Datenschutz - März 2019

Schweigepflichft für Psycholog(inn)en: wie setze ich sie in der Praxis um?

Rechtliches

Alle Informationen und Personendaten, die Gesundheits-Fachpersonen wie Ärzt(inn)en, Apotheker(inne)n oder Psycholog(inn)en in Ausübung ihres Berufes über ihre Patient(inn)en erfahren, fallen unter die berufliche Schweigepflicht  nach Artikel 321 StGB. Ebenfalls darunter fallen alle Hilfspersonen die entweder delegiert medizinische Leistungen erbringen oder im Supportbereich tätig sind. Neben der beruflichen Schweigepflicht kommt bei der Bearbeitung von Personendaten auch das Bundesgesetz über den Datenschutz (DSG) zur Anwendung.

Psycholog(inn)en in eigener Praxis oder delegiert arbeitend in einer Praxis einer niedergelassenen Psychiaterin fallen unter das DSG. Psycholog(inn)en, die in einem öffentlich-rechtlichen Betrieb oder einer Privatklinik auf der Spitalliste arbeiten, fallen unter die kantonalen Datenschutzgesetze. Weiter sind Psycholog(inn)en nach den kantonalen Gesundheitsgesetzen und der FSP-Berufsordnung verpflichtet, eine Fall-Dokumentation zu führen und diese den Prinzipien des Datenschutzgesetzes gemäss zu bearbeiten.

 

Prinzipien des Datenschutzes

Grundlagen

Beim Datenschutz geht es um den Schutz der grundlegenden Persönlichkeitsrechte und der Privatsphäre. Technische Aspekte des Schutzes der Daten fallen unter den Begriff Datensicherheit. Die Datenschutzgesetze kommen ausschliesslich bei Personendaten und bei besonders schützenswerten Personendaten zur Geltung. Personendaten sind Daten, die sich auf eine bestimmte oder bestimmbare Personen beziehen. Dies sind zum Beispiel Name und Vorname, Telefonnummern, AHV-Nummern, IP-Adressen oder Mail-Adressen. Besonders schützenswerte Personendaten sind alle Daten einer bestimmten oder bestimmbaren Personen zu ihrer Gesundheit und Intimsphäre, zu religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten und Tätigkeiten, Daten zur Rassenzugehörigkeit und Angaben darüber, ob eine Person Massnahmen der sozialen Hilfe in Anspruch nimmt oder strafrechtlich bzw. administrativ verfolgt oder sanktioniert wird.

Datenbearbeitung

Zentral in den Datenschutzgesetzen (siehe Artikel 3 DSG, Begriffe) ist der Begriff der Datenbearbeitung. Darunter fällt jede Art von Umgang mit Personendaten wie z.B. das Beschaffen, Aufbewahren, Verwenden, Bekanntgeben, Archivieren und Versenden von Daten. Bei jeder Datenbearbeitung sind die Grundsätze des Datenschutzes (siehe Artikel 3 DSG, Begriffe) zwingend zu beachten:

• Gesetzmässigkeit: Die Datenbearbeitung braucht immer eine gesetzliche Grundlage und/oder eine Einwilligung der betroffenen Person.
• Zweckbindung: Die Daten dürfen nur für den Zweck, der angegeben wurde oder aus den Umständen ersichtlich war, verwendet werden.
• Verhältnismässigkeit: Daten dürfen nur in dem Umfang bearbeitet werden, als es für die Aufgabe notwendig ist.
• Richtigkeit und Qualität: Die Informationen müssen objektiv richtig sein. Bei objektiv falschen Angaben (nicht aber bei «falschen» Werturteilen) besteht ein Recht auf Korrektur oder Richtigstellung.
• Datensicherheit: Es müssen angemessene Massnahmen getroffen werden, die Personendaten zu schützen.
• Transparenz & Treu und Glauben: Die Transparenz verlangt unter anderem, dass die betroffene Person weiss oder erkennen kann, welche Daten beschafft werden und zu welchem Zweck.
• Verantwortung: Die für die Datenbearbeitungen verantwortlichen Personen müssen bestimmt und benannt sein.

 

Rechtliche Grundlagen für Datenweitergaben

Entbindung durch die betroffenen PatientInnen

Grundsätzlich braucht es für jede Weitergabe von Personendaten und besonders schützenswerten Personendaten an Dritte immer eine gesetzliche Grundlage. Dies kann eine Entbindung durch den betroffenen Patienten von der beruflichen Schweigepflicht sein, welche schriftlich, mündlich oder stillschweigend (konkludent) vorliegen kann. Bei mündlichen oder konkludenten Einwilligungen sollte dies im Verlaufsbericht dokumentiert sein. In der Entbindung muss die Drittperson, an welche Informationen übermittelt werden sollen, namentlich genannt sein. Zudem muss ersichtlich sein, um welche Information es sich handelt und welches der Verwendungszweck ist, und es ist darauf hinzuweisen, dass Schweigepflichtentbindungen jederzeit und ohne Angabe von Gründen widerrufen werden können.

Eine Schweigepflichtentbindung ausstellen oder ablehnen kann jede Person (unabhängig vom Alter), die als urteilsfähig eingeschätzt wird. Die Einschätzung der Urteilsfähigkeit ist immer situativ und zeitlich abhängig. Ändert sich die Urteilsfähigkeit muss auch die Informationsweitergabe angepasst werden. Dabei wird eingeschätzt, ob z.B. ein minderjähriges Kind in der Lage ist, die Bedeutung und Konsequenzen einer Handlung zu erfassen. Wird die Urteilsfähigkeit einer Person attestiert, so ist allein der geäusserte Wille massgebend, wer welche Informationen erhalten soll. Wird eine Person hingegen als urteilsunfähig eingeschätzt, muss der gesetzliche Vertreter vollumfänglich informiert werden.

Meldepflichten

Neben der Entbindung durch den Patienten gibt es eine Reihe von gesetzlichen Entbindungen von der Schweigepflicht (Meldepflichten und -rechte). So müssen aussergewöhnliche Todesfälle, Beobachtungen zu übertragbaren Krankheiten (Epidemie-Verordnung und Melde-Verordnung des Eidgenössischen Departements des Innern, EDI) den zuständigen Behörden gemeldet werden. Ferner ist man gegenüber den Unfall- und Invalidenversicherungen und gegenüber den Krankengrundversicherungen auskunftpflichtig.

Melderechte

Bei den Melderechten ist man berechtigt, aber nicht verpflichtet, Informationen an die zuständigen Stellen weiterzugeben. Melderechte liegen vor bei Vergehen gegen Leib und Leben, bei Verdacht auf strafbare Handlungen an Minderjährigen (Art. 314c Abs. 2 ZGB),  bei Selbst- oder Fremdgefährdung hilfsbedürftiger Personen (Art. 453 ZGB), bei vorliegenden oder drohenden suchtbedingten Störungen (Art. 3c Betäubungsmittelgesetz, BetmG) und bei Meldungen betreffend der Fahreignung. Eine Hilfestellung bei der Abwägung, ob vom Melderecht Gebrauch werden soll, bietet die Berufsordnung der FSP (BO) und die Praxis der Berufsethikkommission der FSP (BEK).

Behördliche Entbindung von der beruflichen Schweigepflicht

Liegt keine Entbindung oder Patientenverfügung vor und kein eindeutiges Melderecht oder -pflicht, gibt es die Möglichkeit, sich durch den Kantonsarzt bzw. im Kanton Zürich durch die Gesundheitsdirektion von der Schweigepflicht entbinden lassen.

Patientenrechte

In den Datenschutzgesetzen und den kantonalen Patientengesetzen sind umfassende Auskunftsrechte formuliert. Grundsätzlich gilt, dass alles was in der Patientenakte aufbewahrt wird, den PatientInnen auch mitgeteilt oder in Kopie zugänglich gemacht werden muss. Ein solches Einsichtsbegehren muss nicht begründet werden und sollte durch die Therapeutin innert 30 Tagen bearbeitet werden.

 

Tipps für die Umsetzung

Datensicherheit

Wer in seiner Praxis ausschliesslich mit Papierakten arbeitet, muss dafür besorgt sein, dass diese Akten verschlossen und wasser- und feuergeschützt aufbewahrt werden. Bei einer Papieraktenführung werden die Inhalte heutzutage wahrscheinlich meist auf einem Computer erfasst, womit dem Aspekt der digitalen Datensicherheit besondere Beachtung geschenkt werden muss. Eine Nicht-Beachtung des Datenschutzgrundsatzes der Datensicherheit entspricht einer Missachtung der geltenden Datenschutzgesetze und kann u.U. auch als Missachtung der beruflichen Schweigepflicht ausgelegt werden. Beachten Sie deshalb die folgenden Punkte wenn sie in ihrer Praxis die Patientendossiers digital führen:

Updates

Denken Sie daran, das Betriebssystem ihres Computers stets mit den neusten Updates auf dem aktuellsten Stand zu halten. Installieren Sie immer die neusten Viren- und Malware-Schutzprogramme und installieren Sie immer die aktuellsten Updates.

Sichern Sie Ihren Computer

Sichern Sie ihren Computer mit einem Passwort und sperren Sie ihn, wenn Sie den Arbeitsplatz verlassen. Positionieren Sie den Computer so, dass niemand ausser Ihnen auf den Bildschirm sehen kann.

Backups

Mit der Führung von Patientenakten obliegt Ihnen auch die Pflicht, die Daten sicher zu archivieren und sie jederzeit z.B. im Rahmen eines Auskunftsbegehrens vorweisen zu können. Machen Sie deshalb regelmässige Backups auf eine externe Festplatte und vergewissern sie sich periodisch, dass die Sicherungen auch abrufbar sind und die Backups ihrerseits verschlüsselt sind.

Verwendung von Clouds

Die Speicherung von Gesundheitsdaten in sogenannten Clouds (webbasierter Speicherplatz) ist problematisch und nicht ratsam, da der Rechtssitz vieler Anbieter in Ländern ist, die nicht die gleichen Datenschutz-Standards haben wie die Schweiz oder die Länder der EU.

Passwörter

Sichern Sie wie bereits erwähnt ihren Computer immer mit einem Passwort. Am sichersten sind sogenannte 2-Weg-Authentifizierungen (z.B. Passwort und Fingerabdruck).

Mail und Faxgeräte, Social-Media-Apps

Patientendaten sollten auf keinen Fall unverschlüsselt via Mail oder Fax-Geräte versandt werden, da diese keinerlei Datensicherheit bieten.

Verschlüsseltes Mail

Viele Leistungserbringer im Gesundheitswesen (niedergelassene Ärzte, Spitäler und Krankenversicherer) arbeiten heute mit dem Dienst www.hin.ch. Dieser Dienst gilt als sicher und bietet für FSP-Mitglieder eine vergünstigte Verbandslösung (https://www.hin.ch/produkte/hin-fsp/).

 

Vielen Dank an den Autor diese Beitrags:

Lic. phil. Christopher R. Schuetz, Fachpsychologe Klinische Psychologie FSP, Datenschutzbeauftragter und Leiter Bildung und Standesfragen Psychologie, Integrierte Psychiatrie Winterthur