Inter­pel­la­ti­on Graf-Lit­scher (16.3462): Die Sicher­heit der elek­tro­ni­schen Pati­en­ten­da­ten gewähr­lei­sten
Im Rat noch nicht behan­delt

Eingereichter Text

Der Bun­des­rat wird gebe­ten, fol­gen­de Fra­gen zu beant­wor­ten:

1. Sind die gemäss dem Bun­des­ge­setz über das elek­tro­ni­sche Pati­en­ten­dos­sier (EPDG) im elek­tro­ni­schen Pati­en­ten­dos­sier abge­spei­cher­ten Pati­en­ten­da­ten vor einem miss­bräuch­li­chen Zugriff sicher, sodass ein zwei­ter “Fall Wal­lis” ver­hin­dert wer­den kann?

2. Sind Pati­en­ten­da­ten in elek­tro­nisch geführ­ten Kran­ken­ge­schich­ten bei ambu­lan­ten und sta­tio­nä­ren Lei­stungs­er­brin­gern vor miss­bräuch­li­chen Zugrif­fen aus­rei­chend geschützt, dass Hacker­an­grif­fe in Zukunft kei­nen Erfolg haben?

3. Braucht es zusätz­li­che Rechts­grund­la­gen für die Sicher­heit der Daten auf natio­na­ler oder kan­to­na­ler Ebe­ne für elek­tro­ni­sche Pati­en­ten­dos­siers und elek­tro­ni­sche Kran­ken­ge­schich­ten?

4. Kann der Bund gemäss EPDG natio­na­le Hacker­an­grif­fe simu­lie­ren? Oder fällt die Durch­füh­rung von Hacker­an­grif­fen in die Kom­pe­tenz der Kan­to­ne und braucht es dazu eine expli­zi­te Rechts­grund­la­ge?

Begründung

Die obli­ga­to­ri­sche Ein­füh­rung des elek­tro­ni­schen Pati­en­ten­dos­siers für den sta­tio­nä­ren Sek­tor rückt näher. Das EPDG und die ent­spre­chen­den Ver­ord­nun­gen sol­len im 1. Quar­tal 2017 in Kraft tre­ten. Im Vor­feld der Ein­füh­rung sind fol­gen­de Pro­ble­me auf­ge­tre­ten:

1. Der Kan­ton Wal­lis hat das elek­tro­ni­sche Pati­en­ten­dos­sier nicht wie geplant, im Sep­tem­ber 2015 ein­ge­führt. Dies auf­grund von Sicher­heits­be­den­ken des kan­to­na­len Daten­schüt­zers. Es wur­den schwer­wie­gen­de Sicher­heits­pro­ble­me in der Ver­schlüs­se­lung der Web­sei­ten fest­ge­stellt.

2. Cyber-Kri­mi­nel­le grif­fen Arzt­pra­xen an. Die Hacker ver­schlüs­seln elek­tro­ni­sche Pati­en­ten­da­ten, um die­se unbrauch­bar zu machen. Gegen Geld ent­schlüs­seln die Hacker die Pati­en­ten­da­ten wie­der.

Den gröss­ten Nut­zen wird das elek­tro­ni­sche Pati­en­ten­dos­sier dann ent­fal­ten, wenn Gesund­heits­fach­per­so­nen und Pati­en­ten die­ses benut­zen, die Dos­siers mit behand­lungs­re­le­van­ten Daten gefüllt wer­den. Wesent­li­che Vor­aus­set­zung hier­für ist das Ver­trau­en der Betei­lig­ten ins System. Gemäss einer Umfra­ge des “Tages-Anzei­gers” vom 28. Mai 2016 sind mehr als 90 Pro­zent der Teil­neh­mer der Auf­fas­sung, dass ihre Pati­en­ten­da­ten von ihrem Arzt nicht genü­gend geschützt wer­den. Der elek­tro­ni­sche Aus­tausch von Pati­en­ten­da­ten wird nur ein Erfolg, wenn sowohl Gesund­heits­fach­per­so­nen als auch Pati­en­ten respek­ti­ve die Bevöl­ke­rung über­zeugt sind, dass die­ser Aus­tausch so sicher wie mög­lich abläuft. Die Zeit bis zum Inkraft­tre­ten des EPD soll­te genutzt wer­den, um Sicher­heits­be­den­ken aus­zu­räu­men.

Stellungnahme des Bundesrats vom 31. August 2016

Die Pati­en­ten­da­ten in den von ambu­lan­ten und sta­tio­nä­ren Lei­stungs­er­brin­gern elek­tro­nisch geführ­ten Kran­ken­ge­schich­ten (soge­nann­te “Pri­mär­sy­ste­me” der Spi­tä­ler und Arzt­pra­xen) sind bezüg­lich Daten­schutz von den­je­ni­gen im elek­tro­ni­schen Pati­en­ten­dos­sier (soge­nann­tes “Sekun­där­sy­stem”) zu unter­schei­den. Erste­re unter­lie­gen den Bestim­mun­gen des Bun­des­ge­set­zes vom 19. Juni 1992 über den Daten­schutz (DSG; SR 235.1) oder bei Ein­rich­tun­gen mit öffent­li­chem Lei­stungs­auf­trag den jewei­li­gen kan­to­na­len Daten­schutz­ge­set­zen (vgl. Ant­wort 3). Das Bun­des­ge­setz vom 19. Juni 2015 über das elek­tro­ni­sche Pati­en­ten­dos­sier (EPDG; SR 816.11) regelt die Vor­aus­set­zun­gen für die Bear­bei­tung der Daten des elek­tro­ni­schen Pati­en­ten­dos­siers, wel­che über eine sepa­ra­te tech­ni­sche Infra­struk­tur erfolgt. Ergän­zend hat der Eid­ge­nös­si­sche Daten­schutz- und Öffent­lich­keits­be­auf­trag­te (EDÖB) Leit­fä­den ver­öf­fent­licht: Bei­spiels­wei­se den Leit­fa­den für die Bear­bei­tung von Per­so­nen­da­ten im medi­zi­ni­schen Bereich (Juli 2002) und den Leit­fa­den zu den tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men des Daten­schut­zes (August 2015), wel­che sich auf das DSG und die ent­spre­chen­de Ver­ord­nung bezie­hen.

1. Miss­bräuch­li­che Zugrif­fe auf elek­tro­ni­sche Daten­ver­ar­bei­tungs­sy­ste­me kön­nen nie mit hun­dert­pro­zen­ti­ger Sicher­heit aus­ge­schlos­sen wer­den. Dies gilt auch für die Daten des elek­tro­ni­schen Pati­en­ten­dos­siers. Die Ent­wür­fe der Aus­füh­rungs­be­stim­mun­gen zum EPDG, zu denen das Eid­ge­nös­si­sche Depar­te­ment des Innern (EDI) vom 22. März 2016 bis zum 29. Juni 2016 die Anhö­rung (ver­füg­bar unter www.admin.ch > Bun­des­recht > Ver­nehm­las­sun­gen > Abge­schlos­se­ne Ver­nehm­las­sun­gen und Anhö­run­gen > 2016 > EDI) durch­ge­führt hat, ent­hal­ten tech­ni­sche und orga­ni­sa­to­ri­sche Vor­ga­ben (auf Art. 12 Abs. 1 Bst. b EPDG basie­ren­de Zer­ti­fi­zie­rungs­vor­aus­set­zun­gen), um die pri­mä­ren Schutz­zie­le (Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Authen­ti­zi­tät der Daten) zu errei­chen. Die Vor­ga­ben for­dern von den zu zer­ti­fi­zie­ren­den Gemein­schaf­ten und Stamm­ge­mein­schaf­ten ins­be­son­de­re Mass­nah­men zur Prä­ven­ti­on und zur Detek­ti­on von und zur Reak­ti­on auf Sicher­heits­er­eig­nis­se. Dar­un­ter sind Mass­nah­men wie bei­spiels­wei­se die regel­mä­ssi­ge Über­prü­fung von Sicher­heits­schwach­stel­len oder Mass­nah­men zur Erken­nung von Angrif­fen zu ver­ste­hen. Auch die im “Fall Wal­lis” erkann­ten Risi­ken und Bedro­hun­gen wur­den berück­sich­tigt. Die Umset­zung und Ein­hal­tung der Zer­ti­fi­zie­rungs­vor­aus­set­zun­gen durch die Gemein­schaf­ten und Stamm­ge­mein­schaf­ten sowie auch durch die Her­aus­ge­ber von Iden­ti­fi­ka­ti­ons­mit­teln wird durch akkre­di­tier­te Zer­ti­fi­zie­rungs­stel­len über­prüft wer­den. Zusätz­lich wird “eHe­alth Suis­se”, das Koor­di­na­ti­ons­or­gan von Bund und Kan­to­nen, Emp­feh­lun­gen für die EPDG-kon­for­me Umset­zung von Daten­schutz und Daten­si­cher­heit zu Hän­den der betrof­fe­nen Akteu­re erar­bei­ten.

2./3. Elek­tro­ni­sche Kran­ken­ge­schich­ten (Pri­mär­sy­ste­me), unter­lie­gen den ein­schlä­gi­gen eid­ge­nös­si­schen oder kan­to­na­len daten­schutz­recht­li­chen Bestim­mun­gen. Gemäss aktu­el­lem Kennt­nis­stand des Bun­des­ra­tes ent­spricht das all­ge­mei­ne Sicher­heits­ni­veau im Gesund­heits­we­sen lei­der noch nicht dem­je­ni­gen ande­rer Bran­chen (z. B. Finan­zen, Ver­si­che­run­gen, Ver­wal­tung). Der Bun­des­rat sieht hier Hand­lungs­be­darf.

Für das elek­tro­ni­sche Pati­en­ten­dos­sier (Sekun­där­sy­stem), wer­den die Vor­ga­ben zu Daten­schutz und Daten­si­cher­heit auf natio­na­ler Ebe­ne in den Bestim­mun­gen des EPDG und im noch zu erlas­sen­den Aus­füh­rungs­recht gere­gelt (vgl. Ant­wort 1). Die Ein­hal­tung die­ser und ande­rer Vor­ga­ben wird in Zukunft regel­mä­ssig über die obli­ga­to­ri­sche Zer­ti­fi­zie­rung der Akteu­re (Gemein­schaf­ten, Stamm­ge­mein­schaf­ten, Her­aus­ge­ber von Iden­ti­fi­ka­ti­ons­mit­teln) über­prüft wer­den (vgl. Ant­wort 1). Wei­ter­hin gel­ten, soweit anwend­bar, die Bestim­mun­gen des DSG. Am 15. Mai 2013 hat der Bun­des­rat zudem den Umset­zungs­plan für die “Natio­na­le Stra­te­gie zum Schutz der Schweiz vor Cyber-Risi­ken (NCS)” ver­ab­schie­det. Es wur­de geprüft, ob anwend­ba­res Recht die nöti­gen Grund­la­gen für den Schutz gegen Cyber-Risi­ken ent­hält (Mass­nah­me 16 des NCS). Die Mass­nah­me wur­de 2014 abge­schlos­sen und ergab kei­nen Bedarf nach koor­di­nie­ren­den Rege­lun­gen. Der Bun­des­rat erach­tet zusätz­li­che Rechts­grund­la­gen als der­zeit nicht not­wen­dig.

Zu erwäh­nen ist, dass der Bun­des­rat am 1. April 2015 das Eid­ge­nös­si­sche Justiz- und Poli­zei­de­par­te­ment (EJPD) beauf­tragt hat, ihm bis Ende August 2016 einen Vor­ent­wurf für eine Revi­si­on des DSG zu unter­brei­ten; mit dem Ziel, die Hoheit von Per­so­nen über ihre Daten all­ge­mein zu stär­ken sowie die Trans­pa­renz der Bear­bei­tung per­so­nen­be­zo­ge­ner Daten zu erhö­hen.

4. Das EPDG ent­hält kei­ne Grund­la­ge für Akti­vi­tä­ten des Bun­des zur Über­prü­fung von Daten­schutz und Daten­si­cher­heit direkt bei den Akteu­ren und Syste­men des elek­tro­ni­schen Pati­en­ten­dos­siers. Im Rah­men des Zer­ti­fi­zie­rungs­ver­fah­rens (vgl. Ant­wort 1) kann die Zer­ti­fi­zie­rungs­stel­le soge­nann­te Pene­tra­ti­ons­tests zur akti­ven Schwach­stel­len­su­che zur Anwen­dung brin­gen. Ausser­halb die­ser Ver­fah­ren besteht für den Bund kei­ne Mög­lich­keit, der­ar­ti­ge Akti­vi­tä­ten durch­zu­füh­ren. Davon unbe­nom­men kommt für die zivil­recht­lich kon­sti­tu­ier­ten Gemein­schaf­ten und Stamm­ge­mein­schaf­ten das DSG zur Anwen­dung. Der EDÖB als zustän­di­ge Auf­sichts­be­hör­de besitzt im Rah­men des Gel­tungs­be­rei­ches des DSG die Kom­pe­tenz, Abklä­run­gen durch­zu­füh­ren und Emp­feh­lun­gen aus­zu­spre­chen. Wei­ter­ge­hen­de Ent­scheid­kom­pe­ten­zen für den EDÖB sind in der DSG-Revi­si­on vor­ge­se­hen. Kan­to­na­le Daten­schutz­ge­set­ze kom­men für die Daten­be­ar­bei­tung im elek­tro­ni­schen Pati­en­ten­dos­sier folg­lich nicht zur Anwen­dung und den kan­to­na­len Daten­schutz­auf­sicht­be­hör­den obliegt hier kei­ne Auf­sichts­kom­pe­tenz.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.