Datenschutz in der Psychotherapie

Marianne Roth

à jour! Psychotherapie-Berufsentwicklung 9 (18) 2023 12–13

https://doi.org/10.30820/2504-5199-2023-2-12

Am 1. September 2023 ist in der Schweiz das neue Datenschutzgesetz (DSG) in Kraft getreten, das zum Ziel hat, Personen in ihren Grundrechten in Bezug auf die Bearbeitung ihrer Daten stärker zu schützen. Auch wenn bereits ein Datenschutzgesetz in Kraft war, das es zu beachten galt, sind einige der Vorgaben verschärft worden. In unserem Fall betrifft dies Auflagen, die den Schutz von Patientinnen- und Patientendaten in allen Gesundheitsbereichen vor Missbrauch beinhalten.

In erster Linie stärkt das DSG die Selbstbestimmung über die eigenen Daten betroffener Patientinnen und Patienten und verpflichtet verantwortliche Psychotherapeut*innen zu mehr Transparenz in Bezug auf die Bearbeitung ihrer Daten. Das neue Gesetz trägt der fortschreitenden Digitalisierung Rechnung, mit der immer mehr Daten elektronisch erfasst werden, was den Missbrauch von Daten auch externer Akteure begünstigt.

Die relevanten Unterlagen haben wir unseren Mitgliedern zur Verfügung gestellt. Diese sind zudem im geschützten Mitgliederbereich auf unserer Website abrufbar. Für Psychotherapiepraktizierende gilt es, künftig folgende Anpassungen zu berücksichtigen:

Datenschutzerklärung

Patient*innen und Klient*innen müssen transparent über Datenbearbeitungen informiert werden, die ihre Person betreffen. Dies gilt sowohl für die Bearbeitung von Daten in der Psychotherapiepraxis, aber auch für die Weiterleitung von Daten an Dritte.

Bestehende Datenschutzerklärungen auf der Website sollten in jedem Fall in Bezug auf die neuen Bestimmungen überprüft werden. Falls noch keine Datenschutzerklärung vorhanden ist, ist es ratsam, eine solche zu erstellen. Für Praxen, die über keine Website verfügen, ist das Patientenformular mit der Einwilligungserklärung ihrer Patientinnen und Patienten auszufüllen und unterschreiben zu lassen, damit der Datenschutz gewährleistet ist.

Patientenformular/Einwilligungserklärung

Beim ersten Termin muss die Patientin oder der Patient mittels Unterschrift auf einer Einwilligungserklärung (Patientenformular) bestätigen, dass sie resp. er mit dem Zugriff sowie die allfällige Weiterleitung an Dritte einverstanden ist. Auf der Folgeseite des bei uns vorhandenen Patientenformulars geben die Patienteninformationen detailliert Auskunft über den Sinn und Verwendungszweck der Einwilligungserklärung.

Geheimhaltungsvereinbarung

Psychotherapeutinnen und Psychotherapeuten und deren Hilfspersonen unterliegen dem Berufsgeheimnis gemäss Art. 321 StGB. Mit Hilfspersonen sind alle Personen gemeint, die den Psychotherapeuten oder die Psychotherapeutin direkt oder indirekt unterstützen. Sofern Dritte mit der Datenbearbeitung in irgendeiner Form beauftragt werden, muss mit ihnen eine Geheimhaltungsvereinbarung abgeschlossen werden.

Auskunfts- und Herausgabegesuche

Gemäss DSG und kantonalen Gesundheitsgesetzen haben alle urteilsfähigen Patientinnen und Patienten das Recht, die Herausgabe einer Kopie ihrer Krankengeschichte zu verlangen. Urteilsfähig ist, wer in der Lage ist, vernunftsgemäss zu handeln. Angaben über Drittpersonen in der Krankengeschichte, die deren Interesse verletzen könnten, müssen in der Kopie so eingeschwärzt werden, dass die Einschwärzung nicht rückgängig gemacht werden kann. Es genügt demnach nicht, die entsprechenden Stellen in einem PDF-Formular einzuschwärzen.

Die Psychotherapeutin oder der Psychotherapeut darf Dritten Auskunft geben, sofern die Einwilligung der Patientin oder des Patienten vorliegt, ein Gesetz dies vorsieht oder eine kantonale Behörde die Geheimnisentbindung bewilligt hat. In beiden Fällen muss gewährleistet werden, dass die Vertraulichkeit der Daten bestehen bleibt.

Verzeichnis der Bearbeitungstätigkeiten

Werden von Psychotherapeutinnen und Psychotherapeuten «besonders schützenswerte Personendaten in grossem Umfang» bearbeitet, sind sie verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten zu führen. Wir empfehlen unseren Mitgliedern, ein solches Verzeichnis zu führen und die im Gesetz detailliert aufgeführten Angaben einzutragen.

Aufbewahrung und Archivierung

Die Aufbewahrung von Personendaten für Psychotherapeut*innen sind auf Bundesebene auf zehn Jahre festgelegt. Geschäftsdaten sind solange aufzubewahren, wie es gesetzliche Aufbewahrungsfristen vorsehen. Es ist jedoch zu überprüfen, ob dazu weitere kantonale Gesetzesvorgaben berücksichtig werden müssen.

Während der Aufbewahrungsfrist sind der Datenschutz und die Datensicherheit zu gewährleisten. Das bedeutet, Krankengeschichten müssen in angemessener Art und Weise aufbewahrt werden und Unbefugte dürfen keinen Zugriff darauf haben. Der Aufbewahrungszweck dient der möglichen Nachvollziehbarkeit einer therapeutischen Behandlung.

Bei der Aufgabe oder Übergabe einer Geschäftstätigkeit gilt es zu beachten, mit wem der Behandlungsvertrag abgeschlossen wurde. Wurde er mit einer Gemeinschaftspraxis (AG, GmbH, Verein usw.) abgeschlossen, verbleibt die Aufbewahrungspflicht bei der Gemeinschaftspraxis. Wurde er hingegen mit einer Psychotherapeutin oder einem Psychotherapeuten direkt abgeschlossen, liegt die Aufbewahrungspflicht bei der entsprechenden Psychotherapeutin resp. dem entsprechenden Psychotherapeuten.

Bei der Übergabe der Praxis an eine Nachfolgerin oder einen Nachfolger muss für die Übergabe der Krankengeschichte(n) die Einwilligung der betroffenen Patientinnen oder Patienten eingeholt werden.

Recht auf Löschung der betroffenen Person

Psychotherapeutinnen und Psychotherapeuten sind verpflichtet, Daten während mindestens zehn Jahren sicher aufzubewahren.

Stellt eine Patientin oder ein Patient Antrag auf Löschung ihrer oder seiner Daten, muss ihr oder ihm unter Angabe der Gründe mitgeteilt werden, ob die Löschung stattgefunden hat resp. stattfinden kann. Hierzu ist es ratsam, die Bestimmungen im zuständigen kantonalen Gesundheitsgesetz zu überprüfen und bei Löschungsbegehren grundsätzlich zurückhaltend zu sein.

Vorgehen bei Datenschutzverletzungen

Gemäss dem Datenschutzgesetz liegen Verletzungen der Datensicherheit vor, wenn Personendaten unbeabsichtigt oder widerrechtlich verloren gehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden. Dies kann der Fall sein bei Verlust eines Datenträgers (Laptop, iPod, Smartphone, CD, USB-Stick etc.) oder bei Zerstörung von Daten durch ein Naturereignis wie Überschwemmung, Feuer etc. oder durch Phishing-Angriffe, Einbrüche, Diebstahl von Gesundheitsdaten (Cyberangriff), eine technische Störung etc.

Meldepflicht

Eine Meldepflicht besteht, wenn die Verletzung der Datensicherheit ein grosses Risiko für die betroffene Person birgt und Grundrechte resp. die Persönlichkeit betroffener Personen voraussichtlich gefährdet werden. In diesem Fall ist die Verletzung der Datensicherheit dem Eidgenössischen Daten- und Öffentlichkeitbeauftragten (EDÖB)1 zu melden

Es empfiehlt sich, präventiv eine Checkliste zu erstellen, welche die relevanten Punkte einer möglichen Verletzung der Datensicherheit beinhaltet und wichtige Prozessschritte der Meldepflicht bereits enthält.

Quellen: FMH, Ärztekasse

Marianne Roth ist Geschäftsführerin der ASP.