Patientendaten stehen im Spannungsfeld zwischen ärztlichem Behandlungsauftrag und Datenschutzrecht. Ärztinnen, Therapeuten und weitere Gesundheitsfachpersonen müssen sensible Gesundheitsdaten bearbeiten, um ihre Aufgaben zu erfüllen – zugleich sind sie verpflichtet, die Privatsphäre und den Persönlichkeitsschutz der Patientinnen und Patienten zu wahren.

Dieses Spannungsverhältnis zeigt sich besonders bei der Erhebung, Weitergabe und Speicherung von Daten im Praxisalltag – etwa in Patientenformularen zur Anmeldung, Einwilligung oder zur Dokumentation der Behandlung. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat hierzu ein neues Merkblatt zu Patientenformularen für ärztliche und therapeutische Konsultationen¹ veröffentlicht. Es konkretisiert, wie Informationspflichten, Einwilligungen und Datensicherheit im Behandlungsumfeld rechtskonform umgesetzt werden können.

Mit der Veröffentlichung will der EDÖB Leistungserbringer wie Ärztinnen und Ärzte, Therapeutinnen und Therapeut, Praxen und Gesundheitszentren für die Anforderungen des revidierten DSG sensibilisieren und bestehende Formularvorlagen in Einklang mit dem Datenschutz zu bringen.

Informationspflicht und Einwilligung – zwei getrennte Pflichten

Das Merkblatt stellt klar: Wer Gesundheitsdaten bearbeitet, hat eine umfassende Informationspflicht – unabhängig davon, ob eine Einwilligung eingeholt wird. Gesundheitsfachpersonen müssen Patientinnen und Patienten transparent über die Datenbearbeitung informieren: Zweck, Rechtsgrundlage, Empfänger und Aufbewahrungsdauer müssen verständlich offengelegt werden (Art. 19 DSG).

Die Einwilligung kommt ergänzend ins Spiel, wenn keine andere Rechtsgrundlage vorliegt oder besonders heikle Bearbeitungen erfolgen, etwa bei Datenweitergaben an Dritte oder für Forschungszwecke. Dabei gilt: Eine gültige Einwilligung muss freiwillig, informiert, spezifisch und jederzeit widerrufbar sein. Pauschale oder vorausgefüllte Zustimmungserklärungen – etwa eine vorgängige Bekanntgabe des Patientendossiers oder bestimmter Elemente davon an Dritte – sind unzulässig.

Das Merkblatt mahnt Leistungserbringer, ihre Formulare kritisch zu prüfen: Informations- und Einwilligungsteile müssen klar getrennt und verständlich formuliert sein. Wer dies beachtet, reduziert das Risiko von Datenschutzverstössen und schafft zugleich Vertrauen im Patientenkontakt.

Elektronischer Datenaustausch – Sicherheit geht vor Bequemlichkeit

Ein weiterer Schwerpunkt liegt auf dem sicheren Umgang mit Patientendaten in der digitalen Kommunikation. Das Merkblatt warnt ausdrücklich vor der ungesicherten Übermittlung sensibler Daten – insbesondere per E-Mail oder Online-Formular ohne Verschlüsselung.

Eine elektronische Datenübertragung darf nur erfolgen, wenn sie angemessen gesichert ist. Nur in Ausnahmefällen – und nach ausdrücklicher, informierter Einwilligung der betroffenen Person – kann eine weniger sichere Übermittlung gerechtfertigt sein. In solchen Fällen muss die Patientin oder der Patient die Risiken kennen und eine echte Wahl haben (z. B. zwischen sicherem Portal und herkömmlicher E-Mail).

Gerade in zunehmend digitalisierten Praxen ist die Umsetzung technischer und organisatorischer Sicherheitsmassnahmen entscheidend. Wer Patientendaten über unsichere Kanäle übermittelt, riskiert nicht nur datenschutzrechtliche Beanstandungen, sondern auch Haftungsfolgen.

Datensparsamkeit und Zweckbindung – weniger ist mehr

Der EDÖB erinnert daran, dass im Gesundheitsbereich nur jene Daten erhoben werden dürfen, die für die Behandlung oder Verwaltung zwingend notwendig sind. Das Prinzip der Verhältnismässigkeit verlangt, dass Patientendaten zweckgebunden, korrekt und so sparsam wie möglich erhoben werden.

Formulare, die übermässige Angaben abfragen – etwa Beruf, Nationalität oder Zivilstand ohne medizinischen Zusammenhang – sind unzulässig. Jede erhobene Information muss einem klaren Zweck dienen und medizinisch oder administrativ erforderlich sein.

Ärztinnen und Therapeuten dürfte dieser Hinweis auf den Grundsatz der Verhältnismässigkeit etwas aufstossen. In der Praxis ist dies schwierig umzusetzen ohne enormen Zusatzaufwand. Diese Anforderungen zielen jedoch nicht auf Bürokratie ab, sondern auf Vertrauen: Eine schlanke, zweckmässige Datenerfassung schützt sowohl die Patient:innen als auch die Praxen vor unnötigen Datenschutzrisiken.

Bedeutung & praktische Empfehlungen für Gesundheitsdienstleister

Das neue Merkblatt ist ein Weckruf für alle Gesundheitsakteure – von Einzelpraxen bis zu Therapiezentren. Wer Patientendaten verarbeitet, sollte jetzt prüfen:

- Sind meine Patientenformulare verständlich, aktuell und datenschutzkonform?

- Sind Informationspflicht und Einwilligung klar getrennt und dokumentiert?

- Ist die elektronische Kommunikation technisch ausreichend gesichert?

- Werden nur jene Daten erhoben, die tatsächlich notwendig sind?

Eine datenschutzkonforme Praxis stärkt nicht nur die rechtliche Sicherheit, sondern auch das Vertrauen der Patientinnen und Patienten – das Fundament jeder medizinischen Tätigkeit.

Häufige Fragen zum Datenschutz In Patientenformularen

Mitteilung vom 30. September 2025 - Der EDÖB veröffentlicht ein Merkblatt zu Patientenformularen für ärztliche und therapeutische Konsultationen https://www.edoeb.admin.ch/de/merkblatt-zu-patientenformularen ↩︎

1. Müssen Patientinnen und Patienten für jede Datenbearbeitung ihre Einwilligung geben?

Nein. Für die meisten Bearbeitungen im Rahmen der medizinischen Behandlung besteht eine gesetzliche Grundlage (Art. 31 Abs. 1 DSG, Gesundheitsgesetze der Kantone). Eine ausdrückliche Einwilligung ist nur nötig, wenn Daten ausserhalb des Behandlungsauftrags bearbeitet oder an Dritte weitergegeben werden – etwa für Forschungszwecke, Marketing oder Versicherungsabklärungen. Entscheidend ist, dass jede Patientin oder jeder Patient über die Datenbearbeitung informiert wird, auch wenn keine Einwilligung verlangt wird.

2. Dürfen Einwilligung und Information auf einem einzigen Formular kombiniert werden?

Ja, aber nur mit klarer Trennung der Funktionen. Der EDÖB betont, dass Informationspflicht und Einwilligung inhaltlich und visuell unterscheidbar sein müssen. Patientinnen und Patienten müssen verstehen, welche Bearbeitungen zwingend (gesetzlich) erfolgen und wofür sie freiwillig zustimmen. Empfehlenswert ist, separate Abschnitte oder Checkboxen zu verwenden, um die Freiwilligkeit der Einwilligung sicherzustellen.

3. Welche Sicherheitsanforderungen gelten bei digitaler Kommunikation mit Patientinnen und Patienten?

Gesundheitsdaten gehören zu den besonders schützenswerten Personendaten (Art. 5 lit. c DSG). Sie dürfen elektronisch nur übermittelt werden, wenn die Vertraulichkeit und Integrität der Daten gewährleistet ist – etwa durch verschlüsselte E-Mails, sichere Patientenportale oder spezialisierte Kommunikationslösungen. Eine unverschlüsselte Übermittlung ist nur zulässig, wenn die Patientin oder der Patient nach umfassender Information ausdrücklich zustimmt.

4. Darf eine Ärztin oder ein Therapeut mehr Daten erheben, als für die Behandlung nötig sind?

Nein. Das Datenschutzgesetz verpflichtet Leistungserbringer zur Datenminimierung: Es dürfen nur jene Angaben erhoben werden, die für Diagnose, Therapie oder administrative Zwecke erforderlich sind. Fragen zu Beruf, Religion oder Familienstand sind nur dann zulässig, wenn sie einen erkennbaren medizinischen Bezug haben.

5. Kann eine Patientin die Einwilligung zur Datenbearbeitung später widerrufen?

Ja. Eine Einwilligung muss jederzeit widerruflich sein. Der Widerruf gilt ab dem Zeitpunkt seiner Erklärung und entfaltet Wirkung für die Zukunft. Bereits rechtmässig bearbeitete Daten (z. B. für durchgeführte Behandlungen oder abgerechnete Leistungen) dürfen jedoch weiterhin aufbewahrt werden, soweit gesetzliche Pflichten bestehen – etwa zur Dokumentation oder Abrechnung.

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat seinen Tätigkeitsbericht 2024/2025 veröffentlicht. In seiner Medienmitteilung titelt er „Verstärktes Einschreiten gegen Rechtsverstösse im Datenschutz und neue Höchststände bei den Zugangsgesuchen nach dem Öffentlichkeitsgesetz“ und zieht ein viel beachtetes Resümee zu Digitalisierung und Grundrechten, sowohl in öffentlichen Bereich wie Justiz, Polizei, Sicherheit und Gesundheit, aber auch bei Wirtschaft und Gesellschaft. Im Privatbereich fallen besonders folgende Themen auf:

Cyberangriff auf OneLog: Risiken bei Login-Lösungen

Der EDÖB dokumentiert einen gezielten Cyberangriff auf die Login-Plattform OneLog. Der Vorfall zeigt deutlich, dass cloudbasierte Authentifizierungsdienste zu attraktiven Zielen für Hacker werden – mit potenziell weitreichenden Folgen für tausende Privatpersonen. Der Bericht mahnt zu strikten Sicherheits- und Incident-Response-Prozessen bei Identity‑Anbietern. Verantwortliche treffen nicht nur die Meldepflicht von Datensicherheitsverletzungen (Art. 24 Abs. 1 DSG), sie müssen den EDÖB kontinuierlich über die getroffenen Massnahmen und das weitere Vorgehen informieren.

Pflicht zur Vertretung (Art. 14 DSG): Klare Verantwortung im Privatbereich

Neu fordert das DSG eindeutig eine Vertretung nach Art. 14 DSG für Private mit Sitz oder Wohnsitz im Ausland, die Personendaten bearbeiten. Das heisst: Wer umfangreich und regelmässig Daten verarbeitet – z.B. im Rahmen privater Online-Plattformen oder Community-Diensten –, muss eine gewählte oder eingesetzte Person benennen, die für die Einhaltung des DSG verantwortlich ist. Dies stärkt die Nachvollziehbarkeit datenschutzrelevanter Prozesse. Dazu können Unternehmen und andere Private eine Vertretung benennen, als Anlaufstelle sowohl für die betroffenen Personen als auch für den EDÖB.

BPS Legal bietet Vertretungen nach Art. 14 DSG an, ggf. in Kombination mit der Rolle des Schweizer Datenschutzberaters nach Art. 10 DSG. Nehmen Sie gerne mit uns Kontakt auf.

Plattformübergreifendes Tracking: Auf dem Radar des Aufsehers

Besonders interessant für Online-Marketing: Der EDÖB legt einen Schwerpunkt bei plattformübergreifenden Trackings, z.B. mittels Cookies oder Fingerprinting. Der EDÖB stellt fest, dass solche Methoden im Privatbereich oft im rechtsfreien Raum erfolgen – und fordert klare Regeln für Transparenz, Einwilligung und Dokumentation. Ohne geeignete technische und organisatorische Massnahmen drohen Bussen und Reputationsverlust. Bei der Verwendung von Drittdiensten und Third-Party-Cookies durch Webseiten- und Appbetreiber sind Informationspflichten, Gestaltungsrechte der betroffenen Personen und Verantwortlichkeiten zu beachten.

Datenschutz zieht in die Unternehmenskultur ein

Der EDÖB zeigt im Tätigkeitsbericht 2024/2025, dass Datenschutz im Privatbereich zunehmend ernst genommen wird. Von Cloud-Sicherheit bis Tracking-Regulierung – die Zahlen sprechen eine klare Sprache. Für Plattformbetreiber, KMU und Privatpersonen gilt: Proaktive Rechtsberatung ist wichtiger denn je, um Rechtssicherheit und Vertrauen zu schaffen. Den vollständigen Bericht finden Sie beim EDÖB unter: https://backend.edoeb.admin.ch/fileservice/sdweb-docs-prod-edoebch-files/files/2025/07/01/de77df3c-8cdb-4a72-9109-6783d8218fbc.pdf

Kontaktieren Sie uns unverbindlich zu Fragen Datenschutzrecht und Digitalisierung.

FAQ: Fragen und Antworten zum Datenschutz für KMU und Plattformbetreiber

Der Vorfall zeigt, dass zentrale Login-Dienste ein hohes Sicherheitsrisiko darstellen. Plattformbetreiber müssen sicherstellen, dass Authentifizierungsprozesse besonders geschützt sind – durch starke Passwörter, Zwei-Faktor-Authentifizierung und ein funktionierendes Sicherheits- und Notfallmanagement. Datensicherheitsverletzungen müssen zudem schnell gemeldet werden.

Unternehmen mit Sitz im Ausland, die systematisch Personendaten von Personen in der Schweiz bearbeiten, müssen zwingend eine Datenschutz-Vertretung in der Schweiz benennen. Auch kleinere Betreiber von Websites oder Plattformen können betroffen sein – etwa wenn sie regelmässig Daten von Schweizer Nutzern verarbeiten. Die Vertretung muss im Datenschutzhinweis transparent ausgewiesen werden.

Wer Nutzerverhalten über verschiedene Websites und Geräte hinweg verfolgt, benötigt eine explizite Einwilligung der betroffenen Personen. Die Verwendung von Cookies, Pixeln oder Fingerprinting-Tools ohne klare Zustimmung ist datenschutzwidrig. KMU müssen ihre Cookie-Banner und Tracking-Prozesse technisch und rechtlich prüfen und anpassen.

Wenn ein Unternehmen besonders risikobehaftete Datenbearbeitungen durchführt – etwa systematisches Tracking, Profiling oder die Verarbeitung von Gesundheitsdaten – ist häufig eine Datenschutz-Folgenabschätzung erforderlich. Der EDÖB weist im aktuellen Bericht eine Zunahme solcher Prüfungen bei Verantwortlichen aus. KMU sollten frühzeitig klären, ob eine DSFA notwendig ist, um späteren Rechtsfolgen vorzubeugen.

Das neue Datenschutzgesetz verlangt, dass Verletzungen der Datensicherheit unverzüglich dem EDÖB gemeldet werden – wenn ein hohes Risiko für die betroffenen Personen besteht. Eine spätere oder unvollständige Meldung kann als Pflichtverletzung gewertet werden. KMU sollten klare interne Meldeprozesse etablieren.

Es lohnt sich im Unternehmen zu erkennen, welche Aufgaben selbst erledigt werden sollen und wo sich das Unternehmen besser auf das Kerngeschäft konzentriert, um Effizienz zu steigern und die Kosten zu reduzieren. Gerade in der IT liegt es nahe zu prüfen, einen externen Dienstleister beizuziehen, nicht zuletzt auch aus Überlegungen der Informationssicherheit. Und während sich Unternehmen und Dienstleister gerne und richtig auf die Performance konzentrieren, tun beide gut daran, die grundlegenden Fragen des Datenschutzes beantworten zu können.

Outsourcing aus Sicht Datenschutz

Cloud-Anbieter, Webhoster, Agenturen und Call-Center oder IT-Supportunternehmen übernehmen Aufgaben in Unternehmen, welche auch Einblick in oder das Bearbeiten von Personendaten zur Folge hat, welche das Unternehmen führt. Die Bearbeitung von Personendaten kann nach Datenschutzgesetz (DSG) einem sog. Auftragsbearbeiter (auch „Processor“ genannt) übertragen werden. Dabei bleibt das Unternehmen als sog. Verantwortlicher (auch „Controller“ genannt) in der Pflicht, dass der Datenschutz eingehalten wird. Das Unternehmen hat für eine sorgfältige Auswahl, angemessene Instruktion und notwendige Überwachung zu sorgen. Wechselseitig ist der Dienstleister interessiert, die übertragenen Pflichten abzugrenzen und zu klären, welche Services wie vergütet werden sollen.

AVV – Auftragsverarbeitungsvertrag

In der Praxis hat sich die Vereinbarung zur Auftragsbearbeitung (bzw. nach DSGVO Auftragsverarbeitung) etabliert, häufig als AVV abgekürzt. Anstelle eines separaten AVV kann der Datenschutz auch als Vertragsanhang geregelt werden, wie im Anglo-Amerikanischen Raum üblich mit sog. Data Privacy Addendum, kurz. DPA. Wichtiger als wo, ist dass die Verantwortlichkeiten und Pflichten im Sinne des DSG bzw. der DSGVO geregelt werden. Dabei präsentieren sich immer wieder ähnliche Fallstricke.

Wichtig zu regeln

Die Grundhaltung sowohl des DSG als auch der DSGVO ist sicherzustellen, dass der Auftragsbearbeiter die übertragenen Daten nur gemäss den Weisungen des Auftraggebers bearbeitet und mit geeigneten technischen und organisatorischen Massnahmen den Schutz der Rechte der betroffenen Person zu gewährleisten. Dementsprechend ist neben dem grundsätzlichen Umfang des Auftrags, und damit der Datenbearbeitung, insbesondere die Datensicherheit festzuhalten. Einerseits soll sich diese dem Risiko angemessen und wirksam ausprägen, andererseits hat sie dem Stand der Technik zu entsprechen. Je nach Branche dienen dazu auch beispielsweise Audits, Pen-Tests und Zertifizierungen.

Grundsätzlich bearbeitet der Auftragsbearbeiter Personendaten für Zwecke des Verantwortlichen, also des Unternehmens. Als Dienstleister, darf er diese Personendaten also nicht für eigene Zwecke bearbeiten – ansonsten würde dieser selbst zum Verantwortlichen (teilweise auch „joint controller“ genannt). Für eine solche Zweckänderung muss er einen eigenen Rechtfertigungsgrund geltend machen können; vordergründig die ausdrückliche Einwilligung der betroffenen Person.

Fallstricke in AVV und DPA

Häufig vergessen oder übersehen wird das Thema Unterbeauftragung, also der Beizug sog. Subunternehmer. Diese sind vor Vertragsschluss offenzulegen und nach Vertragsschluss grundsätzlich nur mit vorgängiger Genehmigung des Unternehmens, also des Verantwortlichen einzusetzen. Hinzu kommt, dass bei Auslandbezug Überlegungen zur Bekanntgabe von Personendaten ins Ausland und zur Datensicherheit allgemein hinzukommen (siehe allgemein auch unten zu Outsourcing mit US-Bezug).

Wie vorerwähnt bleibt das Unternehmen als Verantwortlicher in der Pflicht. Hierzu kann es sinnvoll sein, Unterstützungspflichten mit vertraglichen Vereinbarungen (z.B. Mitwirkungspflichten) zu regeln und/oder spezifische organisatorische Massnahmen zu treffen. Vordergründig geht es dabei um die Betroffenenrechte (Auskunft, Berichtigung, Löschung), aber auch um Instrumente und Pflichten aus dem Gesetz (Datenschutzverletzungen, Datenschutzfolgeabschätzungen, etc.).

Nicht selten fehlen Regelungen zur Verantwortlichkeit und Haftung sowie daraus resultierender Kosten – oder sie werden einseitig verlegt. Sinnvoll scheint, die Haftung an die Dynamik des Dienstleistungsverhältnisses anzupassen, insbesondere wie selbständig der Dienstleister für das Unternehmen agiert. Die Kosten sind insbesondere transparent zu machen und orientieren sich wohl am besten am Verursacherprinzip.

Outsourcing mit US-Bezug

Findet beim Outsourcing eine Datenbekanntgabe ins Ausland statt, muss ausserdem geprüft werden, ob die Länder, in denen die Daten bearbeitet werden, ein angemessenes Datenschutzniveau aufweisen. Primär orientiert sich dies am Entscheid des Bundesrates, also an der Liste von Staaten mit einem angemessenen Datenschutz nach Datenschutzverordnung (DSV). Wenn sich der Dienstleister in einem Land befindet, welches kein mit dem Schweizer vergleichbares Datenschutzniveau bietet, oder die Daten in Ländern bearbeitet werden, die kein angemessenes Schutzniveau im Vergleich zur Schweiz bieten, müssen zusätzliche Massnahmen getroffen werden. Vordergründig ist dabei an Standarddatenschutzklauseln (auch „Standard Contractual Clauses“ SCC genannt) zu denken.

Ein Spezialfall stellt mithin die USA dar. Mit dem Wegfall des EU-US-Privacy-Shields – und in der Folge des Swiss-US-Privacy-Shields – durch das Schrems-II Urteil des Europäischen Gerichtshofs im Juli 2020 ist die datenschutzkonforme Bearbeitung von vertraulichen Daten durch einen US-amerikanischen Anbieter komplexer geworden. Zwischenzeitlich verhalf man sich mit SCC – ohne Rechtssicherheit, ob dies genügen würde. Nun bietet das neue Swiss-U.S. Data Privacy Framework für zertifizierte US-Unternehmen einen angemessenen Schutz für Personendaten. In diesem Umfang setzte nun der Bundesrat die USA wieder auf die Liste der Länder mit einem angemessenen Datenschutzniveau und erlauben künftig die Übermittlung von Personendaten aus der Schweiz an zertifizierte Unternehmen in die USA ohne zusätzliche Garantien. Der Bundesrat hat die entsprechende Änderung der DSV auf den 15. September 2024 in Kraft gesetzt.