Datenschutz im Gesundheitswesen: Neue Anforderungen an Patientenformulare

Data ProtectionGesundheitswesen
Verfasst von lukas_l .

Damit Patientenformulare für ärztliche und therapeutische Konsultationen datenschutzkonform ausgearbeitet werden, müssen die Anforderungen nach Datenschutzgesetz (DSG) eingehalten werden. Im Beitrag werden die rechtlichen Mindestanforderungen nach EDÖB-Merkblatt vom 30. September 2025 präzisiert.

1.    Informationspflicht

Im alten DSG galt die Informationspflicht nur bei besonders schützenswerten Daten, seit der Revidierung wurde diese auf alle Datenkategorien ausgeweitet. Ärzte und Therapeuten müssen ihre Patienten bereits bei der Erhebung von Personendaten umfassend informieren. Die Informationen müssen sachgerecht sein und mindestens die Vorgaben laut Art. 19 Abs. 2 DSG einhalten.

Es gibt keine Formvorschrift für die Informationspflicht, die Information muss jedoch präzis, transparent und leicht zugänglich sein. Aus Beweisgründen empfiehlt es sich die Informationen in schriftlicher Form abzugeben.

Eine Unterschrift der Patientin oder des Patients ist nicht erforderlich, sie belegt nicht die Gültigkeit der Information.

 

2.    Einwilligung-nur bei bestimmten Daten erforderlich

Die Bearbeitung von Gesundheitsdaten erfolgt grundsätzlich auf Basis des Behandlungsvertrags und aufgrund gesetzlicher Verpflichtungen. Eine Einwilligung ist normalerweise dann erforderlich, wenn Daten an Dritte weitergegeben werden. Für eine rechtsgültige Einwilligung müssen folgende Aspekte erfüllt sein:

-       Aufgeklärt sein: Die betroffene Person muss über Zweck, Umfang und Empfänger der Datenbearbeitung verständlich aufgeklärt werden. Weiter sollten die Art der Bearbeitung, die damit verbundenen Risiken, die Aufbewahrungsdauer der Daten, eine mögliche Bekanntgabe ins Ausland und die Folgen eine Nichteinwilligung, enthalten sein. Die Information hat vor Abgabe der Einwilligung zu erfolgen und muss erkennen lassen, welche konkreten Daten zu welchem Zweck weitergegeben oder bearbeitet werden. Als Mindestmassstab muss die einwilligende Person die Informationen nach Art. 19 DSG erhalten haben. Je nach Komplexität werden zusätzliche Erläuterungen benötigt. Unklare oder versteckte Formulierungen sind unzulässig.

-       Zweckgebunden: Die Einwilligung darf sich nur auf den klar bezeichneten Zweck beziehen. Jede weitere Verwendung der Daten ausserhalb des vereinbarten Zwecks bedarf einer neuen, separaten Einwilligung.

-       Freiwilligkeit: Die Einwilligung muss ohne Zwang oder Druck erfolgen. Eine Einwilligung ist nur dann freiwillig, wenn die betroffene Person eine echte Wahlmöglichkeit hat und keine unverhältnismässigen Nachteile zu erwarten hat.

Blanko-Einwilligungen oder pauschale Zustimmungserklärungen sind unzulässig. Ausserdem muss eine Einwilligung jederzeit widerrufbar sein. Erlaubt ist dagegen die Übermittlung von Rechnungsdaten an ein Abrechnungsunternehmen, sofern die Patientin oder der Patient darüber informiert wurde, welche Daten übermittelt werden und weshalb. Der Grundsatu der Verhältnismässigkeit bleibt dabei stets zu beachten.

 

3.    Sichere elektronische Datenübermittlung

Da Gesundheitsdaten als besonders schützenswerte Personendaten gelten, darf ihre Übermittlung nur über sichere Kommunikationskanäle erfolgen. Die sichere Bekanntgabe gilt auch für den rein administrativen Datenaustausch. Ein ungesicherter administrativer Austausch ist nur dann möglich, wenn der Patient/die Patientin vorgängig über mögliche Risiken informiert wurde und freiwillig zugestimmt hat. In der Praxis empfiehlt es sich, das Formular so zu gestalten, dass Patienten und Patientinnen bewusst wählen können, z.B. durch Ankreuzen einer entsprechenden Option.

 

4.    Grundsatz der Verhältnismässigkeit

Erfasst werden dürfen nur jene Daten, die für die Behandlung unbedingt erforderlich sind. In der Arzt-Patienten-Beziehung ist der Zweck i.d.R die therapeutische Behandlung. Angaben wie Zivilstand, Beruf oder Arbeitgeber sind nur dann gerechtfertigt, wenn sie medizinisch relevant sind. Nicht notwendig und daher problematisch ist die systematische Erhebung irrelevanter Angaben wie etwa Zivilstand, Arbeitgeber oder Beruf, sofern diese keinen Bezug zur Behandlung haben. Jede erhobene Information muss sachlich gerechtfertigt sein und im Zusammenhang mit der Behandlung stehen.

 

5.    Fazit

Die Anforderungen an Patiendaten steigen, während pauschale Einwilligungen und ungesicherte Datenflüsse unzulässig sind. Ärztinnen und Therapeuten müssen ihre Prozesse deshalb konsequent an die Vorgaben des Datenschutzgesetzes anpassen. Transparente Informationsverfahren, ausdrückliche Einwilligungen und sichere Kommunikationswege sind heute unverzichtbar, um rechtliche Risiken zu vermeiden und die informationelle Selbstbestimmung der Patientinnen und Patienten zu gewährleisten.

 

6.    Unterstützung durch Lezzilegal

Wir beraten Ärzte, Therapeuten und Gesundheitsorganisationen bei der rechtskonformen Umsetzung der DSG-Regulationen insbesondere:

-       Überprüfung und Anpassung von Patientenformularen

-       Erstellung von Datenschutzkonzepten und Bearbeitungsverzeichnissen

-       Abklärung von Meldepflichten und Datenweitergaben

-       Vertretung gegenüber Datenschutzaufsichtsbehörden

 

lukas_l .
Weiter

Kurz-Update: Vernehmlassung zur Änderung des Finanzinstitutsgesetzes eröffnet