Datenschutz-Merkblatt SRK Kanton Luzern

Verantwortlich für die Datenbearbeitungen ist das SRK Kanton Luzern als Organisation, jedoch haftet jede/r Mitarbeitende und die vorgesetzte Personen im Sinne des Datenschutzgesetzes persönlich für die rechtmässige Bearbeitung von Personendaten. Sie alle haben dafür zu sorgen, dass der Datenschutz eingehalten wird und dass die Persönlichkeitsrechte der Kundinnen und Kunden, der Mitarbeitenden und weiteren Privatpersonen geschützt sind.

Anonymisierte Daten, soweit sie keine Rückschlüsse über die betroffenen Personen erlauben, gelten nicht als Personendaten, sie unterstehen nicht dem Datenschutzgesetz. Deren Verwendung ist zulässig. Auch innerhalb der SRK-Familie (alle Organisationen des SRK) ist der Austausch anonymisierter Daten zu statistischen oder Marketingzwecken zulässig. Wichtig ist, dass eine Re-Identifikation der Daten (z. B. über PC-Programme) nicht mehr möglich ist.

Nach dem revidierten Datenschutzgesetz kann in bestimmten Fällen die Verletzung von verpflichtenden Datenschutzanforderungen zu einer persönlichen Strafbarkeit führen. Die Busse von bis zu 250'000 Franken wird dabei der fehlbaren natürlichen Person auferlegt. Voraussetzung ist, dass die Datenschutzverletzung vorsätzlich begangen wird, das heisst mit Wissen und Willen.

Folgende Tabelle zeigt die Grundsätze der Datenbearbeitung im Überblick. Die Abbildung kann vergrössert und am Arbeitsplatz als Plakat verwendet werden:

Im Zusammenhang mit der Bearbeitung von Personendaten haben Mitarbeitende gegenüber betroffenen Personen (unter anderem Kundinnen und Kunden) eine Informations- und Aufklärungspflicht. Die Mitarbeitenden haben die Kundinnen und Kunden über die Datenbearbeitung in verständlicher Art und Weise darüber zu informieren, zu welchem Zweck die Personendaten erhoben und bearbeitet werden und an welche Kategorien von Empfängern eine Weitergabe der Daten erfolgt. Die Mitarbeitenden setzen für eine ausreichende Kundeninformation entsprechende Infoblätter ein.

​​​​​​​Berücksichtigung des Grundsatzes der Datenminimierung bei der Verarbeitung von Personendaten:

Ein zentraler Grundsatz des DSG, den es bei der Verarbeitung von Daten im SRK einzuhalten gilt, ist der Grundsatz der Datenminimierung. Dieser Grundsatz zielt darauf ab, dass nur Daten, die für den Zweck angemessen und erheblich sind, sowie ausschliesslich jene Daten, die für die Verarbeitung notwendig sind, verarbeitet werden dürfen. Es sind so wenige Daten wie möglich zu verarbeiten. Beispielweise kann es ausreichen, dass beim Anlegen eines neuen Kunden ein Kontaktdatum, wie z.B. die Telefonnummer, erhoben wird. Die Erhebung der E-Mail-Adresse zur Kontaktaufnahme zusätzlich zur Telefonnummer ist in diesem Fall unter Umständen nicht notwendig. Die Angabe weiterer personenbezogener Daten ist für den Kunden dann immer nur eine weitere freiwillige Angabe.

Es sind Instrumente wie die Pseudonymisierung und Anonymisierung im Rahmen der Verarbeitung von personenbezogenen Daten zu nutzen, wenn dies aufgrund der Art der Verarbeitung möglich ist. Für die Bestellung von medizinischen Hilfsmitteln reicht die Kundennummer als Zuordnungselement aus und es sind darüber hinaus keine Namen der Kunden an den externen Dienstleister für Bestellungen weiterzugeben.

Die sog. «Freifelder» in Software-Systemen bieten Platz für umfassende Zusatzinformationen zu Kundinnen und Kunden. Es sind von den Mitarbeitenden nur die Daten zu erheben, die für die Beratung und Betreuung der Kundinnen und Kunden notwendig sind. Hierbei ist zu beachten, dass die betroffenen Personen das Recht haben, auf Anfrage Auskunft über sämtliche Informationen zu erhalten, die über sie beim SRK gespeichert werden, so auch personenbezogene Arbeitsanweisungen und Aufzeichnungen zu ihrer Person. Persönliche Aktennotizen der Mitarbeitenden müssen nicht weitergegeben werden.

​​​​​​​​​​​​​​Zweckbindung bei der Bearbeitung von Personendaten:

Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Die Bearbeitung muss zweckmässig sein. Die Zweckmässigkeit ist gegeben, wenn die Bearbeitung von Personendaten nur zu dem Zweck erfolgt, welcher bei der Beschaffung der Daten definiert und angegeben worden ist. Sofern die Datenbeschaffung und der Zweck der Bearbeitung für die betroffene Person nicht ersichtlich sind, muss sie darüber informiert werden. Treu und Glauben bedeutet, dass die Daten nur so bearbeitet werden, wie es die betroffene Person erwarten kann.

Grundsatz: Es dürfen nur Daten erhoben und gespeichert werden, die für den Zweck des Einsatzes notwendig und dazu geeignet sind, den Zweck zu erfüllen. Die Zweckmässigkeit der Daten richtet sich nach dem einzelnen Einsatzverhältnis (betreuen, besuchen, begleiten, beraten, pflegen). Je nach Einsatzverhältnis können das unterschiedliche Daten sein: Name und Adresse der Klientin oder des Klienten, Angaben zu Angehörigen, Alter, allfällige Besonderheiten, Krankheiten, Gesundheitszustand, Schlaf- und Essgewohnheiten, Telefonnummern, Adressen der behandelnden Gesundheitsfachpersonen, Adressen weiterer Ansprechpersonen wie Nachbarn, Verwandte, Freunde etc.

Erhoben werden dürfen zudem Informationen, die für den Einsatz wichtig sind, wie einzuhaltende religiöse Rituale, Medikamenteneinnahme, spezielle Intimgewohnheiten oder Massnahmen der Sozialhilfe und der KESB.

Bei Wegfall des Zweckes ist eine Verarbeitung der Daten nicht mehr zulässig. Eine Änderung des Zweckes der Verarbeitung ist nur zulässig, wenn dies mit dem ursprünglichen Zweck der Verarbeitung zu vereinbaren ist. In diesem Fall ist eine Prüfung der Zweckvereinbarkeit im Einzelfall durchzuführen. Bei Fragen melden sich die Mitarbeitenden bei der vorgesetzten Person beim SRK Kanton Luzern.

Nicht zu erheben sind Daten, die für den Einsatz nicht nötig sind. Vorstellbar sind Daten zu Rassenzugehörigkeit, sexuelle Orientierung, Auto- und Versicherungsnummern, Daten über die Einkommens- und Vermögensverhältnisse oder Betreibungen, politische Einstellungen, Parteizugehörigkeit oder gewerkschaftliche Aktivitäten etc. Ausnahmsweise können solche Daten erhoben werden, wenn sie zu spezifischen Zwecken benötigt werden, wie z.B. die Einkommensverhältnisse für die Anwendung des Sozialtarifs.

Da es sich bei Gesundheitsdaten um besonders schützenwerte Daten handelt, dürfen diese weder für interne Marketingzwecke verwendet noch an Dritte weiterverkauft werden. Falls das SRK Kanton Luzern die Adressdaten der Kundinnen und Kunden für den Versand von Infobroschüren oder Spendenmailings und ähnliches verwenden will, ist eine ausdrückliche Zustimmungserklärung mit der Erhebung der Daten vor der Beratung, Betreuung bzw. Begleitung empfohlen (z. B. Ich bin damit einverstanden, dass meine Adresse für Infobroschüren verwendet wird).

Anders verhält es sich, wenn Kundinnen und Kunden Behandlungsaufnahme bereits Mitglieder oder Gönnerinnen des SRK Kanton Luzern sind und in diesem Rahmen bereits eine Einwilligungserklärung abgegeben haben. In dem Fall darf das SRK Kanton Luzern die unbedenklichen Mitgliederdaten für andere Vereinszwecke wie Spendensammlungen, Infobroschüren, Einladung zu Veranstaltungen ohne zusätzliche Einwilligung nutzen. Nicht nutzen darf er alle persönlichen Daten, die Dienstleistungserbringung betreffen.

Der Austausch von nicht-anonymisierten Daten innerhalb der SRK-Familie (also nicht innerhalb einer einzelnen RK-Organisation, sondern zwischen den RK-Organisationen) ist ohne Einwilligung der Betroffenen nicht zulässig.
 

2. Besondere Kategorien personenbezogener Daten

Das Datenschutzgesetz unterscheidet zwischen Personendaten und besonders schützenswerten Personendaten. Schützenswert sind grundsätzlich alle Personendaten. Im Zusammenhang mit der Bearbeitung von besonders schützenswerten Personendaten sieht das Gesetz zusätzliche Anforderungen vor.

Besonders schützenswerte Personendaten:

• Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten,

• Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie, genetische Daten,

• biometrische Daten, die eine natürliche Person eindeutig identifizieren,

• Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen,

• Daten über Massnahmen der sozialen Hilfe.

Zu den Personendaten, die bearbeitet werden, gehören beispielsweise:

• Stamm- und Kontaktdaten von Kunden, Mitarbeitenden, Ansprechpersonen von Dienstleistern oder anderen Gesundheitseinrichtungen (z.  B. Namen, Telefonnummer, Anschrift, E­-Mail­-Adresse oder auch das Geburtsdatum, allgemeine Personendaten),

• Aufzeichnungen über den Verlauf einer Behandlung, Symptombeschreibungen, Diagnosen, Verordnungen, Reaktionen, Laborresultate, Röntgenbilder, Medikationen (besonders schützenswerte Daten),

• Sozialversicherungsstatus (allgemeine Personendaten),

• Daten über Intimsphäre wie etwa der Gesundheitszustand, das Sexualleben oder die Gefühlswelt (besonders schützenswerte Daten),

• Daten zu Mitarbeitenden und dem Anstellungsverhältnis inklusive Leistungsbeurteilungen und Lohnabrechnungen (allgemeine Personendaten).

Praxistipp:

• Besonders schützenswerte Daten bedürfen eines höheren Schutzniveaus als allgemeine Personendaten. Solche Daten sind als «vertraulich» oder als «geheim» zu klassifizieren

• Wenn besonders schützenswerte Daten, z. B. Gesundheitsdaten Drittparteien (d. h. anderen Personen oder Organisationen) weitergegeben werden, muss vorher die ausdrückliche Einwilligung der betroffenen Personen eingeholt werden.

Z. B. Eine Therapeutin gibt Patientendaten an Gesundheitsfachpersonen in einer anderen Praxis weiter. Als externe Übermittlung gilt beispielsweise auch, wenn eine SRK Betreuerin Kundendaten (Gesundheitsdaten) an eine andere Institution (z.B. Spitex) weitergibt. Dies ist eine externe Übergabe und die Einwilligung der betroffenen Person ist einzuholen.

In der gleichen medizinischen Praxis bzw. innerhalb des gleichen Fachbereichs einer juristischen Person ist die Datenübermittlung grundsätzlich ohne Einwilligung der betroffenen Person erlaubt. Wenn innerhalb des SRK Kanton Luzern von einer Abteilung in die nächste Gesundheitsdaten übergeben werden, z.B. vom Notruf an die Entlastung, ist dies im Rahmen des Zweckbindungsprinzips zulässig, z.B. wenn dies im Rahmen des Konzepts der Kundenzentrierung erfolgt.

3. Umgang mit Kundendaten im SRK

Bei der Beratung und Betreuung der Kunden vom SRK Kanton Luzern findet ein Austausch zwischen den Mitarbeitenden und den Kundinnen und Kunden statt und es werden personenbezogene Daten und insbesondere auch Gesundheitsdaten und weitere besonders schützenswerten Daten erhoben bzw. verarbeitet. Die Mitarbeitenden verpflichten sich hier zu einem besonders sorgfältigen Umgang mit den sensiblen Daten.

Um die Vertraulichkeit im Beratungsgespräch gewährleisten zu können, sind Sicherheitsabstände zwischen den verschiedenen Kundinnen und Kunden einzuhalten. Auf diesen Sicherheitsabstand sind die Kundinnen und Kunden hinzuweisen. Sollte das Beratungsgespräch umfangreicher sein, empfiehlt es sich, dieses in einem separaten Raum durchzuführen. Wenn die Kundinnen und Kunden personenbezogene Daten mitteilen, dann muss sichergestellt sein, dass den Kundinnen und Kunden Informationen über die Verarbeitung dieser Daten jederzeit auf Nachfrage zur Verfügung gestellt werden. Die Informationen sind sowohl mündlich durch die Mitarbeitenden als auch durch einen Hinweis auf eine schriftliche Datenschutzerklärung möglich.

Bildschirme und Dokumente mit Personendaten sollten von unbefugten Blicken und auch in ihrer Integrität geschützt werden. Die Vorgesetzten stellen sicher, dass den Mitarbeitenden ausreichende Mittel zur Sicherung von Unterlagen, z. B. schliessbare Räumlichkeiten, Schubladen, Aktenvernichter etc., zur Verfügung stehen.

Praxistipp:

• Im Gesundheitsbereich aber insbesondere bei der Tätigkeit von Gesundheitsfachpersonen sollte für die Verwaltung und Bearbeitung von Personendaten eine Spezialsoftware für das Gesundheitswesen verwendet werden. Für die Dienstleistungen im Bereich Unterstützung im Alltag gilt dies auch, wenn es um Gesundheitsdaten geht.

• Eine regelmässige Überprüfung (alle 1/2 bis 1 Jahr) der Identitäts- und Zugriffsverwaltung um Korrekturen durch Fluktuationen vorzunehmen, ist sehr wichtig und muss durchgeführt werden.

• Der Datenstandort Schweiz sollte in erster Linie bevorzugt werden. In zweiter Linie sind Anbieter mit Datenstandort EU eine alternative Lösung. Es wird davon abgeraten, Anbieter mit Datenstandort ausserhalb der Schweiz oder EU zu verwenden.

• Im E-Mailverkehr ist auf eine Verschlüsselung zu achten (bspw. HIN); dies ist beim Versand von Gesundheitsdaten und weiteren besonders schützenswerten Daten unabdingbar. Dies gilt auch für Dienstleistungen im Bereich Unterstützung im Alltag.

• Keine Gesundheitsdaten auf privaten, ungesicherten Endgeräten. Die elektronische Übermittlung innerhalb der Organisation erfolgt nur über mit Passwort geschützte Systeme und ist von Dritten nicht einsehbar;

• SMS und Messenger (WhatsApp, Signal, Threema): Die Übermittlung von Gesundheitsdaten ist nicht zu empfehlen, da diese Daten je nach System von den Betreibern verwendet werden können.

• Die Vereinbarung von Terminen via E-Mail ist möglich. Diese E-Mail sollte jedoch keine medizinisch-therapeutischen Inhalte haben. Terminerinnerungen per SMS können hilfreich sein, soweit der Grund des Termins nicht genannt wird.

• Bei Fragen zur Datensicherheit und zu den technischen und organisatorischen Massnahmen, sollten die Mitarbeitenden des SRK Kanton Luzern mit einer entsprechenden Funktion zu Rate gezogen werden.

4. Aufbewahrung und Löschung von Personendaten und Gesundheitsdaten

Für die Personendaten ist eine Löschfrist zu bestimmen. Nicht mehr benötigte Personendaten sowie Kunden- bzw. Patientendossiers müssen nach Prüfung der für sie geltenden Aufbewahrungs- und Löschfristen vernichtet oder irreversibel entfernt/gelöscht werden. Die Vorgesetzten sollten den Löschprozess kontrollieren.

Kundendossiers sollten im Hinblick auf Rechtsstreitigkeiten aus Beweissicherungsgründen für 10 Jahre aufbewahrt werden. Diese Frist gilt auch für Akten mit einfachen Gesundheitsdaten, die nur informativen Charakters sind und keinen Haftpflichtanspruch von Kundinnen und Kunden oder der betroffenen Personen begründen können. Dies ist in der Regel der Fall, wenn keine Behandlung der betroffenen Personen stattfindet, wie z.B. Betreuung, Besuchen, Begleiten.

Bei Gesundheitsfachleistungen wie z. B. Leistungen von Ärztinnen und Ärzten, Psychologinnen und Psychologen, Ergotherapeutinnen und Ergotherapeuten sollten Patientendossiers ab dem 1. Januar 2020 für 20 Jahre aufbewahrt werden. Die Akten von Patienten, die vor diesem Datum verstorben sind, können nach 10 Jahren gelöscht werden. Für weitere Informationen zur Aufbewahrung und Löschung von Personendaten können Sie sich an die Datenschutzberatung des SRK Kanton Luzern wenden (Kontaktdaten am Ende des Merkblatts).

Wer zur Führung von Geschäftsbüchern verpflichtet ist, hat diese, die Geschäftskorrespondenz und die Buchungsbelege während zehn Jahren aufzubewahren. Die Mitarbeitenden sollten dazu verpflichtet werden, Unterlagen, Daten sowie Datenträger jeglicher Art ordnungsgemäss zu vernichten.
 

5. Verschwiegenheitspflicht

Die Schweigepflicht über alle Personendaten obliegt nicht nur Gesundheitsfachpersonen, sondern allen Personen, die eine berufliche Tätigkeit ausüben, in welchem sie mit Personendaten arbeiten.

Mitarbeitenden des SRK Kanton Luzern sollte es untersagt werden, personenbezogene Daten unbefugt zu verarbeiten. Alle Mitarbeitenden sollten zum vertraulichen Umgang mit personenbezogenen Daten und zur Einhaltung der Datenschutzvorschriften und Datenschutzgrundsätze verpflichtet werden (Vertraulichkeitsverpflichtung). Diese Verpflichtung gilt auch für Auszubildende, Praktikanten und Aushilfen. Auch externe Mitarbeitende und Freiwillige unterstehen der Schweigepflicht.

Die Datenbearbeitung innerhalb vom SRK Kanton Luzern gilt als interne Bearbeitung und ist im Rahmen des Zweckbindungsgrundsatzes zulässig. Es gilt das «need to know» Prinzip, nur diejenigen Daten sollten bearbeitet werden, die zum Zweck notwendig sind und nur diejenigen Personen und nur in dem Ausmass sollten Zugriff bzw. Einblick in die Daten haben, wie es notwendig ist.

Die Herausgabe von Daten und Informationen an Dritte braucht eine vorgängige Information an die Klienten, welches beispielsweise als Information in einem auszufüllenden Formular, in der Datenschutzerklärung oder in den AGB erfolgen kann. Wenn es um Gesundheitsdaten bzw. Besonders schützenswerte Daten geht, ist die ausdrückliche Erlaubnis der betroffenen Personen zur Weitergabe der Daten erforderlich. Unter Dritten verstehen wir alle externen Personen bzw. Organisationen (Sozialdienste, Krankenkasse und IV-Versicherungen, Tagesstätten, Hausarzt, Nachbarn etc.). Vgl. Punkt 8 «Weitergabe von personenbezogenen Daten und Gesundheitsdaten».
 

6. Informations- und Einwilligungspflicht

​​​​​​​​​​​​​​
Informationspflicht:

Den betroffenen Personen sollten bei Erhebung der Daten umfassende Informationen über die Verarbeitung ihrer personenbezogenen Daten zur Verfügung gestellt werden. Dadurch ist eine transparente Verarbeitung gegenüber den Betroffenen sichergestellt. Von der Information umfasst sind u. a. die Zwecke, für die die personenbezogenen Daten verarbeitet werden, sowie Informationen über mögliche Empfänger oder über eine Übermittlung der personenbezogenen Daten in ein Drittland.

Neukundinnen bzw. Neukunden sollten immer ein Formular mit ihren Personendaten ausfüllen und es im besten Fall unterzeichnen. Im Formular ist ein Hinweis auf den Datenschutz und ein Link auf die Datenschutzerklärung des SRK Kanton Luzern anzugeben. Bei telefonischem Kontakt ist in mündlicher Form ähnlich zu informieren, hierfür sollte ein Skript für das Telefongespräch im Voraus erstellt werden.

Beispieltext am Ende des Formulars:

Durch meine Unterschrift erkläre ich, dass ich die allgemeinen Geschäftsbedingungen gelesen habe und ihnen zustimme. Ich bestätige die Richtigkeit der im Formular angegebenen Informationen und erteile meine ausdrückliche Einwilligung in die Bearbeitung und Weitergabe der hier angegebenen Personendaten im Rahmen des Rotkreuz-Notrufs an beigezogene Dienstleister.

Das Schweizerische Rote Kreuz Kanton Luzern verpflichtet sich, alle persönlichen Angaben vertraulich zu behandeln. Weitere Informationen zum Datenschutz finden Sie in den AGB und in der Datenschutzerklärung auf unserer Website unter www.srk-luzern.ch/datenschutz.

Die Information der Klienten und Klientinnen kann auch mittels Infoblättern über den Datenschutz sowie Datenschutzerklärungen in Papierform oder im Internet erfolgen. Die Informationen über den Datenschutz können auch in den AGB enthalten sein.

Beispiel:

Der Fahrdienst des SRK Kanton Luzern informiert in den AGB und im Internet über den Datenschutz.

Das SRK Kanton Luzern kann die Erfüllung der Informationspflicht an die Kundinnen und Kunden am besten nachweisen, wenn die betroffene Person den Erhalt der Datenschutzinformationen mit ihrer Unterschrift bestätigt, z.B. am Ende eines Formulars. Wenn die Information über den Datenschutz am Telefon erfolgt, so sollte dies in der Akte der Kundinnen und Kunden vermerkt oder auf andere geeignete Weise dokumentiert werden.

​​​​​​​​​​​​​​Einwilligungspflicht:

Wenn Gesundheitsdaten bzw. weitere besonders schützenswerte Daten bearbeitet werden, ist eine Information an die Klienten und Klientinnen nicht ausreichend, sondern die Klienten und Klientinnen müssen die Datenerfassung und -bearbeitung einwilligen. Das gilt auch für die Angehörigen, die miterfasst werden. Bei demenzerkrankten, teilweise urteilsunfähigen Klienten kann die Einwilligung des gewillkürten oder gesetzlichen Vertreters dort nötig sein, wo der Klient oder die Klientin nicht mehr in der Lage ist, die benötigten Dienste nachzuvollziehen. Wo immer möglich soll die Zustimmung bei der Klientin direkt eingeholt werden.

Falls das SRK Kanton Luzern gewisse Daten zu anderen Zwecken verwenden will (Adressen für Infobroschüren SRK, Spendenmailings etc.), sollten die Kunden und Kundinnen hierüber vorgängig informiert werden. Bei Gesundheitsdaten bzw. Spendenmailings per E-Mail ist eine ausdrückliche Zustimmungserklärung der Kundinnen und Kunden notwendig. Die Verwendung anonymisierter Daten braucht keine Information oder Einwilligung.
 

7. Weitergabe von personenbezogenen Daten und Gesundheitsdaten

Alle Mitarbeitenden und weitere Mitwirkende des SRK, darunter auch Hilfspersonen sind zum vertraulichen Umgang mit personenbezogenen Daten und Gesundheitsdaten verpflichtet. Die Geheimhaltungspflicht gilt auch gegenüber Angehörigen der betroffenen Person, Ärzten und Ärztinnen und Behörden. Ohne die Einhaltung der nachfolgenden Regeln dürfen grundsätzlich keine Personendaten weitergegeben werden.

Allgemeine, nicht besonders sensible Personendaten (z. B. Name, Adresse) dürfen Drittparteien nur dann offenbart werden, wenn die betroffene Person darüber vorgängig informiert wurde. Diese Regel des Datenschutzgesetzes bietet den betroffenen Personen die Möglichkeit, der Weitergabe ihrer Daten im Voraus zu widersprechen. Bei Gesundheitsdaten und anderen besonders schützenswerten Daten braucht es die ausdrückliche, in der Praxis grundsätzlich immer schriftliche Einwilligung der betroffenen Person, dass ihre Daten einem definierten Kreis von Personen offenbart werden dürfen. Die Einverständniserklärung hat nach angemessener und transparenter Information über die beabsichtigte Weitergabe der Daten zu erfolgen. Der Austausch von nicht anonymisierten Daten innerhalb der SRK Familie (also nicht innerhalb einer einzelnen SRK-Organisation) ist ohne Einwilligung der Betroffenen nicht zulässig.

Beispiele:

Man denke dabei beispielsweise an das Formular zur Entbindung von der Schweigepflicht, um einem Arzt die Weitergabe von Patienteninformationen an andere Ärzte oder Ärztinnen zu ermöglichen. Von der grundsätzlichen Schriftlichkeit der Einwilligung sind auch Ausnahmen denkbar: Ein Patient bittet bei einem Hausbesuch die Pflegefachperson, die ihn zuhause betreut, seiner gerade anwesenden Schwester zu sagen, welche Medikamente und mit welcher Häufigkeit er einnehmen muss.

Wenn Gesundheitsdaten bearbeitet werden, beispielsweise durch Freiwillige, wird empfohlen, bereits in der Einsatzvereinbarung zu klären, welchen Personen welche Auskünfte erteilt dürfen.

Beispiel:

Ich bin damit einverstanden, dass der Entlastungsdienst die notwendigen Auskünfte an meinen Hausarzt/an meine Krankenkasse oder an die Sozialversicherungsbehörden erteilt.

Gesundheitsdaten dürfen zwischen Mitarbeitenden und Freiwilligen des SRK, Ärzteschaft, Spitälern, anderen Behandelnden oder Versicherungen immer nur aufgrund einer Einwilligung oder einer anderen Rechtsgrundlage und immer nur geschützt ausgetauscht werden.

​​​​​​​​​​​​​​Datenweitergabe bei Missbrauch und Gewalt:

In manchen Fällen liegt es im überwiegenden privaten (gesundheitlichen/persönlichen) Interesse des Klienten oder der Klientin oder deren Angehörigen, ein familiäres «Geheimnis» weiterzugeben (z. B. Gewalt innerhalb der Familie, Vermögensveruntreuung gegenüber der Klientin, weitere Delikte, die strafrechtlich relevant sind). Bei Verdacht auf alle Formen von Gewalt und Missbrauch gegenüber Menschen oder auf weitere strafrechtlich relevante Delikte gegenüber der Klientin oder dem Klienten hat die Mitarbeiterin oder Freiwillige die Pflicht, diese Vorkommnisse der Vorgesetzten oder der Koordinatorin zu melden. Es empfiehlt sich, die Beobachtungen dabei in einer Aktennotiz festzuhalten. (Vgl. 2.b. Berücksichtigung des Grundsatzes der Datenminimierung bei der Verarbeitung von Personendaten.)

In begründeten Ausnahmefällen kann die Auskunft an Angehörige oder sogar an die Klientin verweigert oder eingeschränkt werden. Eine solche Einschränkung ist jedoch nur dann gerechtfertigt, wenn ein Gesetz dies vorsieht oder wenn die Auskunft eine dritte Person erheblich gefährden könnte. Denkbar ist dies allenfalls im Rahmen von häuslicher Gewalt oder innerfamiliären Interessenkonflikten. Es wird empfohlen, sich vorgängig mit einem/einer Rechtsvertreter:in abzusprechen.
 

8. Umgang mit Datenschutzverletzungen

Eine Verletzung der Datensicherheit liegt vor, wenn die Vertraulichkeit, die Integrität oder die Verfügbarkeit der Personendaten verletzt wird. Dies ist beispielsweise der Fall, wenn Daten

• verloren gehen,

• versehentlich oder unerlaubt gelöscht, vernichtet oder verändert werden oder

• für nicht berechtigte Personen zugänglich werden oder diese Einsicht in die Daten erhalten.

• Eine Verletzung der Datensicherheit könnte beispielsweise verursacht werden durch:

  • menschliches Versagen,

  • kriminelle Handlungen (Hacking),

  • Malware (Einschleusen von Schadsoftware),

  • Verlust oder Diebstahl von Geräten (z. B. Laptops), Datenträgern (z. B. USB­ Sticks, Festplatten, CD/DVD) oder Papierunterlagen.

Wurden personen- und gesundheitsbezogene Daten unberechtigten Dritten unrechtmässig offenbart oder sind diese anderweitig abhandengekommen und ist dieser Vorfall den Mitarbeitenden bekannt, so sollte der/die Vorgesetzte beim SRK Kanton Luzern unverzüglich darüber informiert werden. Wenn den Mitarbeitenden ein Zwischenfall hinsichtlich einer Funktionsbeeinträchtigung von IT-Systemen, z. B. durch Schadsoftware bekannt ist, der den Betrieb des SRK Kanton Luzern und die Verarbeitung personenbezogener Daten gefährdet, so sollte dieser Vorfall umgehend gegenüber den Vorgesetzten angezeigt werden. Die Vorgesetzten sollten ernsthaftere Vorfälle auch dem/der Informationssicherheitsbeauftragten sowie dem/der Datenschutzberater/in SRK ohne Verzug melden.

Schwerwiegende Datenschutzverletzungen sind dem EDÖB zu melden und in bestimmten Fällen sind auch die Betroffenen zu informieren.

Kontakt: bei Fragen zum Merkblatt melden Sie sich bitte bei der Datenschutzberaterin vom SRK Kanton Luzern virginia.darusman@srk-luzern.ch.