Patientendaten und das revDSG: was jede Praxis 2026 wissen sollte

Seit September 2023 regelt das revDSG (das revidierte Datenschutzgesetz) die Bearbeitung von Personendaten in der Schweiz strenger. Für eine Praxis gehören Gesundheitsdaten zu den sensibelsten überhaupt, und die Verantwortung der behandelnden Person ist real. Dieser Leitfaden geht ohne Jargon durch, was das revDSG konkret von Ihrer Praxis erwartet, was Sie bei einem Datenleck riskieren, und die richtigen Fragen an Ihre Anbieter.

1. Verantwortliche Stelle oder Auftragsbearbeiter: die entscheidende Unterscheidung

Das ist der wichtigste und am häufigsten missverstandene Punkt.

• Die Praxis ist die verantwortliche Stelle. Sie entscheidet, warum und wie die Daten ihrer Patienten bearbeitet werden. Die rechtliche Verantwortung liegt bei ihr.
• Der technische Anbieter ist ein Auftragsbearbeiter. Der Hoster, der Softwareanbieter oder der Website-Ersteller handeln im Auftrag der Praxis, nach ihren Anweisungen.

Die Konsequenz ist klar: Bei einem Problem ist es die Praxis, die gegenüber dem Patienten und der Behörde einsteht, selbst wenn die technische Ursache bei einem Anbieter liegt. Daher ist es wichtig, diesen Anbieter mit einem klaren Vertrag einzurahmen (oft Auftragsbearbeitungsvertrag genannt): wo die Daten sind, wie sie gesichert werden, und was am Ende des Vertrags mit ihnen geschieht.

2. Welche Daten bearbeiten Sie eigentlich?

Man denkt an «Krankenakte», aber der Umfang ist grösser. Hier die wichtigsten Kategorien, die eine Praxis handhabt.

Datenart	Beispiele	Sensibilität
Identitätsdaten	Name, Adresse, Geburtsdatum, Telefon	Persönlich
Kontakt und Termine	E-Mail, Zeitfenster, Besuchsverlauf	Persönlich
Gesundheitsdaten	Diagnosen, Behandlungen, Notizen, Dokumente	Sensibel (verstärkter Schutz)
Administrative Daten	Versicherung, Abrechnung	Persönlich bis sensibel

Gesundheitsdaten geniessen nach revDSG einen verstärkten Schutz. Aber selbst ein einfacher Terminkalender, der verrät, dass eine bestimmte Person einen bestimmten Spezialisten aufsucht, ist bereits eine ernsthaft zu schützende Information.

3. Wo müssen die Daten gehostet werden?

Das revDSG verbietet das Hosting im Ausland nicht grundsätzlich, verlangt aber ein angemessenes Schutzniveau und Transparenz. In der Praxis ist für Gesundheitsdaten das Hosting in der Schweiz (oder andernfalls in der Europäischen Union mit echten Garantien) die sicherste und am einfachsten zu vertretende Wahl.

Echte Vorsicht heisst, Lösungen zu meiden, bei denen die Daten bei einem Akteur landen, der aussereuropäischen Datenzugriffsgesetzen unterliegt. Für eine Praxis ist die Aussage «die Daten meiner Patienten verlassen die Schweiz nicht» kein Marketingspruch: Es ist eine solide Position, falls Fragen aufkommen.

4. Die ärztliche Schweigepflicht kommt zum revDSG hinzu

Der Datenschutz ist nicht der einzige Rahmen. Auch die ärztliche Schweigepflicht (Art. 321 des Strafgesetzbuchs) gilt. Jede Person, die diese Daten im Auftrag der Praxis bearbeitet, einschliesslich eines technischen Anbieters, wird zu einer der Schweigepflicht unterstehenden Hilfsperson. Das muss schwarz auf weiss im Vertrag mit dem Anbieter stehen. Ein seriöser Auftragsbearbeiter akzeptiert das ohne Weiteres.

5. Was eine Praxis konkret riskiert

Bei einem Datenleck (ein gestohlener Laptop, Ransomware, eine Fehlkonfiguration, eine an den falschen Empfänger gesendete E-Mail) hat die Praxis Pflichten. Über die mögliche Sanktion hinaus liegt das eigentliche Risiko anderswo: das Vertrauen der Patienten und die Verletzung der ärztlichen Schweigepflicht. Ein Leck von Gesundheitsdaten lässt sich nicht «reparieren» wie eine gesperrte Bankkarte. Was offengelegt ist, bleibt offengelegt.

Was tun, wenn ein Leck auftritt? Die richtigen Reflexe, der Reihe nach:

• Eindämmen: Zugang sperren, Passwörter ändern, isolieren, was sich isolieren lässt.
• Beurteilen: welche Daten, wie viele Personen, welches Risiko für sie.
• Benachrichtigen, wenn nötig: je nach Schwere den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) sowie die betroffenen Personen informieren.
• Dokumentieren: festhalten, was geschehen ist und welche Massnahmen ergriffen wurden.

Diese Schritte in Ruhe vorwegzunehmen, vor jedem Vorfall, macht den ganzen Unterschied an dem Tag, an dem es passiert.

6. Die richtigen Fragen an Ihren Anbieter

Sie müssen weder Jurist noch Informatiker sein. Es genügt, die richtigen Fragen zu stellen und darauf zu achten, ob die Antworten klar sind:

• Wo werden die Daten meiner Patienten gehostet (Land und Region)?
• Wer hat Zugriff darauf, und wie wird dieser Zugriff protokolliert?
• Gibt es automatische Backups, und werden sie regelmässig getestet?
• Ist die Verbindung zu meinem Verwaltungsbereich durch eine doppelte Sicherheit geschützt?
• Was geschieht mit meinen Daten, wenn ich den Vertrag beende (Rückgabe, Löschung)?
• Ist die ärztliche Schweigepflicht (Art. 321 StGB) im Vertrag vorgesehen?

Ein Anbieter, der diese sechs Fragen klar beantwortet, schützt Sie. Ein Anbieter, der ausweicht oder die Antwort im Jargon ertränkt, sollte Sie aufhorchen lassen.

Häufige Fragen

Gilt das revDSG auch für eine kleine Praxis?

Ja. Die Grösse der Praxis ändert nichts am Grundsatz: Sobald Sie Patientendaten bearbeiten, sind Sie für deren Schutz verantwortlich. Die erwarteten Massnahmen sind verhältnismässig, aber die Pflicht besteht.

Bin ich verantwortlich, auch wenn mein Anbieter den Fehler gemacht hat?

Gegenüber dem Patienten und der Behörde ist es die Praxis, die als verantwortliche Stelle einsteht. Daher ist es wichtig, seriöse Anbieter zu wählen und sie vertraglich einzurahmen. Untereinander kann der Vertrag die Verantwortlichkeiten jedes Beteiligten regeln.

Dürfen meine Daten im Ausland gehostet werden?

Es ist nicht verboten, sofern ein angemessenes Schutzniveau und Transparenz bestehen. Aber für Gesundheitsdaten bleibt das Hosting in der Schweiz die am einfachsten zu vertretende Wahl und die beruhigendste für Ihre Patienten.

Muss man die Daten verschlüsseln?

Die Verschlüsselung (während der Übertragung und im Ruhezustand) gehört zu den erwarteten technischen Massnahmen für sensible Daten. Fragen Sie Ihren Anbieter, wie er die Daten schützt, ohne jedes technische Detail beherrschen zu müssen.

Was bedeutet «ein Verzeichnis der Bearbeitungen führen»?

Es bedeutet zu dokumentieren, welche Daten Sie bearbeiten, warum, wo sie sind und wer darauf zugreift. Für eine Praxis kann das kurz und konkret bleiben, und es ist ein ausgezeichnetes Mittel, um die eigene Organisation klar zu sehen.

Das Wichtigste zum Schluss

Das revDSG ist keine Falle, es ist ein Rahmen. Die Praxis, die es ernst nimmt, schützt ihre Patienten und sich selbst. Wenn Sie nur eines behalten: Sie bleiben für die Daten Ihrer Patienten verantwortlich, auch wenn Sie die Technik delegieren. Wählen Sie also Anbieter, die die obigen Fragen klar und ohne Umschweife beantworten können.

Quellen

• Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) · Aufsichtsbehörde für das revDSG.
• Bundesgesetz über den Datenschutz (revDSG, SR 235.1) · offizieller Text, in Kraft seit dem 1. September 2023 (Fedlex).
• Schweizerisches Strafgesetzbuch, Art. 321 (Berufsgeheimnis) · Fedlex.