Patientendaten stehen im Spannungsfeld zwischen ärztlichem Behandlungsauftrag und Datenschutzrecht. Ärztinnen, Therapeuten und weitere Gesundheitsfachpersonen müssen sensible Gesundheitsdaten bearbeiten, um ihre Aufgaben zu erfüllen – zugleich sind sie verpflichtet, die Privatsphäre und den Persönlichkeitsschutz der Patientinnen und Patienten zu wahren.
Dieses Spannungsverhältnis zeigt sich besonders bei der Erhebung, Weitergabe und Speicherung von Daten im Praxisalltag – etwa in Patientenformularen zur Anmeldung, Einwilligung oder zur Dokumentation der Behandlung. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat hierzu ein neues Merkblatt zu Patientenformularen für ärztliche und therapeutische Konsultationen1 veröffentlicht. Es konkretisiert, wie Informationspflichten, Einwilligungen und Datensicherheit im Behandlungsumfeld rechtskonform umgesetzt werden können.
Mit der Veröffentlichung will der EDÖB Leistungserbringer wie Ärztinnen und Ärzte, Therapeutinnen und Therapeut, Praxen und Gesundheitszentren für die Anforderungen des revidierten DSG sensibilisieren und bestehende Formularvorlagen in Einklang mit dem Datenschutz zu bringen.
Informationspflicht und Einwilligung – zwei getrennte Pflichten
Das Merkblatt stellt klar: Wer Gesundheitsdaten bearbeitet, hat eine umfassende Informationspflicht – unabhängig davon, ob eine Einwilligung eingeholt wird. Gesundheitsfachpersonen müssen Patientinnen und Patienten transparent über die Datenbearbeitung informieren: Zweck, Rechtsgrundlage, Empfänger und Aufbewahrungsdauer müssen verständlich offengelegt werden (Art. 19 DSG).
Die Einwilligung kommt ergänzend ins Spiel, wenn keine andere Rechtsgrundlage vorliegt oder besonders heikle Bearbeitungen erfolgen, etwa bei Datenweitergaben an Dritte oder für Forschungszwecke. Dabei gilt: Eine gültige Einwilligung muss freiwillig, informiert, spezifisch und jederzeit widerrufbar sein. Pauschale oder vorausgefüllte Zustimmungserklärungen – etwa eine vorgängige Bekanntgabe des Patientendossiers oder bestimmter Elemente davon an Dritte – sind unzulässig.
Das Merkblatt mahnt Leistungserbringer, ihre Formulare kritisch zu prüfen: Informations- und Einwilligungsteile müssen klar getrennt und verständlich formuliert sein. Wer dies beachtet, reduziert das Risiko von Datenschutzverstössen und schafft zugleich Vertrauen im Patientenkontakt.
Elektronischer Datenaustausch – Sicherheit geht vor Bequemlichkeit
Ein weiterer Schwerpunkt liegt auf dem sicheren Umgang mit Patientendaten in der digitalen Kommunikation. Das Merkblatt warnt ausdrücklich vor der ungesicherten Übermittlung sensibler Daten – insbesondere per E-Mail oder Online-Formular ohne Verschlüsselung.
Eine elektronische Datenübertragung darf nur erfolgen, wenn sie angemessen gesichert ist. Nur in Ausnahmefällen – und nach ausdrücklicher, informierter Einwilligung der betroffenen Person – kann eine weniger sichere Übermittlung gerechtfertigt sein. In solchen Fällen muss die Patientin oder der Patient die Risiken kennen und eine echte Wahl haben (z. B. zwischen sicherem Portal und herkömmlicher E-Mail).
Gerade in zunehmend digitalisierten Praxen ist die Umsetzung technischer und organisatorischer Sicherheitsmassnahmen entscheidend. Wer Patientendaten über unsichere Kanäle übermittelt, riskiert nicht nur datenschutzrechtliche Beanstandungen, sondern auch Haftungsfolgen.
Datensparsamkeit und Zweckbindung – weniger ist mehr
Der EDÖB erinnert daran, dass im Gesundheitsbereich nur jene Daten erhoben werden dürfen, die für die Behandlung oder Verwaltung zwingend notwendig sind. Das Prinzip der Verhältnismässigkeit verlangt, dass Patientendaten zweckgebunden, korrekt und so sparsam wie möglich erhoben werden.
Formulare, die übermässige Angaben abfragen – etwa Beruf, Nationalität oder Zivilstand ohne medizinischen Zusammenhang – sind unzulässig. Jede erhobene Information muss einem klaren Zweck dienen und medizinisch oder administrativ erforderlich sein.
Ärztinnen und Therapeuten dürfte dieser Hinweis auf den Grundsatz der Verhältnismässigkeit etwas aufstossen. In der Praxis ist dies schwierig umzusetzen ohne enormen Zusatzaufwand. Diese Anforderungen zielen jedoch nicht auf Bürokratie ab, sondern auf Vertrauen: Eine schlanke, zweckmässige Datenerfassung schützt sowohl die Patient:innen als auch die Praxen vor unnötigen Datenschutzrisiken.
Bedeutung & praktische Empfehlungen für Gesundheitsdienstleister
Das neue Merkblatt ist ein Weckruf für alle Gesundheitsakteure – von Einzelpraxen bis zu Therapiezentren. Wer Patientendaten verarbeitet, sollte jetzt prüfen:
-
- Sind meine Patientenformulare verständlich, aktuell und datenschutzkonform?
-
- Sind Informationspflicht und Einwilligung klar getrennt und dokumentiert?
-
- Ist die elektronische Kommunikation technisch ausreichend gesichert?
-
- Werden nur jene Daten erhoben, die tatsächlich notwendig sind?
Eine datenschutzkonforme Praxis stärkt nicht nur die rechtliche Sicherheit, sondern auch das Vertrauen der Patientinnen und Patienten – das Fundament jeder medizinischen Tätigkeit.
Häufige Fragen zum Datenschutz In Patientenformularen
- Mitteilung vom 30. September 2025 - Der EDÖB veröffentlicht ein Merkblatt zu Patientenformularen für ärztliche und therapeutische Konsultationen https://www.edoeb.admin.ch/de/merkblatt-zu-patientenformularen ↩︎
Nein. Für die meisten Bearbeitungen im Rahmen der medizinischen Behandlung besteht eine gesetzliche Grundlage (Art. 31 Abs. 1 DSG, Gesundheitsgesetze der Kantone). Eine ausdrückliche Einwilligung ist nur nötig, wenn Daten ausserhalb des Behandlungsauftrags bearbeitet oder an Dritte weitergegeben werden – etwa für Forschungszwecke, Marketing oder Versicherungsabklärungen. Entscheidend ist, dass jede Patientin oder jeder Patient über die Datenbearbeitung informiert wird, auch wenn keine Einwilligung verlangt wird.
Ja, aber nur mit klarer Trennung der Funktionen. Der EDÖB betont, dass Informationspflicht und Einwilligung inhaltlich und visuell unterscheidbar sein müssen. Patientinnen und Patienten müssen verstehen, welche Bearbeitungen zwingend (gesetzlich) erfolgen und wofür sie freiwillig zustimmen. Empfehlenswert ist, separate Abschnitte oder Checkboxen zu verwenden, um die Freiwilligkeit der Einwilligung sicherzustellen.
Gesundheitsdaten gehören zu den besonders schützenswerten Personendaten (Art. 5 lit. c DSG). Sie dürfen elektronisch nur übermittelt werden, wenn die Vertraulichkeit und Integrität der Daten gewährleistet ist – etwa durch verschlüsselte E-Mails, sichere Patientenportale oder spezialisierte Kommunikationslösungen. Eine unverschlüsselte Übermittlung ist nur zulässig, wenn die Patientin oder der Patient nach umfassender Information ausdrücklich zustimmt.
Nein. Das Datenschutzgesetz verpflichtet Leistungserbringer zur Datenminimierung: Es dürfen nur jene Angaben erhoben werden, die für Diagnose, Therapie oder administrative Zwecke erforderlich sind. Fragen zu Beruf, Religion oder Familienstand sind nur dann zulässig, wenn sie einen erkennbaren medizinischen Bezug haben.
Ja. Eine Einwilligung muss jederzeit widerruflich sein. Der Widerruf gilt ab dem Zeitpunkt seiner Erklärung und entfaltet Wirkung für die Zukunft. Bereits rechtmässig bearbeitete Daten (z. B. für durchgeführte Behandlungen oder abgerechnete Leistungen) dürfen jedoch weiterhin aufbewahrt werden, soweit gesetzliche Pflichten bestehen – etwa zur Dokumentation oder Abrechnung.
FAQs
-
Müssen Patientinnen und Patienten für jede Datenbearbeitung ihre Einwilligung geben?
Nein. Für die meisten Bearbeitungen im Rahmen der medizinischen Behandlung besteht eine gesetzliche Grundlage (Art. 31 Abs. 1 DSG, Gesundheitsgesetze der Kantone). Eine ausdrückliche Einwilligung ist nur nötig, wenn Daten ausserhalb des Behandlungsauftrags bearbeitet oder an Dritte weitergegeben werden – etwa für Forschungszwecke, Marketing oder Versicherungsabklärungen. Entscheidend ist, dass jede Patientin oder jeder Patient über die Datenbearbeitung informiert wird, auch wenn keine Einwilligung verlangt wird.
-
Dürfen Einwilligung und Information auf einem einzigen Formular kombiniert werden?
Ja, aber nur mit klarer Trennung der Funktionen. Der EDÖB betont, dass Informationspflicht und Einwilligung inhaltlich und visuell unterscheidbar sein müssen. Patientinnen und Patienten müssen verstehen, welche Bearbeitungen zwingend (gesetzlich) erfolgen und wofür sie freiwillig zustimmen. Empfehlenswert ist, separate Abschnitte oder Checkboxen zu verwenden, um die Freiwilligkeit der Einwilligung sicherzustellen.
-
Welche Sicherheitsanforderungen gelten bei digitaler Kommunikation mit Patientinnen und Patienten?
Gesundheitsdaten gehören zu den besonders schützenswerten Personendaten (Art. 5 lit. c DSG). Sie dürfen elektronisch nur übermittelt werden, wenn die Vertraulichkeit und Integrität der Daten gewährleistet ist – etwa durch verschlüsselte E-Mails, sichere Patientenportale oder spezialisierte Kommunikationslösungen. Eine unverschlüsselte Übermittlung ist nur zulässig, wenn die Patientin oder der Patient nach umfassender Information ausdrücklich zustimmt.
-
Darf eine Ärztin oder ein Therapeut mehr Daten erheben, als für die Behandlung nötig sind?
Nein. Das Datenschutzgesetz verpflichtet Leistungserbringer zur Datenminimierung: Es dürfen nur jene Angaben erhoben werden, die für Diagnose, Therapie oder administrative Zwecke erforderlich sind. Fragen zu Beruf, Religion oder Familienstand sind nur dann zulässig, wenn sie einen erkennbaren medizinischen Bezug haben.
-
Kann eine Patientin die Einwilligung zur Datenbearbeitung später widerrufen?
Ja. Eine Einwilligung muss jederzeit widerruflich sein. Der Widerruf gilt ab dem Zeitpunkt seiner Erklärung und entfaltet Wirkung für die Zukunft. Bereits rechtmässig bearbeitete Daten (z. B. für durchgeführte Behandlungen oder abgerechnete Leistungen) dürfen jedoch weiterhin aufbewahrt werden, soweit gesetzliche Pflichten bestehen – etwa zur Dokumentation oder Abrechnung.
