To­tal­re­vi­si­on des Ge­sund­heits­ge­set­zes

Mit der Totalrevision sollen neu auch Berufe mit geringem Gefährdungspotenzial (wie Podologinnen und Podologen oder medizinische Masseurinnen sowie Masseure) einer Bewilligungspflicht unterstellt werden. Im Rahmen des Bewilligungsverfahrens werden neben Personendaten zu fachlichen Anforderungen auch besondere Personendaten über die Vertrauenswürdigkeit wie solche aus dem Strafregisterauszug bearbeitet. Die Datenschutzbeauftragte gab Hinweise zur sicheren Datenbearbeitung, indem beispielsweise Rollen innerhalb der Gesundheitsdirektion so zugewiesen werden, dass nur diejenigen Mitarbeitenden Einsicht in die Personendaten der Gesuchstellenden erhalten, die für die Prüfung und Erteilung der Bewilligung zuständig sind.

Die Datenschutzbeauftragte berichtete im Tätigkeitsbericht 2023 über die neue digitale Plattform für das Bewilligungsverfahren, welche die Gesundheitsdirektion einführt. Bei der Vorabkontrolle der Applikation hat die Datenschutzbeauftragte festgestellt, dass viele Schnittstellen zu Registerplattformen des Bundes bestehen, beispielsweise zum Medizinalberuferegister. Mutationen müssen sowohl in der kantonalen Datenbank und in den Bundesregistern über die Plattform synchronisiert werden. Dazu sind Datenübermittlungen zwischen der Gesundheitsdirektion und dem Bundesamt für Gesundheit notwendig. Die Datenschutzbeauftragte hat Massnahmen wie Verschlüsselungsvorkehrungen vorgeschlagen, die die Risiken bei Datenflüssen zwischen der Applikation und den Bundesregistern minimieren sollen.

Das revidierte Gesundheitsgesetz sieht zudem eine Grundlage für Fernbehandlungen wie Telemedizin über die Landesgrenzen hinweg vor. Es hält des Weiteren fest, dass Patientendokumentationen zukünftig elektronisch zu führen sind. Die Datenschutzbeauftragte zeigte auf, welche Voraussetzungen für die dafür eingesetzte Software (Klinikinformationssystem, KIS) gelten. Das KIS muss beispielsweise so programmiert werden, dass auch die unterschiedlichen Aufbewahrungs-, Archivierungs- und Vernichtungsfristen gemäss Patientinnen- und Patientengesetz eingehalten werden. Weiter muss der Zugriff auf das KIS über zweifach authentifizierte Passwörter erfolgen.

Ausserdem soll mit dem totalrevidierten Gesundheitsgesetz der Weg für standardisierte Datenplattformen innerhalb der Gesundheitsdirektion und ihren Ämtern geebnet werden. Auf diese Plattformen sollen auch der Bezirksrat und die für die Organisation des Notfalldienstes zuständigen Stellen Zugriff erhalten. In erster Linie soll ein Datenbearbeitungs- und Informationssystem aufgebaut werden, das zur Erfüllung öffentlicher Aufgaben im Bereich der Bewilligungs-, Aufsichts- und Sanktionstätigkeit genutzt werden kann. Die Datenschutzbeauftragte hielt dabei fest, dass die Gesundheitsdirektion eine detaillierte interne Übersicht schaffen muss, welche Aufgaben die einzelnen Ämter und Stellen haben, welche Datenbearbeitungen für diese notwendig sind und entsprechend für welche Schritte ihrer Aufgabenerfüllung sie auf den Zugriff auf die Plattformen angewiesen sind. So wird sichergestellt, dass nur zulässige Datenzugriffe erfolgen. Auch können mit gemeinsamen Datenplattformen Doppelspurigkeiten behoben werden.

Schliesslich sieht das Gesetz neu Mitteilungspflichten von Verwaltungsbehörden und Gerichten – insbesondere Strafgerichten – an die Gesundheitsdirektion und umgekehrt vor. Gegenstand der Mitteilungspflicht sind vor allem Angaben im Zusammenhang mit Disziplinar- und Bewilligungsentzugsverfahren der Gesundheitsdirektion gegen Bewilligungsträger wie Ärztinnen und Ärzte. Mitteilungspflichten mit strafprozessrechtlichem Hintergrund schränken die informationelle Selbstbestimmung der betroffenen Person stark ein, weshalb die Datenschutzbeauftragte hierzu festhielt, dass öffentliche Interessen für eine Mitteilungspflicht vorliegen müssen.