Ende Mai 2018 endet die Umsetzungsfrist der EU-Datenschutzgrundverordnung (DSGVO)[1]. Ab diesem Zeitpunkt ist sie in den EU-Ländern direkt anwendbar, was bedeutet, dass keine nationalen Umsetzungsgesetze notwendig sind. Die Verordnung ist folglich mit einem Gesetz in der Schweiz vergleichbar. Für die Schweiz ist die Verordnung von Relevanz, da sie einen räumlichen Anwendungsbereich hat, welcher auch Nicht-EU-Länder erfasst. Die DSGVO wurde mit Blick auf grosse „Datenkraken“ wie Facebook oder Google sowie als Antwort auf die technologischen Entwicklungen der letzten Jahre geschaffen. Sie wirkt sich jedoch auf KMUs, NGOs, private und öffentliche Forschungsinstitute, etc. aus. Die Regelungen der DSGVO flossen auch indirekt in das neue Schweizer Datenschutzgesetz (nDSG) ein, welches am 01.01.2019 in Kraft tritt. Die Bestimmungen im nDSG sind jedoch nicht absolut deckungsgleich, auch wenn auf ein sogenannter Swiss Finish verzichtet wurde[2]. Vieles ist jedoch sehr ähnlich, da die DSGVO bei der Übertragung von Daten in Drittstaaten verschiedene Konsequenzen vorsieht, sollte der Datenschutz im Drittstaat nicht dasselbe Niveau wie in der EU aufweisen. Dementsprechend ist es auch ein Ziel der Totalrevision des DSG das Schutzniveau an das europäische Umfeld anzupassen[3]. Es werden nun ausgewählte Aspekte der DSGVO thematisiert und auf entsprechende Bestimmungen des nDSG verwiesen.
Art. 2 DSGVO definiert den sachlichen Anwendungsbereich auf Daten von natürlichen Personen. Absatz 2 sieht dann gewisse Ausnahmen wie bspw. die Verarbeitung von Daten im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt. Da Unionsrecht einen sehr weiten Anwendungsbereich hat, sind zahlreiche Tätigkeiten – ob kommerziell oder nicht – von der DSGVO erfasst. Der räumliche Anwendungsbereich umfasst Verarbeitung von Daten aller Personen im EU-Gebiet, selbst wenn die Verarbeitung ausserhalb der EU erfolgt, sofern:
- a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
- b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.
Es liegen entsprechend zwei Kriterien für den räumlichen Anwendungsbereich vor: das Kriterium der Niederlassung sowie alternativ das Kriterium des Zielmarktes.[4] Das erste Kriterium dürfte für viele international tätige Dienstleistungs- und Industrieunternehmen, welche keine Niederlassung in der EU haben, bedeuten, dass sie trotzdem in den Anwendungsbereich der DSGVO fallen. Das zweite Kriterium ist insbesondere bei der Verfolgung des Internetnutzungsverhaltens mit Hilfe von sogenannten Cookies relevant. Dies kann zu Profiling des Einzelnen führen. Folglich dürfte es in der Schweiz viele Unternehmen geben, die parallel die DSGVO sowie das nDSG einhalten werden müssen. Selbstverständlich ist im Einzelfall zu beurteilen, ob die DSGVO tatsächlich anwendbar ist.
In Art. 5 DSGVO werden verschiedene Grundsätze für den Umgang mit Daten festgelegt. Die meisten sind auch bereits im geltenden Recht der Schweiz und der EU-Länder verankert, so bspw. Zweckbindung, Richtigkeit der Daten oder Rechtmässigkeit der Erhebung. Die DSGVO führt neu einen Risiko basierten Ansatz im Bereich des Datenschutzes ein. Die Massnahmen der Datenverarbeiter haben sich am Risiko, welche sich durch die Verarbeitung dieser Daten selbst sowie durch eine allfällige Verletzung des Schutzes ergibt. Im medizinischen Bereich dürften diese Risiken hoch sein, da die Verarbeitung von Gesundheits- und Medizinaldaten in einem weiten Sinn ein hohes Risiko für die betroffenen Personen darstellen können, insbesondere wenn sie dadurch in falsche Hände geraten. Es liegt auf der Hand, dass entsprechende Verschlüsselungen, Anonymisierung, privacy by design und weitere Schutzmassnahmen mit der DSGVO nicht nur im Gesundheitsbereich zum Standard werden.
Art. 9 Abs. 1 DSGVO verbietet grundsätzlich die Bearbeitung von u.a. Gesundheitsdaten, biometrischen Daten, genetischen Daten sowie Daten zum Sexualleben. Abs. 2 sieht dann entsprechende Ausnahmen vor wie bspw. im Rahmen der Arbeitsmedizin, Gesundheitsvorsorge, medizinische Diagnostik usw.. Auch eine explizite Einwilligung der betroffenen Person ermöglicht die Verarbeitung dieser Daten. An die Einwilligung sind jedoch hohe Anforderungen gestellt[5]. Die Verarbeitung von diesen heiklen Daten nach Art. 9 Abs. 1 DSGVO zieht zudem gewisse zusätzliche Pflichten nach sich. Damit wird der heiklen Natur dieser Daten Rechnung getragen.
Die DSGVO sieht – wie auch das nDSG – zahlreiche Rechte der von der Datenverarbeitung betroffenen Person vor. Viele der Rechte sind bereits im geltenden DSG verankert. Daher wird an dieser Stelle darauf nicht detailliert eigegangen. Neu kommt hinzu, dass die betroffenen Personen Anspruch darauf haben, dass ein Datenverarbeiter die Daten an eine andere Stelle weiterleiten muss, sofern dies die betroffene Person verlangt (Art. 20 DSGVO). Dafür müssen in der Praxis voraussichtlich zahlreiche technische Hürden überwunden werden, bevor dieses Recht tatsächlich so wahrgenommen werden kann. Der Datenverarbeiter ist nicht verpflichtet, die Daten zu übertragen, sofern dies technisch nicht möglich ist. Er kann auch nicht zu technischen Massnahmen gezwungen werden. Inwiefern sich dieses Recht in der Praxis auch durchsetzen lässt, bleibt abzuwarten.
Ein weiteres, bisher in der Schweiz nicht gewährtes Recht, ist in Art. 34 DSGVO resp. Art. 22 nDSG verankert. Es verpflichtet Datenverarbeiter bei Verletzung des Datenschutzes die betroffenen Personen zu informieren. Bei einer grossen Anzahl an Betroffenen kann der Datenverarbeiter gemäss DSGVO über öffentliche Bekanntmachung die Betroffenen informieren. Die Pflicht zur Benachrichtigung besteht jedoch nur, falls die Verletzung des Datenschutzes zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen führt. Was genau ein hohes Risiko im Sinne von Art. 34 DSGVO ist, wird die Praxis zu klären haben. In der Schweiz ist hingegen der Datenschutzbeauftragte des Bundes zu informieren. Die betroffenen Personen müssen nur informiert werden, sofern es für ihren Schutz notwendig ist oder der Datenschutzbeauftragte dies verlangt. An dieser Stelle ist auf die Datenschutz-Folgeabklärung zu verweisen, welche sowohl in der DSGVO (Art. 35) und dem nDSG (Art. 20 nDSG) vorgesehen ist. Mit einer Datenschutz-Folgenabschätzung sollen Risiken erkennt und bewertet werden, welche für die betroffene Person durch gewisse Datenverarbeitungen entstehen können. Die Pflicht zur Durchführung einer solchen Folgeabschätzung besteht, falls durch die Datenverarbeitung ein hohes Risiko für die betroffene Person entsteht. Anhand der Analyse sollten dann gegebenenfalls angemessene Massnahmen ergriffen werden, um diese Risiken für die betroffene Person zu bewältigen[6]. Wird der Schutz einer Datenverarbeitung, welche eine Folgeabklärung ausgelöst hatte, verletzt, so muss die betroffene Person voraussichtlich informiert werden. Dies dürfte bei zahlreichen Datenverarbeitungen im Medizinalbereich der Fall sein. Dass diese Daten begehrt sind und Unberechtigte versuchen diese zu beschaffen oder zumindest zu blockieren, ist seit längerem bekannt[7].
Das nDSG sowie die DSGVO sehen vor, dass hohe Bussen ausgesprochen werden können, falls die entsprechenden Vorschriften verletzt werden. Das nDSG sieht Bussen bis CHF 250‘000.00 vor. Dies jedoch nur bei vorsätzlicher Begehung der Delikte nach Art. 54 ff. nDSG. Die DSGVO geht noch weiter und sieht die maximalen Busse bei EURO 20‘000‘000.00 oder im Fall von Unternehmen bei 4 % des weltweiten Umsatzes fest. Die Praxis muss dann zeigen, wie die Bussenhöhe dann im Einzelfall bestimmt wird.
Der Schutz der Daten von Patienten muss aus Sicht der SMLA eine Priorität für alle Akteure im Medizinalbereich sein. Aus dieser Sicht sind die DSGVO und das neue DSG sicherlich zu begrüssen. Aus Sicht der betroffenen Person sind auch die neugewährten Rechte zu begrüssen. Es bleibt abzuwarten, wie sich die DSGVO in der Praxis auf die Schweiz auswirken wird. Das Zusammenspiel von DSGVO und nDSG ist noch nicht genau vorhersehbar. Insbesondere die Durchsetzung der DSGVO in Nicht-EU-Ländern wirft Fragen auf. Ein entsprechendes Abkommen zwischen der EU und der Schweiz besteht noch nicht. Die exterritoriale Wirkung der DSGVO ist jedoch ohnehin kritisch zu betrachten. Fehlt es nämlich an der Möglichkeit, Verstösse im Ausland zu ahnden, so verkommt die DSGVO in solchen Fällen zu einem Papiertiger. Dann wird dem Patienten, Konsumenten, usw. vorgegaukelt es bestehe im Drittland ein Schutz wie in der EU ohne dass es in der Realität zutrifft. Es ist darüber hinaus im Bereich des Problembewusstseins des Einzelnen keine schlagartige Veränderung ab Ende Mai 2018 zu erwarten. Die Sensibilität der Bevölkerung steigt eher mit der Aufdeckung von Datenschutzverletzungen, wie zuletzt bei Facebook[8]. Jedoch ist es fraglich, ob solche „Skandale“ beim Einzelnen eine langfristige Wirkung entfalten. Inwiefern die neuen Gesetzeswerke diesbezüglich einen Beitrag zu leisten vermögen, ist anzuzweifeln. Es ist kaum zu erwarten, dass die betroffenen Personen nun ihre teilweise neuen Rechte vermehrt wahrnehmen werden. Dies würde bedeuten, sie müssten jeweils seitenlange Datenschutzerklärungen durchlesen, um sich dann informiert zu entscheiden, ob und wie sie ihre Rechte ausüben. Das bisherige Verhalten des grössten Teils der Bevölkerung spricht gegen eine solche Verhaltensänderung. Umso mehr gilt es, die Bevölkerung im Bereich des Datenschutzes zu sensibilisieren und so dem Missbrauch an der Quelle der Daten und damit beim Einzelnen vorzubeugen. Zu hinterfragen ist die Beschränkung der Strafbarkeit auf vorsätzliche Verstösse. Grobfahrlässige Verstösse hätten aus Sicht der SMLA ebenfalls mit einer Strafe geahndet werden sollen. Zumindest bei heiklen Daten wäre dies angemessen gewesen.
[1] Abrufbar unter http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32016R0679
[2] Medienmitteilung des Bundesrates vom 15.09.2017, abrufbar unter https://www.ejpd.admin.ch/ejpd/de/home/aktuell/news/2017/2017-09-150.html (zuletzt besucht am 09.04.2018).
[3] Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und
die Änderung weiterer Erlasse zum Datenschutz, BBl 2017 6914 ff., S. 6943.
[4] Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB, Die EU-Datenschutzgrundverordnung und ihre Auswirkungen auf die Schweiz, S. 2.
[5] David Vasella, Artikel-29-Datenschutzgruppe: WP 259 zur Einwilligung nach der DSGVO, abrufbar unter http://datenrecht.ch/artikel-29-datenschutzgruppe-wp-259-zur-einwilligung-nach-der-dsgvo/
[6] Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und
die Änderung weiterer Erlasse zum Datenschutz, BBl 2017 6914 ff., S. 7059.
[7] Andrew Griffin, NHS Hack: Waht is ransomware, 1 auf: Independent Online vom 12.05.2017, abrufbar unter: https://www.independent.co.uk/life-style/gadgets-and-tech/features/nhs-hack-cyber-attack-ransomware-do-i-need-to-worry-safe-hospital-security-privacy-a7732996.html (zuletzt besucht am 09.04.2018); Christoph Stoica, Healthcare-Hacker auf dem Vormarsch, auf computerwoche.de vom 01.06.2016, https://www.computerwoche.de/a/healthcare-hacker-auf-dem-vormarsch,3228996 (zuletzt besucht am 09.04.2018).
[8] Christiane Hanna Henkel, Der Cambridge-Analytica-Fall setzt Facebook unter Druck, aufrufbar auf NZZ-Online, unter https://www.nzz.ch/wirtschaft/der-cambridge-analytica-fall-setzt-facebook-unter-druck-ld.1367908 (zuletzt besucht am 09.04.2018).