Monatsveranstaltung vom 6. Januar 2020

Egal ob wir per Kreditkarte zahlen, an gewinnträchtigen Wettbewerben teilnehmen oder  im Internet surfen – wir hinterlassen Spuren und Daten. Wie dürfen  Behörden, Privatunternehmen oder Forscher mit unseren Daten umgehen? Wer entscheidet über Regeln und Grenzen? Diesem spannenden Thema war unsere starkbesuchte Monatsversammlung vom 6.Januar gewidmet. Klar wurden vor allem zwei Dinge: Datenschutz bedeutet Persönlichkeitsschutz, und entscheidend für die Wirksamkeit ist der politische Wille.

Der Referent des Tages, der baselstädtische Datenschutzbeauftragte Prof.Dr.Beat Rudin äusserte sich nur kurz zur Theorie und operierte danach mit konkreten Fallbeispielen. Datenschutz ist Persönlichkeits- und Grundrechtsschutz und steht im Spannungsfeld zwischen Aufgabenerfüllung einerseits und Persönlichkeitsschutz andrerseits: Staat, Wirtschaft, Forschung haben berechtigte Interessen an Daten, um ihren Auftrag zu erfüllen. Andrerseits bestehen unsere ebenso berechtigten Interesse, dass nicht zuviel gemacht wird mit diesen Daten.

Welches Recht gilt?

Natürlich bestehen neben dem Gesetz des Bundes, das  die Datenbearbeitung durch Bundesorgane und durch Private regelt, 26 kantonale Datenschutzgesetze. Die übliche föderalistische Zersplitterung ist laut Rudin in diesem Fall nicht so schlimm, weil europäische Erlasse sehr viel Grundlegendes regeln: Die Konvention des Europarates zum Datenschutz, die als Weltstandard gelte, und seit 2018 die neue Datenschutzverordnung der EU, die auch auf die Schweiz vielerlei Einfluss hat und in Kalifornien Vorbild war für das dortige strenge neue Datenschutzgesetz. Dazu kommt der Umstand, dass «Verkehrsregeln» zum Datenschutz oft im betreffenden Sachgesetz geregelt sind. Beispiel: Eine Ärztin im Spital und eine mit Privatpraxis erkennen einen Masernfall. Müssen/dürfen sie dies den Gesundheitsbehörden melden? Antwort: Ja, und zwar aufgrund des Epidemien- und nicht des Datenschutzgesetzes. Ähnlich verhält es sich im Bereich der Steuern, der Schule, der Polizei etc:  Die Antworten finden sich meist in den Sachgesetzen.

Konkrete Beispiele

  • Ein berühmtes Beispiel: Darf eine Gemeinde meine Personendaten für Werbezwecke herausgeben? Antwort: Nein, das ist gesetzlich nichts gestattet. Es läuft anders. Aber wie? Rudin: «Vielleicht haben Sie mal an einem Wettbewerb teilgenommen und Ihre Adresse angegeben, damit man Ihnen den Hauptgewinn schicken kann...» Was die Gemeinde hingegen darf: Personendaten liefern für schützenswerte Zwecke wie politische Informationen.
  • darf die Kesb es melden, wenn sie glaubt, dass ein älterer Mensch hilfebedürftig ist?  Ja, z.T. besteht sogar sogar Meldepflicht. Rudin weiss, dass die Kesb für viele Leute ein rotes Tuch bildet, er aber mache gute Erfahrungen mit dieser Behörde.
  • darf die Steuerbehörde bei der Sozialhilfe anfragen, ob ich Sozialleistungen beziehe? Sie darf, nämlich zur Kontrolle, ob ich vorschriftsgemäss alles angegeben habe in der Steuererklärung. Umgekehrt gilt es übrigens auch. «Aber es braucht eine klare gesetzliche Grundlage», betont Rudin;  ein generelles Hin- und Herschieben von Daten gebe es nicht.
  • ein älterer Patient hat sich im Unispital ein neues Hüftgelenk besorgen lassen, später hat er einen Unfall im Bündnerland. Darf das Unispital jetzt sein Röntgenbild ans Spital Ilanz schicken? Ja, mit Einwilligung, eventuell auch mit  mussmasslicher Zustimmung, falls der Patient z.B. bewusstlos ist.
  • darf der Fahrausweisentzug wegen Nichtbefolgen der Kontrolluntersuchung im Kantonsblatt publiziert werden? Nein. Nur im Fall, dass die behördliche Verfügung nicht zustellbar ist.

Das elektronische Patientendossier
Dieses Thema stiess an der Versammlung auf besonderes Interesse und löste eine lebhafte Fragenserie aus. Das elektronische Patientendossier (EPD) muss nun ab 15.April angeboten werden.

Frage:  Sieht meine Krankenkasse dann alles? Rudin: Nein, sie kann darin nichts sehen. Denn wenn ich mich für das EPD angemeldet habe, kann der Arzt nur die für die Weiterbehandlung relevanten Daten in das EPD einbringen. Auf diese Weise kann das Spital Ilanz, um beim vorherigen Beispiel zu bleiben, dort das Röntgenbild der Hüfte aus dem Unispital Basel finden etc. Die Krankenkasse hingegen «ist nirgends», versichert Rudin. Mindestens derzeit. Aber: Gesetze lassen sich ändern. So tauchte etwa die Forderung auf, alles für die Forschung zu öffnen. Das kam nicht durch, solche Daten werden jetzt nur mit  Zustimmung des Patienten freigegeben. «Man soll nicht zu weit gehen», meinte Rudin immer wieder.

Das EPD mache Sinn vor allem für multimorbide Patienten, also Menschen mit mehreren Leiden, und sei sehr hilfreich bei Fällen, wo andere Daten vorhanden sind (z.B. wird klar ersichtlich, welche Medikamente der Patient bereits zu sich nimmt). Man könne auch gewisse Dossiers ausnehmen oder im PD einer höheren Vertraulichkeitsstufe zuweisen. Zum Beispiel die Tatsache, dass ich Psychopharmaka nehme. Nur: Ein Notfallarzt müsste eventuell genau das wissen.  Generell bilanziert Rudin: Das elektronische Patientendossier ist ein Auszug aus der Krankengeschichte, mithin ersetzt es das Dossier bei meinem Hausarzt oder im Spital nicht, sondern es enthält wie gesagt nur die für Weiterbehandlung relevanten Daten. Ich kann jederzeit einsehen, was in meinem EPD steht und kann es auch jederzeit wieder verlassen.

Die Datenschützer müssen sehr dafür besorgt sein, dass das System «so sicher wie möglich ist»  und die Anbieter des Systems  (zB Swisscom oder Post) keinen Zugriff auf die Daten haben.  Nebenbei wies Rudin darauf hin, dass Gesundheitsdaten sehr begehrt sind bei Cyberkriminellen, etwa für Erpressungen.

Politischer Wille entscheidet

«Datenschutzrecht ist Politik», stellte Rudin klar. Sie setzt die Regeln und Grenzen, wer wann Zugang zu unseren Daten hat. Da stossen ungleiche Interessen aufeinander. Und oft ändert die Politik die Spielregeln bald. Besonders sensibel ist die Sicherheit beim E-Voting oder bei der elektronischen ID. Das E-Voting ist vorerst sistiert wegen Sicherheitsproblemen. Denn, so Rudin, «das Instrument unserer Volksabstimmung muss absolut glaubwürdig sein – wenn nicht, haben wir ein grosses staatspolitisches Problem.» Deshalb drehe sich alles immer um die Frage: Wieviele Risiken können wir eingehen?

Das gilt auch für uns selber. Eine Frage aus dem Publikum lautete: Worauf  muss ich beim Sprachassistenten Siri aufpassen? Rudin: Sachen wie Wetter oder Einschalten des TV-Geräts sind natürlich unproblematisch, aber wenn ich anfange von Gesundheitsdaten zu reden, wird es kritisch. «Siri lernt das alles, und am Ende ist er Ihr Doktor...»

Bequemlichkeit contra Privatsphäre

Nicht zuletzt wies Rudin eindringlich darauf hin, «dass Bequemlichkeit und Sicherheit nicht dasselbe sind»! Anders gesagt: je mehr Komfort wir uns durch digitale Hilfsmittel aller erdenklichen Arten beschaffen, desto schlechter für den Schutz der Privatsphäre. «Wer von euch hat Bilder auf iCloud gespeichert?» Etliche Hände heben sich. Anschlussfrage: «Wer von euch hat die AGB von Apple gelesen?» Keine Hand geht hoch.
Kommentar überflüssig…

Martin Matter