Der EDÖB hat ein Merkblatt über die Formulare für die Information und die Einwilligung von Patienten bei Ärzten und Therapeuten veröffentlicht.
Der EDÖB ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte in der Schweiz. Der EDÖB ist die schweizerische Datenschutz-Aufsichtsbehörde unter anderem für private medizinische Leistungserbringer wie insbesondere Ärztinnen und Ärzte.
In seiner Mitteilung zum neuen Merkblatt schreibt der EDÖB, die «Formulare, die den Patientinnen und Patienten bei ärztlichen und therapeutischen Konsultationen ausgehändigt werden», würden «regelmässig Fragen zu Zweck und Inhalt» aufwerfen. Mit dem Merkblatt wolle der EDÖB die «datenschutzrechtlichen Rahmenbedingungen in Erinnerung […] rufen und […] präzisieren.»
Reagiert der EDÖB mit dem Merkblatt auf Kritik?
Das neue Merkblatt kann auch als Reaktion auf Kritik an der bisherigen Haltung des EDÖB zur Einwilligung von Patientinnen verstanden werden.
Der EDÖB hatte in seinem 31. Tätigkeitsbericht 2023/2024 für zulässig erklärt, dass Ärztinnen die Behandlung verweigern dürfen, wenn Patienten ein Einwilligungsformular nicht unterzeichnen oder einzelne Bestimmungen streichen.
Im 32. Tätigkeitsbericht 2024/2025 korrigierte der EDÖB diese Haltung teilweise mit dem Hinweis, die Einwilligung sei grundsätzlich keine Vorbedingungen für eine Behandlung durch Ärzte. Ferner betonte der EDÖB, dass eine Einwilligung freiwillig erteilt werden muss, um rechtsgültig zu sein.
Im neuen Merkblatt stellt der EDÖB klar, dass die «Einwilligung keine Voraussetzung dafür [ist], dass Ärztinnen und Ärzte die Personendaten von Patientinnen und Patienten bearbeiten. Daten, die im Rahmen einer medizinischen Leistung bearbeitet werden, fallen unter den Behandlungsvertrag.»
Was genau sagt der EDÖB über Patientenformulare?
Der EDÖB erwartet ausdrücklich eine «Anpassung der Formulare[,] wo nötig».
Das neue Merkblatt wurde vom EDÖB «aus Sicht der Arzt-Patienten-Beziehung verfasst». Es gilt aber «grösstenteils auch für andere, privat ausgeübte therapeutische Berufe».
Der EDÖB verweist auf die Vorlagen von Dachorganisationen und auf selbst erstellte Formulare für die Information und die Einwilligung von Patientinnen und Patienten.
All diese Formulare werfen, so der EDÖB, «eine Reihe von Fragen hinsichtlich Datenschutz auf». Mit seinem Merkblatt möchte der EDÖB die Leistungserbringer und ihre Dachorganisationen nicht nur sensibilisieren. Der EDÖB erwartet ausdrücklich eine «Anpassung der Formulare[,] wo nötig».
Im Merkblatt unterscheidet der EDÖB zwischen den vier Themen «Informationspflicht», «Einwilligung», «sichere elektronische Datenbekanntgabe» und «Grundsatz der Verhältnismässigkeit».
Was sagt der EDÖB zur Informationspflicht von Ärzten?
Der EDÖB setzt die Informationspflicht in Verbindung mit dem «Transparenzprinzip» und sieht darin eine Konkretisierung des «Grundrechts auf informationelle Selbstbestimmung».
Es sind «zu umfangreiche Informationen oder zu technische Erklärungen […] zu vermeiden», wie der EDÖB betont.
Die Informationspflicht richtet sich nach Art. 19 DSG und dort insbesondere nach den Mindestangaben gemäss Art. 19 Abs. 2 DSG.
Der EDÖB fordert bei der Bekanntgabe von Personendaten an Empfängerinnen und Empfänger im Ausland im Einklang mit dem Wortlaut von Art. 19 Abs. 4 DSG, dass der jeweilige Staat genannt wird. In der datenschutzrechtlichen Praxis allerdings sind generische Angaben bis hin zu «weltweit» üblich.
Im Onlinekommentar zu Art. 19 DSG beschreiben Matthias Glatthaar und Annika Schröder diese Praxis unter anderem wie folgt:
«[Es] müssen auch unter dem DSG nicht einzelne Länder aufgelistet werden, was in der Praxis kaum praktikabel wäre. Die Angabe von Ländergruppen oder Regionen genügt, z.B. ‹EU/EWR› oder ‹Europa›. Auch die Angabe von ‹weltweit› ist zulässig.»
Der EDÖB erlaubt immerhin bei der Nennung der Empfängerinnen gemäss Art. 19 Abs. 2 lit. c DSG die Verwendung von Kategorien und verlangt nicht die Nennung aller einzelnen Empfänger.
Das entspricht der datenschutzrechtlichen Praxis in der Schweiz. Im Onlinekommentar zu Art. 19 DSG schreiben Glatthaar und Schröder in diesem Zusammenhang unter anderem:
«Die Nennung einzelner Empfänger ist […] freiwillig, die Angabe von Kategorien genügt. In der Praxis wird von der Angabe einzelner Empfänger meist abgesehen, da der Grossteil an Unternehmen über recht viele Empfänger (v.a. Auftragsbearbeiter) verfügt und die Pflege einer entsprechenden Liste aufwändig wäre. »
Bei der Form der Information sind die Verantwortlichen frei, doch müssen die einzelnen Informationen «präzis, transparent, verständlich und leicht zugänglich sein, sowohl bezüglich Inhalt als auch Form.»
Das entspricht im Wesentlichen den Vorgaben von Art. 13 DSV. Die angemessene Information bleibt aber eine Gratwanderung, denn «zu umfangreiche Informationen oder zu technische Erklärungen sind zu vermeiden», wie der EDÖB betont.
In jedem Fall soll die Information «aktiv» erfolgen:
«[Bei] der Beschaffung der Daten muss [der Verantwortliche] dafür sorgen, dass die betroffene Person die Informationen nicht erst suchen oder verlangen muss, sondern sofort darauf zugreifen kann. Mit anderen Worten: Die Ärztin oder der Arzt muss sicherstellen, dass die Patientin oder der Patient die Informationen in angemessener Art und Weise zur Kenntnis nehmen kann; jedoch muss sie oder er nicht dafür sorgen, dass die Patientin oder der Patient dies auch tatsächlich tut.»
«Aktiv» ist allerdings ein grosses Wort. Für die Erfüllung der Informationspflicht allein kann die Veröffentlichung auf der Website einer Arztpraxis genügen, sofern die Datenschutzerklärung direkt sichtbar verlinkt ist, insbesondere im Footer jeder einzelnen Webseite der Website.
Schliesslich empfiehlt der EDÖB, auf eine ausdrückliche Bestätigung der Kenntnisnahme der Datenschutzerklärung bzw. Information zu verzichten (mit Hervorhebung):
«Hier gilt zu betonen, dass es sich im Gegensatz zur Einwilligung[…] ‹nur› um eine Information handelt, und die explizite Kenntnisnahme keine Gültigkeitsvoraussetzung ist. Ob die Ärztin oder der Arzt die Informationspflicht einhält, hängt also nicht von der Patientenunterschrift ab. Die Patientin oder der Patient ist nicht dazu verpflichtet, die Kenntnisnahme zu bestätigen. Um keine unnötigen Probleme zu schaffen ist es folglich besser, keine Unterschrift zu verlangen.»
Der EDÖB erwähnt nicht, dass mit einer solchen Kenntnisnahme eine Datenschutzerklärung den vertraglichen Charakter von Allgemeinen Geschäftsbedingungen (AGB) annehmen kann. Eine solche Kenntnisnahme gilt datenschutzrechtlich deshalb häufig als Kunstfehler.
Was sagt der EDÖB zur Einwilligung durch Patienten?
«Gemäss DSG ist die Einwilligung keine Voraussetzung dafür, dass Ärztinnen und Ärzte die Personendaten von Patientinnen und Patienten bearbeiten.»
Der EDÖB hält im Einklang mit seinem 32. Tätigkeitsbericht 2024/2025 fest, dass «die Einwilligung keine Voraussetzung dafür [ist], dass Ärztinnen und Ärzte die Personendaten von Patientinnen und Patienten bearbeiten.»
Der EDÖB begründet diese Feststellung wie folgt:
«Daten, die im Rahmen einer medizinischen Leistung bearbeitet werden, fallen unter den Behandlungsvertrag. Darüber hinaus sind Gesundheitsfachpersonen gesetzlich zu bestimmten Datenbearbeitungen verpflichtet, insbesondere durch die kantonalen Gesundheitsgesetze […].»
Allerdings:
«In der Praxis ist die Frage der Einwilligung besonders dann wichtig, wenn es um die Datenbekanntgabe geht (Art. 30 Abs. 2 Bst. c DSG), beispielsweise bei der Übermittlung von Daten an eine Kollegin oder einen Kollegen, ein Abrechnungsunternehmen usw. Zu beachten gilt ausserdem, dass einige Bekanntgaben direkt auf dem Gesetz beruhen und es keine Einwilligung der Patientinnen und Patienten braucht (Beispiel: Art. 12 des Epidemiengesetzes […]).»
Für den Fall, dass eine Einwilligung tatsächlich erforderlich ist, «müssen die Patientinnen und Patienten diese vor oder gleichzeitig mit dem Beginn der entsprechenden Behandlung erteilen.»
Eine allfällige Einwilligung muss, so der EDÖB, «aufgeklärt», «spezifisch» und «frei» erfolgen. Das erinnert an die gesetzlichen Vorgaben von Art. 6 Abs. 6 u. 7 DSG («nach angemessener Information», «ausdrücklich» und «freiwillig»).
Der EDÖB fordert, dass auch über die «möglichen Risiken» und die «Konsequenzen einer Nichteinwilligung» informiert werden muss.
Bei der «Aufklärung» fordert der EDÖB in Abweichung von Art. 19 DSG, dass auch über die «möglichen Risiken» und die «Konsequenzen einer Nichteinwilligung» informiert werden muss.
Bei der «Spezifität» sind gemäss dem EDÖB «generalklauselartige Einwilligungserklärungen oder Blanko-Einwilligungen […] ausgeschlossen», denn «[die] Patientin oder der Patient muss sich konkret vorstellen können, was die Einwilligung bedeutet.»
Ferner hält der EDÖB «[zu] vage formulierte Klauseln für eine pauschale und vorgängige Bekanntgabe des Patientendossiers oder bestimmter Elemente davon an Dritte (andere Ärzte oder Therapeutinnen, Apotheken, Labors usw.) ohne Bezug zu einer bestimmten Datenbearbeitung» für ungültig.
Als Beispiel nennt der EDÖB unter anderem das Inkasso: «[Unzulässig] ist eine vorgängige Einwilligung von Patientinnen und Patienten in die Weitergabe eines allfälligen Inkassoverfahrens an ein Drittunternehmen.»
Bei Rechnungen, die durch Dritte ausgestellt werden, wie es bei Ärzten üblich ist, fordert der EDÖB eine anspruchsvolle Differenzierung auf Grundlage der Vorstellungskraft der Patienten (mit Hervorhebung):
«Hingegen ist es grundsätzlich denkbar vorzusehen, dass die Rechnungen von einem Drittunternehmen ausgestellt werden, sofern die Patientin oder der Patient darüber informiert wird, welche Daten dem Dritten übermittelt werden (und die Bekanntgabe dem Grundsatz der Verhältnismässigkeit entspricht […]). Hier ist jedoch Vorsicht geboten. Bei einer unerwarteten und ernsten Diagnose zum Beispiel, die auch die Daten für die Rechnungsstellung betrifft, ist fraglich, ob die ursprüngliche Einwilligung ausreicht. Generell ist davon auszugehen, dass eine Einwilligung für ‹routinemässige› Rechnungsstellungen Gültigkeit hat: Die Einwilligung basiert auf dem, was sich die Patientin oder der Patient zum Zeitpunkt der Einwilligung vorstellen kann.»
Für die Digitalisierung und die Nutzung Künstlicher Intelligenz ist folgender Hinweis des EDÖB massgeblich zur Verwendung von Patientendaten durch «Partnerunternehmen für die Entwicklung ihrer digitalen Lösungen» wichtig:
«[Eine] Klausel, die festlegt, dass Patientendaten von Partnerunternehmen für die Entwicklung ihrer digitalen Lösungen verwendet werden dürfen, [ist] zu abstrakt, und daher ungültig. Die Bearbeitungszwecke sowie die Empfängerinnen und Empfänger sind nicht ausreichend bestimmt und die Patientinnen und Patienten können nicht klar nachvollziehen, worum es geht – zumal die Datenbearbeitung von vornherein keine Verbindung zur medizinischen Behandlung hat.»
Schliesslich erklärt der EDÖB, wie schon bei früheren Gelegenheiten, die gängige Praxis, «eine ganze Reihe abstrakter und hypothetischer Bekanntgaben vorzusehen», für unzulässig. In der Praxis dient das Auskunftsrecht gemäss Art. 25 DSG der Information über die tatsächliche Bearbeitung und Bekanntgabe von Personendaten im jeweiligen Einzelfall.
Bei der «Freiheit» betont der EDÖB, dass die (potenziellen) Patientinnen «ihren Willen frei äussern können» müssen.
Einmal mehr muss man sich allerdings fragen, wie freiwillig die Einwilligung von Patienten tatsächlich sein kann:
«[Die betroffene Person] muss eine echte Wahl haben und in der Lage sein, ihre Einwilligung zu verweigern oder zu widerrufen, ohne unverhältnismässige Nachteile zu erleiden. Hat die Person eigentlich keine andere Wahl, als einzuwilligen, so ist ihre Einwilligung nicht frei.»
Wenn ein Arzt auf der Einwilligung besteht, muss eine (potenzielle) Patientin in vielen Fällen normalerweise die Einwilligung erteilen. So kann es schwierig bis unmöglich zu sein, einen anderen Arzt zu finden, sofern ein Patient überhaupt frei den Arzt wählen kann.
Allgemein für die Einwilligung hält der EDÖB schliesslich fest, dass ein Verantwortlicher «den Patientinnen und Patienten einfache Möglichkeiten zur Ausübung ihres Widerrufsrechts bieten [muss].» Normalerweise wird sich eine betroffene Person über einen bestehenden Kommunikationskanal an den Arzt wenden müssen.
Was sagt der EDÖB zur sicheren elektronischen Datenbekanntgabe?
Problematisch ist allerdings normalerweise nicht die Kommunikation, sondern deren Bezeichnung in Formularen als «ungesichert».
Der EDÖB hält die Einwilligung in die «ungesicherte elektronische Datenbekanntgabe» für potenziell «problematisch».
Immerhin schliesst der EDÖB nicht aus, dass eine Patientin in einen «ungesicherten administrativen Austausch» einwilligt, nachdem sie vorgängig «über die entsprechenden Risiken der Datenbekanntgabe informiert wurde und ihr freiwillig zugestimmt hat.»
Problematisch ist allerdings normalerweise nicht die Kommunikation, sondern deren Bezeichnung in Formularen als «ungesichert».
So wäre es falsch, herkömmliche E-Mail als «ungesichert» zu bezeichnen. Die Kommunikation zwischen E-Mail-Diensten erfolgt verschlüsselt und die E-Mail-Dienste sind in verschiedener Hinsicht zur Geheimhaltung verpflichtet. Es handelt sich allerdings nicht um Ende-zu-Ende-Verschlüsselung und die Pflicht zur Geheimhaltung gilt – wie immer – nicht absolut.
Interessanterweise fordert der EDÖB keine Ende-zu-Ende-Verschlüsselung, auch wenn Verschlüsselung als Beispiel für eine «sichere Datenbekanntgabe» erwähnt wird:
«Im Zusammenhang mit der Gesundheit kann bereits das blosse Bestehen einer Beziehung zu einer Therapeutin oder einem Therapeuten Rückschlüsse auf den Gesundheitszustand einer Person zulassen; dies gilt insbesondere für die Kommunikation mit Fachärztinnen und Fachärzten (ein Termin bei einer Onkologin zum Beispiel lässt vermuten, dass diese aufgrund einer potenziellen onkologischen Erkrankung konsultiert wird). Folglich ist auch der rein administrative Austausch (z. B. Terminvereinbarungen) als besonders schützenswert einzustufen und erfordert daher eine sichere Datenbekanntgabe (z. B. verschlüsselt).»
Bei dieser Erwähnung ist zu beachten, dass bei E-Mail mit Ende-zu-Ende-Verschlüsselung nicht verschlüsselt wird, wer die Absender und Empfänger einer einzelnen E-Mail sind. Es wird auch der Betreff nicht verschlüsselt, sondern lediglich der eigentliche E-Mail-Inhalt.
Was sagt der EDÖB zum Grundsatz der Verhältnismässigkeit?
«[Der] Verantwortliche [muss] Datenbearbeitung auf das beschränken, was für den Zweck der Bearbeitung unbedingt erforderlich ist [.]»
Der EDÖB versteht den Grundsatz der Verhältnismässigkeit als absolute Datensparsamkeit: «[Der] Verantwortliche [muss] Datenbearbeitung auf das beschränken, was für den Zweck der Bearbeitung unbedingt erforderlich ist [.]»
Das schweizerische Datenschutzrecht kennt die Grundsätze der Erforderlichkeit und Verhältnismässigkeit gemäss Art. 6 DSG mit Blick auf den Zweck, den ein Verantwortlicher verfolgt. Es besteht aber kein absolutes Erfordernis der Datensparsamkeit.
Im Einzelnen:
« In der Arzt-Patienten-Beziehung ist der Zweck grundsätzlich die therapeutische Behandlung. Der erwähnte Grundsatz bezieht sich sowohl auf die Verwendung als auch auf die Beschaffung der Daten. Mit anderen Worten: nicht mehr Daten als nötig beschaffen und sie nicht mehr als nötig verwenden. Im Gesundheitsbereich enthalten die von Ärztinnen und Therapeuten abgegebenen Fragebögen manchmal Felder, die diese Grenze überschreiten. Diese Formulare sollten bereinigt werden, sodass sie nur die für die therapeutische Beziehung notwendigen Daten enthalten.»
Und:
«Beispielsweise ist die systematische Beschaffung von Daten wie Mädchenname, Zivilstand, Staatsangehörigkeit, Geschäftstelefon, Beruf und Name des Arbeitgebers grundsätzlich nicht notwendig. Das heisst jedoch nicht, dass die Beschaffung solcher Daten in allen Fällen ausgeschlossen ist: Könnte der Beruf eines Patienten für die Konsultation relevant sein, weil er mit seinem Gesundheitszustand in Zusammenhang steht (z. B. wenn der Patient über Rückenschmerzen klagt), kann er erfragt werden. Problematisch ist die systematische Beschaffung solcher Daten.»
Schliesslich sollten Ärztinnen und Ärzte wissen, wieso sie welche Personendaten über welche Patientinnen und Patienten bearbeiten sowie den «Zusammenhang mit der therapeutischen Beziehung erklären können». Das ist tatsächlich der datenschutzrechtliche Idealfall.
Fazit: EDÖB sieht Anpassungsbedarf für viele Formulare von Ärzten und Therapeuten
Die meisten Ärztinnen und Therapeuten, die das neue EDÖB-Merkblatt beim Wort nehmen, werden ihre Formulare für die Information und die Einwilligung ihrer Patientinnen und Patienten anpassen müssen. Das Gleiche gilt für Dachorganisationen und ihre Vorlagen.
Allerdings ist es nicht zwingend, dem EDÖB und seinem Merkblatt in jeder Hinsicht zu folgen. Massgeblich ist nicht die geäusserte Meinung des EDÖB, sondern es gelten das anwendbare Recht, insbesondere das Datenschutzgesetz (DSG), und die entsprechende Rechtsprechung.
Gleichzeitig wurden viele Formulare im Hinblick auf das neue DSG, das am 1. September 2023 in Kraft trat, unter Zeitdruck erstellt. Insofern kann das neue EDÖB-Merkblatt eine Gelegenheit für die betroffenen Verantwortlichen sein, die eigenen Formulare oder Vorlagen zu prüfen. Was der EDÖB in seinem Merkblatt schreibt, kann dabei kritisch gewürdigt werden.
Bilder: Google / Gemini.