Beim Datenschutz ist eine proaktive und natürlich rechtskonforme Datenschutzpolitik für den guten Ruf eines Unternehmens unerlässlich. Die im E-Health tätige Berner Firma Medicosearch ist davon überzeugt.
Das Parlament hat im Herbst 2020 das neue Datenschutzgesetz (revDSG) verabschiedet, welches 1. September 2023 in Kraft treten wird. Es stärkt die Rechte der Privatpersonen und schafft zugleich neue Verpflichtungen für Unternehmen. Medicosearch ist als schweizweit grösste Plattform für die Online-Buchung von Arztterminen direkt von der neuen Gesetzgebung betroffen. Das Unternehmen schützt die sensiblen medizinischen Daten, die bei der Nutzung der Website verarbeitet werden, mit einer sehr ausgefeilten Politik. Rafael Imboden, Mitglied der Geschäftsführung und Datenschutzbeauftragter der Berner Firma, erläutert die Veränderungen, die durch das revDSG eingeführt werden, und wie sich Medicosearch darauf vorbereitet.
Können Sie uns kurz das Geschäftsmodell von Medicosearch beschreiben?
Rafael Imboden: Medicosearch wurde im Jahr 2008 gegründet und ist seitdem die schweizweit grösste Buchungsplattform im Medizinalbereich. Das heisst, Patientinnen und Patienten können auf medicosearch.ch zwischen Tausenden von Gesundheitsfachleuten die oder den passenden auswählen und online einen Termin vereinbaren. Unsere Kunden sind Dienstleister im Medizinalbereich (Ärztinnen, Zahnärzte, Therapeutinnen, Apotheken, Spitäler usw.), die diesen Service der Online-Buchung anbieten wollen. Die Schweiz unterscheidet sich in dieser Hinsicht von anderen europäischen Ländern wie Deutschland oder Spanien, wo die Plattformen vor allem der Kundenakquise dienen. Bei uns sind die Wartezimmer weiterhin voll und es geht in erster Linie darum, die Praxen administrativ zu entlasten, indem unnötige Telefonate vermieden werden und Terminvereinbarungen auch am Abend oder am Wochenende durchgeführt werden können.
In welchem Rahmen verarbeitet Ihr Unternehmen persönliche Daten?
Imboden: Grundsätzlich werden von einer Patientin oder einem Patienten bei der Terminvereinbarung bestimmte Informationen abgefragt. Das können Standarddaten (Name, Adresse usw.) sein, aber auch sensible medizinische Daten. Praxen, Spitäler und Apotheken haben die Möglichkeit, ein Formular bereitzustellen, das im Vorfeld ausgefüllt werden soll. Darin geht es zum Beispiel um die Blutgruppe, die Krankenversicherung, frühere medizinische Untersuchungen und Ähnliches. Das ist also die Hauptsituation, in der wir sensible Daten speichern und an den Gesundheitsdienstleister übermitteln.
Was verändert sich mit dem revDSG?
Imboden: Die Revision in allen Einzelheiten zu verstehen, erfordert Zeit. Aber ganz allgemein kann man sagen, dass sich das neue Gesetz an die technologischen und sozialen Veränderungen unserer Zeit anpasst. Seit dem ersten Gesetz vor knapp 30 Jahren hat sich viel verändert. Das Potenzial für die Nutzung, aber auch für den Missbrauch persönlicher Daten ist erheblich gestiegen. Mit Cloud Computing, den sozialen Netzwerken sowie dem Internet der Dinge ist der Datenschutz nicht immer gewährleistet, jedenfalls nicht optimal. Der zweite wesentliche Grund für die Revision war die Anpassung an die EU-Datenschutzgrundverordnung (DSGVO). Wenn die Schweiz einen weniger guten Datenschutz garantieren würde als die EU, wäre das für die Unternehmen hierzulande ein Wettbewerbsnachteil.
Inwiefern ist das neue Gesetz konkret an unsere Epoche angepasst?
Imboden: Zum Beispiel werden nun auch biometrische und genetische Daten als besonders sensibel eingestuft. Ausserdem muss jede Person informiert werden, wenn Daten von ihr gespeichert werden, während diese Informationspflicht früher nur für sensible Daten galt. Das revDSG führt auch das Konzept "Privacy by Default" ein. Wenn man zum Beispiel eine App auf sein Smartphone lädt, wird beim Download die Standortangabe obligatorisch deaktiviert. Die Kundin oder der Kunde muss bewusst auf "Aktivieren" klicken, damit diese Funktion verfügbar ist. Dank dem neuen Schweizer Gesetz haben die Konsumentinnen und Konsumenten die Gewissheit, dass die Einstellungen den Schutz ihrer Daten so gut wie möglich gewährleisten.
Bedeutet die Revision für Sie eine grosse Veränderung?
Imboden: Da wir uns bereits an die DSGVO angepasst hatten, dürfte für uns nicht mehr viel zu tun sein. Unternehmen, die sich bisher strikt an das alte Schweizer Gesetz gehalten haben, könnten dagegen einiges an Arbeit vor sich haben. Sie müssen beispielsweise vor einem Prozess, bei dem sensible Daten verarbeitet werden, eine strukturierte Risikoanalyse durchführen.
Haben Sie neben diesen präventiven Massnahmen auch einen genauen Plan für den Fall, dass der Datenschutz verletzt wird?
Imboden: Bei einer Verletzung des Datenschutzes müssen der Eidgenössische Datenschutzbeauftragte und die betroffenen Personen transparent informiert werden. Neben der Mitteilung ist auch die Schadensbegrenzung sehr wichtig: Die Sicherheitslücke muss so schnell wie möglich geschlossen werden, um zu verhindern, dass noch mehr Daten gestohlen werden. Wenn es zu einem solchen Szenario kommt, heisst das aber schon, dass wir versagt haben.
Im Allgemeinen wenden wir Sicherheitsmassnahmen an, die über die gesetzlich vorgeschriebenen hinausgehen. Zum Beispiel führen wir 30 Tage nach dem Arzttermin eine vollständige Löschung sämtlicher Daten durch, sodass wir die Menge der potenziell gefährdeten Daten drastisch reduzieren. Ausserdem stellen wir unser System mit "Penetration tests" auf die Probe. Wir bezahlen "wohlwollende" Hacker dafür, dass sie unsere Produkte und IT-Systeme testen, um mögliche Schwachstellen zu finden und uns diese mitzuteilen.
Was würden Sie einem Jungunternehmer raten, der eine Plattform lanciert, auf der personenbezogene Daten verarbeitet werden? Kann er die neue Revision allein und ohne Vorkenntnisse umsetzen?
Imboden: Ein gutes Credo ist, die Daten seiner Kundinnen und Kunden so zu behandeln, als wären es die eigenen. Es ist schwierig, das revDSG umzusetzen, wenn man auf dem Gebiet kein Experte ist. Man braucht Rechtskenntnisse, um den Inhalt der Regelung wirklich zu verstehen, aber auch um zum Beispiel die Datenschutzerklärung für die Website zu formulieren. Wenn man keine Ausbildung im IT-Bereich hat, ist es ausserdem schwer zu beurteilen, wie sicher das eigene Produkt ist. Ich würde mich daher an externe IT-Fachpersonen wenden, die in der Lage sind, vor der Lancierung der Plattform grünes Licht zu geben.