Datenschutz ist immer eine Führungsaufgabe
Datenschutz ist immer eine Führungsaufgabe. Im Jahresbericht 2024 weist die Datenschutzbeauftragte des Kantons Zürich, Dr. iur. Dominika Blonski, auf erhebliche Mängel hin. Auch bei Spitex-Organisationen. In einer Stichprobe wurde die Informationssicherheit bei 17-Spitex-Organisationen mit Leistungsauftrag überprüft. Positiv ist der Befund, dass der Mensch und nicht der Computer im Zentrum steht. Die hohe Personalfluktuation stellen ein Problem bei der Durchsetzung von griffigen Datenschutzmassnahmen dar. Im Gegensatz zu den Alterszentren ist das Personal bei der Spitex unterwegs bei Kundinnen und Kunden. Deshalb sind die Absicherung der mobilen Geräte, regelmässige Updates sowie die konsequente Verwendung einer Zwei-Faktor-Authentifizierung sehr wichtig. Die Praxis sieht allerdings anders aus.
Im September nahm die Spitex-Drehscheibe das Thema «Datenschutz» bereits auf. Damals traten die
neuen Anforderungen an den Datenschutz in Kraft. Im ersten Podcast Spitex-Welten bezeichnete
Lara Rée den Datenschutz als das Praliné der Rechtswissenschaften. Offenbar schmecken die
Süssigkeiten den Mitarbeitenden der Spitex nicht, wie die festgestellten Mängel zeigen.
Warum wurden «nur» Spitex-Organisationen mit Leistungsauftrag überprüft?
Die Datenschutzbeauftragte hat gemäss Gesetz über die Information und den Datenschutz (IDG) die Aufsicht über öffentliche Organe des Kantons Zürich. Lediglich die Spitex-Organisationen mit Leistungsauftrag erfüllen eine öffentliche Aufgabe und gelten damit als öffentliches Organ des Kanton Zürich. Das bedeutet auch: Hat eine Spitex-Organisation nur für einen bestimmten Bereich einen Leistungsauftrag, werden von der Datenschutzbeauftragten ausschliesslich jene Datenbearbeitungen überprüft, die aufgrund des Leistungsauftrags erfolgen. Für die Aufsicht über die anderweitigen Datenbearbeitungen einer solchen Spitex-Organisation ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) zuständig.
Welches Resultat der Kontrollen hat Sie positiv überrascht? Welches negativ?
Es ist mir ein wichtiges Anliegen, dass wir mit den öffentlichen Organen, die wir beaufsichtigen, möglichst nutzbringend und in einem guten Einvernehmen zusammenarbeiten können. So haben auch die Spitex-Organisationen die Kontrollen als Chance wahrgenommen und nicht als notwendiges oder sogar lästiges Übel. Es fand eine konstruktive und kooperative Zusammenarbeit statt. Positiv war insbesondere, dass das Thema Backup überwiegend gut gelöst wurde und die Rollen und Berechtigungen umfassend dokumentiert waren. Wir haben aber auch festgestellt, dass in der Praxis kaum nachvollziehbar ist, wer zu welchem Zeitpunkt auf Patientinnen- und Patienteninformationen zugreift und diese liest. Da in den Spitex-Organisationen aus organisatorischen Gründen (beispielsweise für gegenseitige Vertretungen bei Abwesenheit) meist alle Nutzende Zugriff auf sämtliche Patientinnen- und Patienteninformationen haben, ist das umso wichtiger. Aus datenschutzrechtlicher Perspektive ist nämlich darauf zu achten, dass nur diejenigen Mitarbeitenden Informationen sehen, wenn sie diese für ihre Tätigkeit auch tatsächlich benötigen. Um das sicherzustellen, bräuchte es eine Protokollierung und anschliessende Kontrolle der Lesezugriffe.
Wo liegen die Defizite genau?
Nur wenige Spitex-Organisationen verfügen über ein umfassendes Konzept zur Informationssicherheit und Datenschutz. Darüber hinaus wird der Verwaltung von Mobilen Geräten und der Härtung der IKT-Systeme in vielen Fällen zu wenig Beachtung geschenkt und auf die Verwendung einer Zwei-Faktor-Authentifizierung (2FA) wird oft verzichtet. Ebenso sind öfters die Zugriffe auf besondere Personendaten nicht nachvollziehbar, da unpersönliche Benutzerkonten verwendet wurden.
Zur Verwaltung mobiler Geräte, kann eine Mobile Device Management (MDM) Software eingesetzt werden. Der Einsatz einer MDM-Lösung ermöglicht eine zentrale und somit einheitliche Konfiguration der Geräte, sowie zum Beispiel die Bereitstellung von Standard-Applikationen und Updates. Um die Härtung der IKT-Systeme zu verbessern, können Checklisten und Tools (beispielsweise «CIS-CAT Lite») eingesetzt werden, welche vom «Center für Internet Security» publiziert werden. Mit diesen lassen sich die aktuellen Konfigurationen überprüfen. Des Weiteren sollten unpersönliche Benutzerkonten auf ein Minimum reduziert und die Anmeldung an die Systeme vereinfacht werden. Mit dem Einsatz von Smartcards kann nicht nur dies verbessert, sondern ebenso eine Zwei-Faktor-Authentifizierung implementiert werden. Auf der Website der Datenschutzbeauftragten sind zudem umfangreiche Vorlagen für entsprechende Konzepte verfügbar: https://www.datenschutz.ch/datenschutz-in-oeffentlichen-organen/informationssicherheit.
Für wie sinnvoll halten Sie es, wenn beim Gesuch für eine Spitex-Betriebsbewilligung ein Konzept zur Informationssicherheit und zum Datenschutz eingereicht werden müsste?
Solche Konzepte dienen der Datensicherheit. Ein hoher Datenschutz ist im Interesse aller, gerade auch der Spitex-Organisationen selbst. Denn sichere Daten erhöhen das Vertrauen der Patientinnen und Patienten in die Spitex. Für Organisationen wie die Spitex mit einerseits zahlreichen Mitarbeitenden und andererseits Gesundheitsdaten, die vertraulich behandelt werden müssen, ist die Einhaltung von datenschutzspezifischen Vorgaben besonders wichtig. Eine Konzeptierung schafft hier einen Überblick, welche Richtlinien eingehalten werden müssen und worauf die Mitarbeitenden zu achten haben. Die Festlegung der Anforderungen an eine Spitex-Betriebsbewilligung liegt beim Gesetzgeber. Betriebsbewilligungen verfolgen nach geltendem Recht primär gesundheitspolizeiliche Zwecke.
Dr. iur. Dominika Blonski: Der Einsatz von WhatsApp ist nicht datenschutzkonform!
Welche Massnahmen müssen ergriffen werden, damit sich der Datenschutz bei Spitex-Organisationen verbessert? Wenn sehen Sie in der Verantwortung für welche Massnahme?
Die Verantwortung liegt beim datenbearbeitenden Organ, also bei der jeweiligen Spitex-Organisation. Es ist wichtig, dass sie sich ihrer Verantwortung bewusst ist. Damit die Themen Informationssicherheit und Datenschutz die notwendige Beachtung erhalten, sollte jede Spitex-Organisation die Verantwortlichkeiten und Aufgaben in den erwähnten Bereichen festlegen und entsprechende Rollen schaffen. Zudem ist es zentral, dass klare Vorgaben (beispielsweise Richtlinien und Konzepte) existieren. Vorlagen hierzu können auf der Website der Datenschutzbeauftragten abgerufen werden: https://www.datenschutz.ch/datenschutz-in-oeffentlichen-organen/informationssicherheit.
Wie kann WhatsApp aus der Spitex «verbannt» werden? Oder ist es gar nicht notwendig, WhatsApp aus einer Spitex-Organisation zu verbannen?
Mit geeigneten organisatorischen und technischen Massnahmen kann die Verwendung von WhatsApp verhindert werden. An erster Stelle sollte die Sensibilisierung der Führungskräfte und der Mitarbeitenden stehen. Allen muss klar sein, welche Daten wo gespeichert und wie diese übermittelt werden dürfen.
Im Kontext der Spitex stehen Daten über die Gesundheit einer Person im Vordergrund. Gesundheitsdaten sind besondere Personendaten. Hier besteht eine erhöhte Gefahr der Persönlichkeitsverletzung. Um eine solche zu vermeiden, unterstehen besondere Personendaten einem erhöhten Schutz. Zudem unterliegen Pflege-/Gesundheitsfachpersonen einem strafrechtlich verankerten Berufsgeheimnis und einer Schweigepflicht gemäss kantonalem Gesundheitsgesetz. Das bedeutet, dass sie Informationen, die ihnen aufgrund ihres Berufes anvertraut wurden oder die sie bei ihrer Berufsausübung wahrgenommen haben, grundsätzlich nicht offenbaren dürfen. Der erhöhte Schutzbedarf besonderer Personendaten und das Berufsgeheimnis bzw. die Schweigepflicht umfassen bereits die Information, dass jemand die Leistungen der Pflege-/Gesundheitsfachperson in Anspruch nimmt. Erschwerend kommt deshalb bei der Nutzung von WhatsApp hinzu, dass sämtliche Kontaktdaten des jeweiligen Mobiltelefon-Adressbuches fortlaufend an WhatsApp (und auch an Meta) übermittelt werden – selbst wenn nicht alle diese Kontakte WhatsApp installiert haben. Schliesslich handelt es sich beim Anbieter von WhatsApp um einen US-amerikanischen Kommunikationsdienstleister. Bei der Übermittlung auf diesem Kanal ist es nicht ausgeschlossen, dass US-amerikanische Behörden unter bestimmten Umständen auf diese Informationen zugreifen. Insgesamt ist der Einsatz von WhatsApp somit nicht datenschutzkonform.
Was können Kundinnen und Kunden tun, was Mitarbeitende, damit sie sicher sind, dass «ihre» Spitex-Organisation sich korrekt bezüglich Datenschutz verhält?
Die Datenschutzbeauftrage berät und unterstützt öffentliche Organe, aber auch private Personen zu Fragen des Datenschutzes sowie über ihre Rechte. Auf der Website der Datenschutzbeauftragen sind zudem Merkblätter und Vorlagen zu finden, an welchen sich Spitex-Mitarbeitende orientieren können.
Welche Tipps haben Sie einer Datenschutzbeauftragten, dass den Spitex-Organisationen das «Praliné Datenschutz» schmeckt?
Der Schutz der Privatsphäre ist ein Grundrecht und schützt die persönliche Freiheit und Unversehrtheit jedes Menschen. Datenschutz, wie er etwa im Gesetz über die Information und den Datenschutz (IDG) festgehalten wird, konkretisiert dieses Grundrecht. Und zwar unter anderem dadurch, dass er Grundsätze für die Datenbearbeitung festlegt. Insofern stellt der Datenschutz ein Hilfsmittel für eine intakte Privatsphäre dar und ist somit im Interesse aller. Wenn die Patientinnen und Patienten einer Spitex-Organisationen die Gewissheit haben, dass ihre besonderen Personendaten gut und vertraulich aufgehoben sind, stärkt dies das Vertrauen in die Spitex und ins Gesundheitswesen allgemein.
Dr. iur. Dominika Blonski ist seit Mai 2020 Datenschutzbeauftragte des Kantons Zürichs. Sie absolvierte das Studium der Rechtswissenschaften an der Universität Fribourg und promovierte an der Universität Bern.