Wie die Spitex ihre Daten schützt und sichert

Wie die Spitex das Datenschutzgesetz umsetzt

Am 1. September 2023 ist das neue nationale Datenschutzgesetz in Kraft getreten. In Graubünden sorgt die Spitex mit der Software SIDAS für Konformität mit dem Gesetz.

KATHRIN MORF. Welche Neuerungen das revidierte Bundesgesetz über den Datenschutz (DSG) und die zugehörige Verordnung über Datenschutzzertifizierungen (VDSZ) mit sich bringen, hat das «Spitex Magazin» ausführlich berichtet (vgl. Ausgabe 4/2022). In Kürze sind für die Spitex zum Beispiel die folgenden Punkte relevant: 

• Spitex-Organisationen erheben besonders schützenswerte Gesundheitsdaten. Darum müssen sie eine datenschutzverantwortliche Person bestimmen. Diese muss Risikoanalysen und Folgeabschätzungen in Bezug auf alle Datenbearbeitungen durchführen – und die Erfüllung aller weiteren Vorgaben des DSG sicherstellen. 
• Hat ein Unternehmen über 250 Mitarbeitende oder bearbeitet besonders schützenswerte Personendaten in grossem Umfang, muss es ein detailliertes Verzeichnis sämtlicher Datenbearbeitungen führen.
• Die Informationspflicht wurde ausgebaut: Bei der planmässigen Beschaffung von Klientendaten muss die Spitex zum Beispiel die Pflichtangaben an die Betroffenen übermitteln, wer die Datenschutzverantwortliche ist und für welche Bearbeitungszwecke die Daten gesammelt werden.
• Betroffene Personen haben neu ein Recht auf die meist kostenlose Datenherausgabe und Datenübertragung «in einem gängigen elektronischen Format» an sich selbst oder bezeichnete Dritte. 
•  Neu sieht das DSG strafrechtliche Sanktionen in Form einer Busse von bis zu 250 000 Franken vor.

Spitex Schweiz empfiehlt den Spitex-Organisationen, ein Datenschutzkonzept zu erstellen und allenfalls Massnahmen zu ergreifen, um dem DSG zu entsprechen. Der Dachverband stellt seinen Mitgliedern für diesen Prozess verschiedene Unterlagen zur Verfügung  ^[1].

Was eine Expertin zu den hohen Bussen sagt
«Laut DSG werden weder Unternehmen noch die Mit­arbeitenden im Feld mit Bussen bestraft, sondern Personen mit Entscheidungsverantwortung wie eine datenschutzverantwortliche oder leitende Person», erläutert Prof. Dr. Franziska Sprecher, Professorin für Staats- und Verwaltungsrecht mit besonderer Berücksichtigung des Gesundheitsrechts an der Universität Bern. «Lassen diese Personen in Bezug auf die Daten ihrer Spitex-Organisation eine grundsätzliche Sorgfalt im Sinne des DSG walten, müssen sie aber keine Angst vor einer Busse haben und schon gar nicht vor der maximalen Busse in der Höhe von 250 000 Franken. Denn laut DSG drohen Bussen nur bei einer vorsätzlichen und nicht bei einer fahrlässigen Gesetzesverletzung», beruhigt sie. Begehe eine Mitarbeiterin beispielsweise trotz ausreichender Schulung aus Versehen eine Datenschutzverletzung, sei dies für die datenschutzverantwortliche Person strafrechtlich nicht relevant. «Nicht unterschätzen darf die Spitex aber den Reputationsschaden, den eine Datenschutzverletzung mit sich bringen kann», ergänzt die Datenschutzexpertin.

Manche Juristen sind nun aber der Meinung, dass Spitex-Organisationen mit Leistungsauftrag immer dem kantonalen Datenschutzgesetz statt dem DSG unterstellt sind. Dies ist insofern relevant, als viele Kantone ihren
Datenschutz noch nicht an das DSG angepasst haben. Spitex-Organisationen, welche unter das kantonale Gesetz fallen, hätten folglich ihr Datenschutzmanagement noch nicht anpassen müssen. Andere Juristen sagen hingegen, dass eine Spitex-Organisation mit Leistungsauftrag dem DSG entsprechen muss, sobald sie Leistungen ausserhalb dieses Leistungsauftrages erbringt – zum Beispiel hauswirtschaftliche Leistungen, welche von den Klientinnen und Klienten bezahlt werden. Umstritten ist hier wiederum die Frage, ob dann das gesamte Angebot oder nur die Leistungen ausserhalb des Leistungsvertrags dem DSG entsprechen müssen. «Dieses Thema ist unter Juristen umstritten», bestätigt Franziska Sprecher. «Sicher unter das kantonale Gesetz fallen Spitex-Organisationen, welche ausschliesslich Leistungen im Rahmen eines kommunalen oder kantonalen Leistungsauftrags erbringen. Allen anderen Organisationen würde ich
raten, sich auf die sichere Seite zu schlagen und sich in Bezug auf ihr gesamtes Angebot an die neuen strengeren Bedingungen des DSG anzupassen.» Komme es zu einem Streitfall nach einer Datenschutzverletzung, wisse die Spitex-Organisation schliesslich nicht, wie die involvierten Juristen die Frage nach dem geltenden Gesetz beantworten. Auch Spitex Schweiz hält fest ^[2]: Bietet eine Spitex-Organisation auch Leistungen an, die nicht  im Leistungsvertrag festgehalten sind, dann «ist aus Gründen der Praktikabilität zu empfehlen, die gesamte Tätigkeit der Spitex-Organisation datenschutzmässig an jenem Recht zu orientieren, welches die höheren Anforderungen stellt.» Laut Franziska Sprecher müssen alle Kantone ihr Datenschutzgesetz nun dem DSG anpassen – und dürfen dabei zwar strengere Vorgaben als das DSG einführen, aber keine milderen. «Keine Spitex-Organisation darf also auf ein kantonales Gesetz hoffen, das weniger streng ist als das DSG», sagt sie.

Auch den Spitex-Kantonalverbänden rät Franziska Sprecher, sich den neuen Datenschutzbestimmungen anzupassen. «Die Verbände bearbeiten vielleicht keine Klientendaten, aber Arbeitnehmerdaten sind auch heikel», gibt sie zu bedenken – und sagt abschliessend: «Das DSG sollte bei jedem Spitex-Betrieb dazu führen, dass er seine Prozesse rund um den Datenschutz genau betrachtet und allenfalls optimiert. Dies nicht aus Angst vor Bussen, sondern weil es sinnvoll ist. Und Organisationen, die das noch nicht getan haben und dem DSG entsprechen müssten, sollten dies besser unverzüglich nachholen.»

In Graubünden wird mit SIDAS gearbeitet
Die Spitex-Organisationen des Kantons Graubünden haben sich zum Beispiel externe Hilfe geholt, um dem neuen DSG zu entsprechen: bei der Sirius Consult AG (www.siriusag.com). Das Unternehmen begleitet seine Kunden bei der Erfüllung von Datenschutz- und Datensicherheitsanforderungen und hat hierfür die «Sirius Datenschutzmanagement Software» (SIDAS) entwickelt. Genauer führt SIDAS die datenschutzverantwortliche Person einer Spitex-Organisation durch alle Aufgaben in Bezug auf das Datenschutzgesetz und automatisiert dabei wann immer möglich Analyse- und Dokumentationsprozesse. «SIDAS ist das geeignete Werkzeug, um die Grundsätze aus einem statischen Datenschutzkonzept umzusetzen und im laufenden Betrieb zu prüfen», erklärt Rebekka Grassmayr, Mitbegründerin und Mit­inhaberin von Sirius. Die Einführung von SIDAS erfolge schnell, weil Sirius alle offenen Fragen rund um die Datenverarbeitungen von Spitex-Organisationen geklärt hat – und weil das Unternehmen in Graubünden Spitex-Templates (auf Deutsch: Vorlagen) für SIDAS entwickelt hat.

Erst kooperierte der Bündner Spital- und Heimverband (BSH) mit Sirius. «In einem Pilotprojekt führte der BSH die Software SIDAS unteren anderem im Gesundheitszentrum Unterengadin ein. Dabei wurde ein Template für Spitex-Organisationen entwickelt, die einem Gesundheitszentrum angehören», berichtet Monika Schnoz, Co-Geschäftsführerin des Spitex Verbands Graubünden. Ebendieser Verband profitierte von der Vorarbeit des BSH und entwickelte in einem nachgelagerten Pilotprojekt das SIDAS-Template so weiter, dass es auch für Spitex-Organisationen anwendbar ist, die keinem Gesundheitszentrum angehören. Heute arbeiten 17 Bündner Spitex-Organisationen mit SIDAS. Nur eine italienischsprachige Organisation tut dies nicht, weil das System erst in Deutsch verfügbar ist. «SIDAS ist vielleicht nicht die günstigste Lösung ^[3]. Aber die Kosten sind vertretbar für ein Konzept, das die Datenschutzkonformität der Spitex-Organisationen sicherstellt und sie damit stark entlastet», sagt Monika Schnoz.

Das Template für unabhängige Spitex-Organisationen wurde mithilfe der Spitex Region Landquart entwickelt, die 88 Mitarbeitende zählt. «Durch SIDAS sind wir seit 2021 sicher, dass wir konform mit dem neuen Datenschutzgesetz sind. Als Datenschutzverantwortlicher habe ich zudem dank SIDAS einen guten Überblick über all meine Aufgaben. Das System hilft mir, mich in einem komplexen und nicht prioritären Thema im Spitex-Alltag mit dem mindestnötigen Aufwand zurechtzufinden», sagt Geschäftsleiter Michael Widrig. Weiter könne er erforderliche Verzeichnisse und Dokumente schnell und einfach erstellen, etwa das Informationsblatt für die Klientinnen und Klienten. Entlastend sei SIDAS auch, weil Sirius die Software laufend an neue Anforderungen rund um den Datenschutz anpasst. «Zudem kann ich meinen Mitarbeitenden an SIDAS
zentral aufzeigen, welche Daten wir verarbeiten und welche Datenschutzpflichten wir erfüllen müssen.»

Michael Widrig hält das Thema Datenschutz für wichtig, betrachtet die neuen Vorgaben aber auch kritisch. «Es werden immer mehr bürokratische Anforderungen an die Spitex gestellt, die sowieso schon mit knappen Ressourcen und vielen Herausforderungen rund um die Pflege und Betreuung konfrontiert ist», kritisiert er. Der Geschäftsleiter ist indes überzeugt, dass die Anforderungen rund ums Thema Daten weiter steigen. «Spitex-Organisationen werden deswegen in Zukunft vermehrt Fachpersonen für Daten, Digitalisierung und Datenschutz in den eigenen Reihen benötigen», ist er überzeugt. «Und ich hoffe sehr, dass die Politik sich auch überlegt, wer diese Fachpersonen angemessen
finanziert.» 

^[1] Unterlagen wie eine Checkliste und eine Datenschutzkonzept-
Vorlage sind im Extranet von Spitex Schweiz zu finden. Auch gibt
es dort nützliche Hinweise, z.B. dass alle Spitex-Betriebe mit
einer Website dort eine Datenschutzerklärung einbinden müssen.

^[2] Vgl. Dokument «Revision des Datenschutzgesetzes: Wichtigste Neuerungen» im Extranet von Spitex Schweiz.

^[3] Laut Sirius belaufen sich die Kosten für SIDAS für eine Spitex-
Organisation initial auf 7135 Franken und jährlich auf 787 Franken (www.siriusag.com/spitex.html)

Wie sich die Spitex gegen Cyberkriminelle rüsten kann

Cyberkriminalität ist in aller Munde. Wie sich Spitex-Organisationen dagegen wappnen können, erklärt
Pascal Lamia, Leiter Operative Cybersicherheit im Nationalen Zentrum für Cybersicherheit (NCSC).

Spitex Magazin: Laut dem Nationalen Zentrum für Cybersicherheit (NCSC) schrecken Cyberkriminelle nicht mehr davor zurück, die Computer-
systeme von Gesundheitseinrichtungen wie Spitälern lahmzulegen und oft hohe Summen für eine Freigabe zu verlangen. Wie hoch ist das
Risiko von Cyberangriffen für die Spitex? 

Pascal Lamia: Cyberkriminelle haben es auf alle anfälligen Systeme abgesehen, unabhängig von der Branche. Ihr Ziel ist es, mit dem geringsten Aufwand so viel Geld wie möglich zu verdienen. Daher greifen sie alle Systeme an, die nicht ausreichend geschützt sind. Von Gesundheitsorganisationen verwaltete Daten sind von Natur aus sensibel. Und da diese Organisationen offen über Datendiebstähle berichten, hat man den Eindruck, dass das Gesundheitswesen häufiger Opfer von Cyberangriffen wird als andere Bereiche. Das Risiko, Opfer eines
Cyberangriffs zu werden, ist für Spitex-Organisationen indes genauso hoch wie für die übrigen Schweizer Unternehmen. Eine hundertprozentige Sicherheit kann nicht garantiert werden. Wird das Thema Cybersicherheit aber auf Managementebene behandelt und werden die grundlegenden Schutzmassnahmen beachtet, wird das Risiko eines Cyberangriffs erheblich gemindert.

Würden Sie den Spitex-Organisationen eine Cyberversicherung empfehlen?
Dieser Entscheid obliegt dem Unternehmen. Eine solche Versicherung kann helfen, finanzielle Schäden teilweise zu kompensieren. Allerdings verlangen auch die Versicherer, dass die grundlegenden Schutzmassnahmen angewendet werden. In jedem Fall sollte man in erster Linie darauf achten, die Systeme auf dem neuesten Stand zu halten. Denn die meisten erfolgreichen Cyberangriffe nutzen bekannte Schwachstellen aus, für die es Patches [Software-Aktualisierungen; Anmerkung der Redaktion] gibt.

Welche Massnahmen würden Sie jeder Spitex zur Prävention von Cyberkriminalität empfehlen?
Der erste Schritt zum Schutz vor Cyberangriffen besteht darin, sich der Bedrohung bewusst zu werden. Die Geschäftsleitung muss sich der Cyber-Risiken bewusst sein, die wichtigsten organisatorischen und technischen Massnahmen umsetzen und das notwendige Geld dafür bereitstellen. Auf technischer Ebene gehören zu den grundlegenden Schutzmassnahmen beispielsweise die Sicherung der Daten auf einem sicheren Datenträger, die regelmässige Durchführung der erforderlichen Updates sowie die Installation von Firewalls und Antiviren-Programmen. Darüber hinaus sollten organisatorische Massnahmen ergriffen werden, damit das Unternehmen im Falle eines Cyberangriffs seine Tätigkeit schnellstmöglich wieder aufnehmen kann. Dazu gehören die Einrichtung des Business Continuity Managements, des Krisenmanagements und der Krisenkommunikationsstrategie. Auch das richtige Verhalten der Mitarbeitenden ist ein Schlüsselelement, das die Cybersicherheit erheblich verbessern kann. Aus diesem Grund ist es von entscheidender Bedeutung, die Mitarbeitenden zu sensibilisieren und zu schulen, um eine Sicherheitskultur im Unternehmen zu entwickeln. Alle Mitarbeitenden einer Spitex-Organisation müssen sich bewusst sein, dass sie im Bereich der Cybersicherheit eine wichtige Rolle spielen. 

Das Nationale Zentrum for Cybersicherheit (NCSC) veröffentlicht auf seiner Website www.ncsc.admin.ch zahlreiche Anleitungen und Checklisten zum Schutz vor Cyberrisiken. Und die nationale Sensibilisierungskampagne S-U-P-E-R.ch, die gemeinsam von der Schweizerischen Kriminalprävention und dem NCSC durchgeführt wird, definiert fünf Hauptregeln, die es im Bereich der Internetsicherheit zu beachten gilt:

• SICHERN: Sichern Sie Ihre Daten regelmässig auf mindestens zwei Datenträgern.
• UPDATEN: Aktualisieren Sie regelmässig IhrBetriebssystem, Ihre Programme und Apps.
• PRÜFEN: Prüfen Sie, ob Ihr Gerät vor Malwaregeschützt ist (Antivirusprogramm, Firewall).
• EINLOGGEN: Melden Sie sich nur mit starken Passwörtern an und verwenden Sie immer ein anderes.
• REDUZIEREN: Verringern Sie das Risiko von Betrügereien im Cyberspace, indem Sie eine gesunde Vorsicht walten lassen. Schützen Sie auch Ihre Privatsphäre und Ihre Daten, wenn Sie im Internet surfen. Überlegen Sie, bevor Sie eine Nachricht öffnen und auf einen Link klicken.

Wie sollte eine Spitex-Organisation im Falle eines Hackerangriffs vorgehen? 
Cyberkriminelle sind sehr innovativ und produzieren immer wieder neue Angriffsszenarien und -instrumente. Das NCSC berichtet auf seiner Website jede Woche über neue Methoden. Versuchen die Kriminellen, sich über den menschlichen Faktor Zugang zu einem System zu verschaffen, greifen sie oft auf aktuelle Themen zurück oder wenden psychologische Tricks an, um ihre Angriffe zu tarnen und in die Systeme von Unternehmen einzudringen. Bei Phishing-E-Mails – also E-Mails, die angeblich von offiziellen Organisationen stammen – empfehlen wir zum Beispiel, sie zu ignorieren und sofort zu löschen. Haben die Cyberkriminellen ihr Ziel erreicht und sind in Besitz der Daten gelangt, fordern sie Lösegeld. Generell empfiehlt das NCSC den Unternehmen, nicht zu bezahlen, um zu verhindern, dass die Unternehmen die Infrastruktur der Cyberkriminellen mitfinanzieren und sie zu weiteren Angriffen ermutigen. Wir raten den Unternehmen, im Falle eines Cyberangriffs schnellstmöglich externe Unterstützung anzufordern und Anzeige zu erstatten.

Interview: Flora Guéry