Datenschutz und Gesundheitsrecht | Protection des données et droit de la santé
Schulthess Juristische Medien AG, Zürich 2019, 176 Seiten, CHF 68
ISBN 978-3-7255-7984-6
Der hier vorzustellende Band enthält die schriftlichen Fassungen der Referate des Datenschutzrechtstags vom 17. und 18. Mai 2018 an der Universität Freiburg. Das Schwerpunktthema der Tagung und damit auch des Bandes könnte kaum aktueller gewählt sein. Gerade im Hinblick auf die Digitalisierung, die auch vor dem Gesundheitswesen nicht halt macht, stellen sich vermehrt Fragen im Hinblick auf den Schutz und die Sicherheit sensibler Daten, die im Zusammenhang mit der Gesundheitsversorgung und deren versicherungsrechtlicher Absicherung erhoben werden. Darüber hinaus enthält der Band auch zwei Beiträge, die auf einen allgemeineren Überblick über Entwicklungen in der (europäischen) Rechtsetzung und deren Auswirkungen auf die Schweiz sowie die Tendenzen in der aktuellen Rechtsprechung gerichtet sind.
Der Beitrag von Prof. Dr. Anne-Sylvie Dupont wirft die Frage auf, ob die Daten, die den Sozialversicherungen anvertraut werden, tatsächlich sicher bzw. hinreichend geschützt sind. Ihr Gesamturteil zu dieser Frage fällt mehr als nur ernüchternd aus. Besonders pointiert kritisiert sie, in welchem Ausmass sensible Gesundheitsdaten in immer umfassender werdenden Akten der Versicherungen – insbesondere der Invalidenversicherung – gesammelt werden. Aufgrund der weitgehend ausgestalteten Mitwirkungsrechte der Versicherten und der – wiederum in der Invalidenversicherung – ausgedehnten (gesetzlichen) Ermächtigungen zur Einholung von Daten zu einer versicherten Person, enthalten die so entstehenden «Mammut-Dossiers» viel mehr Daten, als für die eigentliche Erfüllung des gesetzlichen Auftrags erforderlich wären. Sensibilität für die dadurch verursachte Verletzung des Verhältnismässigkeitsgrundsatzes scheint bei den Versicherern kaum zu bestehen. Besonders bedenklich findet die Autorin weiter, dass die Geheimhaltungsvorschriften, die das ATSG statuiert, von sehr vielen Ausnahmen durchlöchert werden und in der Praxis auf entsprechende Anfragen hin häufig die gesamten Dossiers weitergereicht werden, ohne dass dabei geprüft wird, ob wirklich alle Daten weitergegeben werden dürfen.
Prof. Dr. Florent Thouvenin erläutert die Grenzen, die sich für die Individualisierung von Versicherungsverträgen von Privatversicherungen ergeben, insbesondere aufgrund des Datenschutzrechts. Er kommt dabei zum Schluss, dass der Individualisierung der Versicherungsverträge aufgrund des Versicherungsvertragsrechts sowie aufgrund des Versicherungsaufsichtsrechts kaum Grenzen gesetzt seien und sich allenfalls im Hinblick auf Diskriminierungsverbote gewisse Schranken ergäben. Im Hinblick auf Grundsätze des Datenschutzrechtes – wie Zweckbindung, Verhältnismässigkeit und Erkennbarkeit der Datenerhebung – sei die Individualisierung aber datenschutzrechtlich limitiert, mindestens soweit diese auf der Sammlung grosser Datensätze beruhe (sog. Big Data Analytics). Diese Verletzung könne vor Abschluss des Versicherungsvertrages durch Gesetz gerechtfertigt werden (vgl. Art. 4 Abs. 1 VVG). Eine Rechtfertigung nach Abschluss des Versicherungsvertrages erscheine zwar durch Einwilligung möglich, soweit diese von der betreffenden Person erteilt werde, doch sei eine umfassende Individualisierung ohne diese Einwilligung nicht zu rechtfertigen.
Prof. Dr. Franziska Sprecher und Aline Hofer informieren in ihrem Beitrag ausführlich über das elektronische Patientendossier (EPD) und beleuchten insbesondere seine datenschutzrechtliche Relevanz. Am bestehenden Datenschutz beim EPD kritisieren sie die im EPDV gewählte Opt-out-Formulierung. Um einen besseren Datenschutz der Patienten zu sichern, wird eine Opt-in-Lösung gefordert. Damit soll sichergestellt werden, dass nicht alle Gesundheitsfachkräfte auf alle Dokumente im EPD zugreifen können, wenn der Patient keine manuellen Einstellungen vornimmt. Die Autorinnen machen auch darauf aufmerksam, dass die Datensicherheit im Gesundheitsrecht zu verbessern sei. Das könne durch die rechtliche Festlegung von technischen organisatorischen Minimalstandards erreicht werden, die in der Praxis verpflichtend umgesetzt werden müssen. Solche Standards liessen sich bereits in der EPDV-EDI finden. Die Autorinnen schliessen mit der Perspektive, dass die Etablierung des EPD nur gelingen könne, wenn seine Nutzer – d. h. Patientinnen und Patienten sowie Gesundheitsfachpersonen – von Schutz und Sicherheit der darin verarbeiteten Daten überzeugt seien.
Dr. Nula Frei beleuchtet in ihrem Beitrag die Relevanz der Datenschutzgrundverordnung für die Schweiz. Sie | zeigt auf, dass die DSGVO in der Schweiz zwar keine unmittelbare Geltung hat, jedoch in einer Vielzahl von Konstellationen für zahlreiche schweizerische Unternehmen zu beachten ist. Diese Pflicht zur Beachtung der DSGVO ergebe sich aus dem Marktortprinzip, das der DSGVO zugrunde liegt. Die Autorin schlüsselt präzise auf, in welchen Fällen die DSGVO Anwendung finden könnte, und beschäftigt sich mit der Frage der Durchsetzbarkeit der DSGVO in der Schweiz. Um Rechtsunsicherheit zu vermeiden, empfiehlt die Autorin eine Angleichung des DSG an die DSGVO.
Prof. Dr. Markus Kern und Rechtsanwalt Tobias Egli runden den Band mit einem Überblick über die höchstrichterliche Rechtsprechung im Jahr 2017 im Bereich des Datenschutzes und des Öffentlichkeitsgrundsatzes ab und kommentieren diese. Vertieft wird dabei namentlich auf den Zugang zu amtlichen Dokumenten eingegangen. So wird beispielsweise das Urteil des BGer dargestellt, in dem sich dieses erstmals mit dem Ausschlussgrund der drohenden Beeinträchtigung der Beziehungen zwischen Bund und Kantonen gem. Art. 7 Abs. 1 lit. E BGÖ beschäftigte (vgl. BGer vom 14. Februar 2017, 1C_129/2016). Im Bereich des Einsichts- und Auskunftsrechts wird u. a. das EuGH-Urteil «Nowak» zitiert, das sich mit der Frage beschäftigt, ob Prüfungsantworten Personendaten sind (vgl. EuGH – C – 434/16). Weiter beschäftigt sich der Beitrag mit dem Recht auf Löschung personenbezogener Daten und gibt hier das Urteil des BGer zur FINMA-Watchlist wieder (vgl. BGer vom 22. März 2017, 1C_214/2016). Die Autoren gehen auch auf die aktuelle Rechtsprechung zu Datenqualität und Datensicherheit ein. In diesem Zusammenhang wird u. a. das Urteil «Moneyhouse» dargestellt (vgl. BVGer vom 18. April 2017, A-4232/2015).
Den Herausgeberinnen des Bandes ist es gelungen, die führenden Experten zum Datenschutz im Gesundheits- und Versicherungsrecht für die Mitwirkung an der Tagung und am Tagungsband zu gewinnen. Dementsprechend gehaltvoll nimmt sich auch die Lektüre sämtlicher Beiträge aus. Es fällt auf, dass es die profilierten Autorinnen und Autoren nicht an sachlich fundierter Kritik fehlen lassen, was gerade in einem Gebiet wie dem vorliegenden besonders wichtig ist, weil sich viele Dinge in Bewegung befinden und sich die Missachtung datenschutzrechtlicher Grundsätze gerade auch im Gesundheits- und Versicherungswesen verhängnisvoll auswirken kann. Die Diskussionen rund um den Datenschutz im Gesundheitswesen werden teilweise noch lange dauern. Der hier vorgestellte Tagungsband steuert zu zahlreichen Aspekten wichtige Impulse bei und verdient entsprechende Beachtung in Wissenschaft und Praxis.