht. Wer dann Schritt für Schritt weitergeht, kommt bei einer sauberen Praxis-Datenhygiene an, ohne dass dafür ein Vermögen ausgegeben werden muss. Physioswiss KV Bern unterstützt seine Mitglieder mit Verweisen auf die Vorlagen und vergünstigten Angebote von Physioswiss – und steht für Rückfragen zur Verfügung.

*Hinweis: Dieser Beitrag ersetzt keine Rechtsberatung. Bei konkreten Fragen lohnt sich der Blick in die offiziellen Quellen unten oder eine Rückfrage bei der Geschäftsstelle von Physioswiss.*


Quellen

 

[1] Bundesgesetz über den Datenschutz (DSG, SR 235.1) – insbesondere die Bestimmungen zu besonders schützenswerten Personendaten und zum Bearbeitungsverzeichnis. https://www.fedlex.admin.ch/eli/cc/2022/491/de

 

[2] Schweizerisches Strafgesetzbuch (StGB, SR 311.0), Art. 321 – Verletzung des Berufsgeheimnisses. https://www.fedlex.admin.ch/eli/cc/54/757_781_799/de

 

[3] Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Themenbereich Internet und Technologie. https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/internet_technologie.html

 

[4] EDÖB, Erläuterungen zu Cloud-Computing und zur Datenbekanntgabe ins Ausland. https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/internet_technologie/cloud.html

 

[5] EDÖB, Outsourcing und Auftragsdatenbearbeitung; DSG Art. 8 (Datensicherheit) und Art. 9 (Bearbeitung durch Auftragsbearbeiter). https://www.edoeb.admin.ch/de/outsourcing-auftragsdatenbearbeitung

 

[6] Physioswiss, Datenschutz in den Physiotherapiepraxen – Mitgliederinformationen, Vorlagen und vergünstigtes HIN-Abo. https://physioswiss.ch/news/datenschutz-in-den-physiotherapiepraxen/ und https://www.physioswiss.ch/de/news/2024/datenschutzrecht

 

[7] Health Info Net (HIN), Sichere Kommunikation im Schweizer Gesundheitswesen. https://www.hin.ch/

 

[8] Threema, Threema Work für das Gesundheitswesen. https://threema.ch/de/work/health

 

[9] Schweizerisches Zivilgesetzbuch (ZGB, SR 210), Art. 28 – Schutz der Persönlichkeit; in Verbindung mit den Einwilligungsgrundsätzen des DSG. https://www.fedlex.admin.ch/eli/cc/24/233_245_233/de

[10] EDÖB, Meldepflicht bei Datenschutzverletzungen (DSG Art. 24). https://www.edoeb.admin.ch/

[11] Schweizerische Akademie der Medizinischen Wissenschaften / FMH, Rechtlicher Leitfaden – Berufsgeheimnis und Datenschutz (Grundsätze sind auf nichtärztliche Gesundheitsfachpersonen übertragbar). https://leitfaden.samw.fmh.ch/

[12] Privatim – Konferenz der Schweizerischen Datenschutzbeauftragten (Bund, Kantone): Empfehlungen und Leitfäden. https://www.privatim.ch/

[13] Datenschutzbeauftragter des Kantons Zürich, Leitfaden «Bearbeiten im Auftrag». https://www.datenschutz.ch/